首先是起草说明中第一大点“关于制定本法的必要性”项下共提供了三点理由。一为“（制定本法）是进一步加强个人信息保护法制保障”，二为“是维护网络空间良好生态的现实需要”，三为“是促进数字经济健康发展的重要举措”。如果再阅读对每一个理由的说明，就会明显发现在“保护个人信息安全”和“促进信息正常流动”之间，形成的不仅是二比一而是二点五比零点五的比例。于是我们在阅读《个人信息保护法（草案）》的具体条文之前，就已经能够感受到它的定调：并非“信息安全与信息流通等量齐观”而是有一个位阶关系“在保障安全的前提下促进流通”。

其后是起草说明中第三大点“关于草案的主要内容”，这是起草说明中相当值得阅读的一个部分，突出展示了即将问世的个人信息保护法的创新点和着重点。就适用范围问题来说，最紧要之处在于将法的效力适当延伸到域外，基于当下信息、数据流动的特点，这无疑很有必要；就个人信息的处理规则来说，“知情-同意”原则毫无意外处于个人信息处理全过程中核心中的核心的地位，而“最小必要”原则终于成功“转正”成为法律规定的处理原则，其意义和影响恐怕更为重大；就完善个人信息跨境提供规则来说，考虑到中国现在数据产业的优势、强势地位及近年来各国政府对信息、数据价值的发现和重视，信息资源必须作为国家监管和保护对象来认真对待是毋庸置疑的；就明确个人信息处理活动中个人的权利和处理者义务来说，在将个人信息权利视作私权、绝对权加以保护的进路和当前我国数据产业中个人信息所有者确实处于明显的劣势地位的“理论+现实”双重理由下，《个人信息保护法（草案）》所规定的相关内容非常容易理解。

接下去聊一些草案的具体规定。但限于篇幅，本文只挑选部分笔者“第一批”关注到的条文，同时将关于跨境问题、国际问题的规定全部先置于一边，仅讨论域内的一般情形。

一、第四条，其第一款的但书将司法解释中关于匿名化的规定“转正”为法律，去标识化的信息被排除在了个人信息之外。其第二款则为“对个人信息处理的审视”给出了提示：收集、储存、使用、加工、传输、提供、公开七个方面至少需要全覆盖。也为第五十条、第五十四条之规定的实施，起到方向性的指导作用。

二、第六条，原来只是可怜的国家标准的“最小必要”原则（虽有《网络安全法》首倡，但该法中仅提及概念，没有具体规定）一下子麻雀变凤凰，一跃擢升为法律，并且具有了基础性的地位，实在可喜可贺。这也是草案中对于促进数据流通、数据行业发展提供的最重要法治保障。

三、第十三条，这一条特别重要，具有突破性意义。因为《个人信息保护法》实施之前，根据《网络安全法》的规定，欲处理个人信息，只有唯一的路径“取得个人信息所有者同意”。但这显然是不足以供给社会现实对个人信息的大量正当且迫切的需求（拙作《重标识攻击的刑事合规应对——正确应用新形势下的数据价值提升通道》中已举例，有意者可参阅）。本条一口气增加了四条合法化路径；“为订立或者履行个人作为一方当事人的合同所必需”、“为履行法定职责或者法定义务所必需”、“为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需”、“为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息”。三个“必需”一个“合理”涉及到从私权到公权，从一般情况到特殊情况，在很大程度上缓和了“同意权绝对化”带来的困扰。如果以一个数据行业从业企业的视角来看，本条（二）、（三）、（四）、（五）项都将引来一股股清泉。

四、第十七条，此为“最小必要”原则带来的双刃剑。一方面限制了企业“捆绑获取授权”的流氓行为，一方面在十三条第（二）项之外，再次确认“最小必要”原则可以为处理个人信息提供合法性。而且本条还将为10月1日刚刚热辣出炉的国家标准《个人信息安全规范》中要求主服务与其他服务能够分离，应分别提供授权且可分别撤回的规定“补票”了法律依据。

五、第二十二条和第二十四条，两条分别规定了委托处理个人信息和向第三方提供“个人信息处理者处理的个人信息”时应遵守的守则。但不得不说对于两个条款的表述和相互关系，笔者存在一些疑问。首先，第二十二条中的“受托方”是否属于第二十四条中的“第三方”？第二十二条并不要求向个人信息所有者披露受托方信息并获取单独授权，但第二十四条有此要求。那么“受托方”是否受此限制?其次，第二十四条第一款规定“其处理的个人信息”是指原始个人信息、经处理的个人信息还是二者都包含？考虑到第二款规定的是提供匿名化的信息的情形，那么可以推想第一款中也许是应该包含“经处理的个人信息”的，可是提供匿名化的信息如果也要向个人信息所有者披露第三方信息并获得单独授权，似乎又有些不恰当。恐怕这是个值得继续观察、研究之处。

