日前，十三届全国人大常委会第三十次会议表决通过了个人信息保护法。这部法律将于2021年11月1日起施行。全国人大常委会法工委有关部门负责人在解读个人信息保护法热点问题时以三个“严”来概括，“个人信息保护法以严密的制度、严格的标准、严厉的责任，构建了权责明确、保护有效、利用规范的个人信息处理和保护制度规则”。

　　移动互联网时代，数字经济发展一日千里。但是，人们在享受数字经济带来的各种便利服务的同时，也面临着个人信息被非法使用或者转让的烦恼。去餐厅吃饭被要求扫码点餐，且必须填写姓名、出生年月、手机号码等与服务无关的个人信息；想下载使用一款App，却被要求授权打开相册、通讯录、开启定位；在手机App上订酒店，相同时间和同一家酒店，老用户却要比新用户多花钱；家里刚生了孩子，推销奶粉尿布的电话就一个接一个……诸如此类的事情，不少人都遭遇过，也不断引发人们对个人信息泄露的担忧和质疑。

　　哪些机构可以收集个人信息？收集个人信息需要经过哪些合法程序？违规收集个人信息该受到什么处罚？此前，关于个人信息保护的相关规定散见于民法典、网络安全法、电子商务法等多部法律中，不仅缺乏系统性,而且主要针对侵犯个人信息造成后果的行为，震慑力度不大。对于个人信息合法采集及使用制度、侵害补偿和惩罚机制和监督机构等，均没有明确规定。随着互联网快速发展，中国已涌现出了市值居全球前列的互联网巨头企业，人脸识别、人工智能、大数据等高科技手段大量运用。加强个人信息安全立法，不仅是对用户个人隐私的保护，也是行业健康发展的保障。

　　为个人信息立法，必须严字当头。5G时代，万物互联，个人信息在网络上“无所遁形”。而平台的强大与强势，很容易造成个人权益保护与互联网经济发展的失衡。严密的制度、严格的标准，方能让个人权益得到充分保护。在个人信息保护法中，针对公众反映强烈的一揽子授权、强制同意等问题，“告知—同意”是法律确立的个人信息保护核心规则。个人信息处理者在取得个人同意的情形下方可处理个人信息，个人信息处理的重要事项发生变更，应当重新向个人告知并取得同意。同时，个人信息保护法将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息列为敏感个人信息。只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，方可处理敏感个人信息，同时应事前进行影响评估，并向个人告知处理的必要性以及对个人权益的影响。这些规定为个人信息保护筑牢了法律的“保护墙”。

　　良法还需善治。在具体执行中，不仅对出售个人信息或利用信息进行非法活动者应从严从重，加强惩戒力度，提高违法成本。而且，对掌握了海量用户数据的超大型互联网平台和相关部门，也要从严监督并加强合规性审查。一方面，收集个人信息应参照国家行业标准规范，坚持最小范围原则，仅收集必需的个人信息。另一方面，要对采集、汇总、共享、披露等多个环节实施严格监管，严防数据泄露、丢失、滥用。

　　互联网为社会经济发展插上了翅膀，只有提升个人信息保护法治意识，为个人信息安全筑牢法治堤坝，方能充分发挥科技向善的力量，助力数字经济健康发展。