个人信息的“病”不会再任性

2021年8月20日，我国个人信息保护法审议通过，于11月1日施行。这一立法是我国个人信息保护法治的新篇章。该法总结了我国既有的立法经验和实践经验，借鉴了域外的立法经验，强调严格保护个人信息，平衡数据的保护与利用。可以说，个人信息保护法与网络安全法、数据安全法一起，形成我国数字经济法治的三驾马车，共同构建了数字经济的基础性法律制度。个人信息保护法中有哪些亮点与我们生活息息相关？本报记者采访了北京航空航天大学法学院党委书记、教授、博士生导师周友军。

注重个人信息保护与利用的平衡

记者：周教授，请您谈谈个人信息保护法的立法目的是什么？

周友军：个人信息保护法第1条开宗明义地强调了立法目的，包括“保护个人信息权益”和“促进个人信息合理利用”。可见，本法旨在平衡个人信息的保护与个人信息的利用。信息是数字社会的“石油”，法律应当在保护个人信息的基础上推动信息的合理利用，以促进经济社会发展。

该法第4条第1款明确个人信息不包括匿名化处理后的信息，而依据本法第73条规定，“匿名化，是指个人信息经过处理无法识别特定自然人且不能复原的过程。”这就将匿名化的信息排除在“个人信息”的概念之外，其主要意义在于，能有助于数据的利用与流通。

确立了个人信息处理的告知同意规则

记者：如今，网上购物、点餐、购票已成为我们生活的一部分，但每个App都需要填写个人信息，但平台最终如何处理这些信息我们无从知晓。

周友军：告知同意规则是个人信息处理中的核心规则，是保障个人对其个人信息处理知情权和决定权的重要手段。实践中，如何实现告知后同意、如何保证个人作出了真正的同意等问题，是个人信息保护领域的突出问题。

说个案例，2012年10月，原告罗某在被告一家4S店购买小轿车一辆。2014年8月底，被告某保险公司的员工不断向罗某致电推销车辆保险。某保险公司告诉罗某他们是从4S店获取到他的个人信息的。罗某起诉到法院，请求判令某保险公司就其非法获取原告个人信息用于商业销售一事公开赔礼道歉，并判令被告赔偿原告人民币1元的精神损害抚慰金。

个人信息法中的告知同意规则要求，个人信息处理原则上应当得到信息主体的同意，而且，必须是在信息主体被充分告知以后的自愿同意。个人信息保护法首先就强调了信息处理者必须要充分告知，确保个人在充分了解信息处理的情况下作出真正的同意。该法第17条规定，个人信息处理者应当告知的内容包括：个人信息处理者的名称或者姓名和联系方式；个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；个人行使本法规定权利的方式和程序；法律、行政法规规定应当告知的其他事项。这些事项若发生变更，还应当将变更部分告知个人。例如，购物平台要收集、使用消费者的个人信息，就必须告知消费者处理个人信息的目的、方式，保存多长时间，消费者享有哪些权利等。

信息主体的同意原则上应当是自愿的、明确的同意，特殊情况下，法律、行政法规还可以规定，要取得个人信息主体的单独同意或书面同意。例如，敏感个人信息，本法就强调必须取得信息主体的单独同意。还有，基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。例如，具有导航功能的App曾获得消费者授权使用其位置信息，但也应当提供便捷的允许消费者撤回其同意的方式。

该法还规定了个人信息处理中告知同意规则的例外，简单说，就是个人信息处理中不用告知个人同意的情形，包括为履行法定职责或者法定义务所必需。如公安机关为了抓捕犯罪嫌疑人而处理其个人信息；为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需。如为了应对突发的新冠肺炎疫情而处理个人信息；为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息等。

严格保护敏感个人信息

记者：个人信息保护法提到了敏感个人信息，什么是敏感个人信息？

周友军：敏感个人信息是个人信息中的重要类型，即一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。因此，敏感个人信息需要受到特别的保护。个人信息保护法第28条第1款对“敏感个人信息”的内涵作出界定，同时，列举了主要的敏感个人信息类型，即生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等。例如，人脸信息就属于生物识别信息，如果企业安装了人脸识别设备，就要将其作为敏感个人信息来对待。

讲个案例，2017年4月，江苏省苏州市公安局网警支队接苏州某整形美容医院报警称，其客户通过医院官网在线聊天软件咨询整形美容项目的信息被其他整形美容医院盗用。经查，犯罪嫌疑人孙某以其经营的公司为掩护，从网上购买大量医院客户信息，再通过其设立的网站贩卖给全国各地医院牟利。

针对敏感个人信息，个人信息保护法强调，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。这就对敏感个人信息处理的目的提出了特别的要求，而且，要求处理此类信息要采取较之于一般个人信息更严格的保护措施。例如，网约车平台处理了消费者的行踪信息，就应当采取更严格的保护措施，避免信息泄露等。

为了贯彻宪法和未成年人保护法等确立的未成年人利益最大化原则，个人信息保护法将不满14周岁的未成年人的信息作为敏感个人信息对待。与此相对应，处理不满14周岁未成年人的个人信息，必须要征得其父母或者其他监护人的同意。

“大数据杀熟”不能再任性

记者：“大数据杀熟”让大家极为痛恨，对老顾客不仅不优惠，反而利用顾客的消费习惯下狠手。

周友军：随着大数据技术和人工智能技术等的发展，自动化决策越来越多地被运用到商业实践之中。自动化决策，是指运用大数据技术对海量的用户进行持续追踪和信息采集,然后通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。有的企业在进行自动化决策中，对消费者在交易价格等方面实行歧视性的差别待遇，误导、欺诈消费者，出现了“大数据杀熟”的现象。

说个真实的案例，胡女士是携程平台上可享受8.5折优惠价的钻石贵宾客户。2020年7月，她通过携程App订购了某酒店的一间大床房，支付房款2889元。然而，离开酒店时，她偶然发现该房的实际挂牌价仅为1377.63元，胡女士不仅没有享受到星级客户的优惠，反而多支付了一倍的房价。

针对自动化决策引发的社会问题，个人信息保护法第24条强调，个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。而且，通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式，也就是说，“大数据杀熟”不能再任性了。

严格规制人脸识别技术的运用

记者：如今，刷脸进小区、进公司、进车站、进学校的越来越多，这合乎法律规定吗？

周友军：人脸识别技术是借助面部特征进行的人的身份识别的技术。随着现代网络信息技术的发展，尤其是大数据和人工智能技术高速发展，通过在公共场所安装图像采集和个人身份识别设备，可以随时进行人脸识别，这是敏感个人信息处理的活动。

近年来，我国人脸识别被滥用的情形时有发生，社会公众高度关注。杭州野生动物世界事件就与人脸识别有关。2019年4月，郭兵购买了杭州野生动物世界双人年卡，之后园方单方面要求，将原本确认的指纹识别入园方式更改为人脸识别。郭兵认为野生动物世界违约且存在欺诈行为，于2019年10月将其告上法庭。

为了规范人脸识别技术的运用，个人信息保护法规定，在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的，但取得个人单独同意的除外。