• 進一步完善明確個人信息處理應(yīng)遵循的原則；

• 參照民法典中的規(guī)定，增加了對死者的個人信息保護條款；

• 增加了超大互聯(lián)網(wǎng)平臺特定的個人信息保護義務(wù)的要求；

• 明確了由國家網(wǎng)信部門統(tǒng)籌推進個人信息保護有關(guān)工作；

• 明確了個人信息侵權(quán)行為的歸責原則為過錯推定。

• 在第一條中增加規(guī)定“根據(jù)憲法”制定本法；

• 進一步完善個人信息處理規(guī)則，特別是對應(yīng)用程序（APP）過度收集個人信息、大數(shù)據(jù)殺熟以及非法買賣、泄露個人信息等作出針對性規(guī)范；

• 將未成年人的個人信息作為敏感個人信息，并制定專門的處理規(guī)則；

• 完善個人信息跨境提供的規(guī)則；

• 增加個人信息可攜帶權(quán)的規(guī)定，完善死者個人信息保護的規(guī)定；

• 完善個人信息保護投訴、舉報工作機制及對違法處理個人信息涉嫌犯罪案件的移送提出明確要求。

1、術(shù)語界定

個人信息：是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。

個人信息的處理：包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。

敏感個人信息：一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。

2、范圍界定

境內(nèi)：組織、個人在中華人民共和國境內(nèi)處理自然人個人信息的活動，適用本法。

境外：在中華人民共和國境外處理中華人民共和國境內(nèi)自然人個人信息的活動，有下列情形之一的，也適用本法：

另：境外的個人信息處理者，應(yīng)當在中華人民共和國境內(nèi)設(shè)立專門機構(gòu)或者指定代表，負責處理個人信息保護相關(guān)事務(wù)，并將有關(guān)機構(gòu)的名稱或者代表的姓名、聯(lián)系方式等報送履行個人信息保護職責的部門。

3、個人信息處理規(guī)則

確立個人信息處理應(yīng)遵循的原則，強調(diào)處理個人信息應(yīng)當遵循合法、正當、必要和誠信原則，具有明確、合理的目的，限于實現(xiàn)處理目的的最小范圍，公開處理規(guī)則，保證信息準確，采取安全保護措施等，并將上述原則貫穿于個人信息處理的全過程、各環(huán)節(jié)。(第五條至第九條)

確立以“告知-同意”為核心的個人信息處理一系列規(guī)則，要求處理個人信息應(yīng)當在事先充分告知的前提下取得個人同意，并且個人有權(quán)撤回同意；重要事項發(fā)生變更的應(yīng)當重新取得個人同意；不得以個人不同意為由拒絕提供產(chǎn)品或者服務(wù)。考慮到經(jīng)濟社會生活的復雜性和個人信息處理的不同情況，本法還對基于個人同意以外合法處理個人信息的情形作了規(guī)定。(第十三條至第十九條)

根據(jù)個人信息處理的不同環(huán)節(jié)、不同個人信息種類，對個人信息的共同處理、委托處理、向第三方提供、公開、用于自動化決策、處理已公開的個人信息等提出有針對性的要求。(第二十一條至第二十七條)

設(shè)專節(jié)對處理敏感個人信息作出更嚴格的限制，只有在具有特定的目的和充分的必要性的情形下，方可處理敏感個人信息，并且應(yīng)當取得個人的單獨同意或者書面同意。(第二十八條至第三十二條)

設(shè)專節(jié)規(guī)定國家機關(guān)處理個人信息的規(guī)則，在保障國家機關(guān)依法履行職責的同時，要求國家機關(guān)處理個人信息應(yīng)當依照法律、行政法規(guī)規(guī)定的權(quán)限和程序進行。(第三十三條至第三十七條)

4、個人信息跨境提供規(guī)則

明確關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的處理者，確需向境外提供個人信息的，應(yīng)當通過國家網(wǎng)信部門組織的安全評估；對于其他需要跨境提供個人信息的，規(guī)定了經(jīng)專業(yè)機構(gòu)認證等途徑。(第三十八條、第四十條)

對跨境提供個人信息的 “告知-同意”作出更嚴格的要求。(第三十九條，應(yīng)告知接收方詳細信息，并取得單獨同意)

未經(jīng)中華人民共和國主管機關(guān)批準，個人信息處理者不得向外國司法或者執(zhí)法機構(gòu)提供存儲于中華人民共和國境內(nèi)的個人信息。(第四十一條)

