大陸個資法11月施行 明禁「大數據殺熟」
大陸個人資訊保護法11月起施行:明禁大數據殺熟等行為。圖為2019年12月6日旅客在北京大興國際機場使用人臉辨識機示意圖。(圖/中新社)
新華社20日報導,大陸全國人大常委會20日表決通過大陸《個人資訊保護法》,自2021年11月1日起施行。明定不得過度蒐集個人資訊、大資料殺熟(又稱「大數據殺熟」,網商對老客戶實施價格歧視的行為),對人臉資訊等敏感個人資訊的處理作出規制,完善個人資訊保護投訴、舉報工作機制……這部專門法律充分回應了社會關切,為破解個人資訊保護中的熱點難點問題,提供強有力法律保障。
《個人資訊保護法》明確了個人資訊處理和跨境提供的規則、個人資訊處理者的義務等內容。新法規定,任何組織、個人不得非法蒐集、使用、加工、傳輸他人個人資訊,不得非法買賣、提供或者公開他人個人資訊。
針對過度蒐集資訊、大資料殺熟的問題,新法明確,處理個人資訊應當具有明確、合理的目的,並應當與處理目的直接相關,採取對個人權益影響最小的方式;個人資訊處理者利用個人資訊進行自動化決策,不得對個人在交易價格等交易條件上實行不合理的差別待遇。
針對濫用人臉識別技術問題,新法要求,在公共場所安裝圖像採集、個人身分識別設備,應設置顯著的提示標識;所蒐集的個人圖像、身分識別資訊只能用於維護公共安全的目的。
對於提供重要互聯網平台服務、使用者數量巨大、業務類型複雜的個人資訊處理者,新法特別規定了其需要履行的義務,如建立健全個人資訊保護合規制度體系,定期發布個人資訊保護社會責任報告,接受社會監督等。
《個人資訊保護法》還進一步強化了相關部門的監管職責,從嚴懲治違法行為。履行個人資訊保護職責的部門發現個人資訊處理活動存在較大風險或者發生個人資訊安全事件的,可以按照規定的許可權和程式對該個人資訊處理者的法定代表人或者主要負責人進行約談,或者要求個人資訊處理者委託專業機構對其個人資訊處理活動進行合規審計。
對違法處理個人資訊的應用程式,責令暫停或者終止提供服務;拒不改正的,並處100萬元(人民幣,下同)以下罰款;對直接負責的主管人員和其他直接責任人員處1萬元以上10萬元以下罰款。