“大数据杀熟”？国家出手！ 8月17日

8月17日，个人信息保护法草案三审稿提请十三届全国人大常委会第三十次会议审议。草案进一步完善了个人信息处理规则，特别是对应用程序过度收集个人信息、“大数据杀熟”等作出了针对性规定，为个人信息处理活动划出红线。对此，众多业内专家均表示，个人信息保护法草案能够进一步维护广大人民群众的网络空间合法权益，促进个人信息合理利用。
“决策”不能任性而动
“当前，社会各方面对于用户画像、算法推荐等新技术新应用高度关注，对相关产品和服务中存在的信息骚扰、‘大数据杀熟’等问题反映强烈。”全国人大常委会法工委发言人臧铁伟在日前举行的采访人员会上表示，个人信息保护法草案立足于维护广大人民群众的网络空间合法权益，对利用个人信息进行自动化决策作出有针对性规范。
据介绍，公众熟知的用户画像、算法推荐等均属于自动化决策行为。自动化决策能够通过程序自动分析使用者的行为习惯、兴趣爱好、信用状况等，再进行决策活动。一旦自动化决策被违规使用，就可能会对个人在交易价格等交易条件上产生不合理的差别待遇。因此，个人信息保护法草案对利用个人信息进行自动化决策作出了专门规范。
此次草案明确，自动化决策应当遵守个人信息处理的一般规则，包括应遵循合法、正当、必要和诚信原则，目的明确和最小化处理原则等。自动化决策应当在充分告知个人信息处理相关事项的前提下取得个人同意，不得以个人不同意为由拒绝提供产品或者服务。
在上述规则下，法律草案提出，个人信息处理者要保证自动化决策的透明度和结果的公平、公正，不得通过自动化决策对个人在交易价格等交易条件上实行不合理的差别待遇，并在事前进行个人信息保护影响评估。对于违法处理个人信息的应用程序，履行个人信息保护职责的部门将责令暂停或者终止提供服务。
个人有权拒绝自动化决策
法律草案不仅明确了企业、平台等个人信息处理者的行为边界，而且赋予个人更加充分的权利保障。草案要求个人信息处理者通过自动化决策方式向个人进行信息推送、商业营销时，应当同时提供不针对其个人特征的选项，或者向个人提供拒绝的方式；作出对个人权益有重大影响的决定，个人有权要求予以说明，并有权拒绝仅通过自动化决策的方式作出决定。
针对敏感个人信息，草案也作出明确规定。敏感个人信息一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害。这类个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。
只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。处理敏感个人信息应当取得个人的单独同意，法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。
制定个人信息保护平台规则
上海段和段律师事务所律师刘春泉建议，软件、硬件设计、网络平台服务应当符合法律法规关于保护个人隐私与个人信息的要求。“为了体现设计保护个人信息的具体制度建设，软件和硬件必须从设计开始就注重保护个人信息。”
草案还增加规定，大型互联网企业应当遵循公开、公平、公正的原则，制定有关个人信息保护的平台规则；国家网信部门针对小型个人信息处理者制定相关规则。
北京师范大学网络法治国际中心执行主任吴沈括表示，此次立法关注大型互联网企业的个人信息保护相关平台治理体系的制度型建设，切中数字生态治理要点，从内外两个方面要求提升平台保护水平，一方面为平台合规风控指明了努力的方向，另一方面为个人信息主体合法权益的有效保护提供了扎实的制度依据，这种内外多方主体共治的思路格局在全世界个人信息保护立法浪潮中独树一帜。