掃碼點餐、電商購物、使用APP……個人信息保護應更規范

共建共治共享良好數字生態（關注個人信息保護）

我國網民規模龐大，互聯網應用場景豐富，帶來諸多便利。隨著技術的發展和使用的深入，從手機APP到深度偽造技術、智能互聯設備，個人信息保護日益成為人們關注的焦點，也是數字經濟發展必須直面的課題。

11月1日起，個人信息保護法將正式實施。本版今起推出系列策劃“關注個人信息保護”，聚焦個人信息保護現狀，探討如何共同筑牢安全邊界、共建共治共享良好數字生態。

——編者

安裝手電筒程序，要提供地理位置信息；下載文字編輯APP，需獲取通訊錄權限；走進售樓處，在毫不知情時，人臉信息可能被記錄……大數據時代，人們享受著數據帶來的便利，也被一些過度收集個人信息的行為所困擾。

不久前，十三屆全國人大常委會第三十次會議審議通過《中華人民共和國個人信息保護法》（以下簡稱“個人信息保護法”），并將于11月1日正式實施。

難以拒絕的“同意”

不授權就無法使用，權限與APP功能需求并不匹配

在調查了數十萬款APP后，中國人民大學一個團隊研究發現，APP的各類權限有30多個，但很多權限跟APP實現功能的需求并不匹配。

APP要求這么多權限有何用？如果仔細查看用戶隱私協議條款，幾乎無一例外提及，將對收集的部分信息進行商業利用，例如推送個性化的信息、廣告等，這也是個人信息潛在的商業價值。

擔心信息被違規使用，在安裝一些APP時，北京市朝陽區的王先生曾想拒絕某些授權，可他發現，不同意授權，就無法使用。“一旦授權，我的個人信息去了哪兒？”王先生很困惑。同時，權限申請的文字大多冗長復雜。曾有人統計，APP通行的隱私條款內容大多在1萬字以上。閱讀等待時間過后，許多人來不及細看，就會直接點“同意”。

一位開發者表示，獲取權限后，后臺甚至能夠判斷數據背后的人做什么工作、常去哪里。保護虛擬空間數據化的“我們”，通常依靠收集方自律。然而，倘若某些企業安全“防護墻”不結實，就可能造成信息泄露。更大的風險是，一些數據收集方甚至會做起數據交換的“生意”，幾經轉手，數據可能被非法利用。

近些年，有媒體曝出在網絡平臺明碼標價販賣個人信息的事件。比如，一則17萬條“人臉數據”被公開售賣的新聞，就曾引起社會廣泛關注。

利用信息分析個人特征，為用戶精準畫像，有利于提升消費體驗，但也會產生“大數據殺熟”等侵犯消費者權益的行為。復旦大學一項關于網約車的研究發現，某一品牌手機用戶更容易被舒適型車輛司機接單，這一比例遠高于其他品牌手機用戶。也有網友反映，同一時段與朋友在網上瀏覽同樣品牌的相同商品，價格存在不小的差異。

此外，隨著數據內涵的擴大，人臉信息、健康信息、金融賬戶、行蹤軌跡等也越來越多被收集，這些信息因與隱私密切相關，比較敏感。專家表示，收集、處理敏感個人信息的規范應當更加嚴格。

“告知—同意”是核心規則

收集個人信息，應當限于實現處理目的的最小范圍

“為了提高體驗，完善產品，一些APP必然要求獲得權限，用數據來服務消費者?！卑踩珜＜摇⒕G盟科技集團副總裁曹嘉說，由于實際生活中的應用場景往往比較復雜，數據收集、使用范圍的邊界并不清晰。

圍繞規范個人信息處理活動、保障個人信息權益，個人信息保護法構建了“告知—同意”的個人信息處理規則。

專家表示，個人信息保護法明確，處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關，采取對個人權益影響最小的方式。收集個人信息，應當限于實現處理目的的最小范圍。

