《个人信息保护法》：不得过度收集个人信息

建设银行客户经理因非法出售数万条客户信息被判刑，阿里云泄露用户隐私得到浙江通信管理局证实……大数据时代，个人信息泄露事件频发，个人信息保护也成为公民最关注的问题之一。8月20日，《个人信息保护法》经过三次审议后正式出台，为个人信息保护提供了专门的法律保障。

河北大学法学院副教授王昆江表示，尽管此前已有《网络安全法》、《数据安全法》、民法典相关条款等保护个人信息的法律法规，但这些法律缺乏针对个人信息保护的体系化、系统化的操作规则体系的构建，《个人信息保护法》的出台弥补了这一不足。

值得一提的是，有公开数据统计，2016年至2020年，全国各级人民法院一审审结涉侵害个人信息犯罪且裁判文书已公开的案件中，从所涉个人信息数据来源行业来看，金融行业占比为39.10%，位列第一。

在新出台的《个人信息保护法》中，金融账户被列为敏感个人信息。个人金融信息在法律层面有了更好的法律保障。王昆江说：“信任是交易的基础，没有信任，就没有交易，金融交易更是如此。承诺为客户保密是成交的心理基础，是产生合理信赖的必要条件，是金融业古老的行业规则，是各国金融法公认的基本原则，将金融账户信息列为个人敏感信息是保护个人信息的题中之义。从规则层面讲，《个人信息保护法》也是《中华人民共和国中国人民银行法》、《中华人民共和国商业银行法》等一系列法律、规章及规范性文件的延伸和继续。”

王昆江指出，大型网络平台、金融机构等企业基于市场地位、控制能力、影响力，在个人信息保护方面负有更多责任。《个人信息保护法》在第五章专章对“个人信息处理者的义务”作了专门规定，例如，个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失：(一)制定内部管理制度和操作规程;(二)对个人信息实行分类管理;(三)采取相应的加密、去标识化等安全技术措施;(四)合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训;(五)制定并组织实施个人信息安全事件应急预案等等。

另外，《个人信息保护法》要求，个人信息处理者在处理敏感个人信息、向他人提供或公开个人信息、跨境转移个人信息等环节应取得个人的单独同意，明确个人信息处理者不得过度收集个人信息，不得以个人不同意为由拒绝提供产品或者服务，并赋予个人撤回同意的权利，在个人撤回同意后，个人信息处理者应当停止处理或及时删除其个人信息。(见习记者 李雪莹)

关键词： 个人信息 保护法 撤回 同意