是否允許授權(quán)打開相冊(cè)�����、是否允許授權(quán)打開通訊錄�����、是否允許授權(quán)開啟定位……如今�����,想要正常使用一款A(yù)pp�,人們得先和平臺(tái)方達(dá)成“交易”����,多數(shù)人似乎已經(jīng)習(xí)慣了默認(rèn)平臺(tái)方的授權(quán)要求,畢竟如果點(diǎn)擊關(guān)閉或拒絕��,可能面臨無法正常使用服務(wù)��,甚至出現(xiàn)App直接閃退的情況�。
現(xiàn)在,有地方立法向這類行為“出手”了。
6月29日���,《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例》(以下簡(jiǎn)稱《條例》)經(jīng)廣東省深圳市七屆人大常委會(huì)第二次會(huì)議表決通過���,將于2022年1月1日起施行?!稐l例》對(duì)任性收集個(gè)人信息、強(qiáng)制個(gè)性化推薦等行為說“不”��,并給予重罰��。
中國市場(chǎng)監(jiān)管學(xué)會(huì)理事張韜近日接受《法治日?qǐng)?bào)》記者采訪時(shí)表示��,《條例》作為國內(nèi)數(shù)據(jù)領(lǐng)域首部基礎(chǔ)性����、綜合性立法,著力關(guān)注個(gè)人信息保護(hù)問題����,尤其強(qiáng)化對(duì)未成年人個(gè)人信息的保護(hù),其中一些規(guī)定可以為正在審議的個(gè)人信息保護(hù)法草案提供參考借鑒��。
“告知-同意”規(guī)則遏制App強(qiáng)制捆綁
App的授權(quán)權(quán)限問題其實(shí)是個(gè)老生常談的話題�。今年4月公開征求意見的《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序個(gè)人信息保護(hù)管理暫行規(guī)定(征求意見稿)》中就明確了從事App個(gè)人信息處理活動(dòng)的���,應(yīng)遵循“知情同意”“最小必要”兩項(xiàng)重要原則,同時(shí)還特別指出�����,應(yīng)當(dāng)采取非默認(rèn)勾選的方式征得用戶同意�。
《條例》明確了處理個(gè)人數(shù)據(jù)的五大基本原則,即合法正當(dāng)�����、最小必要�����、知情同意����、準(zhǔn)確完整和確保安全原則����。
對(duì)此,深圳市人大常委會(huì)法工委副主任林正茂介紹說���,在個(gè)人數(shù)據(jù)保護(hù)方面���,《條例》的規(guī)定與個(gè)人信息保護(hù)法草案二審稿保持了銜接�。
針對(duì)個(gè)人信息收集和使用環(huán)節(jié)出現(xiàn)的種種亂象�,個(gè)人信息保護(hù)法草案二審稿確立了個(gè)人信息處理應(yīng)遵循的原則,強(qiáng)調(diào)處理個(gè)人信息應(yīng)當(dāng)采用合法����、正當(dāng)?shù)姆绞剑哂忻鞔_���、合理的目的���,限于實(shí)現(xiàn)處理目的的最小范圍,公開處理規(guī)則��,采取必要的安全保障措施等�,這些原則應(yīng)當(dāng)貫穿于個(gè)人信息處理活動(dòng)的全過程各環(huán)節(jié)。
對(duì)于各大App平臺(tái)較為關(guān)注的“最小必要”原則的具體內(nèi)涵�����,個(gè)人信息保護(hù)法草案二審稿規(guī)定��,處理個(gè)人信息應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的所必要的最小范圍,采取對(duì)個(gè)人權(quán)益影響最小的方式���,不得進(jìn)行與處理目的無關(guān)的個(gè)人信息處理���。
