江苏龙网

  1. 首页 > 资讯 > >

个人信息|解读个人信息保护法草案:哪些企业与商业行为将迎变局?( 二 )


同时 , 立法规定 , 在公共场所安装图像采集、个人身份识别设备 , 应当为维护公共安全所必需 。 上海交通大学数据法律研究中心执行主任何渊告诉21世纪经济报道采访人员 , “公共安全”一词含义较广 , 依照草案 , 布局在各个场所的智能摄像头如若使用都将征得用户同意 , 甚至与公安系统合作的相关科技企业都将受到影响 。
简言之 , 一切涉及到个人信息的采集、存储、使用、加工、传输、提供、公开等活动的企业都会受到此法的影响 , 与个人信息处理的关系越密切的企业受到影响越大 。
对于个人信息“不包括匿名化处理后的信息”的定义 , 何渊认为还待商讨 , 有必要对“匿名化”作扩大化和宽松化的解释 , 强调“去标识化”也符合“不能识别特定个人且不能复原”的规定 , 绝对的“匿名化”从技术角度来看不可能实现 , 将会严重阻碍数据的流动及利用 。
“医疗行业处理信息时 , 普遍是用的‘去标识化’而不是用‘匿名化’ 。 ”王新锐介绍 , 因为医疗行业出于科研考虑对数据有一定要求 , 需要数据具有可追溯性、统一性、连续性 , 因此国内外的医疗数据基本是将相关数据去标识化处理 , 往往做不到匿名化 。
哪些商业行为将被规制?
对于上网痕迹被平台收集分析推送广告等商业行为 , 草案规定 , 通过自动化决策方式进行商业营销、信息推送 , 应当同时提供不针对个人特征的选项 。 此外 , 对于可能对个人权益造成重大影响的自动化决策活动 , 个人有拒绝权 。
王新锐表示 , 依据上述条例 , 常见的个性化商业营销、个性化广告投放、提供数据处理服务等业务 , 都会或多或少受到影响 。
“这里既包括广告 , 也涉及‘大数据杀熟’ 。 如何从个人信息中剥离出大数据进行合法使用 , 是草案的重要意义之一 。 ”中国政法大学传播法研究中心副主任朱巍此前告诉21世纪经济报道采访人员 , 在使用网络过程中 , 用户的权益相对而言变得很小 , 而且被侵权的方式很隐晦 , 如果没有一个原则性的法律去保障 , 企业可能将随着科技的进一步发展而开启“潘多拉魔盒” , 对用户造成不利影响 。
如何处理用户信息成为关键 , 此前立法已明确 , 原则上需要获得个人信息主体的同意 。 草案同意贯彻以“告知—同意”为核心的处理规则 , 但强调了个人有权撤回同意、重要事项发生变更的应当重新取得个人同意、处理敏感个人信息应取得单独同意或书面同意 。
“采用大数据技术来分析特定用户的消费习惯 , 从而进行差异化定价 , 应该被限制于用户知情同意以及法律允许的范围之内 , 保障消费者的知情权与选择权 。 ”北京大学电子商务法研究中心主任薛军向21世纪经济报道采访人员表示 , 不应对企业收集使用用户信息简单地贴上合法与否的标签 , 而是需要回到数字时代的数据治理以及个人信息保护的源头来判别 。
以此次立法对于“用户同意”规则的细化为例 , 薛军提到 , 法条涉及是否需要明示同意、是否需要单独同意、具体场景采用何种方式、场景转化时是否需要再次同意等 , 均对用户拥有的权限进行了具体表述 , 丰富了信息主体受保护的权益 。
与“GDPR”相比 , 草案中有关自动化决策的内容对个人信息处理者提出了更高的要求 。 王新锐表示 , “GDPR”规定 , 在履行合同必要、法律授权要求且采取恰当措施、数据主体明示同意的三种情况下 , 个人没有针对自动化决策的拒绝权 。 但草案未对个人针对自动化决策的拒绝权进行限制 , 相较于“GDPR” , 个人权利范围更广 , 处理者的义务也相应更重 。
对于个人信息处理者 , 草案要求“利用个人信息进行自动化决策 , 应当保证决策的透明度和处理结果的公平合理” , 但未进一步解释应如何履行 。 王新锐认为 , 这种情况下 , 差异化的理解可能导致实践中对该义务的履行程度不一 。


推荐阅读


上一篇:什么情况|武汉菜场要求女摊贩不超过45岁 具体什么情况?真相了!原来是这样

下一篇:企业发展,环境|主动作为真诚服务 沙坪坝车管所为企业发展创造良好环境