李新社 工業(yè)和信息化部網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展中心副主任

方興東 浙江大學(xué)社會(huì)治理研究院首席專家

薛軍 北京大學(xué)法學(xué)院教授

王利明 中國(guó)法學(xué)會(huì)副會(huì)長(zhǎng)、中國(guó)人民大學(xué)教授

孫軒 南開大學(xué)數(shù)字城市治理實(shí)驗(yàn)室主任、計(jì)算社會(huì)科學(xué)實(shí)驗(yàn)室副主任

許可 對(duì)外經(jīng)貿(mào)大學(xué)數(shù)字經(jīng)濟(jì)與法律創(chuàng)新研究中心主任

謝鴻飛 中國(guó)社會(huì)科學(xué)院法學(xué)研究所民法研究室主任、中國(guó)社科院大學(xué)博導(dǎo)

11月1日，《個(gè)人信息保護(hù)法》正式施行。這是一部保護(hù)公民個(gè)人信息的專門法律，與《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《電子商務(wù)法》《消費(fèi)者權(quán)益保護(hù)法》等法律共同編織成一張消費(fèi)者個(gè)人信息“保護(hù)網(wǎng)”。

近日，圍繞我國(guó)在個(gè)人信息保護(hù)和數(shù)據(jù)安全方面的現(xiàn)狀、存在的短板以及如何加強(qiáng)保護(hù)等議題，新京智庫(kù)聯(lián)合中國(guó)法學(xué)交流基金會(huì)新興產(chǎn)業(yè)發(fā)展及法治環(huán)境建設(shè)專項(xiàng)基金共同舉辦主題為“《個(gè)人信息保護(hù)法》落地實(shí)施，如何用好這個(gè)‘法’”的研討會(huì)，來自北京大學(xué)、中國(guó)社科院及工業(yè)和信息化部網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展中心等機(jī)構(gòu)的相關(guān)專家參與研討。

以具體典型案例推動(dòng)規(guī)則落地

新京智庫(kù)：《個(gè)人信息保護(hù)法》實(shí)施后將發(fā)揮哪些作用？如何落實(shí)到位？

王利明：《個(gè)人信息保護(hù)法》要和《民法典》相結(jié)合，才能夠形成有效適用的一個(gè)規(guī)則體系。事實(shí)上《個(gè)人信息保護(hù)法》對(duì)于個(gè)人信息保護(hù)規(guī)則仍然有限，還有大量的保護(hù)規(guī)則，必須要從《民法典》里去尋找，所以《民法典》才是兜底性法律。例如，精神損害賠償，禁令制度等等，《個(gè)人信息保護(hù)法》就沒有具體規(guī)定。凡是在《個(gè)人信息保護(hù)法》里面找不到的保護(hù)規(guī)則，都得回歸到《民法典》去尋找。有人認(rèn)為《個(gè)人信息保護(hù)法》已經(jīng)足以滿足對(duì)個(gè)人信息保護(hù)的規(guī)定，那這個(gè)理解顯然是不妥當(dāng)?shù)?，不利于?duì)個(gè)人信息的全面有效保護(hù)。

薛軍：《個(gè)人信息保護(hù)法》的立意非常好，但它的一些規(guī)則還需要去明確和細(xì)化。在實(shí)施中，可以通過一些具體典型案例來推動(dòng)規(guī)則落地。比如手機(jī)的運(yùn)動(dòng)數(shù)據(jù)，單獨(dú)來看其未必就一定要被界定為個(gè)人信息。

現(xiàn)在一些手機(jī)名義上叫手機(jī)，但實(shí)際上是虛擬機(jī)。有些網(wǎng)絡(luò)黑灰產(chǎn)集團(tuán)利用這種虛擬機(jī)來薅羊毛，商家和平臺(tái)深惡痛絕。對(duì)此，一個(gè)很重要的識(shí)別方法就是收集手機(jī)的運(yùn)動(dòng)數(shù)據(jù)，來分析其是否屬于正常的收集。但如果要經(jīng)過用戶同意才能收集數(shù)據(jù)，那“羊毛黨”通過設(shè)置，平臺(tái)可能就收集不到這些數(shù)據(jù)，從而影響通過這種方法來識(shí)別一些與“貓池”里的虛擬機(jī)關(guān)聯(lián)的黑灰產(chǎn)賬號(hào)。某種意義上這樣會(huì)損害商業(yè)效率。

