資料圖。圖/unsplash 

2021年，數(shù)據(jù)安全和個(gè)人隱私保護(hù)成為關(guān)鍵熱詞。

今年6月在首都機(jī)場三號(hào)航站樓兩名粉絲聚集尾隨跟拍某明星乘機(jī)，同時(shí)非法獲取100余條明星身份及航班信息，并在微信群中轉(zhuǎn)發(fā)。一時(shí)間，個(gè)人隱私保護(hù)又成為輿論關(guān)注的焦點(diǎn)。

近日，北京朝陽區(qū)法院對上述案件作出判決，兩名粉絲被以侵犯公民個(gè)人信息罪依法分別判處拘役5個(gè)月、緩刑5個(gè)月，拘役4個(gè)月、緩刑4個(gè)月。

這是11月1日《中華人民共和國個(gè)人信息保護(hù)法》生效以來涉及個(gè)人隱私保護(hù)的一個(gè)較為典型的案例。

此外，11月14日，國家網(wǎng)信辦發(fā)布關(guān)于《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）》（以下簡稱《征求意見稿》）公開征求意見的通知。

《征求意見稿》融合了關(guān)于個(gè)人信息保護(hù)和數(shù)據(jù)安全的法律法規(guī)，以更加清晰精煉的方式，對一系列信息隱私保護(hù)、數(shù)據(jù)安全的法律進(jìn)行總結(jié)歸納，提高了法律的可行性和可理解性。

這些法律的出臺(tái)或修訂，無論是對國家、產(chǎn)業(yè)，或是企業(yè)、個(gè)人都將產(chǎn)生深遠(yuǎn)的影響。相關(guān)行為主體如何在新規(guī)則之下兼顧發(fā)展與數(shù)據(jù)安全、隱私，將是決定其未來競爭力的關(guān)鍵。

相關(guān)法律完善下仍存在行業(yè)性、結(jié)構(gòu)性風(fēng)險(xiǎn)隱患

中國社會(huì)科學(xué)院法學(xué)研究所民法研究室主任、研究員謝鴻飛向新京智庫表示，今年以來，國家在數(shù)據(jù)安全和個(gè)人信息保護(hù)方面的立法不斷完善。據(jù)謝鴻飛介紹，2021年1月1日施行的《民法典》在人格權(quán)編單獨(dú)設(shè)一章“隱私權(quán)和個(gè)人信息保護(hù)”，確立個(gè)人信息作為一種具體人格權(quán)益的法律地位，勾勒出個(gè)人信息司法保護(hù)的基本框架。2021年8月20日通過的《個(gè)人信息保護(hù)法》以專門立法的方式對自然人個(gè)人信息權(quán)益、信息處理規(guī)則、信息處理者責(zé)任、信息跨境流動(dòng)、信息監(jiān)管等關(guān)切問題予以回應(yīng)，對“數(shù)字人格”提供了全面的法律保障，與《民法典》遙相呼應(yīng)。

謝鴻飛指出，2021年9月1日施行的《數(shù)據(jù)安全法》立足總體國家安全發(fā)展觀，以數(shù)據(jù)治理安全為切入點(diǎn)，堅(jiān)持?jǐn)?shù)據(jù)安全與數(shù)據(jù)合理利用的雙重目標(biāo)，確立了數(shù)據(jù)分類分級(jí)管理，建立了數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、監(jiān)測預(yù)警、應(yīng)急處置、數(shù)據(jù)安全審查等基本制度，并明確了相關(guān)主體的數(shù)據(jù)安全保護(hù)義務(wù)，實(shí)行“中央國安委”統(tǒng)籌協(xié)調(diào)下的監(jiān)管機(jī)制，為數(shù)據(jù)的安全與監(jiān)管提供了明確的指引。

除此之外，《網(wǎng)絡(luò)安全法》《消費(fèi)者權(quán)益保護(hù)法》《反間諜法》《反恐怖主義法》《出境入境管理法》《居民身份證法》等法律法規(guī)以及最高人民法院《人臉識(shí)別司法解釋》等規(guī)范性文件針對特殊主體、特殊行業(yè)以及特殊事項(xiàng)的個(gè)人信息保護(hù)作了更為細(xì)致的規(guī)定。

在謝鴻飛看來，這些規(guī)范性文件所構(gòu)筑的全方位個(gè)人信息保護(hù)網(wǎng)將推動(dòng)我國個(gè)人信息保護(hù)邁向一個(gè)新臺(tái)階，促進(jìn)我國數(shù)字經(jīng)濟(jì)的持續(xù)健康發(fā)展，同時(shí)也將為全球數(shù)據(jù)治理貢獻(xiàn)中國方案。

