《个人信息保护法》是与《网络安全法》（2017年6月1日生效）、《数据安全法（草案）》（2020年7月3日公开征求意见，尚未生效）一起确立我国网络与数据安全法律框架的重要组成部分，其立法进程一直备受瞩目。2020年10月21日，《中华人民共和国个人信息保护法（草案）》（以下简称《草案》）正式公开，向全社会公开征求意见。

《草案》全文共计八章七十条，围绕个人信息的处理，从处理规则、跨境提供、个人权利、处理者义务、保护职责部门以及法律责任等不同角度确立了相应规则，并且针对敏感个人信息和国家机关处理强调了特别规则。这种结构可以看出立法者是围绕着某些重点问题铺陈开的，但是想要更好地分析、适用法条，不宜被单项问题牵绊，导致只见树木，不见森林。为了更体系化地理解《草案》，笔者将从重要概念辨析、国家战略、个人权利、处理者责任四个维度进行解读。

为了更好地理解条文规定，有必要深入辨析以下这些概念：

（一）个人信息

针对个人信息的定义，《草案》在《网络安全法》以及《民法典》（2021年1月1日生效，尚未生效）规定的“识别”的基础上，将个人信息的识别区分为“已识别”及“可识别”表述（表1）。即，凡是与“已识别”的自然人或“可识别”的自然人有关的信息，均为个人信息。这一规定，与《网络安全法》以及《民法典》最显著的区别在于，前述法律均以主观上的“识别”作为界定个人信息的基础，而《草案》则以客观上的“关联”作为界定个人信息的基础，“已识别”或“可识别”的自然人是进行相关行判断的参照对象。但是，对于什么是“可识别”的自然人？草案并没有进一步作出界定。笔者认为，对于可识别的判断，可以结合《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《司法解释》）和作为推荐性国家标准的《信息安全技术 个人信息安全规范》（以下简称《规范》）的规定（表1）进行判断。在《司法解释》与《规范》中，规定了“与其他信息结合识别特定自然人身份或者反映特定自然人个人活动情况的各种信息”，信息的组合认定是否成为“可识别”的内涵，尚有待立法的进一步完善。由此可见，本次《草案》在“识别”的基础上作出了“已识别”与“可识别”的区分，并将“关联”的要素融合了进来，将个人信息保护的外延进一步做了完善。

但是，也应看到，对于什么是“有关”，即如何认定关联性的标准，《草案》的规定在操作性方面有所欠缺，这可能给具体的执法与司法带来较大的自有裁量空间。因此，建议在上述规定的基础上，同时对个人信息进行必要的列举，以降低对个人信息认定的不确定性。

（二）个人信息的处理

在《网络安全法》第七十六条中，处理是与收集、存储、传输、交换平行的概念，但在《草案》第四条中，处理成为了上位概念，而收集、存储、使用、加工、传输、提供、公开则是信息处理的具体方式。这一表述形式与《民法典》一致，与《规范》类似。这种区别可能直接影响某项具体规定的适用范围，因此需要注意不同语境中“处理”的范围，以便精准理解不同法律法规之间的差别。

（三）个人信息处理者

这种表述方式既区别于《网络安全法》中的运营者，又区别于《规范》中的个人信息控制者。暂且抛开出发角度不同的《网络安全法》，仔细比对《草案》第六十九条关于“个人信息处理者”的定义与《规范》中“个人信息控制者”的定义（表2），可以发现两者并没有本质上的不同，只是在用词上《草案》使用了更具主观色彩“自主”，《规范》使用了更接近于陈述事实的“有能力”。考虑到《民法典》确定了“处理”的概念，以及对于受托处理这种情形的对待方式，之后的表述方式更可能会向《草案》中的定义去倾斜。

对于实践而言，如果按《草案》目前的文本进行正式发布，可能需要社会各界放下已经形成的认识，重新理解控制者与处理者的关系。

（一）健全综合的保护利用法律体系

通过名称不难看出，《草案》的主要出发点是保护个人信息。这一点在第一条中予以明确，对应了我国信息技术高速发展过程中出现的许多损害个人信息权益的问题。此外，相对《网络安全法》从网络安全角度出发，兼顾网络信息安全中涉及个人信息的情况，《草案》更侧重从个人信息处理活动的角度出发（图1）。而且基于有益的执法实践活动，对于个人信息的保护，《草案》也更为细致。

与《网络安全法》《数据安全法（草案）》一脉相承的是，在保护和规范的基础上，也强调发展和利用。具体表现在，《草案》第一条明确规定“保障个人信息已发有序自由流动”和“促进个人信息合理利用”。

同时，相比于网络中的其他数据，个人信息与个人权益具有高度相关性，属于比较重要的数据类型，且大量互联网业务需要基于个人开展；相比于非通过网络开展的个人信息处理活动，通过网络进行的处理活动具有快速、高频、数据量大、辐射业务范围广的特征，容易对个人造成更严重的危害，而且大量的个人信息同样可以反映一个国家经济、文化等重要信息。所以从维护社会秩序的角度来说，不同维度的保护都至关重要。

