央广网北京10月29日消息（记者高欣然）被垃圾营销短信轰炸、骚扰电话不断、简历信息被随意贩卖……当下，个人信息泄露已经成为人们关注的重点问题。11月1日，个人信息保护法将正式实施。哪些信息是敏感信息？“大数据杀熟”是否合法？记者对话北京市康达（沈阳）律师事务所律师刘嘉熙，对个人信息相关问题作出解答。

刘嘉熙告诉记者，我国个人信息滥用问题日趋严重，社会对个人信息保护立法的需求越来越迫切。在此之前，我国的法律中还没有关于个人信息的专门规定，关于个人隐私权保护的规定也显得笼统而模糊，缺乏可操作性。刘嘉熙说：“新出台的个人信息保护法，可以说是保护力度空前。”

开创“撤回同意”制度 禁止过度收集信息

个人信息保护法第十五条规定，基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。“撤回同意”制度是一个新举，刘嘉熙表示，从实际操作中看，过往各主体对于个人信息保护的侧重于“告知、同意”，而对于撤回并无规定。

刘嘉熙说：“这项规定将促使个人信息处理者合法合规、精细化地管理海量用户的同意范围，同时这对个人信息处理者也是个不小的挑战。”刘嘉熙预测，个人信息保护法生效之后，人们在使用APP时，可能会看到“同意”的按钮旁边，增加“撤回同意”按钮。

同时，个人信息保护法对“过度收集信息”也做出了明确禁止，个人信息保护法第六条规定，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。第十六条规定，个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务。

“最小范围”“最小影响”“不得拒绝”，这些词汇都意味着霸王条款已经不再“称霸”，用户不必再担心不签协议就无法使用APP。刘嘉熙举例称，在支付的场景下，用户可以选择密码支付或者刷脸支付，如果用户不希望自己的生物信息被收集，依然可以选择密码支付。

个人信息保护法

保护敏感个人信息 规范“大数据杀熟”

此外，个人信息保护法专门规定了敏感个人信息的处理规则。敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

刘嘉熙提出，人脸信息就属于敏感个人信息，比如部分小区物业强制要求业主录入人脸信息，并将人脸识别作为出入小区的唯一验证方式，这种行为就违反了“告知同意”原则，是违法的规定。

个人信息保护法规定，个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。刘嘉熙解释，个人信息保护法对“自动化决策”作出专门限制，就是为了规范“大数据杀熟”行为。

10月28日，中国消费者协会发布提示，经营者不能利用自身掌握的消费者经济状况、消费习惯以及对价格的敏感程度等信息，对消费者在交易价格等方面实行歧视性的差别待遇，也不能在未获得消费者授权的情况下通过用户画像来开展精准营销。

信息泄露先要收集证据 违法处理个人信息可能会被终止服务

那么，如果个人信息被泄露，个人应该如何维权？泄露信息的个人信息处理者又将得到哪些处罚？

刘嘉熙表示，个人信息保护法规定，对违法处理个人信息，或者处理个人信息未履行个人信息保护法所规定个人信息保护义务的，可能会被暂停或终止服务，面临大额罚款，以及潜在的市场禁入。对于违法企业直接负责的主管人员和其他直接责任人员，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

刘嘉熙介绍，普通人如果发现个人信息泄露，首先需要收集证据线索。比如，遭遇电话骚扰、邮件骚扰的，需要记下对方的身份、电话号码、邮件地址等信息，有条件的也可以录音录像。在搜集好证据后，及时向相关部门报案，向公安部门、工商部门等相关机构进行投诉举报。刘嘉熙说：“如果信息泄露对个人权益影响过大，建议委托律师维权。”

《个人信息保护法》将于11月1日正式实施。作为我国第一部个人信息保护的专门法律，《个人信息保护法》将自然人姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等全面纳入保护范围，为信息处理者的合规工作提供了明确的方向性指导。

从国际范围来看，欧盟的制度经验值得我们借鉴。2016年以来，欧盟发布系列法律法规，旨在对数据本土化以及各主体数据的获取、合作、数据迁移的问题进行具体规定，为欧盟个人数据的自由流通提供保护，这个保护既是对个人权益的保护，也是对数据获取者合理使用数据的权利的保护。

在我国，《个人信息保护法》《数据安全法》等法律法规的出台也都为了在减少数据侵权相关事件的同时，推动数据资源从“台后”走到“台前”。数字经济是科技进步、经济发展的必然趋势，因而我们的一系列法律法规的核心目标都是在于如何促进数据要素的合理流通，如何让数字经济更好发展。

