全国人大常委会会议8月20日表决通过《中华人民共和国个人信息保护法》，该法律将自2021年11月1日起施行。

近年来，过度收集个人信息、大数据杀熟、敏感个人信息处理等问题成为个人信息保护中的热点难点，备受社会关注。

个人信息保护法明确了个人信息处理和跨境提供的规则、个人信息处理者的义务等内容。法律规定，任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或公开他人个人信息。

针对过度收集信息、大数据杀熟的问题，法律明确，处理个人信息应具有明确、合理的目的，并应与处理目的直接相关，采取对个人权益影响最小的方式；个人信息处理者利用个人信息进行自动化决策，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

针对滥用人脸识别技术的问题，法律要求，在公共场所安装图像采集、个人身份识别设备，应设置显著的提示标识；所收集的个人图像、身份识别信息只能用于维护公共安全的目的。

对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，法律明确了其义务，如建立健全个人信息保护合规制度体系，定期发布个人信息保护社会责任报告，接受社会监督等。

此外，个人信息保护法进一步强化了相关部门的监管职责，从严惩治违法行为。履行个人信息保护职责的部门发现个人信息处理活动存在较大风险或发生个人信息安全事件的，可以按照规定的权限和程序对该个人信息处理者的法定代表人或主要负责人进行约谈，或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。

“个人信息保护法的颁布，可以说是及时雨。”中关村大数据产业联盟副秘书长颜阳表示，我国已经出台了网络安全法，但个人信息安全有别于网络安全。网络安全属于地域管辖，而个人信息和数据有流动的特性，需要监管部门进行长臂管辖。因此有必要单独立法，以适应其特殊性。

颜阳认为：“个人信息保护法通过类似‘知情告知’的授权机制，保障了个人信息主体的权益，并且使得监督方有章可循，服务方更加具有社会责任担当。”