從“信息”到“算法”---消費者個人信息保護相關問題
作者:吳衛明 2022-03-15消費者權益保護一直是關系到每個消費者的重要命題,而在數字經濟時代,消費者的個人信息保護無疑是消費者權益保護的核心內容之一。在數字化時代,侵犯消費者權益的方式不再是簡單的假冒偽劣產品,而是通過更為隱蔽的方式,以“大數據運用”之名,侵犯消費者的個人信息權益。因此,保護消費者的個人信息權益,一直是我國相關法律、法規所關注的重要問題。
一、消費者個人信息保護的價值
消費者個人信息保護,無論是對于維護消費者的人格權益,或者維護基本的公平交易權利,都具有重要的價值。
(一)維護人格性權益
雖然《消費者權益保護法》、《網絡安全法》、《個人信息保護法》均規定了個人信息,但總體而言,個人信息從屬性上看,仍屬于民事法律領域的重要概念。我國《民法典》第四編人格權之第六章對個人信息和隱私權做了專章規定。《民法典》第一千零三十四條規定,自然人的個人信息受法律保護。個人信息中的私密信息,適用有關隱私權的規定;沒有規定的,適用有關個人信息保護的規定。
此外,《民法典》第一千零三十五條、第一千零三十六條、第一千零三十七條還分別規定了處理個人信息的原則、個人信息處理者的權利、自然人圍繞個人信息而享有的權利等。但是,對于個人信息本身,并不設定獨立權利,而是將個人信息作為一種具有人格屬性的權益進行保護。
而我國《個人信息保護法》則規定,“本法依據憲法制定”,這也體現了法律將個人信息權益保護視為個人基本尊嚴范疇的問題。
(二)維護公平交易權
對于個人信息的直接侵犯,并不帶來公平交易問題。但是,對于個人信息不當的分析利用,則可能導致消費者公平交易權受到侵害。
公平交易是消費者的基本權利,然而,在大數據面前,公平交易權卻可能受到實質性的侵犯。面對傳統的不公平交易,如強買強賣、以次充好等,消費者通常容易鑒別。但是,對于通過大數據方法侵害公平交易,消費者卻往往難以發覺。比如,通過大數據分析,對于特定消費者實施不合理的差別待遇,或者利用算法進行針對個人特診的信息推送,這一行為的實質是商家對消費者個人信息的濫用。因此,消費者個人信息保護也是維護公平交易權的基本要求。
二、消費者個人信息保護的基本要求
消費者個人信息保護的基本規則主要見于《民法典》、《消費者權益保護法》、《個人信息保護法》、《App違法違規收集使用個人信息行為認定方法》、《互聯網信息服務算法推薦管理規定》等相關法律、法規、規章中。總體而言,隨著《個人信息保護法》、《互聯網信息服務算法推薦管理規定》、《App違法違規收集使用個人信息行為認定方法》的頒布與實施,消費者個人信息保護的整體框架已經基本完善。筆者認為,消費者權益保護涉及以下幾個方面內容:
(一)處理消費者個人信息的知情與同意問題
1、、一般規定
基于個人信息的屬性,對于消費者個人信息的收集范圍、處理方式、目的,以商家對于消費者的告知與知情同意為前提。這一原則,在《個人信息保護法》頒布及施行之前,已經體現在《消費者權益保護法》、《網絡安全法》、《民法典》中。
其中,《民法典》明確列明了存在例外情形,體現了處理者在處理前的告知義務以及取得同意的前提條件,但也給予了一些例外的空間。《個人信息保護法》第十三條將合同必需、處理人力資源事項、法定責任、緊急情況、合理處理已公開信息、公共利益的報道與監督等六種情況列入告知同意的例外情形。此外,在《個人信息保護法》之中還存在另外一種例外情形,即第二十六條關于公共場所安裝的圖像采集、個人身份識別設備的規定,如果設置了顯著的提示標識,并且采集的個人圖像、個人身份特征信息用于維護公共安全的目的,則并未要求取得個人同意。
2、APP收集個人信息的規定
