作者 | 技术管理部
内容 | 本篇共1883字，预计阅读时间5分钟

《个人信息保护法》的立法背景和发展历程：

互联网信息时代，公民个人信息所承载的人格利益、公共利益和经济利益得到前所未有的凸显。与此同时，公民个人信息泄露问题日趋严重，大数据杀熟、电商平台自动广告推送、电信诈骗、信用卡盗刷，过多索权、后台监测、信息贩卖造成了不同程度的社会不良影响，这与我们每个人都息息相关。党的十八大以来，全国人大及其常委会高度重视个人信息保护相关立法工作。2021年8月20日，《个人信息保护法》正式发布，将于2021年11月1日起施行。

《个人信息保护法》的特色亮点：

亮点一：确立个人信息保护原则

《个人信息保护法》强调处理个人信息应遵循合法、正当、必要和诚信原则，具有明确、合理的目的并与处理目的直接相关，采取对个人权益影响最小的方式，限于实现处理目的的最小范围，公开处理规则，保证信息质量，采取安全保护措施等。

亮点二：规范处理活动保障权益

《个人信息保护法》紧紧围绕规范个人信息处理活动、保障个人信息权益，构建以“告知-同意”为核心的个人信息处理规则。个人信息保护法要求，处理个人信息应当在事先充分告知的前提下取得个人同意，个人信息处理的重要事项发生变更的应当重新向个人告知并取得同意。

亮点三：禁止“大数据杀熟”， 规范自动化决策

个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

亮点四：严格保护敏感个人信息

生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息都属于敏感个人信息。《个人信息保护法》规定，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，方才可以处理敏感个人信息，除此之外，应当在事前进行影响评估，并向个人告知处理的必要性以及对个人权益的影响。

亮点五：规范国家机关处理活动

《个人信息保护法》对国家机关处理个人信息的活动作出专门规定，处理个人信息应当依照法律、行政法规规定的权限和程序进行，不得超出履行法定职责所必需的范围和限度。

亮点六：赋予个人充分权利

《个人信息保护法》将个人在个人信息处理活动中的各项权利，总结提升为知情权、决定权，明确个人有权限制个人信息处理；同时，要求在符合国家网信部门规定条件的情形下，个人信息处理者应当为个人提供转移其个人信息的途径。此外，《个人信息保护法》还对死者个人信息的保护作了专门规定。

亮点七：强化个人信息处理者义务

《个人信息保护法》明确了个人信息处理者的合规管理和保障个人信息安全等义务，要求个人信息处理者按照规定制定内部管理制度和操作规程，采取相应的安全技术措施，指定负责人进行监督，定期进行合规审计，对处理敏感个人信息、利用个人信息进行自动化决策、对外提供或公开个人信息等高风险处理活动进行事前影响评估，履行个人信息泄露通知和补救义务等。

亮点八：赋予大型网络平台特别义务

《个人信息保护法》对大型互联网平台设定了特别的个人信息保护义务：按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；对严重违法处理个人信息的平台内产品或者服务提供者，停止提供服务；定期发布个人信息保护社会责任报告，接受社会监督。

亮点九：规范个人信息跨境流动

一是明确以向境内自然人提供产品或者服务为目的，或者分析、评估境内自然人的行为；二是明确向境外提供个人信息的途径，包括通过国家网信部门组织的安全评估、经专业机构认证、订立标准合同、按照我国缔结或参加的国际条约和协定等；三是要求个人信息处理者采取必要措施保障境外接收方的处理活动达到本法规定的保护标准；四是对跨境提供个人信息的“告知-同意”作出更严格的要求；五是为维护国家主权、安全和发展利益，对跨境提供个人信息的安全评估、向境外司法或执法机构提供个人信息、限制跨境提供个人信息的措施、对外国歧视性措施的反制等作了规定。

亮点十：健全个人信息保护工作机制

《个人信息保护法》明确国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作，同时对个人信息保护和监管职责作出规定，包括开展个人信息保护宣传教育、指导监督个人信息保护工作、接受处理相关投诉举报、组织对APP等进行测评、调查处理违法个人信息处理活动等。