隨著個人信息價值的凸顯，個人信息安全風險與日俱增，個人信息泄露、販賣等安全事件的頻發(fā)，給個人隱私帶來了嚴重的安全隱患。

移動互聯時代，個人信息泄露、販賣等給民眾帶來了不少困擾，全社會亟待一部針對個人信息保護的法律來改善個人信息泄露、販賣等現象。

《個人信息保護法》于2021年8月20日在十三屆全國人大常委會第三十次會議上表決通過，自2021年11月1日起施行?！秱€人信息保護法》通過明確不得過度收集個人信息、禁止大數據殺熟、規(guī)定人臉信息等敏感個人信息處理規(guī)則等，對濫采濫用、非法買賣個人信息、擅自披露個人數據等亟需解決的社會亂象進行了系統回應，為破解個人信息保護中的熱點難點問題提供了強有力的法律保障。

一、嚴禁“大數據殺熟”，不得對個人在交易條件上實行不合理的差別待遇

當前，越來越多的企業(yè)利用大數據分析、評估消費者的個人特征用于商業(yè)營銷。其中有一些企業(yè)通過掌握消費者的經濟狀況、消費習慣、對價格的敏感程度等信息，對消費者在交易價格等方面實行歧視性的差別待遇，誤導、欺詐消費者，其中最典型的就是社會反映突出的“大數據殺熟”。“大數據殺熟”行為違反了誠實信用原則，侵犯了消費者權益保護法規(guī)定的消費者享有公平交易條件的權利。

對此，《個人信息保護法》第二十四條第一款規(guī)定：個人信息處理者利用個人信息進行自動化決策，應當保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。

二、禁止推送個性化信息，對通過自動化決策方式作出的對個人權益重大影響的決定，個人有知情權及拒絕權

只要搜索過一個商品，接下來就會收到很多類似廣告的推送……近年來，一些平臺利用大數據進行用戶畫像推送個性化廣告，困擾公眾日常生活。

對此，《個人信息保護法》第二十四條第二款和第三款規(guī)定：通過自動化決策方式向個人進行信息推送、商業(yè)營銷，應當同時提供不針對其個人特征的選項，或者向個人提供便捷的拒絕方式；通過自動化決策方式作出對個人權益有重大影響的決定，個人有權要求個人信息處理者予以說明，并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。

《個人信息保護法》針對互聯網技術采用的“自動化決策”涉及到消費者或權利人重大利益的決定，賦予了消費者或權利人的知情權和“拒絕權”。

三、處理個人信息應當堅持目的特定原則，不得過度收集個人信息

隨著智能手機的普及，一些手機應用軟件APP權限明顯越界，任意侵犯用戶隱私和數據等問題頻繁發(fā)生，已成為個人信息泄露的重災區(qū)，引發(fā)公眾對信息安全的擔憂。在很多情況下，APP軟件收集的個人信息范圍過大且無必要，與其軟件的功能、提供的服務也不匹配。

對此，《個人信息保護法》第六條規(guī)定：處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關，采取對個人權益影響最小的方式；收集個人信息，應當限于實現處理目的的最小范圍，不得過度收集個人信息；《個人信息保護法》第十條規(guī)定：任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。

《個人信息保護法》規(guī)定在自然人或者其監(jiān)護人同意的范圍內，收集、處理個人信息的軟件或載體的功能，以實現服務目的為限，有利遏制違法收集、處理個人信息過度索權和超范圍收集行為。

四、公共場所安裝采集識別設備，應為維護公共安全所必需，需設置顯著標識，收集到的個人信息只能用于維護安全

經營者使用“無感式”人臉識別技術悄悄采集消費者人臉信息、物業(yè)強制將人臉識別作為出入小區(qū)的唯一驗證方式……近年來，人臉識別技術在社會生活中得到廣泛運用，與之而來的糾紛也日益增多，同時也引發(fā)輿論對經營場所濫用人臉識別技術的擔憂。
對此，《個人信息保護法》第二十六條規(guī)定：在公共場所安裝圖像采集、個人身份識別設備，應當為維護公共安全所必需，遵守國家有關規(guī)定，并設置顯著的提示標識；所收集的個人圖像、身份識別信息只能用于維護公共安全的目的，不得用于其他目的;取得個人單獨同意的除外。這一規(guī)定，有利于規(guī)范公共場所中監(jiān)控設施安裝、門禁應用人臉識別技術，有利于保護公民個人信息不被濫用。