這就說明在界定個(gè)人信息的范圍時(shí)，一定要根據(jù)現(xiàn)實(shí)的情況，基于良好的利益衡量來進(jìn)行界定。通過具體的類似于杭州野生動(dòng)物園刷臉入園案、微信讀書案等個(gè)案的精細(xì)打磨，慢慢把諸如個(gè)人信息的范圍和分類的問題具體化，落實(shí)下來。在這個(gè)過程中，法院是一個(gè)很好的抓手，監(jiān)管部門的專項(xiàng)治理活動(dòng)等也能發(fā)揮積極作用。同時(shí)，消協(xié)等組織也要發(fā)揮積極作用。

《個(gè)人信息保護(hù)法》的出臺(tái)，盡管提供了一個(gè)很好的法律框架，但目前仍然存在一些問題，需要進(jìn)一步通過條例、法院裁判規(guī)則等加以完善、填充和落地。

《個(gè)人信息保護(hù)法》的有些條款比較粗線條、框架性，實(shí)操性不夠；有些則是存在多種理解方式。這些對(duì)企業(yè)的實(shí)際運(yùn)營(yíng)而言，都有非常大的影響。

比如該法中一方面強(qiáng)調(diào)，企業(yè)在為用戶提供服務(wù)前，要讓用戶明確是否同意采集個(gè)人信息；但同時(shí)又規(guī)定，如果用戶拒絕同意，企業(yè)依然需要為用戶提供服務(wù)。

這對(duì)企業(yè)而言就是一個(gè)難題。因?yàn)橛行┸浖墓δ?，缺乏相?yīng)的個(gè)人信息是無法正常運(yùn)行的。值得注意的是，該法更多地體現(xiàn)了監(jiān)管思維，結(jié)合中國(guó)當(dāng)前的語境，其實(shí)需要更多地從民法的視角、從損害賠償?shù)慕嵌?，從受害者救?jì)的角度出發(fā)。

謝鴻飛：個(gè)人信息的損害賠償是需要及時(shí)跟上的必要環(huán)節(jié)。如果缺乏相應(yīng)的損害賠償，那么對(duì)于企業(yè)而言，可能會(huì)將與之相關(guān)的大量成本外部化，而非企業(yè)本身消化。

《民法典》明確了隱私信息，《個(gè)人信息保護(hù)法》明確了敏感信息，但在這些之外還存在一般信息。這些信息應(yīng)不應(yīng)該保護(hù)，保護(hù)到何種程度，是個(gè)很大問題。尤其是，當(dāng)這些一般信息被泄露，卻既不構(gòu)成隱私權(quán)的損害，也不構(gòu)成財(cái)產(chǎn)權(quán)或人格權(quán)的損害時(shí)，能否從民法上找到對(duì)應(yīng)的損害，就是個(gè)問題了。

而在諸如電信詐騙的案例中，受損人無法確定是誰導(dǎo)致了個(gè)人信息被泄露，到目前為止，沒有看到有個(gè)人主動(dòng)提起訴訟的案例。盡管檢察機(jī)關(guān)有代表受害人提起一些公益訴訟，但這些訴訟的訴求主要是賠禮道歉和刪除個(gè)人信息等，沒有見到有關(guān)任何賠償?shù)膬?nèi)容。這些手段都只是防御、保護(hù)性手段。

法律體系要綜合運(yùn)用起來，行政監(jiān)管和司法必須齊頭并進(jìn)。目前來看，法律的適用或者執(zhí)法過程中，偏重于行政監(jiān)管。在目前存在大量個(gè)人信息違法的情況下，僅依靠行政監(jiān)管發(fā)揮很大作用是不太現(xiàn)實(shí)的。

