據國新辦網站消息,4月9日,國務院新聞辦公室就《中華人民共和國消費者權益保護法實施條例》有關情況舉行國務院政策例行吹風會。
問:如今消費者越來越關注個人信息保護,一些APP過度采集使用個人信息成為近年來的熱點問題,請問對此《條例》是如何規定的?
國家網信辦網絡法治局負責人尤雪云:我國高度重視個人信息保護,2021年就制定實施了該領域的基礎性法律《個人信息保護法》,落實該法的要求,《條例》第23條從三個方面規定了經營者保護消費者個人信息的義務。
一是經營者在提供商品或服務時,不得過度收集消費者個人信息,不得采用一次概括授權、默認授權等方式,強制或者變相強制消費者同意收集、使用與經營活動無直接關系的個人信息。經營者處理消費者個人信息,應當遵循合法、正當、必要和誠信原則,不得通過誤導、欺詐、脅迫等方式處理個人信息。要遵守目的明確原則,具有明確合理的目的,并與處理的目的直接相關。要遵循最小化處理原則,采取對個人權益最小影響的方式,限于實現處理目的的最小范圍,不得過度收集。要遵循公開透明原則,公開個人信息處理規則,明示處理目的、方式和范圍。還應當遵守以“告知―同意”為核心的個人信息處理規則,在消費者充分知情的前提下,自愿、明確作出同意后,方可處理個人信息。而且,消費者有權撤回同意,不得以消費者不同意或者撤回同意為由拒絕提供商品或者服務。2021年,國家網信辦、市場監管總局等四部門聯合制定了《常見類型移動互聯網應用程序必要個人信息范圍規定》,明確了39種常見類型APP的必要個人信息范圍,規定APP運營者不得因用戶不同意收集非必要個人信息而拒絕用戶使用APP基本功能服務。比如說,大家肯定都經歷過網購,網購的基本功能服務就是購買商品,必要個人信息范圍包括:注冊用戶的移動電話號碼,也就是我們的手機號;收貨人的姓名、地址、聯系電話;支付時間、支付金額、支付渠道等支付信息。如果超出這些的話,比如像人臉識別,那樣就是過度收集了,不是必要個人信息了。
二是經營者處理敏感個人信息的,應當符合有關法律、行政法規的規定。什么是敏感個人信息呢?敏感個人信息是指一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身財產安全受到危害的個人信息,包括
生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及不滿14周歲未成年人的個人信息。只有在具有特定目的和充分的必要性,并采取嚴格保護措施的情形下,方可處理敏感個人信息,并且應當取得消費者的單獨同意或者書面同意。如果處理不滿14周歲未成年人個人信息的,應當取得未成年人的父母或者其他監護人的同意,還要制定專門的個人信息處理規則。
三是經營者應當依法保護消費者的個人信息。經營者應當保障消費者在個人信息處理活動中的知情權、決定權,包括查閱復制權、更正補充權、刪除權、解釋說明權等,建立便捷的消費者行使權利的申請受理和處理機制。經營者不得非法出售、提供或者公開消費者的個人信息,應當采取必要措施保障個人信息安全,防止未經授權的訪問以及個人信息的泄露、篡改、丟失,發生或者可能發生個人信息泄露、篡改、丟失的,經營者應當立即采取補救措施,并通知履行個人信息保護職責的部門和消費者。