在广泛的关注和期待之中，全国人大常委会终于在2021年8月20日审议通过了《个人信息保护法》（下称“《个保法》”），中国的数据保护立法又向前迈出了坚实的一步。在社会各界充分肯定此次立法的成果，并广泛开展法律宣传和教育的当下，我们也应当同时关注法律的具体实施，并向立法目标逐渐靠拢。纵观整部《个保法》并结合中国个人信息保护的现状，笔者认为，在落实并执行《个保法》的过程中仍然将面对不少的困难和挑战，值得一起思考与讨论。

一般而言，某项新的法律制度的演进分为几个过程，即：立法、执法、守法（合规）、诉讼/个人权利行使 、修法（释法）。类似一个新产品，在此过程中不断循环、打磨、碰撞、升级并完善，逐渐形成一个相对稳定的状态，达到预期效果。

《个保法》作为数字化时代，规范及保护个人信息的崭新的法律制度，完成立法只是一个开端，即将经受社会实践的重重考验。这些挑战包括：

从粗放走向精细化的立法路径

适应数字经济的监管模式

不确定时代的企业合规

个人信息权利的行使与制衡

规范的持续迭代与更新

挑战一：从粗放走向精细化的立法路径

与其他网络、信息与数据相关的立法一样，《个保法》也无法绕开技术和标准的问题。一方面，从立法的定位、策略与技巧看，作为底层的基本法需要建立个人信息法律保护的框架、基本规则、各方权利义务及法律责任等内容。另一方面，一些过于原则和抽象的表述，可能无法满足业务实践，需要大量的规则、标准进行补充和细化，如：关于自动化决策的透明度与公正性的规范；还有一些规则和办法长期处于“征求意见”状态，何时转正或修订落地，也是悬而未决的问题。如：个人信息出境安全评估、个人信息安全影响评估。

显然，立法机关也意识到进一步补充规则、标准的重要性和紧迫性，并在《个保法》第62条，罗列了下一步主要工作的计划，值得期待：

1、制定个人信息保护具体规则、标准；

2、针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用，制定专门的个人信息保护规则、标准；

3、支持研究开发和推广应用安全、方便的电子身份认证技术，推进网络身份认证公共服务建设；

4、推进个人信息保护社会化服务体系建设，支持有关机构开展个人信息保护评估、认证服务；

5、完善个人信息保护投诉、举报工作机制。

挑战二：适应数字经济的监管模式

与欧盟与美国的执法模式不同，在个人信息保护领域，中国尚未设置统一的数据保护机构，而是将相关机构统称为“履行个人信息保护职责的部门”。网信办、工信部、公安部、市场监督管理局等都有相应的管理权限，而“九龙治水”的模式是否会对未来的监管效果带来隐患，或是在不久的将来监管机构内部实现分工优化，让我们拭目以待。

从国家安全等因素考虑，《个保法》保留了不少类审批事项，如：个人信息出境的安全评估、向境外执法机构提供境内的个人信息、应用程序的测评、信息处理活动的合规审计等。企业普遍比较关心或担忧的是，这些监管行为的效率，以及规则的透明度、公正性等。

更需要注意的是，数字经济的业务形态已经发生了巨大的变化，一些数据业务的全球性和不间断性的特点，要求监管方式与时俱进，不断优化和智能化。传统的审批模式，无疑是不能满足现实的社会需求的。

挑战三：不确定时代的合规

密集出台的数据法律法规，给不少企业带来了巨大压力。一些从业者惊呼，全面合规、完全合规似乎成为了一项不可能完成的任务：

1、法律叠加适用下的合规压力。一些企业需要同时面对《个保法》、数据安全法、网络安全法、关键信息基础设施管理条例，还有一些行业的特别规定，如：汽车数据安全管理若干规定，以及一堆国标、行标、征求意见稿。

2、中外监管的博弈和冲突。对于一些中概股公司，需要同时面对中美监管机构的压力，在审计底稿、跨境数据流动、信息披露等方面的风险尤为突出。滴滴事件后，中国在国家（数据）安全和信息安全主体责任方面连续出台一系列政策，将网络安全审查作为部分国外上市项目的强制性义务。数据安全政策，已成为中概股公司最大的不确定性因素。

3、合规标准的不确定性。如前所述，一系列补充规则、标准正在制订中，第三方的个人信息保护评估、认证社会化服务体系尚未建立，企业的合规标准仍待细化，合规能力有待第三方验证及外化。在目前的情况下，企业无法实现合规标准的锚定，也无法全面准确评估合规性。

4、监管及处罚标准的不确定性。在自身合规的背面，是企业与监管机构之间的互动。然而在《个保法》实施中，企业可能会产生一系列的疑问，如：与哪个监管主体沟通？如何寻求合规指导和帮助？其解释的权威性、准确性如何？执法的具体标准、时限如何把握？如果处罚不合理，企业如何维护自身的合法权益？尤其是在最高达到5000万元以下或者上一年度营业额百分之五以下罚款的威慑下，若监管政策的透明度和确定性不能尽快解决，企业将长期处于焦虑之中。

挑战四：个人信息权利的行使与制衡

与欧盟GDPR类似，《个保法》下个人信息主体享有广泛的权利，包括：知情权、决定权、查阅和复制的权利、携带权、要求更正及补充的权利、删除权、请求解释权、诉讼权等。

站在企业角度，如何控制成本、规范流程，通过技术+人工手段以及时响应用户需求都是不小的挑战。其他问题还包括，技术上的障碍、不同规则之间的冲突、监管与业务需求的冲突、权利被滥用的风险等。

挑战五：规范的持续迭代更新

法律制度的活力在于不断实践，通过法律解释、指南、修订、处罚公示、公民诉讼、司法判例、行业最佳实践、年报、白皮书等不同方式，全面促进个人信息保护的深化和升级。

这些海量的、艰巨的任务仅仅依靠监管机构是不可能独立完成的，应当鼓励、动员更多的民间力量共同参与，如：研究机构、技术公司、行业协会、标准化组织、企业代表等。他山之石，可以攻玉。在欧盟、美国的数据治理过程中，我们可以频频看到国际标准化组织（ISO）、欧盟数据保护委员会（EDPB）、法国国家信息自由委员会（CNIL）、美国国家标准技术研究所（NIST）的身影。虽然中国已经制定了一批国家标准、行业标准，特别是以中国信息通信研究院为代表的智库发挥了积极的作用，但是相关文献的宣传、普及、应用及实施效果仍有待提高。

意大利法学家贝卡利亚曾经说，“法律的力量应当跟随着公民，就像影子跟随着身体一样。”

《个保法》关系到我们每一个人，它在新时代赋予了公民个人信息权利和力量。在迎接新挑战和不断发展完善的过程中，《个保法》必将促进个人信息的合理利用，推动中国数字经济的健康、有序的发展。

【作者简介】

娄 鹤    律师

注册信息安全专业人员（CISO）

注册数据保护工程师（CDPSE）

中国国际商会(ICC) 数字经济委员会委员，网络安全工作组专家

联系方式：louhe@deheng.com