五、個人有權撤回其同意處理個人信息，用戶不同意提供個人信息，服務商不可以拒絕服務

APP超范圍收集用戶個人信息，通過捆綁功能服務一攬子索取個人信息授權，用戶拒絕授權就無法使用APP基本功能服務，變相強制用戶授權。
對此，《個人信息保護法》第十五條規(guī)定：基于個人同意處理個人信息的，個人有權撤回其同意個人信息，處理者應當提供便捷的撤回同意的方式，個人撤回同意，不影響撤回前基于個人同意已進行的個人信息處理活動的效力。根據《個人信息保護法》第十六條明確規(guī)定：個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產品或者服務；處理個人信息屬于提供產品或者服務所必需的除外。
六、處理敏感個人信息應征得個人單獨同意，十四周歲以下的未成年人的個人信息為“敏感信息”，處理應當征得監(jiān)護人同意

《個人信息保護法》個人信息保護法將生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息和不滿十四周歲未成年人的個人信息列為敏感個人信息。敏感個人信息一旦泄露或者被非法使用，極易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害，因此，應當對敏感個人信息處理活動作出嚴格的限制。

《個人信息保護法》對敏感個人信息的處理規(guī)則進行了規(guī)定，第二十八條規(guī)定：只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，個人信息處理者方可處理敏感個人信息。第二十九條規(guī)定：處理敏感個人信息應當取得個人的單獨同意;法律、行政法規(guī)規(guī)定處理敏感個人信息應當取得書面同意的，從其規(guī)定。第三十一條規(guī)定：個人信息處理者處理不滿十四周歲未成年人個人信息的，應當取得未成年人的父母或者其他監(jiān)護人的同意。個人信息處理者處理不滿十四周歲未成年人個人信息的，應當制定專門的個人信息處理規(guī)則。

七、近親屬可以為了自身合法、正當利益，對逝者個人信息行使權利，但應尊重逝者生前安排

自然人死亡后，其留下的個人數據應如何保護？《個人信息保護法》第四十九條明確，自然人死亡的，其近親屬為了自身的合法、正當利益，可以對死者的相關個人信息行使規(guī)定的查閱、復制、更正、刪除等權利; 死者生前另有安排的除外

《民法典》對死者的個人隱私保護已作出明確規(guī)定?！睹穹ǖ洹返诰虐倬攀臈l規(guī)定，死者的姓名、肖像、名譽、榮譽、隱私、遺體等受到侵害的，近親屬可主張行為人承擔民事責任?！秱€人信息保護法》對死者個人信息保護的規(guī)定，與民法典進行了有效銜接，明確個人在個人信息處理活動中具有的知情權、決定權、查閱、復制權、更正補充權等權利，當自然人死亡時，上述權利由近親屬行使。

