网络安全法|山雨欲来风满楼？即将正式实施的《个人信息保护法》真的会刮起一场风暴吗？( 二 )_修复|安全|漏洞

中国人民大学法学院教授张新宝也认为，就“个人对个人信息保护和企业对个人信息利用”之间的矛盾而言，应该既强化个人敏感信息的保护，又强化个人一般信息的利用，致力于实现个人利益、企业利益和国家利益的三方平衡。

文章插图
需要看到的是，《个人信息保护法》对大型互联网平台设定了特别的个人信息保护义务，如定期发布个人信息保护社会责任报告、接受社会监督等。这是挑战，也是机遇。法律将管理义务交由平台企业，大企业要制定相应的平台规则，且公正、公平、公开地进行规范。这一过程，也是头部企业树立标杆的过程。政府需要引导建构行政执法和解协议制度，及时向全社会公布情况，允许企业有机会有时间进行整改和提高，持续优化产品功能，不断提高用户信息保护水平。
守法者最自由。对于掌握海量公众信息的互联网公司来说，在严格遵守《个人信息保护法》的基础上，还应该更为主动，如成立主要由外部成员组成的独立机构，组织对个人信息处理活动进行监督，对违法处理个人信息的产品或者服务应进行调整或废止，对公众个人数据的存储进行分级管理，并进行完全匿名化的、标志化的处理，定期发布接受社会监督的公众信息保护社会责任报告,类似的主动作为，可以为其加分，实现长远发展。
对于《个人信息保护法》引发的企业合规成本提升问题，应该算作是近20年互联网野蛮发展所必须付出的代价，“欠的账总要还”。也可以说这是互联网数据行业的改革阵痛，一些有远见的公司将会通过提升公众个人信息的数据质量和利用效率去化解合规成本，通过合法途径收集优质的公众个人数据和信息，利用大数据、5G、人工智能等新技术进行深度开发和利用，使公众个人信息数据能够发挥更大的经济价值，而这相对于此前的野蛮搜集使用公众个人信息，不亚于脱胎换骨般的涅槃新生，在获得公众和政府充分认可的同时，也会成为真正的百年大企。

文章插图
立法只是万里长征第一步，未来还需更多探索实践
天下之难，不难于立法，而难于法之必行。《个人信息保护法》作为一部涉及范围广泛的法律，仍然存在需配套完善之处，以便更好地施行。
如何立足国情妥善处理与其他相关法规的关系，将是《个人信息保护法》实施的首要问题。不同国家地区有不同的实际情况，因此在公众个人信息的保护上，也存在差异。如欧盟的GDPR要求欧盟层面及各成员国都应当建立独立的数据监管机构，负责监督条例的实施，并建构了数据主体向监管机构投诉、受理及处理等一整套行政框架。而在美国的联邦层面虽也设立负责隐私执法的联邦贸易委员（FTC），但各行业领域采取了分类监管的模式。我国《个人信息保护法》客观上涉及各个领域和多个部门、多项法规，不仅需要在机构运行上进行磨合调整，也需要整合、修改和补充原有的法律规范，建立规范、系统、协调的法律体系，更好地管理和指导互联网企业等单位建立个人信息采集、传输、存储、共享、出境等各个环节的合规体系，让个人信息保护制度稳定性和开放性兼备，势在必行。
进一步界定公众个人信息相关概念尤为重要。作为一部法律，《个人信息保护法》不可能面面俱到，只能明确在个人信息保护上的基本原则、基本制度、基本行为规范和法律责任，很多具体细节还需进一步完善，很多概念还需进一步界定，才能让该法充分发挥作用。如匿名化是不是判断“个人信息”的唯一标准，去标识化的信息或聚合的信息到底是不是个人信息，还要明确“个人信息”是否包含一些易产生争议的数据类型，如“消费历史记录或消费趋势”“视觉、热量、嗅觉”等。这些细节和概念如果不进一步界定的话，未来在该法的执行和落实上会出现很多混淆。