該法界定了個人信息的概念和處理規則,規範了人臉信息等敏感個人信息的處理,強調不得過度收集個人信息,禁止商家通過自動化決策“扼殺大數據”,規範了在公共場所安裝圖像采集和個人識別設備。
個人敏感信息包括身份證號、個人生物特征信息、銀行賬號、通訊記錄及內容、財產信息、信用信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14周歲以下兒童個人信息等。個人敏感信息是指壹旦泄露、非法提供或濫用,可能危及人身和財產安全,容易導致個人名譽、身心健康損害或歧視性待遇的個人信息。《信息安全技術和商業服務信息系統個人信息保護指南》規定,應當為特定、明確、合理的目的處理個人信息,在個人信息主體知情的情況下征得個人信息主體的同意,在達到使用個人信息的目的後刪除個人信息。