来自 养生 2021-08-25 15:48 的文章

法学家张新宝:平台收集用户信息需要事先征得同

 
 
8月20日,《个人信息保护法》表决通过,将于今年11月正式实施。大数据查杀、人脸识别、算法推荐、APP信息采集、大规模互联网平台监管、信息数据跨境使用等大家关心的问题,都涉及到这部法律。一般来说是会管理的。随着这部法律的颁布,业内有一种观点认为,数字经济野蛮生长的时代将会结束。
 
每个人都有保护个人信息的权利,这是法律首次明确规定。随着法律的实施,权责边界清晰,围绕信息安全的监管进入新的轨道。
 
在《个人信息保护法》颁布之际,网易科技专访了中国人民大学法学院教授、中国法学会网络与信息法学研究会副会长张新宝。
 
张教授是中国侵权法和信息法的资深专家。他参与了《个人信息保护法》的立法工作,并为该法起草了专家建议稿。此前,张教授是中国法学会民法典起草领导小组成员、侵权责任编总召集人,参与了《中华人民共和国民法典》的编纂工作。他也是《侵权责任法》的主要起草人之一。
 
 
 
《个人安全法》出台后,能否在小区出入口强制推行人脸识别?掌握海量用户信息数据的大企业平台如何监管?APP可以随意收集用户信息吗?针对这些问题,张新宝教授进行了专业解读。
 
以下是采访:
 
网易科技:在《个人信息保护法》中有一条规定,任何机构和个人不得过度收集个人信息。如何定义“过度”一词?
 
张新宝:通常理解为超出了处理个人信息的目的,违反了“最小化”原则。
 
《个人信息保护法》规定,个人信息的收集应当限制在实现处理目的的最低范围内:一方面,信息处理者不得收集超出个人信息处理的声称目的的个人信息,如秘密收集;另一方面,要求信息处理者只在最小程度上收集个人信息以达到处理的目的,不得超出实现个人信息处理目的的必要性,如强迫用户提供超出实现业务功能必要性的个人信息。
 
此外,针对常见类型app的必要个人信息范围,中央网办等四部门已出台《关于常见类型移动互联网应用必要个人信息范围的规定》,今后将继续推进此项工作。
 
网易科技:个人信息保护法颁布后,住宅小区门禁可以强制人脸识别吗?
 
张新宝:要看人脸识别是否用于公共安全。一般来说,社区门禁不能强制人脸识别,需要替代措施。
 
《个人信息保护法》规定,在公共场所安装图像采集和个人身份识别设备,应当是维护公共安全所必需的,否则应当取得个人同意。
 
因此,在小区安装门禁,首先要判断是否用于公共安全目的;其次,出于非公共安全目的使用人脸识别门禁,应仅在个人单独同意的情况下使用;此外,即使使用人脸识别进行访问控制,也应同时提供替代的访问控制方法,以确保所有者给出的同意是自愿的,而不是强迫的。
 
网易科技:法律出台后,APP被限制获取用户个人信息。最直接的影响是什么?
 
张新宝:法律规定,收集敏感个人信息需要特别通知,个人同意也是“个人同意”,加强了对敏感个人信息的保护。
 
与以往国内法律法规相比,《个人信息保护法》明确提出了敏感个人信息的概念和处理规则,加强了对敏感个人信息的保护,包括特定目的、充分必要、严格保护措施、特殊告知、单独同意等。说白了,APP获取个人信息会比过去更加困难,不允许因为个人意见不合而拒绝服务。
 
网易科技:对互联网公司有什么影响?比如像滴滴这样的大平台,他们掌握了很多数据。如何处理和管理这种情况?
 
张新宝:法律规定了个人信息处理者的义务,特别是大型平台企业的特殊义务。这些企业未来在个人信息保护方面会做得更好,合规成本会更高。
 
法律规定了处理者保护个人信息的义务,并规定了泄露时的法律责任。
 
网易科技:用户数据量大的公司要想海外上市,如何才能满足数据保护的要求?
 
张新宝:《个人信息保护法》明确规定,个人信息处理者在国家网信部门规定数量以内处理个人信息,确需向境外提供个人信息的,应当通过国家网信部门组织的安全评估。
 
此外,国家网信部近日启动了《网络安全审查办法》的修订工作,在《网络安全审查办法(征求意见修订稿)》中增加了“掌握100万以上用户个人信息的经营者出国”。上市必须申报网络安全审查的规定,同时大量个人信息会被窃取、泄露、破坏,并被非法使用或出境。大量个人信息将受到外国政府的影响、控制和输出
 
网易科技:如何实现互联网平台的第三方监管(或个人监管)?如何才能更具操作性?
 
