11月1日,《个人信息保护法》正式实施。中国消费者协会日前发布消费提示:经营者要切实落实“告知-同意”规则,明示处理个人信息的目的、方式和范围;不得过度收集消费者个人信息;小区、经营场所不能强制业主或者消费者进行人脸识别;禁止“大数据杀熟”等行为。
非法收集与泄露事件层出不穷
个人信息,是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息一般包括姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
当前,人们在日常消费活动和其他社会活动中,不可避免地要将个人信息留存于各类经营者和组织机构。由于一些经营者对保护个人信息的责任意识不强、保护措施不足,加之受到利益的驱使,导致个人信息被非法收集、被泄露事件层出不穷,令人触目惊心。
据介绍,中消协近年来在开展消费维权工作时发现,消费者反映比较突出的个人信息问题主要集中在手机APP过度索权、消费者个人信息被泄露、非法推送商业信息、“大数据杀熟”以及敏感个人信息的非法处理等方面。
例如,2019年2月,一家面部识别公司发生大规模数据泄露,680万条包含个人姓名、身份证号码、性别、家庭住址和照片等个人信息遭泄露;2020年5月,江苏淮安警方破获一起侵犯公民个人信息案,某银行员工以每条80~100元的价格,将银行卡使用人的身份信息、电话号码、余额甚至交易记录售卖谋利,涉及个人信息5万余条;2021年央视3·15晚会惊曝多家知名商店安装人脸识别摄像头,海量人脸信息被收集,但却没有一个商家明确告知消费者,征得同意更是无从谈起。
信息采集、处理须征得本人同意
中消协表示,经营者应当制定处理消费者个人信息的规则,遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围,并提供便捷的撤回同意的方式。任何组织、个人不得非法收集、使用、加工、传输消费者个人信息,不得非法买卖、提供或者公开消费者个人信息。收集消费者个人信息,应在事先充分告知的前提下,保证消费者知情,并征得消费者本人同意。经营者不得采取一揽子授权、强制同意等方式处理消费者个人信息;未经消费者同意,经营者不得向消费者推送商业信息。
除了提供产品或者服务所必需的个人信息,经营者不得以消费者不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务。手机APP等不得因用户不同意提供非必要个人信息,而拒绝用户使用其基本功能的服务。
小区物业、经营场所将人脸识别作为出入的唯一验证方式缺乏充分的必要性,也很难采取严格的保护措施,应当提供其他替代性的验证方式供业主或者消费者自主选择。经营者更不能为了商业目的非法收集消费者的人脸识别信息。
经营者不能利用自身掌握的消费者经济状况、消费习惯以及对价格的敏感程度等信息,对消费者在交易价格等方面实行歧视性的差别待遇,也不能在未获得消费者授权的情况下通过用户画像来开展精准营销。
中消协也提醒广大消费者,为了让《个人信息保护法》发挥更大实效,要认真学法、主动用法,养成“非必要不提供”的良好习惯,对自己授权或者提供的个人信息进行持续跟踪,注意销毁带有个人信息的单据和资料,主动拿起法律武器维护合法权益。