□ 本報記者 朱寧寧
安裝個天氣預(yù)報App被要求訪問通訊錄,下載個健身軟件被請求訪問手機相冊……這種“客氣”的詢問,很多手機用戶都經(jīng)歷過。表面上看,商家似乎盡到了告知義務(wù),但實際上,使用者只能被動接受。因為如果你不接受,就無法下載或者正常使用這些App。
目前,大量App都存在超范圍收集個人信息的情況。在自身功能不必要的情況下,一些App過度獲取用戶隱私采集個人信息。
前不久,個人信息保護法草案首次提請全國人大常委會會議審議,如何通過立法來有效遏制和打擊過度采集個人信息現(xiàn)象成為關(guān)注焦點。
個人對信息處理享有知情權(quán)決定權(quán)
為了充分實現(xiàn)對自然人的個人信息權(quán)益保護,并與民法典人格權(quán)編第六章“隱私權(quán)與個人信息保護”的規(guī)定相銜接,草案第四章對“個人在個人信息處理活動中的權(quán)利”作了詳細規(guī)定,明確了個人信息處理活動中個人的各項權(quán)利,包括知情權(quán)、決定權(quán)、查詢權(quán)、更正權(quán)、刪除權(quán)等,并要求個人信息處理者建立個人行使權(quán)利的申請受理和處理機制。
在清華大學(xué)法學(xué)院副院長、教授程嘯看來,這些規(guī)定十分值得肯定。尤其是草案第四十四條規(guī)定,個人對其個人信息的處理享有知情權(quán)、決定權(quán),有權(quán)限制或者拒絕他人對其個人信息進行處理;法律、行政法規(guī)另有規(guī)定的除外。
“這一內(nèi)容可以說真正為個人信息權(quán)益的其他權(quán)能奠定了基礎(chǔ)!背虈[具體指出,正是因為賦予知情權(quán)和決定權(quán)等權(quán)利,個人信息處理者在沒有進行充分告知并取得自然人同意的情況下,就不能處理其個人信息,除非法律、行政法規(guī)另有規(guī)定。與此同時,個人信息處理者也有義務(wù)對其個人信息處理規(guī)則向自然人進行解釋說明。而自然人在符合規(guī)定的條件時,則有權(quán)要求個人信息處理者刪除其個人信息。
與民法典銜接規(guī)定更加明確
在面對個人信息處理者尤其是那些經(jīng)濟力量雄厚的網(wǎng)絡(luò)企業(yè)時,自然人的個人信息權(quán)益如何行使是非,F(xiàn)實的問題。
草案第四十九條規(guī)定:個人信息處理者應(yīng)當(dāng)建立個人行使權(quán)利的申請受理和處理機制。拒絕個人行使權(quán)利的請求的,應(yīng)當(dāng)說明理由!斑@就意味著,個人信息處理者負有建立保障自然人行使個人信息權(quán)益的程序機制的義務(wù)并且受該程序機制的約束,在拒絕個人行使權(quán)利時,也應(yīng)當(dāng)說明理由!背虈[說。
值得一提的是,民法典第一千零三十七條第二款規(guī)定:“自然人發(fā)現(xiàn)信息處理者違反法律、行政法規(guī)的規(guī)定或者雙方的約定處理其個人信息的,有權(quán)請求信息處理者及時刪除。”但該規(guī)定比較原則,具體何種情形下自然人可以請求個人信息處理者及時刪除個人信息,并不明確。
草案對此作出細化,不僅規(guī)定個人可以請求刪除的情形,還明確規(guī)定了個人信息處理者應(yīng)當(dāng)主動刪除的情形,具體包括:約定的保存期限已屆滿或者處理目的已實現(xiàn);個人信息處理者停止提供產(chǎn)品或者服務(wù);個人撤回同意;個人信息處理者違反法律、行政法規(guī)或者違反約定處理個人信息;法律、行政法規(guī)規(guī)定的其他情形。
建議立法明確禁止過度收集行為
記者注意到,個人信息過度收集問題也是全國人大常委會委員們分組審議草案時的熱議點。