八、設專章明確個人信息處理者的義務，區(qū)分小型信息者處理者和大型信息處理者的義務

個人信息處理者是個人信息保護的第一責任人，據此，《個人信息保護法》在第五章設專章專門明確個人信息處理者的合規(guī)管理和保障個人信息安全等義務，要求個人信息處理者按照規(guī)定制定內部管理制度和操作規(guī)程，采取相應的安全技術措施，指定負責人對其個人信息處理活動進行監(jiān)督，定期對其個人信息活動進行合規(guī)審計，對處理敏感個人信息、利用個人進行自動化決策、對外提供或公開個人信息等高風險處理活動進行事前影響評估，履行個人信息泄露通知和補救義務等。
由于大型個人信息處理者（提供重要互聯網平臺服務、用戶數量巨大、業(yè)務類型復雜的個人信息處理者）與小型個人信息處理者在技術水平、風險等級上存在較大差異，《個人信息保護法》賦予其在個人信息保護方面更多的法律義務。對于大型個人信息處理者，除了需要履行一般個人信息處理者的義務，還應履行下列義務：建立健全個人信息保護合規(guī)制度體系，成立獨立機構對個人信息保護情況進行監(jiān)督；制定平臺規(guī)則，明確平臺內產品或者服務提供者處理個人信息的規(guī)范和保護個人信息的義務；對嚴重違法違規(guī)處理個人信息的平臺內產品或服務提供者停止提供服務；定期發(fā)布個人信息保護社會責任報告。
特別值得注意的是,《個人信息保護法》第58條規(guī)定了提供重要互聯網平臺服務、用戶數量巨大、業(yè)務類型復雜的個人信息處理者負有的特殊義務。這些大型的網絡企業(yè)不僅要確保自身個人信息處理活動符合法律規(guī)定、合乎科技倫理,承擔應有的社會責任并接受社會監(jiān)督,還必須通過制定公平公正的平臺規(guī)則以及制止違法行為等措施,使平臺內產品或者服務提供者也必須合法地處理個人信息并保護個人信息的安全。
九、規(guī)定了嚴格的法律責任，對違法的個人信息處理活動進行嚴厲處罰

互聯網時代的社會生活已高度數字化，個人信息的搜集、存儲、利用無處不在。個人信息不僅涉及自然人的人格權益，其作為重要的生產要素和價值資源，同時兼具財產利益和公共屬性。大規(guī)模侵害公民個人信息的行為，損害了社會公共利益。

《個人信息保護法》的出臺實施，為執(zhí)法者、司法者、守法者提供了法律指引，也為個人信息保護提供了強有力的法律保障。《個人信息保護法》強調，個人信息處理者應當對其個人信息處理活動負責，并采取必要措施保障所處理的個人信息的安全。為了更好地懲治和預防違法處理行為,《個人信息保護法》規(guī)定了嚴格的法律責任,例如,對于違法的個人信息處理行為中情節(jié)嚴重的,除沒收違法所得,還可以并處五千萬元以下或者上一年度營業(yè)額百分之五以下罰款,并責令暫停相關業(yè)務或者停業(yè)整頓、通報有關主管部門吊銷相關業(yè)務許可或者吊銷營業(yè)執(zhí)照;同時,對于直接負責的主管人員和其他直接責任人員不僅要給予罰款,還可以決定禁止其在一定期限內擔任相關企業(yè)的董事、監(jiān)事、高級管理人員和個人信息保護負責人。有個人信息保護法規(guī)定的違法行為的,還將按照法律、行政法規(guī)的規(guī)定記入信用檔案,予以公示。

十、明確個人信息民事侵權賠償的歸責原則為過錯推定原則，實行舉證責任倒置

《個人信息保護法》第六十九條規(guī)定：處理個人信息侵害個人信息權益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償等侵權責任。明確了個人信息民事侵權責任的歸責原則為過錯推定原則，將證明自身不存在過錯的責任歸于個人信息處理者。過錯推定責任原則雖然仍隸屬于過錯責任原則，但具有更為嚴格的特點，具體表現在舉證責任的倒置、過錯輕重對責任的影響，以及受害人的過錯程度是否影響行為人的責任。該規(guī)定對于減輕受害人的舉證負擔,保護其個人信息權益非常有利，要求個人信息處理者在實踐中大幅度提升責任意識，建立系統完善的日常處理行為合規(guī)和風險預防體系，并就具體操作細節(jié)留痕，才有望在風險發(fā)生時證明自身不存在過錯。
《個人信息保護法》這部法律不僅為保護個人信息權益，更是為了促進個人信息合理利用，是我國在個人信息保護方面邁出的一大步?！秱€人信息保護法》和《民法典》《刑法》《國家安全法》《網絡安全法》等構成信息保護的立體法律體系，用法律手段對我們的個人信息進行綜合性保護。