违法处理个人信息情节严重 最高可处五千万元或上一年度营业额百分之五的罚款

　　据新华社电 日前，十三届全国人大常委会第三十次会议表决通过了个人信息保护法，自2021年11月1日起施行。这部法律将怎样保护你我的信息安全？全国人大常委会法工委经济法室副主任杨合庆进行了解读。

　　收集个人信息要避免强制同意

　　杨合庆介绍，个人信息保护法明确，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围。

　　他表示，“告知—同意”是法律确立的个人信息保护核心规则。个人信息处理者在取得个人同意的情形下方可处理个人信息，个人信息处理的重要事项发生变更，应当重新向个人告知并取得同意。

　　针对群众反映强烈的一揽子授权、强制同意等问题，杨合庆表示，个人信息处理者在处理敏感个人信息、向他人提供或公开个人信息、跨境转移个人信息等环节应取得个人的单独同意，明确个人信息处理者不得过度收集个人信息，不得以个人不同意为由拒绝提供产品或者服务，并赋予个人撤回同意的权利。

　　从法律上禁止“大数据杀熟”

　　“当前，越来越多的企业利用大数据分析、评估消费者的个人特征用于商业营销，这有利于提高经济活动的效率，提升消费者的消费体验，但一些企业却利用个人信息进行‘大数据杀熟’，侵犯了消费者权益，应当在法律上予以禁止。”杨合庆说。

　　根据本法，个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。

　　个人信息保护法将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息列为敏感个人信息。只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，方可处理敏感个人信息，同时应事前进行影响评估，并向个人告知处理的必要性以及对个人权益的影响。

　　设置不同梯次的行政处罚

　　超大型互联网平台掌握了海量用户数据，一旦发生信息泄露或者滥用，可能导致极为严重的后果。个人信息保护法特别规定了这类平台需要履行的义务，包括按照国家规定建立健全个人信息保护合规制度体系等。

　　在监管部门方面，本法明确，国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作，同时对个人信息保护和监管职责作出规定。

　　据杨合庆介绍，个人信息保护法根据个人信息处理的不同情况，对违法处理个人信息的行为设置了不同梯次的行政处罚。对未造成严重后果的轻微或一般违法行为，可由执法部门责令改正、给予警告、没收违法所得，对拒不改正的最高可处一百万元罚款；对情节严重的违法行为，最高可处五千万元或上一年度营业额百分之五的罚款，并可以对相关责任人员作出相关从业禁止的处罚。