中国小康网 独家专稿

　　文｜《小康》·中国小康网记者 简宏妮

　　《个人信息保护法》将进一步强化个人信息安全监管与治理，法治把个人信息使用权关进法律的戴上笼子里。应用程序过度收集个人信息、紧箍一揽子授权、法治强制同意、戴上大数据杀熟……这些侵害公民个人信息权益的紧箍行为都将受到制约。

　　立法保护刻不容缓 在信息化时代，法治个人信息价值日益凸显，戴上个人信息安全风险与日俱增，紧箍给个人隐私和国家安全带来了严重的法治安全隐患。 图片/TUCHONG

　　今年的戴上国庆长假，罗雨欣出去游玩前在某旅行App预订酒店，紧箍发现同一时间、法治同一家酒店，戴上她看到的紧箍价格要比同事看到的高出不少，打电话给客服，得到的答复是，平台给新用户的优惠力度大。很多人不知道，这就是所谓的“大数据杀熟”，它违反了诚信原则，侵犯了《消费者权益保护法》规定的消费者享有公平交易条件的权利。

　　11月1日起，《个人信息保护法》正式施行，将终止平台的类似漏洞，保护用户的合法权益。应用程序过度收集个人信息、一揽子授权、强制同意、大数据杀熟……这些侵害公民个人信息权益的行为将受到制约。

　　把个人信息使用权关进法律的笼子

　　随着信息化与经济社会持续深度融合，网络已成为生产生活的新空间、经济发展的新引擎、交流合作的新纽带。截至2020年12月，我国互联网用户已达9.89亿，互联网网站超过443万个，应用程序超过345万个，个人信息的收集、使用更为广泛。

　　现实生活中，一些企业、机构和个人基于各种各样的目的，违法获取、过度使用、非法买卖个人信息，甚至把隐私作为非法获利的“摇钱树”，滋生出黑色产业链条，导致群众人身和财产安全等问题日益突出。

　　西南政法大学总体国家安全观研究院研究员、法学博士谢波在接受《小康》杂志、中国小康网记者采访时说：“在信息化时代，个人信息价值日益凸显，个人信息安全风险与日俱增，给个人隐私和国家安全带来了严重的安全隐患。”为此，近年来，我国积极建立健全个人信息保护法律体系，相继出台《网络安全法》《数据安全法》等法律，并在《刑法修正案》《民法典》中做出相关规定，但由于针对个人信息保护的专门性法律长期缺位，个人信息保护制度并不完善，个人信息安全事件屡有发生。

　　正是在这样的背景下，加强个人信息保护专项立法成为社会各界普遍共识，经过十多年酝酿论证、十三届全国人大常委会三次审议，8月20日，十三届全国人大常委会第三十次会议表决通过的《个人信息保护法》正式出台。

　　“去餐厅吃饭，被要求扫码点餐，有的还必须填写姓名、出生年月、手机号码等与服务无关的个人信息。有时候想下载一款App，需要按照平台要求，开放一大堆个人隐私，比如允许打开相册、允许打开通讯录、允许开启定位等等。”说起商家过度收集个人信息的现象，罗雨欣感受颇深。作为资深网民，她不仅对平台利用大数据提供差别服务感到愤怒，也担心自己的信息在不知不觉间被泄露。

　　作为中国首部针对个人信息保护的专门性立法，《个人信息保护法》将进一步强化个人信息安全监管与治理，把个人信息使用权关进法律的笼子里。

　　谢波解读说，《个人信息保护法》对个人信息处理者设置了个人信息的处理规则，其中就包括一些明确的禁止性规定，如“不得对个人在交易价格等交易条件上实行不合理的差别待遇”“所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的” 等，一旦个人信息处理者违反了这些规定，我们就可以向履行个人信息保护职责的部门进行投诉、举报，甚至根据具体情况向法院提起诉讼。

　　此外，根据《个人信息保护法》规定，对个人信息处理者实行过错推定原则，一旦发生侵害个人信息的行为，不能证明自己没有过错的就应当承担侵权责任，这也将大大降低个人维权的难度。

