《中华人民共和国个人信息保护法》正式施行 律师：消费者获新保护，平台仍需改进

原标题：《中华人民共和国个人信息保护法》正式施行 律师：消费者获新保护，平台仍需改进

《中华人民共和国个人信息保护法》（下文简称“个人信息保护法”）于2021年11月1日起正式实施。

本法对人脸信息等敏感个人信息的处理作出规制，明确不得过度收集个人信息、大数据杀熟；还完善了个人信息保护投诉、举报工作机制等，充分回应了社会关切。

据了解，《个人信息保护法》保护的个人信息更全面，惩罚的力度也更大。针对情节严重的企业，《个人信息保护法》将处以五千万元以下或者上一年度营业额5%以下罚款，

北京岳成律师事务所高级合伙人岳屾山律师告诉财经网科技，《个人信息保护法》是第一部专门针对个人信息保护的法律，其重要意义在于，不仅包括对个人信息的定义和处理规则，而且明确了平台的义务和责任。

具体而言，消费者自此有了决定自己个人信息是否被使用、使用的范围，以及停止授权被使用的法律基础。

处理个人信息应向个人充分告知并获同意

据《个人信息保护法》，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息；敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

对个人信息的处理，《个人信息保护法》明确规定应当取得个人同意；处理敏感个人信息，还应当取得个人的单独同意。此外，法律、行政法规规定，处理敏感个人信息应当取得书面同意的，还应取得书面同意。

财经网科技通过浏览淘宝、京东、微信等多个APP发现，其在《隐私政策》中将个人信息分为两类，一类是必须的信息，即如果用户不提供此类信息，APP就无法为其提供基础的产品或服务；另一类是非必须的个人信息，包括地理位置（位置信息）、相机（摄像头）、相册（图片库）、蓝牙、日历、通讯录、电话状态、面容ID/触控ID、NFC权限等。如果不提供这类信息，用户仍可享受基础服务。

《个人信息保护法》的出台意味着，当平台服务涉及个性化功能而需要开启用户个人（敏感）信息的收集与使用时，平台需要单独告知用户，并在征求用户明确同意的基础上提供相应的服务。

当然，平台在获取用户的同意与授权上并非“无懈可击”。

北京云嘉律师事务所副主任赵占领在接受媒体采访时表示，收集用户的敏感个人信息时，应当经过用户的明示同意，而不仅仅是简单的默认勾选用户协议这种一揽子方式。

岳屾山补充认为，除了默认勾选用户协议，更合理的做法是平台把所有会收集的信息选项都放在一起，让用户自主去勾选何种信息同意被收集。而不是平台事先替用户选好了，仅让用户一键同意。

同时，工信部于11月1日发布的《关于开展信息通信服务感知提升行动的通知》中也明确提出，在App的隐私政策和权限调用展示方式上，互联网企业应以简洁、清晰、易懂的方式，向用户提供App产品隐私政策摘要；涉及调用用户终端中相册、通讯录、位置等敏感权限的，还应当以适当方式告知用户调用该权限的目的，充分保障用户知情权。

用户可随时撤回个人信息同意授权

用户在授权个人信息及敏感个人信息后，并非处于弱势地位，而是可以决定个人信息授权的范围、是否接受个性化服务或者平台商业营销内容的推送。

《个人信息保护法》规定，个人对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理；个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制；个人信息处理者拒绝个人行使权利的请求的，个人可以依法向人民法院提起诉讼。

据了解，微信上线更新的IOS8.0.16版本对系统权限管理、授权管理、个性化广告管理和个人信息浏览与导出四类个人信息与权限管理做出了新的设定。其中，系统权限管理列出的是位置信息、电话、存储、麦克风、相机以及悬浮窗等服务；授权管理展示的是账号此前授权过的网站和App。但无论是哪一类的权限管理，用户都可以随时解除原有的个人信息授权。

平台信息推送和商业营销可被拒绝

值得注意的是，在微信的个性化广告管理中，用户可以主动关闭微信为其提供的个性化广告推荐，但用户接收的广告数量不变。

所谓个性化内容，是指平台通过自动化决策，向个人进行信息推送、商业营销，但《个人信息保护法》同时明确，平台向个人进行信息推送、商业营销时，应当提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式；个人信息处理者利用个人信息进行自动化决策时应当保证决策的透明度和结果公平公正，不得实行不合理的差别待遇。同时，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

这表明，用户不仅可以拒绝平台推送营销短信，同时还可以关闭平台提供的个性化内容推荐，避免近年来热议的“大数据杀熟”。

在“双11”来临之际，关于电商平台商家发送大量营销短信的投诉明显增多，据了解，营销短信的发送源于在电商平台中《隐私政策》的授权。财经网科技在淘宝APP、京东APP的《隐私政策》中发现，其都表明会基于用户的偏好特征推送商业广告，并表示若用户不想接受商业广告，可通过短信提示回复退订。

此外，携程APP最近更新的《软件许可与服务协议》中也显示，用户可通过“新消息与推荐设置”这一入口关闭个性化推送服务，从而限制平台的自动化决策。在个性推荐操作关闭后，平台将不会基于用户的个人特征进行页面展示。据公开资料显示，消费者以“大数据杀熟”为由，对携程在机票和酒店价格方面的的投诉不断。

值得注意的是，《个人信息保护法》对平台自动化决策下的信息推送、商业营销进行了全面的规定，但平台仍有进步空间。

据了解，目前，电商平台用户对商业广告的退订手段相对单一，仅能通过短信回复进行退订，而且只能一家一家地退。此外，无论是在社交平台还是投诉平台，用户对各家提供机票、酒旅服务的“大数据杀熟”投诉也充斥其中。

对此，岳屾山律师分析认为，电商平台商家的营销短信虽然不违法，但也不是没有问题，“（平台）应该单独拎出来让用户进行同意，尤其有可能会对用户生活造成影响的情况下。”

此外，针对“大数据杀熟”问题，北京市消协曾建议称，采取技术手段和技术设备，建立相应的大数据网上监管平台，针对网络信息平台进行全天候的在线监管，提高对各种隐性大数据利用违法行为的查处能力。同时，可建立诚信激励和失信黑名单制度，一旦发现企业存在通过大数据“杀熟”损害消费者知情权、选择权和公平交易权的行为，不仅要对其给与行政处罚，还要将其纳入诚信黑名单。

岳屾山律师也补充称，用户在购买时很难知道自己是否被平台“杀熟”，除非拿其他手机及账号进行比对。对于这方面的监管，更需要平台做好价格的监控。

“（《个人信息保护法》）当然是一部好法律，但是接下来的话就是怎么执行和落实，就得需要执法部门、监督部门去开动脑筋了。”岳屾山律师最后总结道。