隨著個(gè)人信息價(jià)值的凸顯，個(gè)人信息安全風(fēng)險(xiǎn)與日俱增，個(gè)人信息泄露、販賣等安全事件的頻發(fā)，給個(gè)人隱私帶來了嚴(yán)重的安全隱患。

移動(dòng)互聯(lián)時(shí)代，個(gè)人信息泄露、販賣等給民眾帶來了不少困擾，全社會(huì)亟待一部針對(duì)個(gè)人信息保護(hù)的法律來改善個(gè)人信息泄露、販賣等現(xiàn)象。

《個(gè)人信息保護(hù)法》于2021年8月20日在十三屆全國人大常委會(huì)第三十次會(huì)議上表決通過，自2021年11月1日起施行?！秱€(gè)人信息保護(hù)法》通過明確不得過度收集個(gè)人信息、禁止大數(shù)據(jù)殺熟、規(guī)定人臉信息等敏感個(gè)人信息處理規(guī)則等，對(duì)濫采濫用、非法買賣個(gè)人信息、擅自披露個(gè)人數(shù)據(jù)等亟需解決的社會(huì)亂象進(jìn)行了系統(tǒng)回應(yīng)，為破解個(gè)人信息保護(hù)中的熱點(diǎn)難點(diǎn)問題提供了強(qiáng)有力的法律保障。

一、嚴(yán)禁“大數(shù)據(jù)殺熟”，不得對(duì)個(gè)人在交易條件上實(shí)行不合理的差別待遇

當(dāng)前，越來越多的企業(yè)利用大數(shù)據(jù)分析、評(píng)估消費(fèi)者的個(gè)人特征用于商業(yè)營(yíng)銷。其中有一些企業(yè)通過掌握消費(fèi)者的經(jīng)濟(jì)狀況、消費(fèi)習(xí)慣、對(duì)價(jià)格的敏感程度等信息，對(duì)消費(fèi)者在交易價(jià)格等方面實(shí)行歧視性的差別待遇，誤導(dǎo)、欺詐消費(fèi)者，其中最典型的就是社會(huì)反映突出的“大數(shù)據(jù)殺熟”。“大數(shù)據(jù)殺熟”行為違反了誠實(shí)信用原則，侵犯了消費(fèi)者權(quán)益保護(hù)法規(guī)定的消費(fèi)者享有公平交易條件的權(quán)利。

對(duì)此，《個(gè)人信息保護(hù)法》第二十四條第一款規(guī)定：個(gè)人信息處理者利用個(gè)人信息進(jìn)行自動(dòng)化決策，應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正，不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇。

二、禁止推送個(gè)性化信息，對(duì)通過自動(dòng)化決策方式作出的對(duì)個(gè)人權(quán)益重大影響的決定，個(gè)人有知情權(quán)及拒絕權(quán)

只要搜索過一個(gè)商品，接下來就會(huì)收到很多類似廣告的推送……近年來，一些平臺(tái)利用大數(shù)據(jù)進(jìn)行用戶畫像推送個(gè)性化廣告，困擾公眾日常生活。

對(duì)此，《個(gè)人信息保護(hù)法》第二十四條第二款和第三款規(guī)定：通過自動(dòng)化決策方式向個(gè)人進(jìn)行信息推送、商業(yè)營(yíng)銷，應(yīng)當(dāng)同時(shí)提供不針對(duì)其個(gè)人特征的選項(xiàng)，或者向個(gè)人提供便捷的拒絕方式；通過自動(dòng)化決策方式作出對(duì)個(gè)人權(quán)益有重大影響的決定，個(gè)人有權(quán)要求個(gè)人信息處理者予以說明，并有權(quán)拒絕個(gè)人信息處理者僅通過自動(dòng)化決策的方式作出決定。

《個(gè)人信息保護(hù)法》針對(duì)互聯(lián)網(wǎng)技術(shù)采用的“自動(dòng)化決策”涉及到消費(fèi)者或權(quán)利人重大利益的決定，賦予了消費(fèi)者或權(quán)利人的知情權(quán)和“拒絕權(quán)”。

三、處理個(gè)人信息應(yīng)當(dāng)堅(jiān)持目的特定原則，不得過度收集個(gè)人信息

隨著智能手機(jī)的普及，一些手機(jī)應(yīng)用軟件APP權(quán)限明顯越界，任意侵犯用戶隱私和數(shù)據(jù)等問題頻繁發(fā)生，已成為個(gè)人信息泄露的重災(zāi)區(qū)，引發(fā)公眾對(duì)信息安全的擔(dān)憂。在很多情況下，APP軟件收集的個(gè)人信息范圍過大且無必要，與其軟件的功能、提供的服務(wù)也不匹配。

