個人資訊保護法實施在即 未經消費者同意經營者不得推送商業資訊

　　近年來，中國消費者協會(以下簡稱中消協)在開展消費維權工作中發現，消費者反映比較突出的個人資訊問題主要集中在手機APP過度索權、消費者個人資訊被洩露、非法推送商業資訊、“大數據殺熟”以及敏感個人資訊的非法處理等方面。

　　《個人資訊保護法》將於11月1日正式實施，這是一部保護公民個人資訊的專門法律，與《民法典》《網路安全法》《數據安全法》《電子商務法》《消費者權益保護法》等法律共同編織成一張消費者個人資訊“保護網”。中消協于10月28日發佈消費提示，提醒經營者採取切實措施保護消費者個人資訊，提醒消費者認真學法、主動用法。

　　落實“告知—同意”規則

　　經營者要切實落實“告知—同意”規則，明示處理個人資訊的目的、方式和範圍。經營者應當制定處理消費者個人資訊的規則，遵循公開、透明原則，公開個人資訊處理規則，明示處理的目的、方式和範圍，並提供便捷的撤回同意的方式。任何組織、個人不得非法收集、使用、加工、傳輸消費者個人資訊，不得非法買賣、提供或者公開消費者個人資訊。收集消費者個人資訊，應在事先充分告知的前提下，保證消費者知情，並徵得消費者本人同意。經營者不得採取所有授權、強制同意等方式處理消費者個人資訊；未經消費者同意，經營者不得向消費者推送商業資訊。

　　經營者要滿足個人資訊處理的兩個“最小”一個“最短”，不得過度收集消費者個人資訊。經營者收集使用個人資訊應當具有明確、合理的目的，並限制在對個人權益影響最小的方式和實現處理目的的最小範圍，不得過度收集消費者個人資訊。除法律、行政法規另有規定外，個人資訊的保存期限應當為實現處理目的所必要的最短時間。除了提供産品或者服務所必需的個人資訊，經營者不得以消費者不同意處理其個人資訊或者撤回同意為由，拒絕提供産品或者服務。手機APP等不得因用戶不同意提供非必要個人資訊，而拒絕用戶使用其基本功能的服務。

　　嚴格限制敏感資訊處理

　　經營者要嚴格限制對敏感個人資訊的處理，小區、經營場所不能強制業主或者消費者進行人臉識別。敏感個人資訊指一旦洩露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財産安全受到危害的個人資訊，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等資訊，以及不滿14周歲未成年人的個人資訊。法律對其設置了特殊處理規則，即《個人資訊保護法》二十八條第二款中規定“只有在具有特定的目的和充分的必要性，並採取嚴格保護措施的情形下，個人資訊處理者方可處理敏感個人資訊”。人臉識別作為一種敏感個人資訊，一旦洩露容易對個人的人身和財産安全造成極大危害，甚至還可能威脅公共安全。小區物業、經營場所將人臉識別作為出入的唯一驗證方式缺乏充分的必要性，也很難採取嚴格的保護措施，應當提供其他替代性的驗證方式供業主或者消費者自主選擇。經營者更不能為了商業目的非法收集消費者的人臉識別資訊。

　　經營者利用個人資訊進行自動化決策要合法，禁止“大數據殺熟”等行為。《個人資訊保護法》規定個人資訊處理者利用個人資訊進行自動化決策，應當保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。通過自動化決策方式向個人進行資訊推送、商業行銷，應當同時提供不針對其個人特徵的選項，或者向個人提供便捷的拒絕方式。經營者不能利用自身掌握的消費者經濟狀況、消費習慣以及對價格的敏感程度等資訊，對消費者在交易價格等方面實行歧視性的差別待遇，也不能在未獲得消費者授權的情況下通過用戶畫像來開展精準行銷。

　　平臺要保護好用戶資訊

　　大型網際網路平臺還要注意履行特殊義務，當好個人資訊保護“守門人”。

　　提供重要網際網路平臺服務、用戶數量巨大、業務類型複雜的個人資訊處理者還應按照國家規定，建立健全個人資訊保護合規制度體系，成立主要由外部成員組成的獨立機構對個人資訊保護情況進行監督。遵循公開、公平、公正的原則，制定平臺規則，明確平臺內産品或者服務提供者處理個人資訊的規範和保護個人資訊的義務。對嚴重違反法律、行政法規處理個人資訊的平臺內的産品或者服務提供者，停止提供服務。定期發佈個人資訊保護社會責任報告，接受社會監督。

　　●相關連結

　　從五方面保護個人資訊

　　中消協提醒廣大消費者，為了讓 《個人資訊保護法》發揮更大實效，要認真學法、主動用法：

　　要積極學習 《個人資訊保護法》等法律規定。通過對《個人資訊保護法》等個人資訊保護相關法律的學習，了解個人資訊和敏感個人資訊的處理規則、自身在個人資訊處理活動中所享有的權利、個人資訊處理者應當承擔的義務以及個人資訊權益受到侵害時的救濟方式等，進一步提升個人資訊保護的意識和能力，用法律武器來指導消費實踐。

　　要養成“非必要不提供”的良好習慣。消費者在接受服務時，要仔細閱讀隱私協議等涉及個人資訊的條款，明確經營者處理個人資訊的方式、範圍、目的和依據等，考量經營者處理個人資訊理由的充分性和消費者提供個人資訊的必要性，建議只在確屬必要的情況下才向經營者提供個人資訊或者進行授權。

　　要對自己授權或者提供的個人資訊進行持續跟蹤。消費者接受個人資訊條款或者向經營者提供個人資訊後，還應隨時關注經營者個人資訊條款是否進行修改，經營者是否有保障個人資訊安全的能力，經營者是否存在非法處理個人資訊行為等。當消費者不同意經營者繼續處理其個人資訊時，要積極行使“撤回同意”權利，要求經營者停止處理或及時刪除其個人資訊。

　　要注意銷毀帶有個人資訊的單據和資料。消費者要保護好帶有個人資訊的單據和資料，防止因隨意丟棄、使用不當等造成個人資訊洩露。如妥善處理未脫敏的快遞單據等帶有個人資訊的單據和資料，使用完後應及時銷毀，或是塗抹掉關鍵資訊後再丟棄；在向他人提供身份證等重要證件的複印件時，最好顯著標識此複印件的用途；一些帶有個人敏感資訊的電子數據，如證件照片等，建議用完即刪或者採用加密方式進行存儲。

　　要主動拿起法律武器維護合法權益。消費者應積極行使對經營者進行個人資訊處理活動的監督權。當自身個人資訊權益受到侵害或者發現經營者存在違法處理消費者個人資訊行為時，要主動向個人資訊保護管理部門或者消費者協會進行投訴、舉報，提供案件線索和相關憑證，維護自身及其他消費者的合法權益。