《個(gè)人信息保護(hù)法》的十大亮點(diǎn)ppt經(jīng)歷三次審議，廣受關(guān)注的《中華人民共和國個(gè)人信息保護(hù)法》（簡稱“《個(gè)人信息保護(hù)法》”）最終于2021年8月20日由第十三屆全國人大常務(wù)委員會(huì)第三十次會(huì)議審議通過，并將于2021年11月1日起施行。作為我國第一部有關(guān)個(gè)人信息保護(hù)的專門法律，同時(shí)也是我國信息安全領(lǐng)域的基礎(chǔ)性法律，《個(gè)人信息保護(hù)法》將與《網(wǎng)絡(luò)安全法》以及今年9月1日正式生效的《數(shù)據(jù)安全法》共同構(gòu)建我國信息和數(shù)據(jù)安全領(lǐng)域的基本框架。01進(jìn)一步擴(kuò)大了域外效力02限制過度收集用戶個(gè)人信息03以“告知—同意”為信息處理的核心原則04禁止強(qiáng)制利用個(gè)人信息進(jìn)行自動(dòng)化決策05濫用人臉識別技術(shù)的規(guī)則目錄1進(jìn)一步擴(kuò)大了域外效力進(jìn)一步擴(kuò)大了域外效力《個(gè)人信息保護(hù)法》借鑒歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）的做法，將“以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的”和“分析、評估境內(nèi)自然人的行為”情形下在境外開展的處理境內(nèi)自然人個(gè)人信息的活動(dòng)，納入本法的管轄范圍。對比之前出臺的《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》，個(gè)人信息保護(hù)法進(jìn)一步擴(kuò)大了域外效力的范圍，將關(guān)涉我國境內(nèi)自然人的個(gè)人信息處理行為都納入法律規(guī)制范圍，旨在更大程度和范圍內(nèi)保護(hù)境內(nèi)自然人的個(gè)人信息權(quán)益。02限制過度收集用戶個(gè)人信息限制過度收集用戶個(gè)人信息《個(gè)人信息保護(hù)法》進(jìn)一步完善個(gè)人信息處理規(guī)則，特別是對應(yīng)用程序（App）過度收集個(gè)人信息、“大數(shù)據(jù)殺熟”等作出有針對性規(guī)范。第一，處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對個(gè)人權(quán)益影響最小的方式。第二，收集信息的范圍應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍。第三，被收集信息的保存期限應(yīng)當(dāng)為實(shí)現(xiàn)處理目的所必要的最短時(shí)間。03以“告知—同意”為信息處理的核心原則以“告知—同意”為信息處理的核心原則其一，告知義務(wù)。個(gè)人信息處理者在處理個(gè)人信息前,應(yīng)當(dāng)以顯著方式、清晰易懂的語言向個(gè)人告知個(gè)人信息的處理目的、處理方式、信息種類和保存期限等必要告知事項(xiàng)。法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知的情形除外。緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全無法及時(shí)向個(gè)人告知的,個(gè)人信息處理者應(yīng)當(dāng)在緊急情況消除后及時(shí)告知。告知同意原則是指，處理個(gè)人信息，應(yīng)在由個(gè)人在充分知情的前提下，取得個(gè)人的同意?！秱€(gè)人信息保護(hù)法》中有關(guān)告知同意原則的規(guī)則如下：以“告知—同意”為信息處理的核心原則其二，無需征求個(gè)人同意的例外情形：1）為訂立、履行個(gè)人作為一方當(dāng)事人的合同所必需，或者按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需；2）為履行法定職責(zé)或者法定義務(wù)所必需；3）為應(yīng)對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需；4）為公共利益實(shí)施新聞報(bào)道、輿論監(jiān)督等行為，在合理的范圍內(nèi)處理個(gè)人信息；5）依照本法規(guī)定在合理的范圍內(nèi)處理個(gè)人自行公開或者其他已經(jīng)合法公開的個(gè)人信息等。以“告知—同意”為信息處理的核心原則其三，個(gè)人具有撤回同意權(quán)?；趥€(gè)人同意而進(jìn)行的個(gè)人信息處理活動(dòng),個(gè)人有權(quán)撤回其同意。并且信息處理者應(yīng)當(dāng)提供便捷的撤回同意的方式。但是，個(gè)人撤回同意，不影響撤回同意前已進(jìn)行的個(gè)人信息處理活動(dòng)的效力。