在廣泛的關(guān)注和期待之中，全國人大常委會終于在2021年8月20日審議通過了《個(gè)人信息保護(hù)法》（下稱“《個(gè)保法》”），中國的數(shù)據(jù)保護(hù)立法又向前邁出了堅(jiān)實(shí)的一步。

　　在社會各界充分肯定此次立法的成果，并廣泛開展法律宣傳和教育的當(dāng)下，我們也應(yīng)當(dāng)同時(shí)關(guān)注法律的具體實(shí)施，并向立法目標(biāo)逐漸靠攏。

　　縱觀整部《個(gè)保法》并結(jié)合中國個(gè)人信息保護(hù)的現(xiàn)狀，筆者認(rèn)為，在落實(shí)并執(zhí)行《個(gè)保法》的過程中仍然將面對不少的困難和挑戰(zhàn)，值得一起思考與討論。

　　一般而言，某項(xiàng)新的法律制度的演進(jìn)分為幾個(gè)過程，即：立法、執(zhí)法、守法（合規(guī)）、訴訟/個(gè)人權(quán)利行使 、修法（釋法）。類似一個(gè)新產(chǎn)品，在此過程中不斷循環(huán)、打磨、碰撞、升級并完善，逐漸形成一個(gè)相對穩(wěn)定的狀態(tài)，達(dá)到預(yù)期效果。

　　《個(gè)保法》作為數(shù)字化時(shí)代，規(guī)范及保護(hù)個(gè)人信息的嶄新的法律制度，完成立法只是一個(gè)開端，即將經(jīng)受社會實(shí)踐的重重考驗(yàn)。這些挑戰(zhàn)包括：

　　從粗放走向精細(xì)化的立法路徑

　　適應(yīng)數(shù)字經(jīng)濟(jì)的監(jiān)管模式

　　不確定時(shí)代的企業(yè)合規(guī)

　　個(gè)人信息權(quán)利的行使與制衡

　　規(guī)范的持續(xù)迭代與更新

　　挑戰(zhàn)一：從粗放走向精細(xì)化的立法路徑

　　與其他網(wǎng)絡(luò)、信息與數(shù)據(jù)相關(guān)的立法一樣，《個(gè)保法》也無法繞開技術(shù)和標(biāo)準(zhǔn)的問題。一方面，從立法的定位、策略與技巧看，作為底層的基本法需要建立個(gè)人信息法律保護(hù)的框架、基本規(guī)則、各方權(quán)利義務(wù)及法律責(zé)任等內(nèi)容。另一方面，一些過于原則和抽象的表述，可能無法滿足業(yè)務(wù)實(shí)踐，需要大量的規(guī)則、標(biāo)準(zhǔn)進(jìn)行補(bǔ)充和細(xì)化，如：關(guān)于自動化決策的透明度與公正性的規(guī)范；還有一些規(guī)則和辦法長期處于“征求意見”狀態(tài)，何時(shí)轉(zhuǎn)正或修訂落地，也是懸而未決的問題。如：個(gè)人信息出境安全評估、個(gè)人信息安全影響評估。

　　顯然，立法機(jī)關(guān)也意識到進(jìn)一步補(bǔ)充規(guī)則、標(biāo)準(zhǔn)的重要性和緊迫性，并在《個(gè)保法》第62條，羅列了下一步主要工作的計(jì)劃，值得期待：

　　1、制定個(gè)人信息保護(hù)具體規(guī)則、標(biāo)準(zhǔn)；

　　2、針對小型個(gè)人信息處理者、處理敏感個(gè)人信息以及人臉識別、人工智能等新技術(shù)、新應(yīng)用，制定專門的個(gè)人信息保護(hù)規(guī)則、標(biāo)準(zhǔn)；

　　3、支持研究開發(fā)和推廣應(yīng)用安全、方便的電子身份認(rèn)證技術(shù)，推進(jìn)網(wǎng)絡(luò)身份認(rèn)證公共服務(wù)建設(shè)；

