- 对企业罚款最高可至人民币5000万元或上一年度营业额5%、对个人罚款最高可至人民币100万元的巨额罚款，以及企业关停、证照吊销的严厉后果，将极大震慑企业滥用个人信息、疏于采取安全保护措施等行为。可以预见企业将掀起新一轮数据合规热潮，积极采取个人信息合规措施。

- 由于“人民币5000万元”或“上一年度营业额5%”是二选一的关系，在执法实践中，可能出现超出人民币5000万元的“天价处罚”。

- 由于《草案》未规定何谓“情节严重”，各行业主管部门在执法中将拥有较大自由裁量权，不同行业主管部门之间、同一行业主管部门不同层级将有可能出现执法尺度不统一的情况。当然，《草案》也有可能在下一轮中对此问题进一步明确，国家网信办和有关行业主管部门也有可能颁布解释性文件或执法指引来解决此类问题。

- 大胆预测一下，巨额罚款对于网络安全保险业务而言属于重大利好消息。网络安全保险在中国仍然属于新鲜事物，还处于市场开拓阶段。巨额罚款威胁将使得中大型企业考虑降低风险的各种措施，包括购买网络安全保险产品，网络安全保险产品市场有可能迎来热潮。

- 两种模式：从世界范围内来看，个人信息保护监管机构设置有两种方式，即以欧盟为代表的跨行业统一监管模式和以美国为代表的行业主管监管模式。两种模式各有利弊，例如，设立跨行业统一的监管机构有利于聚焦于个人信息保护、执法尺度相对比较统一，但由于其监管行业跨度较大，一些行业的学习门槛较高，如涉及行业专业问题时难免有时力不从心；而由行业主管部门进行监管，虽解决了行业知识门槛问题，但也可能出现不同行业主管部门监管要求有差异、执法尺度不统一的问题。

- 九龙治水？《草案》提出的“网信部门统筹协调+有关部门各自监管”的模式，比较贴近行业主管部门专门监管模式，应是立法者平衡两种模式利弊后的结果，比较符合我国行政机关设置和职能划分的传统，也有利于各行业主管部门尽快推动提高本行业个人信息保护水平。虽然这种模式也不完美，但是我们认为不宜将此模式类比为“九龙治水”而予以全盘否定。在此模式下，我们认为亟需解决的是：1.对没有行业主管部门的个人信息处理者如何监管；2.对有多个主管部门的个人信息处理者如何监管；3.如何解决不同行业主管部门执法尺度不一的问题。希望网信部门的“统筹协调”可以有效解决此类问题。

告知-同意原则没变：对于告知-同意原则是否沦为形式主义、是否阻碍了数字经济的发展、告知-同意原则在大数据时代是否应该改革等课题，国内外理论界和实务界均有激烈讨论。但在没有出现切实可行的替代性方案之前，告知-同意原则的地位不可撼动。《草案》本身对于告知-同意原则没有创新或改良——可以这样理解：落实告知-同意原则仍是个人信息处理行为的核心合法性基础；如果不属于《草案》规定的例外情况，企业则必须获得个人的告知-同意。在未来很长一段时间里，数据合规同行们仍将继续为用户告知-同意的“界面”设计和隐私政策的语言描述绞尽脑汁。

“合法利益”：在GDPR下，能够证明“合法利益”的公司在某些情况下可以在未经个人信息主体同意的情况下合法处理个人数据。在我们的数据合规工作中，也有很多企业提出、企业如出于保护自身合法利益，应当也可以不经个人信息主体同意收集和使用个人信息。《草案》中没有规定这种例外情况。虽然此类要求在某些场景下有一定的正当性（例如，公司对员工进行背景调查、企业打假过程中调查制假贩假者的有关情况），但考虑到“合法利益”难以穷尽、不总有明确的判断标准、而有些企业也可能滥用该理由从事侵害个人权益的行为，《草案》因此没有将“合法利益”确定为无需个人告知-同意的例外情况。

《草案》规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。”

《草案》对于“个人信息”和“个人信息的处理”的定义与《网络安全法》、《民法典》和《个人信息安全规范》（“《规范》”）中的定义类似，尽管略有区别，但总体上《草案》对于个人信息依然采取了较为宽泛的定义方式，强调在识别性的基础上，与特定自然人有关的信息均可构成个人信息。

