原载微信公众号 金融科技·微洞察 （ID：weinsights）作者：高玉翔

十三届全国人大常委会第三十次会议20日表决通过《中华人民共和国个人信息保护法》。个人信息保护法自2021年11月1日起施行。其中明确：

（1）通过自动化决策方式向个人进行信息推送、商业营销，应提供不针对其个人特征的选项或提供便捷的拒绝方式；

（2）处理生物识别、医疗健康、金融账户、行踪轨迹等敏感个人信息，应取得个人的单独同意；

（3）对违法处理个人信息的应用程序，责令暂停或者终止提供服务。

早在2017年，《个人信息保护法（草案）》就首次面向社会公开征求意见；2020年10月，《个人信息保护法（草案一次审议稿）》首次提请人大常委会进行审议；又经2021年4月二次审议并公开征求意见、2021年8月三次审议后，《个人信息保护法》几易其稿终于出台，从此用户终于可以“我的数据我做主”。

其中，2017年公开征求意见的草案中，规定了个人信息的权利及原则，并在此基础上进一步规定了个人信息在处理、传输等过程中应遵循的义务。不过该征求意见稿争议较大，一直未能达成共识，主要的争议点在于，个人是否对个人信息数据在所有情景下都享有绝对的权利，以及企业对于付出成本获取的个人数据是否应享有更大范围的使用权。

2020年10月提交人大的一审稿，主要规定了个人在信息处理活动中的权利，以及信息处理者在存储、加工、处理个人信息时应遵守的规则和义务，后两次审议稿均是在此基础上进行完善和细化。

第二次审议稿在一审稿的基础上主要做了10点修订，除了细化个人同意的情景、规定有关管理机构职能、细化个人信息跨境要求、增设死者个人信息权益条款外，新增的重大修订有三点：

（1）个人信息处理者应当提供便捷的撤回同意的方式；

（2）强化超大互联网平台个人信息保护义务；

（3）明确个人信息侵权行为的过错推定原则。

本周提交的三审稿比二审稿又更进一步。除进一步明确个人信息处理的合法、正当、必要原则外，还增加了：

（1）处理数据应当限于实现处理目的的最小范围；

（2）不得对交易价格实行不合理差别对待（不得大数据杀熟）；

（3）不得非法买卖和泄露个人信息；

（4）个人请求将个人信息转移至指定处理者时应提供转移途径；

（5）明确不满14周岁儿童个人信息为敏感信息。

从数据人格权的角度来说，第一次审议稿规定了对个人信息拥有知情权、访问权、更正权、删除权，二审稿强化了反对权，三审稿则进一步规定了可携带权，最终审议通过的《个人信息保护法》还明确了不受制于自动化决策的权利，强调了最小范围原则和公平原则。

《个人信息保护法》的出台，使得个人信息数据保护有了明确的法律依据，有助于提升相关行业的治理水平，有利于行业规范发展。

责任编辑：王煊