核心提示

为保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用，近日，第十三届全国人民代表大会常务委员会第三十次会议通过了《中华人民共和国个人信息保护法》（以下简称《保护法》），该法律明确不得过度收集个人信息、大数据杀熟，对人脸信息等敏感个人信息的处理作出规制，完善个人信息保护投诉、举报工作机制……我们来看看《保护法》有哪些重要内容。

何谓个人信息？

在信息化时代，个人信息保护已成为人们最关切的利益问题之一。《保护法》明确，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

《保护法》强调，任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动。

个人信息处理须遵守的规则

《保护法》明确个人信息处理活动中的权利义务边界，构建了以“告知-同意”为核心的个人信息处理规则。规定符合下列情形之一的，个人信息处理者方可处理个人信息：

（一）取得个人的同意；

（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；

（三）为履行法定职责或者法定义务所必需；

（四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；

（五）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；

（六）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；

（七）法律、行政法规规定的其他情形。

个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的，应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。

在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的；取得个人单独同意的除外。

敏感个人信息的处理有何规则要求

《保护法》指出，敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

《保护法》要求，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。同时应当事前进行影响评估，并向个人告知处理的必要性以及对个人权益的影响。

值得关注的是，为保护未成年人的个人信息权益和身心健康，《保护法》特别将不满十四周岁未成年人的个人信息确定为敏感个人信息予以严格保护。要求个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意，并制定专门的个人信息处理规则。

国家机关处理个人信息的特别规定

保护个人信息权益、保障个人信息安全是国家机关应尽的义务和责任。《保护法》要求，国家机关为履行法定职责处理个人信息，应当依照法律、行政法规规定的权限、程序进行，不得超出履行法定职责所必需的范围和限度。

国家机关处理的个人信息应当在中华人民共和国境内存储；确需向境外提供的，应当进行安全评估。

个人在个人信息处理活动中有哪些权利

《保护法》将个人在个人信息处理活动中的各项权利，包括知悉个人信息处理规则和处理事项、同意和撤回同意，以及个人信息的查询、复制、更正、删除等总结提升为知情权、决定权，明确个人有权限制或者拒绝他人对其个人信息进行处理。

同时，为了适应互联网应用和服务多样化的实际，满足日益增长的跨平台转移个人信息的需求，《保护法》对个人信息可携带权作了原则规定，要求在符合国家网信部门规定条件的情形下，个人信息处理者应当为个人提供转移其个人信息的途径。

此外，《保护法》还对死者个人信息的保护作了专门规定，明确在尊重死者生前安排的前提下，其近亲属为自身合法、正当利益，可以对死者个人信息行使查阅、复制、更正、删除等权利。

强化个人信息处理者义务

个人信息处理者是个人信息保护的第一责任人。据此，《保护法》强调，个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。

《保护法》明确了个人信息处理者的合规管理和保障个人信息安全等义务，要求个人信息处理者按照规定制定内部管理制度和操作规程，采取相应的安全技术措施，指定负责人对其个人信息处理活动进行监督，定期对其个人信息活动进行合规审计，对处理敏感个人信息、利用个人进行自动化决策、对外提供或公开个人信息等高风险处理活动进行事前影响评估，履行个人信息泄露通知和补救义务等。

赋予大型网络平台特别义务

提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者对平台内的交易和个人信息处理活动具有强大的控制力和支配力，因此在个人信息保护方面应当承担更多的法律义务。

《保护法》对这些大型互联网平台设定了特别的个人信息保护义务，包括：按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；遵循公开、公平、公正的原则，制定平台规则；对严重违法处理个人信息的平台内产品或者服务提供者，停止提供服务；定期发布个人信息保护社会责任报告，接受社会监督。

《保护法》的上述规定是为了提高大型互联网平台经营业务的透明度，完善平台治理，强化外部监督，形成全社会共同参与的个人信息保护机制。

有关部门履行个人信息保护职责

《保护法》明确，国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照规定，在各自职责范围内负责个人信息保护和监督管理工作。

履行个人信息保护职责的部门履行下列五项职责：

一是开展个人信息保护宣传教育，指导、监督个人信息处理者开展个人信息保护工作；

二是接受、处理与个人信息保护有关的投诉、举报；

三是组织对应用程序等个人信息保护情况进行测评，并公布测评结果；

四是调查、处理违法个人信息处理活动；

五是法律、行政法规规定的其他职责。

国家网信部门统筹协调有关部门推进下列五项个人信息保护工作：

一是制定个人信息保护具体规则、标准；

二是针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用，制定专门的个人信息保护规则、标准；

三是支持研究开发和推广应用安全、方便的电子身份认证技术，推进网络身份认证公共服务建设；

四是推进个人信息保护社会化服务体系建设，支持有关机构开展个人信息保护评估、认证服务；

五是完善个人信息保护投诉、举报工作机制。

《保护法》规定，履行个人信息保护职责的部门履行个人信息保护职责，可以采取下列措施：询问有关当事人，调查与个人信息处理活动有关的情况；查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料；实施现场检查，对涉嫌违法的个人信息处理活动进行调查；检查与个人信息处理活动有关的设备、物品；对有证据证明是用于违法个人信息处理活动的设备、物品，向本部门主要负责人书面报告并经批准，可以查封或者扣押。

任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理，并将处理结果告知投诉、举报人。

从严惩治违法行为

《保护法》进一步强化了相关部门的监管职责，从严惩治违法行为。履行个人信息保护职责的部门发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈，或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。构成犯罪的，依法追究刑事责任。

记者 曾志明 罗玉文 整理

漫画由记者 王耀辉 创作