國家出手捍衛隱私！個人信息保護法草案將出臺，違者最高處罰 5000 萬或年營業額 5%，堪稱中國版“GDPR”

不得不承認，一些 App 們總喜歡“耍流氓”。

更新了 iOS 14 后，我的手機時刻都在提醒我誰在“偷窺”我，簡直不要太好用。

不過，除了蘋果和小米有這樣的隱私保護功能外，其他手機用戶依舊會受到這樣的困擾。

就拿我們最常見的手機權限來說，訪問相冊，開啟定位，獲取聯系人列表，還有調用麥克風……彈窗一多，圖方便或是無所謂的朋友基本就無腦點“允許”了。

當然，有時我們也沒什么自主選擇權，畢竟一禁止，人家可能就不讓你正常使用了。

更多時候，為了一句“提供更好更安全的用戶體驗”，我們也只得將數據雙手奉上，而互聯網大廠也大可以用一句“用隱私換便利”的說法，來為自己圓場。

的確，很多人并不反感這樣的便利，就像是淘寶的“猜你喜歡”頁面，就省去了很多人去思考“該買點什么”的過程，哪怕這些推薦都是淘寶收集你的搜索記錄、購買習慣和點擊歷史等數據生成的。

但事實上大部分人的個人信息依舊在裸奔。

所幸，我們期盼已久的個人信息保護法草案終于要呼之欲出了，以后，即便我們的手機沒有像蘋果和小米的隱私保護政策，我們也能給那些“流氓 App ”們治罪了。

圖片來自新華視點

個人信息保護法草案將出臺

10 月 13 日，個人信息保護法草案提請十三屆全國人大常委會第二十二次會議初次審議。

據悉，此次草案明確了適用范圍，健全了個人信息處理規則，與民法典有關規定銜接，規定了個人信息處理活動中個人的各項權利，對敏感個人信息給出定義，成為公民個體權利的延伸。

草案共八章七十條。草案確立了以“告知——同意”為核心的個人信息處理系列規則，要求處理個人信息應當在事先充分告知的前提下取得個人同意，并且個人有權撤回同意；重要事項發生變更的應當重新取得個人同意；不得以個人不同意為由拒絕提供產品或者服務。

把知情權、選擇權留給用戶

就目前已知的信息來看，此次草案的一個核心要點是要將知情權、選擇權留給用戶，具體來看，有五大亮點：

一、個人信息不包括“匿名化處理后的信息”

草案首先對何為個人信息做出了界定。

草案明確個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等活動。

圖片來自新華視點

需要注意的是，與民法典規定相比，本次草案明確了個人信息“不包括匿名化處理后的信息?！?/p>

據了解，企業收集個人信息最常見的日常應用就是進行個性化推薦。如抖音推送的視頻、淘寶的廣告等。其中不少過于精準的推送甚至會讓用戶產生自己“被手機監聽”的感覺。

對此，草案對于飽受用戶詬病的精準推送問題也做出了一定限制。對于一些平臺利用用戶大數據推送個性化廣告，草案對此強調，通過自動化決策方式進行商業營銷、信息推送，應當同時提供不針對其個人特征的選項。

草案明確，處理個人信息應當在事先充分告知的前提下取得個人同意，并且個人有權撤回同意；重要事項發生變更的應當重新取得個人同意；不得以個人不同意為由拒絕提供產品或者服務。

二、敏感信息限制更為嚴格

針對明星身份信息、航班信息等頻遭買賣，公民個人信息可通過“人肉搜索”花錢在黑產端找到，個人敏感信息“裸奔”的現象，草案也做出了更嚴格的規定。

根據草案，敏感個人信息包括種族、民族、宗教信仰、個人生物特征、醫療健康、金融賬戶、個人行蹤等。個人信息處理者只有在具有特定的目的和充分的必要性的情形下，方可處理敏感個人信息，并且應當取得個人的單獨同意或者書面同意。

圖片來自新華視點

值得注意的是，草案對疫情時期公民出行必須填寫“健康碼”等特殊情況也做出了規定。其將應對突發公共衛生事件，或者緊急情況下保護自然人的生命健康，作為處理個人信息的合法情形之一。

同時，國家機關為履行法定職責處理個人信息，應當依照法律、行政法規規定的權限、程序進行，不得超出履行法定職責所必需的范圍和限度。國家機關不得公開或者向他人提供其處理的個人信息，法律、行政法規另有規定或者取得個人同意的除外。

