11月1日，《中华人民共和国个人信息保护法》正式实施。

　　作为首次从法律层面系统规定了个人信息的知情权与决定权、首部专门针对个人信息保护的综合性法律，这部法律的实施，影响深远。

　　撤回同意方式应便捷

　　按照个人信息保护法，基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。

　　10月29日，法治周末记者下载了多款学习教育类APP体验发现，这些APP在用户安装后弹出的第一条信息便是有关隐私政策、个人信息使用授权等的提示，用户“同意”后才可继续使用APP，但与让用户授权同意时的打包授权、强提示相比，APP中“撤回同意”选项的存在感略差，也并不便捷。

　　例如，在美术宝APP中，用户注册登陆时的用户协议、隐私政策同意选项存在默认勾选情况，虽然其隐私政策规定了用户可改变授权同意的范围，但并没有给出收回同意的方法；伴鱼绘本APP的隐私政策协议中规定了“撤销授权”的内容，相册、麦克风、位置等可以通过隐私设置选项关闭相关功能，撤回收集个人信息的全部授权则需注销账户；凯叔讲故事APP隐私协议标明了用户对个人信息享有多种方式的控制权，包含撤回同意权，用户可通过联系客服“来进行控制”；叽里呱啦APP隐私协议中写明“可以通过设备设置中打开/关闭个人信息权限的方式或电话联系客服向我们提出撤回收集、使用个人信息的同意授权”，但记者在设置中并未看到相关选项。

　　“除了提供产品或者服务所必需的个人信息，经营者不得以消费者不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务。手机APP等不得因用户不同意提供非必要个人信息，而拒绝用户使用其基本功能的服务。”10月28日，中消协发布消费提示，当消费者不同意经营者继续处理其个人信息时，要积极行使“撤回同意”权利，要求经营者停止处理或及时删除其个人信息。

　　明确禁止大数据杀熟

　　会员价高于非会员价；用苹果手机打车的费用高于使用其他手机打车的费用；多次浏览某一商品后发现该商品价格上涨……不少消费者都遇到过被算法“套路”的情况，近年来，国家加大了对这种大数据杀熟行为的规制力度。

　　例如，去年10月1日实施的《在线旅游经营服务管理暂行规定》明令禁止滥用大数据分析等技术手段对旅游者消费记录、旅游偏好等设置不公平交易条件的行为；今年国家市场监督管理总局发布的《禁止网络不正当竞争行为规定（公开征求意见稿）》也明确规定，经营者不得利用数据、算法等技术手段，通过收集、分析交易相对方的交易信息、浏览内容及次数、交易时使用的终端设备的品牌及价值等方式，对交易条件相同的交易相对方不合理地提供不同的交易信息，侵害交易相对方的知情权、选择权、公平交易权等，扰乱市场公平交易秩序。

　　而针对大数据杀熟，个人信息保护法也作出回应——个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

　　10月29日，记者以“大数据杀熟”为关键词在中国裁判文书网查询发现，相关的判例仅有3个，其中两个判例为同一纠纷的一审、二审判决；而在这些案件中，法院均以证据不足为由，未认定平台存在利用“大数据杀熟”的情况。

　　例如，在“刘权、北京三快科技有限公司（以下简称三快科技公司）侵权责任纠纷”案中，刘权认为，其和同事以同一配送地址通过美团订购同一外卖商品，自己却被多收取1元配送费，系美团“大数据熟杀”区别定价。最终，湖南省长沙市中级人民法院二审审理认为，刘权只是提供了三快科技公司在刘权下单时比其同事多收1元的配送费的证据，但三快科技公司的外卖配送费是动态调整的，订单量大时配送费上涨，而刘权与其同事下单时间并不一致，两者的配送费不具有可比性。因此，现有证据不足以证明三快科技公司对刘权多收1元的配送费是利用“大数据”区别定价，侵犯了其公平交易权等。

