搜索后遭强推个性化广告？禁止 “一键”跨平台转移个人数据？可行

　　新华社发

　　当前，应用程序信息骚扰、“大数据杀熟”等问题备受关注。8月17日，个人信息保护法草案提交十三届全国人大常委会第三十次会议三审，草案三审稿明确自动化决策，包括用户画像、算法推荐等，应当在充分告知个人信息处理相关事项的前提下取得个人同意，不得以个人不同意为由拒绝提供产品或者服务。

　　被无端索要个人信息合法吗？

　　处理个人信息应与处理目的直接相关

　　注册会员却被要求填写生日、籍贯、学历等与服务无关的个人信息……近年来，过度收集用户信息问题频频引发质疑。

　　为此，个人信息保护法草案审议中，一些常委会组成人员和地方、部门、社会公众建议，进一步完善个人信息处理规则，特别是对应用程序过度收集个人信息以及非法买卖、泄露个人信息等作出有针对性的规范。

　　草案三审稿规定，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围。

　　针对个人信息泄露的隐患，草案三审稿增加规定，任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

　　中国电子技术标准化研究院网安中心测评实验室副主任何延哲表示，从技术角度看，非法收集个人信息容易被识别，非法使用个人信息可能更难被察觉。

　　“百姓日常生活与网络平台紧密相连，向平台提供个人信息的情况日益普遍。这些个人信息如果被过度收集，或者存储、使用不善，将会侵害用户权益。因此，下一步的立法重点应围绕加强对个人信息使用的监管作出完善。”何延哲说。

　　搜索商品后被强推类似广告？

　　个人有权拒绝仅通过自动化决策的方式作出决定

　　随着大数据时代的到来，千人千面的个性化推荐、自动化决策被广泛应用于各类App中。与此同时，人们也开始担忧这些机制的安全，背后是否暗藏算法陷阱，遭遇大数据杀熟、陷入“信息茧房”等。

　　草案三审稿对自动化决策的概念作出界定，明确自动化决策是指通过程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。

　　同时，草案三审稿明确自动化决策应当遵守个人信息处理的一般规则，包括应遵循合法、正当、必要和诚信原则，目的明确和最小化处理原则，公开透明原则，信息质量原则，责任原则等；自动化决策，包括用户画像、算法推荐等，应当在充分告知个人信息处理相关事项的前提下取得个人同意，不得以个人不同意为由拒绝提供产品或者服务。

　　“在上述规则下，草案对自动化决策作出专门规范，要求个人信息处理者保证自动化决策的透明度和结果的公平、公正，不得通过自动化决策对个人在交易价格等交易条件上实行不合理的差别待遇，并在事前进行个人信息保护影响评估。”全国人大常委会法工委发言人臧铁伟对此解释。

　　搜索过一个商品，接着就会收到很多类似广告的推送……近年来，一些平台利用大数据进行用户画像推送个性化广告，困扰公众日常生活。

　　对此，草案三审稿赋予个人充分的权利，要求个人信息处理者通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供拒绝的方式；作出对个人权益有重大影响的决定，个人有权要求予以说明，并有权拒绝仅通过自动化决策的方式作出决定。

　　“一键转移”个人数据可行吗？

　　新增个人信息可携带权规定

　　草案三审稿还新增了个人信息可携带权的规定。

　　南都记者了解到，可携带权的概念在欧盟《通用数据保护条例》（GDPR）出台后被广泛熟知。在GDPR中，数据可携带权是指数据主体有权获得其已向数据控制者提供的个人数据，以结构化的、通用化的机器可读的形式，并有权不受数据控制者限制，将这些数据转移给其他数据控制者。

　　也就是说，用户把自己的所有个人数据从一个平台转移到另一个任意平台或许有望做到“一键转移”，无需先逐个下载再逐个导入。

　　草案三审稿明确个人请求将其个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。

　　“大厂”和小企业规则一样吗？

　　小企业将有专门规则减轻其合规成本

　　草案三审稿对小企业处理个人信息作出新规定，减轻其合规成本。

　　有部门、专家提出，大型互联网企业制定有关个人信息保护的平台规则时，应当公平合理地对待平台内经营者。有人大常委会委员和企业、专家提出，对处理信息数量少、处理活动简单的小型个人信息处理者，应适当减轻其合规成本。

　　对此，草案三审稿增加规定，大型互联网企业应当遵循公开、公平、公正的原则，制定有关个人信息保护的平台规则。同时明确，授权国家网信部门针对小型个人信息处理者制定相关规则。

