《个人信息保护法》实施首日，央视特别关注到了深圳这个大会

2021年11月1日，《个人信息保护法》正式施行，这是我国首部专门针对个人信息保护的系统性、综合性法律。央视新闻《新闻1+1》于当晚推出专题报道《个人信息保护法，如何保护你的隐私？》。在节目中，主持人白岩松特别引用了“深圳推动头部企业作出自律承诺，让企业和监管部门关口前移”的案例进行探讨。

节目中提到了不久前于深圳举行的APP个人信息共护大会，包括腾讯、货拉拉、中原地产等20多家重点APP运营企业签署自律承诺书，承诺不超范围收集个人信息，不强制索要用户授权，不利用大数据杀熟，不滥用人脸识别数据，不监听监视个人隐私等。

其中，货拉拉信息安全总监黄宇鸿说：“个人信息方面，我们是作为最高的安全级别进行保护，我们也借助第三方的测评机构，还有第三方的律所对我们的个人信息保护，还有数据安全做评估检测。”

中原地产代理（深圳）有限公司资源中心总监黄昔飞说：“从看房，包括客户打进来电话，我们在后台都是保密的，所有同事也是看不到的。”

推动头部企业作出自律承诺，可以在个人信息保护方面起到什么样的作用呢？

对此，深圳市委网信办网络监督处处长刘致榕表示：“做好个人信息保护工作，企业和监管部门都要将关口前移，以过程达标确保结果达标，我们推动头部企业向社会作出自律承诺，就是要倒逼它们加强个人信息保护的全面合规建设。”

事实上个人信息保护法从通过到正式实施有数月的缓冲期，在此期间，已有部分平台对标法律要求作出相应的合规调整，但是不合规的现象仍不容忽视。因此，法律生效后还需相关部门持续监管，建立健全联合执法检查机制。

节目中，深圳市委网信办网络监管处副处长郑国兴表示：“引导企业防范个人数据泄露和信息安全的风险，同时通过发动媒体、群众广泛参与，逐渐形成政府履职，企业尽责，多方参与，共同治理的个人信息保护工作格局。”

据了解，深圳市委网信办下一步将充分发挥网信部门统筹协调作用，以贯彻落实《个人信息保护法》《深圳经济特区数据条例》等法律法规为着力点，会同公安、市场监管、通信管理等部门加强个人信息保护常态化治理，建立健全联合执法检查机制，打好专项治理组合拳，积极引导社会参与，营造共建、共治、共享的个人信息保护生态。

延伸阅读

个人信息保护的

法律“安全锁”这样上牢

近年来，随着大数据等技术的发展，给人们带来便利化服务的同时，随意收集、违法获取、过度使用、非法买卖个人信息的现象也十分突出，个人信息保护成为大家非常关心的问题。我国首部个人信息保护方面的专门法律个人信息保护法，明确个人信息保护的监管职责，并设置严格的法律责任。

收集用户数据要事前充分告知 取得同意

法律确立了个人信息处理应遵循的原则，明确：处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。

针对一些网络平台擅自收集用户数据现象，法律确立以“告知-同意”为核心的个人信息处理一系列规则，个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言，真实、准确、完整地将个人信息处理者的名称或者姓名和联系方式；个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；个人行使本法规定权利的方式和程序等事项向个人告知。

不得以个人不同意为由拒绝提供产品或服务

法律规定，基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。

个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务；处理个人信息属于提供产品或者服务所必需的除外。

公共场所图像采集只能用于维护公共安全

针对人脸识别等技术问题，法律作出了规范。法律规定，在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的；取得个人单独同意的除外。

对“大数据杀熟”作出专门规范

在网上订票、订酒店或者打车的时候，有时会遇到这样的情况，同样的商品或服务，老用户看到的价格反而比新用户要贵出许多，有些多次浏览页面的用户还可能遇到价格上涨的情况，这种通过大数据构建用户画像，利用信息优势“杀熟”的现象屡见不鲜，个人信息保护法对利用个人信息进行自动化决策作出了专门规范。

个人信息保护法对自动化决策的概念作出界定，是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。

个人信息保护法要求，个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

对处理敏感个人信息作出严格限制

对于个人金融账户、行踪轨迹等敏感信息的使用，个人信息保护法专门设立一节，对处理敏感个人信息作出严格限制，并明确了敏感个人信息的定义。

敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。

中国人民大学法学院教授 张新宝：敏感信息原则上是不能收集的，不能处理的，所以以不能收集不能处理为原则，只有在特定的极其必要的情况下，才可以进行收集和处理。第二层的规定说你要单独的同意，比如说要收集（某人）过去三年的医疗信息，（个人信息处理者）必须要单独提出来，而且要讲清楚收集的理由是什么，然后（被收集者）来单独决定同意或者是不同意。第三就是要进行严格的安全保护，不能够泄露（敏感信息）。

加大处罚力度 提高罚款上限

为了确保法律规定的各项要求落到实处，个人信息保护法对违法处理个人信息行为设置了严格的法律责任，加大惩处力度。

个人信息保护法规定，违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

中国人民大学法学院教授 张新宝：除了行政法律责任以外，还规定了民事责任，那么受害人可以向人民法院提起诉讼，请求侵权的个人信息处理者承担损害赔偿责任。法律规定一类新的公益诉讼，也就是人民检察院和网信部门确认的机构组织，可以对有关侵害多数人的个人信息，违法处理个人信息的个人信息处理者提起公益诉讼。严重侵害个人信息造成严重后果的要承担刑事责任，包括单位和个人的刑事责任。