以“告知—同意”為信息處理的核心原則其四，個(gè)人具有不被拒絕服務(wù)權(quán)。個(gè)人信息處理者不得以個(gè)人不同意為由,拒絕提供產(chǎn)品或者服務(wù)。處理個(gè)人信息屬于提供產(chǎn)品或者服務(wù)所必需的除外。其五，敏感信息的額外告知和單獨(dú)同意。相較于處理一般個(gè)人信息的告知和同意要求，處理生物識別、醫(yī)療健康等敏感個(gè)人信息時(shí)，個(gè)人信息處理者需：1）向個(gè)人告知處理行為的必要性及對個(gè)人的影響；2）取得個(gè)人的單獨(dú)同意。敏感個(gè)人信息的收集，則需要考慮是否設(shè)置專門的授權(quán)頁面。以“告知—同意”為信息處理的核心原則其六，未成年人適用特殊同意規(guī)則。個(gè)人信息處理者處理不滿十四周歲未成年人個(gè)人信息的，應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的同意。個(gè)人信息處理者處理不滿十四周歲未成年人個(gè)人信息的，應(yīng)當(dāng)制定專門的個(gè)人信息處理規(guī)則。04禁止強(qiáng)制利用個(gè)人信息進(jìn)行自動(dòng)化決策禁止強(qiáng)制利用個(gè)人信息進(jìn)行自動(dòng)化決策自動(dòng)化決策，是指通過程序自動(dòng)分析、評估個(gè)人的行為習(xí)慣、興趣愛好或者經(jīng)濟(jì)、健康、信用狀況等，并進(jìn)行決策的活動(dòng)。比如構(gòu)建用戶畫像并進(jìn)行算法推薦、推送個(gè)性化廣告或大數(shù)據(jù)殺熟等。禁止強(qiáng)制利用個(gè)人信息進(jìn)行自動(dòng)化決策首先，自動(dòng)化決策應(yīng)當(dāng)遵守個(gè)人信息處理的一般規(guī)則，應(yīng)當(dāng)在充分告知個(gè)人信息處理相關(guān)事項(xiàng)的前提下取得個(gè)人同意，不得以個(gè)人不同意為由拒絕提供產(chǎn)品或者服務(wù)。其次，《個(gè)人信息保護(hù)法》第二十四條對自動(dòng)化決策作出專門規(guī)范，要求個(gè)人信息處理者保證決策的透明度和處理結(jié)果的公平合理，不得通過自動(dòng)化決策對個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇，并在事前進(jìn)行個(gè)人信息保護(hù)影響評估。禁止強(qiáng)制利用個(gè)人信息進(jìn)行自動(dòng)化決策第三，賦予個(gè)人充分的權(quán)利。個(gè)人認(rèn)為自動(dòng)化決策對其權(quán)益造成重大影響的,有權(quán)要求個(gè)人信息處理者予以說明,并有權(quán)拒絕個(gè)人信息處理者僅通過自動(dòng)化決策的方式作出決定。通過自動(dòng)化決策方式進(jìn)行商業(yè)營銷、信息推送,應(yīng)當(dāng)同時(shí)提供不針對其個(gè)人特征的選項(xiàng)，或者向個(gè)人提供便捷的拒絕方式。05濫用人臉識別技術(shù)的規(guī)則濫用人臉識別技術(shù)的規(guī)則根據(jù)《個(gè)人信息保護(hù)法》第二十六條的規(guī)定，首先，僅當(dāng)為維護(hù)公共安全所必需,且遵守國家有關(guān)規(guī)定的情況下，才能在公共場所安裝圖像采集、個(gè)人身份識別設(shè)備。其次，在公共場所安裝圖像采集、個(gè)人身份識別設(shè)備，應(yīng)當(dāng)設(shè)置顯著的提示標(biāo)識。第三，所收集的個(gè)人圖像、個(gè)人身份特征信息只能用于維護(hù)公共安全的目的,不得公開或者向他人提供。06敏感個(gè)人信息的特殊處理規(guī)則敏感個(gè)人信息的特殊處理規(guī)則《個(gè)人信息保護(hù)法》第二十八條界定了敏感個(gè)人信息的內(nèi)涵和外延。敏感個(gè)人信息是指，一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個(gè)人信息。敏感個(gè)人信息的特殊處理規(guī)則個(gè)人信息處理者處理敏感個(gè)人信息需滿足以下條件：1）具有特定目的和充分的必要性；2）采取嚴(yán)格保護(hù)措施；3）取得個(gè)人的單獨(dú)同意；4）除本法第十七條第一款規(guī)定的處理一般個(gè)人信息的法定告知事項(xiàng)外，還要告知個(gè)人處理敏感個(gè)人信息的必要性以及對個(gè)人權(quán)益的影響。07個(gè)人信息的跨境提供規(guī)則個(gè)人信息的跨境提供規(guī)則《個(gè)人信息保護(hù)法》在現(xiàn)有規(guī)則的基礎(chǔ)上，重構(gòu)了個(gè)人信息跨境傳輸?shù)谋O(jiān)管框架。首先，一般情形下，個(gè)人信息跨境提供應(yīng)滿足“四選一加二”的條件?！