• 進一步完善明確個人信息處理應遵循的原則；

• 參照民法典中的規(guī)定，增加了對死者的個人信息保護條款；

• 增加了超大互聯(lián)網(wǎng)平臺特定的個人信息保護義務的要求；

• 明確了由國家網(wǎng)信部門統(tǒng)籌推進個人信息保護有關工作；

• 明確了個人信息侵權行為的歸責原則為過錯推定。

• 在第一條中增加規(guī)定“根據(jù)憲法”制定本法；

• 進一步完善個人信息處理規(guī)則，特別是對應用程序（APP）過度收集個人信息、大數(shù)據(jù)殺熟以及非法買賣、泄露個人信息等作出針對性規(guī)范；

• 將未成年人的個人信息作為敏感個人信息，并制定專門的處理規(guī)則；

• 完善個人信息跨境提供的規(guī)則；

• 增加個人信息可攜帶權的規(guī)定，完善死者個人信息保護的規(guī)定；

• 完善個人信息保護投訴、舉報工作機制及對違法處理個人信息涉嫌犯罪案件的移送提出明確要求。

1、術語界定

個人信息：是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。

個人信息的處理：包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。

敏感個人信息：一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。

2、范圍界定

境內(nèi)：組織、個人在中華人民共和國境內(nèi)處理自然人個人信息的活動，適用本法。

境外：在中華人民共和國境外處理中華人民共和國境內(nèi)自然人個人信息的活動，有下列情形之一的，也適用本法：

另：境外的個人信息處理者，應當在中華人民共和國境內(nèi)設立專門機構或者指定代表，負責處理個人信息保護相關事務，并將有關機構的名稱或者代表的姓名、聯(lián)系方式等報送履行個人信息保護職責的部門。

3、個人信息處理規(guī)則

確立個人信息處理應遵循的原則，強調(diào)處理個人信息應當遵循合法、正當、必要和誠信原則，具有明確、合理的目的，限于實現(xiàn)處理目的的最小范圍，公開處理規(guī)則，保證信息準確，采取安全保護措施等，并將上述原則貫穿于個人信息處理的全過程、各環(huán)節(jié)。(第五條至第九條)

確立以“告知-同意”為核心的個人信息處理一系列規(guī)則，要求處理個人信息應當在事先充分告知的前提下取得個人同意，并且個人有權撤回同意；重要事項發(fā)生變更的應當重新取得個人同意；不得以個人不同意為由拒絕提供產(chǎn)品或者服務?？紤]到經(jīng)濟社會生活的復雜性和個人信息處理的不同情況，本法還對基于個人同意以外合法處理個人信息的情形作了規(guī)定。(第十三條至第十九條)

根據(jù)個人信息處理的不同環(huán)節(jié)、不同個人信息種類，對個人信息的共同處理、委托處理、向第三方提供、公開、用于自動化決策、處理已公開的個人信息等提出有針對性的要求。(第二十一條至第二十七條)

設專節(jié)對處理敏感個人信息作出更嚴格的限制，只有在具有特定的目的和充分的必要性的情形下，方可處理敏感個人信息，并且應當取得個人的單獨同意或者書面同意。(第二十八條至第三十二條)

設專節(jié)規(guī)定國家機關處理個人信息的規(guī)則，在保障國家機關依法履行職責的同時，要求國家機關處理個人信息應當依照法律、行政法規(guī)規(guī)定的權限和程序進行。(第三十三條至第三十七條)

4、個人信息跨境提供規(guī)則

明確關鍵信息基礎設施運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的處理者，確需向境外提供個人信息的，應當通過國家網(wǎng)信部門組織的安全評估；對于其他需要跨境提供個人信息的，規(guī)定了經(jīng)專業(yè)機構認證等途徑。(第三十八條、第四十條)

對跨境提供個人信息的 “告知-同意”作出更嚴格的要求。(第三十九條，應告知接收方詳細信息，并取得單獨同意)