“在個人信息收集環(huán)節(jié)應(yīng)禁止過度收集或霸王式收集。”陳福利委員建議在個人信息處理規(guī)則一章中,針對個人信息處理概念中有關(guān)個人信息的收集、儲存、使用、加工、傳輸、提供、公開等活動,考慮分別制定適當(dāng)?shù)囊?guī)則,特別是要突出個人信息收集和使用這兩個關(guān)鍵環(huán)節(jié)。
“相關(guān)法律中已有規(guī)定,不得采集與業(yè)務(wù)無關(guān)的信息,而且不能在與業(yè)務(wù)無關(guān)的情況下不經(jīng)本人同意使用這些信息。建議本法增加這方面的內(nèi)容,防止濫用采集信息的權(quán)力、機會和條件!备惮撐瘑T建議增加內(nèi)容限制毫無邊界、隨意提出采集個人信息要求的行為。一是不應(yīng)該采集和業(yè)務(wù)無關(guān)的信息;二是應(yīng)該有雙向承諾,當(dāng)使用者“同意”之后,服務(wù)者亦應(yīng)承諾不會隨意在無關(guān)業(yè)務(wù)中使用信息。
全國人大財政經(jīng)濟委員會委員騫芳莉認為,雖然目前草案第六條、第十四條、第十七條的規(guī)定都可以對過度收集個人信息現(xiàn)象進行規(guī)制,但仍然存在規(guī)避法律的可能,例如將處理個人信息的目的模糊表述為“為保證用戶體驗”等,因此建議明確,應(yīng)當(dāng)告知要處理的個人信息種類,每一類個人信息的詳細處理目的、處理方式,切實保障個人的充分知情。
“現(xiàn)在草案對個人信息保護主要基于知情同意原則,在互聯(lián)網(wǎng)企業(yè)大量掌握個人信息的情況下,要避免事前告知流于形式!弊笾幸晃瘑T認為除了加強政府部門監(jiān)管外,還應(yīng)引入有效的行業(yè)治理,發(fā)揮行業(yè)協(xié)會作用,幫助信息主體更好地作出決策。
建議進一步完善細化法律責(zé)任
除了顯著提高行政處罰標準之外,草案還規(guī)定了侵害個人信息權(quán)益的民事責(zé)任,明確侵害個人信息權(quán)益的歸責(zé)原則為過錯推定責(zé)任,確定了侵害個人信息的損害賠償方法。草案還規(guī)定了侵害個人信息權(quán)益的公益訴訟。這一規(guī)定將有助于解決大規(guī)模侵害個人信息時單個自然人因經(jīng)濟力量、專業(yè)知識等原因而面臨的維權(quán)困境。
“規(guī)定侵害個人信息權(quán)益的民事責(zé)任尤其是民事賠償責(zé)任非常重要!背虈[說,目前草案將侵害個人信息權(quán)益損害賠償責(zé)任的歸責(zé)原則和賠償方法一起規(guī)定,建議分為兩款分別規(guī)定。同時明確自然人有權(quán)要求個人信息處理者停止侵害、排除妨礙、消除危險。此外,建議應(yīng)當(dāng)在區(qū)分敏感和非敏感個人信息的基礎(chǔ)上確定不同的歸責(zé)原則,即對于侵害敏感個人信息權(quán)益的賠償責(zé)任,采取危險責(zé)任即無過錯責(zé)任,而對于侵害非敏感個人信息的賠償責(zé)任可以采取過錯推定責(zé)任。
“有效遏制扭轉(zhuǎn)目前個人信息過度收集的局面,既是衡量我國法治文明和法治水平的重要指針,也是保障公民個人信息權(quán)益、促進個人信息合理利用的必然舉措!北本⿴煼洞髮W(xué)網(wǎng)絡(luò)法治國際中心執(zhí)行主任、中國互聯(lián)網(wǎng)協(xié)會研究中心秘書長吳沈括認為,著眼當(dāng)下現(xiàn)實的個人信息收集處理的生態(tài)環(huán)境,草案可以進一步完善和細化。在法律責(zé)任配置層面,可以考慮就侵害敏感個人信息的行為專門配置更高強度的處罰規(guī)則。在權(quán)利救濟途徑層面,鑒于普通民眾在新技術(shù)環(huán)境中的在認知和能力層面的相對弱勢地位,可以考慮借鑒域外立法實踐,增設(shè)個人信息侵權(quán)領(lǐng)域的集團訴訟條款,豐富個人權(quán)益保護的司法救濟方式。