中国发布｜保护个人信息动真格 涉大数据杀熟等违法行为APP或被终止服务

中国网8月21日讯（记者 董小迪）截至去年年底，我国互联网用户已达9.89亿，互联网网站和应用程序数量分别超过440万个和340万个。随着信息化与经济社会的持续深度融合，APP过度收集用户信息、“大数据杀熟”、个人信息跨境流动等问题凸显。

8月20日，《中华人民共和国个人信息保护法》获表决通过，将于11月1日起施行。该法为违规收集、使用个人信息等行为上了“紧箍咒”。

个人信息保护法明令禁止“大数据杀熟”行为。图片来源：视觉中国

企业向他人提供个人信息 个人需单独同意且可撤回同意

现实生活中，一些企业、机构甚至个人存在随意收集、违法获取、过度使用、非法买卖个人信息行为。个人信息保护法强调，处理个人信息应当在事先充分告知的前提下，取得个人同意，个人信息处理的重要事项发生变更的应当重新向个人告知并取得同意。

针对社会反映强烈的授权、强制同意等问题，个人信息保护法要求个人信息处理者在处理敏感个人信息、向他人提供或公开个人信息、跨境转移个人信息等环节应取得个人的单独同意。个人信息处理者不得过度收集个人信息，不得以个人不同意为由拒绝提供产品或者服务。

该法还赋予个人撤回同意的权利，在个人撤回同意后，个人信息处理者应当停止处理或及时删除其个人信息。

“大数据杀熟”被明令禁止 推送信息时应提供拒绝方式

当前，不少企业在商业营销中利用大数据分析、评估消费者的个人特征，提升消费者的消费体验。但也不乏一些企业通过掌握消费者的经济状况、消费习惯、对价格的敏感程度等信息，对消费者在交易价格等方面实行差别待遇，误导、欺诈消费者。

针对部分企业存在的“大数据杀熟”等行为，该法明确规定，个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

经营者应当按照法律规定，遵循公开、公平、公正的原则设定算法模型、制定自动化决策的规则，不得对消费者实行歧视性的不公平的差别待遇。

个人信息处理者应当保障消费者的知情权和选择权，向个人进行信息推送、商业营销时，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。

个人信息处理者是个人信息保护的第一责任人，其应采取必要措施保障所处理的个人信息的安全。图片来源：视觉中国

这些信息为敏感个人信息 处理时有更严格限制

个人信息保护法将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息列为敏感个人信息。

该法明确，只有在具有特定目的和充分必要性，并采取严格保护措施的情形下，方可对其进行处理，同时应当事前进行影响评估，并向个人告知处理的必要性以及对个人权益的影响。

“敏感个人信息一旦泄露或被非法使用，极易导致自然人的人格尊严受到侵害或人身、财产安全受到危害，因此，对处理敏感个人信息的活动应当作出更加严格的限制。”全国人大常委会法工委经济法室副主任杨合庆说。

此外，考虑到少年儿童生理和心理尚不成熟，容易受到信息推送和商业营销的诱导，在面对违法处理行为侵害其合法权益时缺乏必要的分辨能力和充分的自我保护能力。该法还规定，处理不满十四周岁未成年人个人信息，应当取得未成年人的父母或者其他监护人的同意，并应当对此制定专门的个人信息处理规则。

个人信息处理者和平台是个人信息保护关键环节

该法还强调，个人信息处理者是个人信息保护的第一责任人，其应采取必要措施保障所处理的个人信息的安全。

该法以专章明确了个人信息处理者的义务，要求其按照规定制定内部管理制度和操作规程，采取相应安全技术措施，指定负责人对其个人信息处理活动进行监督、审计，对处理敏感个人信息、利用个人进行自动化决策、对外提供或公开个人信息等高风险处理活动进行事前影响评估，履行个人信息泄露通知和补救义务等。

大型互联网平台要建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；遵循公开、公平、公正的原则，制定平台规则；对严重违法处理个人信息的平台内产品或者服务提供者，停止提供服务。

“互联网平台为平台内经营者处理个人信息提供基础技术服务、设定基本处理规则，是个人信息保护的关键环节。上述规定是为了提高大型互联网平台经营业务的透明度，完善平台治理，强化外部监督，形成全社会共同参与的个人信息保护机制。”杨合庆说。

对违法处理个人信息的应用程序，可以责令暂停或终止提供服务。图片来源：视觉中国

规范个人信息跨境流动 明确向境外提供个人信息的途径

杨合庆告诉记者，当前，个人信息的跨境流动日益频繁，但由于地理距离遥远以及不同国家法律制度、保护水平之间的差异，个人信息跨境流动风险更加难以控制。因此，个人信息保护法构建了一套个人信息跨境流动规则。

该法规定，境外个人信息处理者要在我国境内设立专门机构或者指定代表，负责个人信息保护相关事务。个人信息处理者采取必要措施保障境外接收方的处理活动达到本法规定的保护标准；对跨境提供个人信息的“告知-同意”作出更严格的要求。

根据该法，向境外提供个人信息的途径包括通过国家网信部门组织的安全评估、经专业机构认证、订立标准合同、按照我国缔结或参加的国际条约和协定等。

违法处理个人信息最高罚五千万元 应用程序违法将被终止服务

个人信息保护法对违法处理个人信息行为明确了不同梯次的行政处罚。未造成严重后果的轻微或一般违法行为，可由执法部门责令改正、给予警告、没收违法所得，拒不改正的，最高可处一百万元罚款；情节严重的违法行为，最高可处五千万元或上一年度营业额百分之五的罚款，并可以对相关责任人员作出相关从业禁止的处罚。

对违法处理个人信息的应用程序，可以责令暂停或终止提供服务。

在民事责任方面，个人信息保护法明确，处理个人信息侵害个人信息权益造成损害的，个人信息处理者如不能证明自己没有过错的，应当承担损害赔偿等侵权责任。

“个人信息保护法聚焦个人信息保护领域的突出问题和人民群众的重大关切，构建了权责明确、保护有效、利用规范的个人信息处理和保护制度规则。”杨合庆呼吁，社会各方面应当加强个人信息保护宣传教育，提升个人信息保护法治意识，推动个人信息保护法落地实施，助力网络强国、数字中国、智慧社会建设。