在廣泛的關注和期待之中，全國人大常委會終于在2021年8月20日審議通過了《個人信息保護法》（下稱“《個保法》”），中國的數(shù)據(jù)保護立法又向前邁出了堅實的一步。

　　在社會各界充分肯定此次立法的成果，并廣泛開展法律宣傳和教育的當下，我們也應當同時關注法律的具體實施，并向立法目標逐漸靠攏。

　　縱觀整部《個保法》并結合中國個人信息保護的現(xiàn)狀，筆者認為，在落實并執(zhí)行《個保法》的過程中仍然將面對不少的困難和挑戰(zhàn)，值得一起思考與討論。

　　一般而言，某項新的法律制度的演進分為幾個過程，即：立法、執(zhí)法、守法（合規(guī)）、訴訟/個人權利行使 、修法（釋法）。類似一個新產(chǎn)品，在此過程中不斷循環(huán)、打磨、碰撞、升級并完善，逐漸形成一個相對穩(wěn)定的狀態(tài)，達到預期效果。

　　《個保法》作為數(shù)字化時代，規(guī)范及保護個人信息的嶄新的法律制度，完成立法只是一個開端，即將經(jīng)受社會實踐的重重考驗。這些挑戰(zhàn)包括：

　　從粗放走向精細化的立法路徑

　　適應數(shù)字經(jīng)濟的監(jiān)管模式

　　不確定時代的企業(yè)合規(guī)

　　個人信息權利的行使與制衡

　　規(guī)范的持續(xù)迭代與更新

　　挑戰(zhàn)一：從粗放走向精細化的立法路徑

　　與其他網(wǎng)絡、信息與數(shù)據(jù)相關的立法一樣，《個保法》也無法繞開技術和標準的問題。一方面，從立法的定位、策略與技巧看，作為底層的基本法需要建立個人信息法律保護的框架、基本規(guī)則、各方權利義務及法律責任等內(nèi)容。另一方面，一些過于原則和抽象的表述，可能無法滿足業(yè)務實踐，需要大量的規(guī)則、標準進行補充和細化，如：關于自動化決策的透明度與公正性的規(guī)范；還有一些規(guī)則和辦法長期處于“征求意見”狀態(tài)，何時轉(zhuǎn)正或修訂落地，也是懸而未決的問題。如：個人信息出境安全評估、個人信息安全影響評估。

　　顯然，立法機關也意識到進一步補充規(guī)則、標準的重要性和緊迫性，并在《個保法》第62條，羅列了下一步主要工作的計劃，值得期待：

　　1、制定個人信息保護具體規(guī)則、標準；

　　2、針對小型個人信息處理者、處理敏感個人信息以及人臉識別、人工智能等新技術、新應用，制定專門的個人信息保護規(guī)則、標準；

　　3、支持研究開發(fā)和推廣應用安全、方便的電子身份認證技術，推進網(wǎng)絡身份認證公共服務建設；

　　4、推進個人信息保護社會化服務體系建設，支持有關機構開展個人信息保護評估、認證服務；

　　5、完善個人信息保護投訴、舉報工作機制。

　　挑戰(zhàn)二：適應數(shù)字經(jīng)濟的監(jiān)管模式

　　與歐盟與美國的執(zhí)法模式不同，在個人信息保護領域，中國尚未設置統(tǒng)一的數(shù)據(jù)保護機構，而是將相關機構統(tǒng)稱為“履行個人信息保護職責的部門”。網(wǎng)信辦、工信部、公安部、市場監(jiān)督管理局等都有相應的管理權限，而“九龍治水”的模式是否會對未來的監(jiān)管效果帶來隱患，或是在不久的將來監(jiān)管機構內(nèi)部實現(xiàn)分工優(yōu)化，讓我們拭目以待。

　　從國家安全等因素考慮，《個保法》保留了不少類審批事項，如：個人信息出境的安全評估、向境外執(zhí)法機構提供境內(nèi)的個人信息、應用程序的測評、信息處理活動的合規(guī)審計等。企業(yè)普遍比較關心或擔憂的是，這些監(jiān)管行為的效率，以及規(guī)則的透明度、公正性等。

　　更需要注意的是，數(shù)字經(jīng)濟的業(yè)務形態(tài)已經(jīng)發(fā)生了巨大的變化，一些數(shù)據(jù)業(yè)務的全球性和不間斷性的特點，要求監(jiān)管方式與時俱進，不斷優(yōu)化和智能化。傳統(tǒng)的審批模式，無疑是不能滿足現(xiàn)實的社會需求的。

