《个人信息保护法》开始实施，与我们日常生活息息相关的有哪些点？

2021年8月20日经十三届全国人大常委会第三十次会议正式表决通过，将于2021年11月1日正式施行《个人信息保护法》。该法自2020年10月一审稿草案发布起，历经十个月的讨论、修改，引起了社会的广泛关注。《个人信息保护法》共计八章七十四条，与之前的《个人信息保护法（草案二次审议稿）》（以下简称《二审稿》）相比，《个人信息保护法》进一步完善个人信息处理规则，对应用程序（APP）过度收集个人信息、大数据杀熟及非法买卖、泄露个人信息等提出针对性要求。今天，小编就和大家聊一聊《个人信息保护法》的主要修改点以及由此引发的社会热点问题。

相比《二审稿》，《个人信息保护法》的主要修改重点有以下几点：

1.  规范APP运营中过度收集个人信息的行为：

2.  加强针对不满十四周岁未成年人的信息保护，明确未成年人个人信息的特别处理规则；

3.  完善跨境提供个人信息的规则，确保接收方为不低于中国的保护水平；

4.  补充个人信息主体权利及行使，如新增个人信息可携权规定，尊重死者个人信息权利行使意愿；

5.  促进个人信息侵权处理机制良性运转，健全个人信息投诉和举报机制。

以上这些“法言法语”是不是听起来很乏味？那么让我们“用人话”来具体解读一下，《个人信息保护法》的实施与我们日常生活息息相关的有哪些点呢？

问题一：遇到APP的大数据“杀熟”及强制推送广告该怎么办？

根据《个人信息保护法》第二十四条：“个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果的公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。

通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。”

根据该条，个保法对企业处理个人信息的“必要性”进行专门规制,要求处理个人信息应与处理目的直接相关，收集范围应限于实现处理目的的最小范围，并应采取对个人权益影响最小的方式。此次个保法对“自动化决策”作出专门限制, 旨在直接打击愈来愈“猖獗”的“大数据杀熟”行为。按照规定, 自动化决策应当事先进行个人信息保护影响评估；最关键的是, 企业不得通过自动化决策对个人在交易价格等交易条件上实行不合理的差别待遇。同时, 如利用自动化决策进行信息推送、商业营销, 个人有权拒绝企业仅通过自动化决策的方式作出决定。

问题二：个人后悔同意处理个人信息怎么办？

《个人信息保护法》第十五条规定：“基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。

个人撤回同意，不影响撤回前基于个人同意已进行的个人信息处理活动的效力。”

根据该条，个人后悔同意处理个人信息时有权撤回。

问题三：未成年人的个人信息保护如何升级？

《个人信息保护法》第三十一条：“个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。

个人信息处理者处理不满十四周岁未成年人个人信息的，应当制定专门的个人信息处理规则。”

这也是个保法为不满十四周岁的未成年人个人信息的保护专门制定的规则，也就是说处理不满十四周岁未成年人个人信息的，应该取得未成年人父母或者其他监护人的同意。

问题四：公共场所的人脸识别如何规范化？

根据个保法第二十六条：“在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的；取得个人单独同意的除外。”

第二十九条：“处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。”

此次个保法设专章对人格尊严、人身财产安全直接相关的敏感个人信息进行详细规定。从“人脸识别第一案”，到“大爷戴头盔前往售楼处看房”，到315晚会“人脸识别系统”被曝光,，作为敏感个人信息中社交属性最强、最容易采集的个人信息,人脸信息的收集利用备受争议。按照个保法第二十六条的要求, 如以维护公共安全以外的目的在公共场所设置图像采集、人脸识别装置, 应征得自然人(或者其监护人)的单独同意。个保法的这一规定与前段时间生效的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》的要求相一致, 且个保法限缩了使用目的。

企业确需出于其他目的收集处理人脸信息的, 除设置显著的提示标识外, 还应通过交互方式取得个人的明示同意, 不应仅在隐私政策中笼统表述而不作单独说明。

根据《信息安全技术个人信息告知同意指南(征求意见稿)》：

“单独同意”是指通过“增强式告知”或“即时提示”等方式, 单独向个人信息主体告知处理个人信息的目的、方式和范围、以及存储时间、安全措施等规则, 并由个人信息主体明示同意(主动作出肯定性动作)；

“增强式告知”, 指采用个人信息主体不可绕过的方式(如弹窗等)向个人信息主体展示相关信息, 以协助其作出是否授权同意的决定。

问题五：逝者的个人信息如何进行保护？

个保法第四十九条：“自然人死亡的，其近亲属为了自身的合法、正当利益，可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利；死者生前另有安排的除外。”