張韜注意到,《條例》第十一條對(duì)“最小必要”原則進(jìn)行了列舉�,比如,包括建立最小授權(quán)的訪問控制策略�����,使被授權(quán)訪問個(gè)人數(shù)據(jù)的人員僅能訪問完成職責(zé)所需的最少個(gè)人數(shù)據(jù)���,且僅具備完成職責(zé)所需的最少數(shù)據(jù)處理權(quán)限�。同時(shí)使用了“包括但不限于”的表述為日后完善留下空間��。
“這是非常好的立法創(chuàng)新�,在個(gè)人信息保護(hù)法的制定中也應(yīng)借鑒?!睆堩w指出�����,個(gè)人信息保護(hù)法草案二審稿并沒有對(duì)最小必要原則明確具體的情形作要求,建議可進(jìn)一步細(xì)化�����,就如何判斷違反最小必要原則提出較為具體的認(rèn)定標(biāo)準(zhǔn)�����,這樣更有助于最小必要原則落到實(shí)處���,為數(shù)據(jù)處理者����、數(shù)據(jù)提供者�、執(zhí)法監(jiān)管部門等提供更好的行為指引。
當(dāng)前App經(jīng)常會(huì)通過“一攬子協(xié)議”將收集個(gè)人數(shù)據(jù)與其功能或服務(wù)進(jìn)行捆綁��,令很多使用者“敢怒不敢言”��,隨著個(gè)人信息保護(hù)法的出臺(tái)�,這種行為將得到規(guī)制。
個(gè)人信息保護(hù)法草案二審稿確立了以“告知-同意”為核心的個(gè)人信息處理規(guī)則�,要求處理個(gè)人信息應(yīng)在事先充分告知的前提下取得個(gè)人同意,不得以個(gè)人不同意為由拒絕提供產(chǎn)品或者服務(wù)�。
《條例》也基于這一規(guī)則規(guī)定���,處理個(gè)人信息應(yīng)當(dāng)在事先充分告知的前提下取得個(gè)人同意,數(shù)據(jù)處理者應(yīng)當(dāng)提供撤回同意的途徑�,不得對(duì)撤回同意進(jìn)行不合理限制或者附加不合理?xiàng)l件。
“‘告知-同意’規(guī)則中的告知是要充分保障個(gè)人主體的知情權(quán)���,同意是要保障其對(duì)信息的自主決定權(quán)�����,保障這兩種權(quán)利才能從根本上保障個(gè)人信息安全�?����!本W(wǎng)經(jīng)社電子商務(wù)研究中心特約研究員趙占領(lǐng)說���。
將未成年人信息視為敏感個(gè)人信息
據(jù)最新發(fā)布的《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示�,截至2020年12月��,我國小學(xué)及以下網(wǎng)民群體占比由2020年3月的17.2%提升至19.3%�,未成年人已經(jīng)是我國網(wǎng)民的重要組成部分。隨著“觸網(wǎng)年齡”不斷降低,如何保護(hù)未成年人的個(gè)人信息安全一直備受關(guān)注��。
趙占領(lǐng)注意到����,《條例》中有不少專門針對(duì)未成年人數(shù)據(jù)保護(hù)的規(guī)定��。最值得關(guān)注的是�,《條例》將未滿十四歲的未成年人的個(gè)人數(shù)據(jù)視作敏感個(gè)人數(shù)據(jù),適用處理敏感個(gè)人數(shù)據(jù)的有關(guān)規(guī)定��,這在國內(nèi)的立法中尚屬首次�。
在趙占領(lǐng)看來,敏感個(gè)人數(shù)據(jù)的規(guī)定借鑒了2020年10月1日起施行的《信息安全技術(shù)個(gè)人信息安全規(guī)范》中關(guān)于“十四歲以下兒童的個(gè)人信息屬于敏感個(gè)人信息”的規(guī)定�。
在個(gè)人信息保護(hù)法草案二審稿中,也對(duì)“敏感個(gè)人信息”作出了規(guī)定��,是指一旦泄露或者非法使用��,可能導(dǎo)致個(gè)人受到歧視或者人身��、財(cái)產(chǎn)安全受到嚴(yán)重危害的個(gè)人信息����,包括種族、民族、宗教信仰�����、個(gè)人生物特征�����、醫(yī)療健康�、金融賬戶、個(gè)人行蹤等信息�。