對(duì)此，《個(gè)人信息保護(hù)法》第六條規(guī)定：處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對(duì)個(gè)人權(quán)益影響最小的方式；收集個(gè)人信息，應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍，不得過度收集個(gè)人信息；《個(gè)人信息保護(hù)法》第十條規(guī)定：任何組織、個(gè)人不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買賣、提供或者公開他人個(gè)人信息。

《個(gè)人信息保護(hù)法》規(guī)定在自然人或者其監(jiān)護(hù)人同意的范圍內(nèi)，收集、處理個(gè)人信息的軟件或載體的功能，以實(shí)現(xiàn)服務(wù)目的為限，有利遏制違法收集、處理個(gè)人信息過度索權(quán)和超范圍收集行為。

四、公共場(chǎng)所安裝采集識(shí)別設(shè)備，應(yīng)為維護(hù)公共安全所必需，需設(shè)置顯著標(biāo)識(shí)，收集到的個(gè)人信息只能用于維護(hù)安全

經(jīng)營(yíng)者使用“無感式”人臉識(shí)別技術(shù)悄悄采集消費(fèi)者人臉信息、物業(yè)強(qiáng)制將人臉識(shí)別作為出入小區(qū)的唯一驗(yàn)證方式……近年來，人臉識(shí)別技術(shù)在社會(huì)生活中得到廣泛運(yùn)用，與之而來的糾紛也日益增多，同時(shí)也引發(fā)輿論對(duì)經(jīng)營(yíng)場(chǎng)所濫用人臉識(shí)別技術(shù)的擔(dān)憂。
對(duì)此，《個(gè)人信息保護(hù)法》第二十六條規(guī)定：在公共場(chǎng)所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備，應(yīng)當(dāng)為維護(hù)公共安全所必需，遵守國家有關(guān)規(guī)定，并設(shè)置顯著的提示標(biāo)識(shí)；所收集的個(gè)人圖像、身份識(shí)別信息只能用于維護(hù)公共安全的目的，不得用于其他目的;取得個(gè)人單獨(dú)同意的除外。這一規(guī)定，有利于規(guī)范公共場(chǎng)所中監(jiān)控設(shè)施安裝、門禁應(yīng)用人臉識(shí)別技術(shù)，有利于保護(hù)公民個(gè)人信息不被濫用。

五、個(gè)人有權(quán)撤回其同意處理個(gè)人信息，用戶不同意提供個(gè)人信息，服務(wù)商不可以拒絕服務(wù)

APP超范圍收集用戶個(gè)人信息，通過捆綁功能服務(wù)一攬子索取個(gè)人信息授權(quán)，用戶拒絕授權(quán)就無法使用APP基本功能服務(wù)，變相強(qiáng)制用戶授權(quán)。
對(duì)此，《個(gè)人信息保護(hù)法》第十五條規(guī)定：基于個(gè)人同意處理個(gè)人信息的，個(gè)人有權(quán)撤回其同意個(gè)人信息，處理者應(yīng)當(dāng)提供便捷的撤回同意的方式，個(gè)人撤回同意，不影響撤回前基于個(gè)人同意已進(jìn)行的個(gè)人信息處理活動(dòng)的效力。根據(jù)《個(gè)人信息保護(hù)法》第十六條明確規(guī)定：個(gè)人信息處理者不得以個(gè)人不同意處理其個(gè)人信息或者撤回同意為由，拒絕提供產(chǎn)品或者服務(wù)；處理個(gè)人信息屬于提供產(chǎn)品或者服務(wù)所必需的除外。
六、處理敏感個(gè)人信息應(yīng)征得個(gè)人單獨(dú)同意，十四周歲以下的未成年人的個(gè)人信息為“敏感信息”，處理應(yīng)當(dāng)征得監(jiān)護(hù)人同意

《個(gè)人信息保護(hù)法》個(gè)人信息保護(hù)法將生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息和不滿十四周歲未成年人的個(gè)人信息列為敏感個(gè)人信息。敏感個(gè)人信息一旦泄露或者被非法使用，極易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害，因此，應(yīng)當(dāng)對(duì)敏感個(gè)人信息處理活動(dòng)作出嚴(yán)格的限制。