上述法律對于個人信息的告知同意規定較為原則,在實際操作中存在一定的困難。由于數字化轉型過程中,眾多的商家開始通過網頁、小程序、H5頁面、APP等方式處理消費者個人信息,APP已經成為當前最為重要的移動互聯載體。國家互聯網信息辦公室秘書局、工業和信息化部辦公廳、公安部辦公廳、市場監管總局辦公廳于2019年11月28日發布的《App違法違規收集使用個人信息行為認定方法》中,對于“未明示收集使用個人信息的目的、方式和范圍”以及“未經用戶同意收集使用個人信息”的認定方法做了明確的列示。
其中,對于“未明示收集使用個人信息的目的、方式和范圍”,列舉了四種情形:(1)未逐一列出App(包括委托的第三方或嵌入的第三方代碼、插件)收集使用個人信息的目的、方式、范圍等;(2)收集使用個人信息的目的、方式、范圍發生變化時,未以適當方式通知用戶;(3)在申請打開可收集個人信息的權限,或申請收集用戶身份證號、銀行賬號、行蹤軌跡等個人敏感信息時,未同步告知用戶其目的;(4)有關收集使用規則的內容晦澀難懂、冗長繁瑣,用戶難以理解,如使用大量專業術語等,均可被認定為“未明示收集使用個人信息的目的、方式和范圍”。
對于“未經用戶同意收集使用個人信息”,列舉了九種情形:(1)征得用戶同意前就開始收集個人信息或打開可收集個人信息的權限;(2)用戶明確表示不同意后,仍收集個人信息或打開可收集個人信息的權限,或頻繁征求用戶同意、干擾用戶正常使用;(3)實際收集的個人信息或打開的可收集個人信息權限超出用戶授權范圍;(4)以默認選擇同意隱私政策等非明示方式征求用戶同意;(5)未經用戶同意更改其設置的可收集個人信息權限狀態;(6)利用用戶個人信息和算法定向推送信息,未提供非定向推送信息的選項;(7)以欺詐、誘騙等不正當方式誤導用戶同意收集個人信息;(8)未向用戶提供撤回同意收集個人信息的途徑、方式;(9)違反其所聲明的收集使用規則,收集使用個人信息。
《App違法違規收集使用個人信息行為認定方法》對于個人信息收集的告知與同意問題列示較為詳盡。隨著《個人信息保護法》的施行,在上述原則基礎上,法律又增加了若干種需要書面告知并經過個人單獨同意的情形。
3、公共場所的圖像采集
在個人信息的單獨同意問題上,最為典型的單獨同意情形是關于公共場所圖像采集、個人身份識別設備的規定。如果采集的個人圖像、個人身份特征信息用于維護公共安全的目的之外的其他目的,需要取得個人單獨同意。
對個人圖像采集問題,相關監管機構早有關注。雖然人臉識別曾一度被視為商業營銷、消費者行為分析、消費者識別的重要方法,但由于人臉識別數據的特殊性,一旦被泄露將給個人、社會帶來無法彌補的損失,因此,對于人臉識別數據的監管要更為嚴格。
在《個人信息保護法》的立法過程中, 2021的年3.15晚會即曝光了多個商家在未經告知消費者同意的前提下,采用人臉識別技術收集消費者的面部圖像或人臉識別數據,其中不乏一些非常知名的消費品牌。其中,部分攝像頭甚至具有識別監控人的性別、年齡,甚至用戶心情的功能。
在《個人信息保護法》施行后,上海市徐匯區市場監督管理局對某電動汽車品牌進行了處罰,其違法事項即為“未經告知同意,采集消費者面部識別數據”。據查,該汽車品牌的銷售服務有限公司購買第三方公司的人臉識別攝像設備后,安裝在旗下門店用于采集消費者的面部識別數據。數據上傳后,通過算法對面部數據進行識別計算,以此進行門店的客流統計和客流分析,包括進店人數統計、男女比例、年齡分析等。該汽車公司通過軟件查看客流統計和分析結果,在公司經營中用作參考。據統計,2021年1月至6月,該公司共計采集上傳人臉照片431623張。上述收集行為,并未經得消費者同意,也無明示、告知消費者收集、使用目的。根據消費者權益保護法等規定,相關部門責令該汽車公司改正違法行為,對其罰款10萬元。
