一场信息保护的博弈

经过数年酝酿与打磨，《中华人民共和国个人信息保护法》将于11月1日起施行。

数字化时代，得信息者得天下。然而一直以来，这句话的前提都未能真正实现：“得”的手段要正当、数量要适度，到手的信息要妥善储存与保管。这也使得个人在享受数字化红利的同时，随时面临着信息和隐私被非法收集、泄露和滥用的威胁。

个人信息保护法的出台，为个人信息权益保护、信息处理者的义务提供了全面、体系化的法律依据，构建起了个人信息安全的防护网。

海量个人信息，自此有了一把“专门锁”。

今年国庆假期刚结束，从事数据安全相关工作的何延哲就关注到了两条行业新闻。

有数码博主发现，微信APP在用户未主动激活的情况下数次读取相册，每次读取时间为40秒至1分钟。此外，QQ、淘宝等APP也存在在后台频繁读取用户相册的行为。

虽然类似事件早不是第一次发生，但这样的“业内”新闻依然毫不意外地引来了“热搜级”关注和讨论。

在距离个人信息保护法施行还有不到1个月的时候，人们关于个人信息与个人隐私的那根敏感又脆弱的神经再一次被挑动了。

因为信息泄露，一条人命没了

重庆大学国家网络空间与大数据法治战略研究院院长齐爱民关注个人信息保护立法，最早开始于1996年。

当时，我国正式接入国际因特网不到两年，拥有手机还是“富人”的标志，“个人信息”概念即使在学界也鲜有被提及。据齐爱民回忆，当时研究个人信息保护立法，完全算是冷门方向。

2003年，我国个人信息保护立法相关课题研究立项。两年后，由中国社会科学院法学研究所研究员周汉华领衔的课题组完成了《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》;同年，齐爱民起草的《中华人民共和国个人信息保护法示范法草案学者建议稿》发表，呈报当时主要负责推动国家信息化相关立法的国务院信息化工作办公室。

从立法之初，个人信息保护法就将“告知-同意”原则作为个人信息保护的基本规则，是个人信息处理者处理用户信息的前提。在共8章74条的法律全文中，“告知”一词出现了16次，“同意”一词出现了27次。

过去，个人信息处理者向用户提供的大多是一揽子的同意协议条款。以至于一个经典笑话在网络上长盛不衰：从小到大，撒过最多的谎，就是同意各种隐私条款。

针对这一现象，个人信息保护法明确规定了两种同意机制，一是广泛的同意，二是个人单独同意。比如，该法律规定，处理敏感个人信息，或是将收集的个人图像和身份识别信息用于维护公共安全外的目的的，都要取得个人单独同意。

“个人信息对于主体的重要程度不同，有的是敏感信息，有的是隐私信息，有的属于一般信息，因此告知的强度和同意的明确程度，以及同意的方式也是不尽相同的。”张新宝说，“对此，个人信息保护法都作了详细的区分。”

对外经济贸易大学数字经济与法律创新研究中心主任许可注意到，个人信息保护法增加了相关罚则。根据该法第66条规定，在违法情形严重时，企业将面临的顶格罚款额度为5000万元或上一年度营业额的5%。

“这远高于之前的分散性立法中的处罚规定。”许可说。

许可同时提到，根据此前相关法律规定，个人信息处理者主要限于私人主体。但在个人信息保护法中，这一范围拓展到国家机关以及履行相应公共管理职能的事业单位，它们和私人主体遵循统一的个人信息保护原则和规则。

联系到新冠肺炎疫情防控期间，个别地方政府拟通过收集市民电子病历、体检报告、生活方式等信息推出渐变色健康码的做法所引起的官方侵犯个人隐私的讨论，许可认为，“个人信息处理者范围的调整是非常大的进步”。

用得越多，“杀熟”的刀越快?

“为了方便用户快速发图”“系统更新后频繁唤醒APP ”“最新版本将进行优化”……被数码博主挂网“示众”后，微信和美团方面很快对读取用户相册和频繁定位行为作出了回应。不过，“似曾相识”的解释和改进措施能在多大程度上让网友感到满意和放心，着实值得划一个问号。

“说到底，类似事件通常都是APP开发者为了优化应用程序，未经用户同意擅作主张使用了可能触及用户隐私或影响用户安全感的权限，最后被用户发现后反过来提出质问。”何延哲总结说。

最新数据显示，我国互联网用户数量已达到10.11亿，国内市场上监测到的APP数量为291万款。APP普遍存在的强制索权、过度收集用户信息等现象使得这一领域成为个人信息安全遭威胁的重灾区。

