华城深圳普法 | 详解《个人信息保护法》亮点

8月20日，十三届全国人大常委会第三十次会议通过了《个人信息保护法》，将于2021年11月1日起施行。这是一部专门保护我们个人信息的法律。

个人信息保护法共八章74条，明确了个人信息处理活动应遵循的原则，构建以“告知-同意”为核心的个人信息处理规则，保障个人在个人信息处理活动中的各项权利，强化个人信息处理者的义务，明确个人信息保护的监管职责，并设置严格的法律责任。全国人大常委会组成人员普遍表示，这部专门法律充分回应了社会关切，为破解个人信息保护中的热点难点问题提供了强有力的法律保障。

1确立个人信息保护原则

个人信息保护法强调处理个人信息应当遵循合法、正当、必要和诚信原则，具有明确、合理的目的并与处理目的直接相关，采取对个人权益影响最小的方式，限于实现处理目的的最小范围，公开处理规则，保证信息质量，采取安全保护措施等，这些原则应当贯穿于个人信息处理的全过程、各环节。

2禁止“大数据杀熟”等行为

个人信息保护法规定：个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

3严格保护敏感个人信息

个人信息保护法将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息列为敏感个人信息。

个人信息保护法要求只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，方可处理敏感个人信息，同时应当在事前进行影响评估，并向个人告知处理的必要性以及对个人权益的影响。

4赋予个人充分的权利

个人信息保护法将个人在个人信息处理活动中的各项权利，包括知悉个人信息处理规则和处理事项、同意和撤回同意，以及个人信息的查询、复制、更正、删除等总结提升为知情权、决定权，明确个人有权限制个人信息的处理。

5强化个人信息处理者的义务

个人信息保护法设专章明确了个人信息处理者的合规管理和保障个人信息安全等义务，要求个人信息处理者按照规定制定内部管理制度和操作规程，采取相应的安全技术措施，指定负责人对其个人信息处理活动进行监督，定期对其个人信息活动进行合规审计，对处理敏感个人信息、利用个人信息进行自动化决策、对外提供或公开个人信息等高风险处理活动进行事前影响评估，履行个人信息泄露通知和补救义务等。

6完善个人信息跨境提供规则

个人信息保护法系统规定了对于中国的个人信息出境的专门管理要求，明确了信息出境的法律条件，其中包括安全评估、专业认证和标准合同的基本要求，同时规定可以执行国际条约和协定以及应当保障境外接收方达标。

7加大违法处理行为的惩戒力度

个人信息保护法根据个人信息处理的不同情况，对违法处理个人信息的行为设置了不同梯次的行政处罚。

对未造成严重后果的轻微或一般违法行为，可由执法部门责令改正、给予警告、没收违法所得，对拒不改正的最高可处一百万元罚款；对情节严重的违法行为，最高可处五千万元或上一年度营业额百分之五的罚款，并可以对相关责任人员作出相关从业禁止的处罚。同时，个人信息保护法还专门规定，对违法处理个人信息的应用程序，可以责令暂停或终止提供服务。