中消協(xié)：經(jīng)營(yíng)者要嚴(yán)格限制敏感信息處理，保護(hù)好用戶信息

近年來(lái)，中國(guó)消費(fèi)者協(xié)會(huì)(以下簡(jiǎn)稱中消協(xié))在開(kāi)展消費(fèi)維權(quán)工作中發(fā)現(xiàn)，消費(fèi)者反映比較突出的個(gè)人信息問(wèn)題主要集中在手機(jī)APP過(guò)度索權(quán)、消費(fèi)者個(gè)人信息被泄露、非法推送商業(yè)信息、“大數(shù)據(jù)殺熟”以及敏感個(gè)人信息的非法處理等方面。

《個(gè)人信息保護(hù)法》將于11月1日正式實(shí)施，這是一部保護(hù)公民個(gè)人信息的專門(mén)法律，與《民法典》《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《電子商務(wù)法》《消費(fèi)者權(quán)益保護(hù)法》等法律共同編織成一張消費(fèi)者個(gè)人信息“保護(hù)網(wǎng)”。中消協(xié)于10月28日發(fā)布消費(fèi)提示，提醒經(jīng)營(yíng)者采取切實(shí)措施保護(hù)消費(fèi)者個(gè)人信息，提醒消費(fèi)者認(rèn)真學(xué)法、主動(dòng)用法。

落實(shí)“告知—同意”規(guī)則

經(jīng)營(yíng)者要切實(shí)落實(shí)“告知—同意”規(guī)則，明示處理個(gè)人信息的目的、方式和范圍。經(jīng)營(yíng)者應(yīng)當(dāng)制定處理消費(fèi)者個(gè)人信息的規(guī)則，遵循公開(kāi)、透明原則，公開(kāi)個(gè)人信息處理規(guī)則，明示處理的目的、方式和范圍，并提供便捷的撤回同意的方式。任何組織、個(gè)人不得非法收集、使用、加工、傳輸消費(fèi)者個(gè)人信息，不得非法買(mǎi)賣、提供或者公開(kāi)消費(fèi)者個(gè)人信息。收集消費(fèi)者個(gè)人信息，應(yīng)在事先充分告知的前提下，保證消費(fèi)者知情，并征得消費(fèi)者本人同意。經(jīng)營(yíng)者不得采取一攬子授權(quán)、強(qiáng)制同意等方式處理消費(fèi)者個(gè)人信息;未經(jīng)消費(fèi)者同意，經(jīng)營(yíng)者不得向消費(fèi)者推送商業(yè)信息。

經(jīng)營(yíng)者要滿足個(gè)人信息處理的兩個(gè)“最小”一個(gè)“最短”，不得過(guò)度收集消費(fèi)者個(gè)人信息。經(jīng)營(yíng)者收集使用個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的，并限制在對(duì)個(gè)人權(quán)益影響最小的方式和實(shí)現(xiàn)處理目的的最小范圍，不得過(guò)度收集消費(fèi)者個(gè)人信息。除法律、行政法規(guī)另有規(guī)定外，個(gè)人信息的保存期限應(yīng)當(dāng)為實(shí)現(xiàn)處理目的所必要的最短時(shí)間。除了提供產(chǎn)品或者服務(wù)所必需的個(gè)人信息，經(jīng)營(yíng)者不得以消費(fèi)者不同意處理其個(gè)人信息或者撤回同意為由，拒絕提供產(chǎn)品或者服務(wù)。手機(jī)APP等不得因用戶不同意提供非必要個(gè)人信息，而拒絕用戶使用其基本功能的服務(wù)。

嚴(yán)格限制敏感信息處理

經(jīng)營(yíng)者要嚴(yán)格限制對(duì)敏感個(gè)人信息的處理，小區(qū)、經(jīng)營(yíng)場(chǎng)所不能強(qiáng)制業(yè)主或者消費(fèi)者進(jìn)行人臉識(shí)別。敏感個(gè)人信息指一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息，包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿14周歲未成年人的個(gè)人信息。法律對(duì)其設(shè)置了特殊處理規(guī)則，即《個(gè)人信息保護(hù)法》二十八條第二款中規(guī)定“只有在具有特定的目的和充分的必要性，并采取嚴(yán)格保護(hù)措施的情形下，個(gè)人信息處理者方可處理敏感個(gè)人信息”。人臉識(shí)別作為一種敏感個(gè)人信息，一旦泄露容易對(duì)個(gè)人的人身和財(cái)產(chǎn)安全造成極大危害，甚至還可能威脅公共安全。小區(qū)物業(yè)、經(jīng)營(yíng)場(chǎng)所將人臉識(shí)別作為出入的唯一驗(yàn)證方式缺乏充分的必要性，也很難采取嚴(yán)格的保護(hù)措施，應(yīng)當(dāng)提供其他替代性的驗(yàn)證方式供業(yè)主或者消費(fèi)者自主選擇。經(jīng)營(yíng)者更不能為了商業(yè)目的非法收集消費(fèi)者的人臉識(shí)別信息。

經(jīng)營(yíng)者利用個(gè)人信息進(jìn)行自動(dòng)化決策要合法，禁止“大數(shù)據(jù)殺熟”等行為?！秱€(gè)人信息保護(hù)法》規(guī)定個(gè)人信息處理者利用個(gè)人信息進(jìn)行自動(dòng)化決策，應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正，不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇。通過(guò)自動(dòng)化決策方式向個(gè)人進(jìn)行信息推送、商業(yè)營(yíng)銷，應(yīng)當(dāng)同時(shí)提供不針對(duì)其個(gè)人特征的選項(xiàng)，或者向個(gè)人提供便捷的拒絕方式。經(jīng)營(yíng)者不能利用自身掌握的消費(fèi)者經(jīng)濟(jì)狀況、消費(fèi)習(xí)慣以及對(duì)價(jià)格的敏感程度等信息，對(duì)消費(fèi)者在交易價(jià)格等方面實(shí)行歧視性的差別待遇，也不能在未獲得消費(fèi)者授權(quán)的情況下通過(guò)用戶畫(huà)像來(lái)開(kāi)展精準(zhǔn)營(yíng)銷。