1.处理的合法性基础
2.告知（个人信息的收集）
3.同意（个人信息的收集）
4.保存（个人信息存储/销毁环节）
5.对外提供（共同处理、委托处理、转移、第三方提供）

6.公开（公开披露）
7.个人信息处理的典型场景

1.个人信息出境的条件

2.单独同意
3.国际司法协助/行政执法协助

1.必要措施

2.个人信息保护负责人/部门
3.审计
4.风险评估

5.个人信息泄漏的补救和通知义务更多内容请见：

李某于2016年10月11日在吉大南区参加“中国邮政储蓄银行2017年校园招聘”。2017年1月4日在万佳体检中心参加入职体检，体检结果李某不知道，但是万佳体检项目单的背面有写明“乙肝保密、非经本人允许不检测乙肝项目”的内容。1月13日野山接到邮储长春分行人力资源部经理电话告知，要求重新体检。1月14日李某在万佳体检中心复检并取得第二份体检报告，体检结果显示，肝功能的数据均在正常范围。1月16日李某向人力资源部经理递交第二份体检报告被退回，经理告知李某在第一次的统一体检时被检测出“乙肝小三阳”。

本案中李某检查乙肝是基于企业与新入职员工之间上命下从的隶属关系被迫的，李某为配合邮储长春分行的人力资源部工作人员的要求一共做了三次检查，而邮储长春分行最终还是作出了取消李某实习与录用资格的决定。

该案中，法院认为邮储长春分行在校园招聘过程中，违反相关法律规定，要求李某进行肝功能复检，构成用工歧视，侵犯了李某人格权，确实给李某造成较大的精神压力，故李某要求邮储长春分行赔礼道歉，赔偿经济损失及检查费用的诉讼请求应予支持。

H&M在汉堡注册，并在纽伦堡设有服务中心。至少从2014年开始，部分工作人员的私人生活细节就已经受到广泛记录。相应的注释永久存储在网络驱动器上。在休假和病假之后，甚至是短暂的休假之后，监督团队的负责人与他们的员工进行了所谓的“欢迎回来谈话”。在这些谈话之后，公司不仅记录了员工具体的假期经历，而且还记录了疾病症状和诊断。此外，一些主管通过谈话获得了有关员工私人生活的广泛信息，从相当无害的细节到家庭问题和宗教信仰。其中一些信息被记录下来，以数字化手段被存储，公司内多达50名其他管理人员可以进行部分读取。除了对个人工作绩效进行细致的评估之外，以这种方式收集的数据还用于获得员工的详细资料，以制定有关其工作的措施和决策。收集他们的私生活细节和记录他们的活动，这两种做法结合起来，对雇员的公民权利造成了特别严重的侵犯。

法院认为，链家公司作为房地产经纪服务机构，经纪人杨某基于其履行职务的行为，成为获取赵某身份证信息及房屋所有权证书信息的合法信息使用者、处理者。链家公司及其经纪人应保证其对赵某个人信息的使用仅系履行《房屋出售委托协议》合同目的的需要。

作为企业员工的管理者，链家公司未建立信息安全的管理制度和操作规程，包括没有对客户信息安全风险进行提示，没有对客户敏感信息加密处理等建立严谨细致的管理制度保障客户的信息安全，无法确保经纪人谨慎依约合法使用公民个人信息。

通过庭审查明，链家公司要求经纪人必须将客户的身份证、房产证及合同信息拍照后上传至公司内网。链家公司可以预见，在这样的处理方式下会极大的增加侵犯客户个人信息行为发生的可能性和危险性，但链家公司对此没有采取任何实际有效的操作规程等防范措施予以风险的防控，公司员工可以轻易将业主个人信息泄露用于非法目的。

因此，本案侵权事实的发生与链家公司内部对客户、员工个人信息的保护存在监管漏洞直接相关。因链家公司的管理存在过错，其亦应对赵某的个人信息被侵害的损害后果承担侵权责任。

长期以来，除为履行法定义务所必需外，取得个人同意是处理个人信息的唯一合法基础。考虑到经济社会生活的复杂性和个人信息处理的不同情况，草案对基于个人同意以外合法处理个人信息的情形作了规定，即：订立或履行合同所必需、履行法定职责或义务所必需、保护自然人的生命健康和财产安全所必需、为公共利益在合理范围内处理个人信息。

