个人信息保护的几个问题

覃刚

数字经济时代，信息数据俨然已成为企业（特别是互联网企业）的生产资料。 企业为其客户提供产品或者服务，在取得客户信任的同时也掌握了客户的信息。 如果企业掌握的他人信息泄露，被人非法利用，则会给信息主体带去危险甚至是灾难。

酒店掌握的客人信息（包括身份证号码、电话号码、开房记录）、 打车软件掌握的客人的信息（包括手机号、行程路线等）、贷款人在银行登记的更为详细的信息泄露，使得人们的隐私暴露在危险之中。

商场、地铁、酒店、学校、公交车、出租车、小区、电梯、机场、银行、餐厅，生活中绝大部分场景，基本都安装了摄像头，只要进入这些场所，人们的脸就会被拍下来，戴着口罩和帽子也都可能被识别出身份。 可以说，在无处不在的摄像头下，人们无所遁形。 在这些“电子眼”的注视下，人们的活动轨迹可以被一清二楚地还原出来，毫无隐私可言。

去餐厅吃饭，有时会被要求扫码点餐；下载一款App，可能也被要求开放一堆权限，比如授权打开相册、通讯录、定位跟踪等。大数据杀熟也是被诟病的一个问题，有的商家在获取到顾客信息后，会对顾客进行筛选、分层，然后根据消费能力区别收费，对于常客、回头客，不仅没有优惠，反倒是趁机宰客杀熟，典型的看人下菜碟。

相信很多人都收到过垃圾短信，如各式各样的网站、商家发送的广告，有的甚至是骗子的诱饵。 经常听到这样的报道，骗子在掌握受害人个人信息后，冒充家属、公检法等角色给受害人打电话或用其他方式联系，因为骗子将受害人的个人情况说得一点不错，所以能够使受害人深信不疑，从而被骗取财物，有的受害人因此倾家荡产。

人们苦信息泄露、信息被不当处理久矣。

2021 年 8 月 20 日，《中华人民共和国个人信息保护法》 经第13 次全国人大常委会第30 次会议通过，并将于 2021 年 11 月 1 日起施行。 该法的施行，将对个人信息权益的保护、个人信息处理活动的规范起到作用。本文对个人信息保护的几个问题进行解读。

1 个人信息处理的范围

根据 《个人信息保护法》第4 条，个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

基本包括了个人信息从产生到完结，从原始形态到加工形态， 从静态存储到动态转运，从非公开化到公开化的完整流程。

2 个人信息处理应当限于实现处理目的的最小范围

《个人信息保护法》明确了信息处理的必要性和限度。信息的收集要有明确的、合法的、正当的目的，禁止过度收集个人信息，一旦实现处理目的则必须停止收集的范围。

根据这个要求，在涉及到处理者处理信息的合法性问题时，处理者就负有证明自己处理目的的合理性、必要性，处理方式的必要性，处理范围并没有随意扩大的证明责任。

3 非经个人同意或者法律规定，不得处理个人信息

个人信息属于自然人的个人权益，一般情况下，处理个人信息只需本人同意即可。 而以下5 种情形下则不需个人同意。 一是个人作为合同的一方当事人， 那么合同的订立和履行就必须明确合同主体的身份， 个人信息权益不得不让渡。 二是为履行法定义务和法定职责必须要处理个人信息的情况。 如负有维护公共安全职责的公职人员， 为实现维护公共安全的目的， 有必要对有关个人信息进行处理。此时，则不需取得个人同意。 三是情况紧急时无需取得个人同意， 包括突发公共卫生事件， 自然人生命健康和财产安全遭遇紧迫威胁等。 四是关于新闻媒体， 为维护公共利益需进行新闻报道或舆论监督时， 在合理范围内可不经个人同意处理个人信息。 五是在处理已经合法公开的个人信息， 或个人自行公开的个人信息时，无需再取得同意。

4 个人同意处理， 也有权撤回其同意

在需要个人同意才能处理其信息的场合，个人同意应当基于充分的知情权，并在自愿情况下明确作出意思表示。为避免侵犯个人信息权益，对于信息处理者而言，就有必要明确告知个人信息处理的目的、 处理方式、处理范围等， 并取得个人的同意，要么是书面同意，多表现为个人签字确认， 要么是口头明确同意，多表现为录音录像。

个人同意处理信息，也有权撤回其同意；个人信息处理的目的、方式、种类发生变化，应当重新取得个人同意。

5 信息处理者不得因个人拒绝和撤回同意而不提供产品或者服务

如果拒绝提供个人信息并不导致处理者无法提供产品或者服务， 则说明收集处理个人信息并非必要， 此时如果个人拒绝同意或者撤回同意， 处理者也不能因此而拒绝提供产品或者服务。 比如去餐厅吃饭、去影院看电影，个人可拒绝提供信息， 并理直气壮地要求提供产品或者服务。

6 大数据杀熟违法

为解决大数据杀熟的问题，《个人信息保护法》 第24 条有专门规定 “个人信息处理者利用个人信息进行自动化决策， 应当保证决策的透明度和结果公平、公正， 不得对个人在交易价格等交易条件上实行不合理的差别待遇。”所谓自动化决策，是指“通过计算机程序自动分析、 评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。”处理个人信息侵害个人信息权益并造成损害的， 个人信息处理者对自己是否有过错负有举证责任，不能“自证清白”的，应当承担损害赔偿等侵权责任。 如果违反《治安管理法》，会受到治安管理行政处罚，如果构成犯罪，还将追究刑事责任。

7 敏感个人信息处理有更严格的要求

信息泄露或被非法使用，会导致人格尊严、人身、财产安全等受到危害。那么，这样的信息就是敏感个人信息。包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满14 周岁未成年人的个人信息。在处理敏感个人信息时， 必须有特定的目的、有充分的必要、有严格的保护措施， 并取得个人的单独同意。 处理信息会对个人权益造成什么影响，应当对个人披露。处理未成年人个人信息的， 应当取得其父母或监护人同意。

8 个人的权利

在个人信息被处理的过程中，个人有知情权、决定权，有查阅、复制、更正、补充、删除个人信息，要求处理者对处理规则解释等权利。 如果处理者拒绝，个人可以依法起诉。