《個(gè)人信息保護(hù)法》對(duì)敏感個(gè)人信息的處理規(guī)則進(jìn)行了規(guī)定，第二十八條規(guī)定：只有在具有特定的目的和充分的必要性，并采取嚴(yán)格保護(hù)措施的情形下，個(gè)人信息處理者方可處理敏感個(gè)人信息。第二十九條規(guī)定：處理敏感個(gè)人信息應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意;法律、行政法規(guī)規(guī)定處理敏感個(gè)人信息應(yīng)當(dāng)取得書面同意的，從其規(guī)定。第三十一條規(guī)定：個(gè)人信息處理者處理不滿十四周歲未成年人個(gè)人信息的，應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的同意。個(gè)人信息處理者處理不滿十四周歲未成年人個(gè)人信息的，應(yīng)當(dāng)制定專門的個(gè)人信息處理規(guī)則。

七、近親屬可以為了自身合法、正當(dāng)利益，對(duì)逝者個(gè)人信息行使權(quán)利，但應(yīng)尊重逝者生前安排

自然人死亡后，其留下的個(gè)人數(shù)據(jù)應(yīng)如何保護(hù)？《個(gè)人信息保護(hù)法》第四十九條明確，自然人死亡的，其近親屬為了自身的合法、正當(dāng)利益，可以對(duì)死者的相關(guān)個(gè)人信息行使規(guī)定的查閱、復(fù)制、更正、刪除等權(quán)利; 死者生前另有安排的除外

《民法典》對(duì)死者的個(gè)人隱私保護(hù)已作出明確規(guī)定?！睹穹ǖ洹返诰虐倬攀臈l規(guī)定，死者的姓名、肖像、名譽(yù)、榮譽(yù)、隱私、遺體等受到侵害的，近親屬可主張行為人承擔(dān)民事責(zé)任?！秱€(gè)人信息保護(hù)法》對(duì)死者個(gè)人信息保護(hù)的規(guī)定，與民法典進(jìn)行了有效銜接，明確個(gè)人在個(gè)人信息處理活動(dòng)中具有的知情權(quán)、決定權(quán)、查閱、復(fù)制權(quán)、更正補(bǔ)充權(quán)等權(quán)利，當(dāng)自然人死亡時(shí)，上述權(quán)利由近親屬行使。

八、設(shè)專章明確個(gè)人信息處理者的義務(wù)，區(qū)分小型信息者處理者和大型信息處理者的義務(wù)

個(gè)人信息處理者是個(gè)人信息保護(hù)的第一責(zé)任人，據(jù)此，《個(gè)人信息保護(hù)法》在第五章設(shè)專章專門明確個(gè)人信息處理者的合規(guī)管理和保障個(gè)人信息安全等義務(wù)，要求個(gè)人信息處理者按照規(guī)定制定內(nèi)部管理制度和操作規(guī)程，采取相應(yīng)的安全技術(shù)措施，指定負(fù)責(zé)人對(duì)其個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督，定期對(duì)其個(gè)人信息活動(dòng)進(jìn)行合規(guī)審計(jì)，對(duì)處理敏感個(gè)人信息、利用個(gè)人進(jìn)行自動(dòng)化決策、對(duì)外提供或公開個(gè)人信息等高風(fēng)險(xiǎn)處理活動(dòng)進(jìn)行事前影響評(píng)估，履行個(gè)人信息泄露通知和補(bǔ)救義務(wù)等。
由于大型個(gè)人信息處理者（提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者）與小型個(gè)人信息處理者在技術(shù)水平、風(fēng)險(xiǎn)等級(jí)上存在較大差異，《個(gè)人信息保護(hù)法》賦予其在個(gè)人信息保護(hù)方面更多的法律義務(wù)。對(duì)于大型個(gè)人信息處理者，除了需要履行一般個(gè)人信息處理者的義務(wù)，還應(yīng)履行下列義務(wù)：建立健全個(gè)人信息保護(hù)合規(guī)制度體系，成立獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督；制定平臺(tái)規(guī)則，明確平臺(tái)內(nèi)產(chǎn)品或者服務(wù)提供者處理個(gè)人信息的規(guī)范和保護(hù)個(gè)人信息的義務(wù)；對(duì)嚴(yán)重違法違規(guī)處理個(gè)人信息的平臺(tái)內(nèi)產(chǎn)品或服務(wù)提供者停止提供服務(wù)；定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告。
特別值得注意的是,《個(gè)人信息保護(hù)法》第58條規(guī)定了提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者負(fù)有的特殊義務(wù)。這些大型的網(wǎng)絡(luò)企業(yè)不僅要確保自身個(gè)人信息處理活動(dòng)符合法律規(guī)定、合乎科技倫理,承擔(dān)應(yīng)有的社會(huì)責(zé)任并接受社會(huì)監(jiān)督,還必須通過制定公平公正的平臺(tái)規(guī)則以及制止違法行為等措施,使平臺(tái)內(nèi)產(chǎn)品或者服務(wù)提供者也必須合法地處理個(gè)人信息并保護(hù)個(gè)人信息的安全。
九、規(guī)定了嚴(yán)格的法律責(zé)任，對(duì)違法的個(gè)人信息處理活動(dòng)進(jìn)行嚴(yán)厲處罰

