個人資訊保護法出爐 企業處理個人資訊被劃定紅線

　　《中華人民共和國個人資訊保護法》出爐，對過度收集個人資訊、自動化決策差異化定價等問題作出針對性規範——

　　企業處理個人資訊被劃定紅線

　　閱讀提示

　　在資訊化時代，個人資訊保護已成為廣大人民群眾最關心最直接最現實的利益問題之一。8月20日，十三屆全國人大常委會第三十次會議通過了個人資訊保護法。個人資訊保護法進一步細化、完善個人資訊保護應遵循的原則和個人資訊處理規則，明確個人資訊處理活動中的權利義務邊界，給企業處理個人資訊活動劃定紅線。

　　據統計，截至去年年底，我國網際網路用戶已達9.89億，網際網路網站和應用程式數量分別超過440萬個和340萬個。一些企業、機構甚至個人，隨意收集、違法獲取、過度使用、非法買賣個人資訊，利用個人資訊侵擾人民群眾生活安寧、危害人民群眾生命健康和財産安全等問題突出。

　　經過三次審議，8月20日，第十三屆全國人大常委會第三十次會議正式通過了個人資訊保護法，該法將於2021年11月1日起施行。個人資訊保護法進一步細化、完善個人資訊保護應遵循的原則和個人資訊處理規則，明確個人資訊處理活動中的權利義務邊界，給企業處理個人資訊活動劃定紅線。

　　“告知-同意”是核心規則

　　長期以來，應用程式過度收集個人資訊問題是社會關注的一大焦點。在實踐中，網際網路企業推出的App通常以勾選“隱私協議”來獲取用戶所有授權，用戶經常面臨著“不同意即不可用”的困境。

　　個人資訊保護法確立了個人資訊處理應遵循的原則，強調處理個人資訊應當遵循合法、正當、必要和誠信原則，具有明確、合理的目的並與處理目的直接相關，採取對個人權益影響最小的方式，限于實現處理目的的最小範圍，公開處理規則，保證資訊品質，採取安全保護措施等。

　　“這些原則應當貫穿于個人資訊處理的全過程、各環節。”8月20日，全國人大常委會法工委經濟法室副主任楊合慶對個人資訊保護法進行解讀時説。

　　個人資訊保護法緊緊圍繞規範個人資訊處理活動、保障個人資訊權益來構建個人資訊保護法律制度。“‘告知-同意’是法律確立的個人資訊保護核心規則，是保障個人對其個人資訊處理知情權和決定權的重要手段。”楊合慶説。

　　個人資訊保護法要求，處理個人資訊應當在事先充分告知的前提下取得個人同意，個人資訊處理的重要事項發生變更的，應當重新向個人告知並取得同意。

　　北京大學法學院教授薛軍表示，這種同意是建立在告知基礎上的有效同意，包括“單獨同意”“書面同意”，“同意”後還可“撤回”。這充分體現了立法認可個人資訊受到法律保護。

　　強調禁止“大數據殺熟”

　　當前，越來越多的企業利用大數據分析、評估消費者的個人特徵用於商業行銷。其中有一些企業通過掌握消費者的經濟狀況、消費習慣、對價格的敏感程度等資訊，對消費者在交易價格等方面實行歧視性的差別待遇，誤導、欺詐消費者，其中最典型的就是社會反映突出的“大數據殺熟”。

　　“‘大數據殺熟’行為違反了誠實信用原則，侵犯了消費者權益保護法規定的消費者享有公平交易條件的權利，應當在法律上予以禁止。”楊合慶説。

　　對此，個人資訊保護法明確規定：個人資訊處理者利用個人資訊進行自動化決策，應當保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。

　　一方面，經營者應當按照法律規定，遵循公開、公平、公正的原則設定演算法模型、制定自動化決策的規則，不得對消費者實行歧視性的不公平的差別待遇；另一方面，個人資訊處理者應當保障消費者的知情權和選擇權，向個人進行資訊推送、商業行銷時，應當同時提供不針對其個人特徵的選項，或者向個人提供便捷的拒絕方式。

　　嚴格保護個人敏感資訊

　　值得關注的是，個人資訊保護法將生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等資訊，以及不滿十四週歲未成年人的個人資訊列為敏感個人資訊。

　　“這主要考慮到此類資訊一旦洩露或者被非法使用，極易導致自然人的人格尊嚴受到侵害或者人身、財産安全受到危害，對處理敏感個人資訊的活動應當作出更加嚴格的限制。”楊合慶説。

　　對此，個人資訊保護法要求只有在具有特定的目的和充分的必要性，並採取嚴格保護措施的情形下，方可處理敏感個人資訊，同時應當事前進行影響評估，並向個人告知處理的必要性以及對個人權益的影響。

　　考慮到少年兒童在生理上和心理上尚不成熟，認知能力和控制自己行為的能力都較弱，容易受到資訊推送和商業行銷的誘導，在面對違法處理行為侵害其合法權益時缺乏必要的分辨能力和充分的自我保護能力，為保護未成年人的個人資訊權益和身心健康，個人資訊保護法特別將不滿十四週歲未成年人的個人資訊確定為敏感個人資訊予以嚴格保護。同時，與未成年人保護法有關規定相銜接，個人資訊保護法要求處理不滿十四週歲未成年人個人資訊應當取得未成年人的父母或者其他監護人的同意，並應當對此制定專門的個人資訊處理規則。

　　強化個人資訊處理者義務

　　個人資訊處理者是個人資訊保護的第一責任人。據此，個人資訊保護法強調，個人資訊處理者應當對其個人資訊處理活動負責，並採取必要措施保障所處理的個人資訊的安全，在此基礎上，設專章明確了個人資訊處理者的合規管理和保障個人資訊安全等義務。

　　值得注意的是，個人資訊保護法對大型網路平臺設定了特別的個人資訊保護義務。

　　“在個人資訊處理方面，網際網路平臺為平臺內經營者處理個人資訊提供基礎技術服務、設定基本處理規則，是個人資訊保護的關鍵環節。”楊合慶指出，提供重要網際網路平臺服務、用戶數量巨大、業務類型複雜的個人資訊處理者對平臺內的交易和個人資訊處理活動具有強大的控制力和支配力，因此在個人資訊保護方面應當承擔更多的法律義務。

　　對外經貿大學數字經濟與法律創新研究中心執行主任許可強調，除了國家機關以外，網際網路平臺是目前最大的個人資訊收集者，也是個人資訊保護最重要的市場主體。通過網際網路大型平臺去建立健全個人資訊保護規範，對平臺經營者進行約束，是未來完善個人資訊保護法的重要環節。

　　“個人資訊保護法以嚴密的制度、嚴格的標準、嚴厲的責任，構建了權責明確、保護有效、利用規範的個人資訊處理和保護制度規則。社會各方面應當加強個人資訊保護宣傳教育，提升個人資訊保護法治意識，推動個人資訊保護法落地實施，助力網路強國、數字中國、智慧社會建設。”楊合慶説。

　　記者：盧越