2021年11月1日，《個人信息保護法》（以下簡稱“個保法”）正式實施，該法的落地一方面從根本上保護了個人信息主體的權益，但同時對個人信息的處理者——互聯(lián)網(wǎng)公司、政務服務部門等則提出了很高的保護義務要求，并且提出了由國家監(jiān)管部門、社會機構等多方共同監(jiān)督個人信息保護落實情況的監(jiān)管框架。

　　從個保法中可以看出，國家對個人信息保護的重視程度非常高，互聯(lián)網(wǎng)企業(yè)、政務服務部門擁有越多的個人信息，其安全責任就越大，在法律正式實施，但配套機制、組織建設尚在進行中的當下，執(zhí)行落實均存在諸多不確定因素，個人信息的處理者將面臨巨大的合規(guī)挑戰(zhàn)。

　　01

　　●挑戰(zhàn)一：法律中的監(jiān)管要求和落地實施還有一定的距離

　　在個保法中有多層的監(jiān)管，包括國家監(jiān)管部門的監(jiān)管，大型互聯(lián)網(wǎng)公司成立的獨立監(jiān)管機構需要監(jiān)督互聯(lián)網(wǎng)公司個保法的執(zhí)行，同時國家也鼓勵企業(yè)通過第三方和自審對個人信息保護情況進行認證和定期審計，但是這些機制都只是提供了一個監(jiān)管框架，具體的監(jiān)管辦法、機構部門、審計內(nèi)容都還需要進一步落實和完善。這就對信息處理者的合規(guī)造成了困難，我們到底需要向誰提供監(jiān)管報告，我們?nèi)绾纬闪ⅹ毩C構進行監(jiān)督，我們需要審計什么內(nèi)容才能證明合規(guī)，這一系列問題目前都還沒有答案。因此法律中的監(jiān)管要求還在摸索階段，離實際落地還需要一段實踐時間。

　　02

　　●挑戰(zhàn)二：個人信息主體權益的保護要求和驗證方式還需完善

　　個保法強調(diào)個人信息的處理者需要為個人信息主體行使權利提供便利的渠道并切實執(zhí)行主體的要求，在法律中個人擁有的這些權利很明確，但是企業(yè)如何兌現(xiàn)才符合法律要求，是否真的兌現(xiàn)了，這些都缺乏驗證機制。比如用戶在行使刪除權的時候，互聯(lián)網(wǎng)服務提供商需要用戶提供身份證證件來驗證身份，互聯(lián)網(wǎng)服務商試圖通過這種方式來提升用戶刪除信息的成本，達到降低用戶刪除信息的目的，那么這種驗證身份的方式是否合理，所提供的是否還屬于便捷的服務就需要商榷了；用戶申請撤回同意使用位置信息，那么企業(yè)需要不采集用戶的位置信息，同時刪除之前采集的位置信息，前者較為容易得到驗證，但是企況、驗證機制還有待探索。

　　03

　　●挑戰(zhàn)三：大型互聯(lián)網(wǎng)企業(yè)保護責任的落實還需進一步明確

　　在個保法中針對大型互聯(lián)網(wǎng)企業(yè)提出了更高的要求，但是如何判斷一個企業(yè)是大型互聯(lián)網(wǎng)企業(yè)還不明確，是擁有超過100萬的注冊用戶的互聯(lián)網(wǎng)企業(yè)還是涉及物流、金融等民生行業(yè)，或者是擁有跨5種行業(yè)以上業(yè)務服務的互聯(lián)網(wǎng)企業(yè)，這些都還需要進一步厘定。同時提交的定期審計報告需要提交給哪個部門或者哪個機構，定期的審計報告內(nèi)容是什么，需要發(fā)布的社會責任報告中應該包括什么內(nèi)容均暫不明朗。因此大型互聯(lián)網(wǎng)企業(yè)的義務還有待進一步明確。

　　04

　　●挑戰(zhàn)四：個人信息的出境機制還未完全建成

　　在最新的《數(shù)據(jù)出境評估指南（征求意見稿）》中，明確了擁有超過100萬個人信息的企業(yè)和累計10萬條以上個人信息或1萬條以上敏感個人信息出境需要進行安全評估，但是現(xiàn)在個人信息出境評估指南還處于征求意見稿的階段，出境評估的機構、評估的具體細則還沒完全擬定，因此出境評估這件事明確要做，但是如何執(zhí)行還需要探索。

　　面臨個保法正式實施但又存在諸多挑戰(zhàn)的當下，個人信息的處理者，尤其是互聯(lián)網(wǎng)企業(yè)應該如何應對這些挑戰(zhàn)？我們在此提出以下四點建議：

　　※衛(wèi)士通數(shù)據(jù)安全治理理念

　　1、整體籌劃

　　● 個保法的落地需要企業(yè)從整體去思考。企業(yè)需要從意識培訓、管理制度、合同條約、人員管理、技術工具等多個方面全面、體系化地籌劃，而不是單一的以購買產(chǎn)品、疊加技術的方式去填補漏洞。

　　2、因業(yè)施策

　　● 企業(yè)需要根據(jù)自身的真實情況分行業(yè)、分場景地明確合規(guī)要求，考慮合規(guī)途徑。當前行業(yè)合規(guī)的要求不一，同時有些行業(yè)還存在一定空白，在這些空白行業(yè)，企業(yè)可以根據(jù)實際情況來形成合規(guī)思路，以自身的實踐來促進行業(yè)規(guī)范的形成，實現(xiàn)個人信息保護自底向上合規(guī)制度的完善。例如在醫(yī)療行業(yè)個人信息涉及大量病例影像等文件數(shù)據(jù)，而除了簡單的統(tǒng)計分析外，目前還存在基于人工智能輔助進行病灶的圈定等場景，那么這個行業(yè)的這個場景可以通過限定數(shù)據(jù)的提取方式、數(shù)據(jù)的流轉控制、隱私計算等技術來滿足個人信息保護的要求。這些業(yè)務場景的分析和合規(guī)方案設計可以更高效的促進行業(yè)個人信息保護規(guī)范的形成，這也讓企業(yè)明確了行業(yè)的合規(guī)要求，減少不確定性帶來的風險。

　　3、密碼筑基

　　● 企業(yè)可以選擇密碼技術為核心技術來保護個人信息，盡可能的利用密碼技術作為保護手段。個人信息保護的重要目標是防止個人信息的濫用和泄露，密碼技術作為一種可得到形式化驗證的安全技術，可以通過增加基于證書的認證方式、傳輸加密、存儲加密等多種密碼技術的融合，最大程度保證個人信息的安全。

　　4、多方共治

　　● 一種多方共治的個人信息保護機制是有利于建立個人和企業(yè)之間的信任關系的。企業(yè)可以考慮聯(lián)合第三方監(jiān)管機構、第三方密鑰服務機構和用戶，從監(jiān)管、審計、評估、保護各方面建立一個多方共治的個人信息保護機制。企業(yè)主動邀請第三方機構定期發(fā)布監(jiān)管報告、安全報告供用戶查看，應用發(fā)布前、應用運營過程中邀請第三方機構進行安全評估安全認證，加強用戶對企業(yè)的信任度；企業(yè)定期發(fā)布審計報告供用戶查看，增強企業(yè)對用戶的透明度；企業(yè)將敏感個人信息的控制權通過第三方密鑰管理的方式移交給用戶，增強個人對其敏感信息的控制權。通過建立多方共治的機制，達到各方互相監(jiān)督、約束的效果，來提升用戶對企業(yè)的信任度。