个人信息保护法通过，将于 11 月起施行，它会给我们的生活带来什么改变？ 第1页

几个可能对特定行业产生影响的变化，具体如何落实，有待观察，也非常能够引发好奇：

1、为了实现「精准获客」进行的客流分析，可能玩不下去，或者需要换一套玩法了。

《个人信息安全保护法（三审稿）》提出，「在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。」

这就意味着，各种基于公共场合所收集的客流数据进行商业分析的产品，合规性会遇到严重问题。

例如，下面这篇报道中，就提及一款客流分析产品，据称可以「对客流特征，如年龄性别熟客等组成进行分析」，其中就涉及对于用户图像的采集和识别。《个人信息安全保护法》施行后，各种客流分析产品何去何从，拭目以待。

2、更多 App 将会提供「不精准」的推送机制

《个人信息安全保护法（三审稿）》提出，个人信息处理者通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供拒绝的方式。

简言之，就是可以拒绝「千人千面」、基于用户兴趣进行推荐的机制。这一点，看到一些 App 已经在做了，比如知乎就在设置中提供了「关闭个性化推荐」的选项，这也是为了符合新的合规性要求。

至于这种不精准的推送，能否帮助我们走出信息茧房，同样值得期待。

3、打击大数据杀熟有了更丰富的法律依据

关于大数据杀熟，已经实施的《关于平台经济领域的反垄断指南》是有规定的。《指南》要求，具有市场支配地位的平台经济领域经营者不得进行「差别待遇」，而在分析何者属于差别待遇时，可以考虑平台是否「基于大数据和算法，根据交易相对人的支付能力、消费偏好、使用习惯等，实行差异性交易价格或者其他交易条件」。

《指南》中对差别待遇的禁止，针对的是「市场支配地位的平台经济领域经营者」，可能还无法惠及所有的 App 用户。至于《个人信息保护法》能够提供什么样的保护，未来可期。

先给一个数据分类和数据安全的监管框架：

具体来看，个人信息保护法有什么值得注意的地方呢？

在适用范围方面，和GDPR类似，不仅中国人在国内受保护，在国外也一样^[1]：

在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法。

敏感信息的定义，比GDPR更广，特别是金融账户及个人行踪等信息：

结合《个人信息安全规范》，还包括通信记录，通讯录，网页浏览记录，住宿信息等。

在告知同意时：

向第三方提供，处理敏感个人信息及跨境传输都需要获得数据主体的单独同意

在保存周期方面：

保存期限应当为实现处理目的所必要的最短时间。

这个期限，几乎所有的平台现在都没有明确。

关于匿名化：

第二十四条规定“个人信息处理者向第三方提供匿名化信息的,第三方不得利用技术等手段重新识别个人身份”

关于撤回权：

基于个人同意而进行的个人信息处理活动,个人有权撤回其同意。不得因撤回而拒绝提供服务，应提供便捷的撤回同意方式，不影响撤回前已同意的个人信息处理效力。

更加全面，而且考虑得更加细致了，现在大部分互联网平台应该都是没有撤回选项的，或者说，没有便捷的撤回选项。

关于跨境^[2]：

个人认为是考虑了滴滴事件的影响。

此外，还明确了牵头部门：

总的来看，对于个人信息的保护愈加严格，更加保护消费者权益，同时，对于互联网平台的合规成本越来越高。

国内互联网，特别是移动互联网的飞速发展，得益于对于个人数据的深度挖掘，不过，随着个人隐私保护意识的觉醒，随着主要矛盾从发展转移为公民对于美好生活的追求，标志着野蛮生长的草莽时代已经过去，合规与安全才是接下来发展的重中之重。

参考

1. ^《中华人民共和国个人信息保护法（草案）》解读 https://www2.deloitte.com/cn/zh/pages/risk/articles/china-draft-personal-data-protection-law.html
2. ^《个人信息保护法（草案二审稿）》十大修订要点解读 http://www.zhonglun.com/Content/2021/04-30/1653580014.html