而这些处理活动与网络技术、信息技术，乃至“互联网+”所有产业发展息息相关，从国家发展角度出发也必须保障围绕个人信息的网络技术、信息技术发展与利用的法律基础。

正因如此，在信息技术产业与互联网产业日益重要的今天，《草案》对于国家战略的重要性不言而喻。

（二）域外管辖与反制手段

网络空间安全是国家主权、国家安全在互联网领域的延伸。基于以上逻辑，国家数据安全、个人信息安全的法律合规要求也逐渐成为某些国家达成特定国家利益目标的手段之一，这可以从华为芯片采购受限、抖音被强制要求出售等事件中窥见一二。

在对应的反制手段上，《网络安全法》具有一定的局限性，因为其适用范围是“在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理”，这样虽然也可以对跨国公司采取一定手段，但威慑力还是不能相提并论。而《草案》第三条则规定了可进行域外管辖的三种情形，包括（1）以向境内自然人提供产品或者服务为目的；（2）为分析、评估境内自然人的行为；（3）法律、行政法规规定的其他情形。从条文可以看出对GDPR的借鉴，这些规则为域外管辖提供了依据，也为境外实施危害我国公民个人信息保护制度的行为提供了更有力的反击工具。

而且，在第三章“个人信息跨境提供的规则”中，《草案》第四十三条也明确了基于对等原则的反制手段——“任何国家和地区在个人信息保护方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的，中华人民共和国可以根据实际情况对该国家或者该地区采取相应措施。”

在《草案》发布前，《网络安全法》《消费者权益保护法》《刑法》都对个人信息相关的个人权利作出过规定。主要是围绕“告知-同意”原则，规定了个人信息主体的未经同意不被收集、使用个人信息的权利。但最为明确、易于操作的还是《规范》中的规定，明确了查询、更正、补充、删除、撤回授权同意、注销账户、获取个人信息副本、被响应等个人信息主体权利。

《草案》汲取了《规范》中有益经验，并且在《规范》原有查询、更正、补充、删除、撤回授权同意、被响应的基础上，通过第四十四条至第四十九条将获取个人信息副本的权利进一步升级为复制的权利，将围绕“告知-同意”原则表述的权利概括为知情、决定、限制或者拒绝的权利（保留了法律、行政法规另有规定的除外条款），并且保证了体例的统一，未沿用账户注销的权利或同类的表述。

另外，根据第二十五条的规定，个人还拥有在对个人权益造成重大影响情形下，拒绝处理者仅通过自动化决策方式作出决定的权利，以及拒绝针对个人特征通过自动化决策方式进行商业营销、 信息推送的权利。

这些规定同时构成了《民法典》的有益补充，在法律层面上，将个人信息相关的权利更为具体地予以体现。

为了维护国家利益、保障个人权利，《草案》通过处理规则和专门义务的方式列出了可以细分为数十项的处理者责任，以下将讨论其中比较重要的变化。

（一）明确的保护义务

《草案》在第五章“个人信息处理者的义务”列明了与《网络安全法》对于运营者要求有一定相似性的处理者义务，主要包括（1）采取必要保护措施；（2）大量个人信息处理者的专人负责；（3）境外处理者的专人负责；（4）定期审计；（5）风险评估与记录；（6）泄露事件的补救措施与通知。

对于上述的单项义务，《草案》也有更明确的要求，比如针对保护措施，《草案》第五十条规定了（1）制定制度规程；（2）分类分级管理；（3）采取加密等技术措施；（4）定期教育培训；（5）制定实施应急预案；（6）法律、行政法规规定的其他措施。

（二）告知同意与例外

在《草案》之前，告知同意原则已经体现在《消费者权益保护法》《网络安全法》《民法典》中。其中，《民法典》明确列明了存在例外情形——“但是法律、行政法规另有规定的除外”，体现了处理者在处理前的告知义务以及取得同意的前提条件，也给予了一些例外的空间。但目前在法律、行政法规层面，例外情形散见在不同规定中，比如《传染病防治法》中即有对发现传染病人病人向疾病预防控制机构报告义务的规定。在这种情况下，报告义务与取得个人同意义务构成竞合，可以理解为是一种例外情形，但是对于适用者来说仍然不够明确。而《规范》虽然规定了十一种更为明确的例外情形，但其法律层级较低，作为法律依据来说仍不够充分。

《草案》带来的重大变化之一正是通过第十三条将合同必需、法定责任、紧急情况、公共利益的报道与监督四种以及法律、行政法规例外的一种兜底条款共计五种例外情形在法律层级进行了列明。这种列明无疑为适用者带来了便利，但对于个人主动公开这种情形并未在此予以列明，作为补充，第二十八条规定了相应的处理依据，而其中“合理”“谨慎”“重大影响”这样的表述在进一步的细则出现前，如何适用也有待实践的验证。在《草案》之中还存在另外一种例外情形，即第二十七条关于公共场所安装的图像采集、个人身份识别设备采集的个人图像、个人身份特征信息可以用于维护公共安全的目的，用于其他目的需用取得单独的个人同意。

