企业滥用个人信息怎么罚？个人信息保护法草案厘清了

新华社厦门10月23日电 题：个人信息怎么用？人脸识别能用在哪里？滥用个人信息怎么罚？个人信息保护法草案都厘清了

新华社“中国网事”记者颜之宏

“我都不知道自己什么时候授权同意他们获取我的个人信息了。”“骚扰电话真的太多了，而且上来就能叫出我的名字，有的还能报出身份证号码和家庭住址。”在移动互联时代，有关个人信息被网络平台滥用的吐槽不绝于耳。

21日，《中华人民共和国个人信息保护法(草案)》(以下简称草案)在中国人大网上公布，并向全社会公开征求意见。草案进一步明确了如何保护公民个人信息，对于违法收集、处理个人信息的行为也制定了更为严厉的处罚措施。

不一揽子授权就无法使用APP将成历史

明明只是一款短视频类APP，却一定要读取我的地理位置、通讯录，否则就不能使用。类似这样的APP“霸王条款”，在草案中被明令禁止。

草案第17条提出，个人信息处理者不得以个人不同意处理其个人信息或者撤回其对个人信息处理的同意为由，拒绝提供产品或者服务；处理个人信息属于提供产品或者服务所必需的除外。

专家认为，相较于一年多前国家网信办发布的《数据安全管理办法(征求意见稿)》中提出的类似条款，草案的权威性更高。“如果是跟APP核心功能无关的权限，草案明确规定，如果用户不同意，你是不能以用户不授权为由拒绝为其提供服务的。”APP专项治理工作组专家、中国电子技术标准化研究院信息安全研究中心测评实验室副主任何延哲表示，草案保障用户使用APP时充分的知情选择权，APP强制索权在法理层面将成为历史。

何延哲建议，对于部分APP厂商所提出的“用户个人信息授权与账户安全相关”的诉求，有关部门也需加快推进行业标准的制定，“有的APP为了保障用户账户安全，可能只需要三个信息要素，有的可能需要五个，这些也需要具体问题具体分析。”

公共场所随意采集人脸信息？不再允许！

在人脸识别技术日渐普及的当下，部分企业将人脸作为新的利益增长点，街巷、商场甚至小卖部中，都有他们安装的人脸信息采集设备。

草案提出，在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的，不得公开或者向他人提供；取得个人单独同意或者法律、行政法规另有规定的除外。

“草案对于在公共场所采集人脸等身份特征信息做了进一步的规范，也就是说未来在公共场所，只要不是出于公共安全目的，任何机构不得随意采集人脸信息。”何延哲说，“个人图像”和“个人身份特征信息”是两个不同维度的个人信息，“个人图像”是不包含姓名、身份证号等其他关联信息的图像，但也存在识别出个人的可能。这意味着机构如非公共安全必需，即便是无意中采集了个人图像也不能用于识别个人身份，同时也要保证信息安全，不能对外提供和公开，以免他人用于识别个人身份。

个人信息授权可随时撤回，更加体现“以人为本”精神

草案提出，基于个人同意而进行的个人信息处理活动，个人有权撤回其同意。

“就像我们平时做出一个决定可以反悔一样，哪怕你是合规收集处理我的信息，但是现在我突然不想被你收集信息了，你就不能再继续收集了。” 中国信息安全研究院副院长左晓栋认为，这一条款的设立与第17条相辅相成，进一步明确用户在撤回个人信息授权后使用产品和服务的权利。

同时，草案相关条款还提出，当个人撤回同意后，个人信息处理者应当删除个人信息。也就是说，当用户“撤回同意”后，相关机构不仅丧失了继续收集该用户个人信息的权限，同时也应根据草案的有关要求，适时删除其数据库中所留存的该用户的原始个人信息。

此外，草案还要求，个人信息处理者在紧急情况下为保护自然人的生命健康和财产安全处理个人信息却无法及时向个人告知的，个人信息处理者应当在紧急情况消除后予以告知。“这一规定较好地平衡了各方面的权利。例如，在处置突发公共事件时，有时需要收集或调取个人信息，可能来不及告知个人信息主体，但相关机构在处置完毕后应当告知个人信息被收集人。”左晓栋说。

滥用个人信息企业还能“自罚三杯”吗？草案大大提高处罚标准

此次草案提出的处罚标准也引发舆论关注，过去营收过百亿、千亿的企业因滥用个人信息或强制索权被处罚十几万的情况也将越来越少。

草案提出，违反本法规定处理个人信息，或者处理个人信息未按照规定采取必要的安全保护措施的，情节严重的，由履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。

长期从事个人信息安全研究的北京安理律师事务所高级合伙人王新锐认为，草案虽然在固定处罚数额上低于欧盟的《一般数据保护条例》(GDPR)，但其提高了处罚的营业额占比，同时还可施加停业整顿、吊销执照等行政措施；在上限处罚数额的适用范围上，草案未予以特殊规定，因此当满足情节特别严重的定义时，上述处罚措施可适用于所有违反规定的行为。从这两方面看，个人信息保护法草案的处罚力度不小。

“相较于GDPR中所规定的罚款最高额为企业上一年‘全球营业额的4%’，草案中并未对企业上一年度‘营业额的5%’是境内还是全球进行范围说明。”王新锐等人建议，有关部门可对相关处罚门槛做进一步明确。 【编辑:田博群】