扫码点餐、電(diàn)商(shāng)購(gòu)物(wù)、使用(yòng)APP……个人信息保护应更规范

共建共治共享良好数字生态

我國(guó)网民(mín)规模庞大，互联网应用(yòng)场景丰富，带来诸多(duō)便利。随着技术的发展和使用(yòng)的深入，从手机APP到深度伪造技术、智能(néng)互联设备，个人信息保护日益成為(wèi)人们关注的焦点，也是数字经济发展必须直面的课题。

11月1日起，个人信息保护法将正式实施。关注个人信息保护，聚焦个人信息保护现状，探讨如何共同筑牢安全边界、共建共治共享良好数字生态。

——编者

安装手電(diàn)筒程序，要提供地理(lǐ)位置信息；下载文(wén)字编辑APP，需获取通讯录权限；走进售楼处，在毫不知情时，人脸信息可(kě)能(néng)被记录……大数据时代，人们享受着数据带来的便利，也被一些过度收集个人信息的行為(wèi)所困扰。

不久前，十三届全國(guó)人大常委会第三十次会议审议通过《中华人民(mín)共和國(guó)个人信息保护法》（以下简称“个人信息保护法”），并将于11月1日正式实施。

难以拒绝的“同意”

不授权就无法使用(yòng)，权限与APP功能(néng)需求并不匹配

在调查了数十万款APP后，中國(guó)人民(mín)大學(xué)一个团队研究发现，APP的各类权限有(yǒu)30多(duō)个，但很(hěn)多(duō)权限跟APP实现功能(néng)的需求并不匹配。

APP要求这么多(duō)权限有(yǒu)何用(yòng)？如果仔细查看用(yòng)户隐私协议条款，几乎无一例外提及，将对收集的部分(fēn)信息进行商(shāng)业利用(yòng)，例如推送个性化的信息、广告等，这也是个人信息潜在的商(shāng)业价值。

担心信息被违规使用(yòng)，在安装一些APP时，北京市朝阳區(qū)的王先生曾想拒绝某些授权，可(kě)他(tā)发现，不同意授权，就无法使用(yòng)。“一旦授权，我的个人信息去了哪儿？”王先生很(hěn)困惑。同时，权限申请的文(wén)字大多(duō)冗長(cháng)复杂。曾有(yǒu)人统计，APP通行的隐私条款内容大多(duō)在1万字以上。阅读等待时间过后，许多(duō)人来不及细看，就会直接点“同意”。

一位开发者表示，获取权限后，后台甚至能(néng)够判断数据背后的人做什么工作、常去哪里。保护虚拟空间数据化的“我们”，通常依靠收集方自律。然而，倘若某些企业安全“防护墙”不结实，就可(kě)能(néng)造成信息泄露。更大的风险是，一些数据收集方甚至会做起数据交换的“生意”，几经转手，数据可(kě)能(néng)被非法利用(yòng)。

近些年，有(yǒu)媒體(tǐ)曝出在网络平台明码标价贩卖个人信息的事件。比如，一则17万条“人脸数据”被公开售卖的新(xīn)闻，就曾引起社会广泛关注。

利用(yòng)信息分(fēn)析个人特征，為(wèi)用(yòng)户精准画像，有(yǒu)利于提升消费體(tǐ)验，但也会产生“大数据杀熟”等侵犯消费者权益的行為(wèi)。复旦大學(xué)一项关于网约車(chē)的研究发现，某一品牌手机用(yòng)户更容易被舒适型車(chē)辆司机接单，这一比例遠(yuǎn)高于其他(tā)品牌手机用(yòng)户。也有(yǒu)网友反映，同一时段与朋友在网上浏览同样品牌的相同商(shāng)品，价格存在不小(xiǎo)的差异。

此外，随着数据内涵的扩大，人脸信息、健康信息、金融账户、行踪轨迹等也越来越多(duō)被收集，这些信息因与隐私密切相关，比较敏感。专家表示，收集、处理(lǐ)敏感个人信息的规范应当更加严格。

“告知—同意”是核心规则

收集个人信息，应当限于实现处理(lǐ)目的的最小(xiǎo)范围

“為(wèi)了提高體(tǐ)验，完善产品，一些APP必然要求获得权限，用(yòng)数据来服務(wù)消费者。”安全专家、绿盟科(kē)技集团副总裁曹嘉说，由于实际生活中的应用(yòng)场景往往比较复杂，数据收集、使用(yòng)范围的边界并不清晰。

围绕规范个人信息处理(lǐ)活动、保障个人信息权益，个人信息保护法构建了“告知—同意”的个人信息处理(lǐ)规则。

专家表示，个人信息保护法明确，处理(lǐ)个人信息应当具有(yǒu)明确、合理(lǐ)的目的，并应当与处理(lǐ)目的直接相关，采取对个人权益影响最小(xiǎo)的方式。收集个人信息，应当限于实现处理(lǐ)目的的最小(xiǎo)范围。

