《个人信息保护法》实施在即中消协提示大型互联网平台当好“守门人”

人民网北京10月28日电 （记者孙博洋）记者从中国消费者协会获悉，《个人信息保护法》实施在即，中消协发布消费提示，督促经营者要切实落实《个人信息保护法》的相关规定；提醒广大消费者要认真学法，主动用法。

个人信息，是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。个人信息一般包括姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

当前，人们在日常消费活动和其他社会活动中，不可避免要将个人信息留存于各类经营者和组织机构。由于对保护个人信息的责任意识不强、保护措施不足，加之一些经营者受到利益的驱使，导致个人信息被非法收集、被泄露事件层出不穷，令人触目惊心。

据中消协相关负责人介绍，近年来，中消协在开展消费维权工作中发现，消费者反映比较突出的个人信息问题主要集中在手机APP过度索权、消费者个人信息被泄露、非法推送商业信息、“大数据杀熟”以及敏感个人信息的非法处理等方面。

该负责人表示，2021年11月1日，《个人信息保护法》正式实施，这是一部保护公民个人信息的专门法律，与《民法典》《网络安全法》《数据安全法》《电子商务法》《消费者权益保护法》等法律共同编织成一张消费者个人信息“保护网”。中消协督促经营者要切实落实《个人信息保护法》的相关规定，深入学法、尊法守法，依法完善个人信息处理规则，履行公示告知义务，规范个人信息处理程序，采取必要措施保障消费者个人信息安全。

中消协提示广大经营者，一是要切实落实“告知—同意”规则，明示处理个人信息的目的、方式和范围。经营者应当制定处理消费者个人信息的规则，遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围，并提供便捷的撤回同意的方式。任何组织、个人不得非法收集、使用、加工、传输消费者个人信息，不得非法买卖、提供或者公开消费者个人信息。收集消费者个人信息，应在事先充分告知的前提下，保证消费者知情，并征得消费者本人同意。经营者不得采取一揽子授权、强制同意等方式处理消费者个人信息；未经消费者同意，经营者不得向消费者推送商业信息。

二是要满足个人信息处理的两个“最小”一个“最短”，不得过度收集消费者个人信息。经营者收集使用个人信息应当具有明确、合理的目的，并限制在对个人权益影响最小的方式和实现处理目的的最小范围，不得过度收集消费者个人信息。除法律、行政法规另有规定外，个人信息的保存期限应当为实现处理目的所必要的最短时间。除了提供产品或者服务所必需的个人信息，经营者不得以消费者不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务。手机APP等不得因用户不同意提供非必要个人信息，而拒绝用户使用其基本功能的服务。

三是要严格限制对敏感个人信息的处理，小区、经营场所不能强制业主或者消费者进行人脸识别。敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年的个人信息。人脸识别作为一种敏感个人信息，一旦泄露容易对个人的人身和财产安全造成极大危害，甚至还可能威胁公共安全。小区物业、经营场所将人脸识别作为出入的唯一验证方式缺乏充分的必要性，也很难采取严格的保护措施，应当提供其他替代性的验证方式供业主或者消费者自主选择。经营者更不能为了商业目的非法收集消费者的人脸识别信息。