相關(guān)法律的出臺(tái)，全面、系統(tǒng)地對個(gè)人信息保護(hù)工作作出了基礎(chǔ)性制度安排。但是個(gè)人信息保護(hù)仍存在行業(yè)性、結(jié)構(gòu)性的風(fēng)險(xiǎn)隱患。

中南財(cái)經(jīng)政法大學(xué)數(shù)字經(jīng)濟(jì)研究院執(zhí)行院長、教授盤和林表示，當(dāng)前，在互聯(lián)網(wǎng)領(lǐng)域，個(gè)人信息的收集、使用十分廣泛，隨意收集、違法獲取、過度使用、非法買賣個(gè)人信息、大數(shù)據(jù)殺熟等問題突出，信息數(shù)據(jù)治理生態(tài)總體狀況不樂觀。

金融領(lǐng)域個(gè)人信息保護(hù)也開始受到重視。中國人民銀行行長易綱近日在芬蘭央行新興經(jīng)濟(jì)體研究院成立30周年紀(jì)念活動(dòng)的視頻致辭中介紹說，“我們高度重視數(shù)字人民幣的個(gè)人信息保護(hù)問題，并采取了相應(yīng)的制度安排和技術(shù)設(shè)計(jì)。”在收集個(gè)人信息時(shí)遵循“最少、必要”原則，采集的信息量少于現(xiàn)有電子支付工具。

除了互聯(lián)網(wǎng)和金融行業(yè)，醫(yī)療領(lǐng)域信息數(shù)據(jù)泄露情況也不容樂觀。此前，中國信通院發(fā)布的《2019健康醫(yī)療行業(yè)網(wǎng)絡(luò)安全觀測報(bào)告》顯示，勒索病毒、數(shù)據(jù)泄露、網(wǎng)站篡改是醫(yī)療行業(yè)網(wǎng)絡(luò)與數(shù)據(jù)安全風(fēng)險(xiǎn)的三個(gè)主要方面。

中國信息通信研究院互聯(lián)網(wǎng)法律研究中心主任方禹表示，金融、醫(yī)療等對個(gè)人權(quán)益影響較大的行業(yè)，個(gè)人信息保護(hù)的緊迫性、嚴(yán)峻性比較突出。部分用戶個(gè)人信息保護(hù)意識(shí)尚未建立形成，疏于維護(hù)自身合法權(quán)益，往往成為多元治理的個(gè)人信息保護(hù)架構(gòu)中的薄弱環(huán)節(jié)。

同時(shí)方禹也強(qiáng)調(diào)，個(gè)人信息保護(hù)工作應(yīng)該是一個(gè)由點(diǎn)及面、循序漸進(jìn)的持續(xù)展開過程，突出重點(diǎn)環(huán)節(jié)、關(guān)鍵領(lǐng)域的治理，并最終形成動(dòng)態(tài)化、常態(tài)化的有效保護(hù)。

個(gè)人信息侵權(quán)的方式具有多樣性

謝鴻飛表示，《個(gè)人信息保護(hù)法》的出臺(tái)有效回應(yīng)了公民個(gè)人信息安全及合法權(quán)益的訴求，為正確引導(dǎo)信息處理和加強(qiáng)信息監(jiān)管提供了堅(jiān)強(qiáng)的法律后盾。目前，最高人民法院及地方各級(jí)人民法院公布的一些典型案例顯示，個(gè)人信息保護(hù)不僅涉及教育、市場監(jiān)管、公安、網(wǎng)信、農(nóng)業(yè)農(nóng)村等行政機(jī)關(guān)的信息監(jiān)管和政府信息公開問題，而且涉及快遞、醫(yī)療機(jī)構(gòu)、校外培訓(xùn)機(jī)構(gòu)等泄露個(gè)人信息、倒賣個(gè)人信息的問題。這些都表明，個(gè)人信息侵權(quán)的方式具有多樣性，個(gè)人信息保護(hù)牽涉的領(lǐng)域具有廣泛性，個(gè)人信息保護(hù)的難度較大尤其在損害認(rèn)定問題上。

北京市京師（深圳）律師事務(wù)所聯(lián)合創(chuàng)始人王巖飛告訴新京智庫，在一些行業(yè)，尤其是互聯(lián)網(wǎng)行業(yè)存在大量違規(guī)使用數(shù)據(jù)和違規(guī)使用個(gè)人信息行為。因?yàn)樵诂F(xiàn)有的商業(yè)模式里面，如果不使用這些數(shù)據(jù)，很多業(yè)務(wù)就有可能做不了。另外，一些金融科技平臺(tái)，通過購買個(gè)人信息去推銷產(chǎn)品，通過群發(fā)短信或者是用呼叫系統(tǒng)給用戶打電話。

