2020年10月中旬，《个人信息保护法（草案）》（以下称“个保法草案”或“草案”）提交全国人大常委会审议，并公开征求意见。作为个人信息保护领域的专门立法，其对个人信息处理的原则和规则进行了规定，涵盖了个人信息处理的不同环节、不同个人信息种类及处理方式。

根据起草者的说明，个保法草案在起草过程中，坚持立足国情与借鉴国际经验相结合。从内容来看，其在适用范围、处理规则、个人权利和义务等方面较多地借鉴了在个人信息保护领域极具知名度和影响力的欧盟《通用数据保护条例》（“GDPR”），但在细节上与GDPR相比又存在一定的差异性。在此背景下，为便于读者更好地理解当前个保法草案，我们在下文以草案与GDPR的异同为切入点，从法律适用与定义、制度层面、与权利义务三个方面对草案重点规定进行比较解读。

1 / 合法事由

个保法草案参照GDPR的规定，规定了六种合法性事由。其中，1）取得个人的同意，2）为订立或者履行个人作为一方当事人的合同所必需；3）为履行法定职责或者法定义务所必需，这三种合法事由与GDPR规定的前三条合法事由比较类似；而个保法草案所规定的第4种和第5种合法事由（为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息），相比较于GDPR中“(d) 处理对于保护数据主体或另一个自然人的核心利益所必要的；(e) 处理是数据控制者为了公共利益或基于官方权威而履行某项任务而进行的”这两种合法性事由，则存在明显限缩。

此外，个保法草案的第6种合法性事由为“法律、行政法规规定的其他情形”，显然为兜底性条款，以涵盖之后可能确立的其他合法性事由。GDPR除了前述5种合法性事由外，还存在第6种确定性合法事由：“处理对于控制者或第三方所追求的正当利益是必要的，这不包括需要通过个人数据保护以实现数据主体的优先性利益或基本权利与自由，特别是儿童的优先性利益或基本权利与自由。”该事由在个保法草案中未有体现。实际上，正是考虑到数据处理的多种可能场景以及与其他正当利益的平衡，除了数据主体的同意之外，GDPR列入了多种合法性基础，其中也包括了控制者或者第三方的正当利益事由。这说明，即使在GDPR中也并不总是把个人信息相关的保护利益列为绝对的优先项，需要在特定场景中予以平衡。

个保法起草说明中提出：“制定个人信息保护法是促进数字经济健康发展的重要举措。当前,以数据为新生产要素的数字经济蓬勃发展,数据的竞争已成为国际竞争的重要领域,而个人信息数据是大数据的核心和基础。党的十九大报告提出了建设网络强国、数字中国、智慧社会的任务要求。按照这一要求,应当统筹个人信息保护与利用,通过立法建立权责明确、保护有效、利用规范的制度规则,在保障个人信息权益的基础上,促进信息数据依法合理有效利用,推动数字经济持续健康发展。”简言之，平衡个人信息保护与数字经济创新发展应当是个人信息保护法立法考虑的重要因素。在数据处理的合法性事由中，后续还应就“数据处理者的正当利益”的场景展开讨论。

此外，虽然个保法草案参考GDPR的规定增加了同意外的其他合法事由，但从后面的条款内容来看，部分并未考虑到合法性事由的多样性，可能会存在一些瑕疵，例如：第15条规定处理未成年人信息时应取得监护人同意，但更准确的说应为在选择同意作为合法事由的情形下，处理未成年人信息应取得监护人同意。再如：第47条规定个人信息处理者在个人撤回同意时应当删除个人信息，但应为有关处理仅依据同意这一合法事由进行处理时，个人撤回同意才应当删除个人信息。

2 / 对“敏感个人信息”的特别规定

GDPR对“特殊类型个人数据”的处理采用了原则性禁止加例外情形的方式，且其对于同意原则和方式，并未做特别的规定。而个保法草案在表述上则采用了可处理加特定限制条件的方式，规定了个人信息处理者只有在具有特定的目的和充分的必要性的情形下，方可处理敏感个人信息，而且进一步规定，在基于同意处理敏感个人信息时，应当取得个人的单独同意，同时还应向个人告知处理的必要性以及对个人的影响。相比于GDPR，个保法草案在敏感个人信息方面加重了个人信息处理者的合规义务，这对于涉及处理敏感个人信息的行业影响较大，用户的单独同意这一要求也将成为企业处理敏感个人信息的另一道门槛。

3 / 跨境提供个人信息

关于数据的跨境转移，GDPR规定了包括充足保护认定、有约束力的公司规则（BCR）、数据保护标准条款（SCC）、特别告知同意、履行合同必要等多种合规路径，且并未对个人信息的本地化存储做出限制，而个保法草案统一将告知并取得个人的单独同意作为数据跨境传输前提条件，在合规路径方面，规定了安全评估、个人信息保护认证、与境外接收方订立合同等方式。同时，个保法草案还对关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者提出了本地化存储的要求。草案的跨境规则对于跨境经营类企业（如境外跨国企业，中国出海企业）的影响较大，需根据其自身情况确定合规路径，并征得用户的单独同意。

