日前，十三届全国人大常委会第三十次会议表决通过了个人信息保护法，自2021年11月1日起施行。这部法律将怎样保护你我的信息安全？全国人大常委会法工委经济法室副主任杨合庆进行了解读。

热点一：处理个人信息应向个人充分告知并取得同意

杨合庆介绍，个人信息保护法明确，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围。

他表示，“告知—同意”是法律确立的个人信息保护核心规则。个人信息处理者在取得个人同意的情形下方可处理个人信息，个人信息处理的重要事项发生变更，应当重新向个人告知并取得同意。

针对群众反映强烈的一揽子授权、强制同意等问题，杨合庆表示，个人信息处理者在处理敏感个人信息、向他人提供或公开个人信息、跨境转移个人信息等环节应取得个人的单独同意，明确个人信息处理者不得过度收集个人信息，不得以个人不同意为由拒绝提供产品或者服务，并赋予个人撤回同意的权利。

热点二：防止“大数据杀熟”、敏感个人信息被滥用

“当前，越来越多的企业利用大数据分析、评估消费者的个人特征用于商业营销，这有利于提高经济活动的效率，提升消费者的消费体验，但一些企业却利用个人信息进行‘大数据杀熟’，侵犯了消费者权益，应当在法律上予以禁止。”杨合庆说。

根据个人信息保护法，个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。

个人信息保护法将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息列为敏感个人信息。本法要求，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，方可处理敏感个人信息。

（据新华社北京8月23日电，本文有删减）