平臺(tái)要保護(hù)好用戶信息

大型互聯(lián)網(wǎng)平臺(tái)還要注意履行特殊義務(wù)，當(dāng)好個(gè)人信息保護(hù)“守門(mén)人”。

提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者還應(yīng)按照國(guó)家規(guī)定，建立健全個(gè)人信息保護(hù)合規(guī)制度體系，成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督。遵循公開(kāi)、公平、公正的原則，制定平臺(tái)規(guī)則，明確平臺(tái)內(nèi)產(chǎn)品或者服務(wù)提供者處理個(gè)人信息的規(guī)范和保護(hù)個(gè)人信息的義務(wù)。對(duì)嚴(yán)重違反法律、行政法規(guī)處理個(gè)人信息的平臺(tái)內(nèi)的產(chǎn)品或者服務(wù)提供者，停止提供服務(wù)。定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告，接受社會(huì)監(jiān)督。

●相關(guān)鏈接 　　從五方面保護(hù)個(gè)人信息

中消協(xié)提醒廣大消費(fèi)者，為了讓 《個(gè)人信息保護(hù)法》發(fā)揮更大實(shí)效，要認(rèn)真學(xué)法、主動(dòng)用法：

要積極學(xué)習(xí) 《個(gè)人信息保護(hù)法》等法律規(guī)定。通過(guò)對(duì)《個(gè)人信息保護(hù)法》等個(gè)人信息保護(hù)相關(guān)法律的學(xué)習(xí)，了解個(gè)人信息和敏感個(gè)人信息的處理規(guī)則、自身在個(gè)人信息處理活動(dòng)中所享有的權(quán)利、個(gè)人信息處理者應(yīng)當(dāng)承擔(dān)的義務(wù)以及個(gè)人信息權(quán)益受到侵害時(shí)的救濟(jì)方式等，進(jìn)一步提升個(gè)人信息保護(hù)的意識(shí)和能力，用法律武器來(lái)指導(dǎo)消費(fèi)實(shí)踐。

要養(yǎng)成“非必要不提供”的良好習(xí)慣。消費(fèi)者在接受服務(wù)時(shí)，要仔細(xì)閱讀隱私協(xié)議等涉及個(gè)人信息的條款，明確經(jīng)營(yíng)者處理個(gè)人信息的方式、范圍、目的和依據(jù)等，考量經(jīng)營(yíng)者處理個(gè)人信息理由的充分性和消費(fèi)者提供個(gè)人信息的必要性，建議只在確屬必要的情況下才向經(jīng)營(yíng)者提供個(gè)人信息或者進(jìn)行授權(quán)。

要對(duì)自己授權(quán)或者提供的個(gè)人信息進(jìn)行持續(xù)跟蹤。消費(fèi)者接受個(gè)人信息條款或者向經(jīng)營(yíng)者提供個(gè)人信息后，還應(yīng)隨時(shí)關(guān)注經(jīng)營(yíng)者個(gè)人信息條款是否進(jìn)行修改，經(jīng)營(yíng)者是否有保障個(gè)人信息安全的能力，經(jīng)營(yíng)者是否存在非法處理個(gè)人信息行為等。當(dāng)消費(fèi)者不同意經(jīng)營(yíng)者繼續(xù)處理其個(gè)人信息時(shí)，要積極行使“撤回同意”權(quán)利，要求經(jīng)營(yíng)者停止處理或及時(shí)刪除其個(gè)人信息。

要注意銷毀帶有個(gè)人信息的單據(jù)和資料。消費(fèi)者要保護(hù)好帶有個(gè)人信息的單據(jù)和資料，防止因隨意丟棄、使用不當(dāng)?shù)仍斐蓚€(gè)人信息泄露。如妥善處理未脫敏的快遞單據(jù)等帶有個(gè)人信息的單據(jù)和資料，使用完后應(yīng)及時(shí)銷毀，或是涂抹掉關(guān)鍵信息后再丟棄;在向他人提供身份證等重要證件的復(fù)印件時(shí)，最好顯著標(biāo)識(shí)此復(fù)印件的用途;一些帶有個(gè)人敏感信息的電子數(shù)據(jù)，如證件照片等，建議用完即刪或者采用加密方式進(jìn)行存儲(chǔ)。

要主動(dòng)拿起法律武器維護(hù)合法權(quán)益。消費(fèi)者應(yīng)積極行使對(duì)經(jīng)營(yíng)者進(jìn)行個(gè)人信息處理活動(dòng)的監(jiān)督權(quán)。當(dāng)自身個(gè)人信息權(quán)益受到侵害或者發(fā)現(xiàn)經(jīng)營(yíng)者存在違法處理消費(fèi)者個(gè)人信息行為時(shí)，要主動(dòng)向個(gè)人信息保護(hù)管理部門(mén)或者消費(fèi)者協(xié)會(huì)進(jìn)行投訴、舉報(bào)，提供案件線索和相關(guān)憑證，維護(hù)自身及其他消費(fèi)者的合法權(quán)益。

關(guān)鍵詞： 經(jīng)營(yíng)者 消費(fèi)者 敏感信息 用戶信息