据中国互联网络信息中心统计报告,截至2021年6月,我国网民总体规模超过10亿,网站数量和App数量分别超过422万个和302万款。在信息化时代,个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。对个性化推送、大数据杀熟等为人诟病的现实问题作出针对性规定,让人们对个人信息保护法的施行充满了期待。对于公民个人而言,如何真正实现“我的信息我做主”成为关注焦点。
个人信息收集、处理:我知情,我同意
“我已阅读并同意用户服务协议。”——网上有段子说,这是最大的“谎言”。
动辄万余字的冗长条款,夹杂着各种专业术语和法律名词,颜色浅、字号小、排版密,“让人一看就读不下去”……
能选择不同意吗?若“不同意”,就会被“一言不合玩闪退”。想要使用这款应用,必须“被迫同意”。
据一项调查发现,77.8%的用户在安装App时“很少或从未”阅读过隐私协议,在被调查的150款App中,近三成App存在制造障碍、刻意隐藏和诱导用户略过隐私协议的行为,受访对象对于隐私协议的认可程度处于较低水平。被忽视的用户服务协议和隐私政策条款,常常会为违规或者过量收集个人信息大开方便之门。
随着个人信息保护法的实施,这种“产品方在假装很认真告知,用户在假装阅读并同意”的情况有望迎来重大改变。
“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出”“个人有权撤回其同意”“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务”……在规定“告知—同意”核心规则之时,个人信息保护法特别明确,个人信息处理者在处理个人信息前向个人告知相关事项时,“应当以显著方式、清晰易懂的语言”真实、准确、完整告知,处理包括人脸等在内的敏感个人信息时,必须取得单独同意。
“个人信息的保护长期以来是个薄弱环节,同时又是一个涉及14亿多人民群众的大工程,靠政府、靠机构保护是不够的,更多的是让每个公民举起法律武器,保护好个人的有关信息。”全国人大常委会委员乌日图表示,要大力推动法律的宣传,使大家充分认识到个人在信息保护方面的权利和义务。
“个人要提升个人信息保护素养,不要轻易把自己的个人信息交给那些来路不明的App。”对外经贸大学数字经济与法律创新研究中心执行主任许可提醒,个人可以积极行使个人信息保护法规定的查阅权、复制权、更正权、删除权等一系列权利,及时了解、把握自己的个人信息收集和处理情况。
对手机应用过分索权,理直气壮说“不”
通讯录、相册、摄像头、麦克风……如今下载运行一个App,要多次点击“同意”“允许”。这些赋权真是必要的吗?
长期以来,手机App过度索权问题屡禁不止。我国曾相继出台《信息安全技术个人信息安全规范》和《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》等文件,对App超范围收集、强制授权、过度索权等个人信息安全问题作了明确规定,国家网信办、工信部等部门也多次公开过度收集个人信息App名单并责令整改。不过,众多产品轻视法规、打擦边球等情况仍广泛存在。
“说句不好听的话,现在是既怕贼偷又怕贼惦记。我们很多信息和秘密都存在手机里,这么多应用却能想看就看,感觉很没有安全感。”北京石景山的李女士最近刚换了新手机,她的担忧将随着个人信息保护法的实施迎来转机。
处理个人信息应当“遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息”“具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式”;收集个人信息应当“限于实现处理目的的最小范围,不得过度收集个人信息”“遵循公开、透明原则,公开个人信息处理规则”……在对应用程序收集、处理个人信息行为作出明确规范之外,个人信息保护法还规定了违法行为惩处规则,对违法处理个人信息的应用程序,最高可处5000万元罚款。
“随着个人信息保护法的施行,相关执法有了更加明确的法律依据。”北京大学法学院教授薛军表示。
谁来定义、如何定义“必需”
安装图像处理程序,要提供地理位置信息;下载文字编辑App,需获取通讯录权限;在公共场所毫不知情时,人脸信息可能被记录……有人说,对于生活在信息化时代的人们,这是一个最好的时代,也是一个最坏的时代——面对疫情防控形势,可以“一码走天下”,犯罪嫌疑人在联网人脸识别系统下无所遁形;但人们在享受数据带来便利的同时,也对信息收集处理的尺度、界限有着高度的敏感。
按照相关规定,App收集处理用户信息应该遵循“收所必需、用所必需”的基本准则,所收集、处理的信息应该处于“必需”,且在合理的时间段、规定的业务范围内被正当使用。
个人信息保护法第16条规定:个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
“这里的‘必需’怎么认定?由谁来确定?这就很关键了。”全国人大常委会委员彭勃表示:“现在人民群众对于个人信息保护反映最大的,就是个人信息处理者过度采集和占有公民个人信息。某种意义上来讲,我们制定这个法恰恰就是为了约束这个。要对供应和服务运营商、信息处理者进行严格、科学的约束和规范。”
许可表示,这里的“必需”条款,源自个人信息处理的最小必要原则。“提供产品或服务所必需”,必须从用户和企业两方来看,不能只看单方面的企业观点,也不能只看单方面的用户观点,而是要通过双方的合意来判断。
根据个人信息保护法第26条规定,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需。全国人大常委会委员李巍观察到,实践中一些社区、银行、商店并不是完全按照这个规定,“或者说是以假借维护公共安全为目的,设置很多人脸识别等生物识别手段”,他建议采取措施防止滥用和扩大图像采集、人脸识别等手段。
许可表示,“为维护公共安全所必需”应当遵循行政法上的比例原则。“为了维护公共安全而处理个人的敏感信息,特别是人脸信息,应当遵循其必要性。即是为了实现特定的公共目的之必要,不能超出维护公共安全目的”。