《个人信息保护法》第一条，即开宗明义点明了立法宗旨与目的，明确了立法规制范围，我们把它总结为三个要点，即保护（个人信息权益）、规范（个人信息处理活动）、（促进个人信息）合理利用。

对比《个人信息保护法》立法草案，删去了“保障个人信息依法有序自由流动”，我们可以看出《个人信息保护法》立法的指导思想对于个人信息流动是持一个严肃规制的态度，对个人信息保护趋向严格。同时第一条中加上“根据宪法”使“个人信息受法律保护”上升为一种公民基本权利，可称之为“个人信息保护权”，足见“个人信息保护”的法律地位之高以及立法者对其重视程度之深。

《个人信息保护法》第四条定义了个人信息的概念：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”该定义较为宽泛不容易理解。可以参考国标GB/T 35273-2020《信息安全技术个人信息安全规范》进行解读。姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等都应属于个人信息范畴。

当判定某项信息是否属于个人信息时，应主要考虑以下两条路径：

一是识别，即从信息到个人，由信息本身的特殊性识别出特定自然人，个人信息应有助于识别出特定个人。

二是关联，即从个人到信息，如已知特定自然人，由该特定自然人在其活动中产生的信息（如个人位置信息、个人通话记录、个人浏览记录等）即为个人信息。

（一）合法、正当、必要和诚信原则——要求个人信息处理者处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。

（二）目的性原则——要求个人信息处理者处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关。

（三）不得过度收集原则（影响最小原则）——要求个人信息处理者处理个人信息应当采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。

（四）公开、透明原则——要求个人信息处理者处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。

（五）保证个人信息的质量原则——要求个人信息处理者处理个人信息应当保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响。

（六）谁处理、谁负责原则——要求个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。

《个人信息保护法》第三条明确了其域外适用的效力，即通过最密切联系原则确立了三项连结点，其与欧盟《通用数据保护条例》（General Data Protection Regulation，以下简称“GDPR”）第三条中的指向性和监管性要求相类似。三项连接点是：1、以向境内自然人提供产品或者服务为目的；2、分析、评估境内自然人的行为；法律、行政法规规定的其他情形。

要求个人信息处理者在收集处理个人信息前向被收集信息的个人履行充分的告知义务，充分告知：（一）个人信息处理者的名称或者姓名和联系方式；（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；（三）个人行使权利的方式和程序等内容。并需要取得个人的明示同意（处理敏感信息等要求取得单独同意）。个人同意后可撤回其同意，个人信息处理者应当提供便捷的撤回同意的方式。

考虑到经济社会生活的复杂性，个人信息处理的场景日益多样，《个人信息保护法》从维护公共利益和保障社会正常生产生活的角度，还对取得个人同意以外可以合法处理个人信息的特定情形作了规定。以下情形处理个人信息的，不受告知同意规则的约束：

（一）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；

（二）为履行法定职责或者法定义务所必需；

（三）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；

（四）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；

（五）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息。

敏感信息一旦泄露或者被非法使用，极易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害，因此，对处理敏感个人信息的活动，《个人信息保护法》作出更加严格的限制。

敏感信息主要包括对个人权益有重大影响的生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息。《个人信息保护法》要求处理敏感信需要有特定的目的和充分的必要性并需要采取严格保护措施，同时个人信息处理者还需要告知个人必要性以及对个人权益的影响并取得单独同意。

为保护未成年人的个人信息权益和身心健康，《个人信息保护法》特别将不满十四周岁未成年人的个人信息确定为敏感个人信息予以严格保护。同时，与未成年人保护法有关规定相衔接，要求处理不满十四周岁未成年人个人信息应当取得未成年人的父母或者其他监护人的同意。该规定符合了国际立法的惯例，重点关注未成年人信息的保护和安全。

