《个人信息保护法》11月起施行　不得过度收集资料大数据“杀熟”

十三届全国人大常委会第三十次会议在周五（20日）表决通过《中华人民共和国个人信息保护法》，自2021年11月1日起施行。
新华社报道，新法明确不得过度收集个人资料、大数据“杀熟”，对人脸资料等敏感个人资料的处理亦有作出规制，并完善个人资料保护投诉、举报工作机制等，“这部专门法律充分回应了社会关切，为破解个人信息保护中的热点难点问题提供了强有力的法律保障”。

据介绍，新法明确个人资料处理和跨境提供的规则、个人资料处理者的义务等内容。法律规定，任何组织、个人不得非法收集、使用、加工、传输他人个人资料，不得非法买卖、提供或者公开他人个人资料。针对过度收集资料、大数据“杀熟”的问题，法律亦明确，处理个人资料应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。此外，个人资料处理者利用个人资料进行自动化决策，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

至于滥用人脸识别技术问题，法律要求在公共场所安装图像采集、个人身份识别设备，应设置显著的提示标签；所收集的个人图像、身份识别资料只能用于维护公共安全的目的。

报道并提到，提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人资料处理者，法律特别规定其需要履行的义务，如建立健全个人资料保护合规制度体系，定期发布个人资料保护社会责任报告，接受社会监督等。

最后，法律还有进一步强化相关部门的监管职责，从严惩治违法行为。履行个人资料保护职责的部门发现个人资料处理活动存在较大风险或者发生个人资料安全事件时，可以按照规定的权限和程序对相关的法定代表人或者主要负责人进行约谈，或者要求其委托专业机构对活动进行合规审计。违法处理个人资料的应用程式，责令暂停或者终止提供服务，拒不改正可处以100万元（人民币．下同）以下罚款，对直接负责的主管人员和其他直接责任人员处1万元以上、10万元以下罚款。