日前,十三届全国人大常委会第三十次会议表决通过了个人信息保护法,自2021年11月1日起施行。这部法律将怎样保护你我的信息安全?全国人大常委会法工委经济法室副主任杨合庆进行了解读。

  热点一:处理个人信息应向个人充分告知并取得同意

  杨合庆介绍,个人信息保护法明确,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围。

  他表示,“告知——同意”是法律确立的个人信息保护核心规则。个人信息处理者在取得个人同意的情形下方可处理个人信息,个人信息处理的重要事项发生变更,应当重新向个人告知并取得同意。

  针对群众反映强烈的一揽子授权、强制同意等问题,杨合庆表示,个人信息处理者在处理敏感个人信息、向他人提供或公开个人信息、跨境转移个人信息等环节应取得个人的单独同意,明确个人信息处理者不得过度收集个人信息,不得以个人不同意为由拒绝提供产品或者服务,并赋予个人撤回同意的权利。

  热点二:防止“大数据杀熟”、敏感个人信息被滥用

  “当前,越来越多的企业利用大数据分析、评估消费者的个人特征用于商业营销,这有利于提高经济活动的效率,提升消费者的消费体验,但一些企业却利用个人信息进行‘大数据杀熟’,侵犯了消费者权益,应当在法律上予以禁止。”杨合庆说。

  根据个人信息保护法,个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。

  个人信息保护法将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息列为敏感个人信息。

  热点三:明确各方义务强化违法惩戒

  超大型互联网平台掌握了海量用户数据,一旦发生信息泄露或者滥用,可能导致极为严重的后果。个人信息保护法特别规定了这类平台需要履行的义务,包括按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构进行监督,遵循公开、公平、公正的原则制定平台规则,对严重违法处理个人信息的平台内产品或者服务提供者停止提供服务,定期发布个人信息保护社会责任报告接受社会监督等。

  “个人信息保护法以严密的制度、严格的标准、严厉的责任,构建了权责明确、保护有效、利用规范的个人信息处理和保护制度规则。社会各方面应当加强个人信息保护宣传教育,提升个人信息保护法治意识,推动个人信息保护法落地实施,助力网络强国、数字中国、智慧社会建设。”杨合庆说。