2021年11月1日《中华人民共和国个人信息保护法》正式实施，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

随着个人信息价值的凸显，个人信息安全和风险与日具增，个人信息的泄露、贩卖等安全事件频发，每个人对个人信息的保护意识越来越强。这次《个人信息保护法》的出台，也说明了国家将个人权益与个人信息处理纳入公法监管。这对于获取个人信息的商业和企业来说，要有所为有所不为。

一、企业或商家需要这样做：

1、需征得个人同意。这个是处理个人信息的第一原则。这个同意是指明示同意，充分知情，自愿明确。例如登录APP或者在电商平台购买产品时，通常会跳出来服务协议和个人信息指引，点击同意并登录，即视个人同意该条款，如图所示：

2、梳理自身企业相关业务及产品中可能会涉及到的个人信息处理活动，并建立健全客户个人隐私制度。例如我们通常在见到企业网站上会公示出《个人信息隐私政策》，内容包括了：如何收集和使用个人信息，如何提供、保护和保存个人信息；如何使用Cookies 和同类技术，以及如何管理个人信息等条款，对重点条款进行黑体或粗体的标注等提示。

3、企业应当进行个人信息收集使用及保护等方面的合规审查，应对行政部门的监督监管。例如目前使用的客户个人信息是否已经征得了同意，如在使用时出现出现变化时，是否能够快速有效的获取个人同意，对获取的个人信息做到保护以及风险可控。

二、企业和商家不能这样做：

1、不得私自向第三方提供消费者个人信息的行为，否则会受到行政处罚。个人信息包含会员身份证号码、手机号等内容，作为商业信息提供给第三方，并以此获利。

2、企业未经个人信息处理者同意,受托方不得转委托他人处理个人信息。向第三方提供其处理的个人信息的,应当向个人告知第三方的身份、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。

3、不得进行“大数据杀熟”的行为，现在很多企业利用个人消费习惯，消费金额，喜好偏向等大数据进行分析、评估消费者的个人特征用于商业营销，利用所谓的精准推送，暗自提价，有违交易的公平公正。

三、企业处理个人信息不当有何法律风险。

1、征信公示风险。违反个人信息保护法的企业，依照有关法律、行政法规的规定记入信用档案，并予以公示。

2、行政责任的风险。违反法律处理个人信息，应承担相应的行政责任。

针对拒不改正的处以一百万元以下罚款以及对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 例如温岭市市场监督管理局 温市监处罚(2021)1540号  针对通过渠道购买个人信息的商家进行了处罚责令改正，出警告，罚款151000元。

3、民事责任风险：最高法将个人信息保护纠纷作为你新的民事案由。

这意味着个人信息主体可以以“个人信息保护纠纷”为独立的案由提起民事诉讼。随着公民对个人信息保护的重视，企业可能会面临越来越多的个人信息侵权纠纷。

4、刑事责任的风险。《个人信息保护法》规定，违反本法规定，构成犯罪的，依法追究刑事责任。2021年6月17日，最高人民法院、最高人民检察院和公安部再次联合发布《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见（二）》，其中规定“非法获取、出售、提供个人生物识别信息”的行为，将以侵犯公民个人信息罪追究刑事责任。企业单位犯本罪的，对单位判处罚金，并对起直接负责的主管人员和其他直接责任人员，依照刑法的规定处罚。