上網痕跡被平臺收集分析推送廣告 互聯網商業模式迎考

上網痕跡被平臺收集分析推送廣告、網站制定“霸王條款”隨意變更VIP會員規則、公民的身份證號、個人行蹤等被泄露倒賣……這些亂象有了破解之道。

10月13日，個人信息保護法草案提請十三屆全國人大常委會第二十二次會議初次審議。

此次草案明確了適用范圍，健全了個人信息處理規則，與民法典有關規定銜接，規定了個人信息處理活動中個人的各項權利，對敏感個人信息給出定義，成為公民個體權利的延伸。

上網痕跡被平臺收集分析推送廣告、網站制定“霸王條款”隨意變更VIP會員規則、公民的身份證號、個人行蹤等被泄露倒賣……這些亂象有了破解之道。對于互聯網企業而言，將面臨一場提升用戶信息保護的大考，從懲戒力度來看，大型互聯網企業監管愈發趨嚴。

堅持立足國情與借鑒國際經驗相結合，草案充分借鑒有關國際組織和國家、地區的有益做法。面對越來越激烈的國際競爭，草案呼應了網絡信息時代對跨境經濟保護的訴求，維護數據安全與國家利益。

明確敏感個人信息定義

數據顯示，截至2020年3月，我國互聯網用戶已達9億，互聯網網站超過400萬個，應用程序超300萬個，個人信息的收集、使用更為廣泛。與此同時，隨意收集、違法獲取、過度使用、非法買賣個人信息，利用個人信息侵擾人民群眾生活安寧、危害人民群眾生命健康和財產安全等問題仍十分突出。

中國政法大學法律碩士學院院長、教授許身健認為，此次草案可以算作為“回應型立法”，在當前信息化社會及時回應公眾的需要。

“個人信息保護法，是民法典中的人格權關于個人信息和隱私權在個人信息互聯網保護范圍內的一個重要延伸，它實際是公民個體權利的延伸。”中國政法大學傳播法研究中心副主任朱巍如此定義。

草案與民法典的有關規定相銜接，明確在個人信息處理活動中個人的各項權利，包括知情權、決定權、查詢權、更正權、刪除權等，并要求個人信息處理者建立個人行使權利的申請受理和處理機制。

之前對于一般個人信息、個人敏感信息、私密信息三者，法律上還缺乏清晰的界分。

草案則明確了敏感個人信息的定義：一旦泄露或者非法使用，可能導致個人受到歧視或者人身、財產安全受到嚴重危害的個人信息，包括種族、民族、宗教信仰、個人生物特征、醫療健康、金融賬戶、個人行蹤等信息。

同時，草案設專節對處理敏感個人信息作出更嚴格的限制，只有在具有特定的目的和充分的必要性的情形下，方可處理敏感個人信息，并且應當取得個人的單獨同意或者書面同意。

此前，有司法解釋曾對個人敏感信息做出規定。2017年5月，最高法、最高檢發布《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，規定非法獲取公民軌跡信息等個人敏感信息50條即可入罪。

“《刑法》的適用范圍太窄了，沒有辦法擴展到敏感個人信息在民事領域和行政管理領域，草案則將敏感個人信息做了一個定性，包括生物識別、金融賬號、個人行蹤等等，將上述司法解釋進行了細化。”朱巍說。

盡管當前公民個人信息受到侵害的事件頻發，但不少人對于個人信息的保護并不是特別敏感。

許身健認為，個人信息保護法出臺，是社會治理的同時，也將是一場大型的普法教育，將通過普法宣傳、使用法律執法、懲戒侵害行為等提升全民的個人信息權利意識。

“我國個人信息保護法草案具有一定的前瞻性，但相比而言，還有一些需要完善之處，應當完善相應的配套制度。”許身健建議，對于自然人的個人信息查詢權、復制權、更正權和刪除權的行使需要作出更加具體細致的規定，還有個人信息的境內儲存和安全評估等也需要進一步詳細規范，明確侵害個人信息的賠償范圍和計算方法等。

借鑒國際經驗利于跨境保護

從上世紀70年代開始，經濟合作與發展組織、亞太經濟合作組織和歐盟等先后出臺了個人信息保護相關準則、指導原則和法規，有140多個國家和地區制定了個人信息保護方面的法律。

2018年5月，歐盟正式實施《通用數據保護條例(The General Data Protection Regulation)》(“GDPR”)，取代此前的《歐洲數據保護指令》。“GDPR”被業內認為是目前全球主要經濟體中對數據信息保護管轄范圍最寬、立法新意最多、處罰最為嚴厲的規范，適用范圍是在歐洲設立并在其營業活動中處理個人數據的任何組織機構，且具有域外效力。

“從草案來看，充分借鑒了國外的一些經驗。”許身健認為，草案借鑒了較多“GDPR”的相關規范。

例如，“GDPR”中對“敏感個人數據”的定義擴大到包括基因數據和生物特征數據，作為監管機構的數據保護機關可以對違反“GDPR”的組織和機構作出其當年全球營業額4%或者2000萬歐元(以孰高者為準)的罰款決定，均在草案中有相關體現。

