个人信息保护法将于2021年11月1日正式施行

该法的出台首次将个人信息受法律保护以一部基本法律的形式确立下来，是继《民法典》将个人信息保护纳入人格权保护范围后的又一里程碑意义的立法，引起了社会的广泛关注与探讨研究。本文归纳了新法的重点条款并简要分析对个人信息保护领域带来的影响。

《个人信息保护法》（以下简称新法）亮点多多，建立起以告知-同意为核心的信息处理规则，明确个人权利、强化处理者义务及监管部门职责，特别规定敏感个人信息给以更严格保护，聚焦社会关切领域如大数据杀熟、数据垄断、APP滥用个人信息等突出问题并作出回应。

1、建立起告知-同意逻辑下的个人信息处理规则体系

新法第十三条规定了信息处理者处理个人信息应当取得个人的同意并列举了人力资源管理所必需、为应对突发公共卫生事件等六项例外情形，确立了取得同意是处理个人信息的原则。

第十四条进一步规定基于个人同意处理个人信息的前提是个人充分知情，并在第十七条列举了应当告知的事项以及告知需达到以显著方式、清晰易懂的语言真实、准确、完整地告知的要求。

此外，第十四条还规定了个人信息的处理目的、处理方式和种类发生变更的，应当重新取得个人同意，第十五条明确了个人有权撤回其同意，第十六条提供了撤回保障，即禁止个人信息处理者以撤回同意为由拒绝提供产品或服务。

上述一系列规定体现了新法充分尊重和保障个人在其个人信息方面的自主决定权，同时对个人信息处理者履行告知义务作出了具有实操性的规范要求。

2、大数据杀熟问题不再无解

第二十四条 个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。

通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。 大数据杀熟一词近年来频频出现在大众面前，并引起不少人的反感和排斥，笔者认为对于该问题的认知不应片面来源于某些极端事件的媒体报道，商家利用大数据分析从而更精准地向消费者推荐服务，本质是一种营销手段，引发消费者陷入被监视之恐慌感的背后是该手段存在不透明、不公平对待之嫌。此次新法出台，我们可以看到对该问题有了直面回应，规定自动化决策不得在交易条件上实行不合理的差别待遇并要求向个人提供拒绝的途径。

今后，我们将更常见地在各类商品、服务类网站、应用程序页面上看到可供选择拒绝个性化推荐的弹窗等，而商家究竟会如何适用新法，值得期待。

3、个人信息可以转移

第四十五条第三款 个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。

该条规定是本次新法的一大亮点，意味着个人有权携带个人信息并选择储放对象，也意味着以往占据数据垄断地位的企业必须基于个人的意愿交出其个人信息，未来数据流通将可能成为一大趋势。

4、大型企业将受更严格监管

第五十八条　提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当履行下列义务：

（一）按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；

（二）遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务；

（三）对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务；

（四）定期发布个人信息保护社会责任报告，接受社会监督。

可见新法对大型企业，特别是大型互联网平台提出了更高的监管要求，除国家网信部门、社会等监管、监督，还必须成立外部、独立的监督机构，势必将带来行业的一大变革。 5、APP违法处理个人信息将下架

第六十六条第一款 违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

新法赋予监管部门直接下架应用程序的职权，意味着一直以来各类APP肆意收集、使用、出售个人信息的乱象将受到更强有力的打击，未来APP使用者在个人信息保护方面的体验感将得到提升。 6、个人行使权利获多方面保障

第五十条　个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的，应当说明理由。

个人信息处理者拒绝个人行使权利的请求的，个人可以依法向人民法院提起诉讼。

该条规定了个人行使权利的渠道，在向信息处理者申诉处理失败后，可寻求司法救济。第六十五条还规定了投诉、举报的渠道（网信办）。多途径畅通个人信息保护渠道。

此外，第六十九条规定了在个人信息权益的损害赔偿中，举证责任落在个人信息处理者一方，处理者需要证明自己不存在过错，方能避免承担损害赔偿等侵权责任。这意味着当个人想要通过司法途径维护自身信息权益时，不必过分担忧举证的压力，使得该类诉讼可能在未来不断涌现。

第六十七条 有本法规定的违法行为的，依照有关法律、行政法规的规定记入信用档案，并予以公示。

该条把个人信息处理行为纳入信用体系，是对信息处理者的又一威慑力举措，在信用社会时代，失信将可能给企业融资、交易等方方面面带来阻碍，信息处理者可要提高注意力了。

7、敏感个人信息的处理规则更为严格

新法在一般个人信息的基础上，划分出敏感个人信息，并提出更高的保护要求，诸如应当取得个人的单独同意、应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响、采取严格保护措施等，意味在一般信息中包含敏感个人信息的情况下，信息处理者必须针对敏感部分特别告知并取得单独同意。

敏感个人信息系与人格尊严人身、财产安全相关，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息。新法明确规定了不满十四周岁未成年人的个人信息属于敏感信息，第三十一条进一步规定处理不满十四周岁未成年人的个人信息应当取得未成年人的父母或者其他监护人的同意、应当制定专门的个人信息处理规则，体现了对儿童权益的特别保护。

综上，《个人信息保护法》的出台将在个人信息保护领域带来深远影响，不仅给个人带来信息保护方面的诸多权利，也给信息处理企业提出了诸多规范要求，企业要如何根据新法调整自身、达到法律要求，将是不小的挑战。