此外，个保法草案还规定如因国际司法协助或行政执法协助，需要向境外提供个人信息的，应当依法申请有关主管部门批准。

4 / 处罚

参考GDPR的两千万欧元或上一年全球总营业额4%的金额的罚款上限（两者取较高者），个保法草案将罚款上限规定为“五千万元”或者“上一年度营业5%”。

除了规定罚款额度外，GDPR还规定处罚的考量因素，实践中欧盟数据保护机构也会通过发布指南文件对处罚金额的确定方法作出指导，例如，德国联邦和州的独立数据保护机构在《关于确定企业GDPR相关罚款数额官方指南》中明确，在确定企业的罚款数额时会考量以下5个因素：企业规模、不同规模类别下企业的平均年度营业额、核定经济基本值、违法行为严重程度，以及其他未考虑情形等因素。而个保法草案暂未涉及处罚的考量因素。

此外，相较于GDPR规定的“全球营业额4%”这一处罚标准，个保法草案的规定为“上一年度营业额5%”，而未明确营业额的范围为境内还是全球。

可见，个保法草案虽规定了处罚上限，但未明确确定处罚数额的考量因素、针对适用的违法情形，以及营业额的范围，有待进一步明确。

1 / 委托处理

GDPR中对于数据“控制者”和“处理者”有较细的法律义务的分配，且要求“控制者只能选用有充分保证的、可采取合适技术与组织措施的、其处理方式符合本条例要求并且保障数据主体权利的处理者”。

而个保法草案只是规定个人信息处理者委托处理个人信息的应当与受托方约定双方权利义务，并对受托方的个人信息处理活动进行监督。就受托方的义务方面，除履行其合同义务，返还或删除个人信息义务，及不得转委托外，并无进一步的规定。

2 / 自动化决策

与GDPR相比，个保法草案中有关自动化决策的内容对个人信息处理者提出了更高的要求，主要体现在以下三个方面：

首先，在个人针对自动化决策的权利上，GDPR规定，个人有权反对该种自动化决策，但同时规定了三种豁免情况：履行合同必要、法律授权要求且采取恰当措施、数据主体明示同意。也就是说，在这三种情况下，数据主体并没有针对自动化决策的拒绝权。而个保法草案第25条规定“个人认为自动化决策对其权益造成重大影响的，有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。”从当前规定来看，个保法草案并未对个人针对自动化决策的拒绝权进行限制，相较于GDPR，草案下个人的权利范围更广，相应地，处理者的义务也就更重。

其次，个保法草案要求“利用个人信息进行自动化决策，应当保证决策的透明度和处理结果的公平合理。”这对于信息处理者提出了保证“透明度”和“结果公平合理”两方面要求，但未进一步解释“透明度”“保证结果公平合理”应如何实现，差异化的理解可能导致实践中对该义务的履行程度不一。在GDPR下，针对“透明度”这一要求，其明确规定，控制者应明确告知数据主体其使用了自动化决策（包括用户画像），此类情形下涉及的相关逻辑，以及此类处理对于数据主体的重要性和可能产生的后果，相较于个保法草案其规定更加细化。在确保“结果公平合理”方面，GDPR未明确使用该种表述，而是通过数据主体的反对权、豁免情形下施与控制者特定义务（例如采取适当措施保障数据主体的权利、自由、正当利益）的制度设计来间接达到这一效果。

最后，个保法草案还规定，“通过自动化决策方式进行商业营销、信息推送，应当同时提供不针对其个人特征的选项”，也即针对特定场景下的特殊义务，而GDPR条文中未有类似规定。

3 / 查阅复制权

个保法草案第45条规定，“个人请求查阅、复制其个人信息的，个人信息处理者应当及时提供。”但并未提及成本承担的问题。GDPR对此明确规定：“控制者应当对进行处理的个人数据提供一份副本。对于任何数据主体所要求的额外副本，控制者可以根据管理费用而收取合理的费用。”

4 / 通知义务

GDPR规定，控制者在知悉个人信息泄露情形后应当及时告知有权监管机构，除非个人数据泄露对于自然人的权利与自由不太可能会带来风险。此外，当个人数据泄露很可能给自然人的权利与自由带来高风险时，控制者应当及时向数据主体传达对个人数据的泄露。

个保法草案第55条同样规定了个人信息处理者在个人信息泄露时的告知义务，与GDPR略有不同的是，草案规定，个人信息处理者只要发现个人信息泄露的，应当立即采取补救措施，并通知监管部门和个人；但采取措施能够有效避免信息泄露造成损害的，可以不通知个人，除非监管部门要求个人信息处理者通知个人。