“草案可以視為與國際接軌的一個延伸，美國、澳大利亞、新西蘭、新加坡等地均修改了個人信息保護法，所以我們如何完善、適用法律與國際接軌，也是個人信息保護法出臺的一個重要原因。”朱巍表示。

在當前社會中，信息與數據不僅是數字經濟的關鍵要素，也是信息時代重要的生產要素。在我國，數據安全更是被上升為與國家安全同等重要的地位，也成為國際競爭間的關鍵。

“中國很多互聯網公司具有跨國性，法律上也需要相應地對中國企業進行保護，維護國家利益。”許身健認為，草案呼應了網絡信息時代對經濟保護的相關訴求。

草案明確，關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的處理者，確需向境外提供個人信息的，應當通過國家網信部門組織的安全評估;對于其他需要跨境提供個人信息的，規定了經專業機構認證等途徑。草案對跨境提供個人信息的“告知—同意”作出更嚴格的要求。對從事損害我國公民個人信息權益等活動的境外組織、個人，以及在個人信息保護方面對我國采取不合理措施的國家和地區，規定了可以采取的相應措施。

此次草案還完善了個人信息跨境提供規則，明確了個人信息處理活動中個人的權利和處理者義務，并明確了履行個人信息保護職責的部門。

許身健表示，中國互聯網產業走出去是重要方面，但其他國家的平臺進入中國來，要遵守中國法律，特別是關于個人信息保護方面的特殊規定，這是與國際接軌的一個重要表現。

互聯網商業模式迎考

當前已全面進入到互聯網經濟的下半場，幾乎所有的網絡服務推出都與個人信息有關。

剛與朋友聊旅游，手機轉眼就推送機票廣告，明明只是在電商平臺上搜索過某樣商品，打開另一款資訊App卻出現相同的廣告……越來越精準的個性化推送，讓不少人感到困惑。

“安寧權是隱私權和個人信息保護的核心，也是老百姓最關心的一個問題。什么情況下可以將我的大數據用作商業用途?”朱巍表示，此次草案中涉及的不僅是個人信息保護的問題，還涉及到廣告法。

草案規定，用戶可以要求平臺不推送個性化廣告。個人有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。通過自動化決策方式進行商業營銷、信息推送，應當同時提供不針對個人特征的選項。

“這里既包括廣告，也涉及大數據殺熟。如何從個人信息中剝離出大數據進行合法使用，是草案的重要意義之一。”朱巍表示，在使用網絡過程中，用戶的權益相對而言變得很小，而且被侵權的方式很隱晦，如果沒有一個原則性的法律去保障，企業可能將隨著科技的進一步發展而開啟“潘多拉魔盒”，對用戶造成不利影響。

個人信息保護與大數據利用之間的關系如何平衡，曾有相關司法判例。玩抖音刷出前女友?微信讀書信息默認開放?21世紀經濟報道8月報道，北京互聯網法院的一審判決，認定微信讀書、抖音兩款APP均有侵害用戶個人信息的情形。

兩個案件均借鑒了尚未實施的民法典的相關條例，微信讀書案體現了對互聯網時代人格權保護精神，抖音案則將隱私權和個人信息的考量限定在具體的網絡場景中。

在上述案件中，如何判定侵犯個人信息權，是否滿足用戶的知情、同意成為關鍵。因知情、同意還曾引發質疑的，還有各類網站制定“霸王條款”隨意變更VIP會員規則。

此次草案則確立以“告知—同意”為核心的個人信息處理一系列規則，要求處理個人信息應當在事先充分告知的前提下取得個人同意，并且個人有權撤回同意;重要事項發生變更的應當重新取得個人同意;不得以個人不同意為由拒絕提供產品或者服務。

實際上，對于互聯網企業的相關監管一直在路上。

2019年，工信部、國家網信辦等多部門已聯合開展了貫穿全年的APP個人信息專項治理工作，2020年仍在持續中。被公開的企業違規違法行為，多集中在私自收集個人信息、過度索取權限、私自共享給第三方等方面。

今年5月，江蘇淮安警方破獲了一起特大販賣公民個人信息案，共抓獲26名嫌疑人，涉案金額2000多萬元。其中，建設銀行員工丁某以每條80-100元不等的價格，幫忙查詢銀行卡信息，一年黑色收入超30萬元。

“個人信息很容易被濫用，甚至被買賣，現在草案加大了懲戒的力度，對違法行為賦以嚴格的法律責任。”許身健說，有互聯網企業早期曾利用數據野蠻生長，但隨著立法不斷嚴密，監管也將不斷收緊。

草案規定，違反本法規定處理個人信息，或者處理個人信息未按照規定采取必要的安全保護措施的，情節嚴重的，由履行個人信息保護職責的部門責令改正，沒收違法所得，并處5000萬元以下或者上一年度營業額5%以下罰款，并可以責令暫停相關業務、停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處10萬元以上100萬元以下罰款。

“根據這個條款的罰款，可以看出其實更主要規范的是大型的互聯網企業，法律在企業和個人之間，傾向于保護個人權益。”許身健認為，懲罰力度也成為此次草案的一大亮點。(張雅婷)

標簽： 上網痕跡 互聯網商業模式