2021年8月20日，全国人民代表大会常务委员会发布《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》），于2021年11月1日起正式施行。

该法律第一条明确规定根据宪法，制定本法，凸显了保障人格尊严的重要意义，意味着个人信息保护进入新纪元。

一、受保护的个人信息有哪些？

相较于《民法典》的规定，《个人信息保护法》第4条明确了个人信息的识别性和关联性特征：识别性是指结合已有的技术和认知通过单独的信息或者综合其他信息能够确定特定的自然人；关联性是指与特定个人相关联，反映个人特征，包括自然人的姓名、出生日期、身份证件号码、住址、电话号码等。死者个人信息也属于法律的保护范围。

敏感个人信息一旦泄露或被非法使用，极易导致自然人的人格尊严或人身、财产安全受到严重损害，例如生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹及不满十四周岁未成年人的个人信息等。《个人信息保护法》将敏感个人信息纳入特殊保护范围。处理敏感个人信息必须具有充分的必要性且采取严格的保护措施。

二、处理个人信息是否必须经个人同意？

《个人信息保护法》的出台改变了《民法典》下告知同意的单一个人信息处理模式。根据《个人信息保护法》第13条的规定，存在以下情形，无需经过个人同意，即可处理个人信息：为订立、履行合同或实施人力资源管理所必需；为履行法定职责义务所必需；为应对突发公共卫生、紧急情况所必需；为公共利益实施新闻报道、舆论监督所必需；以及处理个人自行公开或者已经合法公开的个人信息等。 三、特殊情形下的个人信息保护

加强人脸识别管制。《个人信息保护法》明确，收集人脸信息前，必须取得个人明确、单独同意。也就是说，线上，各大APP商家通过隐私政策等一揽子协议获取人脸识别信息的授权因未取得个人单独授权无效。线下，我们常常看到各类企业提示您已进入视频监控区等。这类标志未取得消费者同意，也是无效的。

拒绝大数据杀熟有法可依。《个人信息保护法》明确信息处理者在进行自动化决策时应当公平公正，不得对个人在价格等交易条件实行不合理的差别待遇。各大APP商家在进行信息推送、商业营销时，个人有权要求商家进行说明并拒绝商家的不合理决定。

个人信息同意处理的可撤回。过去，面对各大APP，使用者一旦授权某项权利后很难撤销。《个人信息保护法》明确规定，信息处理者应在显著位置提供明确的撤回同意方式，有一键授权就应该有一键撤回，便于使用者操作。同时，信息处理者不得因使用者撤回授权而拒绝提供产品或服务。

四、违反《个人信息保护法》应承担哪些责任？

针对违反《个人信息保护法》的责任主体，适用过错推定归责原则，也就是说，涉嫌违法的信息处理者不能证明自己没有过错的，应当承担侵权责任。

对于违法的信息处理者可处最高五千万元罚款；对于直接负责的主管人员和其他直接责任人员可处最高一百万元罚款；对于违法处理个人信息的APP，可责令其暂停或终止提供服务。针对违法行为，可依据相关法律、行政法规的规定记入信用档案。

随着互联网的普及，各大APP蓬勃兴起，个人信息的采集、盗窃、泄露、出售等违法违规现象层出不穷，严重威胁个人财产安全及正常生活。《个人信息保护法》的出台有助于建立长期有效的保护机制，为个人信息处理活动提供了明确的法律指引。