又被大資料“殺熟”？別怕，國家法律來了

周兼明

日前，中國首部《個人資訊保護法》已獲審議透過，將於今年11月1日起施行。這部法律從動議、研究到最終立法，歷時近20年。20年間，網際網路生態發生巨大變化，智慧手機及相關應用已全面覆蓋人們的生活，個人資訊保護面臨的問題也越來越多，適時推出新法將有助於遏制個人資訊頻繁被侵害的亂象。

由於手機中幾乎包羅了一個人所有的資訊，使得每個人都處於各類APP的監控中。又因資訊的儲存成本過低，造就諸多資料庫成為當今社會最大黑箱的事實。由這些資料提供的演算法不僅在你不知情的情況下，能勾勒出你的行為與身份畫像，也能決定你未來面對什麼樣的世界——比如，當數個APP都判定你是“不可信任”的消費者，或對你進行某種歸類時，你自己可能並不知道，但當你在未來消費時，就可能遇到一些意料不到的問題。

近些年，不僅使用者的資訊被網路公司收集得越來越多，資訊洩露的規模也在呈指數級增長，洩露的個人資訊更加全面和立體化了。據相關專業公司統計，2019年前9個月，公開的資料洩露事件已達5183起，資料洩露條數達79億，有數十億的各類個人資訊在暗網上被出售。隨著萬物互聯時代的來臨，人們對數字技術的依賴更大，這種洩露趨勢只會愈演愈烈。每個人雖面臨著各類資訊被洩露的風險，卻無法停止個人資訊的被獲取，除非你回到原始叢林中生活。

基於以上背景，《個人資訊保護法》經過三次審議，終於頒佈了。該法共8章74條，採用了綜合通用的立法模式，適用於各行各業，並“特別規定”國家機關處理個人資訊時，也適用該法。

《個人資訊保護法》確立的個人資訊處理的核心規則為“告知-同意”。該法要求處理個人資訊，應在事先充分告知的前提下取得個人同意，當其中重要事項發生變更時，也需重新向個人告知並取得同意。同時，對民眾反映強烈的一攬子授權、強制同意等問題，該法要求在處理敏感個人資訊、向他人提供或公開個人資訊、跨境轉移個人資訊等環節時，需取得個人的“單獨同意”。該法規定網站不得過度收集個人資訊，不得以個人不同意為由拒絕提供產品或者服務，並賦予個人撤回同意的權利。當個人撤回同意後，網站應停止處理或及時刪除其個人資訊。

該法明確禁止“大資料殺熟”。《個人資訊保護法》使用“自動化決策”一詞來指稱透過計算機程式，自動分析、評估個人行為習慣、興趣愛好或者經濟、健康、信用等狀況，從而進行決策的活動（也即常說的“大資料畫像”）。該法規定，各網站不得利用“大資料畫像”，對個人在交易條件上實行不合理的差別待遇，同時在資訊推送、營銷時，應提供不針對其個人特徵的選項。

《個人資訊保護法》將個人的生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等資訊，列為敏感個人資訊，要求網站只有在具有特定的目的和充分的必要性，並採取嚴格保護措施的情形下，才能處理這些敏感個人資訊，同時應事前進行影響評估，向個人告知處理的必要性及對個人權益的影響，並獲得個人的單獨同意。因為這類資訊一旦洩露或被非法使用，極可能導致當事人的人格或人身、財產安全受到損害。該法規定，在處理不滿十四周歲的未成年人個人資訊時，需取得其父母或其他監護人的同意，對這類資訊，需制定專門的個人資訊處理規則。

該法還規範了個人在個人資訊處理活動中的權利，有知情權、決定權，有限制和拒絕權；有查閱、複製權；有請求轉移權；有更正權；有要求說明權。也同時規定了個人有權請求刪除其個人資訊的5種情形。該法同時明確，當自然人死亡時，其近親屬為了自身的合法、正當利益，可對死者的相關個人資訊行使查閱、複製、更正、刪除等權利。個人資訊處理者如拒絕個人行使以上所有權利，個人可依法向人民法院提起訴訟——對個人新權利的這些規範，應當說還是比較全面的，基本可保護個人資訊處理的權利不會受到明顯的侵害。

值得指出的是，該法對提供重要網際網路平臺服務、使用者數量巨大、業務型別複雜的個人資訊處理者，也如歐盟《數字市場法案》一樣，對這類“數字守門人”提出了需額外承擔的一系列義務，這些可稱為“守門人條款”：需成立主要由外部成員組成的獨立機構進行監督；需遵循公開、公平、公正的原則，制定平臺規則；需定期釋出個人資訊保護社會責任報告，接受社會監督等。《個人資訊保護法》也規定了相關部門的監管職責，明確了違法者應承擔的法律責任。

《個人資訊保護法》的出臺，意味著中國開始形成一個比較完整的對個人資訊保護的法律體系。這部法律有統領其他法律法規對個人資訊保護的作用，所確立的“合法正當”“公開透明”“合理目的”“準確完整”“最小傷害”等原則，將成為保護個人資訊通行的、基本的原則，其他法律法規不能與之相沖突。

法律的頒佈只是開始，民眾有明晰的個人資訊保護意識更重要。有了專門的立法，未來還需要司法機構、政府機關、行業組織、企業單位、公民個人都提高保護意識，共同協作，建立一個保護個人資訊的良好環境。