新京报贝壳财经讯(记者 罗亦丹)8月20日,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》,11月1日起施行。历经18年,我国首部针对个人信息保护的专门性立法“尘埃落定”。

贝壳财经记者梳理发现,个人信息保护法明确,收集个人信息,应当限于实现处理目的最小范围,基于个人同意处理个人信息的,个人有权撤回其同意;通过自动化决策方式向个人进行信息推送、商业营销,应提供不针对其个人特征的选项或提供便捷的拒绝方式;将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息以及不满十四周岁未成年人的个人信息列为需要“单独同意”的敏感信息。此外,个人信息保护法还吸收接纳了国际立法,引入了数据可携带权等概念。

中国信息通信研究院互联网法律研究中心高级研究员杨婕认为,《个人信息保护法》从全局高度对各主体利益进行统筹安排和科学分配,在规则安排上既保护了个人信息权益,又拓展了个人信息处理者利用个人信息的合理空间,也回应了国家机关为履行法定职责或者法定义务处理个人信息的诉求,从而最大化实现社会利益。


不得过度收集 与国际接轨数据或可“携带”

据了解,个人信息保护相关的立法研究早在2003年就已经启动,在此期间,许多关于“个人信息保护”的法规标准并不少见,但大多都属于指导性、推荐性文件。相比层出不穷的信息泄露事件,专门法律的出台呼声不断。

贝壳财经记者注意到,“知情同意”与“信息收集最小化”原则是各类与个人信息保护有关的法规文件中频繁出现的基础性原则,在信息保护法中这两条原则也被具体提及。

个人信息保护法规定,必须取得个人的同意,个人信息处理者方可处理个人信息,且个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。

另外,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的最小范围。

在中国电子技术标准化研究院网络安全研究中心测评实验室副主任何延哲看来,这一规定可以为近年来的App治理行动提供合法性支撑,有利于治理行动的长期推行。对于测评结果具体怎么公开,目前还没有看到统一的标准。“如果能公开一些问题的细节,将有助于企业自查自纠,也有助于用户在使用App时注意保护自己的个人信息。”

值得注意的是,个人信息保护法第四十五条规定,个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。这涉及欧盟《通用数据保护条例》(GDPR)提出的“可携带权”概念,数据可携将给初创企业等小平台与大平台竞争的机会。

杨婕表示,一直以来,社会各界普遍认为,应当在《个人信息保护法》中设定可携权,增强个人对个人信息移转与再利用行为的把控。可携权的设立不但能够体现立法的前瞻性,还能够有效回应大型平台“数据垄断”现象。

“个人信息保护法在条文内容上反映了立法者吸收接轨国际立法、探索开创中国路径的制度努力。”网络法治国际中心执行主任吴沈括表示。


不得大数据杀熟 用户可拒绝“个性化推荐” 平台,已有平台提供了个性化推送的关闭选择

个人信息保护法第二十四条规定,个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇;通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。

据全国人大常委会法制工作委员会发言人臧铁伟介绍,自动化决策指通过程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康信用状况等,并进行决策的活动。

贝壳财经记者了解到,推荐算法模式是大多数短视频、新闻平台所采用的技术,从推送的文章、视频到广告,均是“通过自动化决策方式向个人进行信息推送、商业营销。”

安恒信息高级副总裁、首席科学家刘博告诉贝壳财经记者,上述条款限制了平台对个人画像及针对性营销的能力。

何延哲则表示,(自动化决策条款)肯定会对广告业产生影响,以前用户往往只能被动接受个性化广告的推送,用户拥有主动权后,可以自行选择是否开启类似功能。“以前许多广告商在无限度追求商业利益的过程中,经常忽略用户个人的感受。如今出台了相关法规,他们便要承担之前野蛮发展的后果——曾经让多少用户反感,以后可能就要承担多少用户关闭个性化推荐后的损失。”

那么,目前相关平台是否有“不针对其个人特征的选项或提供便捷的拒绝方式”呢?对此,有相关平台8月20日向新京报贝壳财经记者透露,在本次《中华人民共和国个人信息保护法》通过之前,平台旗下产品已经进行过系统升级,为用户明确提供了个性化推送的关闭选择;后续也会不断优化产品功能,不断提高用户信息保护水平。


未成年人信息纳入敏感个人信息范畴 需单独同意

贝壳财经记者注意到,个人信息保护法规定,处理敏感个人信息应当取得个人的单独同意,而敏感信息包括“生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息以及不满十四周岁未成年人的个人信息”。

据了解,个人信息保护法一审稿和二审稿也都将保护年龄设置为不满十四周岁的未成年人。杨婕认为,对儿童及监护人身份的识别是儿童个人信息保护的前提,也是一直以来的治理难题。“个人信息处理者需要事先进行儿童身份的判断,会额外收集个人信息(比如用户年龄、与验证用户身份/监护人身份/监护人与儿童用户关系的相关证明材料),可能会引发过度收集儿童个人信息的问题。”

她表示,考虑到这一实际情形,《个人信息保护法》特别将儿童个人信息纳入敏感个人信息范畴,进行升级保护,可以有效杜绝个人信息处理者以身份识别为由过度、超范围收集儿童个人信息的问题。因为,结合《个人信息保护法》对于敏感个人信息处理规则,处理儿童个人信息的,也应当具有特定的目的和充分的必要性,并要采取严格保护措施。

此外, 贝壳财经记者注意到,近年来,工信部、网信办等部门定期会对APP的隐私保护进行测评并公布测评结果,不按时改正的APP会被予以下架处理。而个人信息保护法将测评写到了法律中。第六十一条将“组织对应用程序等个人信息保护情况进行测评,并公布测评结果”新设为履行个人信息保护职责的部门的职责;第六十六条则将“对违法处理个人信息的应用程序,责令暂停或者终止提供服务”增加为履行个人信息保护职责的部门对违法主体可采取的处罚手段。

“可以期待,在《个人信息保护法》科学、系统、全面的顶层设计之下,后续随着监管执法举措的不懈推进、司法裁判规则的不断丰富、多方参与共治的持续培育以及国际交流合作的深入开展,置身代码世界的广大人民群众将长久拥抱个人信息合法权益受保护、个人信息处理活动受规范、个人信息合理利用受促进的数字治理新生态。”吴沈括表示。

新京报贝壳财经记者 罗亦丹 编辑 岳彩周 校对 卢茜