六、第二十五条，这是一个有些“意义不明”的条款。当然，这是指本条第一款。利用个人信息进行自动化决策的场景千姿百态、数不胜数，例如小额贷款公司提供贷款额度、共享充电宝提供免押金、网络游戏自动匹配对手、交通部门的电子眼处罚……本条第一款规定当被要求时信息处理者应予以说明，可是如何“说明”？将决策模型和决策过程完全展示给异议者显然不大可能，不但表达起来过于困难而且极大概率涉及商业秘密甚至国家秘密。那么这种“说明”需要达到什么标准？目前无法可依。本款更规定“（个人）有权拒绝个人信息处理者仅通过自动化决策的方式做出的决定”，可这如何拒绝呢？如上举例，当共享充电宝小程序拒绝提供免押金服务时，个人拨打客服要求免押金？那当网络对战游戏匹配给笔者“青铜级”对手时，笔者致电客服要求人工更改为“王者级”？——这好像不太现实。此外，本款规定还意味着每一家使用自动化决策的企业甚至政府单位都需要至少配备一名职员，专为自动化决策“背书”，这也算个趣事。

七、第二十七条，这是一个专门问题。显而易见本条的生效将导致大量物业公司领导脑袋剧痛——他们安装在小区门口以彰显小区“高端”的人脸识别大门现在成了烫手山芋。相关问题作为最近的热门话题，自清华的教授以降，讨论文章不少，本文不赘。但毫无疑问本条法律的出台将促使对这块问题的研究迅速推向深入并深刻影响实践。

八、第二十八条，这也是本法中特别值得注意的条款。它解决了一个现行司法实践（包括刑法适用）中尚未统一的大问题：对于公开渠道收集到的个人信息的处理，应作如何认定？例如湖北程某某、郭某某等六人侵犯公民个人信息一案中，法院将被告人自企查查等网站处爬取的企业经营者的联系电话认定为个人信息，继而认定被告人构成侵犯公民个人信息罪。此判决恐怕不能说是不容置疑。而本条规定的出现将为类似问题的裁判提供一个非常有力的法律依据，同时为相关从业者、行为人提供一个非常重要的法律指引。虽然说条文本身的表述还具有一定的模糊——“公开时的用途”恐怕不易确定，但其价值仍然很大。

九、第四十九条，是不是放错位置了？放在第五章会不会更加合适？当然这不是主要的。主要要说的是，本条规定虽然只有短短两行字，但势必给相关行业带来巨大的工作量和成本。因为第四章规定了个人信息所有者不少权利，而本条规定要求提供权利的实现途径。观察目前市场上的数据产品，能达到本条规定要求的只怕凤毛麟角。如果通过代码在产品中实现这些功能，那么全国码农们恐怕得迎来一段“农忙”时光了；不过就条款的字面意思来看，提供人工客服也许也是一种变通办法。

十、第五十条，又是特别值得关注的一条。本条规定既普遍适用又比较具体，所以对数据行业一定会带来重大影响。它直接规定了个人信息处理者应当进行的五项数据安全治理工作，并且这五项工作都是比较具象化，易于通过客观证据来证实的。或者更简单地说——是易于监管、检查的。所以这将至少产生两方面的作用：一是从日常监管来说，相应监督管理部门随时都具有检查企业这五项工作的能力，随时能将这种检查的可能性变成现实。按照笔者一位较为“尖酸刻薄”的公务员朋友的玩笑话——“这是‘消防法2.0’条款”。二是从法律风险的角度讲，很多承担行政甚至刑事责任的前置条件是“违反国家规定”，而从业企业如果未进行本条规定的工作中的任何一项，那么肯定充盈了“违反国家规定”的条件，少了这样一道重要的门槛，企业招致法律责任的风险将明显上升。

十一、第五十三条，不知将由什么“专业机构”来定期审计个人信息处理者的活动和措施。笔者就私心祈愿一下是律师事务所吧。

十二、第五十四条，与第五十条类似规定了一些比较具象化的工作。可想而知的是，对第五十条和第五十四条的执行能力，将成为体现和考验相关企业包括且不限于经营水平、技术水平、法律水平等多方面综合实力的重要窗口。如果稍微发散一点，想到数据行业是一个马太效应明显的行业，这两条法律、两块工作对从业企业的影响，恐怕还要乘上一个系数，值得相关企业投入精力，认真对待。