从“信息”到“算法”---消费者个人信息保护相关问题
作者:吴卫明 2022-03-15消费者权益保护一直是关系到每个消费者的重要命题,而在数字经济时代,消费者的个人信息保护无疑是消费者权益保护的核心内容之一。在数字化时代,侵犯消费者权益的方式不再是简单的假冒伪劣产品,而是通过更为隐蔽的方式,以“大数据运用”之名,侵犯消费者的个人信息权益。因此,保护消费者的个人信息权益,一直是我国相关法律、法规所关注的重要问题。
一、消费者个人信息保护的价值
消费者个人信息保护,无论是对于维护消费者的人格权益,或者维护基本的公平交易权利,都具有重要的价值。
(一)维护人格性权益
虽然《消费者权益保护法》、《网络安全法》、《个人信息保护法》均规定了个人信息,但总体而言,个人信息从属性上看,仍属于民事法律领域的重要概念。我国《民法典》第四编人格权之第六章对个人信息和隐私权做了专章规定。《民法典》第一千零三十四条规定,自然人的个人信息受法律保护。个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。
此外,《民法典》第一千零三十五条、第一千零三十六条、第一千零三十七条还分别规定了处理个人信息的原则、个人信息处理者的权利、自然人围绕个人信息而享有的权利等。但是,对于个人信息本身,并不设定独立权利,而是将个人信息作为一种具有人格属性的权益进行保护。
而我国《个人信息保护法》则规定,“本法依据宪法制定”,这也体现了法律将个人信息权益保护视为个人基本尊严范畴的问题。
(二)维护公平交易权
对于个人信息的直接侵犯,并不带来公平交易问题。但是,对于个人信息不当的分析利用,则可能导致消费者公平交易权受到侵害。
公平交易是消费者的基本权利,然而,在大数据面前,公平交易权却可能受到实质性的侵犯。面对传统的不公平交易,如强买强卖、以次充好等,消费者通常容易鉴别。但是,对于通过大数据方法侵害公平交易,消费者却往往难以发觉。比如,通过大数据分析,对于特定消费者实施不合理的差别待遇,或者利用算法进行针对个人特诊的信息推送,这一行为的实质是商家对消费者个人信息的滥用。因此,消费者个人信息保护也是维护公平交易权的基本要求。
二、消费者个人信息保护的基本要求
消费者个人信息保护的基本规则主要见于《民法典》、《消费者权益保护法》、《个人信息保护法》、《App违法违规收集使用个人信息行为认定方法》、《互联网信息服务算法推荐管理规定》等相关法律、法规、规章中。总体而言,随着《个人信息保护法》、《互联网信息服务算法推荐管理规定》、《App违法违规收集使用个人信息行为认定方法》的颁布与实施,消费者个人信息保护的整体框架已经基本完善。笔者认为,消费者权益保护涉及以下几个方面内容:
(一)处理消费者个人信息的知情与同意问题
1、、一般规定
基于个人信息的属性,对于消费者个人信息的收集范围、处理方式、目的,以商家对于消费者的告知与知情同意为前提。这一原则,在《个人信息保护法》颁布及施行之前,已经体现在《消费者权益保护法》、《网络安全法》、《民法典》中。
其中,《民法典》明确列明了存在例外情形,体现了处理者在处理前的告知义务以及取得同意的前提条件,但也给予了一些例外的空间。《个人信息保护法》第十三条将合同必需、处理人力资源事项、法定责任、紧急情况、合理处理已公开信息、公共利益的报道与监督等六种情况列入告知同意的例外情形。此外,在《个人信息保护法》之中还存在另外一种例外情形,即第二十六条关于公共场所安装的图像采集、个人身份识别设备的规定,如果设置了显著的提示标识,并且采集的个人图像、个人身份特征信息用于维护公共安全的目的,则并未要求取得个人同意。
2、APP收集个人信息的规定
上述法律对于个人信息的告知同意规定较为原则,在实际操作中存在一定的困难。由于数字化转型过程中,众多的商家开始通过网页、小程序、H5页面、APP等方式处理消费者个人信息,APP已经成为当前最为重要的移动互联载体。国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、市场监管总局办公厅于2019年11月28日发布的《App违法违规收集使用个人信息行为认定方法》中,对于“未明示收集使用个人信息的目的、方式和范围”以及“未经用户同意收集使用个人信息”的认定方法做了明确的列示。
其中,对于“未明示收集使用个人信息的目的、方式和范围”,列举了四种情形:(1)未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等;(2)收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户;(3)在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的;(4)有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等,均可被认定为“未明示收集使用个人信息的目的、方式和范围”。
