来源：中国经营报

本报记者 曲忠芳 李正豪 北京报道

十三届全国人大常委会第三十次会议8月20日表决通过的《中华人民共和国个人信息保护法》（以下简称“《个人信息保护法》”）将于今年11月1日起施行。这意味着作为个人信息保护领域的“基本法”——《个人信息保护法》，自2018年11月起加入立法规划、于去年10月首次公开草案征求社会意见，历经三次审议后，终于落地。

《个人信息保护法》全文共八章七十四条，全面系统地对个人信息的定义与权利、处理原则、个人信息处理者的义务和法律责任进行立法。尤其是对近年来社会大众高度关注的热点问题及争议，如“大数据杀熟”“人脸识别滥用”“算法推送”“个人信息跨境”“未成年人信息”等，都做了明确的界定和要求。

自《个人信息法》颁布数日以来，《中国经营报》记者从包括外资品牌在内的多家企业处了解到，绝大多数企业内部尤其是法律部门或团队都已经开始研究学习《个人信息保护法》，并对条文做一一拆解对照，再加上6月颁布、将于9月1日起施行的《数据安全法》，企业在个人信息保护、数据安全等方面合规性的自查和调整，或将在未来几个月里逐步体现在自身的产品业务运营过程中。业界普遍认为，《个人信息保护法》给个人信息保护上了法律“安全锁”的同时，也大幅提升了企业处理个人信息安全合规的“门槛”，无疑将给处理个人信息的企业等市场参与者戴上最严“紧箍”。

基本法落地，告别“野蛮”时代

北京云嘉律师事务所律师、中国政法大学知识产权研究中心特约研究员赵占领指出，事实上，个人信息保护领域已有很多法律法规，比如《刑法》规定了“侵犯公民个人信息罪”，还有相关的司法解释；针对网络个人信息保护有《网络安全法》，还有工信部、网信办等制定的一系列部门规章；在消费者权益保护方面，新版《消费者权益保护法》规定了消费者对于个人信息拥有相关的权利，今年1月1日起施行的《民法典》专门将个人信息作为公民的一项基本权利。除了互联网领域之外，其他行业也有一些主管部门制订的规章或规范性文件中有相关规定。但是，在《个人信息保护法》出台之前，还缺少一部适用于各领域的个人信息收集处理规则的相关规定。从这一角度来看，《个人信息保护法》是个人信息保护的“基本法”，使用范围广泛，不限于互联网领域，各行业领域涉及个人信息处理都必须遵守。

中关村大数据产业联盟副秘书长颜阳指出，《个人信息保护法》的颁布可以说是“及时雨”。尽管我国已有《网络安全法》，但网络安全属于地域管辖，个人信息和数据拥有流动特性，则需要监管部门进行长臂管辖，因此有必要单独立法，以适应这一特殊性。

“以互联网企业为例，以前往往是由平台方提供免费形式的APP，让用户几乎无条件交换自己的个人信息，双方的权益是不对等的。《个人信息保护法》落地后，这个时代已经过去了。”颜阳如是说道。

另一位从事网络安全业务多年的人士告诉记者：“APP服务运营企业常常通过各种手段‘恨不得’要到用户越多的个人信息许可授权越好，但《个人信息保护法》出台后，掌握的数据量多意味着更多的安全保护义务和责任，如果你本身没有保护能力，就要遵循最小范围、必要的原则。”

记者注意到，《个人信息保护法》第二章明确规定了“个人信息处理规则”。在“一般规定”中明确指出，“通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式”；“在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识，所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的。”

除了“一般规定”，《个人信息保护法》中还专门规定了“敏感个人信息的处理规则”。根据定义，“敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。”“处理敏感个人信息应当取得个人的单独同意。”

太琨律创始合伙人、太琨律（成都）四川琨爵律师事务所主任朱界平指出，《个人信息保护法》明确了处理个人信息的核心原则“告知-同意”，信息处理者应当提供便捷的撤回同意的方式；强调不得过度收集个人信息；禁止商家通过自动化决策“大数据杀熟”，更严格限制处理敏感个人信息，加大了对侵犯个人信息行为的惩处力度等。其明确了市场运营主体的责任及加大了惩处力度，市场运营主体需要根据这些具体要求来规范对用户个人信息的收集和利用等。