张新宝:一是个人信息保护主管部门等政府部门的日常监管;二是内部合规制度;第三,有外部人员参与的独立机构的监督。
 
网易科技:软件服务提供商经常使用长词来解释他们使用了我的(个人)信息,但如果他们不同意,他们就不能使用他们的应用程序。在很多场景下,用户无法阅读所有条款,这实际上构成了一种“强制同意”。《个人信息保护法》颁布后,这一现象能否得到改善?
 
张新宝:法律规定了这些行为,基本上就是交易一定不能被拒绝,即使个人不同意自己处理个人信息,也要提供相应的基础服务。
 
网易科技:个人信息保护法颁布后,大数据被扼杀应该承担怎样的法律责任?
 
张新宝:第一,个人信息处理者利用个人信息进行自动化决策时,要保证决策的透明度和结果的公平公正,不要在交易价格等交易条件上对个人给予不合理的差别待遇。
 
要通过自动决策向个人推送信息和进行商业营销,应同时提供不针对其个人特点的选项,或向个人提供便捷的拒绝方式。
 
第二,在通过自动化决策做出对个人权益影响较大的决策时,个人有权要求个人信息处理者进行解释,拒绝个人信息处理者仅通过自动化决策做出决策。
 
第三,如果用大数据杀人,造成人身损害,需要承担《个人信息保护法》《消费者权益保护法》《民法典》规定的法律责任。
 
网易科技:有人提到,《个人信息保护法》确立了个人信息的携带权,加强了用户的自主性,可以有效打破个人信息流通的壁垒,以用户权益为出发点,形成“用户主导”的个人信息跨平台流通,具有防止个人信息被锁定、降低市场进入壁垒、增强平台间竞争的效果。你怎么想呢?一般来说,什么是便携性?
 
张新宝:这个观点和预期基本正确。所谓“携带权”,是指个人将个人信息从一个存储位置转移到另一个存储位置的权利,比如你将个人信息从阿里巴巴云转移到百度云。
 
网易科技:为什么人脸识别、人工智能技术、自动决策需要特别关注?不重视不规范不约束会怎么样?
 
张新宝:这涉及到科技发展和伦理道德的边界。科技发展越深入,其中涉及的伦理问题和权益就会凸显出来,因此需要引起重视。这在立法说明中有充分说明,也是人民群众的迫切要求。全国人大法制委员会在立法说明中指出,虽然近年来我国对个人信息的保护力度不断加大,但在现实生活中,一些企业、机构甚至个人,从商业利益出发,随意收集、非法获取、过度使用、非法买卖个人信息,利用个人信息扰乱人民群众生活安宁,危害人民群众生命健康和财产安全。在信息时代,个人信息的保护已经成为群众最直接、最现实的利益之一。社会各界广泛呼吁出台专门的个人信息保护法。本届会议以来,340名NPC代表提出了39项相关建议,全国政协委员提出了32项相关提案。
 
网易科技:谁来决定个人信息保护的标准和规则?
 
张新宝:法律规定了基本标准、规则、细则、技术标准等。,国家网信部协调相关部门制定个人信息保护的具体规则和标准,以及适用于敏感个人信息和人脸识别的特殊个人信息保护规则和标准。与此前各主管部门出台的个人信息保护规则和标准相比,《个人信息保护法》强调国家网络信息部门的统筹协调职能,有利于规则和标准的统一。
 
网易科技:很多时候,个人是无法知道自己的个人信息已经被平台或者设备厂商收集了。比如在使用手机厂商或者一些服务平台提供的产品和服务的过程中,没有办法知道信息是否已经被收集。这种情况如何解决?
 
张新宝:法律规定了告知同意的基本规则。收集个人信息,应当告知并取得个人同意,法律另有规定的除外。
 
这些平台和设备也需要告知并同意收集个人信息。如果违反相关规定,主管部门会追究其法律责任,个人也可以起诉,甚至检察院可以提起公益诉讼。
 
此外,《个人信息保护法》还构建了多元参与机制,包括社会化服务机构,如支持相关机构开展个人信息保护评估,通过专业机构开展个人信息保护评估,可以起到对个人信息处理者的监督约束作用。
 
《个人信息保护法》也明确,国家网络信息部门要完善个人信息保护投诉举报工作机制,通过具有专业知识的人作为举报人,向主管部门提供处理个人信息违法违规的线索,加强公民参与和监督。