个人信息保护法通过,将于 11 月起施行,它会给我们的生活带来什么改变?
一、 个人信息权利的强化与界定:
这是最核心的变化。过去,我们对于自己的个人信息似乎是“身不由己”的,但《个人信息保护法》将赋予我们更明确、更强大的个人信息权益。
知情权和同意权: 今后,任何组织和个人在处理您的个人信息前,都必须明确告知您:
处理的目的(为什么收集?)。
处理的方式(怎么收集、使用、存储?)。
个人信息的种类(收集哪些信息?)。
保存的期限(信息会保存多久?)。
这些信息将如何被共享、转让或公开(给谁?)。
个人信息安全的措施(如何保障我的信息安全?)。
个人信息如何删除、更正(我如何控制我的信息?)。
您拥有的权利(我能做什么?)。
并且,您需要对处理活动明确同意,而不是默认同意。这意味着,那些“默认勾选”的条款将不再合法,您需要主动表示同意。
访问权和复制权: 您有权查询、复制您的个人信息,例如在社交媒体上下载您的个人数据、在电商平台查看您的浏览记录和购买记录。
更正权和删除权(被遗忘权): 当您发现个人信息不准确、不完整时,有权要求处理者更正。当您认为处理目的已实现、处理期限已届满,或者您撤回同意时,有权要求处理者删除您的个人信息。这对于维护个人信息的准确性和时效性至关重要。
限制处理权和携带权: 在特定情况下,您也可以要求限制对您个人信息的处理,例如,在事实未查清前。携带权允许您将您的个人信息转移到其他处理者,促进市场竞争。
撤回同意权: 您可以随时撤回您之前的同意,并且撤回同意不影响撤回前基于同意的个人信息处理的合法性,但后续的处理将无法继续。
二、 对企业和组织行为的严格规范:
这部法律的出台,意味着企业和组织在收集、使用、存储、共享、转让个人信息方面将面临更加严格的监管和更高的合规要求。
最小合法原则: 企业只能收集实现处理目的所必需的个人信息,不得过度收集。例如,一个打车软件只需要您的位置信息和联系方式,就不应该要求您提供银行卡密码。
目的限制原则: 个人信息只能在事先告知的特定目的范围内处理,不得超出范围进行处理。如果需要超出目的处理,必须再次征得您的同意。
公开透明: 企业需要制定清晰的隐私政策,并以易于理解的方式向用户公开。
安全保障义务: 企业必须采取必要措施保障个人信息的安全,例如加密、去标识化等技术手段,并对可能发生的风险进行评估。一旦发生个人信息泄露、毁损、丢失的情况,必须及时告知您并采取补救措施。
禁止非法处理: 禁止以非法方式收集、使用、存储、转让个人信息。
敏感个人信息的特殊保护: 对于生物识别信息、宗教信仰、医疗健康、金融账户、行踪轨迹等敏感个人信息,处理需要有特定的目的和充分的理由,并且需要您单独同意。如果处理敏感个人信息,企业需要向您说明敏感个人信息对您的权益可能产生的重大影响。
儿童个人信息的特殊保护: 对于未满十四周岁未成年人的个人信息,将有更为严格的保护措施,例如需要其监护人同意。
跨境传输的严格限制: 如果企业将您的个人信息传输到境外,需要满足特定的条件,例如通过国家网信部门的安全评估,或者签订合同,并要求境外接收方遵守与我国同等的保护义务。这意味着很多“数据出境”的行为将受到更严格的审查。
三、 对我们生活带来的具体改变:
这部法律的施行,将让我们的数字生活变得更加“可控”和“安全”。
告别“被大数据绑架”:
精准广告的减少或更负责任: 您将更有权拒绝接收个性化推荐和定向广告。如果您看到不感兴趣的广告,可以更方便地进行关闭或反馈。那些“猜你想看”的背后,可能是您不经意间泄露的信息,未来这种大数据“画像”将被更严格约束。
更少的骚扰电话和短信: 一旦您撤回同意或要求删除信息,您的联系方式将不再被不当用于营销推广。
APP权限的“被尊重”: APP在索取敏感权限(如位置、麦克风、通讯录)时,需要更清晰地解释用途,并且您有权拒绝。那些“不给权限就不让用”的霸王条款将难以立足。
网络购物和社交体验的提升:
更放心的在线服务: 您可以更放心地在网上购物、使用社交媒体、享受各类数字服务,因为您知道您的信息有法律保障。
更容易管理自己的数字足迹: 您可以更方便地访问和管理您在各种平台上的个人信息,清理不必要的记录。
对“信息掮客”和非法买卖信息的打击:
减少信息泄露和买卖的风险: 法律的严格规定将有助于打击非法收集、出售、提供个人信息的行为,从而降低个人信息被滥用和用于诈骗的风险。
金融服务和医疗健康领域的影响:
敏感信息保护的加强: 您的银行账户、就医记录等敏感信息将受到更严格的保护,任何未经您同意的披露或使用都将面临严厉的法律后果。
对新技术的合规性要求:
AI、大数据分析等技术应用需更审慎: 涉及人工智能、大数据分析等新技术时,也必须遵守个人信息保护的原则,例如对算法的透明度和公平性进行考量。
四、 可能面临的挑战和需要关注的问题:
虽然《个人信息保护法》的施行是积极的,但我们也需要认识到可能面临的挑战:
执行和监管的力度: 法律的生命力在于执行。如何在实践中有效地执行和监管这部法律,将是未来关注的重点。
企业合规成本的增加: 企业为了遵守法律需要投入更多资源进行技术升级和流程改造,这可能会导致一部分企业合规成本增加。
用户维权意识的培养: 法律赋予了我们权利,但我们也需要提高自身的维权意识,了解如何运用法律武器保护自己的信息。
技术发展的适应性: 在快速发展的技术面前,法律的适用性和更新速度需要保持一致性。
总结:
《个人信息保护法》的施行,标志着我国在个人信息保护领域进入了一个新的阶段。它将赋予我们个人更大的信息控制权,迫使企业和组织更加负责任地处理我们的信息,并为我们营造一个更安全、更可信的数字环境。我们每个人都将是这部法律的受益者,但同时,我们也需要积极学习和了解自己的权利,共同维护个人信息的安全和隐私。
可以预见,这部法律将从根本上改变我们与互联网平台、各类服务提供商之间的关系,让我们的数字生活更加主动、安心。
网友意见
几个可能对特定行业产生影响的变化,具体如何落实,有待观察,也非常能够引发好奇:
1、为了实现「精准获客」进行的客流分析,可能玩不下去,或者需要换一套玩法了。
《个人信息安全保护法(三审稿)》提出,「在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。」
这就意味着,各种基于公共场合所收集的客流数据进行商业分析的产品,合规性会遇到严重问题。
例如,下面这篇报道中,就提及一款客流分析产品,据称可以「对客流特征,如年龄性别熟客等组成进行分析」,其中就涉及对于用户图像的采集和识别。《个人信息安全保护法》施行后,各种客流分析产品何去何从,拭目以待。
2、更多 App 将会提供「不精准」的推送机制
《个人信息安全保护法(三审稿)》提出,个人信息处理者通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供拒绝的方式。
简言之,就是可以拒绝「千人千面」、基于用户兴趣进行推荐的机制。这一点,看到一些 App 已经在做了,比如知乎就在设置中提供了「关闭个性化推荐」的选项,这也是为了符合新的合规性要求。
至于这种不精准的推送,能否帮助我们走出信息茧房,同样值得期待。
3、打击大数据杀熟有了更丰富的法律依据
关于大数据杀熟,已经实施的《关于平台经济领域的反垄断指南》是有规定的。《指南》要求,具有市场支配地位的平台经济领域经营者不得进行「差别待遇」,而在分析何者属于差别待遇时,可以考虑平台是否「基于大数据和算法,根据交易相对人的支付能力、消费偏好、使用习惯等,实行差异性交易价格或者其他交易条件」。
《指南》中对差别待遇的禁止,针对的是「市场支配地位的平台经济领域经营者」,可能还无法惠及所有的 App 用户。至于《个人信息保护法》能够提供什么样的保护,未来可期。
先给一个数据分类和数据安全的监管框架:
具体来看,个人信息保护法有什么值得注意的地方呢?
