《個人信息保護法》系統地立法規定了個人信息的定義、權利、處理規則、處理者的義務和法律責任,是我國第壹部針對個人信息保護的法律。特別是對個人信息的過度收集、“大數據殺熟”、未成年人個人信息、跨境提供個人信息等作出了嚴格的規定。
時隔許久,中國首部系統全面的專門針對個人信息保護的法律終於正式落地。
在此之前,沒有專門規範個人信息使用的國內法,相關規定散見於不同的法律法規中。隨著互聯網經濟和數字化的發展,越來越多的應用場景涉及個人信息處理。同時,隨著經濟全球化和國際數據交換的強烈需求,有必要盡快出臺保護個人信息的相關法律。“目前信息泄露比較嚴重,比如騷擾信息、詐騙電話。雖然相關部門對這些違法行為的打擊由來已久,但如果不堵住信息泄露的源頭,就無法從根本上解決問題,因此對信息保護有了更高的需求。《個人信息保護法》明確了信息的定義,限制了信息的濫用,以立法的方式保護私人信息,為查處信息違法行為提供了法律依據。另壹方面為以後合法使用信息權提供了法律依據。”中南財經政法大學數字經濟研究院執行院長、教授潘鶴林在接受《金融時報》記者采訪時表示。
劍指“大數據殺熟”等問題回應社會關切。
北京史靜(深圳)律師事務所聯合創始人、史靜深圳法律研究院院長王雁飛告訴英國《金融時報》記者,《個人信息保護法》經過多次修改和審議,對個人信息的定義和權利、處理規則、處理者的義務、法律責任等進行了系統、全面的立法,是我國第壹部針對個人信息保護的法律。特別是對個人信息的過度收集、“大數據殺熟”、未成年人個人信息、跨境提供個人信息等作出了嚴格的規定。
其中,“大數據殺熟”是消費者最關心的問題之壹。所謂“大數據殺熟”,壹般是指平臺對有購買記錄的“老客戶”、通過大數據分析判斷為價格不敏感的用戶等特定群體采取不同定價策略,往往導致“老客戶”價格高於“新客戶”價格的行為。對此,王雁飛表示:“在個人信息保護法頒布之前,還有網絡安全法、民法典、消費者權益保護法以及壹些文件。從具體實施層面來看,也有壹些國家標準和文件可供參考。深圳等壹些地區也出臺了相關規定,但壹直沒有針對性、高層次的強制性法律。”
王雁飛表示,個人信息保護法將對“扼殺大數據”、過度收集個人信息等行為進行有效規制,如處以5000萬元以下或上壹年度營業額5%以下的罰款、責令停業相關業務或停業整頓、吊銷相關經營許可證或營業執照等,對信息處理者將形成震懾。此外,對經手人和主管人員及其他直接責任人員的雙重處罰制度也能有效防控上述問題。
潘鶴林也認為,數據安全法和個人信息保護法的結合,將為“扼殺大數據”和過度收集個人信息提供執法規範。
韓坤律師事務所合夥人段誌超表示,相關規定並沒有絕對禁止企業利用用戶畫像進行差異化定價(例如,向壹些新的、不活躍的客戶提供更便宜的價格或優惠補貼),但強調這些技術的應用不應導致不公平的結果。但是,差異化的銷售策略和侵害個人權益的“大數據殺熟”的界限在哪裏?這個問題值得業內進壹步探討。
新法下,互聯網企業必須加強合規體系建設。
《個人信息保護法》的頒布將對企業如何使用數據產生壹定的影響。潘鶴林解釋說,個人信息被定義為壹種權利,在使用信息相關資料時,法律提出了授權和脫敏的要求,在保護個人信息的同時兼顧了科技的發展。
此前被眾多互聯網平臺視為“利器”的“千人推送”、“個性化展示”也面臨新的調整。根據《個人信息保護法》,通過自動化決策向個人推送或者營銷信息的,應當同時提供不針對其個人特征的選項,或者向個人提供便捷的拒絕方式。“壹年多來,‘定向推送’和‘個性化展示’逐漸成為監管機構執法的重點。重點在於是否為用戶提供不針對個人特征的選項或者是否提供關閉或拒絕機制,逐步深入到關閉和拒絕機制的真正有效性。企業在利用用戶個人信息進行個性化展示和定向推送時,要註意尊重個人信息主體的知情權。”段誌超說道。
