個人信息保護法11月1日起開始實施

個人信息保護法11月1日起開始實施， 通過自動化決策方式向個人進行信息推送、商業營銷，應提供不針對其個人特徵的選項或提供便捷的拒絕方式；個人信息保護法11月1日起開始實施。

個人信息保護法11月1日起開始實施1

《中華人民共和國個人信息保護法》11月1日起施行，這是一部全面規範個人信息保護、充分迴應社會關切的法律。

據《中國互聯網絡發展狀況統計報告》的數據顯示，截至今年6月，我國互聯網用戶已達10.11億，互聯網網站422萬個，應用程序數量302萬款，個人信息的收集、使用日趨廣泛，個人信息保護問題成爲社會最爲關注的利益問題之一。

個人信息保護法的實施，對網絡生活有怎樣的影響？對個人信息保護有哪些支持保障？廣東人“明仔”現身說法，結合他的經歷和境遇，對照相關法條內容，分享了幾個重點案例。

任何人不得非法收集使用他人個人信息

今年4月21日，明仔在《羊城晚報》上看到一則報道：從2020年6月起，蔣某、巫某、彭某、王某、劉某在廣州市尖彭路某公寓A1115房，由蔣某擔任老闆，向他人購買58同城網站的賬號，由劉某、王某使用上述賬號在58同城網站上發佈大量虛假招聘信息收集應聘者的公民個人信息，再由蔣某、巫某、彭某將劉某、王某二人所收集的公民個人信息販賣給他人牟利。經審計，蔣某等人非法獲取、銷售的公民個人信息（含姓名和電話號碼）數量合計42790條。

他發現，廣州市白雲區人民法院是這樣判的：法院認爲，被告人蔣某等五人違反國家法律規定，結夥非法獲取、出售公民個人信息，情節嚴重，已構成侵犯公民個人信息罪，其中蔣某是主犯，其餘四人系從犯。法院依法判處蔣某有期徒刑二年，並處罰金三萬元；其餘被告人有期徒刑一年二個月至十個月不等，並處罰金。

■法律規定 個人信息保護法第10條規定：任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息；不得從事危害國家安全、公共利益的個人信息處理活動。

六種情形處理個人信息不需取得個人同意

明仔的朋友開了一家企業，偷偷摸摸進行違法經營。後來，一家媒體曝光該企業的違法行爲，在報道中公開了企業名稱以及法定代表人（即明仔的朋友）姓名、性別、名下開辦企業情況。明仔的朋友認爲，媒體的報道侵犯了其個人信息合法權利。那麼，依據個人信息保護法，媒體的行爲是否違規？

■法律規定 個人信息保護法第13條規定：符合下列情形之一的，個人信息處理者方可處理個人信息——（一）取得個人的同意；（二）爲訂立、履行個人作爲一方當事人的合同所必需，或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需；（三）爲履行法定職責或者法定義務所必需；（四）爲應對突發公共衛生事件，或者緊急情況下爲保護自然人的生命健康和財產安全所必需；（五）爲公共利益實施新聞報道、輿論監督等行爲，在合理的範圍內處理個人信息；（六）依照本法規定在合理的範圍內處理個人自行公開或者其他已經合法公開的個人信息；（七）法律、行政法規規定的其他情形。依照本法其他有關規定，處理個人信息應當取得個人同意，但是有前款第二項至第七項規定情形的，不需取得個人同意。

個人信息收集者不得過度收集個人信息

生活中，明仔下載了很多不同類型的APP。但他發現，有的APP在註冊頁面設置成“不同意其格式條款”就無法進入“下一步”。明仔表示，這些格式條款中有些規定很過分，且與其使用APP的目的無關，比如要求用戶授權查看通訊錄等，實在不想“同意”。

■法律規定 個人信息保護法第6條規定：處理個人信息應當具有明確、合理的目的，並應當與處理目的直接相關，採取對個人權益影響最小的方式。收集個人信息，應當限於實現處理目的的最小範圍，不得過度收集個人信息。