促進(jìn)數(shù)字經(jīng)濟(jì)相關(guān)產(chǎn)業(yè)發(fā)展

新京智庫(kù)：《個(gè)人信息保護(hù)法》實(shí)施對(duì)相關(guān)產(chǎn)業(yè)將帶來什么影響？

李新社：過去，我們不知道平臺(tái)或者是應(yīng)用提供方收集了哪些數(shù)據(jù)，收集這些數(shù)據(jù)的目的是什么，他們?cè)趺蠢眠@些數(shù)據(jù)?！秱€(gè)人信息保護(hù)法》出臺(tái)后，明確了不能過度收集無關(guān)的個(gè)人信息?！秱€(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》的出現(xiàn)，對(duì)于產(chǎn)業(yè)的推動(dòng)作用是明顯的。

比如，過去人們?nèi)ゾ频曜〉?，要刷臉、要身份證等信息，這些信息都保存在酒店?，F(xiàn)在已經(jīng)有公司在做第三方認(rèn)證。以后，可能顧客在酒店住店的時(shí)候，酒店只需要確認(rèn)站在面前的這個(gè)人是真實(shí)存在的，而不需要了解其他個(gè)人信息。從產(chǎn)業(yè)的角度來講，這推動(dòng)了安全產(chǎn)業(yè)的發(fā)展。

《個(gè)人信息保護(hù)法》出臺(tái)實(shí)施，一方面提醒了廣大消費(fèi)者注意個(gè)人信息，也提醒了企業(yè)不能按照過去的玩法過度收集個(gè)人信息。從產(chǎn)業(yè)發(fā)展的角度來講，又催生了第三方驗(yàn)證，保障信息不泄露、不被濫用等。因此，《個(gè)人信息保護(hù)法》的意義是相當(dāng)大的。

許可：《個(gè)人信息保護(hù)法》絕不只是個(gè)人信息保護(hù)的法律，還是一部促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展的法律。

在過去幾年，企業(yè)存在著濫用個(gè)人信息的行為。但另一方面也要注意到，當(dāng)數(shù)據(jù)成為新的生產(chǎn)要素，成為數(shù)字經(jīng)濟(jì)推動(dòng)力的時(shí)候，個(gè)人經(jīng)過數(shù)據(jù)化加工后的信息，也成為其中重要的生產(chǎn)要素。對(duì)此，企業(yè)實(shí)際上也是可以利用的，但非常重要的是，要給企業(yè)很重要的激勵(lì)，讓其摒棄濫用和錯(cuò)誤的利用，走向正確的利用。這要進(jìn)一步明確合規(guī)免責(zé)邊界，推動(dòng)企業(yè)用個(gè)人信息做好事，而不是做壞事。

《個(gè)人信息保護(hù)法》第13條，在《民法典》的基礎(chǔ)之上，增加了六項(xiàng)個(gè)人信息處理的正當(dāng)性事由，體現(xiàn)出在平衡個(gè)人信息保護(hù)和數(shù)字經(jīng)濟(jì)發(fā)展上非常重要的考量。第13條因此也被稱為《個(gè)人信息保護(hù)法》的法眼之所在。所以這部法律是推動(dòng)中國(guó)數(shù)字經(jīng)濟(jì)健康穩(wěn)健發(fā)展的重要基礎(chǔ)。

孫軒：個(gè)人信息保護(hù)需要負(fù)面“處罰”與正面“引導(dǎo)”相結(jié)合。除了注意個(gè)人信息安全的制度，也可考慮個(gè)人信息合法合規(guī)利用的疏導(dǎo)。比如對(duì)公司、企業(yè)是否可以進(jìn)行使用個(gè)人信息的評(píng)價(jià)體系。如果一個(gè)企業(yè)使用個(gè)人信息非常規(guī)范，符合《個(gè)人信息保護(hù)法》等法規(guī)要求，可將其評(píng)為“五星”，而做得差的企業(yè)，會(huì)面臨淘汰壓力。