　　挑戰(zhàn)三：不確定時代的合規(guī)

　　密集出臺的數(shù)據(jù)法律法規(guī)，給不少企業(yè)帶來了巨大壓力。一些從業(yè)者驚呼，全面合規(guī)、完全合規(guī)似乎成為了一項不可能完成的任務：

　　1、法律疊加適用下的合規(guī)壓力。一些企業(yè)需要同時面對《個保法》、數(shù)據(jù)安全法、網(wǎng)絡安全法、關鍵信息基礎設施管理條例，還有一些行業(yè)的特別規(guī)定，如：汽車數(shù)據(jù)安全管理若干規(guī)定，以及一堆國標、行標、征求意見稿。

　　2、中外監(jiān)管的博弈和沖突。對于一些中概股公司，需要同時面對中美監(jiān)管機構的壓力，在審計底稿、跨境數(shù)據(jù)流動、信息披露等方面的風險尤為突出。滴滴事件后，中國在國家（數(shù)據(jù)）安全和信息安全主體責任方面連續(xù)出臺一系列政策，將網(wǎng)絡安全審查作為部分國外上市項目的強制性義務。數(shù)據(jù)安全政策，已成為中概股公司最大的不確定性因素。

　　3、合規(guī)標準的不確定性。如前所述，一系列補充規(guī)則、標準正在制訂中，第三方的個人信息保護評估、認證社會化服務體系尚未建立，企業(yè)的合規(guī)標準仍待細化，合規(guī)能力有待第三方驗證及外化。在目前的情況下，企業(yè)無法實現(xiàn)合規(guī)標準的錨定，也無法全面準確評估合規(guī)性。

　　4、監(jiān)管及處罰標準的不確定性。在自身合規(guī)的背面，是企業(yè)與監(jiān)管機構之間的互動。然而在《個保法》實施中，企業(yè)可能會產(chǎn)生一系列的疑問，如：與哪個監(jiān)管主體溝通？如何尋求合規(guī)指導和幫助？其解釋的權威性、準確性如何？執(zhí)法的具體標準、時限如何把握？如果處罰不合理，企業(yè)如何維護自身的合法權益？尤其是在最高達到5000萬元以下或者上一年度營業(yè)額百分之五以下罰款的威懾下，若監(jiān)管政策的透明度和確定性不能盡快解決，企業(yè)將長期處于焦慮之中。

　　挑戰(zhàn)四：個人信息權利的行使與制衡

　　與歐盟GDPR類似，《個保法》下個人信息主體享有廣泛的權利，包括：知情權、決定權、查閱和復制的權利、攜帶權、要求更正及補充的權利、刪除權、請求解釋權、訴訟權等。

　　站在企業(yè)角度，如何控制成本、規(guī)范流程，通過技術+人工手段以及時響應用戶需求都是不小的挑戰(zhàn)。其他問題還包括，技術上的障礙、不同規(guī)則之間的沖突、監(jiān)管與業(yè)務需求的沖突、權利被濫用的風險等。

　　挑戰(zhàn)五：規(guī)范的持續(xù)迭代更新

　　法律制度的活力在于不斷實踐，通過法律解釋、指南、修訂、處罰公示、公民訴訟、司法判例、行業(yè)最佳實踐、年報、白皮書等不同方式，全面促進個人信息保護的深化和升級。

　　這些海量的、艱巨的任務僅僅依靠監(jiān)管機構是不可能獨立完成的，應當鼓勵、動員更多的民間力量共同參與，如：研究機構、技術公司、行業(yè)協(xié)會、標準化組織、企業(yè)代表等。他山之石，可以攻玉。在歐盟、美國的數(shù)據(jù)治理過程中，我們可以頻頻看到國際標準化組織（ISO）、歐盟數(shù)據(jù)保護委員會（EDPB）、法國國家信息自由委員會（CNIL）、美國國家標準技術研究所（NIST）的身影。雖然中國已經(jīng)制定了一批國家標準、行業(yè)標準，特別是以中國信息通信研究院為代表的智庫發(fā)揮了積極的作用，但是相關文獻的宣傳、普及、應用及實施效果仍有待提高。

　　意大利法學家貝卡利亞曾經(jīng)說，“法律的力量應當跟隨著公民，就像影子跟隨著身體一樣?！?/p>

　　《個保法》關系到我們每一個人，它在新時代賦予了公民個人信息權利和力量。在迎接新挑戰(zhàn)和不斷發(fā)展完善的過程中，《個保法》必將促進個人信息的合理利用，推動中國數(shù)字經(jīng)濟的健康、有序的發(fā)展。