對從事?lián)p害我國公民個人信息權(quán)益等活動的境外組織、個人，以及在個人信息保護方面對我國采取不合理措施的國家和地區(qū)，規(guī)定了可以采取的相應(yīng)措施。(第四十二條、第四十三條，國家網(wǎng)信部門可以將其列入限制或者禁止個人信息提供清單，予以公告，并采取限制或者禁止向其提供個人信息等措施。)

5、個人信息處理活動中個人的權(quán)利和處理者義務(wù)

與民法典的有關(guān)規(guī)定相銜接，明確在個人信息處理活動中個人的各項權(quán)利，包括知情權(quán)、決定權(quán)、查詢權(quán)、更正權(quán)、刪除權(quán)等，并要求個人信息處理者建立個人行使權(quán)利的申請受理和處理機制。(第四十四條至第五十條)

明確個人信息處理者的合規(guī)管理和保障個人信息安全等義務(wù)(第五十一條至第五十六條)

明確提供基礎(chǔ)性互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復雜的個人信息處理者的義務(wù)(第五十七條)

6、履行個人信息保護職責的部門

個人信息保護職責部門的定義。（第六十條）

明確個人信息保護部門的職責。(第六十一條、第六十二條)

個人信息保護部門可以采用的措施，包括詢問、查閱、復制資料、現(xiàn)場檢查、檢查設(shè)備及物品、查封或者扣押、約談主要負責人、進行合規(guī)審計等。(第六十三條、第六十四條)

對個人信息違法活動的投訴、舉報及處置進行規(guī)定。(第六十五條)

7、法律責任

違反規(guī)定。（第六十六條）

情節(jié)嚴重。（第六十六條）

存在違法行為的依照有關(guān)規(guī)定記入信用檔案，并予以公示。（第六十七條）

國家機關(guān)不履行保護義務(wù)的處罰進行規(guī)定。（第六十八條）

個人信息侵權(quán)行為的歸責原則為過錯推定。（第六十九條）

個人信息主體可以對侵權(quán)行為發(fā)起集體訴訟。（第七十條）

與治安管理、刑法相銜接。（第七十一條）

因為涉及面廣、影響范圍大、發(fā)生頻率高，廣大人民群眾苦“個人信息濫用”久矣，因此本法第第二十四、第二十六條專門針對個人信息的濫用這一社會熱點問題進行了明確規(guī)定。

1、針對新技術(shù)新引用進行了高度關(guān)注

第二十四條 個人信息處理者利用個人信息進行自動化決策，應(yīng)當保證決策的透明度和結(jié)果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。通過自動化決策方式向個人進行信息推送、商業(yè)營銷，應(yīng)當同時提供不針對其個人特征的選項，或者向個人提供便捷的拒絕方式。通過自動化決策方式作出對個人權(quán)益有重大影響的決定，個人有權(quán)要求個人信息處理者予以說明，并有權(quán)拒絕個人信息處理者僅通過自動化決策的方式作出決定。

針對當前社會各方面對于用戶畫像、算法推薦等新技術(shù)新應(yīng)用高度關(guān)注，對相關(guān)產(chǎn)品和服務(wù)中存在的信息騷擾、“大數(shù)據(jù)殺熟”等問題強烈反應(yīng)。個人信息保護法立足于維護廣大人民群眾的網(wǎng)絡(luò)空間合法權(quán)益，對利用個人信息進行自動化決策作出有針對性規(guī)范，明確要求提供個人拒絕的選項。

2、針對公共場所安裝攝像頭有了明確規(guī)定

第二十六條 在公共場所安裝圖像采集、個人身份識別設(shè)備，應(yīng)當為維護公共安全所必需，遵守國家有關(guān)規(guī)定，并設(shè)置顯著的提示標識。所收集的個人圖像、身份識別信息只能用于維護公共安全的目的，不得用于其他目的；取得個人單獨同意的除外。

人臉識別是人工智能技術(shù)的重要應(yīng)用，在為社會生活帶來便利的同時，其所帶來的個人信息保護問題也日益凸顯?！?·15晚會”曝光人臉識別技術(shù)濫用亂象、“我國人臉識別第一案”中強制顧客激活人臉識別系統(tǒng)等，體現(xiàn)出人臉識別技術(shù)廣泛應(yīng)用與個人信息保護的矛盾日益尖銳。個人信息保護法做了明文規(guī)定，只能用于公共安全。