　　事实上，大数据杀熟仍然存在着判定难的问题。

　　在东南大学网络空间安全学院副教授宋宇波看来，商品价格的波动通常会包含很多因素，在复杂的价格计算体系中，即使出现针对不同人群的价格变动，也很少有人会在完全一样的场景来进行比对验证。

　　业内人士指出，消费者的自行搜索和投诉往往是发现“大数据杀熟”的线索之一，但最终要证明平台用了大数据手段并不容易。

　　可拒绝个性化广告推送

　　除了大数据杀熟外，基于用户画像进行的精准营销也受到规制。

　　按照个人信息保护法，通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。

　　“该条款规定了向个人提供便捷的拒绝方式属于个人信息处理者的义务，拒绝产生的费用，如短信退订费，应由个人信息处理着承担。”北京大成律师事务所合伙人肖飒举例指出，在北京互联网法院审理的王某与某公司网络购物合同纠纷一案中（参见（2020）京0491民初9057号民事判决书），某公司平台上的《用户协议》及《隐私政策》为用户提供了三种信息拒绝途径，其中包括根据短信退订指引要求某公司停止发送推广信息。法院认为，王某发送退订商业短信行为属于行使拒绝接收的权利行使行为，而非义务履行行为，因此，退订商业短信的费用，应当由合同义务一方即某公司负担。

　　个人信息保护法也对自动化决策作出解释，即是指“通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动”。

　　一位不愿具名的业内人士告诉记者，精准广告本质上是对用户进行集体画像，根据人群的广告互动行为来生成推荐。与我们所想象的不同，它并没有或极少用到直接个人特征，比如，用户的个人习惯、兴趣、爱好等。平台在群体数据之上通过匿名化与去标识化的脱敏等手段，最终形成不同的“人群化”标签，进而有针对性的提供个性化广告服务。

　　“也就是说，精准广告是依赖大数据群体共性标签实现的，大众无需过度焦虑。”该业内人士指出。

　　记者注意到，大部分主流APP都在“隐私设置”中增加了个性化内容选项，用户可自行选择开启或拒绝，但个性化选择的详细程度不同。例如，生活方式类APP小红书仅在个性化选项中设置了“开启个性化推荐机制”按钮供用户选择；而资讯类APP今日头条则可在个性化推荐设置中继续对“推荐偏好”进行设置，如基于所在位置个性化推荐、基于搜索记录个性化推荐等。

　　儿童个人信息专门保护

　　我国历来高度重视未成年人的网络保护，个人信息保护法也将未满十四周岁未成年人的个人信息作为敏感个人信息予以专门保护，不仅要求个人信息处理者处理此类信息时应当取得未成年人的父母或者其他监护人的同意，还要求个人信息处理者对此制定专门的个人信息处理规则。

　　此前，国家网信办审议通过的《儿童个人信息网络保护规定》已于2019年10月1日实施，指出儿童个人信息即不满十四周岁的未成年人的个人信息。

　　在业内人士看来，个人信息保护法将儿童所有信息都作为敏感信息保护，是对其保护的进一步升级。

　　记者注意到，在工信部近年来关于侵害用户权益行为的APP通报名单上，不乏有涉及儿童的学习教育类APP上榜，违规原因包括私自收集个人信息、超范围收集个人信息、未向用户明示申请的全部隐私权限等。

　　例如，因涉嫌违规收集个人信息两次上榜的Vip陪练，曾在今年5月被工信部下架，记者下载后发现，目前该APP设置了专门的《儿童个人信息保护规则》。

　　对于儿童个人信息保护水平参差不齐的情况，中国人民大学法学院副教授丁晓东此前在接受媒体采访时指出，儿童个人信息保护仍然存在几个难点，许多儿童都通过父母手机来使用APP，怎样识别“儿童信息”，以及是否有必要对监护人明示同意制度进行更加细化的分级，仍需要讨论。