互聯(lián)網(wǎng)時(shí)代的社會(huì)生活已高度數(shù)字化，個(gè)人信息的搜集、存儲(chǔ)、利用無處不在。個(gè)人信息不僅涉及自然人的人格權(quán)益，其作為重要的生產(chǎn)要素和價(jià)值資源，同時(shí)兼具財(cái)產(chǎn)利益和公共屬性。大規(guī)模侵害公民個(gè)人信息的行為，損害了社會(huì)公共利益。

《個(gè)人信息保護(hù)法》的出臺(tái)實(shí)施，為執(zhí)法者、司法者、守法者提供了法律指引，也為個(gè)人信息保護(hù)提供了強(qiáng)有力的法律保障?！秱€(gè)人信息保護(hù)法》強(qiáng)調(diào)，個(gè)人信息處理者應(yīng)當(dāng)對(duì)其個(gè)人信息處理活動(dòng)負(fù)責(zé)，并采取必要措施保障所處理的個(gè)人信息的安全。為了更好地懲治和預(yù)防違法處理行為,《個(gè)人信息保護(hù)法》規(guī)定了嚴(yán)格的法律責(zé)任,例如,對(duì)于違法的個(gè)人信息處理行為中情節(jié)嚴(yán)重的,除沒收違法所得,還可以并處五千萬元以下或者上一年度營(yíng)業(yè)額百分之五以下罰款,并責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓、通報(bào)有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營(yíng)業(yè)執(zhí)照;同時(shí),對(duì)于直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員不僅要給予罰款,還可以決定禁止其在一定期限內(nèi)擔(dān)任相關(guān)企業(yè)的董事、監(jiān)事、高級(jí)管理人員和個(gè)人信息保護(hù)負(fù)責(zé)人。有個(gè)人信息保護(hù)法規(guī)定的違法行為的,還將按照法律、行政法規(guī)的規(guī)定記入信用檔案,予以公示。

十、明確個(gè)人信息民事侵權(quán)賠償?shù)臍w責(zé)原則為過錯(cuò)推定原則，實(shí)行舉證責(zé)任倒置

《個(gè)人信息保護(hù)法》第六十九條規(guī)定：處理個(gè)人信息侵害個(gè)人信息權(quán)益造成損害，個(gè)人信息處理者不能證明自己沒有過錯(cuò)的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。明確了個(gè)人信息民事侵權(quán)責(zé)任的歸責(zé)原則為過錯(cuò)推定原則，將證明自身不存在過錯(cuò)的責(zé)任歸于個(gè)人信息處理者。過錯(cuò)推定責(zé)任原則雖然仍隸屬于過錯(cuò)責(zé)任原則，但具有更為嚴(yán)格的特點(diǎn)，具體表現(xiàn)在舉證責(zé)任的倒置、過錯(cuò)輕重對(duì)責(zé)任的影響，以及受害人的過錯(cuò)程度是否影響行為人的責(zé)任。該規(guī)定對(duì)于減輕受害人的舉證負(fù)擔(dān),保護(hù)其個(gè)人信息權(quán)益非常有利，要求個(gè)人信息處理者在實(shí)踐中大幅度提升責(zé)任意識(shí)，建立系統(tǒng)完善的日常處理行為合規(guī)和風(fēng)險(xiǎn)預(yù)防體系，并就具體操作細(xì)節(jié)留痕，才有望在風(fēng)險(xiǎn)發(fā)生時(shí)證明自身不存在過錯(cuò)。
《個(gè)人信息保護(hù)法》這部法律不僅為保護(hù)個(gè)人信息權(quán)益，更是為了促進(jìn)個(gè)人信息合理利用，是我國在個(gè)人信息保護(hù)方面邁出的一大步?！秱€(gè)人信息保護(hù)法》和《民法典》《刑法》《國家安全法》《網(wǎng)絡(luò)安全法》等構(gòu)成信息保護(hù)的立體法律體系，用法律手段對(duì)我們的個(gè)人信息進(jìn)行綜合性保護(hù)。