良好的信息保护，是数据共享的前提。近几年出现的一系列信息泄露等乱象，在不断地考验消费者对于数字经济本身以及平台的信心，《个人信息保护法》从法律层面彰显了国家对于个人信息保护的重视。对个人信息的严格保护，也能够让个人重拾对数字平台的信心，不会因为过度担心自己的数据被不合理利用而牺牲在数字平台的便利性，比如刻意拒绝所有数据获取申请等。这也能在客观上保证数据的正常流通，促进数字经济的健康发展。

《个人信息保护法》的实施还能够对数据使用者的行为进行约束。从静态来说，《个人信息保护法》是在保护个人信息，但是从动态和实际看，它已经不再是单单的一个保护性法律，而将演变成平台监管的一个工具，实际上将促使平台更加合规，对平台的无序发展进行规制，从而保护数字经济整体的健康发展。

合理利用和发掘数据的价值，是进一步发挥数字经济优势的关键。数字经济的优势在于从大数据中挖掘市场需求，从而引导产品和服务的生产规划，促进市场上供需平衡的形成，满足差异化的需求，动态解决供需失衡的时滞问题，显著提升市场效率，而这些目标实现的一个前提就是数据价值的发现。可以说，数据才是数字经济上层建筑的地基，数据挖掘和利用的深度以及与其他产业的关联程度，决定了数字经济优势发挥的程度。

信息保护与合理利用并不冲突，两者之间存在着互相促进的关系。信息保护是合理利用的前提条件，合理利用是信息保护的最终目的。只有做好信息保护，才能让数据所有者愿意授予其他主体对数据的使用权利，从而实现数据的合理利用，进一步促进数字经济的发展。

笔者认为，信息保护和合理利用平衡的实现来自于以下几点。

首先是数据的边界，也就是什么样的数据在什么情况下被什么方式使用是应当被保护的和应当被利用的。《个人信息保护法》对于一些曾经模糊的数据边界问题进行了清晰界定，比如对于个人敏感信息包括生物识别、行踪归集等明确要求只有在具有特定的目的和充分的必要性，并且有严格保护措施的情况下才可进行处理。

其次是信息保护的主体、合理利用的主体以及监管主体的明确。在经济学领域，产权的清晰界定有助于公共物品领域市场效率的实现。数据本身就具有一定的公共物品属性，那么有关它的信息保护、利用以及监管都需要有更加清晰的权责设定。比如，《个人信息保护法》明确了大型网络平台的个人信息保护责任，要求其定期发布个人信息保护社会责任报告等，接受社会监督。

此外，实现平衡的根本，实际上还是权益的平衡，是消费者权益、生产者权益、全社会权益的平衡。数字经济是一个大蛋糕，在做大这个蛋糕的同时，同样也要分好这个蛋糕，这就涉及到社会各主体之间的权益保护和平衡问题。《个人信息保护法》注意到了在数字经济中处于劣势的数据所有者（个人），引入了个人信息保护公益诉讼制度，明确要求个人信息侵权行为的归责行为为过错推定，这实际上是通过一系列合理的方式来实现对个人的倾向性保护，从而做到个人与平台之间的利益平衡。

《个人信息保护法》还为自动化决策正了名。一直以来，自动化决策都和大数据杀熟关联在一起，消费者群体也经常将平台的差别对待归结于数字分析决策，而实际上自动化决策是可以被合理利用的。《个人信息保护法》要求，自动化决策的过程中应当保证决策的透明度和结果的公正，这实际上为正当使用的自动化决策进行了正名，明确正当的数据处理是值得鼓励的。

在实现信息保护和合理利用的平衡之后，如何去维持这种平衡，就需要更清晰和科学的权责界定，“看门人”制度就是一个很好的做法。《个人信息保护法》要求平台建构平台规则，并对违法违规进行停止服务等处理等，从信息经济学角度来说，等于是赋予了平台一定的监管权，让其发挥“看门人”职责，从而更好地完善数据的管理体系。

最后，从平台自身来说，要积极主动迎接《个人信息保护法》，这并不是一部会造成平台利益受损的法律，而是一部做大数字经济蛋糕，惠及多个经济主体的法律。平台应当及时根据规则进行自我限定，转变经营思路和方向。