用户画像、算法推荐等涉及个人信息自动化决策的立法或将颁布。8月17日,《个人信息保护法(草案)》(以下简称“草案”)提请全国人大常委会会议第三次审议。
作为中国首部个人信息保护的专门性立法,草案的立法进程备受关注。与此前的草案二审稿相比,三审稿进一步回应了社会关切,特别对应用程序(APP)过度收集个人信息、“大数据杀熟”等作出针对性规范,同时对个人信息跨境提供规则作出相关规定。
“目前一些法律法规、标准文件中虽然对用户权利、用户画像、个性化推送等问题有过一些规定,但尚未对普适性的‘大数据杀熟’问题作出明确,草案从法律层面对这一问题的规定有非常重要的意义。”金诚同达律师事务所高级合伙人彭凯告诉《中国经营报》记者。
限制过度收集个人信息
吃饭要获取定位信息,注册会员要填写生日、学历等个人信息,浏览一条商品信息,就会受到铺天盖地的相关推送,在享受一部手机就能走天下的便利的同时,信息化时代也给个人信息安全带来一定挑战。
“当前,社会各方面对于用户画像、算法推荐等新技术新应用高度关注,对相关产品和服务中存在的信息骚扰、‘大数据杀熟’等问题反映强烈。草案三审稿立足于维护广大人民群众的网络空间合法权益,对利用个人信息进行自动化决策作了有针对性规范。”全国人大常委会法工委发言人臧铁伟表示。
“个人信息安全立法过程中,最核心的问题就是信息收集,然后是信息收集后的保管不当和非法利用。”一位法学专家表示。
草案三审稿规定,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围。
记者了解到,对于个人信息泄露问题,草案三审稿增加了规定,任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
对于个性化推送的烦恼,草案三审稿也作出了回应。草案三审稿明确了自动化决策的概念,是指通过程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。
“自动化决策应当遵守个人信息处理的一般规则,包括应遵循合法、正当、必要和诚信原则,目的明确和最小化处理原则,公开透明原则,信息质量原则,责任原则等。”臧铁伟表示,自动化决策,包括用户画像、算法推荐等,应当在充分告知个人信息处理相关事项的前提下取得个人同意,不得以个人不同意为由拒绝提供产品或者服务。
“以往对APP违法违规收集个人信息的行为的处理,主要是进行通报、要求下架或对个人信息处理者进行行政处罚等措施,《个人信息保护法》的出台意味着消费者提出民事索赔的渠道也会更为顺畅。”彭凯说。
草案三审稿还增加规定,利用个人信息进行自动化决策,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
完善个人信息跨境提供规则
信息技术的发展和国际合作交流的增多,数据资源的重要性不言而喻,个人信息出境行为的规范也迫在眉睫。草案三审稿对转移到境外的个人信息作出规定,要求相关信息保护不应低于中国保护标准。
草案三审稿增加规定,中华人民共和国缔结或者参加的国际条约、协定对向境外提供个人信息的条件等有规定的,可以按照其规定执行。个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。
草案还明确,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。
一位数据安全领域的资深律师告诉本报记者,目前国际上对个人信息的出境行为都有不同程度的限制,通常都以告知信息主体获得同意为首要前提。除了常规的告知同意外,《网络安全法》就已经规定对于关键信息基础设施运营者的个人信息出境安全评估义务。
“从整体趋势看,对于达到一定数量的个人信息出境需要进行安全评估很可能会成为未来的监管方向。除了安全评估以外,因为数据跨境提供很可能涉及到数据共享,需要同时满足数据共享的相关要求。”彭凯说。
《个人信息保护法》在维护个人信息权益的同时,也是对企业个人信息处理义务的进一步明确。
“我们部门越来越忙,之前一些主要配合业务部门的工作,现在需要我们做重新规划。”一位互联网企业合规部门人士告诉记者,正在抓紧研究数据安全方面的新规定。
“个人信息保护的专门法律即将出台,企业的个人信息保护违法成本将大幅上升,对个人信息保护的合规安排刻不容缓。特别是处理敏感个人信息的特殊保护、个人信息跨境提供的合规等,将成为企业优先和重点的合规事项。”彭凯说。