在廣泛的關注和期待之中，全國人大常委會終于在2021年8月20日審議通過了《個人信息保護法》（下稱“《個保法》”），中國的數據保護立法又向前邁出了堅實的一步。

　　在社會各界充分肯定此次立法的成果，并廣泛開展法律宣傳和教育的當下，我們也應當同時關注法律的具體實施，并向立法目標逐漸靠攏。

　　縱觀整部《個保法》并結合中國個人信息保護的現狀，筆者認為，在落實并執行《個保法》的過程中仍然將面對不少的困難和挑戰，值得一起思考與討論。

　　一般而言，某項新的法律制度的演進分為幾個過程，即：立法、執法、守法（合規）、訴訟/個人權利行使 、修法（釋法）。類似一個新產品，在此過程中不斷循環、打磨、碰撞、升級并完善，逐漸形成一個相對穩定的狀態，達到預期效果。

　　《個保法》作為數字化時代，規范及保護個人信息的嶄新的法律制度，完成立法只是一個開端，即將經受社會實踐的重重考驗。這些挑戰包括：

　　從粗放走向精細化的立法路徑

　　適應數字經濟的監管模式

　　不確定時代的企業合規

　　個人信息權利的行使與制衡

　　規范的持續迭代與更新

　　挑戰一：從粗放走向精細化的立法路徑

　　與其他網絡、信息與數據相關的立法一樣，《個保法》也無法繞開技術和標準的問題。一方面，從立法的定位、策略與技巧看，作為底層的基本法需要建立個人信息法律保護的框架、基本規則、各方權利義務及法律責任等內容。另一方面，一些過于原則和抽象的表述，可能無法滿足業務實踐，需要大量的規則、標準進行補充和細化，如：關于自動化決策的透明度與公正性的規范；還有一些規則和辦法長期處于“征求意見”狀態，何時轉正或修訂落地，也是懸而未決的問題。如：個人信息出境安全評估、個人信息安全影響評估。

　　顯然，立法機關也意識到進一步補充規則、標準的重要性和緊迫性，并在《個保法》第62條，羅列了下一步主要工作的計劃，值得期待：

　　1、制定個人信息保護具體規則、標準；

　　2、針對小型個人信息處理者、處理敏感個人信息以及人臉識別、人工智能等新技術、新應用，制定專門的個人信息保護規則、標準；

　　3、支持研究開發和推廣應用安全、方便的電子身份認證技術，推進網絡身份認證公共服務建設；

　　4、推進個人信息保護社會化服務體系建設，支持有關機構開展個人信息保護評估、認證服務；

　　5、完善個人信息保護投訴、舉報工作機制。

　　挑戰二：適應數字經濟的監管模式

　　與歐盟與美國的執法模式不同，在個人信息保護領域，中國尚未設置統一的數據保護機構，而是將相關機構統稱為“履行個人信息保護職責的部門”。網信辦、工信部、公安部、市場監督管理局等都有相應的管理權限，而“九龍治水”的模式是否會對未來的監管效果帶來隱患，或是在不久的將來監管機構內部實現分工優化，讓我們拭目以待。

　　從國家安全等因素考慮，《個保法》保留了不少類審批事項，如：個人信息出境的安全評估、向境外執法機構提供境內的個人信息、應用程序的測評、信息處理活動的合規審計等。企業普遍比較關心或擔憂的是，這些監管行為的效率，以及規則的透明度、公正性等。

　　更需要注意的是，數字經濟的業務形態已經發生了巨大的變化，一些數據業務的全球性和不間斷性的特點，要求監管方式與時俱進，不斷優化和智能化。傳統的審批模式，無疑是不能滿足現實的社會需求的。

　　挑戰三：不確定時代的合規

　　密集出臺的數據法律法規，給不少企業帶來了巨大壓力。一些從業者驚呼，全面合規、完全合規似乎成為了一項不可能完成的任務：

　　1、法律疊加適用下的合規壓力。一些企業需要同時面對《個保法》、數據安全法、網絡安全法、關鍵信息基礎設施管理條例，還有一些行業的特別規定，如：汽車數據安全管理若干規定，以及一堆國標、行標、征求意見稿。

　　2、中外監管的博弈和沖突。對于一些中概股公司，需要同時面對中美監管機構的壓力，在審計底稿、跨境數據流動、信息披露等方面的風險尤為突出。滴滴事件后，中國在國家（數據）安全和信息安全主體責任方面連續出臺一系列政策，將網絡安全審查作為部分國外上市項目的強制性義務。數據安全政策，已成為中概股公司最大的不確定性因素。

　　3、合規標準的不確定性。如前所述，一系列補充規則、標準正在制訂中，第三方的個人信息保護評估、認證社會化服務體系尚未建立，企業的合規標準仍待細化，合規能力有待第三方驗證及外化。在目前的情況下，企業無法實現合規標準的錨定，也無法全面準確評估合規性。

　　4、監管及處罰標準的不確定性。在自身合規的背面，是企業與監管機構之間的互動。然而在《個保法》實施中，企業可能會產生一系列的疑問，如：與哪個監管主體溝通？如何尋求合規指導和幫助？其解釋的權威性、準確性如何？執法的具體標準、時限如何把握？如果處罰不合理，企業如何維護自身的合法權益？尤其是在最高達到5000萬元以下或者上一年度營業額百分之五以下罰款的威懾下，若監管政策的透明度和確定性不能盡快解決，企業將長期處于焦慮之中。

　　挑戰四：個人信息權利的行使與制衡

　　與歐盟GDPR類似，《個保法》下個人信息主體享有廣泛的權利，包括：知情權、決定權、查閱和復制的權利、攜帶權、要求更正及補充的權利、刪除權、請求解釋權、訴訟權等。

　　站在企業角度，如何控制成本、規范流程，通過技術+人工手段以及時響應用戶需求都是不小的挑戰。其他問題還包括，技術上的障礙、不同規則之間的沖突、監管與業務需求的沖突、權利被濫用的風險等。

　　挑戰五：規范的持續迭代更新

　　法律制度的活力在于不斷實踐，通過法律解釋、指南、修訂、處罰公示、公民訴訟、司法判例、行業最佳實踐、年報、白皮書等不同方式，全面促進個人信息保護的深化和升級。

　　這些海量的、艱巨的任務僅僅依靠監管機構是不可能獨立完成的，應當鼓勵、動員更多的民間力量共同參與，如：研究機構、技術公司、行業協會、標準化組織、企業代表等。他山之石，可以攻玉。在歐盟、美國的數據治理過程中，我們可以頻頻看到國際標準化組織（ISO）、歐盟數據保護委員會（EDPB）、法國國家信息自由委員會（CNIL）、美國國家標準技術研究所（NIST）的身影。雖然中國已經制定了一批國家標準、行業標準，特別是以中國信息通信研究院為代表的智庫發揮了積極的作用，但是相關文獻的宣傳、普及、應用及實施效果仍有待提高。

　　意大利法學家貝卡利亞曾經說，“法律的力量應當跟隨著公民，就像影子跟隨著身體一樣。”

　　《個保法》關系到我們每一個人，它在新時代賦予了公民個人信息權利和力量。在迎接新挑戰和不斷發展完善的過程中，《個保法》必將促進個人信息的合理利用，推動中國數字經濟的健康、有序的發展。