在适用范围方面,和GDPR类似,不仅中国人在国内受保护,在国外也一样[1]:
在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法。
敏感信息的定义,比GDPR更广,特别是金融账户及个人行踪等信息:
结合《个人信息安全规范》,还包括通信记录,通讯录,网页浏览记录,住宿信息等。
在告知同意时:
向第三方提供,处理敏感个人信息及跨境传输都需要获得数据主体的单独同意
在保存周期方面:
保存期限应当为实现处理目的所必要的最短时间。
这个期限,几乎所有的平台现在都没有明确。
关于匿名化:
第二十四条规定“个人信息处理者向第三方提供匿名化信息的,第三方不得利用技术等手段重新识别个人身份”
关于撤回权:
基于个人同意而进行的个人信息处理活动,个人有权撤回其同意。不得因撤回而拒绝提供服务,应提供便捷的撤回同意方式,不影响撤回前已同意的个人信息处理效力。
更加全面,而且考虑得更加细致了,现在大部分互联网平台应该都是没有撤回选项的,或者说,没有便捷的撤回选项。
关于跨境[2]:
个人认为是考虑了滴滴事件的影响。
此外,还明确了牵头部门:
总的来看,对于个人信息的保护愈加严格,更加保护消费者权益,同时,对于互联网平台的合规成本越来越高。
国内互联网,特别是移动互联网的飞速发展,得益于对于个人数据的深度挖掘,不过,随着个人隐私保护意识的觉醒,随着主要矛盾从发展转移为公民对于美好生活的追求,标志着野蛮生长的草莽时代已经过去,合规与安全才是接下来发展的重中之重。
参考
- ^《中华人民共和国个人信息保护法(草案)》解读 https://www2.deloitte.com/cn/zh/pages/risk/articles/china-draft-personal-data-protection-law.html
- ^《个人信息保护法(草案二审稿)》十大修订要点解读 http://www.zhonglun.com/Content/2021/04-30/1653580014.html
《个人信息保护法》的出台,以立法的形式保护公民个人隐私,同时,对商家营销进行了严格的约束的规范。11月1日正式施行的这部法律,一定会给我们的生活带来巨大的改变。我们先来看看法律的主要亮点:
第二条 自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。
对于个人信息,用之有理,取之有道。这一款的规定,成为保护个人信息的最基本的依据。此前几乎疯狂的大数据杀熟、通过运营商过度营销,接不完的推销电话,不仅让人烦,更让人后怕:怎么对我的信息这么了解?
最让人痛心的徐玉玉案件,还历历在目,就是因为嫌疑人非法购买高考考生的个人信息,欺骗涉世未深的小女孩,让一个鲜活的生命终止在求学的路上。
第九条 个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。
第十条 任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。
再说说个人征信修复。
很多同学年少无知,经不起诱惑就频繁使用网贷小贷,贷款一时爽,征信火葬场,把征信弄得五彩斑斓,或者是逾期一大堆,工作后成家了,申请房贷时才知道后悔晚矣。
于是慌不择路找到中介机构,以为花点钱就能把逾期的征信修复过来,以为征信花了通过所谓的“专业人员指导下”就能消除了,于是花了几千块钱,上万块钱,仍然没有达到目的。偷鸡不成,把丢了一把米。让我们来学习一下,看看法律怎样规定的:
第二十四条 个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
说白了,个人征信是商业银行等机构提供的,基于真实客观的信息自动提取的个人信用情况汇总,人民银行无法改变,贷款中介更不能改变。其实,这个问题太容易理解了,如果花钱能解决征信逾期,如果找人就能消除征信花了,那还要权威的央行征信中心干嘛?