(二)消費者個人信息收集的必要性問題
我國《消費者權益保護法》第二十九條規定了經營者收集、使用消費者個人信息,應當遵循合法、正當、必要的原則,明示收集、使用信息的目的、方式和范圍,并經消費者同意。而《民法典》、《個人信息保護法》也都規定了個人信息收集的必要性問題。
1、消費者個人信息處理必要性的一般規定
雖然上述法律對于必要性均有規定,但具體認定和實施過程中,由于規定較為原則,具體標準不容易把握。《App違法違規收集使用個人信息行為認定方法》對于APP個人信息采集的必要性標準做了列示。如下六種情況被認定為 “違反必要原則,收集與其提供的服務無關的個人信息”:(1)收集的個人信息類型或打開的可收集個人信息權限與現有業務功能無關;(2)因用戶不同意收集非必要個人信息或打開非必要權限,拒絕提供業務功能;(3)App新增業務功能申請收集的個人信息超出用戶原有同意范圍,若用戶不同意,則拒絕提供原有業務功能,新增業務功能取代原有業務功能的除外;(4)收集個人信息的頻度等超出業務功能實際需要;(5)僅以改善服務質量、提升用戶體驗、定向推送信息、研發新產品等為由,強制要求用戶同意收集個人信息;(6)要求用戶一次性同意打開多個可收集個人信息的權限,用戶不同意則無法使用。
此外,對于必要性的認定,國家互聯網信息辦公室秘書局、工業和信息化部辦公廳、公安部辦公廳、國家市場監督管理總局辦公廳于2021年3月12日發布了《常見類型移動互聯網應用程序必要個人信息范圍規定》對于提供不同互聯網服務的APP必要個人信息的范圍做了認定。
該規定采用了列舉的方式,將移動應用程序分為地圖導航、網絡約車類、即時通信類、網絡社區類、網絡支付類、網上購物類、餐飲外賣類、郵件快件寄遞類、交通票務類、婚戀相親類、酒店服務類、輸入法、投資理財類等共計39類,并逐一列舉其必要個人信息的內容。通過對移動應用程序分類,并對必要個人信息進行列舉式的規定,使得商家在判斷個人信息處理的必要性時,更具有可操作性。
2、相關執法情況
針對移動應用程序違法違規收集個人信息,侵犯消費者個人信息權益的情況,有關部委組織了多次執法檢查。
2019年1月23日,中共中央網絡安全和信息化委員會辦公室、工業和信息化部、公安部、國家市場監督管理總局發布了《關于開展App違法違規收集使用個人信息專項治理的公告》。公告指出,為了落實《網絡安全法》《消費者權益保護法》的規定,保障個人信息安全,針對App強制授權、過度索權、超范圍收集個人信息的現象,以及違法違規使用個人信息的情況實施專項治理。
工信部自2019年開始,針對APP違法違規收集個人信息開展了多期檢查,并對發現的違法違規收集個人信息情況實施了通報。
2022年3月14日,在“3·15”國際消費者權益日即將來臨前夕,工信部開展APP侵害用戶權益整治“回頭看”活動,組織第三方檢測機構對前期用戶反映問題較多的內存清理類、手機優化類APP進行重點檢測,并對去年發現問題的APP進行抽測,共發現14款APP仍然存在問題。對于這14款APP,工信部進行了通報。對于連續通報未進行整改的企業,不排除相關執法機構以違反《個人信息保護法》進行相應的處理。
三、算法規制與消費者保護
除了違法違規收集處理個人信息、或者超過必要范圍收集處理個人信息外,通過大數據和算法侵害消費者權利,也是消費者個人信息保護過程中常見的問題。
對此《消費者權益保護法》、《個人信息保護法》,以及2022年3月1日生效的《互聯網信息服務算法推薦管理規定》(簡稱《算法規定》)均有規定。上述法律及規則雖然側重點并不相同,總結歸納后,對于通過數據與算法侵犯消費者權益的情形主要規定如下:
(一)利用數據實行不合理差別待遇的限制
