专业权威财经门户网站-东方财经网
菜单导航

律师解读《个人信息保护法》:面对用户画像、大数据杀熟、算法歧视 个人如何维权?

作者: 大众排行网 发布时间: 2021年09月15日 13:57:06

律师解读《个人信息保护法》:面对用户画像、大数据杀熟、算法歧视 个人如何维权?

《中华人民共和国个人信息保护法》(下称“《个人信息保护法》”)将于11月1日实施。作为中国首部指向个人数据保护的立法,该法对普通个人和整个数字经济产业,都将产生重大影响。

随着互联网经济深入到社会的每一个角落,人工智能等新兴技术变得平民化,个人信息的大面积采集和处理,正在成为一个普遍现象。该法首次提出了个人敏感信息、公益诉讼等新的司法概念,并针对用户画像、大数据杀熟、算法歧视等问题做出规范。

北京瀛和律师事务所业务中心总监高楠对记者表示,法律的导向是,在面对自动化决策、人脸识别等新兴技术时,赋予个人知情权和选择退出的权利,同时,肯定这些技术和企业在商业环境中的价值。

中伦律师事务所合伙人陈际红表示,从企事业单位角度来看,法律为了促进合规、阻却违法,制定了严厉的举措,力度堪比欧盟GDPR(《通用数据保护条例》),企业应提前布局合规,防范法律风险。

法律规范了什么

与《网络安全法》和《数据安全法》有所区别,《个人信息保护法》侧重保护个人信息,监管对象是个人信息的处理者和受托人。简单说,如果医院收集和处理病人的病例数据,医院就是处理者,服务医院的数据技术供应商就是受托人。所谓个人信息的处理,包含收集、存储、使用、加工、传输、提供、公开、删除的完整周期。

从内容上看,法律对个人信息的范围作出了界定、确定个人信息处理的基本原则、个人信息主体的权利及保护、个人信息跨境传输的处理,以及个人信息处理者的义务和责任。法律还规范了个人数据的跨境,借鉴国外立法经验,设定了域外适用原则。

高楠表示,在中央层面,明确了国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作,在地方层面,明确了由县级以上地方人民政府有关部门履行管理职责。但是,关于监管机构的职责,需要在实践过程中厘清各部门之间的职责界限,有待进一步探索和明确。

陈际红表示,《个人信息保护法》在国内首次将个人信息分类成敏感和非敏感个人信息。法律上看,敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等,以及不满十四周岁未成年人的个人信息。这些信息一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害。相对来说,个人姓名、职称等属于非敏感个人信息。

从保护个人的角度,法律首次提出了单独同意和书面同意的要求。陈际红表示,涉及个人的敏感信息、跨境信息等敏感数据处理场景时,要拿到个人的单独同意。比如说,在公共场所安装图像采集、个人身份识别设备所收集个人图像、身份识别信息的情况下,如果要用于非安保目的,则要给个人发送同意授权书,明确告知用户人脸信息的重要性和危害,获得单独同意,而且不能和其他同意捆绑。

常见的情况是,一座商场通过布置监控摄像头来防盗防火,法律是允许的,因为这是出于公共安全的目的,若将摄像头收集的图像用于对来往顾客的分析,则需要经过顾客的单独同意。另外,如果紧急情况下,例如医院对病人的抢救,无法得到病人的及时同意,那么也需要延后告知。

个人的权益

《个人信息保护法》出台的产业背景,是当前人工智能等新兴技术的飞速发展,法律明确指出了自动化决策,也就是人工智能的概念。目前该技术已经在中国的金融、医疗、安防、教育、交通、零售等多个领域实现技术的落地。

高楠表示,这种技术在商业领域的合理运用可以提高经济效率,降低双向搜寻成本,有利于消费者的个性化定制与边缘创新。但另一方面,产业的快速爆发也导致其陷入“野蛮生长”,过度的用户画像、大数据杀熟、算法歧视等现象,已经对公众利益造成影响。《个人信息保护法》首次对这些情况做出了规范。

一个普遍的现象是,在同一个APP上订酒店,不同用户显示不同价格,这违反了算法处理的公平公正原则,是不被法律允许的。高楠表示,对于企业以商业目的,对用户进行画像、算法,应当在充分告知个人信息处理相关事项的前提下取得个人同意,或者提供一个替代方案。一旦算法决策对个人权益有重大影响,包括影响升职加薪、贷款申请等,用户对此有权要求企业予以说明,并且有权拒绝。当个人拒绝,企业不得以此为由拒绝提供产品或者服务。