和骚扰电话、营销短信说再见!11月1日个人信息保护法将正式实施
刘嘉熙告诉记者,我国个人信息滥用问题日趋严重,社会对个人信息保护立法的需求越来越迫切。在此之前,我国的法律中还没有关于个人信息的专门规定,关于个人隐私权保护的规定也显得笼统而模糊,缺乏可操作性。刘嘉熙说:“新出台的个人信息保护法,可以说是保护力度空前。”
开创“撤回同意”制度 禁止过度收集信息
个人信息保护法第十五条规定,基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。“撤回同意”制度是一个新举,刘嘉熙表示,从实际操作中看,过往各主体对于个人信息保护的侧重于“告知、同意”,而对于撤回并无规定。
刘嘉熙说:“这项规定将促使个人信息处理者合法合规、精细化地管理海量用户的同意范围,同时这对个人信息处理者也是个不小的挑战。”刘嘉熙预测,个人信息保护法生效之后,人们在使用APP时,可能会看到“同意”的按钮旁边,增加“撤回同意”按钮。
同时,个人信息保护法对“过度收集信息”也做出了明确禁止,个人信息保护法第六条规定,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。第十六条规定,个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务。
“最小范围”“最小影响”“不得拒绝”,这些词汇都意味着霸王条款已经不再“称霸”,用户不必再担心不签协议就无法使用APP。刘嘉熙举例称,在支付的场景下,用户可以选择密码支付或者刷脸支付,如果用户不希望自己的生物信息被收集,依然可以选择密码支付。
保护敏感个人信息 规范“大数据杀熟”
此外,个人信息保护法专门规定了敏感个人信息的处理规则。敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
刘嘉熙提出,人脸信息就属于敏感个人信息,比如部分小区物业强制要求业主录入人脸信息,并将人脸识别作为出入小区的唯一验证方式,这种行为就违反了“告知同意”原则,是违法的规定。
个人信息保护法规定,个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。刘嘉熙解释,个人信息保护法对“自动化决策”作出专门限制,就是为了规范“大数据杀熟”行为。
10月28日,中国消费者协会发布提示,经营者不能利用自身掌握的消费者经济状况、消费习惯以及对价格的敏感程度等信息,对消费者在交易价格等方面实行歧视性的差别待遇,也不能在未获得消费者授权的情况下通过用户画像来开展精准营销。
信息泄露先要收集证据 违法处理个人信息可能会被终止服务
那么,如果个人信息被泄露,个人应该如何维权?泄露信息的个人信息处理者又将得到哪些处罚?
刘嘉熙表示,个人信息保护法规定,对违法处理个人信息,或者处理个人信息未履行个人信息保护法所规定个人信息保护义务的,可能会被暂停或终止服务,面临大额罚款,以及潜在的市场禁入。对于违法企业直接负责的主管人员和其他直接责任人员,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
刘嘉熙介绍,普通人如果发现个人信息泄露,首先需要收集证据线索。比如,遭遇电话骚扰、邮件骚扰的,需要记下对方的身份、电话号码、邮件地址等信息,有条件的也可以录音录像。在搜集好证据后,及时向相关部门报案,向公安部门、工商部门等相关机构进行投诉举报。刘嘉熙说:“如果信息泄露对个人权益影响过大,建议委托律师维权。”