八倪x一”是指，個(gè)人信息處理者向境外提供個(gè)人信息的，應(yīng)當(dāng)至少具備下列一項(xiàng)條件：1）已通過國家網(wǎng)信部門組織的安全評估；2）經(jīng)專門機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證；3）按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)；4）法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件。個(gè)人信息的跨境提供規(guī)則此外，個(gè)人信息處理者應(yīng)當(dāng)滿足以下兩個(gè)條件：1）采取必要措施，保障境外接收方處理個(gè)人信息的活動(dòng)達(dá)到本法規(guī)定的個(gè)人信息保護(hù)標(biāo)準(zhǔn)；2）向個(gè)人就境外接收方的身份、聯(lián)系方式、處理目的等法定告知事項(xiàng)充分告知,并取得個(gè)人的單獨(dú)同意。個(gè)人信息的跨境提供規(guī)則其次，《個(gè)人信息保護(hù)法》第四十條規(guī)定了兩種向境外提供的特殊主體，即關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者。以上兩種情形，應(yīng)當(dāng)將在中華人民共和國境內(nèi)收集和產(chǎn)生的個(gè)人信息存儲(chǔ)在境內(nèi)。確需向境外提供的,應(yīng)當(dāng)通過國家網(wǎng)信部門組織的安全評估;法律、行政法規(guī)和國家網(wǎng)信部門規(guī)定可以不進(jìn)行安全評估的,從其規(guī)定。08個(gè)人信息處理者的安全保護(hù)義務(wù)個(gè)人信息處理者的安全保護(hù)義務(wù)1.通用的安全保護(hù)義務(wù)《個(gè)人信息保護(hù)法》第五十一條規(guī)定，個(gè)人信息處理者應(yīng)當(dāng)采取必要措施確保個(gè)人信息處理活動(dòng)合法合規(guī),并防止未經(jīng)授權(quán)的訪問以及個(gè)人信息泄露或者被竊取、篡改、刪除。個(gè)人信息處理者構(gòu)建數(shù)據(jù)合規(guī)體系應(yīng)當(dāng)采取的必要措施有：1）制定內(nèi)部管理制度和操作規(guī)程；2）對個(gè)人信息實(shí)行分類管理;3）采取相應(yīng)的加密、去標(biāo)識化等安全技術(shù)措施;4）合理確定個(gè)人信息處理的操作權(quán)限,并定期對從業(yè)人員進(jìn)行安全教育和培訓(xùn);5)制定并組織實(shí)施個(gè)人信息安全事件應(yīng)急預(yù)案等。此外，《個(gè)人信息保護(hù)法》第五十四條規(guī)定，個(gè)人信息處理者應(yīng)當(dāng)定期對其個(gè)人信息處理活動(dòng)、采取的保護(hù)措施等是否合法合規(guī)進(jìn)行審計(jì)。個(gè)人信息處理者的安全保護(hù)義務(wù)2.特定主體的安全保護(hù)義務(wù)根據(jù)《個(gè)人信息保護(hù)法》第五十二條的規(guī)定，處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者，應(yīng)當(dāng)履行下列義務(wù)：1）指定個(gè)人信息保護(hù)負(fù)責(zé)人,負(fù)責(zé)對個(gè)人信息處理活動(dòng)以及采取的保護(hù)措施等進(jìn)行監(jiān)督；2）公開個(gè)人信息保護(hù)負(fù)責(zé)人的聯(lián)系方式，并將其姓名、聯(lián)系方式等報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門。個(gè)人信息處理者的安全保護(hù)義務(wù)《個(gè)人信息保護(hù)法》第五十三條規(guī)定，屬于本法管轄的境外個(gè)人信息處理者,應(yīng)當(dāng)履行下列義務(wù)：1）在中華人民共和國境內(nèi)設(shè)立專門機(jī)構(gòu)或者指定代表,負(fù)責(zé)處理個(gè)人信息保護(hù)相關(guān)事務(wù)；2）將有關(guān)機(jī)構(gòu)的名稱或者代表的姓名、聯(lián)系方式等報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門。個(gè)人信息處理者的安全保護(hù)義務(wù)《個(gè)人信息保護(hù)法》第五十八條規(guī)定，提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者，應(yīng)當(dāng)履行下列義務(wù)：1）建立健全個(gè)人信息保護(hù)合規(guī)制度體系，成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督;2）制定平臺規(guī)則，明確平臺內(nèi)產(chǎn)品或者服務(wù)提供者處理個(gè)人信息的規(guī)范和保護(hù)個(gè)人信息的義務(wù)；3）對嚴(yán)重違反法律、行政法規(guī)處理個(gè)人信息的平臺內(nèi)的產(chǎn)品或者服務(wù)提供者，停止提供服務(wù);4）定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告，接受社會(huì)監(jiān)督。