个人信息保护法草案8月17日提请全国人大常委会会议第三次审议。与此前的草案二审稿相比,草案三审稿进一步回应社会关切,对应用程序过度收集个人信息等问题作出更具针对性的规定,对不满十四周岁未成年人的个人信息作出特别保护等。
限制过度收集用户个人信息
注册会员却被要求填写生日、籍贯、学历等与服务无关的个人信息……近年来,过度收集用户信息问题频频引发质疑。
草案三审稿规定,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围。
针对个人信息泄露的隐患,草案三审稿增加规定,任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
中国电子技术标准化研究院网安中心测评实验室副主任何延哲表示,从技术角度看,非法收集个人信息容易被识别,非法使用个人信息可能更难被察觉。
“百姓日常生活与网络平台紧密相连,向平台提供个人信息的情况日益普遍。这些个人信息如果被过度收集,或者存储、使用不善,将会侵害用户权益。因此,下一步的立法重点应围绕加强对个人信息使用的监管作出完善。”何延哲说。
不得向用户强制推送个性化广告
搜索过一个商品,接着就会收到很多类似广告的推送……近年来,一些平台利用大数据进行用户画像推送个性化广告,困扰公众日常生活。
草案三审稿明确,个人信息处理者通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供拒绝的方式。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求予以说明,并有权拒绝仅通过自动化决策的方式作出决定。
“自动化决策应当遵守个人信息处理的一般规则,包括应遵循合法、正当、必要、诚信原则,目的明确和最小化处理原则以及公开透明原则等。”全国人大常委会法工委发言人臧铁伟表示,用户画像、算法推荐等自动化决策,应当在充分告知个人信息处理相关事项的前提下取得个人同意,不得以个人不同意为由拒绝提供产品或者服务。
草案三审稿还规定,履行个人信息保护职责的部门应当组织对应用程序等个人信息保护情况进行测评、公布测评结果,对违法处理个人信息的应用程序,责令暂停或者终止提供服务。
将未成年人个人信息列为敏感个人信息
网络暴力、网络欺诈……随着互联网的不断普及,侵害青少年个人信息合法权益的问题屡有发生。草案三审稿将不满十四周岁未成年人的个人信息作为敏感个人信息,并要求个人信息处理者对此制定专门的个人信息处理规则。
中国信息安全研究院副院长左晓栋说,十四周岁以下的未成年人不具备完全民事行为能力,将这部分群体的个人信息单列为敏感个人信息进行更高等级的保护完全必要。
此外,一些平台的主要用户就是低龄未成年人,有的平台设置了令人眼花缭乱的消费陷阱,让涉世未深的青少年频频“中招”。
左晓栋认为,草案三审稿要求个人信息处理者对不满十四周岁未成年人的个人信息制定专门的处理规则,其本质是限制某些平台利用未成年人非法牟利,要求相关平台切实履行相应社会责任。“现在有的平台已经禁止未成年用户充值或‘打赏’,这就是专门针对未成年人制定个人信息处理规则的一种体现。”
明确逝者个人信息保护规则
一个人去世后,其他人有权利处置其生前使用的网络账号吗?近年来,关于这类问题的纠纷逐渐增多。
草案三审稿明确,自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。
世辉律师事务所合伙人王新锐认为,该条款首先意味着近亲属行使死者个人信息的权利不是随意的,同样要遵守合法、正当的原则;其次,条款体现了对死者生前意愿的尊重,鼓励自然人生前认真安排自己的个人信息。
“修改后的条款一方面支持近亲属维权,另一方面也防止该权利被滥用,尤其是因家庭内部出现矛盾而导致违背死者生前意愿的情况发生。”王新锐说。
健全投诉、举报机制
当前,个人信息保护面临维权渠道窄、成本高、处罚侵权力度不够等问题,制约着用户的维权意愿。草案三审稿进一步压实各方责任,加强有关部门查处案件的协调配合。
草案三审稿明确,国家网信部门统筹协调有关部门完善个人信息保护投诉、举报工作机制;履行个人信息保护职责的部门发现违法处理个人信息涉嫌犯罪的,应当及时移送公安机关依法处理;对有关责任人员可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人等职务。
清华大学法学院教授劳东燕认为,草案三审稿要求收到投诉、举报的部门及时将处理结果告知投诉、举报人,这将让相关机制能够良性运转;同时,明确在涉个人信息的违法行为中追究有关责任人员的法律责任,将相关人员的职业生涯与个人信息保护工作“绑定”,这将让相关人员在处理个人信息时更加谨慎。