于11月1日實(shí)施的《中華人民共和國(guó)個(gè)人信息保護(hù)法》，在國(guó)家層面建立了個(gè)人信息保護(hù)制度。為加強(qiáng)個(gè)人信息保護(hù)宣傳教育，推動(dòng)形成政府、企業(yè)、相關(guān)社會(huì)組織、公眾共同參與個(gè)人信息保護(hù)的良好環(huán)境，確保個(gè)人信息保護(hù)法的各項(xiàng)要求和規(guī)定在社會(huì)生活中落到實(shí)處，建議在學(xué)習(xí)和貫徹實(shí)施個(gè)人信息保護(hù)法中重點(diǎn)把握好以下十大核心要點(diǎn)。

第一，“規(guī)范個(gè)人信息處理活動(dòng)”是個(gè)人信息保護(hù)法的核心。個(gè)人信息保護(hù)法第一條規(guī)定：“為了保護(hù)個(gè)人信息權(quán)益，規(guī)范個(gè)人信息處理活動(dòng)，促進(jìn)個(gè)人信息合理利用，根據(jù)憲法，制定本法。”由此可見，就個(gè)人信息保護(hù)法的實(shí)質(zhì)功能而言，它是一部個(gè)人信息處理活動(dòng)行為規(guī)范法，“規(guī)范個(gè)人信息處理活動(dòng)”處于整個(gè)個(gè)人信息保護(hù)法的核心地位，只有夯實(shí)這一關(guān)鍵環(huán)節(jié)，才能確保實(shí)現(xiàn)保護(hù)個(gè)人信息權(quán)益和促進(jìn)個(gè)人信息合理利用之目的。

第二，個(gè)人信息的內(nèi)涵與匿名化。個(gè)人信息保護(hù)法第四條第一款明確了“個(gè)人信息”的定義：“個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。”這意味著“個(gè)人信息”經(jīng)匿名化處理后即不屬于個(gè)人信息，也就無(wú)需適用個(gè)人信息保護(hù)法的相關(guān)規(guī)定，這一規(guī)定體現(xiàn)了個(gè)人信息保護(hù)法對(duì)個(gè)人信息“保護(hù)”和“利用”并重的立法精神。

第三，個(gè)人信息保護(hù)法的域外效力。根據(jù)我國(guó)個(gè)人信息保護(hù)法第三條第二款規(guī)定，在中華人民共和國(guó)境外處理中華人民共和國(guó)境內(nèi)自然人個(gè)人信息的活動(dòng)，有下列情形之一的，也適用本法：（一）以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的；（二）分析、評(píng)估境內(nèi)自然人的行為；（三）法律、行政法規(guī)規(guī)定的其他情形。

第四，個(gè)人信息處理的核心原則。個(gè)人信息保護(hù)法主要確立以下五項(xiàng)重要原則：一是遵循合法、正當(dāng)、必要和誠(chéng)信原則；二是采取對(duì)個(gè)人權(quán)益影響最小的方式，限于實(shí)現(xiàn)處理目的的最小范圍原則；三是處理個(gè)人信息應(yīng)當(dāng)遵循公開、透明原則；四是處理個(gè)人信息應(yīng)當(dāng)保證個(gè)人信息質(zhì)量原則；五是采取必要措施確保個(gè)人信息安全原則等。需要注意的是，個(gè)人信息保護(hù)法總則部分第六條確立的兩個(gè)“最小原則”，即“采取對(duì)個(gè)人權(quán)益影響最小的方式”“限于實(shí)現(xiàn)處理目的的最小范圍”，是個(gè)人信息處理應(yīng)遵循的核心原則，尤其是后者，是禁止“過(guò)度收集個(gè)人信息”的關(guān)鍵要點(diǎn)。

第五，以“告知—知情—同意”為核心的個(gè)人信息處理規(guī)則。個(gè)人信息保護(hù)法構(gòu)建了以“告知—知情—同意”為核心的個(gè)人信息處理規(guī)則體系。個(gè)人信息處理者“告知”的目的是為了確保被告知者的充分“知情”，只有被告知者在充分知情的前提下才能自愿、明確地作出決定。為此，個(gè)人信息保護(hù)法第十四條明確規(guī)定：“基于個(gè)人同意處理個(gè)人信息的，該同意應(yīng)當(dāng)由個(gè)人在充分知情的前提下自愿、明確作出。”

第六，敏感個(gè)人信息的認(rèn)定與保護(hù)規(guī)則。個(gè)人信息保護(hù)法對(duì)自然人的隱私信息未作出專門規(guī)定，而是將個(gè)人信息分為敏感信息和非敏感信息，并專節(jié)設(shè)置了“敏感個(gè)人信息的處理規(guī)則”。并采用了“個(gè)人信息被泄露或者非法使用+危害后果+列舉重要敏感個(gè)人信息”的立法技術(shù)，明確“敏感個(gè)人信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息，包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個(gè)人信息”。

