我的信息我做主过度收集须叫停

　　安装个天气预报App被要求访问通讯录，下载个健身软件被请求访问手机相册……这种“客气”的询问，很多手机用户都经历过。表面上看，商家似乎尽到了告知义务，但实际上，使用者只能被动接受。因为如果你不接受，就无法下载或者正常使用这些App。

　　目前，大量App都存在超范围收集个人信息的情况。在自身功能不必要的情况下，一些App过度获取用户隐私采集个人信息。

　　前不久，个人信息保护法草案首次提请全国人大常委会会议审议，如何通过立法来有效遏制和打击过度采集个人信息现象成为关注焦点。

个人对信息处理享有知情权决定权

　　为了充分实现对自然人的个人信息权益保护，并与民法典人格权编第六章“隐私权与个人信息保护”的规定相衔接，草案第四章对“个人在个人信息处理活动中的权利”作了详细规定，明确了个人信息处理活动中个人的各项权利，包括知情权、决定权、查询权、更正权、删除权等，并要求个人信息处理者建立个人行使权利的申请受理和处理机制。

　　在清华大学法学院副院长、教授程啸看来，这些规定十分值得肯定。尤其是草案第四十四条规定，个人对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理；法律、行政法规另有规定的除外。

　　“这一内容可以说真正为个人信息权益的其他权能奠定了基础。”程啸具体指出，正是因为赋予知情权和决定权等权利，个人信息处理者在没有进行充分告知并取得自然人同意的情况下，就不能处理其个人信息，除非法律、行政法规另有规定。与此同时，个人信息处理者也有义务对其个人信息处理规则向自然人进行解释说明。而自然人在符合规定的条件时，则有权要求个人信息处理者删除其个人信息。

与民法典衔接规定更加明确

　　在面对个人信息处理者尤其是那些经济力量雄厚的网络企业时，自然人的个人信息权益如何行使是非常现实的问题。

　　草案第四十九条规定：个人信息处理者应当建立个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的，应当说明理由。“这就意味着，个人信息处理者负有建立保障自然人行使个人信息权益的程序机制的义务并且受该程序机制的约束，在拒绝个人行使权利时，也应当说明理由。”程啸说。

　　值得一提的是，民法典第一千零三十七条第二款规定：“自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的，有权请求信息处理者及时删除。”但该规定比较原则，具体何种情形下自然人可以请求个人信息处理者及时删除个人信息，并不明确。

　　草案对此作出细化，不仅规定个人可以请求删除的情形，还明确规定了个人信息处理者应当主动删除的情形，具体包括：约定的保存期限已届满或者处理目的已实现；个人信息处理者停止提供产品或者服务；个人撤回同意；个人信息处理者违反法律、行政法规或者违反约定处理个人信息；法律、行政法规规定的其他情形。

建议立法明确禁止过度收集行为

　　记者注意到，个人信息过度收集问题也是全国人大常委会委员们分组审议草案时的热议点。

　　“在个人信息收集环节应禁止过度收集或霸王式收集。”陈福利委员建议在个人信息处理规则一章中，针对个人信息处理概念中有关个人信息的收集、储存、使用、加工、传输、提供、公开等活动，考虑分别制定适当的规则，特别是要突出个人信息收集和使用这两个关键环节。

　　“相关法律中已有规定，不得采集与业务无关的信息，而且不能在与业务无关的情况下不经本人同意使用这些信息。建议本法增加这方面的内容，防止滥用采集信息的权力、机会和条件。”傅莹委员建议增加内容限制毫无边界、随意提出采集个人信息要求的行为。一是不应该采集和业务无关的信息；二是应该有双向承诺，当使用者“同意”之后，服务者亦应承诺不会随意在无关业务中使用信息。

　　全国人大财政经济委员会委员骞芳莉认为，虽然目前草案第六条、第十四条、第十七条的规定都可以对过度收集个人信息现象进行规制，但仍然存在规避法律的可能，例如将处理个人信息的目的模糊表述为“为保证用户体验”等，因此建议明确，应当告知要处理的个人信息种类，每一类个人信息的详细处理目的、处理方式，切实保障个人的充分知情。

　　“现在草案对个人信息保护主要基于知情同意原则，在互联网企业大量掌握个人信息的情况下，要避免事前告知流于形式。”左中一委员认为除了加强政府部门监管外，还应引入有效的行业治理，发挥行业协会作用，帮助信息主体更好地作出决策。

　建议进一步完善细化法律责任

　　除了显著提高行政处罚标准之外，草案还规定了侵害个人信息权益的民事责任，明确侵害个人信息权益的归责原则为过错推定责任，确定了侵害个人信息的损害赔偿方法。草案还规定了侵害个人信息权益的公益诉讼。这一规定将有助于解决大规模侵害个人信息时单个自然人因经济力量、专业知识等原因而面临的维权困境。

　　“规定侵害个人信息权益的民事责任尤其是民事赔偿责任非常重要。”程啸说，目前草案将侵害个人信息权益损害赔偿责任的归责原则和赔偿方法一起规定，建议分为两款分别规定。同时明确自然人有权要求个人信息处理者停止侵害、排除妨碍、消除危险。此外，建议应当在区分敏感和非敏感个人信息的基础上确定不同的归责原则，即对于侵害敏感个人信息权益的赔偿责任，采取危险责任即无过错责任，而对于侵害非敏感个人信息的赔偿责任可以采取过错推定责任。

　　“有效遏制扭转目前个人信息过度收集的局面，既是衡量我国法治文明和法治水平的重要指针，也是保障公民个人信息权益、促进个人信息合理利用的必然举措。”北京师范大学网络法治国际中心执行主任、中国互联网协会研究中心秘书长吴沈括认为，着眼当下现实的个人信息收集处理的生态环境，草案可以进一步完善和细化。在法律责任配置层面，可以考虑就侵害敏感个人信息的行为专门配置更高强度的处罚规则。在权利救济途径层面，鉴于普通民众在新技术环境中的在认知和能力层面的相对弱势地位，可以考虑借鉴域外立法实践，增设个人信息侵权领域的集团诉讼条款，丰富个人权益保护的司法救济方式。　　□ 本报记者 　朱宁宁