今年10月21日，中共全國人大法制工作委員會（工法委）發佈《中華人民共和國個人資訊保護法(草案)》（以下簡稱《個資法草案》）徵求意見的訊息。這份草案在10月中旬的第十三屆全國人大常委會第二十二次會議上進行審議，現將草案在中國人大網公佈，中國大陸公民可以直接登錄中國人大網（www.npc.gov.cn）提出意見。

《個資法草案》目前最大的爭議是該法對政府濫用個資約束的忽視、高額度的罰款、其中牽涉治外法權（extraterritorial application）、以及對境外企業、新聞媒體、非政府組織與學術機構在中國大陸蒐集資料可能產生的嚴厲限制等等。但值得注意的是幾乎沒有受到大陸網民與國內主要社群媒體太多的注意，僅有幾位專業律師與學者對此發表非常客氣的評論，這顯示中國大陸社會之中因為長期個人資訊被企業以及國家控制與濫用的情形下，大多數人對於個資議題產生了麻木冷感的情況，加上境內公共知識份子、公民記者與網路「大V」都在這幾年的打壓下陸續「失聲」，這個有關公民重要隱私權力保障的立法，目前受到的關注幾乎是零。

《個資法草案》充滿類似歐盟在2016年通過、2018年施行《一般資料保護規範》（GDPR）的進步語彙，但實質缺乏對於預防國家侵犯個人隱私的程序限制與相關的處罰。例如第三條規定「組織、個人在中華人民共和國境內處理自然人個人資訊的活動，適用本法」，其中並未明確說明本法適用於政府部門、政府委託的企業、國營企業處理個人資訊的行為，也就是該法可能僅限於企業與個人之間的侵權行為的處罰，但對於大陸境內真正個資侵犯的「元兇」：收集與利用從手機通訊與軌跡、公民生物特徵、網路瀏覽行為以及消費資訊等等龐大個資以用來建立所謂「社會信用體系」的政府機關，可能毫無約束之力。雖然《草案》第三十三條提到「國家機關處理個人資訊的活動適用本法；本節有特別規定的，適用本節規定」，而這個「本節有特別規定」的大漏洞在第三十五條完全體現出來：「國家機關為履行法定職責處理個人資訊，應當依照本法規定向個人告知並取得其同意；法律、行政法規規定應當保密，或者告知、取得同意將妨礙國家機關履行法定職責的除外。」也就是說國家機關在自行認定知情當事人會影響情搜效果的情況之下可以不用通知當事人，等於是給了國家機關自由裁量的「空白支票」。這與一般國家，包括歐盟、美國、韓國、印度等類似立法的宗旨是避免國家無節制地侵犯個人隱私截然不同，中國大陸的立法者顯然動機剛好相反，北京與上海執業律師陳國彧與范思佳撰文稱之為「具有中國特色的立法」。

其中最有中國特色的可能是第三章「個人資訊跨境提供的規則」。如果確實實行，未來中國大陸公民記者、民調機構、學術團體以及維權人士與外界聯絡交付有關中國大陸的報導、案件、與研究都可能吃上「侵犯個人隱私」的鉅額罰款而面臨倒閉或歇業，這等於是給了中共箝制資訊交流另一個利器，不用凡是以國家安全為名（後作用相對來說太大），也同樣會對這些團體與個人產生寒蟬效應。例如第三十八條規定，個人資訊處理者因業務等需要，確需向中華人民共和國境外提供個人資訊的，應當至少具備下列一項條件：

(一) 依照本法第四十條的規定通過國家網信部門組織的安全評估；
(二) 按照國家網信部門的規定經專業機構進行個人資訊保護認證；
(三) 與境外接收方訂立合同，約定雙方的權利和義務，並監督其個人資訊處理活動達到本法規定的個人資訊保護標準；
(四) 法律、行政法規或者國家網信部門規定的其他條件。

也就是說，過去幫外國企業、大學與研究機構作民調的中國大陸民調公司必須要通過網信與安全部門申請特別許可，但我們也早就知道像這些部門申請許可幾乎是不可能，過去幾年國外學者都已經反應拜託大陸民調公司做調查已經非常困難，未來困難是否會到達到「完全不可能」的地步值得觀察。其它如醫院、學校、博物館、紀念館、檔案館等等儲存大量個資機構的管理人，在未來必然會對外界索取資料更為保守與謹慎，凡事以「保護個資」為名自我設限拒絕與外界合作，這在台灣實施《個資法》之後就已經看得到，大陸只會更糟不可能更好，未來學術研究的合作必然會大受影響。