　　4、推進(jìn)個(gè)人信息保護(hù)社會化服務(wù)體系建設(shè)，支持有關(guān)機(jī)構(gòu)開展個(gè)人信息保護(hù)評估、認(rèn)證服務(wù)；

　　5、完善個(gè)人信息保護(hù)投訴、舉報(bào)工作機(jī)制。

　　挑戰(zhàn)二：適應(yīng)數(shù)字經(jīng)濟(jì)的監(jiān)管模式

　　與歐盟與美國的執(zhí)法模式不同，在個(gè)人信息保護(hù)領(lǐng)域，中國尚未設(shè)置統(tǒng)一的數(shù)據(jù)保護(hù)機(jī)構(gòu)，而是將相關(guān)機(jī)構(gòu)統(tǒng)稱為“履行個(gè)人信息保護(hù)職責(zé)的部門”。網(wǎng)信辦、工信部、公安部、市場監(jiān)督管理局等都有相應(yīng)的管理權(quán)限，而“九龍治水”的模式是否會對未來的監(jiān)管效果帶來隱患，或是在不久的將來監(jiān)管機(jī)構(gòu)內(nèi)部實(shí)現(xiàn)分工優(yōu)化，讓我們拭目以待。

　　從國家安全等因素考慮，《個(gè)保法》保留了不少類審批事項(xiàng)，如：個(gè)人信息出境的安全評估、向境外執(zhí)法機(jī)構(gòu)提供境內(nèi)的個(gè)人信息、應(yīng)用程序的測評、信息處理活動的合規(guī)審計(jì)等。企業(yè)普遍比較關(guān)心或擔(dān)憂的是，這些監(jiān)管行為的效率，以及規(guī)則的透明度、公正性等。

　　更需要注意的是，數(shù)字經(jīng)濟(jì)的業(yè)務(wù)形態(tài)已經(jīng)發(fā)生了巨大的變化，一些數(shù)據(jù)業(yè)務(wù)的全球性和不間斷性的特點(diǎn)，要求監(jiān)管方式與時(shí)俱進(jìn)，不斷優(yōu)化和智能化。傳統(tǒng)的審批模式，無疑是不能滿足現(xiàn)實(shí)的社會需求的。

　　挑戰(zhàn)三：不確定時(shí)代的合規(guī)

　　密集出臺的數(shù)據(jù)法律法規(guī)，給不少企業(yè)帶來了巨大壓力。一些從業(yè)者驚呼，全面合規(guī)、完全合規(guī)似乎成為了一項(xiàng)不可能完成的任務(wù)：

　　1、法律疊加適用下的合規(guī)壓力。一些企業(yè)需要同時(shí)面對《個(gè)保法》、數(shù)據(jù)安全法、網(wǎng)絡(luò)安全法、關(guān)鍵信息基礎(chǔ)設(shè)施管理?xiàng)l例，還有一些行業(yè)的特別規(guī)定，如：汽車數(shù)據(jù)安全管理若干規(guī)定，以及一堆國標(biāo)、行標(biāo)、征求意見稿。

　　2、中外監(jiān)管的博弈和沖突。對于一些中概股公司，需要同時(shí)面對中美監(jiān)管機(jī)構(gòu)的壓力，在審計(jì)底稿、跨境數(shù)據(jù)流動、信息披露等方面的風(fēng)險(xiǎn)尤為突出。滴滴事件后，中國在國家（數(shù)據(jù)）安全和信息安全主體責(zé)任方面連續(xù)出臺一系列政策，將網(wǎng)絡(luò)安全審查作為部分國外上市項(xiàng)目的強(qiáng)制性義務(wù)。數(shù)據(jù)安全政策，已成為中概股公司最大的不確定性因素。

　　3、合規(guī)標(biāo)準(zhǔn)的不確定性。如前所述，一系列補(bǔ)充規(guī)則、標(biāo)準(zhǔn)正在制訂中，第三方的個(gè)人信息保護(hù)評估、認(rèn)證社會化服務(wù)體系尚未建立，企業(yè)的合規(guī)標(biāo)準(zhǔn)仍待細(xì)化，合規(guī)能力有待第三方驗(yàn)證及外化。在目前的情況下，企業(yè)無法實(shí)現(xiàn)合規(guī)標(biāo)準(zhǔn)的錨定，也無法全面準(zhǔn)確評估合規(guī)性。

