《个人信息保护法》

总则、个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的去哪里、个人信息处理者的义务、履行个人信息保护职责的部门、法律责任、附则。

核心制度：构建多元法律基础；明确各信息处理环节的特定合规义务、明确个人信息主体权利，处理者需建立响应机制、明确个人信息处理者的各项内控合规义务、设定丰富执法手段及上限极高的罚款金额。

谁会被监管？

民事自然人不适用。

国家机关适用、境内商事主体适用、境外主体有限适用（以向境内自然人提供产品或服务为目的 分析、评估境内自然人的行为）（适用中文或以人民币结算货币、向中国境内配送物流、对侯兴国境内自然人进行画像分析或向中国境内用户开展定向营销或推广）

合法性基础：同意、为订立或履行合同所必须，或按照依法制定的劳动规章制度和依法签的集体合同，实施人力资源管理、履行法定职责或法定义务所必须、为应对公共卫生事件、新闻报道与舆论监督、在合理范围内处理个人自然公开或者其他已公开的个人信息、法律行政法规规定的其他情形。

单独同意：向其他个人信息处理者提供 公开个人信息 处理个人敏感信息 个人信息出境

单独同意落地方案：独立于隐私政策之外，通过弹窗等即时方式，对需要单独同意的事项对个人信息主体进行专门、充分告知；同意事项需要独立，该同意需要专门针对具体且独立的业务功能所作出，不得与其他事项进行捆绑；同意动作需要已明示方式作出，不得默认同意要确保毫无歧义。

自动化决策与大数据杀熟：

1. 规制范围扩大。将利用个人信息进行自动化决策行为的规制范围扩大到没有市场支配为的企业及个人。

2.提供拒绝选项。

3.要求个人信息处理者说明算法规则。对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

知情权、决定权、限制权和拒绝权、查询权、福之泉和可携带权、更正权、删除权、反对自动化决策权、要求对处理规则进行解释的权利。

个人信息出境：

风险自评估 告知 单独同意 同等保护 

网信安全评估-专业机构认证-签订标准合同和其他法定条件 

非外国司法或者执法机构 不落入网信黑名单 不存在对等反制措施=合规个人信息出境 

（四必备 四选一 三排查）

对负责人员的新增处罚措施

除罚款外，记入信用档案，并予以公示；禁止在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。