2020年10月21日，备受各界关注的《个人信息保护法（草案）》（以下简称“草案”）正式对外发布并征求意见。一方面，该草案吸收借鉴了国外（如欧盟）的先进法律规定，努力实现国际接轨；另一方面，从我国《宪法》到行政规范性文件、各类行业标准，从公法保护到私法保护，我国个人信息保护相关的法律规范框架体系日益完善。

对于为何需要不同层次地从公法到私法来保护个人信息，其本质原因是，个人信息收集者与处理者介于公权力与私主体之间，与个人之间形成了一种不平等的持续性法律关系，这种关系既不同于平等主体之间的民事法律关系，也不同于个人与国家公权力之间的关系。【1】因此，个人信息需要公法和私法两个层面的共同保护。

从私法的角度，举例而言，当个人信息遭受泄露或非法利用，依据传统民法中的损害差额说理论，受害人或许连其所遭受的损害都无法明说，受害人寄希望于通过民事侵权之诉来维护自身权益则显得更不现实。况且，让势单力薄的个人对大量收集、存储和利用个人信息的公司或政府提起民事诉讼以保护个人信息亦存在现实障碍。

正因为如此，个人信息保护的立法才从公法开始：一方面，对收集、存储、分析、使用个人信息的行为予以详细严格地规定，通过管制性规范确定各种法定的个人信息保护义务，从源头上遏制违法收集、使用个人信息的行为，消除自然人因个人信息被侵害而遭受各种现实或潜在的危险。另一方面，随着信息社会中的个人信息数据流通日益自由化，逐渐成为定向广告、营销策略甚至是创造巨额财富的工具，这可能会影响正常的市场秩序并损害消费者的合法权益。此时，就需要借助《反垄断法》、“个人信息保护法”、《消费者权益保护法》等法律对上述现象予以规制，维护市场秩序并保护个人信息不被滥用。【2】

1、 《宪法》

我国《宪法》对个人信息保护已有基本性的规定，如第37条规定了公民的人身自由；第38条规定了公民的人格尊严权；第39条规定了公民的住宅不受侵犯的权利；第40条规定了公民的通信自由和通信秘密权。以上条文虽未明文规定个人信息保护，但蕴含保护公民各项权利之明确含义。且《宪法》系数据领域的根本活动准则，《个人信息保护法（草案）》和《数据安全法（草案）》等相关数据立法必须以此为依据。

2、 其他公法性质的规范性法律文件

2012年，全国人大通过了《全国人大常委会关于加强网络信息保护的决定》，确立了个人信息收集使用的规则，以及网络服务提供者保护个人信息安全的义务等基本规范；2013年，经修正的《消费者权益保护法》中，对消费者个人信息的保护作出规定；2016年，全国人大通过了《网络安全法》，规定了网络运营者收集使用个人信息的规则，以及网络运营者保护个人信息的义务；2018年，全国人大通过了《电子商务法》进一步规定了电子商务经营者的个人信息保护义务和网络安全责任；等。这些立法或决定在前期初步构成了对个人信息的保护框架。

3、 《个人信息保护法（草案）》

2020年10月发布的草案，共八章七十条规定，分别为总则、个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门、法律责任和附则。该法律生效后，将是我国针对个人信息立法成果的集中体现，虽然其中有部分条款涉及到民事权利义务的内容，但从整体上看，其依然是以行政管理为主要内容的立法。

虽然上述公法性规范中也有涉及到民事主体的权利义务和责任问题，但有关个人信息保护在私法方面的集中体现还是2020年颁布的《民法典》。《民法典》在第四编“人格权编”中的第六章对“隐私权和个人信息保护”进行了专章规定，同时对隐私权与个人信息保护进行了明确区分，这也为后续发布的草案奠定了理论基础。

谈到我国发布的草案，就不得不提于2018年5月25日正式生效的欧盟《一般数据保护条例》（General Data Protection Regulation, 以下简称“GDPR”）, 该条例曾被称为“史上最严格”的数据安全管理规定，而我国现阶段草案部分吸收借鉴了GDPR的规定，一定程度上实现了与国际上主流数据法律模式的对接与融合。【3】

GDPR最鲜明的特色之一，即长臂管辖原则，打破了传统的属地管辖和属人管辖模式。根据欧盟数据保护委员会（European Data Protection Board, 以下简称“EDPB”）的指南, 判断GDPR的适用范围主要有如下两个标准：

除了上述两个标准外，数据控制者和处理者还需遵守“国际公法”规则，即GDPR“适用于虽在欧盟境外设立，但基于国际公法仍适用成员国法律的控制者的个人数据处理行为”【6】。例如，根据本款规定，EDPB认为，欧盟成员国位于欧盟境外的大使馆和领事馆所进行的个人数据处理行为仍适用GDPR。【7】

在GDPR出台后不久，同年6月28日，美国《加利福尼亚州消费者隐私法案》（California Consumer Privacy Act，以下简称“CCPA”）经州长签署公布，并于2020年1月1日起正式实施。CCPA借鉴GDPR的主要精神和一些规范性内容，并在此基础上进行了本土化创新。

