随着个人信息价值的凸显，个人信息安全风险与日俱增，个人信息泄露、贩卖等安全事件的频发，给个人隐私带来了严重的安全隐患。

移动互联时代，个人信息泄露、贩卖等给民众带来了不少困扰，全社会亟待一部针对个人信息保护的法律来改善个人信息泄露、贩卖等现象。

《个人信息保护法》于2021年8月20日在十三届全国人大常委会第三十次会议上表决通过，自2021年11月1日起施行。《个人信息保护法》通过明确不得过度收集个人信息、禁止大数据杀熟、规定人脸信息等敏感个人信息处理规则等，对滥采滥用、非法买卖个人信息、擅自披露个人数据等亟需解决的社会乱象进行了系统回应，为破解个人信息保护中的热点难点问题提供了强有力的法律保障。

一、严禁“大数据杀熟”，不得对个人在交易条件上实行不合理的差别待遇

当前，越来越多的企业利用大数据分析、评估消费者的个人特征用于商业营销。其中有一些企业通过掌握消费者的经济状况、消费习惯、对价格的敏感程度等信息，对消费者在交易价格等方面实行歧视性的差别待遇，误导、欺诈消费者，其中最典型的就是社会反映突出的“大数据杀熟”。“大数据杀熟”行为违反了诚实信用原则，侵犯了消费者权益保护法规定的消费者享有公平交易条件的权利。

对此，《个人信息保护法》第二十四条第一款规定：个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

二、禁止推送个性化信息，对通过自动化决策方式作出的对个人权益重大影响的决定，个人有知情权及拒绝权

只要搜索过一个商品，接下来就会收到很多类似广告的推送……近年来，一些平台利用大数据进行用户画像推送个性化广告，困扰公众日常生活。

对此，《个人信息保护法》第二十四条第二款和第三款规定：通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式；通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

《个人信息保护法》针对互联网技术采用的“自动化决策”涉及到消费者或权利人重大利益的决定，赋予了消费者或权利人的知情权和“拒绝权”。

三、处理个人信息应当坚持目的特定原则，不得过度收集个人信息

随着智能手机的普及，一些手机应用软件APP权限明显越界，任意侵犯用户隐私和数据等问题频繁发生，已成为个人信息泄露的重灾区，引发公众对信息安全的担忧。在很多情况下，APP软件收集的个人信息范围过大且无必要，与其软件的功能、提供的服务也不匹配。

对此，《个人信息保护法》第六条规定：处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式；收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息；《个人信息保护法》第十条规定：任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

《个人信息保护法》规定在自然人或者其监护人同意的范围内，收集、处理个人信息的软件或载体的功能，以实现服务目的为限，有利遏制违法收集、处理个人信息过度索权和超范围收集行为。

四、公共场所安装采集识别设备，应为维护公共安全所必需，需设置显著标识，收集到的个人信息只能用于维护安全

经营者使用“无感式”人脸识别技术悄悄采集消费者人脸信息、物业强制将人脸识别作为出入小区的唯一验证方式……近年来，人脸识别技术在社会生活中得到广泛运用，与之而来的纠纷也日益增多，同时也引发舆论对经营场所滥用人脸识别技术的担忧。
对此，《个人信息保护法》第二十六条规定：在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识；所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的;取得个人单独同意的除外。这一规定，有利于规范公共场所中监控设施安装、门禁应用人脸识别技术，有利于保护公民个人信息不被滥用。

五、个人有权撤回其同意处理个人信息，用户不同意提供个人信息，服务商不可以拒绝服务

APP超范围收集用户个人信息，通过捆绑功能服务一揽子索取个人信息授权，用户拒绝授权就无法使用APP基本功能服务，变相强制用户授权。
对此，《个人信息保护法》第十五条规定：基于个人同意处理个人信息的，个人有权撤回其同意个人信息，处理者应当提供便捷的撤回同意的方式，个人撤回同意，不影响撤回前基于个人同意已进行的个人信息处理活动的效力。根据《个人信息保护法》第十六条明确规定：个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务；处理个人信息属于提供产品或者服务所必需的除外。
六、处理敏感个人信息应征得个人单独同意，十四周岁以下的未成年人的个人信息为“敏感信息”，处理应当征得监护人同意

《个人信息保护法》个人信息保护法将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息和不满十四周岁未成年人的个人信息列为敏感个人信息。敏感个人信息一旦泄露或者被非法使用，极易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害，因此，应当对敏感个人信息处理活动作出严格的限制。

《个人信息保护法》对敏感个人信息的处理规则进行了规定，第二十八条规定：只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。第二十九条规定：处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。第三十一条规定：个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。个人信息处理者处理不满十四周岁未成年人个人信息的，应当制定专门的个人信息处理规则。

