此次草案出台可谓对民众呼声的及时回应。数据显示，截至2020年3月，我国互联网用户已达9亿，互联网网站超过400万个，应用程序数量超过300万个，个人信息的收集、使用非常广泛。然而，一些企业、机构，甚至个人，为谋取商业利益，随意收集、违法获取、过度使用、非法买卖个人信息，利用个人信息侵扰他人生活安宁、危害他人生命健康和财产安全等问题突出。个人信息保护已成为民众最关心、最直接、最现实的利益问题之一。

数字经济时代的到来，使个人信息的商业价值越来越大，如何解决个人信息保护、有序获取、合理使用已成当务之急。有关方面曾先后出台《互联网个人信息保护指南》《个人信息安全标准》等规范性文件，并在民法典、《刑法修正案九》当中明确了保护个人信息的鲜明导向，以及刑责标准。

据介绍，该草案首先对何为个人信息做出了界定，明确个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等，不包括匿名化处理后的信息；个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。

草案确立以“告知-同意”为核心的个人信息处理一系列规则，要求处理个人信息应当在事先充分告知的前提下取得个人同意，并且个人有权撤回同意；重要事项发生变更的应当重新取得个人同意；不得以个人不同意为由拒绝提供产品或者服务。诸如最常见的日常个性化推荐，不少过于精准的推送有时会让用户产生自己“被手机监听”的感觉。对此，草案强调，通过自动化决策方式进行商业营销、信息推送，应当同时提供不针对其个人特征的选项。

同时，草案还明确了国家机关对个人信息的保护义务。值得注意的是，草案规定侵害个人信息权益的违法行为，情节严重的，没收违法所得，并处5000万元以下或者上一年度营业额5%以下罚款，5%的额度甚至超过了在个人信息保护方面规定“最严”的欧盟。

此外，草案设专节对处理敏感个人信息作出严格限制。敏感个人信息包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等。个人信息处理者只有在具有特定的目的和充分的必要性的情形下，方可处理敏感个人信息，并且应当取得个人的单独同意或者书面同意。

在数字经济时代，保护个人信息的内涵是多重的，保护个人信息既是保护自然人在网络上的基本权利与自由，也是保护个人数据信息权利；个人数据信息权利保护既包括个人数据隐私权利保护，也包涵个人数据作为市场要素的商业应用保护。

数据要素也被称为第五市场要素，那么个人数据信息保护，不仅是隐私人身安全信息的保护，而且涉及到个人数据信息的商业应用界定与归属。个人信息保护必然面临着隐私保护与便利相左的困扰，也必将面临个人数据信息权利与商业价值的对立与辨析。这都是需要深入探讨的问题。

一部法律法规出台，不仅要关注立法的宗旨、过程，更要看司法实践的检验。草案及时回应了民众的呼声，体现了对人民的尊重。加强个人信息保护法制保障，是维护网络空间良好生态的现实需要，更是促进数字经济健康发展的重要举措。