《个人信息保护法》表决通过，对过度收集个人信息、大数据杀熟等作出规范

8月20日，十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》，自2021年11月1日起施行。

明确不得过度收集个人信息、大数据杀熟，对人脸信息等敏感个人信息的处理作出规制，完善个人信息保护投诉、举报工作机制……这部专门法律充分回应社会关切，为破解个人信息保护中的热点难点问题提供强有力的法律保障。

《个人信息保护法》明确个人信息处理和跨境提供的规则、个人信息处理者的义务等内容。本法规定，任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

针对过度收集信息、大数据杀熟的问题，本法明确，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式；个人信息处理者利用个人信息进行自动化决策，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

针对滥用人脸识别技术问题，本法要求，在公共场所安装图像采集、个人身份识别设备，应设置显著的提示标识；所收集的个人图像、身份识别信息只能用于维护公共安全的目的。

对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，本法特别规定了其需要履行的义务，如建立健全个人信息保护合规制度体系，定期发布个人信息保护社会责任报告，接受社会监督等。

《个人信息保护法》还进一步强化相关部门的监管职责，从严惩治违法行为。履行个人信息保护职责的部门发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈，或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

专家解读

应用程序（App）过度收集个人信息

应用程序（App）过度收集个人信息的问题，个保法把它放进去是民之所向。

当前，我国已全面进入移动互联网时代。第47次《中国互联网络发展状况统计报告》显示，截至2020年12月，我国手机网民规模达9.86亿，国内市场监测到的应用程序（App）数量达345万款。快速发展带来新的安全问题，App随意收集、违法获取、过度使用个人信息等问题突出，深度影响人民群众的获得感、幸福感、安全感。

App治理已经成为个人信息保护的关键领域。《网络安全法》等法律法规已对个人信息保护做出了规定。《网络安全法》规定了个人信息收集使用合法、正当、必要等原则及各项规则。近年来，国家高度重视移动互联网应用治理，力度空前，也取得了突出成效。2019年1月，中央网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》，在全国范围组织开展App违法违规收集使用个人信息专项治理。随后，多部门均将App治理作为重要工作，积极推动App、SDK相关标准规范、安全指引制定和发布，持续推进违法违规App整治专项行动。近两年来，各地公安机关进一步在净网专项行动中围绕App违法违规收集使用个人信息问题。很多地方如浙江、天津等地都已积极开展数据安全保障及个人信息保护工作部署。

与《网络安全法》更加侧重国家安全与公共安全不同，个保法是以《民法典》所确立的个人信息民事权益为基础，从国家监管角度，用公权力细化、落实个人信息民事合法权益的保障法。因此，在三次审议稿阶段，专门把“对应用程序（App）过度收集个人信息”这一条拎出来，将人民群众反映强烈的重点难点问题纳入规制范围，固化了应用程序（App）治理成效，也为持续深入推动应用程序（App）治理工作奠定了立法基础。作为普遍化的应用工具，应用程序（App）治理关切全社会和广大人民群众的共同利益。事实上，应用程序（App）治理亟需解决的诸多突出问题也是我国新发展阶段所面临的整体网络安全、数据安全和个人信息保护等问题的一个缩影。

她认为，个保法确立的以个人“知情—同意”为核心的数据处理规则，专章规定了个人的个人信息权益，对应的个人信息处理义务章节也是以落实个人信息权益为导向，明确了个人信息处理者的法定义务以及违反义务的法律责任。

她说，“监管机构已大力着手专项治理与实际执法工作，随着个保法对个人信息权益的确立，我国个人信息保护已形成民事、行政与刑事结合的完备制度和法律保障体系，作为个人，我们一定要充分认识到法治环境的变化，提升安全意识、掌握保护技巧，善用法律赋能，用好举报、投诉和诉讼工具，主动保护好个人信息。”

大数据杀熟

“针对‘大数据杀熟’的问题，个体会感受比较明显。” 公安部第三研究所网络安全法律研究中心主任、研究员黄道丽说。

大数据杀熟是指互联网平台依靠数据优势和信息不对称对用户实施价格歧视的现象。2018年以来，随着网友陆续反映遭遇“大数据杀熟”，这一问题为公众所重点关注。

“我们比较能直观感受到的相对集中在网购、网约车、网络视频和在线票务等领域。”她告诉记者，“价格歧视”的现象在传统的领域也是存在的，但是“大数据杀熟”的实施方式非常的隐蔽。因为大多时候用户借助电脑或移动终端，凭借自身账号登录后，看到的只是平台展示给自己的价格，而无法像线下“明码标价”式看到对所有用户都一样的价格，故而这种歧视往往不易被察觉。当前，德勤公司对全球500家零售企业的调查显示，有40%采用人工智能来实时定制价格和促销行为。“可以说，大数据杀熟已然普遍存在。但观察此前“大数据杀熟”的案例可以发现，对大数据杀熟进行执法却存在较大困难。”她解释说，“因为当用户主张大数据杀熟时，相关企业通常会以季节、数量、区域、捆绑让价、动态定价等因素来回应价格歧视问题的正当性，监管部门基于此往往无法确认企业是否利用了个人数据实施“杀熟”。”

从技术手段来说，她告诉记者，“大数据杀熟”高度依赖用户数据和算法模型。其实施过程是，平台通过各种渠道掌握丰富的用户数据，又通过智能算法对这些数据进行分析，形成对用户的精准化画像，从而预测用户的支付能力、价格敏感度、支付意愿等，最后低成本地实施大规模、自动化的“个性化定价”。“根据大数据杀熟的过程可以发现，全面且充分的用户数据是企业形成用户画像进而实施价格歧视的基础，这就又涉及个人信息的收集问题。通常情况下，用户画像赖以形成的数据除通过个人授权取得外，往往还会涉及通过应用程序过度收集，cookie追踪技术，以及实体间的数据共享而获得”。

在立法规制上，她告诉记者，早在2019年5月28日，国家互联网信息办公室就《数据安全管理办法(征求意见稿)》向社会公开征求意见，其中第十三条就回应了大数据杀熟这个难题，其规定“网络运营者不得依据个人信息主体是否授权收集个人信息及授权范围，对个人信息主体采取歧视行为，包括服务质量、价格差异等。”由于大数据杀熟涉及市场竞争、用户知情、公平交易和个人数据保护等多个问题，她建议“立法一方面可以从保障消费者的知情权和公平交易权出发，综合考虑企业商业秘密保护，推动平台尽可能披露相关定价参数及规则，增强事前告知和行为透明度；另一方面，从保护消费者个人数据出发，推动平台遵循合法、正当、适度、必要的原则，公开数据收集和使用规则，并确保经过用户同意。”

来源：新华网、环球网、人民资讯