楠木軒

個人信息怎麼用?人臉識別能用在哪?濫用個人信息怎麼罰?個人信息保護法草案都釐清了

由 忻素芹 發佈於 綜合

  新華社廈門10月23日電(記者顏之宏)“我都不知道自己什麼時候授權同意他們獲取我的個人信息了。”“騷擾電話真的太多了,而且上來就能叫出我的名字,有的還能報出身份證號碼和家庭住址。”在移動互聯時代,有關個人信息被網絡平台濫用的吐槽不絕於耳。

  21日,《中華人民共和國個人信息保護法(草案)》(以下簡稱草案)在中國人大網上公佈,並向全社會公開徵求意見。草案進一步明確瞭如何保護公民個人信息,對於違法收集、處理個人信息的行為也制定了更為嚴厲的處罰措施。

  不一攬子授權就無法使用APP將成歷史

  明明只是一款短視頻類APP,卻一定要讀取我的地理位置、通訊錄,否則就不能使用。類似這樣的APP“霸王條款”,在草案中被明令禁止。

  草案第17條提出,個人信息處理者不得以個人不同意處理其個人信息或者撤回其對個人信息處理的同意為由,拒絕提供產品或者服務;處理個人信息屬於提供產品或者服務所必需的除外。

  專家認為,相較於一年多前國家網信辦發佈的《數據安全管理辦法(徵求意見稿)》中提出的類似條款,草案的權威性更高。“如果是跟APP核心功能無關的權限,草案明確規定,如果用户不同意,你是不能以用户不授權為由拒絕為其提供服務的。”APP專項治理工作組專家、中國電子技術標準化研究院信息安全研究中心測評實驗室副主任何延哲表示,草案保障用户使用APP時充分的知情選擇權,APP強制索權在法理層面將成為歷史。

  何延哲建議,對於部分APP廠商所提出的“用户個人信息授權與賬户安全相關”的訴求,有關部門也需加快推進行業標準的制定,“有的APP為了保障用户賬户安全,可能只需要三個信息要素,有的可能需要五個,這些也需要具體問題具體分析。”

  公共場所隨意採集人臉信息?不再允許!

  在人臉識別技術日漸普及的當下,部分企業將人臉作為新的利益增長點,街巷、商場甚至小賣部中,都有他們安裝的人臉信息採集設備。

  草案提出,在公共場所安裝圖像採集、個人身份識別設備,應當為維護公共安全所必需,遵守國家有關規定,並設置顯著的提示標識。所收集的個人圖像、個人身份特徵信息只能用於維護公共安全的目的,不得公開或者向他人提供;取得個人單獨同意或者法律、行政法規另有規定的除外。

  “草案對於在公共場所採集人臉等身份特徵信息做了進一步的規範,也就是説未來在公共場所,只要不是出於公共安全目的,任何機構不得隨意採集人臉信息。”何延哲説,“個人圖像”和“個人身份特徵信息”是兩個不同維度的個人信息,“個人圖像”是不包含姓名、身份證號等其他關聯信息的圖像,但也存在識別出個人的可能。這意味着機構如非公共安全必需,即便是無意中採集了個人圖像也不能用於識別個人身份,同時也要保證信息安全,不能對外提供和公開,以免他人用於識別個人身份。

  個人信息授權可隨時撤回,更加體現“以人為本”精神

  草案提出,基於個人同意而進行的個人信息處理活動,個人有權撤回其同意。

  “就像我們平時做出一個決定可以反悔一樣,哪怕你是合規收集處理我的信息,但是現在我突然不想被你收集信息了,你就不能再繼續收集了。” 中國信息安全研究院副院長左曉棟認為,這一條款的設立與第17條相輔相成,進一步明確用户在撤回個人信息授權後使用產品和服務的權利。

  同時,草案相關條款還提出,當個人撤回同意後,個人信息處理者應當刪除個人信息。也就是説,當用户“撤回同意”後,相關機構不僅喪失了繼續收集該用户個人信息的權限,同時也應根據草案的有關要求,適時刪除其數據庫中所留存的該用户的原始個人信息。

  此外,草案還要求,個人信息處理者在緊急情況下為保護自然人的生命健康和財產安全處理個人信息卻無法及時向個人告知的,個人信息處理者應當在緊急情況消除後予以告知。“這一規定較好地平衡了各方面的權利。例如,在處置突發公共事件時,有時需要收集或調取個人信息,可能來不及告知個人信息主體,但相關機構在處置完畢後應當告知個人信息被收集人。”左曉棟説。

  濫用個人信息企業還能“自罰三杯”嗎?草案大大提高處罰標準

  此次草案提出的處罰標準也引發輿論關注,過去營收過百億、千億的企業因濫用個人信息或強制索權被處罰十幾萬的情況也將越來越少。

  草案提出,違反本法規定處理個人信息,或者處理個人信息未按照規定採取必要的安全保護措施的,情節嚴重的,由履行個人信息保護職責的部門責令改正,沒收違法所得,並處五千萬元以下或者上一年度營業額百分之五以下罰款,並可以責令暫停相關業務、停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照。

  長期從事個人信息安全研究的北京安理律師事務所高級合夥人王新鋭認為,草案雖然在固定處罰數額上低於歐盟的《一般數據保護條例》(GDPR),但其提高了處罰的營業額佔比,同時還可施加停業整頓、吊銷執照等行政措施;在上限處罰數額的適用範圍上,草案未予以特殊規定,因此當滿足情節特別嚴重的定義時,上述處罰措施可適用於所有違反規定的行為。從這兩方面看,個人信息保護法草案的處罰力度不小。

  “相較於GDPR中所規定的罰款最高額為企業上一年‘全球營業額的4%’,草案中並未對企業上一年度‘營業額的5%’是境內還是全球進行範圍説明。”王新鋭等人建議,有關部門可對相關處罰門檻做進一步明確。