个人信息是“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息”。

从该定义可见，个人信息的定义采纳了《个人信息安全规范》个人信息定义的最宽入口模式，无论是识别法（从信息到个人）或关联法（从个人到信息）得到的信息均被认为是个人信息的范畴。该条款的设计实质上也与GDPR设计思路一致。

《草案》确立了七项重要原则，包括合法正当诚信原则，目的明确必要原则，透明原则，质量原则，责任和安全保护原则，禁止非法处理原则，协同治理原则。相对于合法正当诚信原则、质量原则和协同治理原则为新增原则。合法正当诚信原则，是指“处理个人信息应当采用合法、正当的方式，遵循诚信原则，不得通过欺诈、误导等方式处理个人信息”；质量原则，是指“为实现处理目的，所处理的个人信息应当准确，并及时更新”；协同治理原则，是指“国家建立健全个人信息保护制度，预防和惩治侵害个人信息权益的行为，加强个人信息保护宣传教育，推动形成政府、企业、相关行业组织、社会公众共同参与个人信息保护的良好环境”。

第二章 个人信息处理规则

有关同意的规定中，主观要件、形式要件、变更情形、未成年人同意的特殊要求和保障用户可以拒绝同意的权利延续了原个人信息保护体系框架的要求。值得一提的是有关同意的形式要件新出现了“单独同意”的描述。在此之前，单独同意的类似概念曾作为《个人信息安全规范》要求个人信息控制者收集生物识别信息前获取用户同意的形式要件。与之相类似的概念，例如“明示同意【1】”至此将被“单独同意”这个更为明确更容易理解的概念所取代。

“第十四条 处理个人信息的同意，应当由个人在充分知情的前提下，自愿、明确作出意思表示。法律、行政法规规定处理个人信息应当取得个人单独同意或书面同意的，从其规定。” 

合乎要求的告知义务是合法正当诚信原则和透明原则的重要体现。《草案》在有关告知的要求中，从一般告知内容，告知的形式、变更告知的情形等均作出了细致要求。除此之外，《草案》创设了两项豁免告知的情形，分别是基于保密义务的豁免，和基于紧急情况的豁免：

“第十九条 个人信息处理者处理个人信息，由法律，行政法规规定应当保密或者不需要告知的情形的，可以不向个人告知前条规定的事项。

紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的，个人信息处理者应当在紧急情况消除后予以告知。”

《草案》定义了共同处理者的概念，不再区分个人信息控制者和处理者。但也应澄清，除了概念上的重新定义，二者的责任承担方式也由《个人信息安全规范》中的前后台模式转变为共同面向个人主体的连带责任模式，且相关的连带责任包括了合同责任和侵权责任的双方面连带。

“第二十一条 两个或者两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的，应当约定各自的权利和义务。但是，该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。

个人信息处理者共同处理个人信息，侵害个人信息权益的，依法承担连带责任。“

作为个人信息权利极易遭到漠视和侵犯的缺口，向第三方提供和共享个人信息已逐步受到监管的严密关注。在《草案》中，向第三方提供个人信息需要履行相当严格的义务，包括但不限于(1)事先的充分告知和单独同意；(2)第三方受到严格的处理限制，且额外要求第三方不得对匿名化信息采取技术手段重新识别。

“第二十四条 个人信息处理者向第三方提供其处理的个人信息的，应当向个人告知第三方的身份、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。接收个人信息的第三方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。第三方变更原先的处理目的、处理方式的，应当依照本法规定重新向个人告知并取得其同意。

个人信息处理者向第三方提供匿名化信息的，第三方不得利用技术等手段重新识别个人身份。”

在原有的个人信息保护体系中，自动化决策、个性化展示、以及拒绝营销权均分散表述，对于从业者而言曾引起很多误解和争议。本次《草案》从自动化决策的基本决策逻辑应遵守透明和公平原则入手，在决策对个人权益造成重大影响时赋予个人主体拒绝权，并直接限制了自动化决策最为普遍的应用场景“商业营销、信息推送”中应向个人提供“不针对其个人特征的选项”。该条款再次体现了《草案》通顺的逻辑和简明实用的立法技术风格。

“第二十五条利用个人信息进行自动化决策，应当保证决策的透明度和处理结果的公平合理。个人认为自动化决策对其权益造成重大影响的，有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

通过自动化决策方式进行商业营销、信息推送，应当同时提供不针对其个人特征的选项。”

沿用已有的个人信息保护体系，除非取得个人单独同意或者法律、行政法规另有规定的，个人信息处理者不得公开其处理的个人信息。值得一提的是，作为对公开的个人信息遭到毫无门槛的获取的现状的回应，《草案》对于已公开信息的处理作出特别限制，核心主要在于关注已公开信息在公开时的用途，以及使用此类公开信息的用途，具体体现为：(1)只能在合理范围内处理；(2)超出合理范围的处理应当重新告知并取得同意;(3)被公开的用途不明确的应当谨慎处理；(4)使用用途为对个人有重大影响的活动时应重新告知个人并取得同意。

“第二十六条 个人信息处理者不得公开其处理的个人信息；取得个人单独同意或者法律、行政法规另有规定的除外。

第二十八条 个人信息处理者处理已公开的个人信息，应当符合该个人信息，被公开时的用途；超出与该用途相关的合理范围的，应当依本法规定向个人告知并取得其同意。

个人信息被公开时的用途不明确的，个人信息处理者应当合理、谨慎的处理已公开的个人信息；利用已公开的个人信息从事对个人有重大影响的活动，应当依照本法规定向个人告知并取得其同意。”

出于公共安全的需要以及避免公权力的滥用，《草案》制订了有关公共场所采集个人图像和个人身份特征信息的条款，并限制了其安装设备和使用信息目的，要求其设置显著提示。该条款明显是对国际潮流的顺应【2】，但对于何为个人身份特征信息尚有待进一步的解释和收口。

“第二十七条 在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像，个人身份特征信息只能用于维护公共安全的目的，不得公开，或者向他人提供；取得个人单独同意或者法律、行政法规另有规定的除外。” 

敏感个人信息在草案中的定义采用了概念与示例的方式，强调这类个人信息的歧视性后果或造成人身、财产安全的严重危害的后果，相对于《个人信息安全规范》的个人敏感信息列表，“民族”“种族“首次被明确列举。敏感个人信息处理的严格限制体现在（1）处理前提是特定目的和充分的必要性；（2）基于个人同意处理的应获得单独同意或书面同意；（3）征得同意的告知事项增加告知处理敏感个人信息的必要性以及对个人的影响；（4）法律、行政法规规定处理敏感个人信息应当取得相关行政许可或者作出更严格限制的,从其规定。

“第二十九条 个人信息处理者具有特定的目的和充分的必要性,方可处理敏感个人信息。

敏感个人信息是一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。

第三十条 基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意。法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。

第三十一条 个人信息处理者处理敏感个人信息的,除本法第十八条规定的事项外，还应当向个人告知处理敏感个人信息的必要性以及对个人的影响。

第三十二条 法律、行政法规规定处理敏感个人信息应当取得相关行政许可或者作出更严格限制的,从其规定。“