未經(jīng)中華人民共和國主管機關批準，個人信息處理者不得向外國司法或者執(zhí)法機構提供存儲于中華人民共和國境內(nèi)的個人信息。(第四十一條)

對從事?lián)p害我國公民個人信息權益等活動的境外組織、個人，以及在個人信息保護方面對我國采取不合理措施的國家和地區(qū)，規(guī)定了可以采取的相應措施。(第四十二條、第四十三條，國家網(wǎng)信部門可以將其列入限制或者禁止個人信息提供清單，予以公告，并采取限制或者禁止向其提供個人信息等措施。)

5、個人信息處理活動中個人的權利和處理者義務

與民法典的有關規(guī)定相銜接，明確在個人信息處理活動中個人的各項權利，包括知情權、決定權、查詢權、更正權、刪除權等，并要求個人信息處理者建立個人行使權利的申請受理和處理機制。(第四十四條至第五十條)

明確個人信息處理者的合規(guī)管理和保障個人信息安全等義務(第五十一條至第五十六條)

明確提供基礎性互聯(lián)網(wǎng)平臺服務、用戶數(shù)量巨大、業(yè)務類型復雜的個人信息處理者的義務(第五十七條)

6、履行個人信息保護職責的部門

個人信息保護職責部門的定義。（第六十條）

明確個人信息保護部門的職責。(第六十一條、第六十二條)

個人信息保護部門可以采用的措施，包括詢問、查閱、復制資料、現(xiàn)場檢查、檢查設備及物品、查封或者扣押、約談主要負責人、進行合規(guī)審計等。(第六十三條、第六十四條)

對個人信息違法活動的投訴、舉報及處置進行規(guī)定。(第六十五條)

7、法律責任

違反規(guī)定。（第六十六條）

情節(jié)嚴重。（第六十六條）

存在違法行為的依照有關規(guī)定記入信用檔案，并予以公示。（第六十七條）

國家機關不履行保護義務的處罰進行規(guī)定。（第六十八條）

個人信息侵權行為的歸責原則為過錯推定。（第六十九條）

個人信息主體可以對侵權行為發(fā)起集體訴訟。（第七十條）

與治安管理、刑法相銜接。（第七十一條）

因為涉及面廣、影響范圍大、發(fā)生頻率高，廣大人民群眾苦“個人信息濫用”久矣，因此本法第第二十四、第二十六條專門針對個人信息的濫用這一社會熱點問題進行了明確規(guī)定。

1、針對新技術新引用進行了高度關注

第二十四條 個人信息處理者利用個人信息進行自動化決策，應當保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。通過自動化決策方式向個人進行信息推送、商業(yè)營銷，應當同時提供不針對其個人特征的選項，或者向個人提供便捷的拒絕方式。通過自動化決策方式作出對個人權益有重大影響的決定，個人有權要求個人信息處理者予以說明，并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。

針對當前社會各方面對于用戶畫像、算法推薦等新技術新應用高度關注，對相關產(chǎn)品和服務中存在的信息騷擾、“大數(shù)據(jù)殺熟”等問題強烈反應。個人信息保護法立足于維護廣大人民群眾的網(wǎng)絡空間合法權益，對利用個人信息進行自動化決策作出有針對性規(guī)范，明確要求提供個人拒絕的選項。

2、針對公共場所安裝攝像頭有了明確規(guī)定

第二十六條 在公共場所安裝圖像采集、個人身份識別設備，應當為維護公共安全所必需，遵守國家有關規(guī)定，并設置顯著的提示標識。所收集的個人圖像、身份識別信息只能用于維護公共安全的目的，不得用于其他目的；取得個人單獨同意的除外。

人臉識別是人工智能技術的重要應用，在為社會生活帶來便利的同時，其所帶來的個人信息保護問題也日益凸顯。“3·15晚會”曝光人臉識別技術濫用亂象、“我國人臉識別第一案”中強制顧客激活人臉識別系統(tǒng)等，體現(xiàn)出人臉識別技術廣泛應用與個人信息保護的矛盾日益尖銳。個人信息保護法做了明文規(guī)定，只能用于公共安全。