三、健全個人信息處理系列規則

草案確立了個人信息處理應遵循的原則，強調處理個人信息應當采用合法、正當的方式，具有明確、合理的目的，限于實現處理目的的最小范圍，公開處理規則，保證信息準確，采取安全保護措施等，并將上述原則貫穿于個人信息處理的全過程、各環節。

值得一提的是，在應對新冠肺炎疫情中，大數據應用為聯防聯控和復工復產提供了有力支持。為此，草案將應對突發公共衛生事件，或者緊急情況下保護自然人的生命健康，作為處理個人信息的合法情形之一。

同時，草案還確立了以“告知—同意”為核心的個人信息處理一系列規則，要求處理個人信息應當在事先充分告知的前提下取得個人同意，并且個人有權撤回同意；重要事項發生變更的應當重新取得個人同意；不得以個人不同意為由拒絕提供產品或者服務?？紤]到經濟社會生活的復雜性和個人信息處理的不同情況，草案還對基于個人同意以外合法處理個人信息的情形作了規定。

圖片來自新華視點

四、公共場所個人信息不得隨意公開

在公共場所安裝圖像采集、個人身份識別設備，所收集的個人圖像、個人身份特征信息只能用于維護公共安全的目的，不得公開或者向他人提供；取得個人單獨同意或者法律行政法規另有規定的除外。

圖片來自新華視點

五、加大懲處力度，最高處罰營業額 5% 

本次草案的一大亮點在于對侵害個人信息的處罰力度上，按照規定，處罰的力度甚至超過以嚴格著稱的歐盟《通用數據保護條例》（GDPR）。

草案首先對違反本法規定行為的處罰及侵害個人信息權益的民事賠償等作了規定。

同時規定，有前款規定的違法行為，情節嚴重的，由履行個人信息保護職責的部門責令改正，沒收違法所得，并處 5000 萬元以下或者上一年度營業額 5% 以下罰款，并可以責令暫停相關業務、停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照；

對直接負責的主管人員和其他責任人員處 10 萬元以上 100 萬元以下罰款。

此外，草案規定，有本法規定的違法行為的，依照有關法律、行政法規的規定記入信用檔案，并予以公示。對侵害個人信息權益的民事賠償，按照個人所受損失或者個人信息處理者所獲利益確定數額，上述數額無法確定的，由人民法院根據實際情況確定賠償數額。

誠然，沒有人會覺得數據被私自調用是合情合理的事情，一旦加上了法律的枷鎖，相信守住自己的私密數據也不是難事。

互聯網公司機遇與挑戰并存

草案的出臺，對于互聯網公司們來說則是機遇與挑戰并存的。

挑戰來自于草案對用戶數據的自主上作了限制。

對于互聯網巨頭們來講，隱私意味著數據，用戶數據就是公司最大的資產，公司的收入和市值，都建立在海量的用戶數據上。 

而互聯網公司就是依靠這些海量數據變現的。

需要注意的是，這并不能證明互聯網公司在侵犯隱私，還要看他們用這些數據來做什么。

所以，當用戶有了自主選擇的權利，互聯網公司們想要獲取海量數據也會變為難題，也就是恰飯會受到影響。

正如前文中所述，此次草案出臺的一個核心目的是讓用戶擁有知情權和選擇權，對于用戶來說是大快人心，但對于互聯網公司們來說這是一件不小的難題，如何在合規和恰飯之間找到一個平衡點，是互聯網公司們最棘手的問題。

而機遇則來自于草案會引起互聯網公司對隱私的重視。

對于互聯網公司來說，如何保護用戶的隱私也是他們長期思考的一個問題。

比如小米公司。2014 年，小米就成立了信息安全與隱私委員會，通過技術防護、流程制度、評估和審查機制等，來給小米建立一套完善的安全與隱私管理體系。

當然，類似的公司也不在少數，草案的出臺無疑會讓行業內意識到隱私的重要性，讓更多互聯網公司加入到隱私保護的行列。

另一方面，無論是歐盟的 GDPR ，還是即將出臺的個人信息保護法草案，他們的最終目的都是希望推動數據的合理使用，給用戶更多的自主選擇權，對隱私給予足夠的重視。

這對用戶，對互聯網公司來說這都是一件好事。

雖然，我們想要完全保護隱私信息，依舊是一件很困難的事，但好在我們在慢慢意識到隱私的重要性。

雷鋒網雷鋒網雷鋒網

參考資料：

【1】https://legal.gmw.cn/2020-10/15/content_34271347.htm

【2】http://www.cac.gov.cn/2020-10/14/c_1604237754135991.htm

【3】http://www.npc.gov.cn/npc/c30834/202010/569490b5b76a49c292e64c416da8c994.shtml

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。