第16條規定：個人信息處理者不得以個人不同意處理其個人信息或者撤回同意爲由，拒絕提供產品或者服務；處理個人信息屬於提供產品或者服務所必需的除外。

不得在交易價格等方面實行不合理的差別待遇

近年來，明仔頻頻看到“大數據殺熟”的相關新聞。明仔舉例說，此前，家住北京的周女士暑假準備帶家人到海南旅行。爲節省開支，周女士提前一個月開始通過某在線旅遊平臺關注航班動態和價格信息。令她沒想到的是，自己的精心策劃竟然被平臺大數據“盯”上了。

“機票第一次搜是一個價格，過一段時間再搜價格就漲了。”周女士表示，最後訂單票價比初次搜索票價高了近1000元，但朋友在同一天訂到的同航班價格卻比自己低幾百元。即使考慮機票餘量導致價格變動等因素，自己“顯然也是被大數據狠狠‘宰’了一刀”。

■法律規定 個人信息保護法第24條規定：個人信息處理者利用個人信息進行自動化決策，應當保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。通過自動化決策方式向個人進行信息推送、商業營銷，應當同時提供不針對其個人特徵的選項，或者向個人提供便捷的拒絕方式。通過自動化決策方式作出對個人權益有重大影響的決定，個人有權要求個人信息處理者予以說明，並有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。

公共場所“刷臉”收集的個人信息不得另作他用

明仔上班時，需要“刷臉”才能通過公司所在大廈的閘門。平時遊覽一些景點時，他也被要求“刷臉”識別。他很奇怪：個人信息保護法對這些公共場所個人“人臉”信息的處理有沒有規定？

■法律規定 個人信息保護法第26條規定：在公共場所安裝圖像採集、個人身份識別設備，應當爲維護公共安全所必需，遵守國家有關規定，並設置顯著的提示標識。所收集的個人圖像、身份識別信息只能用於維護公共安全的目的，不得用於其他目的；取得個人單獨同意的除外。

處理敏感個人信息應取得個人單獨同意

明仔的孩子在上幼兒園，他經常在幼兒園附近看到一些興趣培訓機構招攬顧客，有的興趣培訓機構讓父母登記個人信息以及小孩的身份信息等，只要登記就送禮品。明仔認爲，登記小孩信息過於詳細，不妥。

■法律規定 個人信息保護法第28條規定：敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。只有在具有特定的目的和充分的必要性，並採取嚴格保護措施的情形下，個人信息處理者方可處理敏感個人信息。

該法還規定：處理敏感個人信息應當取得個人的單獨同意，法律、行政法規規定處理敏感個人信息應當取得書面同意的，從其規定。

第31條規定：個人信息處理者處理不滿十四周歲未成年人個人信息的，應當取得未成年人的父母或者其他監護人的同意；處理不滿十四周歲未成年人個人信息的，應當制定專門的.個人信息處理規則。

違反個人信息保護法或被罰一百萬元

如果處罰無力度，規定也會“軟綿綿”。有關組織和個人如果違反個人信息保護法，將承擔哪些責任？明仔對此提出了疑問。

根據個人信息保護法的相關規定，履行個人信息保護職責的部門發現個人信息處理活動存在較大風險或者發生個人信息安全事件的，可以按照規定的權限和程序對該個人信息處理者的法定代表人或主要負責人進行約談，或要求個人信息處理者委託專業機構對其個人信息處理活動進行合規審計。對違法處理個人信息的應用程序，責令暫停或者終止提供服務；拒不改正的，並處一百萬元以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。

該法還規定，處理個人信息侵害個人信息權益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償等侵權責任。有本法規定的違法行爲的，依照有關法律、行政法規的規定記入信用檔案，並予以公示；構成違反治安管理行爲的，依法給予治安管理處罰，構成犯罪的，依法追究刑事責任。