方興東：過去中國(guó)互聯(lián)網(wǎng)行業(yè)的發(fā)展是“隱私驅(qū)動(dòng)”型的?！秱€(gè)人信息保護(hù)法》等法律實(shí)施后，會(huì)推動(dòng)互聯(lián)網(wǎng)行業(yè)回歸到以科技創(chuàng)新驅(qū)動(dòng)的正常軌道。此外，這還將有助于中國(guó)互聯(lián)網(wǎng)的全球化。互聯(lián)網(wǎng)巨頭必須在個(gè)人信息保護(hù)方面達(dá)到歐美標(biāo)準(zhǔn)，才可能在國(guó)外合法經(jīng)營(yíng)，持續(xù)發(fā)展，真正實(shí)現(xiàn)全球化。

中國(guó)互聯(lián)網(wǎng)巨頭要經(jīng)歷一個(gè)估值的重新調(diào)整，這個(gè)過程跟這些法律會(huì)直接相關(guān)。目前的幾次專項(xiàng)治理行動(dòng)并不是調(diào)整的長(zhǎng)期因素，而這些法律會(huì)是一個(gè)長(zhǎng)期的因素。

新法普及增加的企業(yè)成本需內(nèi)部消化

新京智庫(kù)：企業(yè)在網(wǎng)絡(luò)安全和個(gè)人信息保護(hù)方面做得如何？今后有哪些新要求？

許可：《個(gè)人信息保護(hù)法》是一部對(duì)企業(yè)經(jīng)營(yíng)發(fā)展非常重要的法律規(guī)范。比如，以營(yíng)業(yè)額5%的金額處罰，比歐盟GDPR的4%還要高，這會(huì)是一個(gè)非常大的威懾。政府對(duì)互聯(lián)網(wǎng)企業(yè)采取強(qiáng)監(jiān)管的態(tài)勢(shì)，這使得企業(yè)將高度重視個(gè)人信息保護(hù)工作。

《個(gè)人信息保護(hù)法》實(shí)施之后，對(duì)企業(yè)也提出了一些新的運(yùn)營(yíng)要求。比如“單獨(dú)同意”原則，之前無論是《網(wǎng)絡(luò)安全法》，還是《信息安全技術(shù)個(gè)人信息安全規(guī)范》，都沒有涉及“單獨(dú)同意”規(guī)則。這次針對(duì)高風(fēng)險(xiǎn)的個(gè)人信息處理行為，比如將個(gè)人信息向第三方提供，涉及敏感個(gè)人信息，個(gè)人信息的公開等，都需要經(jīng)過個(gè)人的“單獨(dú)同意”。

各個(gè)企業(yè)內(nèi)部需要進(jìn)一步去完善自己的合規(guī)體系，有一些企業(yè)要設(shè)立個(gè)人信息保護(hù)負(fù)責(zé)人，一些超大企業(yè)要設(shè)立個(gè)人信息保護(hù)委員會(huì)，還有的要根據(jù)算法要求設(shè)立算法隔離委員會(huì)等。這些都成為企業(yè)落實(shí)《個(gè)人信息保護(hù)法》重要的一環(huán)。

《個(gè)人信息保護(hù)法》是中國(guó)對(duì)于個(gè)人信息保護(hù)的一個(gè)非常鄭重的聲明?！斑@具有積極的信號(hào)作用，反映了我國(guó)保護(hù)個(gè)人信息的一種決心?！?/p>

《個(gè)人信息保護(hù)法》第11條指出，形成一個(gè)政府、企業(yè)、社會(huì)組織、公眾共同參與的個(gè)人信息保護(hù)的體系，這種各方共同參與的個(gè)人信息保護(hù)體系也是落實(shí)《個(gè)人信息保護(hù)法》的核心。

