“个人信息,是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息一般包括姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”
当前,人们在日常消费活动和其他社会活动中,不可避免要将个人信息留存于各类经营者和组织机构。由于对保护个人信息的责任意识不强、保护措施不足,加之一些经营者受到利益的驱使,导致个人信息被非法收集、被泄露事件层出不穷,令人触目惊心。
近年来,中国消费者协会(以下简称“中消协”)在开展消费维权工作中发现,消费者反映比较突出的个人信息问题主要集中在手机App过度索权、消费者个人信息被泄露、非法推送商业信息、“大数据杀熟”以及敏感个人信息的非法处理等方面。
2021年11月1日,《个人信息保护法》正式实施,这是一部保护公民个人信息的专门法律,与《民法典》《网络安全法》《数据安全法》《电子商务法》《消费者权益保护法》等法律共同编织成一张消费者个人信息“保护网”。
中消协督促经营者要切实落实《个人信息保护法》的相关规定,深入学法、尊法守法,依法完善个人信息处理规则,履行公示告知义务,规范个人信息处理程序,采取必要措施保障消费者个人信息安全。
01
切实落实“告知—同意”规则
明示处理个人信息的目的、方式和范围。经营者应当制定处理消费者个人信息的规则,遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围,并提供便捷的撤回同意的方式。
任何组织、个人不得非法收集、使用、加工、传输消费者个人信息,不得非法买卖、提供或者公开消费者个人信息。收集消费者个人信息,应在事先充分告知的前提下,保证消费者知情,并征得消费者本人同意。经营者不得采取一揽子授权、强制同意等方式处理消费者个人信息。未经消费者同意,经营者不得向消费者推送商业信息。
02
不得过度收集消费者个人信息
经营者收集使用个人信息应当具有明确、合理的目的,并限制在对个人权益影响最小的方式和实现处理目的的最小范围,不得过度收集消费者个人信息。
除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。除了提供产品或者服务所必需的个人信息,经营者不得以消费者不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务。手机App等不得因用户不同意提供非必要个人信息,而拒绝用户使用其基本功能的服务。
03
严格限制对敏感个人信息的处理
敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年的个人信息。
法律对其设置了特殊处理规则,即二十八条第二款中规定“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。”
04
禁止“大数据杀熟”等行为
《个人信息保护法》规定个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。因此,经营者不能利用自身掌握的消费者经济状况、消费习惯以及对价格的敏感程度等信息,对消费者在交易价格等方面实行歧视性的差别待遇,也不能在未获得消费者授权的情况下,通过用户画像来开展精准营销。
05
互联网平台需当好个人信息保护“守门人”
提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者还应按照国家规定,建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。
遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务。对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务。定期发布个人信息保护社会责任报告,接受社会监督。