應(yīng)用程序過度收集個人信息、一攬子授權(quán),、強制同意,、大數(shù)據(jù)“殺熟”……這些侵害公民個人信息權(quán)益的行為今后將受到制約。近日,，十三屆全國人大常委會第三十次會議表決通過了《中華人民共和國個人信息保護法》（以下簡稱“個人信息保護法”）,，該法自今年11月1日起施行。作為中國首部針對個人信息保護的專門性立法,，個人信息保護法將進一步強化個人信息安全監(jiān)管與治理,，把個人信息使用權(quán)關(guān)進法律的籠子里。

限制過度收集用戶信息

去餐廳吃飯,，被要求掃碼點餐,，有的還必須填寫姓名、出生年月,、手機號碼等與服務(wù)無關(guān)的個人信息,。有時候想下載一款A(yù)pp,，需要和平臺方達成某種‘交易’，開放一大堆個人隱私,，比如允許授權(quán)打開相冊,、允許打開通訊錄、允許開啟定位等等,。這些商家過度收集個人信息的現(xiàn)象,，消費者頻頻“吐槽”。消費者擔(dān)心自己的信息可能在此過程中遭到泄露,，并質(zhì)疑這些收集信息方式的合法性,。

隨著信息化與經(jīng)濟社會持續(xù)深度融合，現(xiàn)實生活中一些企業(yè),、機構(gòu)甚至個人從商業(yè)利益等出發(fā)，隨意收集,、違法獲取,、過度使用、非法買賣個人信息,，利用個人信息侵?jǐn)_人民群眾生活安寧,、危害人民群眾生命健康和財產(chǎn)安全等問題十分突出。

為保障個人信息處理知情權(quán)和決定權(quán),，個人信息保護法將“告知—同意”作為個人信息保護核心規(guī)則,。該法規(guī)定，處理個人信息應(yīng)當(dāng)具有明確,、合理的目的,，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對個人權(quán)益影響最小的方式,。收集個人信息,，應(yīng)當(dāng)限于實現(xiàn)處理目的的最小范圍。同時規(guī)定,，處理個人信息應(yīng)當(dāng)在事先充分告知的前提下取得個人同意,，個人信息處理的重要事項發(fā)生變更的，應(yīng)當(dāng)重新向個人告知并取得同意,。這意味著,，該法出臺后，“一攬子授權(quán)”“強制同意”等過度收集用戶個人信息的行為將被限制,。

這種同意必須是建立在告知基礎(chǔ)上的有效同意,，包括‘單獨同意’‘書面同意’，‘同意’后還可‘撤回’,。這充分體現(xiàn)了法律對個人信息處理知情權(quán)和決定權(quán)的保護,。

顧客在某自助餐廳內(nèi)通過手機掃碼點餐,。

防止大數(shù)據(jù)“殺熟”

同一家酒店、同艙位的機票,、同樣的時段,，老用戶比新用戶要多花錢，原因是對新用戶優(yōu)惠力度更大,?；ヂ?lián)網(wǎng)平臺利用大數(shù)據(jù)和算法對用戶進行畫像分析，從而收取不同價格等行為,，被稱為大數(shù)據(jù)“殺熟”,。目前，包括反壟斷法,、電子商務(wù)法,、價格法等多部法律法規(guī)已經(jīng)約束這種行為。

個人信息保護法對此規(guī)定,，個人信息處理者利用個人信息進行自動化決策,，應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正,，不得對個人在交易價格等交易條件上實行不合理的差別待遇,。通過自動化決策方式向個人進行信息推送、商業(yè)營銷,，應(yīng)當(dāng)同時提供不針對其個人特征的選項,，或者向個人提供便捷的拒絕方式。

在反壟斷法框架下,，大數(shù)據(jù)“殺熟”是一種濫用市場支配地位的行為,，反壟斷法已有類似的規(guī)定。個人信息保護法對此作出規(guī)定,，既能在反壟斷規(guī)制以外提供新的保護路徑,，也能從個人信息收集、使用的邏輯上應(yīng)對大數(shù)據(jù)“殺熟”問題,。