　　面对大数据杀熟、滥用人脸识别等侵害公民权益的行为，我们应当如何识别？谢波介绍，所谓大数据杀熟，是指同样的商品或服务，老客户的价格反而高于新客户的现象。简单来说，就是商家给不同人设置了不同价格。大数据杀熟往往具有较强的隐蔽性。网民可以看商家的宣传、展示页面是否做出特别说明，如明确标注新客、新号、满额减、首次消费可以领取优惠券等信息，规则是明确的，且无论用新号还是老号登录页面，展示的信息是一样的，则为正常营销手段，反之则可能存在大数据杀熟。对于滥用人脸识别，可以从是否在公共场所提供了识别设备的显著提示标识、说明了识别信息的使用目的等方面，来评判人脸识别的合法性。

　　敏感个人信息将被严格保护

　　《个人信息保护法》从列入立法规划到正式出台，历经了几次大的审议修改。与《网络安全法》和《数据安全法》有所区别，《个人信息保护法》侧重保护个人信息，监管对象是个人信息的处理者和受托人。

　　谢波认为，“《个人信息保护法》的亮点之一，就是确立个人信息处理中的合法、正当、必要、诚信等基本原则，同时明确了敏感个人信息并予以严格保护。”

　　值得注意的是，《个人信息保护法》在国内首次将个人信息分类成敏感和非敏感个人信息。从法律上看，生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹、不满十四周岁未成年人的个人信息属于敏感个人信息，这些信息一旦泄露或者被非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害。相对来说，个人姓名、职称等属于非敏感个人信息。

　　从保护个人的角度，法律首次提出了单独同意和书面同意的要求。谢波表示，《个人信息保护法》以“告知—同意”个人信息处理规则为核心，赋予个人在个人信息处理活动中的充分权利，比如，在个人信息处理中享有知情权、决定权，有权限制或拒绝他人对其个人信息进行处理等。

　　此外，《个人信息保护法》明确了个人信息处理者的合规管理和保障个人信息安全等义务，对大型互联网平台设定特别的个人信息保护义务，加大对违法处理个人信息行为的惩戒，促进形成全社会协同共治的个人信息保护模式。“《个人信息保护法》强调监管和违法惩戒，就好比一枚硬币的两面，监管主要立足于‘防’，惩戒主要着眼于‘惩’，只有惩防有机结合，才能实现个人信息保护的最佳效果。”谢波说。

　　在监管方面，个人信息处理活动涉及面广、情况复杂、主体多样、隐蔽性强，一旦发生侵害个人信息权益的行为，往往会对社会造成较严重的后果。因此，通过立法理顺监管体制，并对相关部门的监管职责做出规定，是个人信息保护工作必须重视事前、事中的具体体现，这有利于从源头上防范个人信息被侵害的情形发生。

　　在违法惩戒方面，《个人信息保护法》对违法处理个人信息的行为设置了不同梯次的行政处罚，对未造成严重后果的轻微或一般违法行为，可由执法部门责令改正、给予警告、没收违法所得，对拒不改正的最高可处100万元罚款；对情节严重的违法行为，最高可处5000万元或上一年度营业额5%的罚款，并可以对相关责任人员做出从业禁止处罚。这些严厉的处罚措施，无疑有利于倒逼相关主体履行好法律的规定。

　　随着《个人信息保护法》正式实施，网络环境必然会发生相应变化。一方面，法律实施前网络空间普遍存在的一些突出问题势必得到依法治理，从而更好保护个人信息和隐私；另一方面，《个人信息保护法》通过明确个人信息处理者的法定义务、相关部门的个人信息保护职责，以及合规审计、个人信息保护影响评估等激励相容机制设计，推动个人信息保护全社会协同共治，有利于集合力量构建清朗网络空间。谢波表示，“立法只是第一步，还需要在行业内形成具体个人信息保护标准、制定个人信息保护技术标准等细化的制度机制，才能实现网络安全的可持续性。”

　　（应采访对象要求，文中罗雨欣为化名）

　　（《小康》·中国小康网 独家专稿）

　　本文刊登于《小康》2021年12月下旬刊

(责任编辑：休闲)