出品 | 网易科技《态℃》栏目组
作者|章剑锋
8月20日,《个人信息保护法》表决通过,将于今年11月正式施行,大数据杀熟、人脸识别、算法推荐、APP信息收集、大型互联网平台监管、信息数据跨境使用等大家关心的议题,均在这部法律中有涉及,通俗讲,它都会管到。随着这部法律的出台,业界有观点认为数字经济野蛮生长的时代将被终结。
人人享有个人信息保护权,这是第一次被法律明确界,随着法律的施行,权责边界的廓清,围绕信息安全的监管,正在步入一个新的轨道。
在《个人信息保护法》出台之际,就大众关注的相关问题,网易科技采访了中国人民大学法学院教授、中国法学会网络与信息法学研究会副会长张新宝。
张教授是国内资深的侵权法、信息法专家,全程参与了《个人信息保护法》的立法工作,为该法起草了专家建议稿。此前,张教授还是中国法学会民法典起草领导小组成员、侵权责任编总召集人,参与了《中华人民共和国民法典》的编纂工作,他也是《侵权责任法》的主要起草人之一。
个保法出台后,住宅小区门禁出入还能强制人脸识别吗?掌握海量用户信息数据的大企业平台怎么监管?APP可以随意收集用户信息吗?针对这些问题,张新宝教授分别进行了专业解读。
以下是采访:
网易科技:《个人信息保护法》中有任何机构和个人均不得过度收集个人信息的表述,“过度”一词,怎么界定?
张新宝:通常被理解为超出处理个人信息的目的以及违反“最小化”原则。
《个人信息保护法》规定收集个人信息,应当限于实现处理目的的最小范围:一方面是指信息处理者不得超出所声称的个人信息处理目的收集个人信息,比如隐秘收集;另一方面也要求信息处理者收集个人信息应当限于实现处理目的的最小范围,不得超出实现个人信息处理目的的必要,比如超出实现业务功能的必要,强制用户提供个人信息。
另外,针对常见类型的App所需必要个人信息范围,中央网信办等四部门已经发布《常见类型移动互联网应用程序必要个人信息范围规定》,未来也会持续推进该工作。
网易科技:《个人信息保护法》出台后,住宅小区的门禁还能不能强制使用人脸识别?
张新宝:这要看人脸识别是否用于公共安全目的。一般说来小区门禁不能强制使用人脸识别,需要有替代措施。
《个人信息保护法》规定,公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,否则应当取得个人单独同意。
因此,小区安装门禁,首先需要判断是否用于公共安全目的;其次,非公共安全目的使用人脸识别门禁,应当征得个人的单独同意后方可使用;另外,即便使用人脸识别门禁,也应当同时提供替代性的门禁方式,从而确保业主作出的同意是自愿而非被迫作出的。
网易科技:法律出台后,APP索取用户个人信息遭到限制,最直接的影响有哪些?
张新宝:法律规定对于敏感个人信息的收集需要特别告知,个人的同意也是“单独同意”,加强了敏感个人信息的保护。
相较于此前国内相关法律法规,《个人信息保护法》明确提出了敏感个人信息的概念和处理规则,对敏感个人信息实行强化保护,包括特定的目的、充分的必要性、严格保护措施、特别告知、单独同意等。质言之,APP索取个人信息比过去会难一些,而且不得因为个人不同意就拒绝服务。
网易科技:对互联网企业的影响是什么样的,比如滴滴等这种大平台,他们掌握了大量的数据,这个怎么处理和管理?
张新宝:法律规定了个人信息处理者的义务,特别是规定了大型平台企业的特别义务。这些企业未来在个人信息保护方面会做得更好一些,同时合规成本也会高一些。
法律规定了处理者对处理的个人信息的安全保护义务,规定了泄露等情况下的法律责任。
网易科技:掌握大量用户数据的公司如果想要海外上市,如何满足数据保护的要求?
