2021年8月20日，第十三届全国人民代表大会常务委员会第三十次会议表决通过《中华人民共和国个人信息保护法》（下称《个人信息保护法》），并自2021年11月1日起施行。与草案二次审议稿相对比，《个人信息保护法》主要有三个方面的修改亮点，具体如下：

（一）进一步完善对自动化决策的规制，企业应结合其他细分领域规则判断“不合理差别待遇”的内涵，加强对后续《个人信息保护法》执法实践的关注，降低高额处罚风险

《个人信息保护法》第七十三条首先对自动化决策进行了定义：自动化决策是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。其次，《个人信息保护法》第二十四条进一步明确，利用个人信息进行自动化决策，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

《个人信息保护法》虽未就何为合理、何为差别待遇、何为交易条件相同进行专门定义和列举，但是也为未来的解释留下了更大的空间。这意味着企业未来在使用自动化决策机制时，一方面要了解所在地区的数据监管要求以及相关部门规定进行判断，另一方面也要结合案例和《个人信息保护法》的执法实践，进一步指导自身的自动化决策机制是否实质性的造成了“不合理差别待遇”。

（二）将不满十四周岁未成年人的个人信息作为敏感个人信息，企业应及时识别未成年人人群，做好专门的敏感个人信息处理机制

《个人信息保护法》第二十八条明确要求将不满十四周岁未成年人的个人信息作为敏感个人信息。根据《个人信息保护法》第二节“敏感个人信息的处理规则”，敏感个人信息是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。处理不满十四周岁未成年人个人信息的，应当取得未成年人父母或者其他监护人的单独同意。

值得注意的是，因不满十四周岁未成年人的个人信息属于敏感个人信息，个人信息处理者只有在具有特定的目的和充分的必要性、并采取严格保护措施的前提下，方可处理不满十四周岁未成年人的个人信息。同时，处理不满十四周岁未成年人的个人信息的合法性基础仅为“取得个人的同意”。

《个人信息保护法》正式施行后，个人信息处理者处理不满十四周岁未成年人个人信息的，应取得未成年人父母或者其他监护人的单独同意，制定专门的个人信息处理规则、告知处理未成年人个人信息的必要性以及对个人权益的影响。针对专门面向不满十四周岁未成年人的个人信息处理者，如相关开发儿童智力教育的APP运营者，履行上述义务并非难事。但对于面向一般大众的个人信息处理者，如何在实践中履行上述义务可能是一个难点。借鉴域外立法经验，如美国的《儿童在线隐私保护规则》（Children’s Online Privacy Protection Act），个人信息处理者可通过年龄筛选的方式确认其收集的信息所属主体的年龄段。该等年龄筛选的方式包括用户自主输入年龄、使用cookie技术追踪用户可能谎报年龄的情形。

考虑到目前智能手机与网络使用者的低龄化趋势十分明显，且教育、娱乐、医疗、旅游等企业领域纷纷推出面向儿童的产品，因此我们建议相关企业需结合具体场景，提出有效识别未成年人用户的方案，并制定有效的敏感个人信息处理合规方案。

（三）增加个人信息可携带权的规定，打破“信息孤岛”，有助于数据融合和打通

早在中国人民银行于2019年12月27日发布了《金融消费者权益保护实施办法（征求意见稿）》（以下简称“《办法》”）第三十六条规定，“鼓励金融机构在技术可行的前提下，基于金融消费者的请求，将其金融信息转移至金融消费者指定的其他金融机构。”第一次出现了个人金融信息可携带权的身影，但是该办法正式出台后，该条款并未最终纳入。但是明确了鼓励性原则，并未个人信息处理者的义务，且明确了“技术可行”这样的前提。

《个人信息保护法》第四十五条规定：“个人请求将其个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径”。该条明确赋予个人信息主体以个人信息可携带权。而《个人信息保护法》第四十五条一定程度上弥补了上述《办法》的遗憾。

个人信息可携带权的提出，丰富了个人信息主体的权利，与《个人信息保护法》的第三大立法目的“促进个人信息合理利用”遥相呼应，同时也有“反垄断”，打破“数据孤岛”的积极作用，促进了数据的流动。但是该权利如同“被遗忘权”、“居住权”一样，相关权利的内涵、权利的行使要求以及个人信息处理者的回应，以及不回应后个人信息主体的救济（如，是否可以提起诉讼，案由及裁判规则如何等），仍不清晰。从我们对欧盟《通用数据保护条例》（General Data Protection Regulation,以下简称“GDPR”）的执行情况的了解，该权利也存在“增加企业负担”的负面声音。不过基于我国本土实践，未来通过《个人信息保护法》司法解释、监管部门的实施细则、以及相关指导性案例，可以更好落实该权利的实现。

《个人信息保护法》的通过，是我国对社会关切的充分回应，同时也为破解个人信息保护中的热点难点问题提供了强有力的保障。在信息处理技术不断发展、个人信息权益受到侵害的情形呈现多样化趋势之时，《个人信息保护法》构建以“告知-同意”为核心的个人信息处理规则，完善个人在个人信息处理活动中的各项权利，设专章明确了个人信息处理者的合规管理和保障个人信息安全等义务，对处理敏感个人信息、利用个人信息进行自动化决策、对外提供或公开个人信息等高风险处理活动设置了更严格的义务要求，加大了对违法处理个人信息行为的处罚力度，使得个人信息权益得到了更有力的保护。