七、近亲属可以为了自身合法、正当利益，对逝者个人信息行使权利，但应尊重逝者生前安排

自然人死亡后，其留下的个人数据应如何保护？《个人信息保护法》第四十九条明确，自然人死亡的，其近亲属为了自身的合法、正当利益，可以对死者的相关个人信息行使规定的查阅、复制、更正、删除等权利; 死者生前另有安排的除外

《民法典》对死者的个人隐私保护已作出明确规定。《民法典》第九百九十四条规定，死者的姓名、肖像、名誉、荣誉、隐私、遗体等受到侵害的，近亲属可主张行为人承担民事责任。《个人信息保护法》对死者个人信息保护的规定，与民法典进行了有效衔接，明确个人在个人信息处理活动中具有的知情权、决定权、查阅、复制权、更正补充权等权利，当自然人死亡时，上述权利由近亲属行使。

八、设专章明确个人信息处理者的义务，区分小型信息者处理者和大型信息处理者的义务

个人信息处理者是个人信息保护的第一责任人，据此，《个人信息保护法》在第五章设专章专门明确个人信息处理者的合规管理和保障个人信息安全等义务，要求个人信息处理者按照规定制定内部管理制度和操作规程，采取相应的安全技术措施，指定负责人对其个人信息处理活动进行监督，定期对其个人信息活动进行合规审计，对处理敏感个人信息、利用个人进行自动化决策、对外提供或公开个人信息等高风险处理活动进行事前影响评估，履行个人信息泄露通知和补救义务等。
由于大型个人信息处理者（提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者）与小型个人信息处理者在技术水平、风险等级上存在较大差异，《个人信息保护法》赋予其在个人信息保护方面更多的法律义务。对于大型个人信息处理者，除了需要履行一般个人信息处理者的义务，还应履行下列义务：建立健全个人信息保护合规制度体系，成立独立机构对个人信息保护情况进行监督；制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务；对严重违法违规处理个人信息的平台内产品或服务提供者停止提供服务；定期发布个人信息保护社会责任报告。
特别值得注意的是,《个人信息保护法》第58条规定了提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者负有的特殊义务。这些大型的网络企业不仅要确保自身个人信息处理活动符合法律规定、合乎科技伦理,承担应有的社会责任并接受社会监督,还必须通过制定公平公正的平台规则以及制止违法行为等措施,使平台内产品或者服务提供者也必须合法地处理个人信息并保护个人信息的安全。
九、规定了严格的法律责任，对违法的个人信息处理活动进行严厉处罚

互联网时代的社会生活已高度数字化，个人信息的搜集、存储、利用无处不在。个人信息不仅涉及自然人的人格权益，其作为重要的生产要素和价值资源，同时兼具财产利益和公共属性。大规模侵害公民个人信息的行为，损害了社会公共利益。

《个人信息保护法》的出台实施，为执法者、司法者、守法者提供了法律指引，也为个人信息保护提供了强有力的法律保障。《个人信息保护法》强调，个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。为了更好地惩治和预防违法处理行为,《个人信息保护法》规定了严格的法律责任,例如,对于违法的个人信息处理行为中情节严重的,除没收违法所得,还可以并处五千万元以下或者上一年度营业额百分之五以下罚款,并责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;同时,对于直接负责的主管人员和其他直接责任人员不仅要给予罚款,还可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。有个人信息保护法规定的违法行为的,还将按照法律、行政法规的规定记入信用档案,予以公示。

十、明确个人信息民事侵权赔偿的归责原则为过错推定原则，实行举证责任倒置

《个人信息保护法》第六十九条规定：处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。明确了个人信息民事侵权责任的归责原则为过错推定原则，将证明自身不存在过错的责任归于个人信息处理者。过错推定责任原则虽然仍隶属于过错责任原则，但具有更为严格的特点，具体表现在举证责任的倒置、过错轻重对责任的影响，以及受害人的过错程度是否影响行为人的责任。该规定对于减轻受害人的举证负担,保护其个人信息权益非常有利，要求个人信息处理者在实践中大幅度提升责任意识，建立系统完善的日常处理行为合规和风险预防体系，并就具体操作细节留痕，才有望在风险发生时证明自身不存在过错。
《个人信息保护法》这部法律不仅为保护个人信息权益，更是为了促进个人信息合理利用，是我国在个人信息保护方面迈出的一大步。《个人信息保护法》和《民法典》《刑法》《国家安全法》《网络安全法》等构成信息保护的立体法律体系，用法律手段对我们的个人信息进行综合性保护。