個人信息保護法11月1日起開始實施2

十三屆全國人大常委會第三十次會議 8 月 20 日表決通過了《中華人民共和國個人信息保護法》，自 2021 年 11 月 1 日起施行。

《中華人民共和國個人信息保護法》明確：

通過自動化決策方式向個人進行信息推送、商業營銷，應提供不針對其個人特徵的選項或提供便捷的拒絕方式；

處理生物識別、醫療健康、金融賬戶、行蹤軌跡等敏感個人信息，應取得個人的單獨同意；

對違法處理個人信息的應用程序，責令暫停或者終止提供服務。

IT之家瞭解到，個人信息保護法共 8 章 74 條，在有關法律的基礎上，進一步細化、完善個人信息保護應遵循的原則和個人信息處理規則。

十大亮點：

確立個人信息保護原則。這是收集、使用個人信息的基本遵循，是構建個人信息保護具體規則的制度基礎。《個人信息保護法》強調處理個人信息應遵循合法、正當、必要和誠信原則，具有明確、合理的目的並與處理目的直接相關，採取對個人權益影響最小的方式，限於實現處理目的的最小範圍，公開處理規則，保證信息質量，採取安全保護措施等。

規範處理活動保障權益。《個人信息保護法》緊緊圍繞規範個人信息處理活動、保障個人信息權益，構建以“告知-同意”爲核心的個人信息處理規則。例如，處理個人信息應當在事先充分告知的前提下取得個人同意，個人信息處理的重要事項發生變更的應當重新向個人告知並取得同意。

禁止“大數據殺熟”，規範自動化決策。當前，越來越多的企業用大數據分析和評估消費者的個人特徵用於商業營銷，最典型的就是社會反映突出的“大數據殺熟”。對此，《個人信息保護法》規定：個人信息處理者利用個人信息進行自動化決策，應當保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。

嚴格保護敏感個人信息。《個人信息保護法》規定，只有在具有特定的目的和充分的必要性，並採取嚴格保護措施的情形下，方可處理敏感個人信息，同時應當事前進行影響評估，並向個人告知處理的必要性以及對個人權益的影響。此外，《個人信息保護法》將不滿十四周歲未成年人的個人信息確定爲敏感個人信息予以嚴格保護。

規範國家機關處理活動。《個人信息保護法》對國家機關處理個人信息的活動作出規定，特別強調國家機關處理個人信息的活動適用本法，並且處理個人信息應當依照法律、行政法規規定的權限和程序進行，不得超出履行法定職責所必需的範圍和限度。

賦予個人充分權利。《個人信息保護法》將個人在個人信息處理活動中的各項權利，總結提升爲知情權、決定權，明確個人有權限制個人信息處理；同時，要求在符合國家網信部門規定條件的情形下，個人信息處理者應當爲個人提供轉移其個人信息的途徑。此外，《個人信息保護法》還對死者個人信息的保護作了專門規定。

強化個人信息處理者義務。《個人信息保護法》明確了個人信息處理者的合規管理和保障個人信息安全等義務，要求個人信息處理者按照規定製定內部管理制度和操作規程，採取相應的安全技術措施，指定負責人對其個人信息處理活動進行監督，定期對其個人信息處理活動進行合規審計，對處理敏感個人信息、利用個人信息進行自動化決策、對外提供或公開個人信息等高風險處理活動進行事前影響評估，履行個人信息泄露通知和補救義務等。

賦予大型網絡平臺特別義務。《個人信息保護法》對大型互聯網平臺設定了特別的個人信息保護義務：按照國家規定建立健全個人信息保護合規制度體系，成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督；遵循公開、公平、公正原則，制定平臺規則；對嚴重違法處理個人信息的平臺內產品或者服務提供者，停止提供服務；定期發佈個人信息保護社會責任報告，接受社會監督。

規範個人信息跨境流動。當今個人信息的跨境流動日益頻繁，但由於遙遠的地理距離以及不同國家法律制度、保護水平之間的差異，個人信息跨境流動風險越來越難以控制。《個人信息保護法》構建了一套清晰、系統的個人信息跨境流動規則，以滿足保障個人信息權益和安全的客觀要求，適應國際經貿往來的現實需要。

健全個人信息保護工作機制。該法明確國家網信部門和國務院有關部門在各自職責範圍內負責個人信息保護和監督管理工作，同時對個人信息保護和監管職責作出規定，包括開展個人信息保護宣傳教育、指導監督個人信息保護工作、接受處理相關投訴舉報、組織對應用程序等進行測評、調查處理違法個人信息處理活動等。