就目前發(fā)生的泄露、倒賣個(gè)人信息等侵權(quán)事件，明確信息歸屬的責(zé)任方就顯得尤為重要。在中國人民大學(xué)信息學(xué)院副教授黃科滿看來，依據(jù)最近一段時(shí)間國家出臺(tái)的一些相關(guān)規(guī)定，對互聯(lián)網(wǎng)平臺(tái)做了相應(yīng)的級(jí)別劃分。未來在信息處理上，也會(huì)對數(shù)據(jù)的歸屬進(jìn)行明確，具體來說就是還數(shù)于民。

黃科滿表示，未來的數(shù)據(jù)分級(jí)管理可能會(huì)出現(xiàn)三種模式。一種是平臺(tái)（企業(yè)）自有的數(shù)據(jù)，數(shù)據(jù)依賴于平臺(tái)（企業(yè)）本身在生產(chǎn)經(jīng)營活動(dòng)中所積累的數(shù)據(jù)，比如銷售上的數(shù)據(jù)；第二種就是個(gè)人本身所掌握的數(shù)據(jù)，包括個(gè)人的一些隱私信息；第三種是個(gè)人自己的數(shù)據(jù)沒有能力去管理授權(quán)給國家的或者是第三方機(jī)構(gòu)來維護(hù)的數(shù)據(jù)。

對于這三種模式的數(shù)據(jù)，在黃科滿看來，第三種模式是未來比較理想的數(shù)據(jù)使用模式。個(gè)人數(shù)據(jù)交給專業(yè)機(jī)構(gòu)來托管，這樣就變成了企業(yè)跟公共數(shù)據(jù)平臺(tái)之間的交互。這種模式使得數(shù)據(jù)可以開發(fā)利用，并最大限度地流通起來，而且在這個(gè)過程中個(gè)人的相應(yīng)權(quán)益得到保護(hù)。

對個(gè)人信息數(shù)據(jù)進(jìn)行分類、分級(jí)明確了數(shù)據(jù)保護(hù)和使用的責(zé)任主體，技術(shù)則給個(gè)人信息隱私保護(hù)多增加了一層“保護(hù)外套”。

謝鴻飛向新京智庫介紹，目前關(guān)于個(gè)人信息與隱私保護(hù)的技術(shù)主要有三種方式。一是基于數(shù)據(jù)失真的隱私保護(hù)技術(shù)。它主要采用交換、添加噪聲等技術(shù)對原始數(shù)據(jù)集進(jìn)行處理，使敏感數(shù)據(jù)失真但同時(shí)保持某些關(guān)鍵數(shù)據(jù)或者屬性不變。二是基于加密的隱私保護(hù)技術(shù)。它主要采取安全多方計(jì)算、分布式匿名化、分布式關(guān)聯(lián)規(guī)則挖掘和分布式聚類等各種加密技術(shù)在分布式環(huán)境下隱藏敏感數(shù)據(jù)。三是基于數(shù)據(jù)匿名化的隱私保護(hù)技術(shù)。即根據(jù)具體情況有條件地發(fā)布數(shù)據(jù)，如數(shù)據(jù)泛化。

相關(guān)行業(yè)商業(yè)模式或?qū)⒚媾R改變

《個(gè)人信息保護(hù)法》施行后勢必也會(huì)對一些具體行業(yè)的發(fā)展模式帶來新的改變。11月3日，工信部就通報(bào)了QQ音樂、小紅書、豆瓣等38款A(yù)pp存在超范圍收集用戶個(gè)人信息等違規(guī)行為，并提出限期整改要求。

廣東工業(yè)大學(xué)計(jì)算機(jī)學(xué)院特聘教授劉文印表示，過去的互聯(lián)網(wǎng)發(fā)展是爆發(fā)式的野蠻生長，背后隱藏著很多問題。如近年來，一些企業(yè)和機(jī)構(gòu)利用數(shù)據(jù)侵害人民群眾合法權(quán)益的問題也十分突出。從手機(jī)App過度收集個(gè)人隱私、行為數(shù)據(jù)，到上億用戶個(gè)人信息泄露，隱私問題屢見不鮮。劉文印認(rèn)為，相關(guān)新法律的出臺(tái)，會(huì)對未來整個(gè)行業(yè)的發(fā)展起到有效的指導(dǎo)作用，既是約束，也是保護(hù)。
 

