表决通过了个人信息保护法，11月1日起施行

十三届全国人大常委会第三十次会议20日表决通过《中华人民共和国个人信息保护法》。个人信息保护法自2021年11月1日起施行。

其中明确：

1、明确个人信息的概念和处理规则

2、禁止商家通过自动化决策“大数据杀熟”；通过自动化决策方式向个人进行信息推送、商业营销，应提供不针对其个人特征的选项或提供便捷的拒绝方式

3、处理生物识别、医疗健康、金融账户、行踪轨迹等敏感个人信息，应取得个人的单独同意

4、对违法处理个人信息的应用程序，责令暂停或者终止提供服务

5、对处理人脸信息等敏感个人信息进行规制

6、强调不得过度收集个人信息

7、对公共场所安装图像采集、个人身份识别设备作出规范

8、大型互联网平台应建立健全个人信息保护合规制度体系

立法进程

本文参考：大成数据保护团队

个人信息保护法草案（三次审议稿）回顾

8月13日上午，全国人大常委会法制工作委员会举行记者会。发言人臧铁伟介绍了立法工作有关情况并回答记者提问。

据悉，8月17日至20日，十三届全国人大常委会第三十次会议将于北京举行，并且审议个人信息保护法草案在内的多个草案。

今年4月，常委会第二十八次会议对个人信息保护法草案进行了二次审议。根据各方面意见，提请本次常委会会议审议的草案三次审议稿拟作如下主要修改：

一是，我国宪法规定，国家尊重和保障人权，公民的人格尊严不受侵犯，公民的通信自由和通信秘密受法律保护。制定实施本法对于保障公民的人格尊严和其他权益具有重要意义。据此，拟在草案第一条中增加规定“根据宪法”制定本法。

二是，进一步完善个人信息处理规则，特别是对应用程序（APP）过度收集个人信息、“大数据杀熟”等作出有针对性规范。

三是，将不满十四周岁未成年人的个人信息作为敏感个人信息，并要求个人信息处理者对此制定专门的个人信息处理规则。

四是，完善个人信息跨境提供的规则，对按照我国缔结或者参加的国际条约、协定向境外提供个人信息、对转移到境外的个人信息的保护不应低于我国的保护标准等作出规定。

五是，增加个人信息可携带权的规定，完善死者个人信息保护的规定。

六是，对完善个人信息保护投诉、举报工作机制及违法处理个人信息涉嫌犯罪案件的移送提出明确要求。

利用个人信息进行自动化决策的针对性规范

在回答记者提问中，臧铁伟指出：

当前，社会各方面对于用户画像、算法推荐等新技术新应用高度关注，对相关产品和服务中存在的信息骚扰、“大数据杀熟”等问题反映强烈。

因此，个人信息保护法草案立足于维护广大人民群众的网络空间合法权益，对利用个人信息进行自动化决策作了有针对性规范：

一是，对自动化决策的概念作出界定，是指通过程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。

二是，自动化决策应当遵守个人信息处理的一般规则，包括应遵循合法、正当、必要和诚信原则，目的明确和最小化处理原则，公开透明原则，信息质量原则，责任原则等，自动化决策，包括用户画像、算法推荐等，应当在充分告知个人信息处理相关事项的前提下取得个人同意，不得以个人不同意为由拒绝提供产品或者服务。

三是，在上述规则下，草案对自动化决策作出专门规范，要求个人信息处理者保证自动化决策的透明度和结果的公平、公正，不得通过自动化决策对个人在交易价格等交易条件上实行不合理的差别待遇，并在事前进行个人信息保护影响评估。

四是，赋予个人充分的权利，要求个人信息处理者通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供拒绝的方式；作出对个人权益有重大影响的决定，个人有权要求予以说明，并有权拒绝仅通过自动化决策的方式作出决定。