《个人信息保护法》正式实施
发布时间 2021-11-012021年11月1日《中华人民共和国个人信息保护法》正式实施,与《民法典》、《网络安全法》、《数据安全法》等法律共同编织成一张个人信息的“保护网”。
个人信息保护法的实施,对网络生活有怎样的影响?对个人信息保护有哪些支持保障?广东人“明仔”现身说法,结合他的经历和境遇,对照相关法条内容,分享了几个重点案例。
任何人不得非法收集使用他人个人信息
今年4月21日,明仔在《羊城晚报》上看到一则报道:从2020年6月起,蒋某、巫某、彭某、王某、刘某在广州市尖彭路某公寓A1115房,由蒋某担任老板,向他人购买58同城网站的账号,由刘某、王某使用上述账号在58同城网站上发布大量虚假招聘信息收集应聘者的公民个人信息,再由蒋某、巫某、彭某将刘某、王某二人所收集的公民个人信息贩卖给他人牟利。经审计,蒋某等人非法获取、销售的公民个人信息(含姓名和电话号码)数量合计42790条。
他发现,广州市白云区人民法院是这样判的:法院认为,被告人蒋某等五人违反国家法律规定,结伙非法获取、出售公民个人信息,情节严重,已构成侵犯公民个人信息罪,其中蒋某是主犯,其余四人系从犯。法院依法判处蒋某有期徒刑二年,并处罚金三万元;其余被告人有期徒刑一年二个月至十个月不等,并处罚金。
■法律规定 个人信息保护法第10条规定:任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。
六种情形处理个人信息不需取得个人同意
明仔的朋友开了一家企业,偷偷摸摸进行违法经营。后来,一家媒体曝光该企业的违法行为,在报道中公开了企业名称以及法定代表人(即明仔的朋友)姓名、性别、名下开办企业情况。明仔的朋友认为,媒体的报道侵犯了其个人信息合法权利。那么,依据个人信息保护法,媒体的行为是否违规?
■法律规定 个人信息保护法第13条规定:符合下列情形之一的,个人信息处理者方可处理个人信息——
(一)取得个人的同意;
(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
(三)为履行法定职责或者法定义务所必需;
(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
(七)法律、行政法规规定的其他情形。依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。
个人信息收集者不得过度收集个人信息
生活中,明仔下载了很多不同类型的APP。但他发现,有的APP在注册页面设置成“不同意其格式条款”就无法进入“下一步”。明仔表示,这些格式条款中有些规定很过分,且与其使用APP的目的无关,比如要求用户授权查看通讯录等,实在不想“同意”。
■法律规定 个人信息保护法第6条规定:处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
第16条规定:个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
不得在交易价格等方面实行不合理的差别待遇
近年来,明仔频频看到“大数据杀熟”的相关新闻。明仔举例说,此前,家住北京的周女士暑假准备带家人到海南旅行。为节省开支,周女士提前一个月开始通过某在线旅游平台关注航班动态和价格信息。令她没想到的是,自己的精心策划竟然被平台大数据“盯”上了。
“机票第一次搜是一个价格,过一段时间再搜价格就涨了。”周女士表示,最后订单票价比初次搜索票价高了近1000元,但朋友在同一天订到的同航班价格却比自己低几百元。即使考虑机票余量导致价格变动等因素,自己“显然也是被大数据狠狠‘宰’了一刀”。
■法律规定 个人信息保护法第24条规定:个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
公共场所“刷脸”收集的个人信息不得另作他用
明仔上班时,需要“刷脸”才能通过公司所在大厦的闸门。平时游览一些景点时,他也被要求“刷脸”识别。他很奇怪:个人信息保护法对这些公共场所个人“人脸”信息的处理有没有规定?
■法律规定 个人信息保护法第26条规定:在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
处理敏感个人信息应取得个人单独同意
明仔的孩子在上幼儿园,他经常在幼儿园附近看到一些兴趣培训机构招揽顾客,有的兴趣培训机构让父母登记个人信息以及小孩的身份信息等,只要登记就送礼品。明仔认为,登记小孩信息过于详细,不妥。
■法律规定 个人信息保护法第28条规定:敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
该法还规定:处理敏感个人信息应当取得个人的单独同意,法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
第31条规定:个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意;处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。
中国电子信息产业发展研究院网络安全所所长刘权表示,个人信息保护法为个人权益的保护构建了基本法律框架,也为相关个人信息处理者提供了具体的合规指引,标志着我国个人信息保护迈出了具有里程碑意义的一步,进一步完善了我国在数据领域的立法体系。
中南财经政法大学数字经济研究院执行院长盘和林表示,个人信息保护法明确了个人信息的权属权益,未来互联网平台利用个人信息需要从用户获取授权,也将在使用、存储过程中承担更多信息保护的责任。
从静态来说,《个人信息保护法》是在保护个人信息,但是从动态和实际看,它已经不再是单单的一个保护性法律,而将演变成平台监管的一个工具,实际上将促使平台更加合规,对平台的无序发展进行规制,从而保护数字经济整体的健康发展。
信息保护与合理利用并不冲突,两者之间存在着互相促进的关系。信息保护是合理利用的前提条件,合理利用是信息保护的最终目的。