利用大數據強推廣告?用戶可依法拒絕

個人信息保護法草案8月17日提請全國人大常委會會議第三次審議。與此前的草案二審稿相比,草案三審稿進一步迴應社會關切,對應用程序過度收集個人信息等問題作出更具針對性規定,對不滿十四周歲未成年人的個人信息作出特別保護等。

限制過度收集用戶個人信息

註冊會員卻被要求填寫生日、籍貫學歷等與服務無關的個人信息……近年來,過度收集用戶信息問題頻頻引發質疑。

草案三審稿規定,處理個人信息應當具有明確、合理的目的,並應當與處理目的直接相關,採取對個人權益影響最小的方式。收集個人信息,應當限於實現處理目的的最小範圍。

針對個人信息泄露的隱患,草案三審稿增加規定,任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。

中國電子技術標準化研究院網安中心測評實驗室副主任何延哲表示,從技術角度看,非法收集個人信息容易被識別,非法使用個人信息可能更難被察覺。

“百姓日常生活與網絡平臺緊密相連,向平臺提供個人信息的情況日益普遍。這些個人信息如果被過度收集,或者存儲、使用不善,將會侵害用戶權益。因此,下一步的立法重點應圍繞加強對個人信息使用的監管作出完善。”何延哲說。

不得向用戶強制推送個性化廣告

搜索過一個商品,接着就會收到很多類似廣告的推送……近年來,一些平臺利用數據進行用戶畫像推送個性化廣告,困擾公衆日常生活。

草案三審稿明確,個人信息處理者通過自動化決策方式向個人進行信息推送、商業營銷,應當同時提供不針對其個人特徵的選項,或者向個人提供拒絕的方式。通過自動化決策方式作出對個人權益有重大影響的決定,個人有權要求予以說明,並有權拒絕僅通過自動化決策的方式作出決定。

“自動化決策應當遵守個人信息處理的一般規則,包括應遵循合法、正當、必要、誠信原則,目的明確和最小化處理原則以及公開透明原則等。”全國人大常委會法工委發言人臧鐵偉表示,用戶畫像、算法推薦等自動化決策,應當在充分告知個人信息處理相關事項的前提下取得個人同意,不得以個人不同意爲由拒絕提供產品或者服務。

草案三審稿還規定,履行個人信息保護職責部門應當組織對應用程序等個人信息保護情況進行測評、公佈測評結果,對違法處理個人信息的應用程序,責令暫停或者終止提供服務。

將未成年人個人信息列爲敏感個人信息

網絡暴力、網絡欺詐……隨着互聯網的不斷普及,侵害青少年個人信息合法權益的問題屢有發生。草案三審稿將不滿十四周歲未成年人的個人信息作爲敏感個人信息,並要求個人信息處理者對此制定專門的個人信息處理規則。

中國信息安全研究院副院長左曉棟說,十四周歲以下的未成年人不具備完全民事行爲能力,將這部分羣體的個人信息單列爲敏感個人信息進行更高等級的保護完全必要。

此外,一些平臺的主要用戶就是低齡未成年人,有的平臺設置了令人眼花繚亂的消費陷阱,讓涉世未深的青少年頻頻“中招”。

左曉棟認爲,草案三審稿要求個人信息處理者對不滿十四周歲未成年人的個人信息制定專門的處理規則,其本質是限制某些平臺利用未成年人非法牟利,要求相關平臺切實履行相應社會責任。“現在有的平臺已經禁止未成年用戶充值或‘打賞’,這就是專門針對未成年人制定個人信息處理規則的一種體現。”

明確逝者個人信息保護規則

一個人去世後,其他人有權利處置其生前使用的網絡賬號嗎?近年來,關於這類問題的糾紛逐漸增多。

草案三審稿明確,自然人死亡的,其近親屬爲了自身的合法、正當利益,可以對死者的個人信息行使本章規定的查閱、複製、更正、刪除等權利;死者生前另有安排的除外。

世輝律師事務所合夥人王新銳認爲,該條款首先意味着近親屬行使死者個人信息的權利不是隨意的,同樣要遵守合法、正當的原則;其次,條款體現了對死者生前意願的尊重,鼓勵自然人生前認真安排自己的個人信息。

“修改後的條款一方面支持近親屬維權,另一方面也防止該權利被濫用,尤其是因家庭內部出現矛盾而導致違背死者生前意願的情況發生。”王新銳說。

健全投訴、舉報機制

當前,個人信息保護面臨維權渠道窄、成本高、處罰侵權力度不夠等問題,制約着用戶的維權意願。草案三審稿進一步壓實各方責任,加強有關部門查處案件的協調配合。

草案三審稿明確,國家網信部門統籌協調有關部門完善個人信息保護投訴、舉報工作機制;履行個人信息保護職責的部門發現違法處理個人信息涉嫌犯罪的,應當及時移送公安機關依法處理;對有關責任人員可以決定禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人等職務。

清華大學法學院教授勞東燕認爲,草案三審稿要求收到投訴、舉報的部門及時將處理結果告知投訴、舉報人,這將讓相關機制能夠良性運轉;同時,明確在涉個人信息的違法行爲中追究有關責任人員的法律責任,將相關人員的職業生涯與個人信息保護工作“綁定”,這將讓相關人員在處理個人信息時更加謹慎。