个人信息保护法今天(11月1日)开始实施。近年来,随着大数据等技术的发展,给人们带来便利化服务的同时,随意收集、违法获取、过度使用、非法买卖个人信息的现象也十分突出,个人信息保护成为大家非常关心的问题。我国首部个人信息保护方面的专门法律个人信息保护法,明确个人信息保护的监管职责,并设置严格的法律责任。
收集用户数据要事前充分告知 取得同意
法律确立了个人信息处理应遵循的原则,明确:处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
针对一些网络平台擅自收集用户数据现象,法律确立以“告知-同意”为核心的个人信息处理一系列规则,个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言,真实、准确、完整地将个人信息处理者的名称或者姓名和联系方式;个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;个人行使本法规定权利的方式和程序等事项向个人告知。
不得以个人不同意为由拒绝提供产品或服务
法律规定,基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。
个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
公共场所图像采集只能用于维护公共安全
针对人脸识别等技术问题,法律作出了规范。法律规定,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
对“大数据杀熟”作出专门规范
在网上订票、订酒店或者打车的时候,有时会遇到这样的情况,同样的商品或服务,老用户看到的价格反而比新用户要贵出许多,有些多次浏览页面的用户还可能遇到价格上涨的情况,这种通过大数据构建用户画像,利用信息优势“杀熟”的现象屡见不鲜,个人信息保护法对利用个人信息进行自动化决策作出了专门规范。
个人信息保护法对自动化决策的概念作出界定,是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。
个人信息保护法要求,个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
对处理敏感个人信息作出严格限制
对于个人金融账户、行踪轨迹等敏感信息的使用,个人信息保护法专门设立一节,对处理敏感个人信息作出严格限制,并明确了敏感个人信息的定义。
敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
中国人民大学法学院教授 张新宝:敏感信息原则上是不能收集的,不能处理的,所以以不能收集不能处理为原则,只有在特定的极其必要的情况下,才可以进行收集和处理。第二层的规定说你要单独的同意,比如说要收集(某人)过去三年的医疗信息,(个人信息处理者)必须要单独提出来,而且要讲清楚收集的理由是什么,然后(被收集者)来单独决定同意或者是不同意。第三就是要进行严格的安全保护,不能够泄露(敏感信息)。
加大处罚力度 提高罚款上限
为了确保法律规定的各项要求落到实处,个人信息保护法对违法处理个人信息行为设置了严格的法律责任,加大惩处力度。
个人信息保护法规定,违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
中国人民大学法学院教授 张新宝:除了行政法律责任以外,还规定了民事责任,那么受害人可以向人民法院提起诉讼,请求侵权的个人信息处理者承担损害赔偿责任。法律规定一类新的公益诉讼,也就是人民检察院和网信部门确认的机构组织,可以对有关侵害多数人的个人信息,违法处理个人信息的个人信息处理者提起公益诉讼。严重侵害个人信息造成严重后果的要承担刑事责任,包括单位和个人的刑事责任。
(来源:央视新闻客户端)