此外針對在境外批評中國大陸的民間團體、例如新聞機構、人權組織與倡議型非政府組織加強管制的意味也非常濃厚。第四十二條允許中央主管機關「中央網絡安全和資訊化委員會辦公室」制定境外資料接收者「黑名單」，禁止向其提供個資。第四十三條規定，其他國家和地區對中國大陸採取歧視性禁止、限制措施的，中國大陸得採取類似措施加以反制。原本CNN、國際特赦（AI）、綠色和平（Green Peace）這些機構的網站就是中國大陸公民禁止瀏覽的，但並未禁止公民接受這些團體的訪問、資助與合作，但未來中國大陸公民這些行為可能等同私下傳遞訊息給這些團體，也因此將可能面臨嚴厲的處罰。

另一個《個資法草案》的中國特色，是屬地主義所產生的治外法權問題。歐盟的GDPR區分資訊的控管者（controller）和處理者（processor）的不同，但中國大陸的《個資法草案》遵循與2020年5月通過之《民法典》的模式，統一使用信息處理者的概念，而且以資訊處理者是否位於中國大陸境內為唯一的標準，也就是說不論資訊處理者的國籍是否為中國人、中國大陸學校或中國大陸企業，都要受到本法的規範。這可能會對於受雇於外國企業、NGO、與政府的研究調查人員產生衝擊，也會對於這些外國機構在大陸派出的分公司與駐在單位產生一定的影響。例如今年美國駐華媒體在兩國的「新聞記者驅逐戰」中元氣大傷，變得更依靠自由記者與中國大陸籍員工撰寫新聞，但這樣的行為未來也可能會觸犯中國大陸的法律。谷歌、亞馬遜、臉書等跨國企業雖然在中國大陸沒有直接經營事業，但是它們擁有中國大陸公民的資料（例如跨境購買與開戶）、中國大陸境內也有投資資料處理或研發中心，這都使得它們也成為本法的管理對象！

對於跨國企業與境外NGO來說，最高處罰金超越歐盟是一件非常值得擔憂的部分：對情節嚴重的違法行為，會被處以五千萬以下或者上一年度營業額5%以下的罰款，對直接負責的主管人員和其他直接責任人員處十萬以上一百萬以下罰款。值得注意的是5%的額度甚至超過了在個人信息保護規定最嚴格的歐盟GDPR。這款罰則會如何執行還有待觀察，中國人民大學法學院未來法治研究副院長丁曉東副教授表示，草案中條款在實踐中仍存在爭議：「未來是否會按照5%滿格進行處罰，還要根據監管機構能夠執法到什麼程度來看」。

如果僅僅是另一個側重管理的訊息安全規則，中共不是在2016年11發佈了《網路安全法》？又如果外國機構或國內的訊息機構獲得了資料所有人的同意了，是否就可以自由的傳遞這些資訊？例如中國大陸民調機構可以要求受訪者簽署同意書與完成相關的報准程序、不就可以符合法律的要求？樂觀者可能會認為本法的主要目的是健全中國大陸境內的網路商業活動模式，尤其是阿里巴巴、騰訊、京東商城這些平台與電商大鱷。不能否認「保護個資」是本法的立法宗旨之一，草案前十三到十八條規定個資處理需要個人同意的必要、詳細說明有效同意之條件、「信息處理者」之資訊告知義務、以及第25條、第44條至第48條規定個人對其個資之處理享有知情權、決定權、拒絕權、查閱權、複製權、更正權、刪除權、拒絕自動化決策權等等權利，這些也都和歐盟的GDPR的規範相符合，具有一定程度的進步成分。

但是徒法不足以自行，《個資法草案》要放在習近平「堅定不移走中國特色社會主義法治道路」之下來看，在2014年以來包括《外資法》、《境外非政府組織法》、《國家安全法》、《網路安全法》等等一連串的立法整體作為來看，總目標既然是「建設社會主義法治國家」，就是要把「堅持黨的領導」、「人民當家作主」、「依法治國」三個事實上有矛盾的目標做「有機統一」，習認為要讓黨意凌駕民意之下還能夠稱為「人民當家」、還能稱得上是「法治國家」，黨必須以主動解決法治領域突出問題為著力點，也就是要運用法治手段「改善執政方式、提高執政能力」、最終鞏固執政地位。這些立法都是針對特定「突出問題」要「補漏洞」，而《個資法草案》要補的大漏洞之一就是過去「境外勢力」利用商業行為刺探、蒐集、調查、與利用中國大陸境內資訊來批評中共的這個突出問題，想一想是誰洩漏中共高層家人在海外的財產資訊呢？《個資法草案》想要處理的可能就是這一類型突出的問題！