对于“未经用户同意收集使用个人信息”,列举了九种情形:(1)征得用户同意前就开始收集个人信息或打开可收集个人信息的权限;(2)用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用;(3)实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围;(4)以默认选择同意隐私政策等非明示方式征求用户同意;(5)未经用户同意更改其设置的可收集个人信息权限状态;(6)利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项;(7)以欺诈、诱骗等不正当方式误导用户同意收集个人信息;(8)未向用户提供撤回同意收集个人信息的途径、方式;(9)违反其所声明的收集使用规则,收集使用个人信息。
《App违法违规收集使用个人信息行为认定方法》对于个人信息收集的告知与同意问题列示较为详尽。随着《个人信息保护法》的施行,在上述原则基础上,法律又增加了若干种需要书面告知并经过个人单独同意的情形。
3、公共场所的图像采集
在个人信息的单独同意问题上,最为典型的单独同意情形是关于公共场所图像采集、个人身份识别设备的规定。如果采集的个人图像、个人身份特征信息用于维护公共安全的目的之外的其他目的,需要取得个人单独同意。
对个人图像采集问题,相关监管机构早有关注。虽然人脸识别曾一度被视为商业营销、消费者行为分析、消费者识别的重要方法,但由于人脸识别数据的特殊性,一旦被泄露将给个人、社会带来无法弥补的损失,因此,对于人脸识别数据的监管要更为严格。
在《个人信息保护法》的立法过程中, 2021的年3.15晚会即曝光了多个商家在未经告知消费者同意的前提下,采用人脸识别技术收集消费者的面部图像或人脸识别数据,其中不乏一些非常知名的消费品牌。其中,部分摄像头甚至具有识别监控人的性别、年龄,甚至用户心情的功能。
在《个人信息保护法》施行后,上海市徐汇区市场监督管理局对某电动汽车品牌进行了处罚,其违法事项即为“未经告知同意,采集消费者面部识别数据”。据查,该汽车品牌的销售服务有限公司购买第三方公司的人脸识别摄像设备后,安装在旗下门店用于采集消费者的面部识别数据。数据上传后,通过算法对面部数据进行识别计算,以此进行门店的客流统计和客流分析,包括进店人数统计、男女比例、年龄分析等。该汽车公司通过软件查看客流统计和分析结果,在公司经营中用作参考。据统计,2021年1月至6月,该公司共计采集上传人脸照片431623张。上述收集行为,并未经得消费者同意,也无明示、告知消费者收集、使用目的。根据消费者权益保护法等规定,相关部门责令该汽车公司改正违法行为,对其罚款10万元。
(二)消费者个人信息收集的必要性问题
我国《消费者权益保护法》第二十九条规定了经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。而《民法典》、《个人信息保护法》也都规定了个人信息收集的必要性问题。
1、消费者个人信息处理必要性的一般规定
虽然上述法律对于必要性均有规定,但具体认定和实施过程中,由于规定较为原则,具体标准不容易把握。《App违法违规收集使用个人信息行为认定方法》对于APP个人信息采集的必要性标准做了列示。如下六种情况被认定为 “违反必要原则,收集与其提供的服务无关的个人信息”:(1)收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;(2)因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;(3)App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;(4)收集个人信息的频度等超出业务功能实际需要;(5)仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;(6)要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用。
此外,对于必要性的认定,国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、国家市场监督管理总局办公厅于2021年3月12日发布了《常见类型移动互联网应用程序必要个人信息范围规定》对于提供不同互联网服务的APP必要个人信息的范围做了认定。
该规定采用了列举的方式,将移动应用程序分为地图导航、网络约车类、即时通信类、网络社区类、网络支付类、网上购物类、餐饮外卖类、邮件快件寄递类、交通票务类、婚恋相亲类、酒店服务类、输入法、投资理财类等共计39类,并逐一列举其必要个人信息的内容。通过对移动应用程序分类,并对必要个人信息进行列举式的规定,使得商家在判断个人信息处理的必要性时,更具有可操作性。
2、相关执法情况
针对移动应用程序违法违规收集个人信息,侵犯消费者个人信息权益的情况,有关部委组织了多次执法检查。
