2020年10月13日，十三届全国人大常委会第二十二次会议第一次审议了《个人信息保护法（草案）》（以下简称“草案”），并于随后的21日公之于众。该草案不仅承继了前序法律的相关设置，还在多方面借鉴国外有益经验，赋予个人信息主体更多的个人权益，同时赋予个人信息处理者更为细致的合规义务。不同于《网络安全法》以及《民法典》对个人信息保护“有所涉猎”，《个人信息保护法》作为此领域的特殊法以及上位法，针对个人信息的定义与原则、法律管辖力、数据境外传输、有效同意标准等作出了创新规定，其权威性与原则性也为之后的实施细则提供了指引与补足空间。

于是，值此个人信息保护立法风起云涌之际，本文尝试对草案中的重点内容进行简单的介绍与评析，以期抛砖引玉，百花齐放。

草案第四条规定，“个人信息是以电子或其他方式记录的与已识别或可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”

首先，此定义采取纯粹、模糊定义的方式，为后续的列举解释留下空间，并且明确了“匿名化信息”不属于个人信息的范畴。其次，定义中使用了“个人信息”词条，而非欧盟GDPR中的“个人数据（personal data）。数据与信息常常替代使用，但二者其实具有不同内涵。可以说，数据是信息的载体，信息是有背景的数据（徐子沛 《善数者成》P003）。因此，较于GDPR，草案的定义范围相对较窄。

草案第三条第一款规定，“组织、个人在中华人民共和国境内处理自然人个人信息的活动，适用本法。”第二款规定，“以向境内自然人提供产品或者服务为目的，或者为分析、评估境内自然人的行为等发生在我国境外的个人信息处理活动，也适用本法。”

相较于现行相关立法的属地管辖原则，草案增加了保护管辖，赋予《个人信息保护法》一定的域外适用效力。此条亦是借鉴欧盟GDPR、美国CLOUD法案的长臂管辖，可以说正与国际接轨。

草案第三章规定，个人信息处理者向境外传输个人信息的，需采取“告知+单独同意”的措施，对于关键信息基础设施运营者，则不仅要采取前述措施，还须通过国家网信部门组织的安全评估，且接收方未被列入限制或禁止个人信息提供清单。

草案关于“个人信息跨境运输”的翔实规定，不仅对《网络安全法》中的“关键信息基础设施运营者的数据跨境运输要求“作出补充，而且为其下位的法规规章，以及行业规范等规范性文件提供了依据。不过，与GDPR中的”白名单“，以及美国CCPA法案的“数据自由流通”相比，草案其实为企业的个人信息保护合规加设了不小的压力。

草案第四十四条至四十九条明确赋予个人信息主体一系列权利，如知情权、决定权、查询权、复制权、更正权、补充权、删除权、解释权，并要求个人信息处理者建立个人行使权利的申请受理和处理机制。相较于《民法典》第1037条规定的“查阅、复制权、更正权、删除权”，草案的个人信息权显然拥有更广的外延，在立法层面与实践层面都取得了长足进步。不过与西方国家相比，仍有一段差距，诸如“被遗忘权”的立法空白。

草案第六十二条规定，“违法本法规定处理个人信息，或者处理个人信息未按照规定采取必要的安全保护措施的，由履行个人信息保护职责的部门责令改正，没收违法所得，给予警告；拒不改正的，并处一百万以下罚款；对直接负责的主管人员和其他直接负责人员处一万元以上十万元以下罚款。有前款规定的违法行为，情节严重的，由履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下，或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。”

草案中的高额罚款向GDPR看齐，显然表明了立法者制定数据规则，整顿行业乱象的决心。与此对应的是，草案第六十六条规定，“个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、履行个人信息保护职责的部门和国家网信部门确定的组织可以依法向人民法院提起诉讼。”此条拓展了个人信息主体寻求救济的途径，也为执法者提供了新的执法方向。可以说，企业只要“一数不合”，“达摩克里斯之剑”便会骇然落下。