点击上方北京互联网法院获取更多精彩内容~
遭遇大数据杀熟怎么办?
APP强制捆绑个人信息
是否构成侵权?
法律法规如何规范
个人信息使用呢?
2021年11月1日,《中华人民共和国个人信息保护法》正式施行。@人民法院报 连麦 @北京互联网法院 综合审判三庭庭长孙铭溪,就以上问题,为广大网友解读《中华人民共和国个人信息保护法》,支招如何保护个人信息权益。
错过直播连麦
没关系
精彩回顾
马上奉上
Q1:《中华人民共和国个人信息保护法》对于APP获取用户信息方面有什么规定来保护用户个人信息安全?
孙铭溪法官
《中华人民共和国个人信息保护法》是对个人信息保护的基本法律,不仅适用于手机APP,还适用于各类信息处理者。在2017年施行的《中华人民共和国网络安全法》中就已经明确,收集、使用个人信息,应该经个人的同意,明示收集规则。《中华人民共和国民法典》中也强调了征得同意这一规则。《中华人民共和国个人信息保护法》对个人信息保护进行了全面的规定,比如要遵循合法、正当、必要、诚信,公开透明,限于实现处理目的的最小范围等原则。个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名和联系方式;个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;个人行使法律规定权力的方式和程序,法律、行政法规规定应当告知的其他事项。基于个人同意处理个人信息的,该同意应该是个人充分知情的,自愿、明确作出的,同时不得过度收集个人信息。
关于不授权即无法使用的情况,《中华人民共和国个人信息保护法》第十六条规定,个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。比如网约车服务需要提供位置信息,支付服务需要提供账户信息等。
Q2:又到“网购节”,最近收到了很多商业宣传短信,商家可以“随意”给消费者发送短信吗?消费者是否可以拒绝接受商业宣传短信?
孙铭溪法官
这个涉及到个人信息处理者对个人信息处理是否适度的问题。个人信息处理者在处理个人信息前,应该以清晰易懂的语言,真实、准确、完整地告知个人,个人信息处理的目的、方式等。个人在购买某类产品时,可能在购买注册的时候,或者预留收货信息时留存了个人手机号码,商家就开始发送短信。通常,商家都会在自己的用户协议中对这一行为进行告知并征得个人的同意,但提示方式可能有区别,有些商家会用加粗加黑的方式予以提示,有些商家的提示则是在冗长的格式条款中。对于互联网产品,通常都是互联网公司提供格式化的条款供个人同意,因此格式条款是否符合法律规定非常重要。《中华人民共和国民法典》中对格式条款有效的条件进行了规定,即涉及到免除对方权利或者减轻自己责任的重大利害关系条款,应该予以提示说明,并且不能通过格式条款不合理地排除或限制对方的主要权利。
《中华人民共和国个人信息保护法》对于个人信息处理清晰告知的义务就可以和上述的法律对于合同形式的规定结合起来。如果商家要进行商业短信推送,应该使用清晰易懂的语言,完整准确告知个人并且征得个人同意。结合《中华人民共和国个人信息保护法》第二十四条关于利用个人信息进行自动化决策的规定,通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
Q3:《中华人民共和国个人信息保护法》对于个性化推送有什么样的规定?
孙铭溪法官
“个性化推送”是基于算法技术发展和应用的。随着信息量快速发展,利用算法进行个性化推送是为了更精确地了解用户需求,快速匹配用户需要的内容,有利于提高交易和信息传输效率。但这可能会让算法应用更有能力影响公众,甚至可能导致公众“被算法驯化”,进而可能影响整个互联网生态。这其中,就可能包含创作者,让创作者去创作更多流量至上而不是内容至上的内容,让创作者也去“讨好算法”。
现在,这个问题也得到普遍的关注。比如有些互联网公司提供了关闭个性化推荐的服务,有些内容提供者会提高深度报道内容的权重,为用户提供更优质的服务。
《中华人民共和国个人信息保护法》明确规定,通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
今年9月,国家网信办又颁布了《关于加强互联网信息服务算法综合治理的指导意见》,专门针对算法应用,提出了对算法安全治理、算法安全监管、算法生态构建的要求,明确要树立算法正确导向、推动算法公开透明、鼓励算法创新发展、防范算法滥用风险。
Q4:《中华人民共和国个人信息保护法》中对有关敏感个人信息有哪些规定?
孙铭溪法官
敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
对于一般性个人信息,要遵循合法正当必要原则。一般情况下是要经过个人信息主体同意可以处理,特殊情况下不经同意也可以处理。但是对于敏感个人信息,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,才可处理。
此外,《中华人民共和国个人信息保护法》第二十九条规定,处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。即如果个人信息处理者处理敏感个人信息,是不可以和处理其他信息的同意捆绑在一起的。
此外,法律还规定,个人信息处理者处理敏感个人信息的,除个人信息保护法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。
敏感个人信息里面包括了未满十四周岁的未成年人的个人信息,与《中华人民共和国未成年人保护法》的规定是一致的,个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。这体现了法律对未成年人的特殊保护,确保对于未成年人的信息处理都是其父母或监护人知晓且同意的。
Q5:《中华人民共和国个人信息保护法》中国家机关处理个人信息的特别规定有哪些?
孙铭溪法官
国家机关也是个人信息处理的重要主体,个人信息保护法明确,国家机关处理个人信息,也要遵守本法。
国家机关处理个人信息往往是为了为履行法定职责。如果是为履行法定职责或法定义务所必需的,是不需要经过个人同意的,但是必须依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度,这种处理也要向信息主体进行告知,除非法律、行政法规有特别规定。
关于疫情防控中对个人信息必要的收集,《中华人民共和国个人信息保护法》中也有规定,为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需。
国家机关处理的个人信息应当在境内存储;确需向境外提供的,应当进行安全评估。安全评估可以要求有关部门提供支持与协助。
扫描二维码
或点击阅读原文
观看精彩直播回顾
编辑:张瑞雪、刘宛月
长按识别二维码关注北京互联网法院