11月1日起施行《个人信息保护法》

2021年8月20日，十三届全国人大常委会第三十次会议表决通过了《中华人民共和国个人信息保护法》，自2021年11月1日起施行。《个人信息保护法》确立了个人信息保护应遵循的基本原则、个人信息处理规则，明确了个人信息处理活动中各方的权利义务，健全了个人信息保护工作体制机制，是我国第一部针对个人信息保护的专门立法。

确立个人信息保护原则

包括处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息；应当具有明确、合理的目的并与处理目的直接相关；采取对个人权益影响最小的方式，限于实现处理目的的最小范围，不得过度收集个人信息；公开信息处理规则；保证信息质量；必须采取安全保护措施以及禁止性原则等。

规范个人信息处理行为

一是明确个人信息处理者可以处理个人信息的情形；

二是处理个人信息应当在事先充分告知的前提下取得个人同意，个人信息处理的重要事项发生变更的应当重新向个人告知并取得同意。处理敏感个人信息、向他人提供或公开个人信息、跨境转移个人信息等应取得个人的单独同意；

三是赋予个人信息主体撤回同意的权利，并规定在个人撤回同意后，个人信息处理者应当停止处理或及时删除其个人信息；

四是个人信息处理者不得以个人不同意处理个人信息或撤回同意为由拒绝提供产品或者服务，处理个人信息属于提供产品或者服务所必需的除外；

五是个人信息的保存期限应当为实现处理目的所必要的最短时间；

六是对共同处理、委托处理等实践中较为常见的处理情形作出有针对性规定；

七是个人信息处理者发生变更情形下，对有关信息的处理作出规定。

规范自动化决策

一是个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇；

二是通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式；

三是通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

严格保护敏感个人信息

《个人信息保护法》将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息列为敏感个人信息。规定只有在具有特定的目的和充分的必要性，采取严格保护措施的情形下，取得个人单独同意后，方可处理敏感个人信息。同时，应当向个人告知处理的必要性及对个人权益的影响。处理不满十四周岁未成年人个人信息应当取得未成年人的父母或者其他监护人的同意，并应当制定专门的个人信息处理规则。

规范国家机关个人信息处理

强调国家机关处理个人信息的活动适用该法，处理个人信息应当依照法律、行政法规规定的权限和程序进行，不得超出履行法定职责所必需的范围和限度。国家机关为履行法定职责处理个人信息，应当依照该法规定履行告知义务。

赋予信息主体充分的权利

将个人知悉个人信息处理规则和处理事项、同意和撤回同意，以及个人信息的查阅、复制、更正、删除等权利总结为知情权和决定权，明确个人有权限制个人信息的处理。

一是个人有权向个人信息处理者查阅、复制个人信息；

二是个人发现其个人信息不准确或者不完整的，有权请求个人信息处理者更正、补充。明确了删除个人信息的情形；

三是在符合国家网信部门规定条件的情形下，个人信息处理者应当为个人提供转移其个人信息的途径；

四是在尊重死者生前安排的前提下，其近亲属为自身合法、正当利益，可以对死者个人信息行使查阅、复制、更正、删除等权利；

五是个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。个人信息处理者拒绝个人行使权利请求的，应当说明理由，个人也可依法向人民法院提起诉讼。

强化个人信息处理者义务

《个人信息保护法》强调个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障个人信息安全。明确个人信息处理者的合规管理和保障个人信息安全等义务，要求个人信息处理者按照规定制定内部管理制度和操作规程，采取相应的安全技术措施，指定负责人对其个人信息处理活动进行监督，定期对其个人信息活动进行合规审计，对处理敏感个人信息、利用个人信息进行自动化决策、对外提供或公开个人信息等高风险处理活动进行事前影响评估，履行个人信息泄露通知和补救义务等。

明确大型网络平台的特别义务

对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者的义务进行了特别规定：包括按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；遵循公开、公平、公正的原则，制定平台规则；对严重违法处理个人信息的平台内产品或者服务提供者停止提供服务；定期发布个人信息保护社会责任报告，接受社会监督。

规范个人信息跨境流动

一是明确以向境内自然人提供产品或者服务为目的，或者分析、评估境内自然人的行为等，在我国境外处理境内自然人个人信息的活动适用该法；

二是明确向境外提供个人信息的途径；

三是要求个人信息处理者采取必要措施保障境外接收方的处理活动达到本法规定的保护标准；

四是对跨境提供个人信息的“告知-同意”作出更严格的要求；

五是对跨境提供个人信息的安全评估、向境外司法或执法机构提供个人信息、限制跨境提供个人信息的措施、对外国歧视性措施的反制等作了规定。

健全个人信息保护工作机制

明确国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作，强调国家网信部门的统筹协调作用。对个人信息保护和监管职责作出规定，包括开展个人信息保护宣传教育、指导监督个人信息保护工作、接受处理相关投诉举报、组织对应用程序等进行测评、调查处理违法个人信息处理活动等。

来源：<a weui-wa-hotarea" style="margin: 0px; padding: 0px; outline: 0px; color: rgb(87, 107, 149); -webkit-tap-highlight-color: rgba(0, 0, 0, 0); cursor: pointer; position: relative; font-family: -apple-system, BlinkMacSystemFont, "Helvetica Neue", "PingFang SC", "Hiragino Sans GB", "Microsoft YaHei UI", "Microsoft YaHei", Arial, sans-serif; font-size: 15px; font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: 0.544px; white-space: normal; background-color: rgb(255, 255, 255);">中国人民银行兰州中支