尽管如此，“告知-同意”依然是个人信息处理规则的核心，并已经在国内现有的法律和监管体系中得到广泛执行。草案对“告知-同意”规则作出较大幅度的完善和更新，必将对合规生态产生深远影响。

草案处处体现了对个人信息保护的“风险路径”考量，即在规制个人信息处理行为时区分主次、抓大放小，企业也应据此合理分配合规资源。敏感个人信息的处理规则单独成节即是证明之一。个人信息处理者只有在具有特定目的和充分必要的情形下才能处理敏感个人信息。“告知-同意”义务方面，需额外向个人告知处理敏感个人信息的必要性以及对个人的影响，并取得个人的单独同意或依法取得书面同意。

草案首次在法律层面提及自动化决策，并且赋予其丰富内涵，导致几乎所有利用大数据的企业都多少会受到规制。具体而言，自动化决策是指利用个人信息对个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，通过计算机程序自动分析、评估并进行决策的活动。

基于此，有关自动化决策的规定将广泛影响信息社会中的各行各业，尤其是人工智能的应用场景。个人信息处理者应当特别重视自动化决策的合规，例如：通过隐私政策等方式，向个人告知自动化决策的存在、基本的运行逻辑及其对个人的影响；通过定期检验数据和算法等方式，保证决策基础数据的准确性和相关性，以及决策算法的可解释性和非歧视性；通过关闭选项、人工复核等方式，避免个人完全受制于自动化的机器决策。

早在草案出台之前，司法实践中与此相关的裁判思路即在发生变化。根据南方都市报运营公众号“隐私护卫队”的报道，北京互联网法院某法官的观察显示：企业对数据的再度利用中公开数据是重要的一类，包括权利人自行公开、政府信息公开或司法公开。以裁判文书为例，此前的法院裁判时因裁判文书属于权威信息来源，通常认为只要再度利用时保持内容一致，不存在不当利用的情形，就不构成侵权。然而，在最近的生效判决中则出现不同的裁判结果，考虑公开信息的同时也会考察再度利用公开信息是否可能侵害权利人值得保护的重大利益。

草案将个人信息跨境提供置于单独章节，足以见得立法、监管层面对此的关注。总体而言，根据出境主体身份的不同，个人信息处理者或必须通过监管评估、或可以从监管评估、专业机构认证、合同订立当中进行选择，特殊情况下（如因国际司法协助或者行政执法协助需向境外提供个人信息）应按法律、行政法规进行处理。但无论如何，告知-同意义务均不能豁免。

草案构建了个人信息的权利义务体系。该等内容在企业实践中均已涉及，但在此之前尚未在法律层面予以全面规范。就个人权利而言，个人享有知情、决定权，查阅、复制权，更正、补充、删除权，以及要求解释说明、申请受理的权利。就个人信息处理者义务而言，个人信息处理者应采取必要的技术与管理措施、设置个人信息保护负责人、定期开展合规审计、事前风险评估、个人信息泄露后应及时补救并通知。

草案将在中国境外处理境内自然人个人信息的部分活动也纳入管辖范围，初步判断实践中可部分对标GDPR下的提供商品或服务原则及监控原则。“以向境内自然人提供商品或服务为目的”，在实际中可能会考量个人信息处理者是否“有意”在中国境内向个人提供商品或服务。“为分析、评估境内自然人的行为”系从处理目的的角度出发，落脚于使用个人信息开展行为的分析、评估活动；监控原则则是从行为角度，要求存在监控行为并且还包括后续的利用。两者具备相似性，如用户画像及相关的定向推送、消费者习惯分析均为典型场景。

草案全方位地规定了违法处理个人信息的行政处罚、民事赔偿和刑事责任，尤其是第62条高达5000万元或上一年度营业额5%的天价罚款，堪比GDPR中2000万欧元或上一年度全球总营业额4%的标准，宣示了中国对规范个人信息处理的决心。

对于违法行为的查处力度尚难以预估，但草案已经对履行个人信息保护职责的部门进行执法予以充分赋权，包括对有证据证明是违法个人信息处理活动的设备、物品，可以查封或者扣押。查封、扣押属于行政强制措施，原则上只能由法律设定。