同時，對于人們反映強烈的一攬子授權、強制同意等問題，個人信息保護法特別要求，個人信息處理者在處理敏感個人信息、向他人提供或公開個人信息、跨境轉移個人信息等環節應取得個人的單獨同意，明確個人信息處理者不得過度收集個人信息，不得以個人不同意為由拒絕提供產品或者服務，并賦予個人撤回同意的權利，在個人撤回同意后，個人信息處理者應當停止處理或及時刪除其個人信息。

近年來，我國在規范個人信息收集使用上做了一系列積極探索。針對公眾反映突出的APP違法違規收集使用個人信息問題，2019年開始，中央網信辦聯合工信部、公安部、市場監管總局持續開展了專項治理行動。統籌制定APP個人信息保護系列規范，先后發布了《信息安全技術個人信息安全規范》《APP違法違規收集使用個人信息行為認定方法》《常見類型移動互聯網應用程序必要個人信息范圍規定》，明確個人信息收集、存儲、使用、共享、轉讓、公開披露等行為規范，界定了6類31種個人信息收集使用違法違規情形，明確了39類常見類型APP的必要個人信息范圍。比如，地圖導航類應用，必要個人信息包括位置信息、出發地、到達地。超出部分則屬于違法違規范圍。

針對“大數據殺熟”，個人信息保護法明確規定：個人信息處理者利用個人信息進行自動化決策，應當保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。

個人信息保護法將生物識別、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息列為敏感個人信息。該法要求，只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，方可處理敏感個人信息，同時應事前進行影響評估，并向個人告知處理的必要性以及對個人權益的影響。

為保護未成年人的個人信息權益和身心健康，個人信息保護法特別將不滿14周歲未成年人的個人信息確定為敏感個人信息予以嚴格保護。獲取這類信息應當取得未成年人的父母或者其他監護人的同意，并應當對此制定專門的個人信息處理規則。

現實中，保護個人信息可能比想象中復雜?！皞€人信息與非個人信息的界限并非如想象的那樣清晰。收集行為是否合法等，也就不那么容易判斷?！敝袊嗣翊髮W法學院副教授丁曉東說。

比如，個性化推薦、用戶畫像等收集的數據屬于個人信息嗎？通常，企業在收集了用戶瀏覽網頁、搜索記錄等信息后，會將此類信息做匿名化處理。丁曉東表示，這些匿名化處理后的信息，是否屬于個人信息，是否納入個人信息的范疇來管理，學界尚無定論。此外，個人信息的范圍因時代而改變，針對不同的個人信息的類型，應該采取不同的管理方式。

保護利用的平衡

保護個人信息與數字經濟發展并不對立

保護個人信息，現實監管的難點還在于，如何找到數據保護和合理利用之間的平衡點。

截至2020年底，中國網民規模為9.89億人。龐大的網民數量是發展數字經濟的基石，數據成為數字經濟的重要驅動力。不過，保護個人信息與數字經濟發展并不對立。專家認為，關鍵在于以保護個人權益和促進信息合理流通為準繩，找到信息利用和安全的平衡點。

在數字經濟領域，我國的一些方面走在世界前列，也面臨一些新情況、新問題?！罢晜€人信息保護的多元化訴求，找到解好隱私難題的最大公約數，我們嘗試探索一條與數字時代相適應的數據隱私保護路徑。”曹嘉說。

個人信息保護是系統工程。過去，保護個人信息的規則制度散見于許多單行法律中。在現有法律基礎上，個人信息保護法進一步細化、完善個人信息保護應遵循的原則和個人信息處理規則，明確個人信息處理活動中的權利義務邊界，健全個人信息保護工作體制機制。專家表示，維護、保障好合法權益，有利于人民群眾在數字經濟發展中享受更多的獲得感、幸福感、安全感。

安全專家提醒，當前，APP的功能設計復雜，用戶也養成了使用習慣，即便界定了應用的基本功能和收集的必要個人信息范圍，實際上仍可能出現采集、使用的數據超出規定范圍的情況。

針對現實中信息倒賣、違背承諾等違法行為，丁曉東認為，有必要加強對違法行為的懲處力度，提高違法成本，形成法律震懾效應。（記者 喻思南）