8月20日，十三屆全國人大常委會第三十次會議通過了個人信息保護法，將于2021年11月1日起施行。

    個人信息保護法共8章74條，明確了個人信息處理活動應遵循的原則，構建以“告知-同意”為核心的個人信息處理規(guī)則，保障個人在個人信息處理活動中的各項權利，強化個人信息處理者的義務，明確個人信息保護的監(jiān)管職責，并設置嚴格的法律責任。全國人大常委會組成人員普遍表示，這部專門法律充分回應了社會關切，為破解個人信息保護中的熱點難點問題提供了強有力的法律保障。

    確立個人信息保護原則

    個人信息保護的原則是收集、使用個人信息的基本遵循，是構建個人信息保護具體規(guī)則的制度基礎。

    強調處理個人信息應當遵循合法、正當、必要和誠信原則，具有明確、合理的目的并與處理目的直接相關，采取對個人權益影響最小的方式，限于實現(xiàn)處理目的的最小范圍，公開處理規(guī)則，保證信息質量，采取安全保護措施等，這些原則應當貫穿于個人信息處理的全過程、各環(huán)節(jié)。

    “‘告知-同意’是法律確立的個人信息保護核心規(guī)則，是保障個人對其個人信息處理知情權和決定權的重要手段。”全國人大常委會法工委經濟法室副主任楊合慶在答記者問時說。

    個人信息保護法要求處理個人信息，應當在事先充分告知的前提下取得個人同意，個人信息處理的重要事項發(fā)生變更的應當重新向個人告知并取得同意。

    同時，針對現(xiàn)實生活中社會反映強烈的一攬子授權、強制同意等問題，個人信息保護法特別要求個人信息處理者在處理敏感個人信息、向他人提供或公開個人信息、跨境轉移個人信息等環(huán)節(jié)應取得個人的單獨同意，明確個人信息處理者不得過度收集個人信息，不得以個人不同意為由拒絕提供產品或者服務，并賦予個人撤回同意的權利，在個人撤回同意后，個人信息處理者應當停止處理或及時刪除其個人信息。

    此外，考慮到個人信息處理的場景日益多樣，個人信息保護法還對取得個人同意以外可以合法處理個人信息的特定情形作了規(guī)定。比如，針對濫用人臉識別技術問題，本法要求，在公共場所安裝圖像采集、個人身份識別設備，應設置顯著的提示標識；所收集的個人圖像、身份識別信息只能用于維護公共安全的目的。

    禁止“大數(shù)據(jù)殺熟”等行為

    當前，有一些企業(yè)通過掌握消費者的經濟狀況、消費習慣、對價格的敏感程度等信息，對消費者在交易價格等方面實行歧視性的差別待遇，誤導、欺詐消費者，其中最典型的就是“大數(shù)據(jù)殺熟”。

    對此，個人信息保護法明確規(guī)定：個人信息處理者利用個人信息進行自動化決策，應當保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。

    嚴格保護敏感個人信息

    個人信息保護法將生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息列為敏感個人信息。

    楊合慶表示，主要考慮是此類信息一旦泄露或者被非法使用，極易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害，對處理敏感個人信息的活動應當作出更加嚴格的限制。

    對此，個人信息保護法要求只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，方可處理敏感個人信息，同時應當在事前進行影響評估，并向個人告知處理的必要性以及對個人權益的影響。

    賦予個人充分的權利、強化個人信息處理者的義務

    個人信息保護法將個人在個人信息處理活動中的各項權利，包括知悉個人信息處理規(guī)則和處理事項、同意和撤回同意，以及個人信息的查詢、復制、更正、刪除等總結提升為知情權、決定權，明確個人有權限制個人信息的處理。

    同時，為了適應互聯(lián)網(wǎng)應用和服務多樣化的實際，滿足日益增長的跨平臺轉移個人信息的需求，個人信息保護法對個人信息可攜帶權作了原則規(guī)定，要求在符合國家網(wǎng)信部門規(guī)定條件的情形下，個人信息處理者應當為個人提供轉移其個人信息的途徑。

    “個人信息處理者是個人信息保護的第一責任人。”楊合慶介紹說，個人信息保護法強調，個人信息處理者應當對其個人信息處理活動負責，并采取必要措施保障所處理的個人信息的安全。

    在此基礎上，個人信息保護法設專章明確了個人信息處理者的合規(guī)管理和保障個人信息安全等義務，要求個人信息處理者按照規(guī)定制定內部管理制度和操作規(guī)程，采取相應的安全技術措施，指定負責人對其個人信息處理活動進行監(jiān)督，定期對其個人信息活動進行合規(guī)審計，對處理敏感個人信息、利用個人信息進行自動化決策、對外提供或公開個人信息等高風險處理活動進行事前影響評估，履行個人信息泄露通知和補救義務等。

    加大違法處理個人信息行為的懲戒力度

    個人信息保護法根據(jù)個人信息處理的不同情況，對違法處理個人信息的行為設置了不同梯次的行政處罰。對未造成嚴重后果的輕微或一般違法行為，可由執(zhí)法部門責令改正、給予警告、沒收違法所得，對拒不改正的最高可處一百萬元罰款；對情節(jié)嚴重的違法行為，最高可處五千萬元或上一年度營業(yè)額百分之五的罰款，并可以對相關責任人員作出相關從業(yè)禁止的處罰。同時，個人信息保護法還專門規(guī)定，對違法處理個人信息的應用程序，可以責令暫停或終止提供服務。

    在民事責任方面，個人信息保護法明確，處理個人信息侵害個人信息權益造成損害的，個人信息處理者如不能證明自己沒有過錯的，應當承擔損害賠償?shù)惹謾嘭熑巍?/p>

    同時，個人信息保護法還對侵害眾多個人權益的民事公益訴訟作了規(guī)定。