即將施行的《個人資訊保護法》禁止大資料“殺熟”、不能過度收集資訊、明確網際網路企業責任義務

向侵害個人資訊保安說不

“之前在市裡分別打車，相同的起點和終點，因為手機型號不同，我和朋友的車費就不一樣。”湖南長沙的李女士覺得很奇怪，後來才知道這叫大資料“殺熟”。除此之外，不點選“同意”就無法使用APP，騷擾電話隔三岔五打來也讓她不堪其擾。移動網際網路方便了生活，但個人資訊卻暴露無遺。“這些早就該整治了。”李女士說。

今年11月1日，《中華人民共和國個人資訊保護法》（以下簡稱《個人資訊保護法》）將正式施行。這部保護個人資訊的專門法律，迴應了社會上諸多熱點話題。比如明確禁止大資料“殺熟”行為、加強敏感個人資訊保護等，中國個人資訊保護將掀開新篇章。那麼，這部法律將如何保護我們的個人資訊？今後個人資訊能否真正由自己做主？

一部亮點多多的法律

“我和朋友在同一時段購買相同品牌的衣服，由於朋友經常網購比較貴的商品，結果他沒有收到優惠資訊，價格比我高出幾十元。”對於大資料“殺熟”，上海的楊先生向記者講述了他的經歷。

“前幾天我打算買輛摩托車，先在網站上搜索了相關配件、型號，此後電商平臺就開始給我推薦相關產品，開啟影片APP也能看到類似的推薦。”在健身房工作的徐先生感覺自己被不同的APP給“綁架”了，很想取消這些個性化推薦。

大學生小歡喜歡上網，手機通訊錄莫名被一些APP讀取，不斷向她推薦通訊錄好友的社交賬號。“我不太喜歡這種感覺，希望自己的社交賬號私密一些，APP這種行為違背了我的個人意願。”

在採訪中，受訪者有著各種各樣個人資訊被洩露的經歷，這也從側面說明個人資訊保護刻不容緩。之前，使用者對如何保護個人資訊往往束手無策，社會各界也期待有一部專門的法律來約束和規範個人資訊的採集和保護。

“個人資訊是資訊時代的‘石油’，誰掌握了資訊，誰就掌握了智慧時代的‘按鈕’。個人資訊不僅是財產問題，還涉及到國家社會、經濟安全、數字經濟社會發展等重要問題，再加上當前個人資訊的收集廣度與深度前所未有地加強，亟須制定專門的資訊保護法。與此同時，在國際上，歐盟、美國都出臺了相關的法律，《個人資訊保護法》的制定也是適應個人資訊跨境流動、個人資訊國際合作保護的需要。”中南大學法學院院長許中緣說。

針對社會上熱議的許多現象，《個人資訊保護法》作出了迴應。如第二十四條規定直指大資料“殺熟”：“個人資訊處理者利用個人資訊進行自動化決策，應當保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇”。

此外，法律還加強了對包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡在內的敏感資訊保護，併為不滿14週歲未成年人資訊制定專門的個人資訊處理規則，相關條款對過去個人資訊保護實踐中存在問題的領域進行了重點回應。

《個人資訊保護法》充分確立了以人民為中心的個人資訊保護理念與法治規則，使人民群眾在數字社會中的權利得到了充分尊重、實現與保護。“這是繼《網路安全法》《民法典》《資料安全法》頒佈後，就個人資訊的收集、儲存、使用、加工、傳輸、提供、公開、刪除等確立的全面保護規則。”許中緣表示，這樣一部保護個人資訊的基礎性法律，完善了我國在網路安全和資料保護領域的頂層設計。

可以說，這部法律亮點多多。

“告知-同意”是核心規則

被APP強制要求同意條款的事例數不勝數，網路上對這一行為多有詬病。

“家裡準備買車，為此我提前下載了購車相關的APP，完成註冊需要收集個人電話、家庭住址、購買意願等。之後小半年時間裡，我不斷收到騷擾電話，對方明確說出了我的家庭住址、是否需要哪一款車等。”過度收集個人資訊、資訊洩露讓福建泉州的陳女士不堪其擾。

有的使用者對使用者協議表示疑惑。“在下載APP時，為了使用功能，直接對彈出的服務協議點選‘同意’。”小歡抱怨說，“雖然協議表述清楚，但最後往往會加上一句‘需要您的同意’，不同意就會強制退出應用。”

