8月20日,《个人信息保护法》经十三届全国人大常委会第三十次会议表决通过,将自今年11月1日起施行。当天,中国人大网全文发布。

 

对社会关切的过度收集个人信息、大数据杀熟,对人脸信息等敏感个人信息的处理等,《个人信息保护法》均明确了规制措施。专家认为,诱导性、欺骗性的个人信息收集仍然存在,给用户的知情权和选择权仍不足,应继续增加个人信息处理的透明度,帮助用户明确、方便地感知和选择自己的信息处理服务。

 

《个人信息保护法》明确,死者个人信息的处置权由其近亲属行使,死者生前另有安排的除外。专家认为,未来“死者生前另有安排”很可能变成一个常规安排,“就跟我们生前要做好遗嘱一样,在生前做好个人信息的安排”。

  

诱导性收集仍存在,应扩大用户知情权选择权

 

新通过的《个人信息保护法》回应了社会高度关切的热点难点问题。针对过度收集信息、大数据杀熟的问题,明确处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式;个人信息处理者利用个人信息进行自动化决策,不得对个人在交易价格等交易条件上实行不合理的差别待遇。

 

针对滥用人脸识别技术问题,《个人信息保护法》要求,在公共场所安装图像采集、个人身份识别设备,应设置显著的提示标识;所收集的个人图像、身份识别信息只能用于维护公共安全的目的。

 

中国互联网协会研究中心副主任、北京师范大学网络法治国际中心执行主任吴沈括提出,关于个人信息推送有一个需要注意的地方,就是信息的真实性和信息的中立性,相关规范还应进一步完善。他举例说,曾经有某平台在课程直播当中向学员推送异性交友信息,这显然是有问题的。

 

吴沈括还提出,在个人信息搜集方面,虽然强迫少了,但诱导性、欺骗性收集仍然存在,这是违背法律精神的。

 

目前,公众主要关注个人信息收集、信息内容推送等方面,实际上个人信息的处置还包括存储、使用、提供及删除等环节。

 

对外经济贸易大学数字经济与法律创新研究中心执行主任许可认为,在立法回应公众关切之后,要注意到个人信息处理的最大问题是透明度欠缺,给用户的知情权和选择权不足。这要求互联网服务提供者通过技术工具、服务平台来帮助用户行使权益,建立一个用户友好型的界面,帮助用户很好地感知和选择自己的个人信息处理服务,方便地进行个人信息查询、复制、更正、删除等。

 

重视“网络遗嘱”,提前做好网上个人信息安排

 

如今,人们可以在网上办事、社交、购物、娱乐等等,其间会留下众多文字、图片、视频及账户密码等信息。一个人去世后,网上遗留的个人信息该如何处理?

 

《个人信息保护法》第四十九条规定,自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。

 

吴沈括介绍,“死者生前另有安排的除外”的规定,比起草案二审稿,对死者个人信息保护范围做了一定程度的限缩。因为死者自身的意志表达已经受到了限制,如果给予他与生者一样的权益范围,可能会对目前的互联网生态造成非常大的影响。

 

许可进一步提出,对死者的人格损害,会间接地伤害死者的近亲属。所以,《个人信息保护法》在审议过程中,把对死者的网络个人信息,从直接保护修改为间接保护。即,死者的近亲属可以去行使查询、复制、更正、删除等权利。

 

对于“死者生前另有安排的除外”的规定,许可认为,首先要尊重死者的愿望和安排。因为,由近亲属在当事人去世后去主张,会产生一些问题,比如优先次序、意见不同等。“死者生前另有安排的除外”虽然看起来是个例外条款,但未来这一条款很可能变成一个常规安排,“就跟我们生前要做好遗嘱一样,在生前做好个人信息的安排,也就是’网络遗嘱’”。

 

“除了个人要做好安排,还应该鼓励互联网服务提供者提供相应渠道,帮助死者做好这类安排。”许可介绍,在美国有网络遗产的概念,很多第三方参与自然人网络遗产安排,有相关的信托和技术,帮助人们保存、处理网上个人信息。

 

将未成年人信息列为敏感个人信息

 

《个人信息保护法》将未成年人的个人信息列为“敏感个人信息”,第二十八条明确:敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。

 

对于未成年人的个人信息处理,第三十一条规定:个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。

 

将未成年人信息列为敏感信息,意味着未成年人将获得更高等级的保护。要保护未成年人,首先要能识别未成年人。实践中,怎么去判断这个上网者是不是未成年人?许可提出,除了落实实名制,还要进一步采取技术手段来判断。

 

吴沈括提出,目前多数服务未成年人的互联网产品,是从成年人思维出发设计的,这可能会造成有的保护措施无法落实到位,甚至出现以保护未成年人之名决策侵害了未成年人的利益的情况。他建议,改进“一言堂”式的未成年人保护状况,发挥学校和家长的主观能动性,更真实和全面地了解未成年人的特点和需求。

 

为地方大数据立法提供顶层设计

 

近几年,中国相继出台的《网络安全法》、《数据安全法》、《个人信息保护法》等三部法。吴沈括指出,这奠定了个人信息保护的法律基础。《个人信息保护法》出台之后,后续会有一系列配套制度,比如关于数据安全的行政法规,关于关键信息基础设施安全保护的行政法规,关于个人信息跨境流动的治理规范,等等。

 

许可介绍,个人信息保护涉及面很广,监管部门除了网信办、工信部、市场监管总局、公安部等,还涉及一些行业主管部门,比如人民银行涉及个人金融信息保护,卫健委涉及医疗信息保护,交通部涉及交通领域个人信息保护,教育部涉及大量教育数据等。《个人信息保护法》的实施,将在广泛的方面影响人们的生活。

 

近年来,大数据的应用和潜力越来越受到重视,多个地方探索大数据立法,内容涵盖个人信息保护。今年7月,《深圳经济特区数据条例》公布。作为国内数据领域首部基础性、综合性立法,《条例》对大数据“杀熟”、个人信息收集任性、强制个性化广告推荐等问题说“不”均做出了规定。

 

许可提出,个人信息权属于公民基本权利,可以上溯到宪法中的人格尊严和人权保护条款、通信自由条款,地方无法立法规定。个人信息保护方面涉及行政监管的,可以由各地方立法予以补充和完善。

 

吴沈括表示,部分地方存在“数据山头主义”,希望把数据资源留在自己的辖区范围,这与“全国一盘棋”的思路相违背。个人信息保护必须坚持全国一盘棋,不能自行其是。个人信息保护法作为全国层面的一个顶层设计,地方立法必须遵循该法基本精神。

 

“徒法不足以自行。”许可认为,要保护好互联网时代的个人数据安全,在制定《个人信息保护法》的同时,还要注重技术、行业规范、市场竞争等因素,多方协同共治,这将是一个任重道远的过程。

 

吴沈括认为,在个人信息保护生态中,数字平台企业具有非常重要的角色和地位,要通过互联网生态的开放融合来实现更大范围、更高水平的个人信息保护。在这方面,既要按《个人信息保护法》规定对违法企业严格查处,也要对积极自律合规的企业予以鼓励和褒奖。


新京报记者 沙雪良

编辑 王景曦 校对 吴兴发