加強保護個人敏感信息

生物識別,、宗教信仰、特定身份,、醫(yī)療健康,、金融賬戶、行蹤軌跡等信息,，對個人而言具有敏感性,。一旦泄露或者非法使用，容易導(dǎo)致個人的人格尊嚴(yán)受到侵害或者人身,、財產(chǎn)安全受到危害,。同時,，隨著互聯(lián)網(wǎng)的不斷普及，針對青少年的網(wǎng)絡(luò)暴力,、網(wǎng)絡(luò)欺詐等屢有發(fā)生,，需要對青少年個人信息進行更高等級的保護。

個人信息保護法將以上這些信息都作為敏感個人信息,，并要求只有在具有特定的目的和充分的必要性并采取嚴(yán)格保護措施的情形下,，方可處理這些信息，同時應(yīng)事前進行影響評估,，并向個人告知處理的必要性以及對個人權(quán)益的影響,。

最高人民法院7月底發(fā)布的《關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》，對以“人臉識別”為代表的敏感個人信息案件審理進行全面規(guī)范,；根據(jù)國家網(wǎng)信辦此前發(fā)布的《汽車數(shù)據(jù)安全管理若干規(guī)定（征求意見稿）》,，駕駛?cè)四軌螂S時終止汽車制造商等收集車輛位置、駕駛?cè)嘶虺塑嚾艘粢曨l等敏感個人信息的行為……隨著相關(guān)法律法規(guī)出臺,，國家對個人信息中敏感信息的保護更加嚴(yán)格,。

個人信息保護法專門規(guī)定，處理不滿14周歲未成年人的個人信息,，處理者應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護人的同意，并制定專門的處理規(guī)則,。

該規(guī)定旨在限制某些平臺利用未成年人非法牟利,，要求相關(guān)平臺切實履行相應(yīng)社會責(zé)任。目前,，有的平臺已經(jīng)禁止未成年用戶充值或‘打賞’,，這就是專門針對未成年人制定個人信息處理規(guī)則的一種體現(xiàn)。

強化監(jiān)管和違法懲戒

個人信息處理活動涉及面廣,、情況復(fù)雜,、主體多樣、隱蔽性強,，一旦發(fā)生侵害個人信息權(quán)益的行為,，往往會對社會造成較嚴(yán)重后果。個人信息保護法對違法處理個人信息的行為設(shè)置了不同梯次的行政處罰,。對未造成嚴(yán)重后果的輕微或一般違法行為,，可由執(zhí)法部門責(zé)令改正、給予警告,、沒收違法所得,，對拒不改正的最高可處100萬元罰款；對情節(jié)嚴(yán)重的違法行為,，最高可處5000萬元或上一年度營業(yè)額5%的罰款,，并可以對相關(guān)責(zé)任人員作出相關(guān)從業(yè)禁止的處罰,。個人信息保護法以嚴(yán)密的制度、嚴(yán)格的標(biāo)準(zhǔn),、嚴(yán)厲的問責(zé),，構(gòu)建了權(quán)責(zé)明確、保護有效,、利用規(guī)范的個人信息處理和保護制度規(guī)則,。

在監(jiān)管體制上，個人信息保護法規(guī)定國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)相關(guān)監(jiān)管工作,，國務(wù)院有關(guān)部門依法履行各自監(jiān)管職責(zé),。該法采取“規(guī)則制定權(quán)相對集中，執(zhí)法權(quán)相對分散”的監(jiān)管架構(gòu),，這源于個人信息保護法的執(zhí)法屬多元執(zhí)法,、多頭執(zhí)法，需要網(wǎng)信部門發(fā)揮統(tǒng)籌協(xié)調(diào)功能,，統(tǒng)一執(zhí)法標(biāo)準(zhǔn),。執(zhí)法機構(gòu)應(yīng)根據(jù)實際情況制訂符合個人信息保護法原則和規(guī)則、更細致的執(zhí)法規(guī)范性文件和部門規(guī)章,、司法解釋和具體指導(dǎo)案例,，將個人信息保護法落到實處。

對掌握海量用戶數(shù)據(jù)的超大型互聯(lián)網(wǎng)平臺,，個人信息保護法要求成立主要由外部成員組成的獨立監(jiān)管機構(gòu),、定期進行合規(guī)審計等。這些規(guī)定重在建立事前的預(yù)防機制,，從源頭阻止個人信息被侵害的情形發(fā)生,。而一旦發(fā)生侵害個人信息的行為，將對個人信息處理者實行過錯推定原則,，不能證明自己沒有過錯的就應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任,，這將在很大程度上減輕個人維權(quán)的難度。