個(gè)人信息處理者的安全保護(hù)義務(wù)3.特定情形下的安全保護(hù)義務(wù)《個(gè)人信息保護(hù)法》第五十五條規(guī)定，進(jìn)行對個(gè)人有重大影響的個(gè)人信息處理活動(dòng)時(shí)，應(yīng)當(dāng)落實(shí)事前進(jìn)行風(fēng)險(xiǎn)評估,和事中處理情況記錄義務(wù)。對個(gè)人有重大影響的個(gè)人信息處理活動(dòng)，包括：處理敏感個(gè)人信息，利用個(gè)人信息進(jìn)行自動(dòng)化決策，委托處理、向其他個(gè)人信息處理者提供和公開個(gè)人信息，向境外提供個(gè)人信息等信息處理活動(dòng)等。個(gè)人信息處理者的安全保護(hù)義務(wù)《個(gè)人信息保護(hù)法》第五十七條規(guī)定，發(fā)生或可能發(fā)生個(gè)人信息泄露的,應(yīng)當(dāng)立即采取補(bǔ)救措施,并通知履行個(gè)人信息保護(hù)職責(zé)的部門和個(gè)人。其中，個(gè)人信息處理者采取措施能夠有效避免信息泄露造成損害的,個(gè)人信息處理者可以不通知個(gè)人;但是,履行個(gè)人信息保護(hù)職責(zé)的部門認(rèn)為個(gè)人信息泄露可能對個(gè)人造成損害的,有權(quán)要求個(gè)人信息處理者通知個(gè)人。09健全投訴舉報(bào)機(jī)制健全投訴舉報(bào)機(jī)制當(dāng)前，個(gè)人信息保護(hù)面臨維權(quán)渠道窄、成本高、處罰侵權(quán)力度不夠等問題，制約著用戶的維權(quán)意愿?！秱€(gè)人信息保護(hù)法》進(jìn)一步壓實(shí)各方責(zé)任，加強(qiáng)有關(guān)部門查處案件的協(xié)調(diào)配合。對完善個(gè)人信息保護(hù)投訴、舉報(bào)工作機(jī)制及違法處理個(gè)人信息涉嫌犯罪案件的移送提出明確要求。健全投訴舉報(bào)機(jī)制《個(gè)人信息保護(hù)法》第六十五條規(guī)定，任何組織、個(gè)人有權(quán)對違法個(gè)人信息處理活動(dòng)向履行個(gè)人信息保護(hù)職責(zé)的部門進(jìn)行投訴、舉報(bào)。履行個(gè)人信息保護(hù)職責(zé)的部門應(yīng)當(dāng)公布接受投訴、舉報(bào)的聯(lián)系方式。此外，《個(gè)人信息保護(hù)法》還規(guī)定，收到投訴、舉報(bào)的部門及時(shí)將處理結(jié)果告知投訴、舉報(bào)人，這將讓相關(guān)機(jī)制能夠良性運(yùn)轉(zhuǎn)。10強(qiáng)化監(jiān)管職責(zé)，嚴(yán)懲違法行為強(qiáng)化監(jiān)管職責(zé)，嚴(yán)懲違法行為監(jiān)管主體?！秱€(gè)人信息保護(hù)法》第六十條規(guī)定，履行個(gè)人信息保護(hù)職責(zé)的部門包括，國家網(wǎng)信部門以及國務(wù)院和縣級以上地方人民政府在各自職責(zé)范圍內(nèi)負(fù)責(zé)個(gè)人信息保護(hù)和監(jiān)督管理工作的有關(guān)部門，其中國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)個(gè)人信息保護(hù)工作和相關(guān)監(jiān)督管理工作。強(qiáng)化監(jiān)管職責(zé)，嚴(yán)懲違法行為其次，監(jiān)管措施?！秱€(gè)人信息保護(hù)法》第六十四條規(guī)定監(jiān)管主體可以采取的監(jiān)管措施：履行個(gè)人信息保護(hù)職責(zé)的部門發(fā)現(xiàn)個(gè)人信息處理活動(dòng)存在較大風(fēng)險(xiǎn)或者發(fā)生個(gè)人信息安全事件的，可以依法實(shí)行以下職權(quán)：1）對該個(gè)人信息處理者的法定代表人或者主要負(fù)責(zé)人進(jìn)行約談；2）要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對其個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)；3）發(fā)現(xiàn)違法處理個(gè)人信息涉嫌犯罪的，應(yīng)當(dāng)及時(shí)移送公安機(jī)關(guān)依法處理。強(qiáng)化監(jiān)管職責(zé)，嚴(yán)懲違法行為第