11 月 1 日訊息，十三屆全國人大常委會第三十次會議 8 月 20 日表決通過了《中華人民共和國個人資訊保護法》，自 2021 年 11 月 1 日起施行。

《中華人民共和國個人資訊保護法》明確：

• 通過自動化決策方式向個人進行資訊推送、商業營銷，應提供不針對其個人特徵的選項或提供便捷的拒絕方式；

• 處理生物識別、醫療健康、金融賬戶、行蹤軌跡等敏感個人資訊，應取得個人的單獨同意；

• 對違法處理個人資訊的應用程式，責令暫停或者終止提供服務。

瞭解到，個人資訊保護法共 8 章 74 條，在有關法律的基礎上，進一步細化、完善個人資訊保護應遵循的原則和個人資訊處理規則。

十大亮點：

確立個人資訊保護原則。這是收集、使用個人資訊的基本遵循，是構建個人資訊保護具體規則的制度基礎。《個人資訊保護法》強調處理個人資訊應遵循合法、正當、必要和誠信原則，具有明確、合理的目的並與處理目的直接相關，採取對個人權益影響最小的方式，限於實現處理目的的最小範圍，公開處理規則，保證資訊質量，採取安全保護措施等。

規範處理活動保障權益。《個人資訊保護法》緊緊圍繞規範個人資訊處理活動、保障個人資訊權益，構建以“告知-同意”為核心的個人資訊處理規則。例如，處理個人資訊應當在事先充分告知的前提下取得個人同意，個人資訊處理的重要事項發生變更的應當重新向個人告知並取得同意。

禁止“大資料殺熟”，規範自動化決策。當前，越來越多的企業用大資料分析和評估消費者的個人特徵用於商業營銷，最典型的就是社會反映突出的“大資料殺熟”。對此，《個人資訊保護法》規定：個人資訊處理者利用個人資訊進行自動化決策，應當保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。

嚴格保護敏感個人資訊。《個人資訊保護法》規定，只有在具有特定的目的和充分的必要性，並採取嚴格保護措施的情形下，方可處理敏感個人資訊，同時應當事前進行影響評估，並向個人告知處理的必要性以及對個人權益的影響。此外，《個人資訊保護法》將不滿十四周歲未成年人的個人資訊確定為敏感個人資訊予以嚴格保護。

規範國家機關處理活動。《個人資訊保護法》對國家機關處理個人資訊的活動作出規定，特別強調國家機關處理個人資訊的活動適用本法，並且處理個人資訊應當依照法律、行政法規規定的許可權和程式進行，不得超出履行法定職責所必需的範圍和限度。

賦予個人充分權利。《個人資訊保護法》將個人在個人資訊處理活動中的各項權利，總結提升為知情權、決定權，明確個人有權限制個人資訊處理；同時，要求在符合國家網信部門規定條件的情形下，個人資訊處理者應當為個人提供轉移其個人資訊的途徑。此外，《個人資訊保護法》還對死者個人資訊的保護作了專門規定。

強化個人資訊處理者義務。《個人資訊保護法》明確了個人資訊處理者的合規管理和保障個人資訊保安等義務，要求個人資訊處理者按照規定製定內部管理制度和操作規程，採取相應的安全技術措施，指定負責人對其個人資訊處理活動進行監督，定期對其個人資訊處理活動進行合規審計，對處理敏感個人資訊、利用個人資訊進行自動化決策、對外提供或公開個人資訊等高風險處理活動進行事前影響評估，履行個人資訊洩露通知和補救義務等。

賦予大型網路平臺特別義務。《個人資訊保護法》對大型網際網路平臺設定了特別的個人資訊保護義務：按照國家規定建立健全個人資訊保護合規制度體系，成立主要由外部成員組成的獨立機構對個人資訊保護情況進行監督；遵循公開、公平、公正原則，制定平臺規則；對嚴重違法處理個人資訊的平臺內產品或者服務提供者，停止提供服務；定期釋出個人資訊保護社會責任報告，接受社會監督。

規範個人資訊跨境流動。當今個人資訊的跨境流動日益頻繁，但由於遙遠的地理距離以及不同國家法律制度、保護水平之間的差異，個人資訊跨境流動風險越來越難以控制。《個人資訊保護法》構建了一套清晰、系統的個人資訊跨境流動規則，以滿足保障個人資訊權益和安全的客觀要求，適應國際經貿往來的現實需要。

健全個人資訊保護工作機制。該法明確國家網信部門和國務院有關部門在各自職責範圍內負責個人資訊保護和監督管理工作，同時對個人資訊保護和監管職責作出規定，包括開展個人資訊保護宣傳教育、指導監督個人資訊保護工作、接受處理相關投訴舉報、組織對應用程式等進行測評、調查處理違法個人資訊處理活動等。