案情:在2020年7月有關(guān)媒體刊發(fā)“沙坪壩區(qū)西部物流園一冷凍倉(cāng)庫(kù)部分厄瓜多爾進(jìn)口凍南美白蝦外包裝新冠病毒核酸呈陽(yáng)性”的消息后���,重慶揚(yáng)啟企業(yè)營(yíng)銷策劃有限公司(以下簡(jiǎn)稱“重慶揚(yáng)啟公司”)通過(guò)其微信公眾號(hào)“揚(yáng)啟策劃推廣”發(fā)布《重慶已購(gòu)進(jìn)口白蝦顧客名單》����,該名單涉及10979名消費(fèi)者的住址���、電話、姓名���、身份證號(hào)等個(gè)人信息�����,且被大量轉(zhuǎn)載傳播���。針對(duì)此種情況��,重慶市消費(fèi)者權(quán)益保護(hù)委員會(huì)(以下簡(jiǎn)稱“重慶市消委會(huì)”)以其名義對(duì)重慶揚(yáng)啟公司提起公益訴訟���,重慶市人民檢察院第一分院支持起訴。
最終���,原被告雙方在審判長(zhǎng)的主持下簽署調(diào)解書����,被告重慶揚(yáng)啟公司承諾:將在《中國(guó)消費(fèi)者報(bào)》上刊登道歉信���,公開賠禮道歉���,并在自調(diào)解書生效起1年內(nèi)策劃、制作�����、發(fā)布原創(chuàng)消費(fèi)領(lǐng)域公益宣傳活動(dòng)或內(nèi)容4次以上。
評(píng)析:近年來(lái)��,網(wǎng)絡(luò)技術(shù)���、信息技術(shù)的發(fā)展在給消費(fèi)者帶來(lái)便利的同時(shí)����,對(duì)消費(fèi)者個(gè)人信息的不當(dāng)收集與濫用問題也日益嚴(yán)重��。個(gè)別的個(gè)人信息往往只會(huì)涉及到消費(fèi)者的個(gè)人利益��,但一旦個(gè)人信息主體的數(shù)量達(dá)到一定量級(jí)�,就有可能形成事關(guān)公共利益的重要數(shù)據(jù)。此類信息的泄露�����,影響面廣�,受害者眾,極有可能引發(fā)系統(tǒng)性問題和連鎖性危害�����。
在侵害個(gè)人信息權(quán)益的案件中�����,被侵權(quán)人往往是個(gè)人信息權(quán)益的所有人(自然人)���。自然人在主張侵權(quán)損害賠償時(shí)��,往往基于訴訟成本(時(shí)間��、精力��、金錢)較高���、調(diào)查取證困難較大等諸多主客觀原因而放棄起訴。即便起訴���,往往也難以獲得理想的效果��。針對(duì)此種情況�����,《個(gè)保法》第七十條允許以檢察院機(jī)關(guān)���、消費(fèi)者組織或網(wǎng)信部門為原告向人民法院提起公益訴訟�����。
在本案中��,重慶揚(yáng)啟公司發(fā)布的內(nèi)容�����,不但包含個(gè)人信息�,甚至含有敏感個(gè)人信息�����。非法公開此類信息���,勢(shì)必危害消費(fèi)者人身�����、財(cái)產(chǎn)安全���,侵害個(gè)人的信息權(quán)益�。同時(shí)�,該公司的泄露行為所涉及的消費(fèi)者眾多���,無(wú)疑將破壞公眾安全放心的消費(fèi)環(huán)境�����,侵害了社會(huì)公共利益����。在此情況下�����,以消費(fèi)者權(quán)益保護(hù)組織的名義提起訴訟��,由檢查機(jī)關(guān)支持起訴��,無(wú)疑是一種有效且明智的舉措���。并且���,本案以消費(fèi)公益宣傳活動(dòng)補(bǔ)償損失的訴求在消費(fèi)者公益訴訟領(lǐng)域也具有顯著創(chuàng)新性。
“大數(shù)據(jù)殺熟”與“個(gè)性化推送”