2019年1月23日,中共中央网络安全和信息化委员会办公室、工业和信息化部、公安部、国家市场监督管理总局发布了《关于开展App违法违规收集使用个人信息专项治理的公告》。公告指出,为了落实《网络安全法》《消费者权益保护法》的规定,保障个人信息安全,针对App强制授权、过度索权、超范围收集个人信息的现象,以及违法违规使用个人信息的情况实施专项治理。
工信部自2019年开始,针对APP违法违规收集个人信息开展了多期检查,并对发现的违法违规收集个人信息情况实施了通报。
2022年3月14日,在“3·15”国际消费者权益日即将来临前夕,工信部开展APP侵害用户权益整治“回头看”活动,组织第三方检测机构对前期用户反映问题较多的内存清理类、手机优化类APP进行重点检测,并对去年发现问题的APP进行抽测,共发现14款APP仍然存在问题。对于这14款APP,工信部进行了通报。对于连续通报未进行整改的企业,不排除相关执法机构以违反《个人信息保护法》进行相应的处理。
三、算法规制与消费者保护
除了违法违规收集处理个人信息、或者超过必要范围收集处理个人信息外,通过大数据和算法侵害消费者权利,也是消费者个人信息保护过程中常见的问题。
对此《消费者权益保护法》、《个人信息保护法》,以及2022年3月1日生效的《互联网信息服务算法推荐管理规定》(简称《算法规定》)均有规定。上述法律及规则虽然侧重点并不相同,总结归纳后,对于通过数据与算法侵犯消费者权益的情形主要规定如下:
(一)利用数据实行不合理差别待遇的限制
《个人信息保护法》在二十四条第一款规定“个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇”。利用大数据实施“交易价格等交易条件上的不合理差别待遇”。
对于什么是“不合理”差别待遇,法律并未做出明确的界定。在《国务院反垄断委员会关于平台经济领域的反垄断指南》中,对于不合理待遇的认定提出了几项考虑因素,包括:A基于大数据和算法,根据交易相对人的支付能力、消费偏好、使用习惯等,实行差异性交易价格或者其他交易条件;B实行差异性标准、规则、算法;C实行差异性付款条件和交易方式。
此外,在《算法规定》第二十一条也规定了,算法推荐服务提供者应当保护消费者公平交易的权利,不得根据消费者的偏好、交易习惯等特征,利用算法在交易价格等交易条件上实施不合理的差别待遇等违法行为。
(二)信息精准推送的限制
《个人信息保护法》对信息精准推送做出了限制,并在二十四条第二款规定“通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式”。按照这一条款,精准推送的限制包括:其一、应同时提供不针对其个人特征的选选项。其二、提供便捷的拒绝方式。何为便捷的拒绝方式。
信息精准推送是指对个人信息进行分析,从而判断个人的习惯、偏好,并以此为基础向个人推送个性化的页面或特定信息。
信息精准推送在带来便利的同时,也带来了新的问题。大数据精准信息推送会按照个人偏好精准“投喂”特定类型的信息,从而变相剥夺了个人获取多元化信息的能力与条件。
对于精准推送,《算法规定》也规定了选择权,体现在应当向用户提供不针对其个人特征的选项,或者向用户提供便捷的关闭算法推荐服务的选项,以及应当向用户提供选择或者删除用于算法推荐服务的针对其个人特征的用户标签的功能。对于标签的删除,也是对《个人信息保护法》有关个人信息删除权相关规定的落实。用户选择关闭算法推荐服务的,算法推荐服务提供者应当立即停止提供相关服务。《算法规定》在《个人信息保护法》的基础上,将信息精准推送的选择权扩展到了删除用于算法推荐服务的针对其个人特征的用户标签,对于保护消费者权益的力度有了进一步的提升。
(三)对自动化决策的说明与限制
自动化决策,是指对个人权益有重大影响的特定类型的自动化决策事项。通常是依据程序和算法的设定,对于个人的提交的资料或申请做出肯定或否定的评价,或者依据法律法规授权直接对个人进行评价,从而影响个人获得某些类型的服务,或者足以对个人形成负面的影响。
由于自动化决策所依赖的数据质量或者算法缺陷,可能导致自动化决策形成对特定个人的“歧视”或不公平待遇。
《个人信息保护法》对此做出了限制,对于“通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明”。对于自动化决策的知情权,《算法规定》,则进一步从算法说明的角度进行了规范。即算法服务推荐提供者,应当以显著方式告知用户其提供算法推荐服务的情况,并以适当方式公示算法推荐服务的基本原理、目的意图和主要运行机制等。此外,对用户权益造成重大影响的,企业还应当依法予以说明并承担相应责任。
在对自动化决策进行释明和保障消费者知情权的基础上,《个人信息保护法》进一步规定个人“有权拒绝个人信息处理者仅通过自动化决策的方式作出决定”。
个人信息相关权益,日程成为消费者权益保护中的核心问题之一。而在网络化时代,越来越多的企业通过各种移动应用程序直接面对消费者,个人信息处理活动也伴随着业务的开展,因违法处理消费者个人信息的风险也将成为企业的常见风险。对此,企业应遵循相应的法律法规与监管规则,构建自身的个人信息合规体系,防范风险的发生。