2021年11月1日，《个人信息保护法》将正式实施。数据正一步步渗透到人们的生活当中，我们无时无刻不在“生产数据”，同时也被数据所影响。

各类网络平台的运营机构掌握着大量的个人数据，如果是合理、合规的使用来推进业务展开自然是无可厚非的，但某些不良企业或个人违规使用数据，危害个人信息安全的新闻也是屡见不鲜。例如近些年频频爆出的“大数据杀熟”、个人信息泄漏事件等，对社会、企业及个人都产生了不好的影响。

本次实施的《个人信息保护法》是我国首部专门针对个人信息保护的综合性法律，与我们每个人都息息相关。

亮点一：确立个人信息保护原则

《个人信息保护法》借鉴国际经验并立足我国实际，确立了个人信息处理应遵循的原则。强调处理个人信息应当遵循合法、正当、必要和诚信原则，具有明确、合理的目的并与处理目的直接相关，采取对个人权益影响最小的方式，限于实现处理目的的最小范围，公开处理规则，保证信息质量，采取安全保护措施等。

亮点二：规范处理活动保障权益

《个人信息保护法》紧紧围绕规范个人信息处理活动、保障个人信息权益，构建了以“告知-同意”为核心的个人信息处理规则。《个人信息保护法》要求，处理个人信息应当在事先充分告知的前提下取得个人同意，信息处理的重要事项发生变更的应当重新向个人告知并取得同意。

亮点三：禁止“大数据杀熟”行为

当前，越来越多的企业利用大数据分析、评估消费者的个人特征用于商业营销，其中，最典型的就是“大数据杀熟”行为。对此，《个人信息保护法》明确规定：个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

亮点四：严格保护敏感个人信息

《个人信息保护法》将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹以及不满十四周岁未成年人的个人信息等信息列为敏感个人信息。《个人信息保护法》要求，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，方可处理敏感个人信息，同时应当事前进行影响评估，并向个人告知处理的必要性以及对个人权益的影响。

亮点五：规范国家机关处理活动

为履行维护国家安全、惩治犯罪、管理经济社会事务等职责，国家机关需要处理大量个人信息。保护个人信息权益、保障个人信息安全是国家机关应尽的义务和责任。对此，《个人信息保护法》法对国家机关处理个人信息的活动作出专门规定，特别强调国家机关处理个人信息的活动适用本法，并且处理个人信息应当依照法律、行政法规规定的权限和程序进行，不得超出履行法定职责所必需的范围和限度。

亮点六：赋予个人充分权利

《个人信息保护法》将个人在个人信息处理活动中的各项权利，包括知悉个人信息处理规则和处理事项、同意和撤回同意，以及个人信息的查询、复制、更正、删除等总结提升为知情权、决定权，明确个人有权限制个人信息的处理。

亮点七：强化个人信息处理者义务

个人信息处理者是个人信息保护的第一责任人。据此，《个人信息保护法》强调，个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。

亮点八：赋予大型网络平台特别义务

《个人信息保护法》对大型互联网平台设定了特别的个人信息保护义务。

1、按照国家规定建立健全个人信息保护合规制度体制，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。

2、对严重违法处理个人信息的平台内产品或者服务提供者，停止提供服务。

3、遵循公开、公平、公正的原则，制定平台规则。

4、定期发布个人信息保护社会责任报告，接受社会监督。

亮点九：规范个人信息跨境流动

《个人信息保护法》构建了一套清晰、系统的个人信息跨境流动规则，以满足保障个人信息权益和安全的客观要求，适应国际经贸往来的现实需要。例如：明确向境外提供个人信息的途径，包括通过国家网信部门组织的安全评估、经专业机构认证、订立标准合同、按照我国缔结或参加的国际条约和协定等。

亮点十：健全个人信息保护工作机制

《个人信息保护法》明确，国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作，同时，对个人信息保护和监管职责作出规定，包括开展个人信息宣传教育、指导监督个人信息保护工作、接受处理相关投诉举报、组织对应用程序等进行测评、调查处理违法个人信息处理活动等。

对于数之联而言，在专注数据科学研究、发现数据价值的同时，我们始终坚持负责任地合规合法地使用数据，全力保障客户的数据安全与隐私。这是坚守契约精神的首要条件，也是数之联企业价值观的体现。国家保障数据安全的法律体系越来越完善，在追求商业价值的同时，数之联也会保持诚信正直，为保护数据安全做出更多努力。

对于个人而言，我们应当做到以下几点来保护我们的个人信息安全。

·积极学习《个人信息保护法》

·养成“非必要不提供”的良好习惯

·对授权或者提供的个人信息持续跟踪

·注意销毁带有个人信息的单据和资料

·主动拿起法律武器维护合法权益

·对于企业来说，需要做好以下合规准备：

业务梳理与安全自查

01  梳理内部流程中可能会涉及到的个人信息处理活动。

包括但不限于企业经营过程中获取的客户个人信息、劳动用工过程中收集的个人信息。其中，劳动用工过程中的个人信息仅有部分依照《劳动合同法》《劳动合同法实施条例》规定收集的基本信息可以不取得个人同意，超出这一范围的信息，企业需要建立“告知-同意”的员工个人信息保护制度，如有必要还应该及时修改合同和内部流程。

02  梳理企业相关业务及产品中可能会涉及到的个人信息处理活动。

企业如果有公开网站、App应用或小程序，则需要梳理不同业务平台上的个人信息保护体系，根据《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》《App违法违规收集使用个人信息自评估指南》等各类细则规定进行自查与依次改进。

开展安全培训

《个人信息保护法》明确指出企业应定期对从业人员进行安全教育和培训，参考《个人信息安全规范》的规定，可以将个人信息安全作为新员工入职培训的内容；对于老员工，企业可以定期组织个人信息安全教育和培训，确保相关人员熟练掌握个人信息保护政策和企业最新管理制度。培训内容包括个人信息安全的相关法律、法规、国标、行标和企业相关管理制度、操作规程等。

个保法的出台，更重要的是希望解决如何在大数据时代，“保证数据正常流通的前提下”更好的保障信息安全的问题。此外，《个人信息保护法》还将与《网络安全法》、《数据安全法》并驾齐驱，共同构建我国网络数据法律体系框架，数据安全、互联网市场秩序制度不断完善，网络生态治理和信息内容安全管理不断加强。对此，数之联会始终坚持信守契约的价值观负责任地使用数据，全力保护客户的数据安全与隐私。