大數(shù)據(jù)時(shí)代�����,越來(lái)越多的主體依靠自動(dòng)化決策提供服務(wù)����,小到商業(yè)領(lǐng)域內(nèi)的個(gè)性化廣告���,大到信用系統(tǒng)評(píng)分等均涉及通過(guò)對(duì)數(shù)據(jù)的收集與分析實(shí)現(xiàn)個(gè)性化服務(wù)�。與人工決策相比�,自動(dòng)化決策是基于用戶畫像(如工作表現(xiàn)�����、經(jīng)濟(jì)狀況���、身體狀況�����、個(gè)人興趣�����、行為穩(wěn)定性���、地理位置和運(yùn)動(dòng)軌跡等標(biāo)簽)而向消費(fèi)者提供有針對(duì)性的服務(wù)����,具有相對(duì)客觀�����、高效的優(yōu)點(diǎn)�,但其也是一把“雙刃劍”����,對(duì)信息主體潛藏著諸多負(fù)面影響��,最為典型地的即為“大數(shù)據(jù)殺熟”與“個(gè)性化推送”�。
“大數(shù)據(jù)殺熟”,是指經(jīng)營(yíng)者運(yùn)用大數(shù)據(jù)收集消費(fèi)者的信息���,分析其消費(fèi)偏好��、消費(fèi)習(xí)慣�����、收入水平等因素�����,將同一商品或服務(wù)以不同的價(jià)格銷售給不同的消費(fèi)者從而獲取更多利潤(rùn)的行為�����,例如針對(duì)蘋果用戶與安卓用戶制定不同的價(jià)格�����,針對(duì)消費(fèi)頻率不同的用戶予以差別定價(jià)等�����。
“個(gè)性化推送”���,即通過(guò)人工智能分析和過(guò)濾機(jī)制對(duì)海量數(shù)據(jù)進(jìn)行深度智能分析���,完成信息內(nèi)容與用戶的精準(zhǔn)匹配�����,從而實(shí)現(xiàn)對(duì)用戶進(jìn)行個(gè)性化信息推送�。但是,長(zhǎng)此以往���,由于推送的信息具有片面性與持續(xù)性���,從而造成“信息繭房”,束縛用戶對(duì)客觀世界的觀察和認(rèn)知����。
針對(duì)自動(dòng)化決策存在的上述問題�,《個(gè)保法》第二十四條規(guī)定�����,個(gè)人信息處理者利用個(gè)人信息進(jìn)行自動(dòng)化決策�����,應(yīng)當(dāng)保證決策的透明度和結(jié)果公平����、公正,不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇����。通過(guò)自動(dòng)化決策方式向個(gè)人進(jìn)行信息推送、商業(yè)營(yíng)銷�����,應(yīng)當(dāng)同時(shí)提供不針對(duì)其個(gè)人特征的選項(xiàng)����,或者向個(gè)人提供便捷的拒絕方式。
近年來(lái)����,隨著信息技術(shù)飛速發(fā)展���,人臉識(shí)別逐步滲透到人們生活的方方面面。但由于信息泄露風(fēng)險(xiǎn)大��、安全漏洞難消除等問題�����,人臉識(shí)別技術(shù)帶來(lái)的個(gè)人信息保護(hù)問題也日益凸顯��,搖身一變就成為損害消費(fèi)者權(quán)益的幕后幫兇����。
對(duì)此問題《個(gè)人信息保護(hù)法》第二十六條規(guī)定�,在公共場(chǎng)所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備���,應(yīng)當(dāng)為維護(hù)公共安全所必需���,遵守國(guó)家有關(guān)規(guī)定,并設(shè)置顯著的提示標(biāo)識(shí)��。所收集的個(gè)人圖像、身份識(shí)別信息只能用于維護(hù)公共安全的目的�����,不得用于其他目的���;取得個(gè)人單獨(dú)同意的除外����。
