律师解读《个人信息保护法》:面对大数据杀熟等行为 个人如何维权
该法首次提出了个人敏感信息、公益诉讼等新的司法概念,并针对用户画像、大数据杀熟、算法歧视等问题做出规范。
北京瀛和律师事务所业务中心总监高楠对记者表示,法律的导向是,在面对自动化决策、人脸识别等新兴技术时,赋予个人知情权和选择退出的权利,同时,肯定这些技术和企业在商业环境中的价值。
中伦律师事务所合伙人陈际红表示,从企事业单位角度来看,法律为了促进合规、阻却违法,制定了严厉的举措,力度堪比欧盟GDPR(《通用数据保护条例》),企业应提前布局合规,防范法律风险。
法律规范了什么
与《网络安全法》和《数据安全法》有所区别,《个人信息保护法》侧重保护个人信息,监管对象是个人信息的处理者和受托人。简单说,如果医院收集和处理病人的病例数据,医院就是处理者,服务医院的数据技术供应商就是受托人。所谓个人信息的处理,包含收集、存储、使用、加工、传输、提供、公开、删除的完整周期。
从内容上看,法律对个人信息的范围作出了界定、确定个人信息处理的基本原则、个人信息主体的权利及保护、个人信息跨境传输的处理,以及个人信息处理者的义务和责任。法律还规范了个人数据的跨境,借鉴国外立法经验,设定了域外适用原则。
高楠表示,在中央层面,明确了国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作,在地方层面,明确了由县级以上地方人民政府有关部门履行管理职责。但是,关于监管机构的职责,需要在实践过程中厘清各部门之间的职责界限,有待进一步探索和明确。
陈际红表示,《个人信息保护法》在国内首次将个人信息分类成敏感和非敏感个人信息。法律上看,敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等,以及不满十四周岁未成年人的个人信息。这些信息一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害。相对来说,个人姓名、职称等属于非敏感个人信息。
从保护个人的角度,法律首次提出了单独同意和书面同意的要求。陈际红表示,涉及个人的敏感信息、跨境信息等敏感数据处理场景时,要拿到个人的单独同意。比如说,在公共场所安装图像采集、个人身份识别设备所收集个人图像、身份识别信息的情况下,如果要用于非安保目的,则要给个人发送同意授权书,明确告知用户人脸信息的重要性和危害,获得单独同意,而且不能和其他同意捆绑。
常见的情况是,一座商场通过布置监控摄像头来防盗防火,法律是允许的,因为这是出于公共安全的目的,若将摄像头收集的图像用于对来往顾客的分析,则需要经过顾客的单独同意。另外,如果紧急情况下,例如医院对病人的抢救,无法得到病人的及时同意,那么也需要延后告知。
个人的权益
《个人信息保护法》出台的产业背景,是当前人工智能等新兴技术的飞速发展,法律明确指出了自动化决策,也就是人工智能的概念。目前该技术已经在中国的金融、医疗、安防、教育、交通、零售等多个领域实现技术的落地。
高楠表示,这种技术在商业领域的合理运用可以提高经济效率,降低双向搜寻成本,有利于消费者的个性化定制与边缘创新。但另一方面,产业的快速爆发也导致其陷入“野蛮生长”,过度的用户画像、大数据杀熟、算法歧视等现象,已经对公众利益造成影响。《个人信息保护法》首次对这些情况做出了规范。
一个普遍的现象是,在同一个APP上订酒店,不同用户显示不同价格,这违反了算法处理的公平公正原则,是不被法律允许的。高楠表示,对于企业以商业目的,对用户进行画像、算法,应当在充分告知个人信息处理相关事项的前提下取得个人同意,或者提供一个替代方案。一旦算法决策对个人权益有重大影响,包括影响升职加薪、贷款申请等,用户对此有权要求企业予以说明,并且有权拒绝。当个人拒绝,企业不得以此为由拒绝提供产品或者服务。
另外对人脸、声音、指纹、虹膜等生物信息的识别,属于敏感信息,除非取得个人单独同意,否则只能用于维护公共安全的目的,不得用于其他目的,即便个人同意,处理者也不能将生物特征识别作为唯一选项,应该提供给个人更多的选择权。
企事业单位的责任
对于监管对象,法律规定了两类责任主体,个人信息的处理者和受托人,通常前者为主,后者协助,共同面对监管和惩罚,双方对内再根据过错程度划分责任。
陈际红表示,法律对企业事业单位制定了严厉的举措,包括高额的行政罚款和公益诉讼。
陈际红表示,根据法律,惩罚措施包括责令改正、给予警告,没收违法所得;责令APP暂停或者终止服务。若信息处理者拒不改正,处以一百万元以下罚款,对直接负责的人主管人员和其他直接责任人员处一万元以上十万元以下罚款。
情节严重时,高达五千万元以下或者上一年度营业额5%以下罚款,并可责令暂停业务或者停业整顿、吊销执照。对直接负责的主管人员和其他直接责任人员处十万元以上一百万以下罚款,并可禁止其担任董监高或DPO(数据保护官)。同时,组织和个人的相关违法行为还会被记入信用档案并予以公示。
对于个人如何维权,法律的另一项措施是公益诉讼。高楠表示,这是本法的一项首创,当众多个人敏感信息受到侵害,个人可以向三大类机构进行诉讼,包括人民检察院、法律规定的消费者组织、由国家网信部门确定的组织,三选一即可,然后由机构向法院起诉。
陈际红认为,公益诉讼讲究的是社会效果,新法施行后,头部企业、大平台可能会成为公益诉讼的目标。对企业来说,经济损失可以承受,但是声誉损失是难以承受的,因此这是企业防范法律风险时的一个要点。
整体上,该法对企业组织来说,需要付出一定的合规成本,经历合规的过程。对此,陈际红提出了企业合规的基本思路。
第一,数据合规不再仅仅是法务的事情,而是企业管理层的决策,管理层需要授权给主管的部门,调配资源;第二,应设置一个专门机构,承担数据合规的执行的角色;第三,要根据流程做数据盘点,作为家底的数据有多少、有哪些,具备什么特点;第四,构建数据合规体系,制定公司数据保护合规纲领性文件,规定基本原则和底线要求;针对业务需求,为业务人员制定可执行、可量化、具体化的操作手册等,并且提前关注一些风险点。
