2021年11月1日，《個人信息保護(hù)法》（以下簡稱“個保法”）正式實施，該法的落地一方面從根本上保護(hù)了個人信息主體的權(quán)益，但同時對個人信息的處理者——互聯(lián)網(wǎng)公司、政務(wù)服務(wù)部門等則提出了很高的保護(hù)義務(wù)要求，并且提出了由國家監(jiān)管部門、社會機(jī)構(gòu)等多方共同監(jiān)督個人信息保護(hù)落實情況的監(jiān)管框架。

　　從個保法中可以看出，國家對個人信息保護(hù)的重視程度非常高，互聯(lián)網(wǎng)企業(yè)、政務(wù)服務(wù)部門擁有越多的個人信息，其安全責(zé)任就越大，在法律正式實施，但配套機(jī)制、組織建設(shè)尚在進(jìn)行中的當(dāng)下，執(zhí)行落實均存在諸多不確定因素，個人信息的處理者將面臨巨大的合規(guī)挑戰(zhàn)。

　　01

　　●挑戰(zhàn)一：法律中的監(jiān)管要求和落地實施還有一定的距離

　　在個保法中有多層的監(jiān)管，包括國家監(jiān)管部門的監(jiān)管，大型互聯(lián)網(wǎng)公司成立的獨(dú)立監(jiān)管機(jī)構(gòu)需要監(jiān)督互聯(lián)網(wǎng)公司個保法的執(zhí)行，同時國家也鼓勵企業(yè)通過第三方和自審對個人信息保護(hù)情況進(jìn)行認(rèn)證和定期審計，但是這些機(jī)制都只是提供了一個監(jiān)管框架，具體的監(jiān)管辦法、機(jī)構(gòu)部門、審計內(nèi)容都還需要進(jìn)一步落實和完善。這就對信息處理者的合規(guī)造成了困難，我們到底需要向誰提供監(jiān)管報告，我們?nèi)绾纬闪ⅹ?dú)立機(jī)構(gòu)進(jìn)行監(jiān)督，我們需要審計什么內(nèi)容才能證明合規(guī)，這一系列問題目前都還沒有答案。因此法律中的監(jiān)管要求還在摸索階段，離實際落地還需要一段實踐時間。

　　02

　　●挑戰(zhàn)二：個人信息主體權(quán)益的保護(hù)要求和驗證方式還需完善

　　個保法強(qiáng)調(diào)個人信息的處理者需要為個人信息主體行使權(quán)利提供便利的渠道并切實執(zhí)行主體的要求，在法律中個人擁有的這些權(quán)利很明確，但是企業(yè)如何兌現(xiàn)才符合法律要求，是否真的兌現(xiàn)了，這些都缺乏驗證機(jī)制。比如用戶在行使刪除權(quán)的時候，互聯(lián)網(wǎng)服務(wù)提供商需要用戶提供身份證證件來驗證身份，互聯(lián)網(wǎng)服務(wù)商試圖通過這種方式來提升用戶刪除信息的成本，達(dá)到降低用戶刪除信息的目的，那么這種驗證身份的方式是否合理，所提供的是否還屬于便捷的服務(wù)就需要商榷了；用戶申請撤回同意使用位置信息，那么企業(yè)需要不采集用戶的位置信息，同時刪除之前采集的位置信息，前者較為容易得到驗證，但是企況、驗證機(jī)制還有待探索。

　　03

　　●挑戰(zhàn)三：大型互聯(lián)網(wǎng)企業(yè)保護(hù)責(zé)任的落實還需進(jìn)一步明確

　　在個保法中針對大型互聯(lián)網(wǎng)企業(yè)提出了更高的要求，但是如何判斷一個企業(yè)是大型互聯(lián)網(wǎng)企業(yè)還不明確，是擁有超過100萬的注冊用戶的互聯(lián)網(wǎng)企業(yè)還是涉及物流、金融等民生行業(yè)，或者是擁有跨5種行業(yè)以上業(yè)務(wù)服務(wù)的互聯(lián)網(wǎng)企業(yè)，這些都還需要進(jìn)一步厘定。同時提交的定期審計報告需要提交給哪個部門或者哪個機(jī)構(gòu)，定期的審計報告內(nèi)容是什么，需要發(fā)布的社會責(zé)任報告中應(yīng)該包括什么內(nèi)容均暫不明朗。因此大型互聯(lián)網(wǎng)企業(yè)的義務(wù)還有待進(jìn)一步明確。