敏感個(gè)人信息事關(guān)自然人的人格尊嚴(yán)���、重大人身利益和財(cái)產(chǎn)利益���,對(duì)此類個(gè)人信息的處理會(huì)對(duì)自然人的基本權(quán)利以及人身、財(cái)產(chǎn)安全產(chǎn)生重大影響�,我國(guó)《個(gè)保法》借鑒了歐盟GDPR、美國(guó)CCPA/CPRA 等法域的立法經(jīng)驗(yàn)�����,將敏感個(gè)人信息定義為一旦泄露或者非法使用����,容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身����、財(cái)產(chǎn)安全受到危害的個(gè)人信息��。
同時(shí)����,《個(gè)保法》列舉了敏感個(gè)人信息的種類,包括生物識(shí)別�����、宗教信仰���、特定身份����、醫(yī)療健康�、金融賬戶�����、行蹤軌跡等信息。此外����,《個(gè)保法》還將不滿十四周歲未成年人的個(gè)人信息列為敏感個(gè)人信息,從而強(qiáng)化了對(duì)未成年人個(gè)人信息權(quán)益的保護(hù)��。
針對(duì)敏感個(gè)人信息的處理����,《個(gè)保法》要求只有在具有特定的目的和充分的必要性,并采取嚴(yán)格保護(hù)措施的情形下�����,方可處理敏感個(gè)人信息���。在適用“知情同意原則”的基礎(chǔ)上�,《個(gè)保法》對(duì)處理敏感個(gè)人信息提出了更高的要求�,即應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意,法律���、行政法規(guī)規(guī)定處理敏感個(gè)人信息應(yīng)當(dāng)取得書面同意的����,從其規(guī)定。這意味著在處理敏感個(gè)人信息時(shí)��,概括同意或推定同意的授權(quán)模式為法律所禁止����。
隨著經(jīng)濟(jì)全球化、數(shù)字化的不斷推進(jìn)以及我國(guó)對(duì)外開放的不斷擴(kuò)大�,個(gè)人信息的跨境流動(dòng)日益頻繁,但由于遙遠(yuǎn)的地理距離以及不同國(guó)家法律制度��、保護(hù)水平之間的差異����,個(gè)人信息跨境流動(dòng)風(fēng)險(xiǎn)更加難以控制。
為控制個(gè)人信息的跨境風(fēng)險(xiǎn)�,《個(gè)保法》首先規(guī)定了該法的域外適用效力,即以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的����,或者分析、評(píng)估境內(nèi)自然人的行為等�����,在我國(guó)境外處理境內(nèi)自然人個(gè)人信息的活動(dòng)適用本法�����,并要求符合上述情形的境外個(gè)人信息處理者在我國(guó)境內(nèi)設(shè)立專門機(jī)構(gòu)或者指定代表���,負(fù)責(zé)個(gè)人信息保護(hù)相關(guān)事務(wù)���。
其次,明確向境外提供個(gè)人信息的途徑�����,包括通過(guò)國(guó)家網(wǎng)信部門組織的安全評(píng)估����、經(jīng)專業(yè)機(jī)構(gòu)認(rèn)證、訂立標(biāo)準(zhǔn)合同�、按照我國(guó)締結(jié)或參加的國(guó)際條約和協(xié)定等,并要求個(gè)人信息處理者采取必要措施保障境外接收方的處理活動(dòng)達(dá)到本法規(guī)定的保護(hù)標(biāo)準(zhǔn)����;
再次,《個(gè)保法》對(duì)跨境提供個(gè)人信息的“告知-同意”規(guī)則提出更為嚴(yán)格的要求��,切實(shí)保障個(gè)人的知情權(quán)�����、決定權(quán)等權(quán)利。
最后�,《個(gè)保法》還對(duì)跨境提供個(gè)人信息的安全評(píng)估、向境外司法或執(zhí)法機(jī)構(gòu)提供個(gè)人信息�、限制或禁止跨境提供個(gè)人信息的措施、對(duì)外國(guó)歧視性措施的反制等作了有針對(duì)性的規(guī)定��。
