《个人信息保护法》11月1日正式实施

　　刚买了汽车，打开手机，保险类信息瞬间“刷屏”；通过网站购买机票，诈骗短信接踵而至，个人信息“裸奔”似乎成为常态，给个人信息加把“安全锁”也成为人们最迫切关注的问题之一。
　　11月1日，《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》)正式实施。一部针对个人信息保护的专门性立法，对平台过度收集个人信息、大数据杀熟、强制收集人脸信息等困扰网民的敏感个人信息处理问题作出针对性规定，为个人信息保护筑起“防火墙”。

为人脸识别划红线

　　“去售楼处购买新房，被告知通过售楼处人脸识别系统发现不是初次来访，无法享受相应的优惠政策。不少商家都安装隐秘的摄像头捕捉人脸数据，性别、年龄甚至情绪都能识别出来，还能进一步分析出消费心理和偏好，人脸安全令人担忧。”说起人脸信息被过度收集的现象，吕梁市民程英频频“吐槽”。
　　从“人脸识别第一案”到媒体曝光多家企业违规收集人脸信息，从济南看房者戴头盔进入售楼处到5000多张人脸打包兜售，人脸信息强制采集甚至非法出售和滥用频频引发关注。在太原工作的李晋泽微博热议话题中留言：“我们在信息时代‘裸奔’，不知何时丢‘脸’，更不知‘脸’用在何处。一旦人脸信息‘落入贼手’，合法权益极易遭受侵害。”
　　当人脸信息与身份、行为、位置、偏好等隐私相对接，就成为获取个人隐私的一把钥匙，因此人脸信息属于生物识别信息，也属于个人敏感信息。《个人信息保护法》首次确立了“敏感个人信息”的法律概念，即“包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满14周岁未成年人的个人信息”，规定只有在具有特定目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。
　　针对“人脸”安全痛点，《个人信息保护法》也划出“红线”。第二十六条规定：“在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识；所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的；取得个人单独同意的除外。”
　　山西财经大学法学院教授郭相宏表示，“为维护公共安全所必需”应当遵循其必要性，为实现特定公共目的之必要，不能超出维护公共安全目的。正如10月28日中消协发布的提示：小区物业、经营场所不能将人脸识别作为出入的唯一验证方式。小区物业、经营场所将人脸识别作为出入的唯一验证方式缺乏充分的必要性，也很难采取严格的保护措施，应当提供其他替代性的验证方式供业主或者消费者自主选择。此外，他认为应加强技术“红线”，收集信息方应当对生物特征进行加密，提高掌握原始生物信息的门槛。

对大数据杀熟说不

　　在App上订酒店，同一房型、同一时段，不同用户看到的价格不一；网购同一商品，使用不同账号付款，老客户页面价格更高……在线旅游、交通出行、在线票务、视频网站、网络购物等诸多领域，此类现象屡见不鲜。互联网平台利用大数据和算法对用户进行画像分析，从而收取不同价格等行为，被称为大数据“杀熟”。《个人信息保护法》的施行，用户有底气对大数据杀熟说不。
　　《个人信息保护法》规定，个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。
　　“也就是说，‘大数据杀熟’的操作将涉嫌违法。”北京市汇京律师事务所律师朱琴表示，《个人信息保护法》同时明确了法律后果，如果违反该规定，政府主管部门有权责令改正、给予警告、没收违法所得、责令暂停或者终止提供服务、罚款、责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照，并可以对直接负责的主管人员和其他直接责任人员实施在一定期限内的禁业限制。
　　大数据分析师赵龙指出，“大数据杀熟”本质上指向“个性化推荐算法”，它是一把“双刃剑”，用得好可以更好地为消费者服务。对掌握海量用户数据的超大型互联网平台，《个人信息保护法》要求成立主要由外部成员组成的独立监管机构、定期进行合规审计等，这就是从源头阻止个人信息被侵害的情形发生，引导“个性化推荐算法”为消费者服务，提升用户体验。

我的信息我做主

　　通讯录、相册、摄像头、麦克风……下载一款App，要多次点击“同意”“允许”，若“不同意”，则会被告知无法使用软件。尽管用户对此类收集个人信息的方式颇为担忧，但面对“不同意即不可用”的困境，往往选择妥协。个人信息被“任性”获取，我的信息何时才能我做主。
　　“任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息”“处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式”……朱琴认为，《个人信息保护法》细化完善个人信息处理规则，明确个人信息处理活动中的权利义务边界，并将“告知-同意”作为个人信息处理核心规则。该法规定，基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出；个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务，这意味着，该法出台后，“强制同意”等过度收集用户个人信息的行为将被限制。同时，《个人信息保护法》还赋予个人“撤回其同意”“请求删除”的权利。比如，一些需要提供个人信息的业务，办理完毕后除国家规定需要留存备案信息之外，应根据公民的要求删除有关个人信息。
　　郭相宏表示，除个人信息处理者的义务以及监管部门所履行个人信息保护职责，《个人信息保护法》还明确个人权利。他建议，个人应积极行使个人信息保护法规定的查阅权、复制权、更正权、删除权等一系列权利，及时了解、把握自己的个人信息收集和处理情况。

本报记者刘聪