在此前各方对个人信息保护法的解读中，第24条法条被反复提及：个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

这一法规用公众更熟悉的说法来表述就是：“大数据杀熟”将受到规制。

2021年初，复旦大学教授孙金云团队发布了一份关于 “手机打车软件打车”的调研报告。通过在国内5个城市收集的常规场景下的800多份打车样本，该团队得出结论：用户手机越贵，越容易被更贵车型接单;同样的行驶路线，常使用某一款网约车平台的用户打车费用比新用户贵。

这样的结论得到了不少网友的认可，还有网友“分享”了自己在购物、出行等平台被“杀熟”的经历。

2021年7月，国内“大数据杀熟第一案”在浙江省绍兴市柯桥区法院开庭审理。该案中，原告胡女士是携程APP的钻石会员，可享受8.5折优惠价，但她通过该APP预订酒店房间时，价格却比普通用户贵了一倍。胡女士遂以上海携程商务有限公司采集其个人非必要信息，进行“大数据杀熟”等为由诉至法院，提出“退一赔三”等多项请求。

在市场经济中，差异化定价一般来说并不违法。“但在数字经济时代，互联网企业利用收集到的用户个人信息对其进行画像，根据支付能力的不同设定不同的价格，就可能有损公平交易原则和个体的自由选择权。”许可说。

个人信息保护法规定，个人信息处理者根据“算法”分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等进行自动化决策时，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

“当信息处理者仅通过自动化决策方式做出决定，就是完全排除了人的参与。”在许可看来，即使将个人置于“算法”中，也必须尊重人格权。

让大厂成为“守门人”

在智能手机已向内异化为人体“新器官”的当下，但凡是与社会有一定程度联结的个体，基本都躲不开要使用大型互联网公司的产品。这意味着，无论是国内还是国外，互联网企业的数据安全对个人信息保护至关重要。

“为大型互联网企业设置个人信息保护义务，迫在眉睫。”张新宝表示。

法律的生命，在于实施

在“大数据杀熟第一案”中，法院最终依据消费者权益保护法判令携程“退一赔三”，但并没有对胡女士的“大数据杀熟”诉请予以判定。

与之类似，2021年4月，备受关注的“人脸识别第一案”终审落槌宣判。杭州市中级人民法院判决，被告杭州野生动物世界删除原告郭兵办理指纹年卡时提交的面部特征信息和指纹识别信息。

作为法学教师，郭兵认为，虽然法院认定动物园单方面变更入园方式构成违约，但回避了对“未注册人脸识别的用户将无法正常入园”这一格式条款的审查。而这正是他起诉动物园的关键诉求。

在许可看来，“人脸识别第一案”宣判于个人信息保护法出台之前，当时最高人民法院关于人脸识别的司法解释也尚未颁布，“法院未支持郭兵的关键诉求，也有缺乏明确法律依据的考量”。

根据个人信息保护法，人脸信息属于敏感信息应强化保护，只有在具有特定的目的和充分的必要性、获得用户单独同意并采取严格保护措施的情形下，方可处理。许可认为，如果该案发生在11月1日之后，判决结果可能就会有所不同。

更关键的是，耗费大量时间和精力后，郭兵的“脸”得以被删除，那么个人信息保护法生效后，更多过往被采集的“脸”和其他信息删不删、怎么删?

“个人信息保护法赋予了公民个人很多积极性的权利。”许可举例说，当发现个人信息权益受到侵害，可以向信息处理者主张查阅和删除信息，也可以通过监管部门进行投诉举报。

何延哲同样关注了法律施行后的落地问题。以“信息收集”为例，填写手机号、身份证号只是一种方式，用户的大量信息是在交互过程中生成并被采集的。“这么多的信息，想删就删可行吗?”何延哲抛出问题。

“一方面，精准删除需要技术支持且要避免对使用同一系统或产品的其他人造成影响;另一方面，信息删除的边界在哪里，是否要为互联网监管留痕作出考虑?”何延哲说。

“这部个人信息保护法，代表了价值取向、法律制度基本框架，具体到如何实施，需要大量的配套细则。”张新宝透露，网信部门正在加紧完成这项工作，目前已经公布了部分内容。

法律的生命在于实施，个人信息保护法也需要在实施中不断调整，需要政府、企业、相关社会组织、公众共同参与。

“从这个意义上来说，法律的出台只是第一步。”张新宝说。(卢越)

责任编辑：马尧