■ 中国妇女报全媒体记者 李源

    2021年11月1日，个人信息保护法正式实施，为公民的个人信息安全上了一道“保护锁”。在个人信息保护法实施一周年之际，北京市海淀区人民法院法官助理秦婧然以案说法，引导读者了解这部法律如何守护我们的个人信息安全。

    小李工作繁忙，通常在某一电商平台上购物。这天，小李在浏览商品时，电商平台界面上弹出“好友等你开启红包”字样，点击字面后跳出“进圈邀好友”，小李被吸引点击进入“好友圈”。

    过了几天，小李的朋友说看到他买的商品自己也打算试试，小李才知道，自己在该平台上的购物记录会被自动公开并分享到“好友圈”，朋友通过这个功能可以看到自己购物记录的部分信息。虽然好像也没有损失，但是小李还是觉得心里很不舒服，感觉该平台侵犯了他的个人信息权益。

    不仅如此，小李还发现和朋友同在这个平台上购买相同商品，自己购买的价格要更高，小李怀疑因为自己常用这一平台而被“杀熟”。

    哪些属于法律上的个人信息，电商平台处理个人信息时应遵守哪些义务？

    秦婧然介绍，我国民法典第1034条规定，个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。我国个人信息保护法第4条规定，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。“可见，法律上对个人信息界定的关键在‘识别特定人’，当信息可以直接或间接识别特定的自然人，即属于法律规定的个人信息。”

    个人信息保护法第50条规定，个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的，应当说明理由。个人信息处理者拒绝个人行使权利的请求的，个人可以依法向人民法院提起诉讼。“为了让当事人能够更加便捷、高效地维权，个人信息保护法中设定了‘申请受理和处理机制’，强化了个人信息处理者的义务。如果个人信息处理者未答复、无正当理由拒绝等，用户可以向法院提起诉讼获得救济。” 秦婧然说。

    此外，个人信息保护法第14条规定，基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。

    “个人信息保护法确立了‘告知—知情—同意’的个人信息处理规则。电商平台处理小李的个人信息前应进行充分告知，保障小李的知情权并获得其同意。” 秦婧然认为。

    个人信息保护法是否能规范大数据“杀熟”？

    大数据“杀熟”通常是指互联网商业的经营者通过大数据统计、检索、分析等方式，对不同用户的价格敏感程度以及消费能力进行分析，“如分析用户所在位置、使用的移动终端、消费者对于价格的关注度、在某个页面的停留时间等数据，实现对消费者精准画像，从而为不同的用户打造专属于其自身的商品价格。” 秦婧然表示，“杀熟”通常发生于老用户对于经常消费的平台价格的信任以及经营者与消费者之间信息不对称的情况下。“小李在网购中发现同样的平台和商品，自己作为老客户要比其他用户定价更高，那么小李可能遇到了大数据‘杀熟’。”

    根据个人信息保护法第24条规定，个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

    秦婧然指出，个人信息保护法就个人信息处理者利用个人信息进行自动化决策进行了明确规定，一方面要求其保证决策的透明度和结果公平、公正，另一方面，不得对个人在交易价格等交易条件上实行不合理的差别待遇。“平台利用大数据对老客户进行‘杀熟’的行为有违个人信息保护法。”

    侵害个人信息权益案件中，举证责任如何分配？

    我国民法典第1034条规定，个人信息中的私密信息适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。个人信息保护法第69条规定，处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。

    “前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定；个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，根据实际情况确定赔偿数额。”秦婧然认为，我国个人信息保护法将个人信息处理者的损害赔偿责任确定为过错推定责任，“这一规定是基于在数字时代下，个人信息处理者和自然人之间在掌握数字信息方面存在一定的不平等性，自然人不易证明个人信息处理者的过错。”

    法官提示                               

    个人信息保护法实施一周年，作为个人信息保护领域的基础性法律，该法对个人信息领域的基本概念进行了界定，明确了个人信息处理的基本原则、个人信息处理的规则、个人信息跨境传输规则、个人信息主体的权利、个人信息处理者的义务以及法律责任等问题，构建了我国在数字经济蓬勃发展背景下的数据治理立法框架。

    秦婧然提示广大读者，“对于个人而言，应了解自己在个人信息处理活动中的权利，防范自己的个人信息被随意收集、违法获取、过度使用、非法买卖等风险，通过法律手段维护自己的个人信息安全。对于个人信息处理者而言，应加强服务意识，充分保障用户的个人信息合法权益，合理合法利用个人信息。”