此外，在敏感个人信息的处理上，该项义务会更加严格，无论是第二十九条规定的“特定的目的和充分的必要性”的前提，还是第三十条规定的“单独同意”，第三十一条规定的“必要性以及对个人的影响”的告知，都需要处理者设计恰当的流程予以实现。

（三）共同处理与委托处理

《草案》第二十一条涉及的“共同处理”与《规范》中的“共同个人信息控制者”的概念相对应。该条在规定对内明确权利义务要求的同时规定了对外侵权时处理者之间的连带责任，与《侵权责任法》规定的共同侵权规则保持一致。

同时，对于《规范》提出的“委托处理”也在《草案》第二十二条有相对应条款。和《规范》一样，对于委托处理是否属于提供，委托处理情形下的告知同意规则如何适用问题在《草案》中未得到进一步明确。不过，委托处理可以被理解是处理方式的一种，因此，将委托处理的情形向个人告知并取得同意应当是委托处理方更为稳妥的选择。只不过对于受托处理方来说，其处理活动是否包含收集个人信息的环节，对于个人信息的合法来源拥有怎样的注意义务，在实践中仍可能存在比较大的分歧。

（四）自动化决策

根据第二十五条的规定，对应前文提到的个人在自动化决策方面的权利，处理者也相应负有（1）保证决策的透明度和处理结果的公平合理的责任；（2）在对个人权益造成重大影响情形下，响应个人要求予以说明及增加其他方式作出决定的责任；（3）在通过自动化决策方式进行商业营销、信息推送情形下，同时提供不针对其个人特征的选项的责任。

（五）跨境传输及安全评估

除了前文提到作为反制手段的规定外，处理者在跨境传输过程中也应当注意其他要求，比如第三十九条的告知同意要求，不过最为关键的仍然是关于安全评估的要求。

与《个人信息出境安全评估办法（征求意见稿）》相比，《草案》不再将安全评估作为必要前提，而是在第三十八条规定了四种条件，应至少具备其中一种：（1）通过国家网信部门组织的安全评估；（2）通过专业机构的个人信息保护认证；（3）订立合同明确双方权利义务并监督对方达到《草案》规定的保护标准；（4）法律、 行政法规或者国家网信部门规定的其他条件。上述第（3）种给予了处理者较大的空间，第（4）种则给予国家网信部门充分权力，可以设立其他条件。

应当注意的是，当处理者属于关键信息基础设施运营者或者处理的个人信息达到国家网信部门规定数量，安全评估将成为硬性要求。因此，涉外机构尤其需要关注国家网信部门对于这个数量门槛的规定。

除此之外，《草案》还存在国际司法协助或者行政执法协助拥有前置批准条件，国家网信部门可以设置境外处理者黑名单等规定。

（六）国家机关的特别规定

在处理者中，国家机关属于比较特殊的一种。通常理解中，国家机关执行公务，他人负有配合义务，则对于执行告知同意规则的要求可能会放宽。但这次在第三十五条中，《草案》明确规定，即使在履行法定职责的情形下，告知同意仍然为原则，需要遵照执行，而将保密要求及妨碍情形作为例外。这个规定与第十三条的关系可能需要按照特殊规则优于一般规则的方式来理解，具体是否会产生冲突也有待正式发布后的实践检验。

在境外传输情形下，第三十七条有一个细节值得关注，即此处规定国家机关应当进行“风险评估”而不是“安全评估”，今后可能针对这一点区别出台与安全评估区别的专门规定。

（七）处罚规则

《草案》在处罚力度上存在较大的提升，第六十二条针对情节严重的情形，规定了五千万元以下或上一年度营业额百分之五的处罚上限。对比《网络安全法》固定的上限一百万元和浮动的上限十倍违法所得，且仅针对“窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息”这一情形，《草案》在上限标准外，规定的打击范围是“违反本法规定处理个人信息，或者处理个人信息未按照规定采取必要的安全保护措施的，情节严重的”，显然更容易适用，也更具威慑力。

《草案》罚款规则的设计，在我国法律中是罕见的，在吸取国际经验的同时，也显示了国家的重视程度，最终是否落地，值得重点关注。

纵观《草案》全文，明确了从个人信息保护的出发角度，以规范处理活动为核心，与《网络安全法》《数据安全法（草案）》相互补充，将原来规定在《规范》中的许多内容提升至法律层级并适当调整。

如《草案》顺利公布，无疑将深刻影响到互联网及信息技术行业的个人信息处理行为。，在如今大多数个人已然离不开通信网络的背景下，更可能辐射整个社会的方方面面。为个人权益带来更有效的保护的同时，也将给企业带来新的机遇与挑战，企业个人信息保护及治理能力将成为企业的重要竞争力。