个人信息保护制度就什么等方面全面立法。
《个人信息保护法》系统地立法规定了个人信息的定义、权利、处理规则、处理者的义务和法律责任,是我国第一部针对个人信息保护的法律。特别是对个人信息的过度收集、“大数据杀熟”、未成年人个人信息、跨境提供个人信息等作出了严格的规定。
时隔许久,中国首部系统全面的专门针对个人信息保护的法律终于正式落地。
在此之前,没有专门规范个人信息使用的国内法,相关规定散见于不同的法律法规中。随着互联网经济和数字化的发展,越来越多的应用场景涉及个人信息处理。同时,随着经济全球化和国际数据交换的强烈需求,有必要尽快出台保护个人信息的相关法律。“目前信息泄露比较严重,比如骚扰信息、诈骗电话。虽然相关部门对这些违法行为的打击由来已久,但如果不堵住信息泄露的源头,就无法从根本上解决问题,因此对信息保护有了更高的需求。《个人信息保护法》明确了信息的定义,限制了信息的滥用,以立法的方式保护私人信息,为查处信息违法行为提供了法律依据。另一方面为以后合法使用信息权提供了法律依据。”中南财经政法大学数字经济研究院执行院长、教授潘鹤林在接受《金融时报》记者采访时表示。
剑指“大数据杀熟”等问题回应社会关切。
北京史静(深圳)律师事务所联合创始人、史静深圳法律研究院院长王雁飞告诉英国《金融时报》记者,《个人信息保护法》经过多次修改和审议,对个人信息的定义和权利、处理规则、处理者的义务、法律责任等进行了系统、全面的立法,是我国第一部针对个人信息保护的法律。特别是对个人信息的过度收集、“大数据杀熟”、未成年人个人信息、跨境提供个人信息等作出了严格的规定。
其中,“大数据杀熟”是消费者最关心的问题之一。所谓“大数据杀熟”,一般是指平台对有购买记录的“老客户”、通过大数据分析判断为价格不敏感的用户等特定群体采取不同定价策略,往往导致“老客户”价格高于“新客户”价格的行为。对此,王雁飞表示:“在个人信息保护法颁布之前,还有网络安全法、民法典、消费者权益保护法以及一些文件。从具体实施层面来看,也有一些国家标准和文件可供参考。深圳等一些地区也出台了相关规定,但一直没有针对性、高层次的强制性法律。”
王雁飞表示,个人信息保护法将对“扼杀大数据”、过度收集个人信息等行为进行有效规制,如处以5000万元以下或上一年度营业额5%以下的罚款、责令停业相关业务或停业整顿、吊销相关经营许可证或营业执照等,对信息处理者将形成震慑。此外,对经手人和主管人员及其他直接责任人员的双重处罚制度也能有效防控上述问题。
潘鹤林也认为,数据安全法和个人信息保护法的结合,将为“扼杀大数据”和过度收集个人信息提供执法规范。
韩坤律师事务所合伙人段志超表示,相关规定并没有绝对禁止企业利用用户画像进行差异化定价(例如,向一些新的、不活跃的客户提供更便宜的价格或优惠补贴),但强调这些技术的应用不应导致不公平的结果。但是,差异化的销售策略和侵害个人权益的“大数据杀熟”的界限在哪里?这个问题值得业内进一步探讨。
新法下,互联网企业必须加强合规体系建设。
《个人信息保护法》的颁布将对企业如何使用数据产生一定的影响。潘鹤林解释说,个人信息被定义为一种权利,在使用信息相关资料时,法律提出了授权和脱敏的要求,在保护个人信息的同时兼顾了科技的发展。
此前被众多互联网平台视为“利器”的“千人推送”、“个性化展示”也面临新的调整。根据《个人信息保护法》,通过自动化决策向个人推送或者营销信息的,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。“一年多来,‘定向推送’和‘个性化展示’逐渐成为监管机构执法的重点。重点在于是否为用户提供不针对个人特征的选项或者是否提供关闭或拒绝机制,逐步深入到关闭和拒绝机制的真正有效性。企业在利用用户个人信息进行个性化展示和定向推送时,要注意尊重个人信息主体的知情权。”段志超说道。