《個人信息保護法》在二十四條第一款規定“個人信息處理者利用個人信息進行自動化決策,應當保證決策的透明度和結果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇”。利用大數據實施“交易價格等交易條件上的不合理差別待遇”。
對于什么是“不合理”差別待遇,法律并未做出明確的界定。在《國務院反壟斷委員會關于平臺經濟領域的反壟斷指南》中,對于不合理待遇的認定提出了幾項考慮因素,包括:A基于大數據和算法,根據交易相對人的支付能力、消費偏好、使用習慣等,實行差異性交易價格或者其他交易條件;B實行差異性標準、規則、算法;C實行差異性付款條件和交易方式。
此外,在《算法規定》第二十一條也規定了,算法推薦服務提供者應當保護消費者公平交易的權利,不得根據消費者的偏好、交易習慣等特征,利用算法在交易價格等交易條件上實施不合理的差別待遇等違法行為。
(二)信息精準推送的限制
《個人信息保護法》對信息精準推送做出了限制,并在二十四條第二款規定“通過自動化決策方式向個人進行信息推送、商業營銷,應當同時提供不針對其個人特征的選項,或者向個人提供便捷的拒絕方式”。按照這一條款,精準推送的限制包括:其一、應同時提供不針對其個人特征的選選項。其二、提供便捷的拒絕方式。何為便捷的拒絕方式。
信息精準推送是指對個人信息進行分析,從而判斷個人的習慣、偏好,并以此為基礎向個人推送個性化的頁面或特定信息。
信息精準推送在帶來便利的同時,也帶來了新的問題。大數據精準信息推送會按照個人偏好精準“投喂”特定類型的信息,從而變相剝奪了個人獲取多元化信息的能力與條件。
對于精準推送,《算法規定》也規定了選擇權,體現在應當向用戶提供不針對其個人特征的選項,或者向用戶提供便捷的關閉算法推薦服務的選項,以及應當向用戶提供選擇或者刪除用于算法推薦服務的針對其個人特征的用戶標簽的功能。對于標簽的刪除,也是對《個人信息保護法》有關個人信息刪除權相關規定的落實。用戶選擇關閉算法推薦服務的,算法推薦服務提供者應當立即停止提供相關服務。《算法規定》在《個人信息保護法》的基礎上,將信息精準推送的選擇權擴展到了刪除用于算法推薦服務的針對其個人特征的用戶標簽,對于保護消費者權益的力度有了進一步的提升。
(三)對自動化決策的說明與限制
自動化決策,是指對個人權益有重大影響的特定類型的自動化決策事項。通常是依據程序和算法的設定,對于個人的提交的資料或申請做出肯定或否定的評價,或者依據法律法規授權直接對個人進行評價,從而影響個人獲得某些類型的服務,或者足以對個人形成負面的影響。
由于自動化決策所依賴的數據質量或者算法缺陷,可能導致自動化決策形成對特定個人的“歧視”或不公平待遇。
《個人信息保護法》對此做出了限制,對于“通過自動化決策方式作出對個人權益有重大影響的決定,個人有權要求個人信息處理者予以說明”。對于自動化決策的知情權,《算法規定》,則進一步從算法說明的角度進行了規范。即算法服務推薦提供者,應當以顯著方式告知用戶其提供算法推薦服務的情況,并以適當方式公示算法推薦服務的基本原理、目的意圖和主要運行機制等。此外,對用戶權益造成重大影響的,企業還應當依法予以說明并承擔相應責任。
在對自動化決策進行釋明和保障消費者知情權的基礎上,《個人信息保護法》進一步規定個人“有權拒絕個人信息處理者僅通過自動化決策的方式作出決定”。
個人信息相關權益,日程成為消費者權益保護中的核心問題之一。而在網絡化時代,越來越多的企業通過各種移動應用程序直接面對消費者,個人信息處理活動也伴隨著業務的開展,因違法處理消費者個人信息的風險也將成為企業的常見風險。對此,企業應遵循相應的法律法規與監管規則,構建自身的個人信息合規體系,防范風險的發生。