实践中存在大量的两个以上主体共同处理信息情况。这种情况下信息处理者对外承担连带责任，对外连带，内部应当约定权利义务，可以内部追偿。

一方委托另一方处理个人信息的情况下，应当约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等。受托人需要按照约定处理个人信息，不得超出约定的处理目的、处理方式。委托合同终止，受托人应当将信息返还或删除，不得保留。未经同意不得转委托。

自动化决策，是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。

越来越多的企业利用大数据分析、评估消费者的个人特征用于商业营销。有一些企业通过掌握消费者的个人信息，对消费者实行歧视性的差别待遇。其中，最典型的就是社会反映突出的“大数据杀熟”。“大数据杀熟”行为违反了诚实信用原则，侵犯了消费者权益保护法规定的消费者享有公平交易条件的权利，应当在法律上予以禁止。

《个人信息保护法》要求自动化决策应当，透明、公平、公正，不得实行不合理的差别待遇，信息推送、商业营销须提供不针对个人特征的选项，或者向个人提供便捷的拒绝方式。对个人权益有重大影响的决定不能仅通过自动化决策进行。

在涉及到跨境传输个人信息时，在（一）通过安全评估、（二）进行个人信息保护认证或（三）与接收者订立标准合同，三条中满足一条才被认为是满足法律要求。对比《个人信息出境安全评估办法（征求意见稿）》的要求，信息出境全部应当进行安全评估的规定有所变化。为个人信息处理者提供了更多元化的数据跨境方式，满足任何一项即可。

其中，关键信息基础设施运营者、处理个人信息达到规定数量的个人信息处理者必须经过安全评估。

对于个人信息保护认证，虽然我国法律目前并未出台相应机构认证的标准，但如果后续通过了机构的认证，不排除可以长期获得授权进行数据的跨境流转。

与接收者订立标准合同的核心意思，就是要求保证境外信息接收者同样要做到符合《个人信息保护法》的各项规定，同等保护跨境的个人信息数据，实际上是通过标准合同，将法定义务和责任转化为外国接收者的合同义务和违约责任，通过这种方式去规制了外国接收者。标准合同条款虽然是数据转移双方之间的合同，但重点保护的却是非合同方（被收集信息的个人）的权利。

我国公益诉讼的提出一般较为严格，需要具备一定的社会性，也需要明确的法律依据作为支撑。因此，《个人信息保护法》第七十条，明确将违法处理个人信息侵害公众权益的情形，列入了适用公益诉讼的名单,给了检察机关、消费者权益保护组织等单位提起个人信息公益诉讼的权利，为维护侵害众多个人权益的个体，提供了获取救济的可能。

《个人信息保护法》第六十九条确定了处理个人信息侵害个人信息权益诉讼适用过错推定原则。一般侵权责任的构成要件为行为、过错、损害事实、因果关系。根据“谁主张、谁举证”的原则，受害人在诉讼中需要证明以上四项构成要件存在。而在过错推定原则下，证明违法行为与损害事实之间的因果关系的情况下，如果加害人不能证明损害的发生自己无过错，那么就从损害事实的本身推定被告在行为中有过错，并为此承担赔偿责任。

《个人信息保护法》多处提到个人信息处理者应为个人提供便捷的方式行使权利，从实质和形式两个维度确保“个人权利”的顺利行使。同时也对相关企业提出了更高的合规要求。

（一）出售或者提供行踪轨迹信息，被他人用于犯罪的；

（二）知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的；

（三）非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的；

（四）非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的；

（五）非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的；

（六）数量未达到第三项至第五项规定标准，但是按相应比例合计达到有关数量标准的；

（七）违法所得五千元以上的；

（八）将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人，数量或者数额达到第三项至第七项规定标准一半以上的；

（九）曾因侵犯公民受过刑事处罚或者二年内受过行政处罚，又非法获取、出售或者提供公民的。

相关企业应当对员工做好警示教育和安全培训，规避刑事法律风险。

除了上述内容，孙祺律师还根据《个人信息保护法》内容对不同移动互联网应用程序必要信息的范围、信息出境安全评估的内容、国家机关处理个人信息的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门、法律责任等内容进行了逐一解读。