数字化时代,个人信息如何保障
——个人信息保护法草案分组审议侧记
2021-04-29 09:51:09 | 来源:人民法院报 | 作者:王俏
 

  小区门禁系统也要人脸识别通过?手机上的推荐广告关都关不掉?新冠肺炎疫情期间的海量个人信息如何被保护?

  个人信息保护法修正草案二审稿提请全国人大常委会审议,4月27日下午,在分组审议中,涉及敏感个人信息、个人信息的过度收集、个人信息的删除退出和销毁等多方面问题引发了与会人员的广泛讨论。

  小区门禁系统也要人脸识别?治理滥用个人敏感信息需要特殊规则

  有房产中介根据人脸识别,发现有人多次进出房产中介的不同门店却不购买,便禁止其再进入;或者根据人脸识别,按照进各售楼处的次数给购买人优惠,或者增加购买人的费用。

  “人脸识别技术现在滥用的情况比较普遍。”全国人大常委会委员周敏建议增加规定,在公共场所安装图像采集、个人身份识别设备,“不得用于商业等其他目的”。

  王东明副委员长打了个比方,有的开展银行业务时在使用一些手机APP,有的在使用小区门禁系统时都经常要采集人脸、指纹、掌纹、虹膜等个人生物识别信息,很多情况下这些都是过度收集或者处理敏感个人信息。

  王东明建议,应明确对敏感个人信息实施特殊保护规则。对金融机构、医疗机构、科技公司等特定企业或者组织采集、存储、处理敏感个人信息,对存储敏感个人信息必须采取加密处理和技术安全保障,对敏感个人信息及时删除等作出明确规定。

  杨震委员提出,人脸识别使用的地方越来越多,一定程度上威胁了个人信息的安全。他建议由专门机构承担人脸识别应用的审批和监管职能、界定设备及数据主管的职责、数据使用和管理的权限。

  弹窗广告取消不了?过度收集个人信息应明令禁止

  安装程序时可以“一键同意”,撤回同意时却设置各种障碍;不填报个人信息,或不同意被获取个人信息,就无法使用程序……在分组审议时,不少与会人员“吐槽”了自己的经历。

  “微信朋友圈经常会推送一些东西,我自己曾经从网上查到怎么拒绝商业推送,但是操作了很长时间,都不成功,非常复杂,没有办法拒绝。”周敏委员提出,通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项,或者向个人提供拒绝的方式。

  周敏建议,将草案关于商业营销、信息推送的相关规定中“向个人提供拒绝的方式”,改为“向个人提供易于操作的拒绝方式”。周敏解释说:“因为有的商业营销信息推送提供了拒绝方式,但是很难操作,而且操作后很难成功。”

  全国人大社会建设委员会副主任委员宫蒲光则提出,在日常生活中,特别是在使用手机应用程序中,许多网络服务商家不管所提供的产品或服务与要求提供个人的信息是否有直接关联、是否必要,往往把收集个人信息作为提供产品或服务的前提条件,不填报个人信息就无法继续安装或使用该应用程序,普遍存在过度收集个人信息的情形。

  宫蒲光建议增加“个人信息处理者不得将让渡非必要的个人信息权益作为提供产品或服务的前提条件”的规定,对应当提供的必要信息进行界定,同时对违法者还应有相应的处罚。

  疫情过后海量信息怎么处理?个人信息的删除、退出和销毁都应规范化

  新冠肺炎疫情防控期间,每个人的出行轨迹,从超市到药店,从小区物业到公交地铁,无一不要求登记姓名、手机号、身份证件信息等,精准追溯。

  “如果这些个人信息不能被保护好,流入黑灰产业的风险很大。”全国人大华侨委员会委员王辉忠认为,随着疫情逐渐好转,个人信息保护工作的重点也应从收集、使用转移到存储和销毁。

  被收集的个人信息储存多长时间?什么时候销毁?李巍委员建议,对于信息的删除、销毁和退出,应有三方面规定:一是某些信息必须有一定的有效期限和特殊用途,以及限制使用范围,超过有效期就要自动销毁、删除、退出;二是对那些过时的、过期的或者完成特殊任务特殊目的并失去了保留价值的信息,要按规定及时销毁退出并通知公民本人;三是要规定有关主管部门和机构定期开展检查和监督,集中精力妥善解决好这些信息的退出和销毁问题。

  列席会议的全国人大代表冯丹提出,“紧急情况消除后,信息留存需去标志化和匿名化,并纳入公共数据范畴进行管理”。目的是提高此类数据的利用效率,使数据发挥最大作用。

  今年2月,虾米音乐播放器业务停止服务,曾引发社会关注和热议。关注到此问题的刘修文委员提出,要进一步细化个人信息处理者停业等情形下的个人信息保护方面的规定。当信息处理者停业、破产等情形出现时,其处理的个人信息的安全如何保障,信息如何接续处理等,已成为重要问题,都需要在法律中予以明确。

  肚中宝宝的信息被泄露了怎么办?要加强对胎儿和未成年人的相关保护

  从怀孕开始到胎儿分娩,孕妇要在医疗机构进行多次孕产检查,这些检查会产生胎儿的影像、性别、血型、疾病基因、身体特征和是否残缺等生物识别信息。“这些胎儿信息与父母信息一起都在医疗机构大量存储,有必要以法律形式一同加以保护。”王砚蒙委员提出。

  草案二审稿规定,自然人死亡的,个人在个人信息处理中的权利,由其近亲属行使。王砚蒙建议增加一款,“未出生胎儿的相关信息可视为其父母的个人信息权益加以保护”。

  她认为,既然已经补充了自然人死亡后的个人信息保护内容,也应该对自然人出生之前的信息保护问题作出规定,未出生的胎儿也有其独特的生物识别信息。

  “未成年人个人隐私、个人信息更容易受到侵害,其个人信息总体上应当属于敏感个人信息。”王东明副委员长提出现实当中大量存在未成年人因个人信息被泄露和滥用而造成个人和家庭财产甚至人身安全受到危害的问题。从国际上看,加强保护未成年人个人信息已是一种趋势。

  草案第十五条规定,“个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意”。

  曹建明副委员长提出,已满14周岁的未成年人可能对处理自己个人信息的合法性、合理性缺乏准确认识和判断。以民法典为依据作判断,为有效保护未成年人合法权益,建议对草案不满14周岁的年龄规定作适当的调整。

  李锐委员表示,为了与民法典更好衔接,建议把门槛升高为18周岁。而处理的个人信息为16周岁以上的未成年人的,该未成年人若以自己的劳动收入为主要生活来源,可以不用取得其监护人的同意。

  对此吕薇委员则建议,可以把未成年人个人信息保护的更高要求聚焦于特定的场景,比如哪些内容或者哪些网站是不适合未成年人观看或者进入的。


责任编辑:罗一坤