民法典|贯彻《个人信息保护法》十大要点需注意( 三 )_量产|哪吒|智能汽车|汽车|360安

《个人信息保护法》第二十八条给出了“敏感个人信息”的定义，即“敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。” 该定义采用了“个人信息被泄露或者非法使用+危害后果+列举重要敏感个人信息”的立法技术，同时将不满十四周岁未成年人的个人信息也纳入了“敏感个人信息”给予重点保护。
《个人信息保护法》对处理敏感个人信息作出了严格的限制性规定，即在履行“告知-知情-同意”原则的基础上，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。特别是处理敏感个人信息应当取得个人的单独同意，如果法律、行政法规规定处理敏感个人信息应当取得书面同意的，应当从其规定。
七、严禁“大数据杀熟”以及为“用户画像”等涉及不当自动化决策
针对“大数据杀熟”“用户画像”和“算法推荐”等涉及个人信息自动化决策的热点问题，《个人信息保护法》作出了明确规范（第二十四条）：首先，个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇；其次，通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式；第三，通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
《个人信息保护法》就个人信息处理者利用个人信息进行自动化决策重点确立了一项义务性规范和一项禁止性规定：一是应当保证决策的透明度和结果公平、公正；二是不得对个人在交易价格等交易条件上实行不合理的差别待遇。
八、个人信息跨境提供规则
在数字和网络时代，特别是疫情激发的非接触式经济，使得个人信息的跨境流动日益频繁，但是由于不同国家的个人信息法律制度存在差异，个人信息跨境流动的规则也有所不同。我国《个人信息保护法》立足我国实际，并借鉴了国际立法经验，确立了一套完善的个人信息跨境提供规则。
《个人信息保护法》明确了个人信息处理者向境外提供个人信息应当具备的基本条件，如关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的处理者，确需向境外提供个人信息的，应当通过国家网信部门组织的安全评估；对于其他需要跨境提供个人信息的，应由专业机构进行个人信息保护认证；个人信息处理者因业务需要向境外提供个人信息，需按照国家网信部门的标准合同与境外接收方订立合同；对我国缔结或者参加的国际条约、协定对向我国境外提供个人信息的条件等有规定的，可以按照其规定执行等。
《个人信息保护法》对个人信息处理者跨境提供个人信息的“告知与单独同意”作出了严格的要求；对因国际司法协助或者行政执法协助，需要向境外提供个人信息的，要求依法申请有关主管部门批准，特别是对从事损害我国公民个人信息权益或者危害我国国家安全、公共利益等活动的境外组织、个人，以及在个人信息保护方面对我国采取不合理措施的国家和地区，规定了相应的限制或者禁止措施。
九、个人在个人信息处理活动中的七项权利
《个人信息保护法》全面构建了个人在个人信息处理活动中的权利，包括知情权、决定权（限制、拒绝和撤回权）、查阅复制权、个人信息可携带权、更正补充权、删除权、规则解释权。