相關(guān)社會(huì)組織可發(fā)揮作用。首先，一些行業(yè)協(xié)會(huì)可以發(fā)揮標(biāo)準(zhǔn)制定的作用。其次，通過行業(yè)形成一些值得學(xué)習(xí)和借鑒的最佳實(shí)踐。再者，科技的發(fā)展推動(dòng)最近幾年相關(guān)的技術(shù)得到大量關(guān)注。從根本上來說，個(gè)人信息的保護(hù)來自于科技的完善、發(fā)展，這也是解決個(gè)人信息保護(hù)的重要途徑。

公眾參與也很重要。公眾并不是個(gè)人信息的弱者，公眾某種意義上說是個(gè)人信息能不能被收集的關(guān)卡。對(duì)公眾來說，第一要提升個(gè)人信息的素養(yǎng)，不要把一些信息輕易交出去。一些預(yù)裝的軟件、一些明顯來源不明的網(wǎng)址不要去打開。第二，《個(gè)人信息保護(hù)法》充分提升了個(gè)人信息的權(quán)益，包括查詢、查閱、更正、刪除、可轉(zhuǎn)移等一系列的權(quán)益。個(gè)人可以積極去行使這些權(quán)益，保護(hù)自己在數(shù)字空間中的個(gè)人信息。第三，適當(dāng)?shù)那闆r下，公眾可以向相關(guān)監(jiān)管機(jī)構(gòu)提起舉報(bào)甚至可以發(fā)起民事訴訟。

李新社：從保護(hù)的角度來講，《個(gè)人信息保護(hù)法》起到了保護(hù)作用；從產(chǎn)業(yè)角度來講，推動(dòng)了一些技術(shù)創(chuàng)新。

謝鴻飛：《個(gè)人信息保護(hù)法》肯定會(huì)增加一些運(yùn)行成本，但這是企業(yè)必須承擔(dān)的。《個(gè)人信息保護(hù)法》規(guī)定的一些行為規(guī)范，企業(yè)在數(shù)據(jù)合規(guī)方面的一些義務(wù)，是有利于個(gè)人利益和公共利益的。對(duì)企業(yè)來說，這部分成本應(yīng)該內(nèi)部消化，而不應(yīng)該由外部來消化。

薛軍：作為市場(chǎng)主體，企業(yè)對(duì)于生效的法律都有遵守、落實(shí)的責(zé)任，這是不容置疑的。但企業(yè)普遍存在的一個(gè)潛在擔(dān)憂是，是否會(huì)存在某種形式的劣幣驅(qū)逐良幣問題？因?yàn)椤秱€(gè)人信息保護(hù)法》的大量規(guī)定，缺乏可操作性的規(guī)定，這可能使得一些企業(yè)處于觀望狀態(tài)，要看看友商是怎么做的，看看競(jìng)爭(zhēng)對(duì)手是怎么做的。因?yàn)閷?duì)企業(yè)而言，做數(shù)據(jù)合規(guī)的成本是很高的，如果大家不是處于同一合規(guī)水準(zhǔn)之上，做得好的企業(yè)，反而可能構(gòu)成對(duì)其市場(chǎng)競(jìng)爭(zhēng)力的傷害。

我相信企業(yè)并沒有去做違法行為的內(nèi)在動(dòng)力，很多人認(rèn)為企業(yè)好像不監(jiān)管就一定會(huì)違法，其實(shí)是不客觀的。企業(yè)的行為模式其實(shí)是服從于市場(chǎng)競(jìng)爭(zhēng)的邏輯，當(dāng)企業(yè)明確知道某一法律的執(zhí)行，將會(huì)是嚴(yán)格的、公平的，不具有任何選擇性的，這時(shí)他們都會(huì)認(rèn)真遵守法律。但是當(dāng)法律的執(zhí)行帶有選擇性或者模糊不清的問題時(shí)，企業(yè)在經(jīng)營(yíng)時(shí)就可能心存僥幸，主要還是擔(dān)心自己合規(guī)而別人不合規(guī)，從而在市場(chǎng)競(jìng)爭(zhēng)中處于劣勢(shì)。從這個(gè)角度看，執(zhí)法標(biāo)準(zhǔn)的公平、透明以及統(tǒng)一是極端重要的，是培養(yǎng)企業(yè)合規(guī)文化的基礎(chǔ)。

李新社：如果企業(yè)嚴(yán)格遵守了行業(yè)規(guī)范，但是與商業(yè)利益之間存在沖突該怎么辦？所以需要在遵紀(jì)守法的前提下推動(dòng)企業(yè)發(fā)展，這才是立法的根本要求。如果立法后，企業(yè)什么都不干了，或者不能干了，不發(fā)展了，那就是有問題的。

《個(gè)人信息保護(hù)法》等一系列法規(guī)出臺(tái)后，企業(yè)一方面不能再用過去的思維無限度地?cái)U(kuò)大自身收集數(shù)據(jù)的權(quán)利。另一方面，企業(yè)還需要在法律規(guī)范框架內(nèi)，收集數(shù)據(jù)、應(yīng)用等，而且還要做得比原來更好，推動(dòng)產(chǎn)業(yè)發(fā)展。

這一方面取決于企業(yè)遵紀(jì)守法的過程，同時(shí)還有一個(gè)監(jiān)管的過程，不能說法律規(guī)范出臺(tái)后企業(yè)就會(huì)自動(dòng)去遵守。怎么監(jiān)管，如何利用監(jiān)管平臺(tái)？對(duì)企業(yè)持續(xù)經(jīng)營(yíng)、產(chǎn)業(yè)長(zhǎng)足發(fā)展來說，這都是一個(gè)挑戰(zhàn)。

從政府角度而言，如何在法律出臺(tái)之后，能夠健康快速推進(jìn)產(chǎn)業(yè)長(zhǎng)足的發(fā)展，也是值得關(guān)注的。因?yàn)閿?shù)據(jù)是將來社會(huì)的基礎(chǔ)資源，個(gè)人信息作為數(shù)據(jù)的一部分，也會(huì)成為社會(huì)資源的一部分。企業(yè)如何利用好這些資源給社會(huì)創(chuàng)造更大的財(cái)富，這需要一個(gè)過程。

許可：有句話說，100次普法不如一次執(zhí)法。相信在未來兩到三個(gè)月會(huì)有一系列的相關(guān)執(zhí)法行動(dòng)。

孫軒：隨著數(shù)字化時(shí)代的到來，我們還要考慮怎樣基于算法、程序、考評(píng)機(jī)制等塑造一個(gè)全新的數(shù)字化社會(huì)。即我們一方面要不斷完善法律規(guī)范，另一方面又要提供一系列服務(wù)，執(zhí)法與服務(wù)并舉，創(chuàng)建一個(gè)更加完善的市場(chǎng)機(jī)制以促進(jìn)經(jīng)濟(jì)的發(fā)展。當(dāng)然，很多內(nèi)容還需要政府、社會(huì)、企業(yè)來共同合作完成。

國(guó)外企業(yè)在合規(guī)下的經(jīng)營(yíng)經(jīng)驗(yàn)值得借鑒

新京智庫(kù)：國(guó)外在個(gè)人信息、數(shù)據(jù)安全方面有哪些值得借鑒的地方？

薛軍：相關(guān)法律的適用需要注意一些具體的語境，要考慮國(guó)家合規(guī)經(jīng)營(yíng)的土壤，更要與政府的法治水平相適應(yīng)。不能把國(guó)外一些個(gè)人信息保護(hù)的問題和相應(yīng)的做法，跟國(guó)內(nèi)進(jìn)行簡(jiǎn)單的橫向比較，如果不重視國(guó)內(nèi)的具體情況，單純把國(guó)外的制度挪用過來，有很大的風(fēng)險(xiǎn)性。