　　针对现实中有关企业、单位在人力资源管理中需要处理个人信息的情况，草案明确将此类情况作为允许收集和处理个人信息的情形之一。

　　逝者网络账号可否由亲人处置？

　　处理逝者个人信息应尊重其生前安排

　　自然人死亡后，其留下的个人数据应如何保护？其他人有权利处置其生前使用的网络账号吗？

　　草案三审稿对此明确，死者的近亲属对死者个人信息行使相关权利应当有合理的理由，并尊重死者的生前安排。

　　南都记者了解到，民法典对死者的个人隐私保护已作出明确规定。民法典第九百九十四条规定，死者的姓名、肖像、名誉、荣誉、隐私、遗体等受到侵害的，近亲属可主张行为人承担民事责任。

　　为与民法典进行有效衔接，草案二审稿第四十九条新增对死者个人信息保护的规定，明确个人在个人信息处理活动中具有的知情权、决定权、查阅、复制权、更正补充权等权利，当自然人死亡时，上述权利由近亲属行使。

　　有人大常委会委员和专家提出，死者的近亲属行使相关权利应当有合理的理由，并尊重死者的生前安排，建议对上述规定再作研究。

　　对此，草案三审稿明确，自然人死亡的，其近亲属为了自身的合法、正当利益，可以对死者的个人信息行使本章规定的查阅、复制、更正、删除等权利；死者生前另有安排的除外。

　　世辉律师事务所合伙人王新锐认为，该条款首先意味着近亲属行使死者个人信息的权利不是随意的，同样要遵守合法、正当的原则；其次，条款体现了对死者生前意愿的尊重，鼓励自然人生前认真安排自己的个人信息。

　　“修改后的条款一方面支持近亲属维权，另一方面也防止该权利被滥用，尤其是因家庭内部出现矛盾而导致违背死者生前意愿的情况发生。”王新锐说。

　　青少年频遭网络侵害怎么解？

　　十四岁以下个人信息列为敏感个人信息

　　网络暴力、网络欺诈……随着互联网的不断普及，侵害青少年个人信息合法权益的问题屡有发生。草案三审稿将不满十四周岁未成年人的个人信息作为敏感个人信息，并要求个人信息处理者对此制定专门的个人信息处理规则。

　　中国信息安全研究院副院长左晓栋说，十四周岁以下的未成年人不具备完全民事行为能力，将这部分群体的个人信息单列为敏感个人信息进行更高等级的保护完全必要。

　　此外，一些平台的主要用户就是低龄未成年人，有的平台设置了令人眼花缭乱的消费陷阱，让涉世未深的青少年频频“中招”。

　　左晓栋认为，草案三审稿要求个人信息处理者对不满十四周岁未成年人的个人信息制定专门的处理规则，其本质是限制某些平台利用未成年人非法牟利，要求相关平台切实履行相应社会责任。“现在有的平台已经禁止未成年用户充值或‘打赏’，这就是专门针对未成年人制定个人信息处理规则的一种体现。”

　　如向境外提供个人信息怎么办？

　　出境个人信息保护不应低于我国标准

　　草案三审稿对转移到境外的个人信息作出规定，要求相关信息保护不应低于我国保护标准。

　　南都记者了解到，全国人大常委会今年6月通过的数据安全法，强化了数据出境安全管理制度，在网络安全法已有规定的基础上，将出境安全管理的适用范围扩大到所有重要数据，并授权国家网信部门会同国务院有关部门制定具体管理办法。

　　有人大常委会委员和部门、专家提出，按照我国缔结或者参加的经贸合作等国际条约，可以向境外提供个人信息，草案中应当考虑规定这种情形，同时，也需要规定，对转移到境外的个人信息的保护，不应低于我国的保护标准。

　　为此，草案三审稿明确，中华人民共和国缔结或者参加的国际条约、协定对向境外提供个人信息的条件等有规定的，可以按照其规定执行；个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。

　　个人信息维权渠道窄、成本高？

　　完善投诉、举报机制

　　当前，个人信息保护面临维权渠道窄、成本高、处罚侵权力度不够等问题，制约着用户的维权意愿。草案三审稿进一步压实各方责任，加强有关部门查处案件的协调配合。

　　草案三审稿明确，国家网信部门统筹协调有关部门完善个人信息保护投诉、举报工作机制；履行个人信息保护职责的部门发现违法处理个人信息涉嫌犯罪的，应当及时移送公安机关依法处理；对有关责任人员可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人等职务。

　　清华大学法学院教授劳东燕认为，草案三审稿要求收到投诉、举报的部门及时将处理结果告知投诉、举报人，这将让相关机制能够良性运转；同时，明确在涉个人信息的违法行为中追究有关责任人员的法律责任，将相关人员的职业生涯与个人信息保护工作“绑定”，这将让相关人员在处理个人信息时更加谨慎。