　　4、監(jiān)管及處罰標(biāo)準(zhǔn)的不確定性。在自身合規(guī)的背面，是企業(yè)與監(jiān)管機(jī)構(gòu)之間的互動。然而在《個(gè)保法》實(shí)施中，企業(yè)可能會產(chǎn)生一系列的疑問，如：與哪個(gè)監(jiān)管主體溝通？如何尋求合規(guī)指導(dǎo)和幫助？其解釋的權(quán)威性、準(zhǔn)確性如何？執(zhí)法的具體標(biāo)準(zhǔn)、時(shí)限如何把握？如果處罰不合理，企業(yè)如何維護(hù)自身的合法權(quán)益？尤其是在最高達(dá)到5000萬元以下或者上一年度營業(yè)額百分之五以下罰款的威懾下，若監(jiān)管政策的透明度和確定性不能盡快解決，企業(yè)將長期處于焦慮之中。

　　挑戰(zhàn)四：個(gè)人信息權(quán)利的行使與制衡

　　與歐盟GDPR類似，《個(gè)保法》下個(gè)人信息主體享有廣泛的權(quán)利，包括：知情權(quán)、決定權(quán)、查閱和復(fù)制的權(quán)利、攜帶權(quán)、要求更正及補(bǔ)充的權(quán)利、刪除權(quán)、請求解釋權(quán)、訴訟權(quán)等。

　　站在企業(yè)角度，如何控制成本、規(guī)范流程，通過技術(shù)+人工手段以及時(shí)響應(yīng)用戶需求都是不小的挑戰(zhàn)。其他問題還包括，技術(shù)上的障礙、不同規(guī)則之間的沖突、監(jiān)管與業(yè)務(wù)需求的沖突、權(quán)利被濫用的風(fēng)險(xiǎn)等。

　　挑戰(zhàn)五：規(guī)范的持續(xù)迭代更新

　　法律制度的活力在于不斷實(shí)踐，通過法律解釋、指南、修訂、處罰公示、公民訴訟、司法判例、行業(yè)最佳實(shí)踐、年報(bào)、白皮書等不同方式，全面促進(jìn)個(gè)人信息保護(hù)的深化和升級。

　　這些海量的、艱巨的任務(wù)僅僅依靠監(jiān)管機(jī)構(gòu)是不可能獨(dú)立完成的，應(yīng)當(dāng)鼓勵(lì)、動員更多的民間力量共同參與，如：研究機(jī)構(gòu)、技術(shù)公司、行業(yè)協(xié)會、標(biāo)準(zhǔn)化組織、企業(yè)代表等。他山之石，可以攻玉。在歐盟、美國的數(shù)據(jù)治理過程中，我們可以頻頻看到國際標(biāo)準(zhǔn)化組織（ISO）、歐盟數(shù)據(jù)保護(hù)委員會（EDPB）、法國國家信息自由委員會（CNIL）、美國國家標(biāo)準(zhǔn)技術(shù)研究所（NIST）的身影。雖然中國已經(jīng)制定了一批國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)，特別是以中國信息通信研究院為代表的智庫發(fā)揮了積極的作用，但是相關(guān)文獻(xiàn)的宣傳、普及、應(yīng)用及實(shí)施效果仍有待提高。

　　意大利法學(xué)家貝卡利亞曾經(jīng)說，“法律的力量應(yīng)當(dāng)跟隨著公民，就像影子跟隨著身體一樣?！?/p>

　　《個(gè)保法》關(guān)系到我們每一個(gè)人，它在新時(shí)代賦予了公民個(gè)人信息權(quán)利和力量。在迎接新挑戰(zhàn)和不斷發(fā)展完善的過程中，《個(gè)保法》必將促進(jìn)個(gè)人信息的合理利用，推動中國數(shù)字經(jīng)濟(jì)的健康、有序的發(fā)展。