個人信息保護的幾個問題

覃剛

數字經濟時代，信息數據儼然已成為企業（特別是互聯網企業）的生產資料。 企業為其客戶提供產品或者服務，在取得客戶信任的同時也掌握了客戶的信息。 如果企業掌握的他人信息泄露，被人非法利用，則會給信息主體帶去危險甚至是災難。

酒店掌握的客人信息（包括身份證號碼、電話號碼、開房記錄）、 打車軟件掌握的客人的信息（包括手機號、行程路線等）、貸款人在銀行登記的更為詳細的信息泄露，使得人們的隱私暴露在危險之中。

商場、地鐵、酒店、學校、公交車、出租車、小區、電梯、機場、銀行、餐廳，生活中絕大部分場景，基本都安裝了攝像頭，只要進入這些場所，人們的臉就會被拍下來，戴著口罩和帽子也都可能被識別出身份。 可以說，在無處不在的攝像頭下，人們無所遁形。 在這些“電子眼”的注視下，人們的活動軌跡可以被一清二楚地還原出來，毫無隱私可言。

去餐廳吃飯，有時會被要求掃碼點餐；下載一款App，可能也被要求開放一堆權限，比如授權打開相冊、通訊錄、定位跟蹤等。大數據殺熟也是被詬病的一個問題，有的商家在獲取到顧客信息后，會對顧客進行篩選、分層，然后根據消費能力區別收費，對于常客、回頭客，不僅沒有優惠，反倒是趁機宰客殺熟，典型的看人下菜碟。

相信很多人都收到過垃圾短信，如各式各樣的網站、商家發送的廣告，有的甚至是騙子的誘餌。 經常聽到這樣的報道，騙子在掌握受害人個人信息后，冒充家屬、公檢法等角色給受害人打電話或用其他方式聯系，因為騙子將受害人的個人情況說得一點不錯，所以能夠使受害人深信不疑，從而被騙取財物，有的受害人因此傾家蕩產。

人們苦信息泄露、信息被不當處理久矣。

2021 年 8 月 20 日，《中華人民共和國個人信息保護法》 經第13 次全國人大常委會第30 次會議通過，并將于 2021 年 11 月 1 日起施行。 該法的施行，將對個人信息權益的保護、個人信息處理活動的規范起到作用。本文對個人信息保護的幾個問題進行解讀。

1 個人信息處理的范圍

根據 《個人信息保護法》第4 條，個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。

基本包括了個人信息從產生到完結，從原始形態到加工形態， 從靜態存儲到動態轉運，從非公開化到公開化的完整流程。

2 個人信息處理應當限于實現處理目的的最小范圍

《個人信息保護法》明確了信息處理的必要性和限度。信息的收集要有明確的、合法的、正當的目的，禁止過度收集個人信息，一旦實現處理目的則必須停止收集的范圍。

根據這個要求，在涉及到處理者處理信息的合法性問題時，處理者就負有證明自己處理目的的合理性、必要性，處理方式的必要性，處理范圍并沒有隨意擴大的證明責任。

3 非經個人同意或者法律規定，不得處理個人信息

個人信息屬于自然人的個人權益，一般情況下，處理個人信息只需本人同意即可。 而以下5 種情形下則不需個人同意。 一是個人作為合同的一方當事人， 那么合同的訂立和履行就必須明確合同主體的身份， 個人信息權益不得不讓渡。 二是為履行法定義務和法定職責必須要處理個人信息的情況。 如負有維護公共安全職責的公職人員， 為實現維護公共安全的目的， 有必要對有關個人信息進行處理。此時，則不需取得個人同意。 三是情況緊急時無需取得個人同意， 包括突發公共衛生事件， 自然人生命健康和財產安全遭遇緊迫威脅等。 四是關于新聞媒體， 為維護公共利益需進行新聞報道或輿論監督時， 在合理范圍內可不經個人同意處理個人信息。 五是在處理已經合法公開的個人信息， 或個人自行公開的個人信息時，無需再取得同意。

4 個人同意處理， 也有權撤回其同意

在需要個人同意才能處理其信息的場合，個人同意應當基于充分的知情權，并在自愿情況下明確作出意思表示。為避免侵犯個人信息權益，對于信息處理者而言，就有必要明確告知個人信息處理的目的、 處理方式、處理范圍等， 并取得個人的同意，要么是書面同意，多表現為個人簽字確認， 要么是口頭明確同意，多表現為錄音錄像。

個人同意處理信息，也有權撤回其同意；個人信息處理的目的、方式、種類發生變化，應當重新取得個人同意。

5 信息處理者不得因個人拒絕和撤回同意而不提供產品或者服務

如果拒絕提供個人信息并不導致處理者無法提供產品或者服務， 則說明收集處理個人信息并非必要， 此時如果個人拒絕同意或者撤回同意， 處理者也不能因此而拒絕提供產品或者服務。 比如去餐廳吃飯、去影院看電影，個人可拒絕提供信息， 并理直氣壯地要求提供產品或者服務。

6 大數據殺熟違法

為解決大數據殺熟的問題，《個人信息保護法》 第24 條有專門規定 “個人信息處理者利用個人信息進行自動化決策， 應當保證決策的透明度和結果公平、公正， 不得對個人在交易價格等交易條件上實行不合理的差別待遇。”所謂自動化決策，是指“通過計算機程序自動分析、 評估個人的行為習慣、興趣愛好或者經濟、健康、信用狀況等，并進行決策的活動。”處理個人信息侵害個人信息權益并造成損害的， 個人信息處理者對自己是否有過錯負有舉證責任，不能“自證清白”的，應當承擔損害賠償等侵權責任。 如果違反《治安管理法》，會受到治安管理行政處罰，如果構成犯罪，還將追究刑事責任。

7 敏感個人信息處理有更嚴格的要求

信息泄露或被非法使用，會導致人格尊嚴、人身、財產安全等受到危害。那么，這樣的信息就是敏感個人信息。包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿14 周歲未成年人的個人信息。在處理敏感個人信息時， 必須有特定的目的、有充分的必要、有嚴格的保護措施， 并取得個人的單獨同意。 處理信息會對個人權益造成什么影響，應當對個人披露。處理未成年人個人信息的， 應當取得其父母或監護人同意。

8 個人的權利

在個人信息被處理的過程中，個人有知情權、決定權，有查閱、復制、更正、補充、刪除個人信息，要求處理者對處理規則解釋等權利。 如果處理者拒絕，個人可以依法起訴。