　　04

　　●挑戰(zhàn)四：個人信息的出境機(jī)制還未完全建成

　　在最新的《數(shù)據(jù)出境評估指南（征求意見稿）》中，明確了擁有超過100萬個人信息的企業(yè)和累計10萬條以上個人信息或1萬條以上敏感個人信息出境需要進(jìn)行安全評估，但是現(xiàn)在個人信息出境評估指南還處于征求意見稿的階段，出境評估的機(jī)構(gòu)、評估的具體細(xì)則還沒完全擬定，因此出境評估這件事明確要做，但是如何執(zhí)行還需要探索。

　　面臨個保法正式實施但又存在諸多挑戰(zhàn)的當(dāng)下，個人信息的處理者，尤其是互聯(lián)網(wǎng)企業(yè)應(yīng)該如何應(yīng)對這些挑戰(zhàn)？我們在此提出以下四點(diǎn)建議：

　　※衛(wèi)士通數(shù)據(jù)安全治理理念

　　1、整體籌劃

　　● 個保法的落地需要企業(yè)從整體去思考。企業(yè)需要從意識培訓(xùn)、管理制度、合同條約、人員管理、技術(shù)工具等多個方面全面、體系化地籌劃，而不是單一的以購買產(chǎn)品、疊加技術(shù)的方式去填補(bǔ)漏洞。

　　2、因業(yè)施策

　　● 企業(yè)需要根據(jù)自身的真實情況分行業(yè)、分場景地明確合規(guī)要求，考慮合規(guī)途徑。當(dāng)前行業(yè)合規(guī)的要求不一，同時有些行業(yè)還存在一定空白，在這些空白行業(yè)，企業(yè)可以根據(jù)實際情況來形成合規(guī)思路，以自身的實踐來促進(jìn)行業(yè)規(guī)范的形成，實現(xiàn)個人信息保護(hù)自底向上合規(guī)制度的完善。例如在醫(yī)療行業(yè)個人信息涉及大量病例影像等文件數(shù)據(jù)，而除了簡單的統(tǒng)計分析外，目前還存在基于人工智能輔助進(jìn)行病灶的圈定等場景，那么這個行業(yè)的這個場景可以通過限定數(shù)據(jù)的提取方式、數(shù)據(jù)的流轉(zhuǎn)控制、隱私計算等技術(shù)來滿足個人信息保護(hù)的要求。這些業(yè)務(wù)場景的分析和合規(guī)方案設(shè)計可以更高效的促進(jìn)行業(yè)個人信息保護(hù)規(guī)范的形成，這也讓企業(yè)明確了行業(yè)的合規(guī)要求，減少不確定性帶來的風(fēng)險。

　　3、密碼筑基

　　● 企業(yè)可以選擇密碼技術(shù)為核心技術(shù)來保護(hù)個人信息，盡可能的利用密碼技術(shù)作為保護(hù)手段。個人信息保護(hù)的重要目標(biāo)是防止個人信息的濫用和泄露，密碼技術(shù)作為一種可得到形式化驗證的安全技術(shù)，可以通過增加基于證書的認(rèn)證方式、傳輸加密、存儲加密等多種密碼技術(shù)的融合，最大程度保證個人信息的安全。

　　4、多方共治

　　● 一種多方共治的個人信息保護(hù)機(jī)制是有利于建立個人和企業(yè)之間的信任關(guān)系的。企業(yè)可以考慮聯(lián)合第三方監(jiān)管機(jī)構(gòu)、第三方密鑰服務(wù)機(jī)構(gòu)和用戶，從監(jiān)管、審計、評估、保護(hù)各方面建立一個多方共治的個人信息保護(hù)機(jī)制。企業(yè)主動邀請第三方機(jī)構(gòu)定期發(fā)布監(jiān)管報告、安全報告供用戶查看，應(yīng)用發(fā)布前、應(yīng)用運(yùn)營過程中邀請第三方機(jī)構(gòu)進(jìn)行安全評估安全認(rèn)證，加強(qiáng)用戶對企業(yè)的信任度；企業(yè)定期發(fā)布審計報告供用戶查看，增強(qiáng)企業(yè)對用戶的透明度；企業(yè)將敏感個人信息的控制權(quán)通過第三方密鑰管理的方式移交給用戶，增強(qiáng)個人對其敏感信息的控制權(quán)。通過建立多方共治的機(jī)制，達(dá)到各方互相監(jiān)督、約束的效果，來提升用戶對企業(yè)的信任度。