近些年，个人信息泄漏、被滥用和侵害的情况愈演愈烈，给我们的正常生活、财产安全，甚至生命安全都可能造成威胁。

2021年11月1日，《个人信息保护法》正式施行。该法集中体现了以人民为中心的立法理念，并将在国家层面建立健全个人信息保护制度，预防和惩治侵害个人信息权益的行为，加强个人信息保护宣传教育，推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境，确保《个人信息保护法》的各项要求和规定在社会生活中得到全面的贯彻和实施。

这部法律为我们生活中常见、的热点难点问题都给出了答案

01针对非法传输、售卖他人信息

个人信息保护法规定：任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动。

02针对App过度收集个人信息

个人信息保护法规定：处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。

03针对公共场所安装摄像头、和人脸识别设备

个人信息保护法规定：在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的；取得个人单独同意的除外。

04针对“大数据杀熟”

个人信息保护法规定：个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

金融账户被列为敏感个人信息

在《个人信息保护法》中“金融账户”与生物识别、宗教信仰、特定身份、医疗健康、行踪轨迹等信息以及不满十四周岁未成年人的个人信息被列为敏感个人信息。

“《个人信息保护法》在第28条中将金融机构所掌握的客户个人信息归类为‘敏感个人信息’这一特别类型。”上海国际经济贸易仲裁委员会仲裁员汪灵罡表示，金融机构所掌握的个人信息，依据其获取途径和发挥作用地不同，在《个人信息保护法》之下可归于不同的类型，相应地由金融机构进行不同程度的保护。如员工个人信息属于《个人信息保护法》下“个人信息”类型，客户相关信息、业务合作方相关个人信息属于“敏感个人信息”。总体而言，《个人信息保护法》为如何保护以及在什么程度上保护个人信息提供了一个法律框架。

汪灵罡表示，金融机构对于其掌握的个人信息尤其是“敏感个人信息”，往往会进行深度挖掘。“尤其是在当前互联网财富管理、互联网保险、互联网消费金融、指纹支付、视频刷脸支付等互联网业务风起云涌的市场背景下，交易习惯、消费偏好等客户个人信息就是‘金矿’。

通过对这些与交易相关‘敏感个人信息’总结归纳、演绎后得到的‘衍生个人信息’，对金融机构的风险管理和业务拓展都具有很高的价值。”他进一步表示，“衍生个人信息”是通过对客户“敏感个人信息”的挖掘而获得的，其本身的性质仍然是“敏感个人信息”，因此，机构有义务对其进行更好的保护。

不过，汪灵罡认为，《个人信息保护法》第4条规定“个人信息不包括匿名化处理后的信息”，这意味着，如果“衍生个人信息”已经脱离了具体化的自然人，且其信息源是来自于某个自然人群体，能够实现不指向具体某个自然人而“匿名化”，那么这一类的“衍生个人信息”就不再是《个人信息保护法》所定义和适用的“个人信息”，而是转化为金融机构自有的商业信息、商业秘密、知识产权。

“《个人信息保护法》的出台不仅为个人信息保护工作的顺利开展奠定基础，而且，作为信息保护领域的上位法，后续将加速推动征信业务管理、个人金融信息保护相关法规条例出台。”苏筱芮对《金融时报》记者表示。