个保法第四章明确列举了个人在个人信息处理活动中的权利, 包括知情权、决定权、限制和拒绝权、查阅权、复制权、更正权、删除权、撤回同意的权利。当自然人死亡时，其个人信息首先可以按照其生前的安排进行处理；没有特殊安排的，其近亲属可基于自身的合法正当利益行使查阅、复制、更正、删除死者相关个人信息的权利。此外，个保法借鉴欧盟的立法经验，增加了个人信息可携带权的规定。

对该等个人信息权利的保护，旨在解决现实中日益增多的因自然人去世引发的个人信息纠纷。具体而言，当个人请求将其个人信息转移至其指定的个人信息处理者，只要符合国家网信部门规定的条件, 企业即应当提供转移的途径。换言之，未来或许用户通过“一键转移”即可实现个人信息从一个平台转移至另一个平台。上述个人信息权利的保障机制将对企业设计产品和业务流程产生直接影响，同时也对不同企业所掌握的个人信息的类型、格式和结构做出了更高的要求，只有当相关的标准为足够多的企业所采取时，可携权才能真正地得以实现。

问题五：遇到不同意提供个人信息就拒绝服务的情况该怎么办？

根据个保法第十六条：“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务；处理个人信息属于提供产品或者服务所必需的除外。”

个保法将因不提供个人信息就拒绝服务的行为列为明确禁止行为，此外个保法承继了严厉惩罚个人信息违法行为的国际通行做法，加重了对侵犯个人信息行为的惩处力度。首先, 与此前已采取的“通报批评→责令限期整改→下架处理”的APP整治手段保持一致, 针对目前常见的APP违法违规收集使用个人信息的现象，个保法专门设置了“责令暂停或终止提供服务”的处罚。

相较于《网络安全法》, 对于“情节严重”的行为, 违法企业可能被处以5000万元以下或者上一年度营业额5%以下罚款。而相关责任人员不仅可能受到高达百万的罚款, 还可能同时受到从业限制, 在一定期限内无法担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。如违法处理个人信息涉嫌犯罪, 监管部门将同时移送公安机关处理。

尽管个保法对何种违法行为将落入“情节严重”的范围未提出明确标准, 留待执法部门出台更细致的裁量规则。但整体而言, 个保法设置的处罚全面覆盖了常见的违法行为,精准打击各类违法主体, 增加的处罚种类和处罚力度都将大大增加企业的违法成本。

问题六：个人信息主体该如何维权？

在检察机关个人信息保护公益诉讼的实践基础上，个保法第七十条正式引入了个人信息保护公益诉讼制度：“个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。”

根据该项条款，可以预见在不久的未来，当企业侵害众多个人的权益时，受侵害个人因取证难、成本高等问题放弃维权的现象将大大减少，检察机关、消费者组织和国家网信部门确定的组织将运用公益诉讼保障个人信息权益。值得注意的是，监管部门的介入不仅能够向违法者主张公益损害赔偿，还可能进一步依法追究违法者的行政和刑事责任。

此外，考虑到民事诉讼中个人通常举证能力有限, 个保法第六十九条:“处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。

前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，根据实际情况确定赔偿数额。”

本条确立了侵害个人信息纠纷中的“过错推定责任”，当个人信息权益因个人信息处理活动受到侵害, 需由个人信息处理者证明其没有过错, 通过举证责任的转移实现对个人的倾向性保护。换言之, 企业应有效证明自己通过完善的安全措施尽到个人信息保护义务, 否则需承担损害赔偿责任。

不论是对于个人还是企业，个保法都影响深远，以往违法收集个人信息、滥用个人信息的违法成本极低的局面将得到改善，而由此带来的“流量变现”“海量用户画像”“精准营销(骚扰)”等业务却十分暴利。个保法的出台意味着这种局面将逐渐减少化并合规化。之后企业处理和保护个人信息的实践不仅面临监管部门的执法高压，还将受到广泛的社会监督, 个人信息合规势必成为企业合规建设的核心及要务。

企业是违反个保法的“主力军”和规制的主要对象，严格遵从《个人信息保护法》, 对个人信息保护制度和实践进行整改和完善，已成为企业经营的“当务之急”，更是企业发展的“长久之计”。本所提供针对企业的个人信息保护合规法律服务，如指定公司内控措施、针对公司服务提出合规要点、设计合规方案并提供讲解等服务，如有需要请私戳小编进行咨询。