李新社|专家：企业遵守《个保法》所增加的成本应内部消化_个人|虚拟机|民法典|数据安全

文章插图
资料图。图/unsplash
新京报讯（采访人员肖隆平）11月1日，《个人信息保护法》正式施行。这是一部保护公民个人信息的专门法律，与《网络安全法》《数据安全法》《电子商务法》《消费者权益保护法》等法律共同编织成一张消费者个人信息“保护网”。
近日，围绕我国在个人信息保护和数据安全方面的现状、存在的短板以及如何加强保护等议题，新京智库联合中国法学交流基金会新兴产业发展及法治环境建设专项基金共同举办主题为“《个人信息保护法》落地实施，如何用好这个‘法’”的研讨会，来自北京大学、中国社科院和工业和信息化部网络安全产业发展中心等机构的相关专家参与研讨。
新法普及增加的企业成本需内部消化
在会上，对外经济贸易大学数字经济与法律创新研究中心主任许可表示，《个人信息保护法》是一部对企业经营发展非常重要的法律规范。比如，以营业额5%的金额处罚，比欧盟GDPR的4%还要高，“这会是一个非常大的威慑。政府对互联网企业采取强监管的态势，这使得企业将高度重视个人信息保护工作”。
许可还表示，《个人信息保护法》实施之后，对企业也提出了一些新的运营要求。比如“单独同意”原则，之前无论是《网络安全法》，还是《信息安全技术个人信息安全规范》，都没有涉及“单独同意”原则。这次针对高风险的个人信息处理行为，比如将个人信息向第三方提供，涉及敏感个人信息，个人信息的公开等，都需要经过个人的“单独同意”。
许可建议，各个企业内部需要进一步去完善自己的合规体系，有一些企业要设立个人信息保护负责人，一些超大企业要设立个人信息保护委员会，还有的要根据算法要求设立算法隔离委员会等。“这些都成为企业落实《个人信息保护法》重要的一环”。
工业和信息化部网络安全产业发展中心副主任李新社介绍，从保护的角度来讲，《个人信息保护法》起到了保护作用；从产业角度来讲，推动了一些技术创新。
但许可认为，于企业而言，各个企业已经支付了不低的成本去做好数据合规，企业还是有很多问题和困惑。如何更好做到合规，都是企业很关注的事情。
“《个人信息保护法》肯定会增加一些运行成本，但这是企业必须承担的”，中国社会科学院法学研究所民法研究室主任、研究员谢鸿飞认为，《个人信息保护法》规定的一些行为规范，企业在数据合规方面的一些义务，是有利于个人利益和公共利益的。对企业来说，这部分成本应该内部消化，而不应该由外部来消化。
避免新法下的劣币驱逐良币
北京大学法学院教授薛军认为，作为市场主体，企业对于生效的法律都有遵守、落实的责任，这是不容置疑的。但企业普遍存在的一个潜在担忧是，是否会存在着某种形式的劣币驱逐良币问题？因为《个人信息保护法》的大量规定，缺乏可操作性的规定，这可能使得一些企业处于观望状态，要看看友商是怎么做的，看看竞争对手是怎么做的。因为对企业而言，做数据合规的成本是很高的，如果大家不是处于同一合规水准之上，做得好的企业，反而可能构成对其市场竞争力的伤害。

文章插图
资料图。图/unsplash
“我相信企业并没有去做违法行为的内在动力，很多人认为企业好像不监管就一定会违法，其实是不客观的”，薛军解释，企业的行为模式其实是服从于市场竞争的逻辑，当企业明确知道某一法律的执行，将会是严格的、公平的，不具有任何选择性的，这时它们就都会认真遵守法律。但是当法律的执行带有选择性或者模糊不清的问题时，企业在经营时就可能心存侥幸，主要还是担心自己合规而别人不合规，从而在市场竞争中处于劣势。从这个角度看，执法标准的公平、透明以及统一是极端重要的，是培养企业合规文化的基础。