謝鴻飛：每個(gè)國(guó)家都必須考慮自己本土的政治、經(jīng)濟(jì)、文化等的情況，但是我們也必須承認(rèn)，在個(gè)人信息保護(hù)這個(gè)領(lǐng)域，中國(guó)和其他國(guó)家也有一些共同的地方，這個(gè)時(shí)候參考域外法的一些方案，還是有啟發(fā)意義的。

孫軒：歐美國(guó)家在個(gè)人信息保護(hù)問題上的態(tài)度一直是比較明確的，執(zhí)法力度也非常大，使得整個(gè)社會(huì)都形成了一種產(chǎn)業(yè)、行業(yè)的自覺性，就是有意識(shí)、主動(dòng)地保護(hù)個(gè)人隱私。

頒布法律主要是提供一種行為準(zhǔn)繩、行為準(zhǔn)則，國(guó)外的這種個(gè)人信息保護(hù)的文化值得我們學(xué)習(xí)。

方興東：《個(gè)人信息保護(hù)法》在很多方面借鑒了歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）。中國(guó)要像過去幾十年學(xué)習(xí)美國(guó)的技術(shù)創(chuàng)新能力一樣，認(rèn)真學(xué)習(xí)歐洲在個(gè)人信息保護(hù)方面的制度創(chuàng)新能力，這不僅直接決定了我們?cè)诖朔矫娴母滤俣龋踔吝€決定未來在這方面趕超速度的快慢。

李新社：對(duì)企業(yè)來說，需要學(xué)習(xí)借鑒歐盟企業(yè)如何在合規(guī)的情況下合理合法地做經(jīng)營(yíng)。GDPR頒布之后，很多企業(yè)為了合規(guī)性在內(nèi)部做了大量的技術(shù)改造工作。這就是法律最終對(duì)于市場(chǎng)和發(fā)展的一些影響，這是值得中國(guó)企業(yè)借鑒的。從數(shù)據(jù)安全角度來講，我們也應(yīng)該考慮哪些問題會(huì)對(duì)國(guó)家安全產(chǎn)生影響。這方面西方有些實(shí)踐對(duì)中國(guó)有借鑒意義。

許可：中國(guó)的《個(gè)人信息保護(hù)法》對(duì)應(yīng)歐盟來看，有兩個(gè)非常重要的特點(diǎn)，一個(gè)是很多條款過于原則，缺乏可操作性，需要未來出臺(tái)更細(xì)的規(guī)則加以補(bǔ)充和落實(shí)。第二是沒有貫徹基于風(fēng)險(xiǎn)的規(guī)制思路，最典型的問題就是對(duì)于去標(biāo)識(shí)化的個(gè)人信息，沒有給予風(fēng)險(xiǎn)減免。

中國(guó)可以借鑒韓國(guó)和新加坡相關(guān)立法，這些國(guó)家在某種程度上是吸收了很多歐洲國(guó)家的個(gè)人信息保護(hù)做法，同時(shí)又增加了促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展的行業(yè)規(guī)制。

典型的例子就是新加坡對(duì)于個(gè)人信息保護(hù)增加了一個(gè)非常重要的合理性事由，那就是基于創(chuàng)新的個(gè)人信息的使用。對(duì)于企業(yè)來說，如果真的是創(chuàng)新活動(dòng)，就可以使用個(gè)人信息。

方興東：《個(gè)人信息保護(hù)法》本質(zhì)上并不是僅僅為了解決當(dāng)前面臨的一些問題，最核心的還是面向未來，這是人類在數(shù)字時(shí)代面臨的共同機(jī)遇和挑戰(zhàn)。中國(guó)在借鑒其他國(guó)家經(jīng)驗(yàn)的同時(shí)，并不妨礙突出中國(guó)的特色，更不影響中國(guó)以后站在別人的肩膀之上去貢獻(xiàn)制度創(chuàng)新。

新京報(bào)記者 鄭偉彬 柯銳 肖隆平 查志遠(yuǎn)