个人信息保护法来了：大数据“杀熟”有了针对性规范

　　在信息数据使用手段日益多样化的今天，个人信息保护的重要性受到越来越多的重视。今后，个人信息安全将有专门的法律保护。今天，十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》，自今年11月1日起施行。身处大数据时代，面对无处不在的海量信息，如何在法律框架下确保个人信息合理规范使用？如何为信息上一把法律的“保护锁”？我们一起来关注。

　　个人信息保护法明确不得过度收集个人信息、大数据杀熟，对人脸信息等敏感个人信息的处理作出规制，完善个人信息保护投诉、举报工作机制……这部专门法律充分回应了社会关切，为破解个人信息保护中的热点难点问题提供了强有力的法律保障。

　　个人信息保护法明确了个人信息处理和跨境提供的规则、个人信息处理者的义务等内容。规定，任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

　　针对过度收集信息、大数据杀熟的问题，个人信息保护法明确，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式；个人信息处理者利用个人信息进行自动化决策，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

　　通过自动化决策方式向个人进行信息推送、商业营销，应提供不针对其个人特征的选项或提供便捷的拒绝方式。

　　针对滥用人脸识别技术问题，个人信息保护法要求，在公共场所安装图像采集、个人身份识别设备，应设置显著的提示标识；所收集的个人图像、身份识别信息只能用于维护公共安全的目的。

　　对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，个人信息保护法特别规定了其需要履行的义务，如建立健全个人信息保护合规制度体系，定期发布个人信息保护社会责任报告，接受社会监督等。

　　此外，个人信息保护法还进一步强化了相关部门的监管职责，从严惩治违法行为。履行个人信息保护职责的部门发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈，或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

　　【新闻观察：为个人信息安全安上法律之锁】

　　《个人信息保护法》获得表决通过，并将于11月1日实施，这是在个人信息保护方面最值得关注的事件，这个法律的实施，能不能改变个人信息裸奔的问题？能不能让公众在信息时代更有安全感？

　　互联网时代，个人信息保护的重要性毋庸讳言。关于个人信息保护的立法当然很重要，此前，在《民法典》《刑法》等综合性的法律中都有相关内容，但是专门立法，还是首次，从去年10月份《个人信息保护法》草案征求意见开始，就引起广泛的关注。这次审议，对草案中的一些条款进行了修订，总体上说，保护力度增加，比如关于14岁以下未成年人等。

　　作为一项专门的法律，在个人信息保护方面，是比较完备的。比如大数据杀熟，比如人脸识别。特别是一些细化的规定，比如 将“已识别”和“可识别”作为“个人信息”的判断标准，使得“个人信息”的界定更为科学，而将“匿名化处理的信息”排除在外。比如：处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的的最小范围,不得进行与处理目的无关的个人信息处理。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。个人信息处理者具有特定的目的和充分的必要性,方可处理敏感个人信息。敏感个人信息是一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。比如明确 “谁处理，谁负责”的原则，将责任落实到人。

　　在“告知和同意”原则之下，考虑公共利益问题，比如可处理个人信息，除了取得个人的同意之外，还有为履行法定职责或者法定义务所必需;为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息。

　　对于国家机关不履行个人信息保护义务的，不仅需要由上级主管部门责令其改正，还将处罚责任落实到人，促进其更好地履行自身监管职能的作用。另外还有集体诉讼机制。