同时，对于人们反映强烈的一揽子授权、强制同意等问题，个人信息保护法特别要求，个人信息处理(lǐ)者在处理(lǐ)敏感个人信息、向他(tā)人提供或公开个人信息、跨境转移个人信息等环节应取得个人的单独同意，明确个人信息处理(lǐ)者不得过度收集个人信息，不得以个人不同意為(wèi)由拒绝提供产品或者服務(wù)，并赋予个人撤回同意的权利，在个人撤回同意后，个人信息处理(lǐ)者应当停止处理(lǐ)或及时删除其个人信息。

近年来，我國(guó)在规范个人信息收集使用(yòng)上做了一系列积极探索。针对公众反映突出的APP违法违规收集使用(yòng)个人信息问题，2019年开始，中央网信办联合工信部、公安部、市场监管总局持续开展了专项治理(lǐ)行动。统筹制定APP个人信息保护系列规范，先后发布了《信息安全技术个人信息安全规范》《APP违法违规收集使用(yòng)个人信息行為(wèi)认定方法》《常见类型移动互联网应用(yòng)程序必要个人信息范围规定》，明确个人信息收集、存储、使用(yòng)、共享、转让、公开披露等行為(wèi)规范，界定了6类31种个人信息收集使用(yòng)违法违规情形，明确了39类常见类型APP的必要个人信息范围。比如，地图导航类应用(yòng)，必要个人信息包括位置信息、出发地、到达地。超出部分(fēn)则属于违法违规范围。

针对“大数据杀熟”，个人信息保护法明确规定：个人信息处理(lǐ)者利用(yòng)个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理(lǐ)的差别待遇。

个人信息保护法将生物(wù)识别、特定身份、医疗健康、金融账户、行踪轨迹等信息列為(wèi)敏感个人信息。该法要求，只有(yǒu)在具有(yǒu)特定的目的和充分(fēn)的必要性，并采取严格保护措施的情形下，方可(kě)处理(lǐ)敏感个人信息，同时应事前进行影响评估，并向个人告知处理(lǐ)的必要性以及对个人权益的影响。

為(wèi)保护未成年人的个人信息权益和身心健康，个人信息保护法特别将不满14周岁未成年人的个人信息确定為(wèi)敏感个人信息予以严格保护。获取这类信息应当取得未成年人的父母或者其他(tā)监护人的同意，并应当对此制定专门的个人信息处理(lǐ)规则。

现实中，保护个人信息可(kě)能(néng)比想象中复杂。“个人信息与非个人信息的界限并非如想象的那样清晰。收集行為(wèi)是否合法等，也就不那么容易判断。”中國(guó)人民(mín)大學(xué)法學(xué)院副教授丁晓东说。

比如，个性化推荐、用(yòng)户画像等收集的数据属于个人信息吗？通常，企业在收集了用(yòng)户浏览网页、搜索记录等信息后，会将此类信息做匿名化处理(lǐ)。丁晓东表示，这些匿名化处理(lǐ)后的信息，是否属于个人信息，是否纳入个人信息的范畴来管理(lǐ)，學(xué)界尚无定论。此外，个人信息的范围因时代而改变，针对不同的个人信息的类型，应该采取不同的管理(lǐ)方式。

保护利用(yòng)的平衡

保护个人信息与数字经济发展并不对立

保护个人信息，现实监管的难点还在于，如何找到数据保护和合理(lǐ)利用(yòng)之间的平衡点。

截至2020年底，中國(guó)网民(mín)规模為(wèi)9.89亿人。庞大的网民(mín)数量是发展数字经济的基石，数据成為(wèi)数字经济的重要驱动力。不过，保护个人信息与数字经济发展并不对立。专家认為(wèi)，关键在于以保护个人权益和促进信息合理(lǐ)流通為(wèi)准绳，找到信息利用(yòng)和安全的平衡点。

在数字经济领域，我國(guó)的一些方面走在世界前列，也面临一些新(xīn)情况、新(xīn)问题。“正视个人信息保护的多(duō)元化诉求，找到解好隐私难题的最大公约数，我们尝试探索一条与数字时代相适应的数据隐私保护路径。”曹嘉说。

个人信息保护是系统工程。过去，保护个人信息的规则制度散见于许多(duō)单行法律中。在现有(yǒu)法律基础上，个人信息保护法进一步细化、完善个人信息保护应遵循的原则和个人信息处理(lǐ)规则，明确个人信息处理(lǐ)活动中的权利义務(wù)边界，健全个人信息保护工作體(tǐ)制机制。专家表示，维护、保障好合法权益，有(yǒu)利于人民(mín)群众在数字经济发展中享受更多(duō)的获得感、幸福感、安全感。

安全专家提醒，当前，APP的功能(néng)设计复杂，用(yòng)户也养成了使用(yòng)习惯，即便界定了应用(yòng)的基本功能(néng)和收集的必要个人信息范围，实际上仍可(kě)能(néng)出现采集、使用(yòng)的数据超出规定范围的情况。

针对现实中信息倒卖、违背承诺等违法行為(wèi)，丁晓东认為(wèi)，有(yǒu)必要加强对违法行為(wèi)的惩处力度，提高违法成本，形成法律震慑效应。（记者 喻思南）