新華社廈門10月23日電? 題：個人信息怎么用？人臉識別能用在哪里？濫用個人信息怎么罰？個人信息保護法草案都厘清了

　　新華社“中國網(wǎng)事”記者顏之宏

　　“我都不知道自己什么時候授權(quán)同意他們獲取我的個人信息了。”“騷擾電話真的太多了，而且上來就能叫出我的名字，有的還能報出身份證號碼和家庭住址?！痹谝苿踊ヂ?lián)時代，有關(guān)個人信息被網(wǎng)絡(luò)平臺濫用的吐槽不絕于耳。

　　21日，《中華人民共和國個人信息保護法（草案）》（以下簡稱草案）在中國人大網(wǎng)上公布，并向全社會公開征求意見。草案進一步明確了如何保護公民個人信息，對于違法收集、處理個人信息的行為也制定了更為嚴厲的處罰措施。

　　不一攬子授權(quán)就無法使用APP將成歷史

　　明明只是一款短視頻類APP，卻一定要讀取我的地理位置、通訊錄，否則就不能使用。類似這樣的APP“霸王條款”，在草案中被明令禁止。

　　草案第17條提出，個人信息處理者不得以個人不同意處理其個人信息或者撤回其對個人信息處理的同意為由，拒絕提供產(chǎn)品或者服務(wù)；處理個人信息屬于提供產(chǎn)品或者服務(wù)所必需的除外。

　　專家認為，相較于一年多前國家網(wǎng)信辦發(fā)布的《數(shù)據(jù)安全管理辦法（征求意見稿）》中提出的類似條款，草案的權(quán)威性更高。“如果是跟APP核心功能無關(guān)的權(quán)限，草案明確規(guī)定，如果用戶不同意，你是不能以用戶不授權(quán)為由拒絕為其提供服務(wù)的?！盇PP專項治理工作組專家、中國電子技術(shù)標(biāo)準(zhǔn)化研究院信息安全研究中心測評實驗室副主任何延哲表示，草案保障用戶使用APP時充分的知情選擇權(quán)，APP強制索權(quán)在法理層面將成為歷史。

　　何延哲建議，對于部分APP廠商所提出的“用戶個人信息授權(quán)與賬戶安全相關(guān)”的訴求，有關(guān)部門也需加快推進行業(yè)標(biāo)準(zhǔn)的制定，“有的APP為了保障用戶賬戶安全，可能只需要三個信息要素，有的可能需要五個，這些也需要具體問題具體分析。”

　　公共場所隨意采集人臉信息？不再允許！

　　在人臉識別技術(shù)日漸普及的當(dāng)下，部分企業(yè)將人臉作為新的利益增長點，街巷、商場甚至小賣部中，都有他們安裝的人臉信息采集設(shè)備。

　　草案提出，在公共場所安裝圖像采集、個人身份識別設(shè)備，應(yīng)當(dāng)為維護公共安全所必需，遵守國家有關(guān)規(guī)定，并設(shè)置顯著的提示標(biāo)識。所收集的個人圖像、個人身份特征信息只能用于維護公共安全的目的，不得公開或者向他人提供；取得個人單獨同意或者法律、行政法規(guī)另有規(guī)定的除外。

　　“草案對于在公共場所采集人臉等身份特征信息做了進一步的規(guī)范，也就是說未來在公共場所，只要不是出于公共安全目的，任何機構(gòu)不得隨意采集人臉信息。”何延哲說，“個人圖像”和“個人身份特征信息”是兩個不同維度的個人信息，“個人圖像”是不包含姓名、身份證號等其他關(guān)聯(lián)信息的圖像，但也存在識別出個人的可能。這意味著機構(gòu)如非公共安全必需，即便是無意中采集了個人圖像也不能用于識別個人身份，同時也要保證信息安全，不能對外提供和公開，以免他人用于識別個人身份。

　　個人信息授權(quán)可隨時撤回，更加體現(xiàn)“以人為本”精神

　　草案提出，基于個人同意而進行的個人信息處理活動，個人有權(quán)撤回其同意。

　　“就像我們平時做出一個決定可以反悔一樣，哪怕你是合規(guī)收集處理我的信息，但是現(xiàn)在我突然不想被你收集信息了，你就不能再繼續(xù)收集了?！?中國信息安全研究院副院長左曉棟認為，這一條款的設(shè)立與第17條相輔相成，進一步明確用戶在撤回個人信息授權(quán)后使用產(chǎn)品和服務(wù)的權(quán)利。

　　同時，草案相關(guān)條款還提出，當(dāng)個人撤回同意后，個人信息處理者應(yīng)當(dāng)刪除個人信息。也就是說，當(dāng)用戶“撤回同意”后，相關(guān)機構(gòu)不僅喪失了繼續(xù)收集該用戶個人信息的權(quán)限，同時也應(yīng)根據(jù)草案的有關(guān)要求，適時刪除其數(shù)據(jù)庫中所留存的該用戶的原始個人信息。

　　此外，草案還要求，個人信息處理者在緊急情況下為保護自然人的生命健康和財產(chǎn)安全處理個人信息卻無法及時向個人告知的，個人信息處理者應(yīng)當(dāng)在緊急情況消除后予以告知?！斑@一規(guī)定較好地平衡了各方面的權(quán)利。例如，在處置突發(fā)公共事件時，有時需要收集或調(diào)取個人信息，可能來不及告知個人信息主體，但相關(guān)機構(gòu)在處置完畢后應(yīng)當(dāng)告知個人信息被收集人?！弊髸詶澱f。

　　濫用個人信息企業(yè)還能“自罰三杯”嗎？草案大大提高處罰標(biāo)準(zhǔn)

　　此次草案提出的處罰標(biāo)準(zhǔn)也引發(fā)輿論關(guān)注，過去營收過百億、千億的企業(yè)因濫用個人信息或強制索權(quán)被處罰十幾萬的情況也將越來越少。

　　草案提出，違反本法規(guī)定處理個人信息，或者處理個人信息未按照規(guī)定采取必要的安全保護措施的，情節(jié)嚴重的，由履行個人信息保護職責(zé)的部門責(zé)令改正，沒收違法所得，并處五千萬元以下或者上一年度營業(yè)額百分之五以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、通報有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營業(yè)執(zhí)照。

　　長期從事個人信息安全研究的北京安理律師事務(wù)所高級合伙人王新銳認為，草案雖然在固定處罰數(shù)額上低于歐盟的《一般數(shù)據(jù)保護條例》（GDPR），但其提高了處罰的營業(yè)額占比，同時還可施加停業(yè)整頓、吊銷執(zhí)照等行政措施；在上限處罰數(shù)額的適用范圍上，草案未予以特殊規(guī)定，因此當(dāng)滿足情節(jié)特別嚴重的定義時，上述處罰措施可適用于所有違反規(guī)定的行為。從這兩方面看，個人信息保護法草案的處罰力度不小。

　　“相較于GDPR中所規(guī)定的罰款最高額為企業(yè)上一年‘全球營業(yè)額的4%’，草案中并未對企業(yè)上一年度‘營業(yè)額的5%’是境內(nèi)還是全球進行范圍說明?！蓖跣落J等人建議，有關(guān)部門可對相關(guān)處罰門檻做進一步明確。

【糾錯】

責(zé)任編輯： 趙文涵