张新宝:《个人信息保护法》明确规定,处理个人信息达到国家网信部门规定数量的个人信息处理者,如确需向境外提供个人信息的,应当通过国家网信部门组织的安全评估。
另外,国家网信部门在近期启动了《网络安全审查办法》的修订工作,在《网络安全审查办法(修订草案征求意见稿)》中新增了“掌握超过100万用户个人信息的运营者赴国外上市,必须申报网络安全审查”的规定,同时也将大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险,大量个人信息被国外政府影响、控制、恶意利用的风险,纳入网络安全审查的重点考虑因素,这类公司也应当遵守网络安全审查的相关要求。
网易科技:对互联网大平台的第三方监督(或个人监督),怎么实现?怎么更具操作性?
张新宝:一是个人信息保护主管部门和其他政府部门的日常监管,二是内部合规制度,三是建立有外部人员参与的独立机构的监督。
网易科技:软件服务商经常用很长的条款来说明他们使用了我(个人)的信息,但不同意则无法使用他们的app。很多场景下,用户并不能把条款内容全部看完,构成了一种事实上的“被迫同意”。这种现象在《个人信息保护法》颁布后能否改善?
张新宝:法律对此等行为进行了规范,基本意思是不得拒绝交易,即使个人不同意其处理个人信息,也要提供相应的基本服务。
网易科技:《个人信息保护法》出台后,大数据杀熟需要承担什么样的法律责任?
张新宝:第一,个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
第二,通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
第三,利用大数据杀熟,造成个人损害的,需要承担《个人信息保护法》、《消费者权益保护法》以及《民法典》等法律规定的法律责任。
网易科技:有人提到,《个人信息保护法》对个人信息的可携带权设立,强化了用户自主权,能够有效破除个人信息流通障碍,以用户权益为出发点,形成“用户主导型”个人信息跨平台流通,起到防止个人信息锁定、降低市场准入门槛以及增强平台之间竞争的效果,您怎么看?通俗来讲,什么叫可携带权?
张新宝:这个看法和预期基本上是正确的。所谓“携带权”是指个人将其个人信息从一个存储地点转移到另一个存储地点的权利,比如你将自己的个人信息从“阿里云”携带转移到“百度云”。
网易科技:为什么人脸识别、人工智能技术和自动化决策需要特别引起重视?如果不重视不规范不加约束,会有什么后果?
张新宝:这里面涉及到科技发展和伦理边界的问题,科技越往后发展,它所涉及的伦理层面的问题,权益层面的问题也会凸显,所以需要重视。立法说明中对此有充分的说明,也是人民群众的迫切要求。全国人大法工委之前在立法说明中提出:虽然近年来我国个人信息保护力度不断加大,但在现实生活中,一些企业、机构甚至个人,从商业利益等出发,随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题仍十分突出。在信息化时代,个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。社会各方面广泛呼吁出台专门的个人信息保护法,本届以来,全国人大代表共有340人次提出39件相关议案、建议,全国政协委员共提出相关提案32件。
网易科技:个人信息保护的标准和规则,谁来确定?
张新宝: 法律规定了基本标准和规则,细则和技术标准等,由国家网信部门统筹协调有关部门制定个人信息保护具体规则、标准,以及适用于敏感个人信息、人脸识别等专门的个人信息保护规则、标准,相较于此前各主管部门各自推出个人信息保护规则、标准,《个人信息保护法》强调了国家网信部门的统筹协调职能,有利于规则、标准的统一。
网易科技:很多时候个人是没有能力知道自己的个人信息被平台或设备商收集的,比如使用手机厂商或者某些服务平台提供的产品和服务过程中,没办法知道信息有没有被收集,这种情况,能怎么化解?
张新宝:法律规定了告知同意的基本规则,收集个人信息应当告知并取得个人同意,除非法律另有规定。
这些平台和设备收集个人信息也是需要告知同意的,如果违反相关规定,主管部门会追究其法律责任,个人也可以起诉,甚至检察院等可以提起公益诉讼。
另外,《个人信息保护法》也构建了多方参与的机制,包括社会化服务机构,如支持有关机构开展个人信息保护评估,通过专业机构开展个人信息保护评估,能够对个人信息处理者起到监督约束作用。
《个人信息保护法》也明确,国家网信部门完善个人信息保护投诉、举报工作机制,通过具备专业知识的民众,作为“吹哨人”,为主管部门提供违法违规处理个人信息的线索,强化公民参与和监督。