潘鹤林说:“企业可以使用脱敏后的数据,但由于数据必须脱敏,大数据对个人的准确性会降低。但与此同时,数据收集和使用也进一步规范。未来,企业需要考虑在信息和数据的使用方面进一步完善内部控制。”
具体来说,互联网平台企业需要加强企业内部信息的数据保护机制,建立内控机制,确保数据和信息的安全,同时以制度的有效性保证信息利用的合法合规性。“在整个行业对数据和信息的使用限制越来越多的情况下,成本会上升,但这些成本对于安全是必要的。”潘鹤林说。
在王雁飞看来,近年来,互联网平台公司发展迅速,收集和应用了大量的个人信息,其中一些还是敏感的。大型互联网公司掌握了大量的个人信息,中小互联网公司合规体系不完善是普遍问题。他表示,《个人信息保护法》颁布后,可以有效规范互联网平台企业的规范运作,合法处理个人信息,特别是短期内,应该可以预见,在这部法律正式实施前,会有大量企业进行合规整改。
王雁飞认为,未来,加强监管和频繁维权是互联网公司必须面对的问题。“合规必然成为企业基业长青的基石,也要求任何企业都要有合规意识,建立数据合规体系,实现信息处理和合规保护的平衡。”王雁飞表示,在未来的发展中,企业有必要建立数据和信息保护部门,没有合规意识和制度建设的企业将被社会淘汰。
金融科技专家苏认为,随着《个人信息保护法》的实施,一方面,互联网平台企业的合规意识将增强,一些合规意识不高、合规水平不足的机构将难以适应大环境,从而逐步退出市场;另一方面也可以规范互联网业务中的信息保护规范。权责分配、隐私计算等围绕个人信息保护的科技产业将加速崛起,科技的工具属性将更多地被引导和应用到良性方面。
金融账户被归类为敏感的个人信息。
在《个人信息保护法》中,“金融账户”、生物特征识别、宗教信仰、特定身份、医疗健康、行踪轨迹、14周岁以下未成年人个人信息等信息被列为敏感个人信息。“在《个人信息保护法》第二十八条中,金融机构掌握的客户个人信息被列为特殊类型的‘敏感个人信息’。”上海国际经济贸易仲裁委员会仲裁员王表示,金融机构掌握的个人信息,根据其获取方式和功能的不同,可以在《个人信息保护法》下分为不同类型,相应地,金融机构也受到不同程度的保护。比如,员工个人信息属于《个人信息保护法》规定的“个人信息”类型,客户相关信息、业务合作伙伴相关个人信息属于“敏感个人信息”。总的来说,个人信息保护法为如何保护个人信息以及保护到什么程度提供了法律框架。
王说,金融机构经常深挖他们的个人信息,尤其是“敏感个人信息”。“尤其是在当前互联网理财、互联网保险、互联网消费金融、指纹支付、视频刷脸支付等互联网服务的市场背景下,交易习惯、消费偏好等客户个人信息是一座‘金矿’。通过对这些与交易相关的‘敏感个人信息’进行汇总和推导而获得的衍生个人信息,对金融机构的风险管理和业务发展具有重要价值。”他进一步表示,“衍生个人信息”是通过挖掘客户的“敏感个人信息”获得的,其性质仍然是“敏感个人信息”,因此机构有义务对其进行更好的保护。
但王认为,《个人信息保护法》第四条规定“个人信息不包括匿名化的信息”,这意味着如果“派生的个人信息”已经脱离了特定的自然人,其信息来源是来自一群自然人,可以匿名化而不指向特定的自然人,那么这种“派生的个人信息”就不再是。“《个人信息保护法》的出台,不仅为个人信息保护的顺利开展奠定了基础,而且作为信息保护领域的上位法,将加速征信管理和个人金融信息保护相关法律法规的出台。”