依法筑牢个人信息安全“防火墙”
□ 胡立彪
《个人信息保护法》将于11月1日正式施行。法律人士认为,该法的诞生,标志着我国网络数据法律体系中继《网络安全法》《数据安全法》之后,具有重要意义的一块拼图终于落定,具有划时代的意义。
随着数字经济快速发展,个人信息的商业价值日益凸显并受到重视。一些企业、机构甚至个人,从商业利益出发,随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人民群众生活安宁、危害人民群众财产安全和生命健康等问题也日渐增多。在这种情况下,个人信息安全如何才能得到有效保护?《个人信息保护法》给出了明确答案。该法不仅为个人信息处理活动提供了明确的法律依据,为个人维护其个人信息权益提供了充分的保障,确认了个人信息处理者的义务及法律责任,而且对个人信息保护部门的职责和相关法律责任进行了规定。可以说,该法为个人信息安全筑起了一道全方位的“防火墙”。
《个人信息保护法》最大的亮点,是确立“告知-同意”核心规则,而这正是“防火墙”的牢固基础。此前用户个人信息被采集时,往往只有“单向告知”,而信息被采集之后,用户也不知道信息的流向,这就为个人信息安全埋下隐患。为此,《个人信息保护法》明确了“告知-同意”原则,赋予个人对个人信息处理享有知情权、决定权。通俗地讲,该原则强调要保证个人对信息处理“充分知情”,因此,信息采集处理者就应以显著的方式、清晰易懂的语言让个人知道谁在处理他的信息、信息被怎样处理、可能对他造成何种影响,以及怎样要求更正、查询、删除个人信息等。
基于“告知-同意”规则,人们吐槽较多的“大数据杀熟”现象将会得到有效遏制。《个人信息保护法》第24条规定:“个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。” 通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明(此即“告知”原则 ),并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定(此即“同意”原则)。如果利用自动化决策方式进行信息推送、商业营销,还应当同时提供不针对其个人特征的选项,或者向个人提供拒绝的方式,比如提供关闭个性化推荐的选项。这就相当于明确否定了商家利用大数据进行“杀熟”的做法。
此外,时下正在兴起也引起人们担心的人脸识别技术,其部分使用场景也将受到限制。根据《个人信息保护法》的规定,生物识别信息被划为敏感个人信息,只有在具有特定的目的和充分必要性,并采取严格保护措施的情形下,个人信息处理者才能收集。受该规定制约,监控摄像头将会受到管控。目前,许多公共场所安装了大量监控摄像头,有的监控设备还比较隐蔽,不注意就看不到。可以预见的是,《个人信息保护法》施行之后,公共场所的监控设备应会进行一些合规化处理。最明显的变化之一,是在有监控设备的地方做出明显的标识提示,如标明“图像采集区域”,以提醒人们这里有监控。
值得注意的是,《个人信息保护法》对侵害公民个人信息行为的法律责任作出了具体规定。如,违反本法规定处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施的,由履行个人信息保护职责的部门责令改正,没收违法所得,给予警告;拒不改正的,并处100万元以下罚款。针对企业的处罚,情节严重的将处以5000万元以下或上一年度营业额5%以下的罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可证或者吊销营业执照。这些对违法行为具有较强威慑力的规定,让《个人信息保护法》长出了“牙齿”。
天下之事,不难于立法,而难于法之必行。《个人信息保护法》其威之立,须行支撑。只有做到“必行”,让敢于触碰法律红线的人付出沉痛代价,才能彰显法律的威严,真正体现出法律的生命力。
《中国质量报》