潘鶴林說:“企業可以使用脫敏後的數據,但由於數據必須脫敏,大數據對個人的準確性會降低。但與此同時,數據收集和使用也進壹步規範。未來,企業需要考慮在信息和數據的使用方面進壹步完善內部控制。”
具體來說,互聯網平臺企業需要加強企業內部信息的數據保護機制,建立內控機制,確保數據和信息的安全,同時以制度的有效性保證信息利用的合法合規性。“在整個行業對數據和信息的使用限制越來越多的情況下,成本會上升,但這些成本對於安全是必要的。”潘鶴林說。
在王雁飛看來,近年來,互聯網平臺公司發展迅速,收集和應用了大量的個人信息,其中壹些還是敏感的。大型互聯網公司掌握了大量的個人信息,中小互聯網公司合規體系不完善是普遍問題。他表示,《個人信息保護法》頒布後,可以有效規範互聯網平臺企業的規範運作,合法處理個人信息,特別是短期內,應該可以預見,在這部法律正式實施前,會有大量企業進行合規整改。
王雁飛認為,未來,加強監管和頻繁維權是互聯網公司必須面對的問題。“合規必然成為企業基業長青的基石,也要求任何企業都要有合規意識,建立數據合規體系,實現信息處理和合規保護的平衡。”王雁飛表示,在未來的發展中,企業有必要建立數據和信息保護部門,沒有合規意識和制度建設的企業將被社會淘汰。
金融科技專家蘇認為,隨著《個人信息保護法》的實施,壹方面,互聯網平臺企業的合規意識將增強,壹些合規意識不高、合規水平不足的機構將難以適應大環境,從而逐步退出市場;另壹方面也可以規範互聯網業務中的信息保護規範。權責分配、隱私計算等圍繞個人信息保護的科技產業將加速崛起,科技的工具屬性將更多地被引導和應用到良性方面。
金融賬戶被歸類為敏感的個人信息。
在《個人信息保護法》中,“金融賬戶”、生物特征識別、宗教信仰、特定身份、醫療健康、行蹤軌跡、14周歲以下未成年人個人信息等信息被列為敏感個人信息。“在《個人信息保護法》第二十八條中,金融機構掌握的客戶個人信息被列為特殊類型的‘敏感個人信息’。”上海國際經濟貿易仲裁委員會仲裁員王表示,金融機構掌握的個人信息,根據其獲取方式和功能的不同,可以在《個人信息保護法》下分為不同類型,相應地,金融機構也受到不同程度的保護。比如,員工個人信息屬於《個人信息保護法》規定的“個人信息”類型,客戶相關信息、業務合作夥伴相關個人信息屬於“敏感個人信息”。總的來說,個人信息保護法為如何保護個人信息以及保護到什麽程度提供了法律框架。
王說,金融機構經常深挖他們的個人信息,尤其是“敏感個人信息”。“尤其是在當前互聯網理財、互聯網保險、互聯網消費金融、指紋支付、視頻刷臉支付等互聯網服務的市場背景下,交易習慣、消費偏好等客戶個人信息是壹座‘金礦’。通過對這些與交易相關的‘敏感個人信息’進行匯總和推導而獲得的衍生個人信息,對金融機構的風險管理和業務發展具有重要價值。”他進壹步表示,“衍生個人信息”是通過挖掘客戶的“敏感個人信息”獲得的,其性質仍然是“敏感個人信息”,因此機構有義務對其進行更好的保護。
但王認為,《個人信息保護法》第四條規定“個人信息不包括匿名化的信息”,這意味著如果“派生的個人信息”已經脫離了特定的自然人,其信息來源是來自壹群自然人,可以匿名化而不指向特定的自然人,那麽這種“派生的個人信息”就不再是。“《個人信息保護法》的出臺,不僅為個人信息保護的順利開展奠定了基礎,而且作為信息保護領域的上位法,將加速征信管理和個人金融信息保護相關法律法規的出臺。”