《个人信息保护法》本月起正式实施。这是一部保护公民个人信息的专门法律,它充分回应社会关切,极大扩展和补充了《民法典》《消费者权益保护法》等民事法律关于个人信息权益的规定,为破解个人信息保护中的热点难点问题提供了强有力的法律保障。个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
人人都是消费者。在消费过程中,有哪些侵害个人信息权益的问题?我们又该如何才能保护好个人信息呢?山东省消费者协会针对消费者投诉和关切,梳理出消费中个人信息权益可能受损的四个问题,并提出应对建议,帮助广大消费者快速学习和运用新法,提高个人信息保护的意识和能力。
问题一:消费者个人信息被过度收集
下载网上购物APP,需要获取通讯录权限;去饭店吃饭,需要扫码才能点餐;走进售楼处,在毫不知情时,人脸信息就可能被记录……消费者个人信息被过度收集的现象屡见不鲜,其中,手机APP过度索权问题尤为突出。
近两年,针对APP违法违规收集使用个人信息问题,国家有关部门持续开展了专项治理行动,虽已取得明显成效,但是问题依然存在。11月3日,工业和信息化部发布了关于APP超范围索取权限、过度收集用户个人信息等问题“回头看”的通报,其中有10多个APP涉及超范围收集个人信息,也有个别APP存在违规收集个人信息等问题。
依据《个人信息保护法》规定,收集个人信息,应当限于实现处理目的的最小范围(即“非必要不收集”);个人信息处理者在取得个人同意的情形下方可处理个人信息,个人信息处理的重要事项发生变更,应当重新向个人告知并取得同意;个人信息处理者不得过度收集个人信息,不得以个人不同意为由拒绝提供产品或者服务,并赋予个人撤回同意的权利。也就是说,消费者有权决定自己的个人信息是否被使用和使用的范围以及停止授权使用。
为此,山东省消费者协会建议广大消费者:为了最大限度保护个人信息,应养成对个人信息“非必要不提供”的良好习惯。在使用互联网软件时,尤其是注册平台会员时,要仔细阅读相关的隐私政策及条款,了解经营者处理个人信息的方式、范围、目的和依据等,考量其处理个人信息理由的充分性和提供个人信息的必要性,做到尽量只提供必要信息。必要个人信息的确定,可参照《常见类型移动互联网应用程序必要个人信息范围规定》。比如,使用酒店服务类应用程序,其必要个人信息包括:注册用户移动电话号码以及住宿人姓名和联系方式、入住和退房时间、入住酒店名称。其他的个人信息都是非必要的,可以不提供。
问题二:“大数据杀熟”
当前,越来越多的企业利用大数据分析和评估消费者的个人特征,形成“用户画像”,实施“精准营销”,个别企业利用个人信息进行“大数据杀熟”。在日常消费中,我们经常遇到这样的情况:同一款产品,不同人显示的价格不一样,甚至在不同型号的手机上显示价格也不同。一般来说,拥有较高消费能力、多次使用的熟客以及缺乏比价能力的人群,价格就会更高;反之,则会偏低。这就是所谓的“大数据杀熟”。不少消费者反映,同一时段与朋友、同事等在网上浏览同样品牌的相同商品,价格却存在不小的差异。复旦大学一项关于网约车的研究发现,某一品牌手机用户更容易被舒适型车辆司机接单,这一比例远高于其他品牌手机用户。
《个人信息保护法》明确规定:个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。所谓自动化决策,是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。
为此,山东省消费者协会建议广大消费者:为避免被“大数据杀熟”,可关闭个性化推送服务,并在下单前通过亲朋好友等进行价格比对。一方面,要加强隐私保护意识,安装和使用应用程序时注意阅读隐私条款,比如,一些应用程序的个性化广告推荐选项是默认开启的,消费者可以选择关闭。这样不仅可以拒绝平台推送营销短信,同时还可以关闭其提供的个性化内容推荐,避免 “大数据杀熟”。另一方面,通过互联网购买商品或者预订服务时,尤其是当商品或者服务价值较高时,可在下单前通过亲朋好友等进行价格比对,如果发现存在“大数据杀熟”行为,请及时留存相关证据,并向监管部门投诉举报。
问题三:非法推送商业信息
近年来,关于电商平台商家发送营销类垃圾短信的投诉一直不断,在“双十一”来临之际,这类营销短信更是呈现集中爆发的态势。据了解,营销短信的发送源于在电商平台中《隐私政策》的授权。有的APP在《隐私政策》中表明,会基于用户的偏好特征推送商业广告,并表示若用户不想接受商业广告,可通过短信提示回复退订。有的APP则在服务协议中显示,用户可通过“新消息与推荐设置”这一入口关闭个性化推送服务,从而限制平台通过自动化决策方式进行信息推送。
《个人信息保护法》明确规定,通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。这表明,用户可以拒绝平台推送营销短信。《消费者权益保护法》也明确规定,经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息。依据上述规定,经营者推送商业信息和广告,只要未提供便捷的拒绝方式(明显的同意或者拒绝的提示和便捷的操作方式,不包括短信退订),均涉嫌违法。
为此,山东省消费者协会建议广大消费者:及时关闭各类互联网应用程序的营销信息推送功能。如果发现经营者未提供便捷的拒绝方式直接推送商业信息和广告,或者在消费者选择拒绝后仍然推送的,消费者可保存相关证据,及时向监管部门投诉举报,共同遏制非法推送商业信息行为。
问题四:消费者个人信息被泄露、滥用甚至买卖
很多消费者反映:还在浏览楼盘信息,就接到销售电话;刚注册完会员,推销短信就铺天盖地;在某个APP搜索过一种商品后,会在其他APP频频收到类似产品广告……近些年,有媒体还曝出在网络平台明码标价贩卖个人信息的事件,如一则17万条“人脸数据”被公开售卖的新闻,就曾引起社会广泛关注。这些乱象背后,是消费者个人信息被泄露、滥用甚至买卖的行为。经营者收集的个人信息是否能得到有效保护,一定程度上取决于其数据安全管控水平。倘若某些企业安全“防护墙”不结实,就可能造成信息泄露。更大的风险是,一些经营者甚至会做起数据交换的“生意”,几经转手,消费者个人信息可能被非法利用,导致其人身、财产安全等权益受到侵害。
《个人信息保护法》规定,任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。同时,将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息列为敏感个人信息;只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可处理敏感个人信息,同时应事前进行影响评估,并向个人告知处理的必要性以及对个人权益的影响。比如,人脸数据就属于敏感个人信息。
为此,山东省消费者协会建议广大消费者:强化个人信息自我保护意识,发现权益受损后依法维权。除了前述提到的几种应对策略之外,消费者还要保护好带有个人信息的单据和资料,防止因随意丢弃、使用不当等造成个人信息泄露。如妥善处理未脱敏的快递单据等资料,使用后应及时销毁,或是涂抹掉关键信息后再丢弃;在向他人提供身份证等重要证件的复印件时,最好显著标识此复印件的用途;一些带有个人敏感信息的电子数据,如证件照片等,建议用完即删或者采用加密方式进行存储。当消费者自身个人信息权益受到侵害或者发现经营者存在违法处理消费者个人信息行为的,要主动向有关部门进行投诉、举报,或者依法提起诉讼,积极维护自身合法权益。(山东法制报)