給 App 戴上緊箍咒

簡宏妮

立法保護刻不容緩 在信息化時代，個人信息價值日益凸顯，個人信息安全風(fēng)險與日俱增，給個人隱私和國家安全帶來了嚴(yán)重的安全隱患。

今年的國慶長假，羅雨欣出去游玩前在某旅行App預(yù)訂酒店，發(fā)現(xiàn)同一時間、同一家酒店，她看到的價格要比同事看到的高出不少，打電話給客服，得到的答復(fù)是，平臺給新用戶的優(yōu)惠力度大。很多人不知道，這就是所謂的“大數(shù)據(jù)殺熟”，它違反了誠信原則，侵犯了《消費者權(quán)益保護法》規(guī)定的消費者享有公平交易條件的權(quán)利。

11月1日起，《個人信息保護法》正式施行，將終止平臺的類似漏洞，保護用戶的合法權(quán)益。應(yīng)用程序過度收集個人信息、一攬子授權(quán)、強制同意、大數(shù)據(jù)殺熟……這些侵害公民個人信息權(quán)益的行為將受到制約。

隨著信息化與經(jīng)濟社會持續(xù)深度融合，網(wǎng)絡(luò)已成為生產(chǎn)生活的新空間、經(jīng)濟發(fā)展的新引擎、交流合作的新紐帶。截至2020年12月，我國互聯(lián)網(wǎng)用戶已達9.89億，互聯(lián)網(wǎng)網(wǎng)站超過443萬個，應(yīng)用程序超過345萬個，個人信息的收集、使用更為廣泛。

現(xiàn)實生活中，一些企業(yè)、機構(gòu)和個人基于各種各樣的目的，違法獲取、過度使用、非法買賣個人信息，甚至把隱私作為非法獲利的“搖錢樹”，滋生出黑色產(chǎn)業(yè)鏈條，導(dǎo)致群眾人身和財產(chǎn)安全等問題日益突出。

西南政法大學(xué)總體國家安全觀研究院研究員、法學(xué)博士謝波在接受《小康》雜志、中國小康網(wǎng)記者采訪時說：“在信息化時代，個人信息價值日益凸顯，個人信息安全風(fēng)險與日俱增，給個人隱私和國家安全帶來了嚴(yán)重的安全隱患。”為此，近年來，我國積極建立健全個人信息保護法律體系，相繼出臺《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等法律，并在《刑法修正案》《民法典》中做出相關(guān)規(guī)定，但由于針對個人信息保護的專門性法律長期缺位，個人信息保護制度并不完善，個人信息安全事件屢有發(fā)生。

正是在這樣的背景下，加強個人信息保護專項立法成為社會各界普遍共識，經(jīng)過十多年醞釀?wù)撟C、十三屆全國人大常委會三次審議，8月20日，十三屆全國人大常委會第三十次會議表決通過的《個人信息保護法》正式出臺。

“去餐廳吃飯，被要求掃碼點餐，有的還必須填寫姓名、出生年月、手機號碼等與服務(wù)無關(guān)的個人信息。有時候想下載一款A(yù)pp，需要按照平臺要求，開放一大堆個人隱私，比如允許打開相冊、允許打開通訊錄、允許開啟定位等等。”說起商家過度收集個人信息的現(xiàn)象，羅雨欣感受頗深。作為資深網(wǎng)民，她不僅對平臺利用大數(shù)據(jù)提供差別服務(wù)感到憤怒，也擔(dān)心自己的信息在不知不覺間被泄露。

作為中國首部針對個人信息保護的專門性立法，《個人信息保護法》將進一步強化個人信息安全監(jiān)管與治理，把個人信息使用權(quán)關(guān)進法律的籠子里。

謝波解讀說，《個人信息保護法》對個人信息處理者設(shè)置了個人信息的處理規(guī)則，其中就包括一些明確的禁止性規(guī)定，如“不得對個人在交易價格等交易條件上實行不合理的差別待遇”“所收集的個人圖像、身份識別信息只能用于維護公共安全的目的，不得用于其他目的”?等，一旦個人信息處理者違反了這些規(guī)定，我們就可以向履行個人信息保護職責(zé)的部門進行投訴、舉報，甚至根據(jù)具體情況向法院提起訴訟。

此外，根據(jù)《個人信息保護法》規(guī)定，對個人信息處理者實行過錯推定原則，一旦發(fā)生侵害個人信息的行為，不能證明自己沒有過錯的就應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任，這也將大大降低個人維權(quán)的難度。

