大量App存在超範圍收集個人信息情況 過度收集須叫停
□ 本報記者 朱寧寧
安裝個天氣預報App被要求訪問通訊錄,下載個健身軟件被請求訪問手機相冊……這種“客氣”的詢問,很多手機用戶都經歷過。表面上看,商家似乎盡到了告知義務,但實際上,使用者只能被動接受。因爲如果你不接受,就無法下載或者正常使用這些App。
目前,大量App都存在超範圍收集個人信息的情況。在自身功能不必要的情況下,一些App過度獲取用戶隱私採集個人信息。
前不久,個人信息保護法草案首次提請全國人大常委會會議審議,如何通過立法來有效遏制和打擊過度採集個人信息現象成爲關注焦點。
爲了充分實現對自然人的個人信息權益保護,並與民法典人格權編第六章“隱私權與個人信息保護”的規定相銜接,草案第四章對“個人在個人信息處理活動中的權利”作了詳細規定,明確了個人信息處理活動中個人的各項權利,包括知情權、決定權、查詢權、更正權、刪除權等,並要求個人信息處理者建立個人行使權利的申請受理和處理機制。
在清華大學法學院副院長、教授程嘯看來,這些規定十分值得肯定。尤其是草案第四十四條規定,個人對其個人信息的處理享有知情權、決定權,有權限制或者拒絕他人對其個人信息進行處理;法律、行政法規另有規定的除外。
“這一內容可以說真正爲個人信息權益的其他權能奠定了基礎。”程嘯具體指出,正是因爲賦予知情權和決定權等權利,個人信息處理者在沒有進行充分告知並取得自然人同意的情況下,就不能處理其個人信息,除非法律、行政法規另有規定。與此同時,個人信息處理者也有義務對其個人信息處理規則向自然人進行解釋說明。而自然人在符合規定的條件時,則有權要求個人信息處理者刪除其個人信息。
與民法典銜接規定更加明確
在面對個人信息處理者尤其是那些經濟力量雄厚的網絡企業時,自然人的個人信息權益如何行使是非常現實的問題。
草案第四十九條規定:個人信息處理者應當建立個人行使權利的申請受理和處理機制。拒絕個人行使權利的請求的,應當說明理由。“這就意味着,個人信息處理者負有建立保障自然人行使個人信息權益的程序機制的義務並且受該程序機制的約束,在拒絕個人行使權利時,也應當說明理由。”程嘯說。
值得一提的是,民法典第一千零三十七條第二款規定:“自然人發現信息處理者違反法律、行政法規的規定或者雙方的約定處理其個人信息的,有權請求信息處理者及時刪除。”但該規定比較原則,具體何種情形下自然人可以請求個人信息處理者及時刪除個人信息,並不明確。
草案對此作出細化,不僅規定個人可以請求刪除的情形,還明確規定了個人信息處理者應當主動刪除的情形,具體包括:約定的保存期限已屆滿或者處理目的已實現;個人信息處理者停止提供產品或者服務;個人撤回同意;個人信息處理者違反法律、行政法規或者違反約定處理個人信息;法律、行政法規規定的其他情形。
建議立法明確禁止過度收集行爲
記者注意到,個人信息過度收集問題也是全國人大常委會委員們分組審議草案時的熱議點。
“在個人信息收集環節應禁止過度收集或霸王式收集。”陳福利委員建議在個人信息處理規則一章中,針對個人信息處理概念中有關個人信息的收集、儲存、使用、加工、傳輸、提供、公開等活動,考慮分別制定適當的規則,特別是要突出個人信息收集和使用這兩個關鍵環節。
“相關法律中已有規定,不得采集與業務無關的信息,而且不能在與業務無關的情況下不經本人同意使用這些信息。建議本法增加這方面的內容,防止濫用採集信息的權力、機會和條件。”傅瑩委員建議增加內容限制毫無邊界、隨意提出採集個人信息要求的行爲。一是不應該採集和業務無關的信息;二是應該有雙向承諾,當使用者“同意”之後,服務者亦應承諾不會隨意在無關業務中使用信息。
全國人大財政經濟委員會委員騫芳莉認爲,雖然目前草案第六條、第十四條、第十七條的規定都可以對過度收集個人信息現象進行規制,但仍然存在規避法律的可能,例如將處理個人信息的目的模糊表述爲“爲保證用戶體驗”等,因此建議明確,應當告知要處理的個人信息種類,每一類個人信息的詳細處理目的、處理方式,切實保障個人的充分知情。
“現在草案對個人信息保護主要基於知情同意原則,在互聯網企業大量掌握個人信息的情況下,要避免事前告知流於形式。”左中一委員認爲除了加強政府部門監管外,還應引入有效的行業治理,發揮行業協會作用,幫助信息主體更好地作出決策。
建議進一步完善細化法律責任
除了顯著提高行政處罰標準之外,草案還規定了侵害個人信息權益的民事責任,明確侵害個人信息權益的歸責原則爲過錯推定責任,確定了侵害個人信息的損害賠償方法。草案還規定了侵害個人信息權益的公益訴訟。這一規定將有助於解決大規模侵害個人信息時單個自然人因經濟力量、專業知識等原因而面臨的維權困境。
“規定侵害個人信息權益的民事責任尤其是民事賠償責任非常重要。”程嘯說,目前草案將侵害個人信息權益損害賠償責任的歸責原則和賠償方法一起規定,建議分爲兩款分別規定。同時明確自然人有權要求個人信息處理者停止侵害、排除妨礙、消除危險。此外,建議應當在區分敏感和非敏感個人信息的基礎上確定不同的歸責原則,即對於侵害敏感個人信息權益的賠償責任,採取危險責任即無過錯責任,而對於侵害非敏感個人信息的賠償責任可以採取過錯推定責任。
“有效遏制扭轉目前個人信息過度收集的局面,既是衡量我國法治文明和法治水平的重要指針,也是保障公民個人信息權益、促進個人信息合理利用的必然舉措。”北京師範大學網絡法治國際中心執行主任、中國互聯網協會研究中心秘書長吳沈括認爲,着眼當下現實的個人信息收集處理的生態環境,草案可以進一步完善和細化。在法律責任配置層面,可以考慮就侵害敏感個人信息的行爲專門配置更高強度的處罰規則。在權利救濟途徑層面,鑑於普通民衆在新技術環境中的在認知和能力層面的相對弱勢地位,可以考慮借鑑域外立法實踐,增設個人信息侵權領域的集團訴訟條款,豐富個人權益保護的司法救濟方式。