資料圖。圖/unsplash 

謝鴻飛也認(rèn)為，《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》等法律施行后，各行各業(yè)的商業(yè)模式必將隨之更改，野蠻生長將會(huì)受到抑制。例如，根據(jù)《個(gè)人信息保護(hù)法》規(guī)定，個(gè)人信息處理需征得用戶同意，通過自動(dòng)化決策方式向用戶推送信息或商業(yè)營銷，須提供不針對個(gè)人特征的選項(xiàng)或向個(gè)人提供便捷的拒絕方式。若用戶拒絕提供非必需信息則勢必影響個(gè)性化推薦的效率，這樣一來數(shù)字廣告投放的精準(zhǔn)度降低，電商廣告收入或?qū)⑹艿接绊憽?/span>

雖然用戶拒絕提供個(gè)人信息會(huì)使數(shù)字廣告投放精度受到影響，但盤和林認(rèn)為，長期來看，數(shù)字廣告行業(yè)整體依然樂觀，由于在線人數(shù)、在線時(shí)長增加，未來數(shù)字廣告曝光量仍是增長趨勢。只是在數(shù)字廣告投放渠道方面，用戶推送廣告模式將轉(zhuǎn)向?qū)τ脩粜畔⒁蠖雀偷纳缃磺度牒退阉饕媲度氲膹V告模式。

不僅是互聯(lián)網(wǎng)行業(yè)，對于電信、醫(yī)療等個(gè)人信息保護(hù)重點(diǎn)行業(yè)而言，個(gè)人信息處理活動(dòng)也十分頻繁和普遍。方禹表示，《個(gè)人信息保護(hù)法》本身就較大調(diào)整了保護(hù)邏輯和規(guī)則，企業(yè)的商業(yè)模式，甚至是內(nèi)部架構(gòu)，勢必也需要作出較大調(diào)整。一是要規(guī)范個(gè)人信息處理活動(dòng)，按照《個(gè)人信息保護(hù)法》對“處理”所界定的全生命周期，針對每一個(gè)環(huán)節(jié)進(jìn)行合規(guī)校驗(yàn)。二是要個(gè)人對個(gè)人信息處理活動(dòng)中的權(quán)利做業(yè)務(wù)準(zhǔn)備，結(jié)合企業(yè)性質(zhì)、規(guī)模、風(fēng)險(xiǎn)程度以及有關(guān)部門的具體要求，形成符合自身特點(diǎn)和立法要求的權(quán)利保障方案。三是要確定個(gè)人信息安全保障措施?！秱€(gè)人信息保護(hù)法》第51條對個(gè)人信息處理者的義務(wù)進(jìn)行了總括性規(guī)定，企業(yè)需要對照要求確定適合本企業(yè)的相關(guān)措施。

謝鴻飛表示，電商、電信、醫(yī)療等在商業(yè)經(jīng)營過程中應(yīng)當(dāng)注重?cái)?shù)據(jù)合規(guī)計(jì)劃的制訂。例如，《個(gè)人信息保護(hù)法》第24條規(guī)定，個(gè)人信息處理者進(jìn)行自動(dòng)化決策，應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正，不得對個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇。這一規(guī)定對于電商類、住宿類平臺(tái)利用大數(shù)據(jù)“殺熟”起到了嚴(yán)格管控作用，平臺(tái)的個(gè)性化定價(jià)受到限制。

不過，方禹表示，商業(yè)模式的調(diào)整對企業(yè)而言既是挑戰(zhàn)也是機(jī)遇?！秱€(gè)人信息保護(hù)法》既是對過去近十年我國個(gè)人信息保護(hù)工作的經(jīng)驗(yàn)總結(jié)和升華，也對個(gè)人信息保護(hù)的原則和規(guī)則進(jìn)行了制度重構(gòu)。前個(gè)保法時(shí)代，個(gè)人信息保護(hù)以“知情-同意”為核心而展開，是基于隱私保護(hù)的認(rèn)識(shí)基礎(chǔ)上的自然延展。

行業(yè)特性不同決定相關(guān)法律落地還存在一些難點(diǎn)