針對(duì)個(gè)人信息處理者處理不滿十四周歲未成年人個(gè)人信息的,草案二審稿要求應(yīng)當(dāng)取得未成年人父母或其他監(jiān)護(hù)人的同意���。但并未將未成年人個(gè)人信息作為個(gè)人敏感信息進(jìn)行保護(hù)�。
“未成年人是國家發(fā)展的未來和希望�����,其認(rèn)知能力����、辨別能力和自我保護(hù)能力相對(duì)薄弱,在違法違規(guī)收集使用個(gè)人信息問題層出不窮的形勢(shì)下����,更需要加強(qiáng)對(duì)未成年人個(gè)人信息的保護(hù)�,以切實(shí)維護(hù)未成年人利益����?�!睆堩w認(rèn)為�����,有必要借鑒《條例》規(guī)定��,在個(gè)人信息保護(hù)法中將未滿十四歲的未成年人個(gè)人信息視為敏感個(gè)人信息���。
多層面加強(qiáng)未成年人個(gè)人信息保護(hù)
據(jù)全國人大常委會(huì)法制工作委員會(huì)發(fā)言人臧鐵偉介紹����,在中國人大網(wǎng)針對(duì)個(gè)人信息保護(hù)法草案二次審議稿公開征求社會(huì)公眾意見后�����,有相當(dāng)一部分人建議進(jìn)一步加強(qiáng)對(duì)未成年人個(gè)人信息的保護(hù)�����。
張韜也建議加強(qiáng)對(duì)未成年人個(gè)人信息保護(hù)力度。他說�,目前個(gè)人信息保護(hù)法草案二審稿僅規(guī)定處理未成年人個(gè)人信息應(yīng)當(dāng)在處理前取得未成年人父母或者其他監(jiān)護(hù)人同意,但并未對(duì)同意的具體方式進(jìn)行明確��,也未規(guī)定其他對(duì)未成年人個(gè)人信息保護(hù)的方式�����。
亞太網(wǎng)絡(luò)法律研究中心主任劉德良對(duì)此表示認(rèn)同���,他認(rèn)為個(gè)人信息在網(wǎng)絡(luò)時(shí)代越來越具有商業(yè)價(jià)值���,這是導(dǎo)致非法收集、買賣和濫用行為日益泛濫的最主要原因����。未成年人個(gè)人信息背后的商業(yè)價(jià)值巨大,但其自身辨別能力較弱���,理應(yīng)受到法律的特殊保護(hù)�,應(yīng)加強(qiáng)對(duì)信息處理者收集使用未成年人個(gè)人信息行為的規(guī)范����,加大對(duì)侵害未成年人個(gè)人信息違法行為的打擊力度等��,多層面加強(qiáng)對(duì)未成年人個(gè)人信息的保護(hù)�����。
剛搜索過某種商品或打開某條新聞����,平臺(tái)就會(huì)推送類似的商品或信息……用戶畫像和個(gè)性化推薦在提供精準(zhǔn)服務(wù)的同時(shí)���,也讓人感覺隱私被“圍觀”,特別是對(duì)缺乏基本辨識(shí)認(rèn)知能力的未成年人而言�,更是難以辨別這種推薦是否符合其自身利益。
為此�����,《條例》明確����,除為了維護(hù)未滿十四周歲未成年人的合法權(quán)益并征得其監(jiān)護(hù)人明示同意外,不得向其進(jìn)行個(gè)性化推薦��。
張韜指出,個(gè)人信息保護(hù)法草案二審稿第二十五條對(duì)利用個(gè)人信息進(jìn)行自動(dòng)化決策的行為進(jìn)行了規(guī)范��,但該規(guī)定具有普適性�����,并未根據(jù)未成年人個(gè)人信息保護(hù)的特殊情況作出針對(duì)性規(guī)定�。《條例》原則上禁止向未成年人進(jìn)行個(gè)性化推薦�,例外情況下才允許,體現(xiàn)了對(duì)未成年人個(gè)人信息的傾斜保護(hù)��。建議在制定個(gè)人信息保護(hù)法過程中增加相應(yīng)規(guī)定�����,進(jìn)行傾斜性保護(hù)���。
劉德良也表示��,個(gè)人信息保護(hù)立法要注意方向�,不是一味地去保密信息����,更關(guān)鍵的是要在如何防止濫用上下功夫�,尤其針對(duì)未成年人的信息����,這一點(diǎn)更為重要。
責(zé)任編輯:袁丹華
京公網(wǎng)安備 11010502045281號(hào)
