個人信息,是指以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息。個人信息一般包括姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。當前,人們在日常消費活動和其他社會活動中,不可避免要將個人信息留存于各類經營者和組織機構。由于對保護個人信息的責任意識不強、保護措施不足,加之一些經營者受到利益的驅使,導致個人信息被非法收集、被泄露事件層出不窮,令人觸目驚心。
近年來,中國消費者協會(以下簡稱“中消協”)在開展消費維權工作中發現,消費者反映比較突出的個人信息問題主要集中在手機APP過度索權、消費者個人信息被泄露、非法推送商業信息、“大數據殺熟”以及敏感個人信息的非法處理等方面。如2019年2月,一家面部識別公司發生大規模數據泄露,680萬條包含個人姓名、身份證號碼、性別、家庭住址和照片等個人信息遭泄露;2020年5月,江蘇淮安警方破獲一起侵犯公民個人信息案,某銀行員工以每條80-100元的價格,將銀行卡使用人的身份信息、電話號碼、余額甚至交易記錄售賣謀利,涉及個人信息5萬余條;2021年央視3·15晚會驚曝多家知名商店安裝人臉識別攝像頭,海量人臉信息被收集,但卻沒有一個商家明確告知消費者,征得同意更是無從談起。
2021年11月1日,《個人信息保護法》正式實施,這是一部保護公民個人信息的專門法律,與《民法典》《網絡安全法》《數據安全法》《電子商務法》《消費者權益保護法》等法律共同編織成一張消費者個人信息“保護網”。中消協督促經營者要切實落實《個人信息保護法》的相關規定,深入學法、尊法守法,依法完善個人信息處理規則,履行公示告知義務,規范個人信息處理程序,采取必要措施保障消費者個人信息安全。
(一)要切實落實“告知—同意”規則,明示處理個人信息的目的、方式和范圍。經營者應當制定處理消費者個人信息的規則,遵循公開、透明原則,公開個人信息處理規則,明示處理的目的、方式和范圍,并提供便捷的撤回同意的方式。任何組織、個人不得非法收集、使用、加工、傳輸消費者個人信息,不得非法買賣、提供或者公開消費者個人信息。收集消費者個人信息,應在事先充分告知的前提下,保證消費者知情,并征得消費者本人同意。經營者不得采取一攬子授權、強制同意等方式處理消費者個人信息;未經消費者同意,經營者不得向消費者推送商業信息。
(二)要滿足個人信息處理的兩個“最小”一個“最短”,不得過度收集消費者個人信息。經營者收集使用個人信息應當具有明確、合理的目的,并限制在對個人權益影響最小的方式和實現處理目的的最小范圍,不得過度收集消費者個人信息。除法律、行政法規另有規定外,個人信息的保存期限應當為實現處理目的所必要的最短時間。除了提供產品或者服務所必需的個人信息,經營者不得以消費者不同意處理其個人信息或者撤回同意為由,拒絕提供產品或者服務。手機APP等不得因用戶不同意提供非必要個人信息,而拒絕用戶使用其基本功能的服務。
(三)要嚴格限制對敏感個人信息的處理,小區、經營場所不能強制業主或者消費者進行人臉識別。敏感個人信息是一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年的個人信息。法律對其設置了特殊處理規則,即二十八條第二款中規定“只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,個人信息處理者方可處理敏感個人信息。”人臉識別作為一種敏感個人信息,一旦泄露容易對個人的人身和財產安全造成極大危害,甚至還可能威脅公共安全。小區物業、經營場所將人臉識別作為出入的唯一驗證方式缺乏充分的必要性,也很難采取嚴格的保護措施,應當提供其他替代性的驗證方式供業主或者消費者自主選擇。經營者更不能為了商業目的非法收集消費者的人臉識別信息。
(四)利用個人信息進行自動化決策要合法,禁止“大數據殺熟”等行為。《個人信息保護法》規定個人信息處理者利用個人信息進行自動化決策,應當保證決策的透明度和結果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。通過自動化決策方式向個人進行信息推送、商業營銷,應當同時提供不針對其個人特征的選項,或者向個人提供便捷的拒絕方式。因此,經營者不能利用自身掌握的消費者經濟狀況、消費習慣以及對價格的敏感程度等信息,對消費者在交易價格等方面實行歧視性的差別待遇,也不能在未獲得消費者授權的情況下通過用戶畫像來開展精準營銷。
(五)大型互聯網平臺還要注意履行特殊義務,需當好個人信息保護“守門人”。提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者還應按照國家規定,建立健全個人信息保護合規制度體系,成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督。遵循公開、公平、公正的原則,制定平臺規則,明確平臺內產品或者服務提供者處理個人信息的規范和保護個人信息的義務。對嚴重違反法律、行政法規處理個人信息的平臺內的產品或者服務提供者,停止提供服務。定期發布個人信息保護社會責任報告,接受社會監督。
中消協也提醒廣大消費者為讓《個人信息保護法》發揮更大實效,要認真學法、主動用法:
(一)要積極學習《個人信息保護法》等法律規定。通過對《個人信息保護法》等個人信息保護相關法律的學習,了解個人信息和敏感個人信息的處理規則、自身在個人信息處理活動中所享有的權利、個人信息處理者應當承擔的義務以及個人信息權益受到侵害時的救濟方式等,進一步提升個人信息保護的意識和能力,用法律武器來指導消費實踐。
(二)要養成“非必要不提供”的良好習慣。消費者在接受服務時,要仔細閱讀隱私協議等涉及個人信息的條款,明確經營者處理個人信息的方式、范圍、目的和依據等,考量經營者處理個人信息理由的充分性和消費者提供個人信息的必要性,建議只在確屬必要的情況下才向經營者提供個人信息或者進行授權。
(三)要對自己授權或者提供的個人信息進行持續跟蹤。消費者接受個人信息條款或者向經營者提供個人信息后,還應隨時關注經營者個人信息條款是否進行修改,經營者是否有保障個人信息安全的能力,經營者是否存在非法處理個人信息行為等。當消費者不同意經營者繼續處理其個人信息時,要積極行使“撤回同意”權利,要求經營者停止處理或及時刪除其個人信息。
(四)要注意銷毀帶有個人信息的單據和資料。消費者要保護好帶有個人信息的單據和資料,防止因隨意丟棄、使用不當等造成個人信息泄露。如妥善處理未脫敏的快遞單據等帶有個人信息的單據和資料,使用完后應及時銷毀,或是涂抹掉關鍵信息后再丟棄;在向他人提供身份證等重要證件的復印件時,最好顯著標識此復印件的用途;一些帶有個人敏感信息的電子數據,如證件照片等,建議用完即刪或者采用加密方式進行存儲。
(五)要主動拿起法律武器維護合法權益。消費者應積極行使對經營者進行個人信息處理活動的監督權。當自身個人信息權益受到侵害或者發現經營者存在違法處理消費者個人信息行為的,要主動向個人信息保護管理部門或者消費者協會進行投訴、舉報,提供案件線索和相關憑證,維護自身及其他消費者的合法權益。