“查个菜谱,需要查看手机里的照片?” “看个电影,要允许录制音频?”……长久以来,长期以来,一些APP过度收集个人信息、强制索要用户授权令人深恶痛绝。
8月13日,全国人大常委会法制工作委员会举行记者会,据发言人臧铁伟介绍,个人信息保护法草案三次审议稿拟进一步完善个人信息处理规则,特别是对应用程序(APP)过度收集个人信息、“大数据杀熟”等作出有针对性规范。
8月17日,十三届全国人大常委会第三十次会议将于8月17日至20日在京举行,将第三次审议个人信息保护法草案等多部法律草案。
此前在2020年10月,个人信息保护法草案首次提交首次,2021年4月,全国人大常委会第二十八次会议对个人信息保护法草案进行了二次审议。
“当前,社会各方面对于用户画像、算法推荐等新技术新应用高度关注,对相关产品和服务中存在的信息骚扰、‘大数据杀熟’等问题反映强烈。”臧铁伟介绍,根据各方面意见,草案三审稿拟作六项主要修改,其中包括拟在草案第一条中增加规定“根据宪法”制定本法。在回答记者提问时,臧铁伟还表示,个人信息保护法草案立足于维护广大人民群众的网络空间合法权益,对利用个人信息进行自动化决策作了针对性规范。
此外,该法案还有这几点修改:将不满十四周岁未成年人的个人信息作为敏感个人信息,并要求个人信息处理者对此制定专门的个人信息处理规则;增加个人信息可携带权的规定,完善死者个人信息保护的规定;对完善个人信息保护投诉、举报工作机制及违法处理个人信息涉嫌犯罪案件的移送提出明确要求等等。
完善个人信息处理规则,不得强制推送广告
草案还进一步完善个人信息处理规则,特别是对应用程序(APP)过度收集个人信息、“大数据杀熟”等作出有针对性规范。违规搜集个人信息,这在App应用中尤为常见。今年6月,国家网信办发通告,称有129款App违法违规收集使用个人信息,其中包括Keep、小米运动、腾讯新闻、一点资讯、虎牙直播、腾讯NOW直播等应用。
在现实生活中,我们经常会碰到这样的问题,当我们进入某个应用时,会被要求提供一些信息,否则就不能使用该应用。针对这点,多部门早就联合发布了新规,明确了39类常见应用必要个人信息范围,要求其运营者不得因用户不同意提供非必要个人信息,而拒绝用户使用App基本功能服务。
草案三审稿明确,个人信息处理者通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供拒绝的方式。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求予以说明,并有权拒绝仅通过自动化决策的方式作出决定。
“自动化决策应当遵守个人信息处理的一般规则,包括应遵循合法、正当、必要、诚信原则,目的明确和最小化处理原则以及公开透明原则等。”全国人大常委会法工委发言人臧铁伟表示,用户画像、算法推荐等自动化决策,应当在充分告知个人信息处理相关事项的前提下取得个人同意,不得以个人不同意为由拒绝提供产品或者服务。草案三审稿还规定,履行个人信息保护职责的部门应当组织对应用程序等个人信息保护情况进行测评、公布测评结果,对违法处理个人信息的应用程序,责令暂停或者终止提供服务。
不得强制收集无用个人信息
注册会员却被要求填写生日、籍贯、学历等与服务无关的个人信息……近年来,过度收集用户信息问题频频引发质疑。草案三审稿规定,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围。针对个人信息泄露的隐患,草案三审稿增加规定,任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。中国电子技术标准化研究院网安中心测评实验室副主任何延哲表示,从技术角度看,非法收集个人信息容易被识别,非法使用个人信息可能更难被察觉。“百姓日常生活与网络平台紧密相连,向平台提供个人信息的情况日益普遍。这些个人信息如果被过度收集,或者存储、使用不善,将会侵害用户权益。因此,下一步的立法重点应围绕加强对个人信息使用的监管作出完善。”何延哲说。
对未成年人、逝者信息进行保护
中国信息安全研究院副院长左晓栋说,十四周岁以下的未成年人不具备完全民事行为能力,将这部分群体的个人信息单列为敏感个人信息进行更高等级的保护完全必要。同时,一些平台的主要用户就是低龄未成年人,有的平台设置了令人眼花缭乱的消费陷阱,让涉世未深的青少年频频“中招”。此外,当一个人去世后,其他人有权利处置其生前使用的网络账号吗?近年来,关于这类问题的纠纷逐渐增多。草案三审稿明确,自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。世辉律师事务所合伙人王新锐认为,该条款首先意味着近亲属行使死者个人信息的权利不是随意的,同样要遵守合法、正当的原则;其次,条款体现了对死者生前意愿的尊重,鼓励自然人生前认真安排自己的个人信息。
降低维权门槛,健全投诉、举报机制
当前,个人信息保护面临维权渠道窄、成本高、处罚侵权力度不够等问题,制约着用户的维权意愿。草案三审稿进一步压实各方责任,加强有关部门查处案件的协调配合。草案三审稿明确,国家网信部门统筹协调有关部门完善个人信息保护投诉、举报工作机制;履行个人信息保护职责的部门发现违法处理个人信息涉嫌犯罪的,应当及时移送公安机关依法处理;对有关责任人员可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人等职务。
在上述规则下,草案对自动化决策作出专门规范,要求个人信息处理者保证自动化决策的透明度和结果的公平、公正,不得通过自动化决策对个人在交易价格等交易条件上实行不合理的差别待遇,并在事前进行个人信息保护影响评估。
同时赋予个人充分的权利,要求个人信息处理者通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供拒绝的方式;作出对个人权益有重大影响的决定,个人有权要求予以说明,并有权拒绝仅通过自动化决策的方式作出决定。
