11月1日起，《個人信息保護法》正式施行，對于消費者而言，這無疑是一大保護自身權益的法律利器，自此，過度收集個人信息、“大數據殺熟”等機構行為將涉嫌違法;而對于數據違規重災區的金融科技行業，無疑將面臨新的監管挑戰，后續如何做好數據“攻守道”，將是每一家公司都要面臨的重要考題。

明確個人信息處理規則

從11月1日實施的《個人信息保護法》來看，其總計共8章74條，既明確了個人信息和敏感個人信息的處理規則，也完善了個人信息保護投訴、舉報工作機制，另從制度上加強了對侵害個人信息權益行為的預防和懲治，可謂是全方位保障消費者的信息安全。

具體來看，法律明確收集個人信息，應當限于實現處理目的的最小范圍，不得過度收集個人信息;另對人臉信息等敏感個人信息，強調只有在具有特定的目的和充分的必要性并采取嚴格保護措施的情形下，方可處理生物識別、金融賬戶、行蹤軌跡等敏感個人信息。

此外在法律責任上，《個人信息保護法》強調，違反該法規定處理個人信息者，將由相關部門責令改正給予警告，并沒收違法所得，對違法處理個人信息的應用程序，責令暫?；蛘呓K止提供服務。

《個人信息保護法》的落地，可謂是恰逢其時。數字經濟時代下，一些企業、機構甚至個人為了謀求商業利益，隨意收集、違法獲取、過度使用甚至非法買賣個人信息，不少消費者直稱深受其害。在業內看來，此次《個人信息保護法》的實施，不僅有助于用戶告別信息“霸王獲取”時代，也將保障隱私權、人格權等一系列法律權利，有效防止數據資源被不法分子利用造成損害。

“《個人信息保護法》將對互聯網平臺和數字經濟帶來重大影響。其界定了個人信息隱私內容涵蓋的范圍，同時也明確了個人信息的權屬權益。”中南財經政法大學數字經濟研究院執行院長、教授盤和林在接受北京商報記者采訪時指出，“未來，互聯網平臺利用個人信息需要從用戶獲取授權，也將在使用、存儲過程中承擔更多信息保護的責任。”

盤和林進一步稱，但總體上，《個人信息保護法》主要是為了促進數字經濟的發展，明確數字信息使用的權利邊界，讓權屬權益更加清晰，通過清晰的界定，掃清數字經濟前行的障礙。同時，《個人信息保護法》也推進了數字產權的確定，而數字產權政策是推動數字經濟發展的重要推動力。

已有違規平臺被判違法

《個人信息保護法》生效，加強用戶數據權保障的另一面，是一系列互聯網公司、金融科技平臺、支付公司、大數據公司以及銀行等金融機構，將面臨更加嚴格和全面的監管。

北京商報記者注意到，就在10月29日，杭州互聯網法院就對一大型電商平臺和支付機構違法處理公民個人信息案作出判決。

根據披露，被告A公司是某電商平臺經營者，被告B公司是該電商平臺內置支付軟件的運營者，原告吳某是該電商平臺的注冊用戶。原告訴稱，該電商平臺在未經其同意的情況下，將用戶真實身份信息傳輸給支付公司，上述行為已嚴重侵害原告個人信息權益等合法權益。

法院認為，兩機構在開發、設計產品之初，應知其產品存在違法處理用戶個人信息的問題，為追求商業利益等，仍上線經營，主觀過錯明顯。原告的敏感個人信息被違法處理，足以使原告在信任危機之下，產生相關信息可能被進一步泄露或不法使用的風險焦慮。

最后，法院認定兩機構的信息處理行為侵害原告個人信息權益，責令立即刪除原告個人信息，并以書面道歉信方式向原告賠禮道歉，并賠償原告合理維權損失2000元。

需要注意的是，類似這樣的信息處理侵權案例并不少見。北京商報記者就在多次測評中發現，不少助貸平臺甚至持牌金融機構捆綁第三方一鍵獲取個人授權信息，霸王式永久保存使用用戶數據;此外，在貸款過程中，用戶必須開啟通訊錄及位置權限，一鍵同意用戶注冊協議、個人信息查詢采集及使用授權書，否則便無法正常使用App;甚至還有一些互金公司，以提供貸款為由，誘導用戶一鍵同意授權數十份甚至幾十份個人信息授權書。

對此，一互金公司高管告訴北京商報記者，在金融業務開展過程中，機構確實需要對申貸人的信用資質進行審查，其中難免會用到個人隱私信息，但需要按照最小化且必要的原則，即使是金融機構本身，在獲取、留存以及向第三方問詢客戶數據時，也是需要非常謹慎的。

該人士告訴北京商報記者，需要警惕的是，目前市場上仍有部分大數據公司，既不是客戶信用數據的原始容器，也不是金融業務的實施者與責任人，但其在向金融機構提供數據加工、決策引擎等服務時，在信息脫敏、跨企業互用等領域，涉及不少存在法律風險的行為。在他看來，隨著新法規的執行和監管的加碼，后續這些公司的數據處理、功能服務，將在未來受到更大的限制。

聚焦多個執法重點

隨著用戶個人信息安全及隱私保護走上新臺階，法律對從業機構也提出了更高的要求。

“這是我國在信息化時代的重大戰略布局，包括銀行、征信機構等，只有明確法律紅線，在規范之內開展業務才是順應時代所需、順應人民所求的正確行為。”大成律師事務所合伙人肖颯指出，以銀行為例，根據《個人信息保護法》規定，“處理個人信息應當取得個人同意，只有同意是在個人充分知情的前提下自愿、明確作出，這個同意才能被認定為個人的真實意思，從而認定個人信息處理者基于該同意處理個人信息的行為是合法有效”。

肖颯認為，這就要求銀行重視并設置同意前告知這一環節，在告知客戶的時候要安排專業人員一對一提供服務，做到使客戶充分知情，且自愿作出同意的意思表示和行為。

另對互聯網公司，盤和林認為，隨著《個人信息保護法》生效，后續多個執法重點值得關注。一是數據權屬方面，互聯網企業獲取個人信息權益需要經過用戶授權，互聯網企業內部信息保護需要推進用戶知情權。二是數據使用方面，需要數據脫敏。三是數據安全防護措施，包括數據信息存儲軟硬件安全、數據傳輸安全?；ヂ摼W企業要設置信息保護部門和機制。此外，公司還要嚴打信息販賣，堵截非法信息跨境交易。

“數字經濟的發展離不開信息數據的使用，在保護用戶信息權益的同時，也要保障企業對數據信息的合理合法使用權利。”盤和林補充道，后續對于互聯網企業，既要有具體細化的信息保護違規違法的處罰規則，也要公平保護互聯網企業合法的數據信息使用權利。對于信息保護執法，關鍵核心是明確信息權益歸屬，后續或可推進和公開通用、簡化的隱私政策，包括格式較為一致的信息授權使用協議，明確個人刪除信息的權利等。