导语：2020年10月21日，《个人信息保护法（草案）》（以下简称《草案》）出台，意味着我国的个人信息保护法制迈上新征程。《草案》的出台不仅顺应了互联网产业迅速发展的趋势，也符合了国家重视数字经济的政治要求，同时也是公众面对数据泄露等问题的殷切希望。从内容上看，《草案》中不仅借鉴了国外成熟的立法经验，还结合了我国目前的发展需求，同时也对技术发展等未知领域保持了包容的态度，以积极的态度面对技术带给我们的新机遇。

本文分为上下两篇，上篇主要是对原则和部分具体规则的介绍，希望读者对整部《草案》有初步认识，了解草案的立法意图和价值倾向，下篇是对个人信息处理者以及各项监管的介绍，目的是希望有关企业可以明确责任，做好企业内的合规建设。以下是本文上篇内容，共列举两项个人信息保护额基本制度，两项特殊制度，用以初探《草案》的立法态度。

一、确定管辖范围，“长臂管辖”蕴含其中

《草案》第三条规定了该法的管辖范围，以属地管辖为原则，并对可以在域外发生效力的特殊的三种情形做了列举。本条就是借鉴域外成熟法律的体现，通过对提供产品与服务、行为监控两种服务的特别规定，赋予本法在这两种情形下的域外效力。具体对比见下表：

规定数据法律的域外效力意义深远。作为二十一世纪的重要资源，数据的跨境流通是顺应发展所必要。但与此同时，数据泄露又会对公共利益和个人信息造成巨大影响。中国目前的的国际话语权不断加强，在整个国际贸易体系中的重要地位不断凸显，通过制定法律，可以保证我们在享受数据红利的同时，合法利益受侵犯。该立法思想不仅体现与此，更贯穿整个《草案》。

二、顺应互联网发展趋势，制订灵活多变的数据处理路径

（一）继续《民法典》的突破，“同意”不再是数据处理唯一的合法方式

《网络安全法》中，“同意”为个人信息处理的唯一合法途径，此项规定一直因脱离行业实际而颇受争议。《民法典》除了在一千零三十五条规定了同意为数据处理原则外，还在一千零三十六条规定了几种例外情形，如监护人同意，公开的信息，以及公共利益等。而《草案》中不仅继续了《民法典》的突破，还借鉴了GDPR的相关规定，对同意原则做出了例外规定，这是本次草案的一大亮点。《草案》与GDPR的具体比较如下图：

可以看出《草案》不仅借鉴了GDPR的相关规定，将履行合同等方式合法化，还结合了国内的现状，将突发公共卫生事件等因素纳入数据处理合法范围。

（二）提出了单独同意和书面同意的新要求

“同意”授权原则之前一直是数据处理的核心原则，其形式在之前只有在《个人信息安全规范》等文件中提及，包括明示同意和默示同意等。现在，《草案》中对于单独同意和书面同意做出了新规定，为企业的合规做出了新的指示。《草案》中关于单独同意和书面同意的规定总结如下：

书面同意：

• 第三十条 法律、行政法规规定处理个人敏感信息。

单独同意：

• 第二十四条 个人信息处理者向第三方提供其处理的个人信息；

• 第二十六条 个人信息处理者公开其处理的个人信息；

• 第二十七条 在公开场所安装图像采集、个人身份识别设备所收集的个人图像、个人身份特征信息的公开或者向他人提供；

• 第三十条 基于个人同意处理敏感个人信息；

• 第三十九条 个人信息处理者向中华人民共和国境外提供个人信息。

三、对用户画像、公开的信息利用等数据处理方式进行规定

用户画像一直是个人信息权利人和互联网企业都密切关注的问题，同时用户画像在《电子商务法》、《个人信息安全规范》等规定中也有体现。《草案》本次在二十五条进行了规定，对数据处理者有两点要求：（1）保证决策的透明度和处理结果的公平合理。（2）同时在通过自动化决策方式进行商业营销、信息推送，应当同时提供不针对其个人特征的选项。同时为了保证信息权利人的利益，在认为自动化决策对其权益造成重大影响的，有权要求个人信息处理者予以说明。

公开的信息对于企业通常是双向规制，一方面规制个人信息处理者对自有信息的公开，另一方面对于其使用已公开的信息做出规制。《草案》中对于前者的要求为单独同意，前文提及不再赘述，但对于公开的信息的使用，《草案》对于《民法典》的规定进行了细化。具体规则如下图：

虽然《草案》较之以往，对公开个人信息的使用做出了更具体的规定，但其中“合理、谨慎”、“重大影响”等标准还需要在实践中根据司法解释或者法院、执法机构的具体行为摸索其合理边界。实践中爬虫技术合规等具有争议性的问题仍需解决。

四、个人信息跨境流动规则初现曙光

个人信息跨境流动一直是众多企业合规中的要点，个人信息跨境流动的迫切需求与目前国内个人信息跨境的模糊规则存在矛盾。特别是在2020年8月14日，商务部发布《关于印发<全面深化服务贸易创新发展试点总体方案>的通知》（商服贸发〔2020〕165号）后，各数据传输试点地区的政策也成为了企业合规的重要依据。《草案》现将相关的规则上升到法律层面，不仅为各地区的跨境数据传输做出指导，也对之后的信息跨境流动引领了方向。现将《草案》对于个人信息跨境流动与目前规则对比及相关解析列入下图。

本篇作为《草案》解读的上半部分，主要是对原则性规定，例如管辖效力、数据处理新的合法依据做出了介绍，并对用户画像、算法、公开的信息使用以及个人信息跨境流动等具体规则进行了梳理，希望对《草案》的立法意图作以解析。不难发现，《草案》不仅借鉴了西方成熟的数据合规规则，也结合了我国部分现状，同时也对部分尚未定论的技术只做了原则上的规定，并未通过具体规则的约束限制了其发展。我国作为数据法规起步较晚的国家，可以利用前人经验更好的在个人信息权利与数据时代发展之间做出了平衡，《草案》中此意图也有多多处体现。

本篇的下半部分主要是针对个人信息处理者的权利义务、信息共同处理者的权利义务进行介绍，保证各企业在实践中做好合规建设、明确各自责任。同时将监管部门、新的处罚力度以关于新公益诉讼做以介绍，为企业的风险控制打好基础。