新闻动态
NEWS
随着大数据、云计算、人工智能等技术的发展,大数据产业日益壮大与成熟。工信部日前发布《“十四五”大数据产业发展规划》,提出到2025年,我国大数据产业测算规模将突破3万亿元。
通过大数据分析客户喜好、年龄层次,构建客户群体画像,的确为生产经营带来了极大的方便与巨大的经济收益。但用数据之所能,也应察数据之不能。过度获取、使用大数据,将会触及法律红线。
近日,小鹏汽车就因非法收集客户人脸信息,被徐汇区市场监督管理局罚款10万元。据悉,小鹏汽车向第三方购买具有人脸识别功能的摄像设备共计22台,安装在旗下门店,以此统计进店人数,分析潜在客户男女比例、年龄等。
今年1月至6月,共采集上传人脸照片共计43余张。小鹏汽车回应称,“……由于对相关法律条款的不熟悉,误采购并使用了违反了相关法律条款的第三方供应商(悠洛客)的产品。”
那么目前国内关于个人信息采集和保护的法律规定有哪些呢?
1、《中华人民共和国消费者权益保护法》第二十九条:经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。
2、《民法典》第1035条,处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理。同时,应征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;公开处理信息的规则;明示处理信息的目的、方式和范围;不违反法律、行政法规的规定和双方的约定等。第1038条明确:信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。
3、《中华人民共和国个人信息保护法》规定,处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。
据此,而小鹏汽车收集人脸的行为,未经得消费者同意,也未明示、告知消费者收集、使用目的,违反了上述法律规定。
那么企业在经营中,该如何做到数据(含个人信息)收集和处理地合规呢?
收集、处理个人信息,首先应当遵循“三最”的原则,即处理个人信息应当采取对个人权益影响最小的方式,收集范围应当限于实现处理目的的最小范围,保存期限应当为现实处理目的所必要的最短时间。
举个简单的例子,某修图软件在使用时会申请查看用户的通讯录或是地理信息,而修图软件的处理目的仅在于对图片进行美化,因此通讯录与地理信息并不在这最小范围之内,这就涉嫌违反了该“三最”原则。
其次,若是通过app后台进行数据收集,应在窗口特别提示,强调用户阅读一定时间后获得用户对用户协议的勾选后方可视为同意。传统的方式虽繁琐但在规避法律风险的问题上,也可以起到很大的作用,例如通过调查问卷等方式来进行大数据收集。
数据合规并不是一朝一夕就能促就,对于多数企业来说,应当制定内部管理制度和操作规程,其次,对个人信息实行分类管理并采取相应的加密、去标识化等安全技术措施。企业内部应对个人敏感数据的数量及分布充分掌握,需要严控运维人员查看数据、信息处理的操作权限,进行动态脱敏,并定期对从业人员进行安全教育和培训。
法律链接:
《中华人民共和国消费者权益保护法》第二十九条 经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。根据《中华人民共和国个人信息保护法》 处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。
《中华人民共和国个人信息保护法》第七条 处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。
第九条 个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。
第十条 任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。
页面位置:
