一图详解《个人信息保护法》

　　施行时间

　　《中华人民共和国个人信息保护法》自2021年11月1日起施行。

　　法律地位

　　这部保护个人信息的专门法律，回应了社会上诸多热点话题。比如明确禁止“大数据杀熟”行为、加强敏感个人信息保护等，我国个人信息保护将掀开新篇章。

　　核心规则

　　“告知—同意”：《个人信息保护法》要求处理个人信息，应当在事先充分告知的前提下取得个人同意，个人信息处理的重要事项发生变更的应当重新向个人告知并取得同意。

　　要点采撷

　　禁止“大数据杀熟”等行为：个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

　　赋予个人充分的权利、强化个人信息处理者的义务：《个人信息保护法》将个人在个人信息处理活动中的各项权利，包括知悉个人信息处理规则和处理事项、同意和撤回同意，以及个人信息的查询、复制、更正、删除等总结提升为知情权、决定权，明确个人有权限制个人信息的处理。

　　加大违法处理个人信息行为的惩戒力度：对未造成严重后果的轻微或一般违法行为，可由执法部门责令改正、给予警告、没收违法所得，对拒不改正的最高可处一百万元罚款；对情节严重的违法行为，最高可处五千万元或上一年度营业额百分之五的罚款，并可以对相关责任人员作出相关从业禁止的处罚。同时，《个人信息保护法》还专门规定，对违法处理个人信息的应用程序，可以责令暂停或终止提供服务。

　　背景

　　买完房，推荐家装的电话纷至沓来；买完车，推荐车险的电话接连不断；教育机构“见缝插针”邀请试听……信息“裸奔”令人不寒而栗，行走在“大数据时代”，个人信息保护已成为每个人最关心、最直接的利益问题之一。

　　8月20日，十三届全国人大常委会第三十次会议通过了《中华人民共和国个人信息保护法》，这部11月1日起施行的法律共8章74条，它对自然人关于个人信息的权利、个人信息处理者对于个人信息的义务、相关部门对于个人信息的保护职责、个人信息处理具体要求、个人信息跨境、法律责任等作出了明确和可操作的规定。新法构建了权责明确、保护有效、利用规范的个人信息处理和保护制度规则，让你的个人信息不再“裸奔”。

　　亮点

　　筑牢个人信息安全“防火墙”

　　“告知—同意”充分保障知情权

　　记者查询发现，《个人信息保护法》中的“自然人的个人信息受法律保护”并非首次提出，在《网络安全法》《民法典》《数据安全法》中都有相关表述。“《个人信息保护法》是特别法，是就个人信息的收集、存储、使用、加工、传输、提供、公开、删除等确立的全面保护规则。”省律师协会副会长、辽宁安行律师事务所创始合伙人李宗胜认为，《个人信息保护法》中“告知—同意”这一信息处理的核心原则充分保障了个人对其信息处理的知情权和决定权，且充分考虑到经济社会生活的复杂性、个人信息处理的场景的多样性，以及兼顾维护公共利益和保障社会正常生产生活两个方面。

　　严格限制处理敏感个人信息

　　在新冠肺炎疫情期间，大数据被誉为抗击疫情的重要手段之一，但这是把“双刃剑”，也产生一些负面效应：部分核酸检测阳性病人的隐私被过度暴露，生活、身心受到困扰。

　　从现在开始，上述情况有“法”管了。在《个人信息保护法》中，对“敏感个人信息的处理规则”设专门章节加以规定，包括：生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。李宗胜认为，对敏感信息的特殊保护一定程度上就是对人格权益、人身权以及财产权的保护。“从疫情防控信息导致的‘人肉搜索’并引发侵犯人格权益的情况来看，需要从源头治理个人信息纰漏带来的次生灾害。”李宗胜说。

　　赋予大型互联网平台特别义务

　　今年3月，全国人大代表、辽宁大学副校长杨松向十三届全国人大四次会议提交了10多件议案和10多件建议，其中就包括关于个人金融信息保护的立法和监管的建议。

　　新法的落地，让代表建议见回音。

　　新法要求提供重要服务、用户量巨大的互联网平台须按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；对严重违法处理个人信息的平台内产品或者服务提供者，停止提供服务；定期发布个人信息保护社会责任报告，接受社会监督。

　　将“最大数据处理平台”纳入规范

　　今年6月，沈阳市铁西区人民法院刑事审判庭审结了一起沈阳市某政务机关工作人员吴某侵犯公民个人信息案，其在2017年4月至2020年10月期间，从办公系统非法获取公民个人信息共计10万余条，出售3万余条，获利人民币6万余元……吴某获刑三年六个月。这是发生在我们身边的“最大数据处理平台”缺乏有效监管发生的典型案例。

　　沈阳市这起侵犯公民个人信息案的主审法官吴东洋告诉记者，对侵犯公民个人信息相关案件梳理后发现，泄露信息种类多样化，包括姓名、身份证号、联系方式、住址、账号密码、财产状况、行踪轨迹等，且与敲诈勒索、电信诈骗等下游犯罪联系密切，获取渠道简单、犯罪成本低、收益大。

　　“国家机关作为‘最大数据处理平台’，具有法定职权性、公共性、广泛性、持续性、强制性等特点。”辽宁社会科学院法学研究所所长陈爽告诉记者，新法对国家机关处理个人信息作出特别规定，对于国家机关正确行使公权力、依法保护个人信息安全具有重要意义。

　　使法律适用更具有可操作性

　　记者在中国裁判文书网查看相关案例发现，除了侵犯公民个人信息的刑事案件受到依法审理判决外，在民事案件中，原告提出“个人信息泄露”等诉求几乎没有得到人民法院的支持。

　　对此，审理了大量侵权类案件的沈阳市和平区人民法院民事审判第二庭综合团队负责人王金利表示：“审理实践中，如何确定侵权主体，即哪一主体对权利人的个人信息构成了侵害？如何证明存在侵害行为，即被告主体是如何对权利人造成侵害的？这些都是难点。”王金利坦言。

　　沈阳市大东区人民检察院第二检察部已经开始了对新法的学习和研究。第二检察部主任杨威表示：“今后检察机关不但要针对侵犯公民个人信息犯罪行为依法履行公诉职责，也要通过办理行政公益诉讼案件督促协同相关行政机关依法履职，通过办理民事公益诉讼包括刑事附带民事公益诉讼案件，增加侵权责任主体的违法成本，修复受损公益。”

　　法律界声音

　　省律师协会副会长、辽宁安行律师事务所创始合伙人李宗胜：《个人信息保护法》对于个人信息处理秉持着“严格尊重个人意愿”的核心原则，在发展和安全两大主题前提下，使个人信息持续得到有效利用。

　　辽宁社会科学院法学研究所所长陈爽：赋予大型互联网平台特别义务，将约束甚至改变平台在为商品和服务的交易提供各种支撑服务时，利用大数据分析评估消费者的个人特征，用于商业营销甚至违法使用个人信息的行为，这对规范互联网平台有序发展，建立公平、合理、透明的竞争环境，促进数字经济健康发展意义重大。

　　沈阳市和平区人民法院民事审判第二庭综合团队负责人王金利：新法引入了多元化个人信息处理事由、个人同意撤回权利等多种新机制，在个人信息保护方面起到了“事前谨慎预防+事后有效救济”的积极作用。对所涉民事案件的审理提供了更为充分的法律依据，使法律适用更具有可操作性，也必将使当事人的合法权益得到最大程度的保护。

　　沈阳市大东区人民检察院第二检察部主任杨威：新法第七十条规定，个人信息处理者违反本法规定处理个人信息、侵害众多个人权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。这进一步为该领域检察公益诉讼监督进行了立法赋权。