个人信息被一些经营者非法搜集、过度使用，某些电商平台利用掌握的大数据杀熟，扰乱正常的市场经营秩序。甚至一些商家利用搜集到的个人信息非法买卖，其中一部分个人信息被非法分子利用实施犯罪等。伴随着互联网技术、信息产业的不断发展，公民个人信息泄漏的问题亦愈来愈严重。如何在社会不断进步、发展的同时，有效保护个人信息不被非法使用，全社会亟待一部针对个人信息保护的法律来保障。

千呼万唤始出来，《个人信息保护法》（下简称“该法”或“本法”）经过多年的酝酿终于经第十三届全国人民代表大会常务委员会第三十次会议于2021年8月20日通过，自2021年11月1日起施行。

本法共计八章七十四条。

第一章是“总则”，明确了本法的立法依据和立法目的，共十二条；

第二章是“个人信息处理规则”，共二十五条，也是重点立法内容，分别明确了个人信息处理的一般规则、敏感信息和国家机关处理个人信息的规则；

第三章是关于“个人信息跨境提供的规则”，共六条；

第四章是“个人在个人信息处理活动中的权利”，赋予了个人享有的信息被使用的知情权、决定权、诉讼权，以及死者的近亲属行使个人信息保护的相关权利等，本章共七条；

第五章是“个人信息处理者的义务”，明确了个人信息处理者应采取措施防止未经授权的访问以及个人信息泄露、篡改、丢失等法定义务，本章共九条；

第六章是“履行个人信息保护职责的部门”，明确了个人信息保护的主要部门和职责，特别明确了网信部门有权对信息使用者进行“约谈”和委托专业机构对其“合规审计”，共六条；

第七章是“法律责任”，明确了个人信息处理者违反本法应当承担的法律责任和国家主管部门在履职中不作为应承担的法律责任，特别明确对个人信息使用人实行“举证责任倒置”和针对侵害众多个人信息权益的，赋予了相关组织发起“公益诉讼”的义务；

第八章是附则，排除了个人因家庭事务处理个人信息的适用本法的规定，同时，分别对“个人信息处理者”、“自动决策”、“去标识化”、“匿名化”等术语作出解释，更容易理解。

明确了“个人信息”的概念和个人信息处理范围，为个人信息保护划清了界线

第四条第一款明确“个人信息”的定义

个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息

第四条第二款明确“个人信息处理的范围”

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。为个人信息从输入端到输出端全程进行规范，为下一步国家网信部门和个人信息处理者建立个人信息保护的规则和标准及相关制度提供了依据。

明确了个人信息处理者在采集个人信息时应当遵循的原则、收集的范围尺度、禁止性规定

第五条明确个人信息处理者应当遵循的原则

个人信息处理者应当遵循：合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。

第六条明确个人信息收集的范围尺度

该法第六条明确收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。

赋予个人信息权利人“同意”权，未经“同意”不得使用个人信息，且排除了个人信息处理者的“拒绝提供产品或服务”的权利

第十条规定

基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。

第十六条规定

个人作出“不同意”的情况下，信息处理者不得“拒绝提供产品或服务”。从而避免了生活中，信息处理者将个人的“同意权”与使用产品或服务通过技术手段强制捆绑在一起的“胁迫”行为。

禁止个人信息处理者利用掌握的大数据“杀熟”，要求信息处理者保证决策透明、结果公正，赋予个人针对“自动化决策”的拒绝权

第二十四条规定

个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

个人信息处理者针对个人的“敏感信息”应征得个人单独同意，将十四周岁以下的未成年人的个人信息视为“敏感信息”，并应当征得监护人同意

赋予了个人享有针对信息处理者在使用个人信息时的知情权、决定权、查阅权、复制权、删除权

明确个人信息处理者的法定义务，如保护个人信息的安全措施，合规审计，个人信息保护影响评估等