在管辖方面，与GDPR相比，CCPA的管辖标准比较单一，主要管辖在加州境内开展业务并满足以下一项或多项条件的实体：【8】

1、 年度总收入超过2,500万美元；

2、 为商业目的，每年独自或合并购买、接收、出售或共享不少于50,000个消费者、家庭或设备的个人信息；

3、 年收入50%或以上来自于销售消费者个人信息；或

4、 是处理个人信息的服务供应商。

此外，CCPA还明文指出了不受CCPA管辖的情况，即如果企业的商业行为每个方面都完全在加州以外进行，则不受CCPA的管辖。

各国立法机构都会通过扩大个人数据保护相关法律法规的域外效力来增强对本土市场和本国公民个人数据的控制力。如EDPB指南所述，在数据全球化的背景下，为面向欧盟市场提供服务的公司建立公平的竞争环境设置宽泛的管辖范围，是实现其战略目标的重要手段之一。

因此，我国草案借鉴了欧盟GDPR的标准，此次草案的一大亮点便体现在管辖方面，即明确了“长臂管辖”的适用情形，将个人信息保护法律的效力延伸至境外主体在境外的行为。对于保护对象而言，无论是否具有中国国籍，只要是处于中国境内的自然人，其个人信息就能得到保护；对于信息处理者而言，根据草案第三条的规定，境外机构如果以向境内自然人提供产品、服务为目的，或为分析、评估境内自然人的行为而处理境内自然人个人信息的，无论信息处理者是否位于中国境内，均受到草案管辖。

此外，除了扩大管辖范围的借鉴，本草案也借鉴了GDPR对适用范围的限制性规定，即草案第六十八条第一款的“自然人因个人或者家庭事务而处理个人信息的，不适用本法”，以及第二款的“法律对各级人民政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理有规定的，适用其规定”（该款系特别法优先适用的情形）。

我国目前的《个人信息保护法》还处于草案阶段，就个人信息保护的相关法律具体应如何适用的问题，还可能会涉及到在多个法域下的数据合规规则。在这种错综复杂的背景下，我们认为对企业合规来讲，首先有必要对个人信息保护的主要法律原则进行整体把握。

为了更有国内适用的针对性，此处我们参考草案的条款，并结合其他成熟立法和学者的观点，总结了个人信息处理的七大基本原则：合法性原则、最小必要原则、公开透明原则、准确性原则、可问责性原则、安全保障原则、告知同意原则。

企业在经营活动和社会活动中，或多或少都会获取一定的个人信息。有关企业数据合规的第一步，要确定企业活动中涉及的数据类型、是否涉及个人信息（请参考团队第一篇介绍文章《个人信息保护与企业数据合规系列（一）基础理论篇》）。其次，要在现有的法律框架范围内检索可能适用的法律规定，例如从事互联网行业的，需要熟悉《网络安全法》、《信息安全技术个人信息安全规范》、《信息安全技术公民网络电子身份标识格式规范》等；从事电商行业的，需要关注《消费者权益保护法》、《电子商务法》等。最后，因为我国的个人信息保护法尚处于草案阶段，正式生效后也需要一定时间来完善配套的操作规范，故我们建议企业要熟悉有关个人信息保护的主要原则，有针对性地对企业日常经营活动进行合规评估。

此外，对于有涉外业务的企业而言，还要密切关注与其个人信息处理活动相关联的国家的法律法规。例如，我国的跨境电商在涉及欧盟消费者时，就有可能会引发GDPR合规问题，该跨境电商需及时评估哪些数据处理活动处于GDPR管辖之下，充分研读EDPB指南，并据此评估其是否需要遵守GDPR的规定。此外，如较难确定是否必须适用GDPR的，也可事先以附件形式将GDPR条款列入合同模板中，并约定如发生需适用的情形，则相关条款被触发生效。相类似地，由于跨国企业的数据跨境涉及到的问题更为错综复杂，我们将会在下一篇文章中对此进行详细解读。

1. 参见丁晓东著：《个人信息保护原理与实践》，法律出版社2021年版，第29-31页。

2. 参见程啸：《民法典编纂视野下的个人信息保护》，《中国法学》2019年第4期，第29-30页。

3. 参见何渊主编：《数据法学》，北京大学出版社2020年版，第56页。

4. 参见EDPB, Guidelines 3/2018 on the Territorial Scope of the GDPR, Article 3。

5. 同上。

6. 参见General Data Protection Regulation, Article 3.3。

7. 参见何渊主编：《数据法学》，北京大学出版社2020年版，第59页。

8. 参见California Consumer Privacy Act, Article 1798。

中联律师事务所 2008 年成立于上海，2020 年成为中世律所联盟发起创办的一体化全国性品牌所，是一家立足国内、面向全球的大型综合性律师事务所。

中联是中世律所联盟在中国首次以联盟做大方式，推动律师行业规模化、专业化、国际化发展的最新成果。中联秉持包容、合作、进取、开放的联盟文化理念，融合各地优秀成员所的丰富资源与荣誉，以高于同业的一体化知识管理体系与执业标准，全新诠释中国最好律所联盟成功发展的精神内核与事业追求。