《个人信息保护法》（以下简称《个保法》）已于2021年8月20日由第十三届全国人民代表大会常务委员会第三十次会议通过，并将自2021年11月1日起正式施行。十多年来，我国不断在立法层面加强个人信息的保护力度。从《刑法修正案（七）》《网络安全法》《电子商务法》，到《民法典》人格权编、《数据安全法》，再到《个保法》出台，我国个人信息保护的基本立法框架已经形成，法律体系更加完善。

　　企业单位作为主要的个人信息处理者，是《个保法》重点关注的对象。从整体上看，《个保法》以强化企业单位责任、重视个人信息保护为立法导向，通过重新界定个人信息内涵、强化信息处理者义务、禁止“大数据杀熟”、构建“告知—同意”核心规则，以更好实现其保护个人信息权益、规范个人信息处理活动、促进个人信息合理利用的立法目的。

　　重新界定个人信息内涵，扩大保护个人信息范围。

　　《民法典》第1034条规定，“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等”。《个保法》第4条则规定，“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息”。不同于《民法典》侧重从信息的用途界定个人信息，《个保法》规定的个人信息范围要大于前者，既包括能够指向特定自然人的信息，也包括与该特定自然人相关的其他信息。同时，《个保法》高度重视对个人信息的全生命周期保护。《个保法》第3条规定，“在中华人民共和国境内处理自然人个人信息的活动，适用本法”。个人信息的“处理”，依法包括对个人信息的收集、存储、使用、加工、传输、提供、公开、删除等方面，基本上涵盖企业经营过程中涉及个人信息的各个方面，进一步扩大了个人信息的认定与保护范围。

　　强化信息处理者义务，赋予个人充分信息权益。

　　《个保法》第51条至第59条通过系统规定个人信息处理者的义务，构建了完整的信息处理者义务体系。在《网络安全法》和《民法典》的基础上，《个保法》从我国个人信息保护实际出发，在第44条至第50条的制度设计中对个人信息权益予以充分保障，具体包括对个人信息处理的知情权与决定权、查阅复制权、可携带权、更正补充权、删除权、解释说明权等。

　　禁止“大数据杀熟”，规范自动化决策。

　　随着大数据技术的快速发展，企业在商业营销过程中利用大数据分析、评估消费者的个人特征已经司空见惯。例如，有的企业基于消费者的收入状况、消费档次、消费习惯等个人信息，对其在交易价格等方面实行歧视性的差别待遇，误导与欺诈消费者。其中以“大数据杀熟”最为典型。“大数据杀熟”行为因其违反诚实信用原则，侵犯了《消费者权益保护法》所规定之消费者享有公平交易条件的权利，应当在立法上予以禁止。对此，《个保法》第24条规定，个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得在交易价格等交易条件上实行不合理的差别待遇。

　　构建“告知—同意”核心规则，严格保护敏感个人信息。

　　《个保法》通过紧紧围绕规范个人信息处理活动、保障个人信息权益，构建以“告知—同意”为核心的个人信息处理规则。《个保法》第15条至第17条对此作出规定：必须要对个人的知情权加以保障，明确在处理个人信息前，个人信息处理者应当以显著方式和清晰易懂的语言，真实、准确、完整地将个人信息处理的目的、处理方式等相关事项告知个人，使个人得以在充分知情的前提下自愿、明确作出同意。《个保法》第28条至第30条亦对敏感个人信息的含义及其保护作出规定。只有在具有特定的目的和充分的必要性且采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。处理敏感个人信息应当取得个人的单独同意，并向个人告知处理敏感信息的必要性及其对个人权益的影响。

　　作为企业单位，应该如何强化自身责任，重视个人信息保护？

　　其一，遵循原则，确保个人信息权益。《个保法》通过确立个人信息处理应遵循的原则，强调处理个人信息应当遵循合法、正当、必要和诚信原则，具有明确、合理的目的并与处理目的直接相关，采取对个人权益影响最小的方式，限于实现处理目的的最小范围，公开处理规则，保证信息质量，采取安全保护措施等。这就要求企业单位应当厘清基于法律许可处理个人信息的范围，基于个人同意处理个人信息的范围，以及法律禁止处理的个人信息范围。

　　其二，建章立制，完善保护个人信息的权益措施。具言之，企业单位应将与某一自然人相关的全部信息都纳入个人信息保护范畴，制定一整套包括个人信息处理规则、个人信息保护内部管理制度和操作规程、个人信息安全事件的应急预案在内的个人信息保护相关制度。对于员工的敏感个人信息，企业单位应当注意识别，遵守关于处理敏感个人信息的特殊要求。此外，企业单位还应当建立有效机制受理员工对其个人信息行使权利的申请。

　　其三，依法决策，保障个人的选择权和拒绝权。针对社会热议的“大数据杀熟”等现象，企业单位利用个人信息进行自动化决策应该严格遵守《个保法》相关规定，保障个人的选择权和拒绝权。在自动化决策之前，应当充分保证自动化决策过程和结果的公平、公正；在将自动化决策用于信息推送和商业营销的过程中，提供不针对个人特征的选项或便捷的拒绝方式；当仅通过自动化决策作出对个人权益有重大影响的决定时，应保障个人的释明权和拒绝权。

　　其四，加强管控，预防风险发生。一方面，企业单位应当采取有效的管控措施确保个人信息的安全。另一方面，企业单位应定期对从业人员进行安全教育和培训，组织实施个人信息安全事件应急预案，在发生个人信息安全事件时及时采取补救措施并履行通知义务。

　　企业单位更应当立足于自身和社会的可持续发展，以一种对人民和国家负责的方式处理个人信息，并在具体的守法实践中树立主动承担处理个人信息合规这一社会责任的内在价值观。