面對大數(shù)據(jù)殺熟、濫用人臉識別等侵害公民權(quán)益的行為，我們應(yīng)當(dāng)如何識別？謝波介紹，所謂大數(shù)據(jù)殺熟，是指同樣的商品或服務(wù)，老客戶的價格反而高于新客戶的現(xiàn)象。簡單來說，就是商家給不同人設(shè)置了不同價格。大數(shù)據(jù)殺熟往往具有較強的隱蔽性。網(wǎng)民可以看商家的宣傳、展示頁面是否做出特別說明，如明確標(biāo)注新客、新號、滿額減、首次消費可以領(lǐng)取優(yōu)惠券等信息，規(guī)則是明確的，且無論用新號還是老號登錄頁面，展示的信息是一樣的，則為正常營銷手段，反之則可能存在大數(shù)據(jù)殺熟。對于濫用人臉識別，可以從是否在公共場所提供了識別設(shè)備的顯著提示標(biāo)識、說明了識別信息的使用目的等方面，來評判人臉識別的合法性。

《個人信息保護法》從列入立法規(guī)劃到正式出臺，歷經(jīng)了幾次大的審議修改。與《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》有所區(qū)別，《個人信息保護法》側(cè)重保護個人信息，監(jiān)管對象是個人信息的處理者和受托人。

謝波認(rèn)為，“《個人信息保護法》的亮點之一，就是確立個人信息處理中的合法、正當(dāng)、必要、誠信等基本原則，同時明確了敏感個人信息并予以嚴(yán)格保護。”

值得注意的是，《個人信息保護法》在國內(nèi)首次將個人信息分類成敏感和非敏感個人信息。從法律上看，生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡、不滿十四周歲未成年人的個人信息屬于敏感個人信息，這些信息一旦泄露或者被非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危害。相對來說，個人姓名、職稱等屬于非敏感個人信息。

從保護個人的角度，法律首次提出了單獨同意和書面同意的要求。謝波表示，《個人信息保護法》以“告知—同意”個人信息處理規(guī)則為核心，賦予個人在個人信息處理活動中的充分權(quán)利，比如，在個人信息處理中享有知情權(quán)、決定權(quán)，有權(quán)限制或拒絕他人對其個人信息進行處理等。

此外，《個人信息保護法》明確了個人信息處理者的合規(guī)管理和保障個人信息安全等義務(wù)，對大型互聯(lián)網(wǎng)平臺設(shè)定特別的個人信息保護義務(wù)，加大對違法處理個人信息行為的懲戒，促進形成全社會協(xié)同共治的個人信息保護模式。“《個人信息保護法》強調(diào)監(jiān)管和違法懲戒，就好比一枚硬幣的兩面，監(jiān)管主要立足于‘防’，懲戒主要著眼于‘懲’，只有懲防有機結(jié)合，才能實現(xiàn)個人信息保護的最佳效果。”謝波說。

在監(jiān)管方面，個人信息處理活動涉及面廣、情況復(fù)雜、主體多樣、隱蔽性強，一旦發(fā)生侵害個人信息權(quán)益的行為，往往會對社會造成較嚴(yán)重的后果。因此，通過立法理順監(jiān)管體制，并對相關(guān)部門的監(jiān)管職責(zé)做出規(guī)定，是個人信息保護工作必須重視事前、事中的具體體現(xiàn)，這有利于從源頭上防范個人信息被侵害的情形發(fā)生。

在違法懲戒方面，《個人信息保護法》對違法處理個人信息的行為設(shè)置了不同梯次的行政處罰，對未造成嚴(yán)重后果的輕微或一般違法行為，可由執(zhí)法部門責(zé)令改正、給予警告、沒收違法所得，對拒不改正的最高可處100萬元罰款;對情節(jié)嚴(yán)重的違法行為，最高可處5000萬元或上一年度營業(yè)額5%的罰款，并可以對相關(guān)責(zé)任人員做出從業(yè)禁止處罰。這些嚴(yán)厲的處罰措施，無疑有利于倒逼相關(guān)主體履行好法律的規(guī)定。

隨著《個人信息保護法》正式實施，網(wǎng)絡(luò)環(huán)境必然會發(fā)生相應(yīng)變化。一方面，法律實施前網(wǎng)絡(luò)空間普遍存在的一些突出問題勢必得到依法治理，從而更好保護個人信息和隱私;另一方面，《個人信息保護法》通過明確個人信息處理者的法定義務(wù)、相關(guān)部門的個人信息保護職責(zé)，以及合規(guī)審計、個人信息保護影響評估等激勵相容機制設(shè)計，推動個人信息保護全社會協(xié)同共治，有利于集合力量構(gòu)建清朗網(wǎng)絡(luò)空間。謝波表示，“立法只是第一步，還需要在行業(yè)內(nèi)形成具體個人信息保護標(biāo)準(zhǔn)、制定個人信息保護技術(shù)標(biāo)準(zhǔn)等細(xì)化的制度機制，才能實現(xiàn)網(wǎng)絡(luò)安全的可持續(xù)性。”

（應(yīng)采訪對象要求，文中羅雨欣為化名）