此前個人資訊被採集之後，往往不知道資訊的流向，“單向告知”成為常態。這一現象得到《個人資訊保護法》充分重視。

“《個人資訊保護法》共74個條款，其中有10多個條款單獨或同時出現了‘告知’‘同意’字樣，約佔全部條款的20%”。中央黨校（國家行政學院）政法部教授劉銳告訴記者，雖然有不少條款沒有“告知”“同意”字樣，但體現了“告知-同意”規則的精神，“這一規則充分彰顯了《個人資訊保護法》‘保護個人資訊權益，規範個人資訊處理活動’的基本宗旨。”

在《個人資訊保護法》中，眾多條款都將“同意”作為基本前提。如第十三條列舉的可以處理個人資訊的情形中，“取得個人的同意”放在第一位；第十四條規定，“基於個人同意處理個人資訊的，該同意應當由個人在充分知情的前提下自願、明確作出”；第二十九條規定，“處理敏感個人資訊應當取得個人的單獨同意；法律、行政法規規定處理敏感個人資訊應當取得書面同意的，從其規定”等。

劉銳表示，將“告知-同意”確定為個人資訊處理的基本規則，是個人對個人資訊處理享有知情權、決定權的必然要求。“也就是說，要保證個人對資訊處理‘充分知情’，就應該以顯著的方式、清晰易懂的語言讓個人知道誰在處理他的資訊、資訊被怎樣處理、可能對他造成何種影響，以及怎麼要求更正、查詢、刪除個人資訊等。”

上海市海華永泰律師事務所付國峰律師表示，《個人資訊保護法》確立的“告知-同意”核心規則，規定了侵犯公民資訊的法律責任，對個人敏感資訊和未成年人資訊的保護更加嚴格，這將成為個人資訊保護乃至捍衛公民權利的新篇章。

共同發力確保法律落到實處

當被問到是否打算維權，曾被大資料“殺熟”的李女士有些猶豫，“想過，但打官司、收集證據和材料，一套流程走下來比較耽誤時間。”更現實的是，眾多網際網路使用者對個人資訊權益的保護不夠重視，只要沒有涉及財產損失，很少有人會去較真。

“以往的大資料‘殺熟’案件中，往往存在定性難、解決難、維權難的問題。而《個人資訊保護法》的出臺將會改變這種局面。這部法律是對公民權利保護的升級，使個人資訊保護工作真正有法可依。”付國峰說。

過去，維權面臨的第一大難題是沒有專門的法律。《個人資訊保護法》出臺和實施後，需要鼓勵網際網路使用者學會維權並敢於維權。要讓全社會了解法律的意義和條款，需要加強普法教育。對此，許中緣建議，個人資訊保護機構應遵循“誰執法、誰普法”的要求，增強民眾對個人資訊權利的認知，開展個人資訊保護宣傳教育，指導、監督個人資訊處理者開展個人資訊保護工作。

值得注意的是，《個人資訊保護法》明確規定了多種侵害公民個人資訊權的行政處罰，包括對應用程式和其負責人的處罰；既包括責令改正、給予警告、沒收違法所得、責令暫停或者終止服務，也包括罰款。其中針對個人的罰款，根據情節處以1萬至100萬元不等；針對企業的罰款，情節嚴重的將處以5000萬元以下或上一年度營業額5%以下的罰款。

“法律的生命在於實施。這部法律規定了不少執法細則，有些處罰措施非常嚴厲但自由裁量空間比較大，這就要求執法既要嚴格，也要規範公正文明。”劉銳表示。

此外，保護個人資訊離不開網際網路企業和平臺的支援與配合。《個人資訊保護法》對大型網際網路平臺設定了特別的個人資訊保護義務，如定期釋出個人資訊保護社會責任報告、接受社會監督等。位元組跳動相關負責人在接受採訪時表示，旗下相關APP已經進行系統升級，為使用者提供了更明確的個性化推送關閉選擇；後續也會繼續最佳化產品功能，不斷提高使用者資訊保護水平。

許中緣表示，履行個人資訊保護職責的部門要根據《個人資訊保護法》指導網際網路企業建立個人資訊採集、傳輸、儲存、共享、出境等各個環節的合規體系。

在採訪中，專家學者、受訪者以及網友都表達出對這部法律的期待，希望能從根本上改變目前個人資訊過度收集、洩露的亂象。

“《個人資訊保護法》的出臺是一件大好事，但未來個人資訊保護的配套制度建設和法律完善任務依然不輕。”劉銳說。

龔文靜