筑牢安全“金钟罩” 对个人信息野蛮掘金的时代结束了(2)

　　还有卖家在社交平台公开售卖人脸识别视频、买卖人脸信息等，因人脸信息等身份信息泄露导致“被贷款”和隐私权、名誉权被侵害等问题多有发生。全国信息安全标准化技术委员会等成立的APP专项治理工作组发布的《人脸识别应用公众调研报告(2020)》显示，在2万多名受访者中，有三成受访者表示已因人脸信息泄露、滥用而遭受隐私或财产损失。

“告知-同意”是《个人信息保护法》的核心规则，收集个人信息应当限于实现处理目的的最小范围

　　11月1日，我国第一部个人信息保护的专门法律《个人信息保护法》正式实施。

　　“这是我国置身数字化时代不可或缺的一项基础性立法，贴合了关系每个人最直接最现实利益的立法需要。”北京航空航天大学法学院院长龙卫球告诉记者，个人信息是网络信息化时代开始凸显的一种新型且颇具基础性的重要个人利益，它的价值通过数据挖掘和商业应用得以显现。个人信息保护和数字化发展之间的关系日益复杂，特别是未经同意的个人信息处理和愈演愈烈的滥用行为，成为亟待解决的痛点。

　　“告知-同意”是《个人信息保护法》确立的个人信息保护核心规则。“《个人信息保护法》明确，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围。”全国人大常委会法工委经济法室副主任杨合庆表示，个人信息处理者在取得个人同意的情形下方可处理个人信息，个人信息处理的重要事项发生变更，应当重新向个人告知并取得同意。

　　在《个人信息保护法》全文中，“告知”一词出现了16次，“同意”一词出现了27次。“‘告知-同意’规则是个人对个人信息处理享有知情权、决定权的必然要求。要保证个人对信息处理‘充分知情’，就应该以显著的方式、清晰易懂的语言让个人知道谁在处理他的信息、信息被怎样处理、可能对他造成何种影响，以及怎么要求更正、查询、删除个人信息等。”中央党校(国家行政学院)政法部教授刘锐说。

　　“同意”并非泛泛而谈。《个人信息保护法》明确规定了两种同意机制，一是广泛的同意，二是个人单独同意。比如，该法规定，个人信息处理者处理敏感个人信息、向他人提供或公开个人信息、跨境转移个人信息等，都应取得个人的单独同意。

　　“个人信息对于主体的重要程度不同，有的是敏感信息，有的是隐私信息，有的属于一般信息，因此告知的强度和同意的方式、明确程度也不尽相同。”中国人民大学法学院教授、中国法学会网络信息法学研究会副会长张新宝说，《个人信息保护法》对此作了详细区分。

　　针对群众反映强烈的强制索权、不同意就无法使用APP，过度收集用户信息，大数据“杀熟”等现象，《个人信息保护法》也作出了明确回应。比如，该法第二十四条规定直指大数据“杀熟”，有利于规制人工智能等新兴信息技术在个人信息处理领域的应用：个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

　　“个人信息保护问题往往被技术中立的外衣包裹，甚至被算法等操作系统黑箱化。”龙卫球说，个人信息处理活动本质是一种科技应用活动，不同于一般的行为治理，必须进行科技治理。《个人信息保护法》建立了强大的监管体系，并且深入到技术治理层面，最终目的是让技术向善发展。

滥用用户个人信息源于对个人信息的过度采集，“守门人”规定等倒逼互联网企业规范行为