第七，嚴(yán)禁“大數(shù)據(jù)殺熟”以及為“用戶畫像”等涉及不當(dāng)自動(dòng)化決策的做法。針對(duì)“大數(shù)據(jù)殺熟”“用戶畫像”和“算法推薦”等涉及個(gè)人信息自動(dòng)化決策的熱點(diǎn)問題，個(gè)人信息保護(hù)法予以明確規(guī)范：首先，個(gè)人信息處理者利用個(gè)人信息進(jìn)行自動(dòng)化決策，應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正，不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇；其次，個(gè)人信息處理者通過(guò)自動(dòng)化決策方式向個(gè)人進(jìn)行信息推送、商業(yè)營(yíng)銷，應(yīng)當(dāng)同時(shí)提供不針對(duì)其個(gè)人特征的選項(xiàng)或者向個(gè)人提供便捷的拒絕方式；再次，個(gè)人信息處理者通過(guò)自動(dòng)化決策方式作出對(duì)個(gè)人權(quán)益有重大影響的決定時(shí)，個(gè)人有權(quán)要求個(gè)人信息處理者予以說(shuō)明，并有權(quán)拒絕個(gè)人信息處理者僅通過(guò)自動(dòng)化決策的方式作出決定。

第八，個(gè)人信息跨境提供規(guī)則。個(gè)人信息保護(hù)法明確了個(gè)人信息處理者向境外提供個(gè)人信息應(yīng)當(dāng)具備的基本條件，如關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門規(guī)定數(shù)量的處理者，確需向境外提供個(gè)人信息的，應(yīng)當(dāng)通過(guò)國(guó)家網(wǎng)信部門組織的安全評(píng)估；對(duì)于其他需要跨境提供個(gè)人信息的，應(yīng)由專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證；個(gè)人信息處理者因業(yè)務(wù)需要向境外提供個(gè)人信息，須按照國(guó)家網(wǎng)信部門的標(biāo)準(zhǔn)合同與境外接收方訂立合同；對(duì)我國(guó)締結(jié)或者參加的國(guó)際條約、協(xié)定對(duì)向我國(guó)境外提供個(gè)人信息的條件等有規(guī)定的，可以按照其規(guī)定執(zhí)行等。

第九，個(gè)人在個(gè)人信息處理活動(dòng)中的七項(xiàng)權(quán)利。個(gè)人信息保護(hù)法全面構(gòu)建了個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利，包括知情權(quán)、決定權(quán)（限制、拒絕和撤回權(quán)）、查閱復(fù)制權(quán)、個(gè)人信息可移轉(zhuǎn)權(quán)、更正補(bǔ)充權(quán)、刪除權(quán)、規(guī)則解釋權(quán)。這些權(quán)利的設(shè)定，表明了個(gè)人信息保護(hù)法對(duì)個(gè)人信息保護(hù)與利用的平衡，即在保護(hù)中利用，在利用中保護(hù)。

第十，重要互聯(lián)網(wǎng)平臺(tái)的“守門人”制度。鑒于重要互聯(lián)網(wǎng)平臺(tái)掌握海量用戶數(shù)據(jù)，一旦發(fā)生信息泄露或?yàn)E用，可能導(dǎo)致嚴(yán)重后果，個(gè)人信息保護(hù)法專門要求其履行“守門人”角色，并承擔(dān)更多責(zé)任。主要包括：應(yīng)按照國(guó)家規(guī)定建立健全個(gè)人信息保護(hù)合規(guī)制度體系；成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)進(jìn)行監(jiān)督；遵循公開、公平、公正的原則制定平臺(tái)規(guī)則；對(duì)嚴(yán)重違法處理個(gè)人信息的平臺(tái)內(nèi)產(chǎn)品或服務(wù)提供者停止提供服務(wù)；定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告并接受社會(huì)監(jiān)督等。

此外，為了確保個(gè)人信息處理者遵守個(gè)人信息保護(hù)法之義務(wù)，嚴(yán)格規(guī)范個(gè)人信息的處理活動(dòng)，個(gè)人信息保護(hù)法設(shè)置了嚴(yán)格的行政和民事法律責(zé)任。例如，個(gè)人信息保護(hù)法第六十六條對(duì)違法處理個(gè)人信息，或者處理個(gè)人信息未履行法定的個(gè)人信息保護(hù)義務(wù)設(shè)置了三項(xiàng)法律責(zé)任：一是由履行個(gè)人信息保護(hù)職責(zé)的部門責(zé)令改正，給予警告，沒收違法所得，對(duì)違法處理個(gè)人信息的應(yīng)用程序，責(zé)令暫?；蛘呓K止提供服務(wù)；二是拒不改正的，并處一百萬(wàn)元以下罰款；三是對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬(wàn)元以上十萬(wàn)元以下罰款。

如果有上述規(guī)定的違法行為，且情節(jié)嚴(yán)重的，設(shè)置了兩項(xiàng)更嚴(yán)格的法律責(zé)任：一是由省級(jí)以上履行個(gè)人信息保護(hù)職責(zé)的部門責(zé)令改正，沒收違法所得，并處五千萬(wàn)元以下或者上一年度營(yíng)業(yè)額百分之五以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓、通報(bào)有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營(yíng)業(yè)執(zhí)照；二是對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處十萬(wàn)元以上一百萬(wàn)元以下罰款，并可以決定禁止其在一定期限內(nèi)擔(dān)任相關(guān)企業(yè)的董事、監(jiān)事、高級(jí)管理人員和個(gè)人信息保護(hù)負(fù)責(zé)人。