另外,法律也规定了国家机关处理相关活动的要求。
为履行维护国家安全、惩治犯罪、管理经济社会事务等职责,国家机关需要处理大量个人信息。保护个人信息权益、保障个人信息安全是国家机关应尽的义务和责任。但近年来,一些个人信息泄露事件也反映出有些国家机关存在个人信息保护意识不强、处理流程不规范、安全保护措施不到位等问题。
对此,个人信息保护法对国家机关处理个人信息的活动作出专门规定,特别强调国家机关处理个人信息的活动适用本法,并且处理个人信息应当依照法律、行政法规规定的权限和程序进行,不得超出履行法定职责所必需的范围和限度。
《个人信息保护法》和《劳动保护法》差不多,不能说没有用,但也不指望能完全杜绝信息泄露,信息被滥用的现状。劳动法出台这么多年,能让大大小小企业严格遵守5天8小时工作制,替劳动者把五险一金按规定缴纳?为了发展经济,稳定就业,就不得不做出妥协。个人信息保护法也一样,完全禁止类似电话营销,广告信息推送等违反法规的商业行为是不可能的。真要严格执行起来,不知多少企业因为失去获客的重要手段而倒闭,影响就业,影响商品服务流通,影响经济发展。当局出台这个法律,主要是调和矛盾,既不能放纵企业为了利益无限制侵犯公民隐私权,又不能因为严格执法,影响国计民生。在个人权益和社会整体利益之间,采取折中手段尽量维持平衡罢了。
从整体上来看,这意味着个人信息保护进入了真正意义上的有法可依的新阶段。倒不是说此前缺乏个人信息保护方面的立法,而是这些规定实际分散在十来部法律法规、司法解释和部门规章中,不但对于法律概念的定义存在差异,而且法律责任的划分也不明确,给企业数据合规工作和有关部门监管执法都带来了不小的困难。
本次的专门性统一立法,打通了和民法典、刑法、网络安全法等法律的衔接,完成了个人信息保护方面民事、行政、刑事的法律责任配置。
禁止大数据杀熟、过度收集信息、滥用人脸识别这些其他答主都说了。
我来提一个大家还没提到的点吧——数据可携权。
第四十五条第三款
个人请求将其个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。
翻译一下就是,在符合国家有关规定的前提下,用户可以要求现在掌握自己数据的企业A将自己留存在企业A的数据导出交予自己,也可以要求企业A将这些信息直接传输给第三方企业B。也就是说,用户有权让自己的个人信息“想去哪就去哪”(蒙多狂喜)
这一权利不算是我国原创,最早出现是在GDPR第20条中
当数据控制者基于数据主体的同意或者基于合同的约定,在以自动化的方式处理用户数据时,数据主体有权从数据控制者处以“结构化、通用、机器可读的格式”获取其曾提供的个人信息;
同时,数据主体有权要求数据控制者将个人信息传输至另一控制者。
当数据处理是执行公众利益任务所必需或者是经官方授权时,不适用数据可携权,并且对于该项权利的行使,不得对他人的权利和自由产生不利影响。
数据可携权有多重要?可以从根本上颠覆了互联网企业的传统商业竞争策略和用户与企业的关系。
由于在先企业入场较早,享受了较低的获客成本,迅速占据了大量市场份额。
为了保持在先优势,防止客户流失,会采取各种措施提高用户转换平台的成本。
而有了数据可携权后,用户就有权随时用脚投票。可以带走自己的数据,也可以让企业直接将自己的数据送到新欢那面去。
对于企业来说,如果不能始终保持高质量的服务让用户满意。那不但要承担用户数量减少的后果,更可怕的,用户可以把自己的数据全部带走。
不过目前这一规定尚属于原则性,还有很多细节需要完善:
例如这里的数据是仅仅包括用户提交的个人数据,还是也包括用户个人数据基础上进行的加工处理后的数据?如何保证旧平台和新平台的数据能够顺利交接?是否可以制定通用的数据标准?
虽然尚不完善,但数据可携权的出现,抹平了各个厂商费尽心机筑起的壁垒,给了普通用户重新选择的权利。用户和企业之间的关系翻开了新的一页,互联网企业们是否真的应该放低自己的身段,重新思考如何“以用户为中心”,更好的为用户服务了?
类似的话题
本站所有内容均为互联网搜索引擎提供的公开搜索信息,本站不存储任何数据与内容,任何内容与数据均与本站无关,如有需要请联系相关搜索引擎包括但不限于百度,google,bing,sogou 等
© 2025 tinynews.org All Rights Reserved. 百科问答小站 版权所有