要点速览！个人信息保护法11月1日起施行：新增个人信息可携带权，亮剑“数据垄断”

资讯零壹财经 · 新华社,人民法院报,中国青年报等 2021-08-20 阅读：5072

关键词：个人信息保护法 数据孤岛 数据垄断 数据可携带权 大数据杀熟

我国首部个人信息保护法来了。

亮点速览：

1、禁止商家通过自动化决策“大数据杀熟”；
2、不得向用户强制推送个性化广告；
3、处理生物识别、医疗健康、金融账户等敏感个人信息，应取得个人的单独同意；
4、对公共场所安装图像采集、个人身份识别设备作出规范；
5、对违法处理个人信息的应用程序，责令暂停或者终止提供服务；
6、大型互联网平台应建立健全个人信息保护合规制度体系；
7、新增个人信息可携带权，打破数据垄断及数据孤岛局面；
8、个人信息处理者应当提供个人信息转移的途径；
9、为不满十四周岁未成年人制定专门处理规则；
10、明确逝者个人信息保护规则。

个人信息保护有了法律“安全锁”。

8月20日，我国首部个人信息保护法出炉。十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》，自2021年11月1日起施行。

据人民法院报梳理，与今年4月提交审议的二次审议稿相比，8月17日第三次提交的草案（草案三审稿）作出六处主要修改，涉及个人信息处理规则、未成年人信息保护、个人信息跨境提供规则和个人信息可携带权等内容，对APP过度收集个人信息、“大数据杀熟”、算法自动推送、数据信息归属等公众关注点作出积极回应，数据主体对个人信息处理的自主权得到进一步凸显。

具体来看：

1、强调不得过度收集个人信息

据中国互联网络信息中心统计数据显示，截至 2020 年底，国内市场App数量高达345万款。其中部分 App 违规收集个人信息、过度索权、侵害用户权益等问题早已成为了互联网行业的顽疾。

草案三审稿规定，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围。

针对个人信息泄露的隐患，草案三审稿增加规定，任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

针对各类主流 App 背后的运营企业，草案也明确规定称，大型互联网平台应建立健全个人信息保护合规制度体系。

中国电子技术标准化研究院网安中心测评实验室副主任何延哲表示，从技术角度看，非法收集个人信息容易被识别，非法使用个人信息可能更难被察觉。

“百姓日常生活与网络平台紧密相连，向平台提供个人信息的情况日益普遍。这些个人信息如果被过度收集，或者存储、使用不善，将会侵害用户权益。因此，下一步的立法重点应围绕加强对个人信息使用的监管作出完善。”何延哲说。

2、不得通过自动化决策实行差别对待

草案三审稿首先明晰了自动化决策的概念：通过程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。同时规定，自动化决策应当遵守个人信息处理的一般规则，在充分告知个人信息处理相关事项的前提下取得个人同意，不得以个人不同意为由拒绝提供产品或者服务；利用个人信息进行自动化决策时，不得对个人在交易价格等交易条件上实行不合理的差别待遇，并在事前进行个人信息保护影响评估。

草案三审稿明确，个人信息处理者通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供拒绝的方式。通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求予以说明，并有权拒绝仅通过自动化决策的方式作出决定。

“自动化决策应当遵守个人信息处理的一般规则，包括应遵循合法、正当、必要、诚信原则，目的明确和最小化处理原则以及公开透明原则等。”全国人大常委会法工委发言人臧铁伟表示，用户画像、算法推荐等自动化决策，应当在充分告知个人信息处理相关事项的前提下取得个人同意，不得以个人不同意为由拒绝提供产品或者服务。

草案三审稿还规定，履行个人信息保护职责的部门应当组织对应用程序等个人信息保护情况进行测评、公布测评结果，对违法处理个人信息的应用程序，责令暂停或者终止提供服务。

3、新增个人信息可携带权

何谓数据可携带权？

数据可携带权是指数据主体有权获得其已向数据控制者提供的个人数据，并有权不受限制的将这些数据转移给其他数据控制者。也就是说，用户把自己的所有个人数据从一个平台转移到另一个平台，通过“一键转移”即能实现，极大方便个人获取、转移其个人信息。

借鉴域外立法有益经验，增加个人信息可携带权的规定，是个人信息法草案三次审议稿的一大亮点。

草案规定，个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。

有专家认为，个人信息可携带权的规定可能给整个互联网行业带来巨大变化，有利于打破数据领域的垄断以及数据孤岛局面，也对互联网公司的技术能力提出了很高要求。

4、健全投诉举报机制

当前，个人信息保护面临维权渠道窄、成本高、处罚侵权力度不够等问题，制约着用户的维权意愿。草案三审稿进一步压实各方责任，加强有关部门查处案件的协调配合。

草案三审稿明确，国家网信部门统筹协调有关部门完善个人信息保护投诉、举报工作机制；履行个人信息保护职责的部门发现违法处理个人信息涉嫌犯罪的，应当及时移送公安机关依法处理；对有关责任人员可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人等职务。

清华大学法学院教授劳东燕认为，草案三审稿要求收到投诉、举报的部门及时将处理结果告知投诉、举报人，这将让相关机制能够良性运转；同时，明确在涉个人信息的违法行为中追究有关责任人员的法律责任，将相关人员的职业生涯与个人信息保护工作“绑定”，这将让相关人员在处理个人信息时更加谨慎。

5、为不满十四周岁未成年人制定专门处理规则

我国已于今年6月1日实施的未成年人保护法设立了网络保护专章，规定信息处理者处理不满十四周岁未成年人个人信息的，应当征得未成年人的父母或者其他监护人同意。

此次个人信息保护法三次审议稿延续了上述规定，进一步明确，不满十四周岁未成年人的个人信息为敏感个人信息，个人信息处理者处理不满十四周岁未成年人的个人信息的，应制定专门的个人信息处理规则。毫无疑问，这一规定既回应了公众的迫切需求，也强化了对特定弱势群体的保护，有助于解决监管领域中的现实难题。

6、明确逝者个人信息保护规则

草案三审稿明确，自然人死亡的，其近亲属为了自身的合法、正当利益，可以对死者的个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。

世辉律师事务所合伙人王新锐认为，该条款首先意味着近亲属行使死者个人信息的权利不是随意的，同样要遵守合法、正当的原则；其次，条款体现了对死者生前意愿的尊重，鼓励自然人生前认真安排自己的个人信息。

“修改后的条款一方面支持近亲属维权，另一方面也防止该权利被滥用，尤其是因家庭内部出现矛盾而导致违背死者生前意愿的情况发生。”王新锐说。

（来源：新华社、人民法院报、中国青年报、内蒙古晨报等）

专题推荐：金融毛细血管

零壹智库推出“金融毛细血管系列策划”，通过系列文章、系列视频、系列报告、系列研讨会和专著，系统呈现“金融毛细血管”的新状态、新功能、新价值、新定位。