謝鴻飛指出，《個(gè)人信息保護(hù)法》實(shí)施的難點(diǎn)有兩個(gè)方面，一是個(gè)人信息處理的事前同意規(guī)則，尤其是單獨(dú)同意規(guī)則在具體操作過程中難以落實(shí)。以助貸業(yè)務(wù)為例，助貸機(jī)構(gòu)在向金融機(jī)構(gòu)推介客戶時(shí)，通常需要分享客戶的個(gè)人信息，而根據(jù)《個(gè)人信息保護(hù)法》的規(guī)定，助貸機(jī)構(gòu)需要告知客戶接收方（金融機(jī)構(gòu)）的名稱、聯(lián)系方式、處理目的、處理方式和所涉及的個(gè)人信息種類，在沒有其他合法性基礎(chǔ)的情形下，還需要取得客戶的單獨(dú)同意。二是個(gè)人信息侵權(quán)的事后救濟(jì)存在困難，尤其是損害的認(rèn)定問題。據(jù)學(xué)者統(tǒng)計(jì)，司法實(shí)踐中40%的裁判結(jié)果都不支持個(gè)人信息權(quán)益受害人的請求，一個(gè)重要原因在于其無法證明其所遭受的損害。

就金融機(jī)構(gòu)來說，謝鴻飛告訴新京智庫，金融機(jī)構(gòu)本身并不直接接觸用戶，金融機(jī)構(gòu)通常將授權(quán)協(xié)議前置到助貸環(huán)節(jié)去勾選，那么在助貸環(huán)節(jié)取得用戶單獨(dú)授權(quán)后是否意味著金融機(jī)構(gòu)就可以直接利用用戶個(gè)人信息？對此監(jiān)管方面目前還沒有明確的態(tài)度。除此之外，在金融集團(tuán)、母子公司之間的信息共享也將面臨困難，金融集團(tuán)內(nèi)部的數(shù)據(jù)流通受阻。

方禹則表示，個(gè)人信息保護(hù)在不同領(lǐng)域、不同行業(yè)、不同企業(yè)之間呈現(xiàn)不同特點(diǎn)，同時(shí)隨著時(shí)間推移也不斷發(fā)生變化。相關(guān)法律實(shí)施的難點(diǎn)關(guān)鍵在于如何適應(yīng)個(gè)人信息保護(hù)的動(dòng)態(tài)性。

方禹指出，對監(jiān)管機(jī)構(gòu)而言，需要充分發(fā)揮指導(dǎo)監(jiān)督的作用，不斷根據(jù)實(shí)踐情況作出行政指導(dǎo)。如歐盟數(shù)據(jù)保護(hù)委員會(huì)（EDPB）在《通用數(shù)據(jù)保護(hù)條例》（GDPR）實(shí)施后，持續(xù)發(fā)布指南，來指導(dǎo)具體個(gè)人信息保護(hù)工作。同時(shí)也需要把握執(zhí)法的頻度和廣度，通過有效執(zhí)法形成邊界。網(wǎng)絡(luò)法治建設(shè)的突出特點(diǎn)之一，是執(zhí)法解釋的效果遠(yuǎn)優(yōu)于立法解釋，立法本身需要普適性和概括性，這與互聯(lián)網(wǎng)技術(shù)特別是移動(dòng)互聯(lián)網(wǎng)技術(shù)的裂變性和普及性不相適應(yīng)，法律制度的具體要求高度依賴實(shí)踐情況，需要通過強(qiáng)有力的執(zhí)法機(jī)構(gòu)予以補(bǔ)充。

對于因行業(yè)特性，相關(guān)法律落地執(zhí)法中遇到的難點(diǎn)，中國網(wǎng)絡(luò)空間安全協(xié)會(huì)副理事長、上海交通大學(xué)網(wǎng)絡(luò)空間安全學(xué)院教授李建華也認(rèn)為，相關(guān)法律落地難點(diǎn)還體現(xiàn)在行為主體在違反法律后怎么去處罰的問題，這不僅需要建立一套執(zhí)法體系，可能還涉及跨部門的溝通。這個(gè)過程當(dāng)中還有很多具體需要細(xì)化的可操作、可執(zhí)行措施。

在李建華看來，應(yīng)對數(shù)據(jù)安全事件的響應(yīng)和處置能力建設(shè)也很重要，要解決針對違法行為怎么去處罰，由誰去處罰問題，就需要在人才和執(zhí)法隊(duì)伍上面花大力氣去建設(shè)。

實(shí)施細(xì)則或統(tǒng)一行業(yè)標(biāo)準(zhǔn)亟須出臺(tái)

黃科滿告訴新京智庫，在《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》出臺(tái)以后，很多企業(yè)對相關(guān)法律實(shí)施細(xì)節(jié)的不確定性感到焦慮。據(jù)黃科滿介紹，很多企業(yè)認(rèn)為自己原來的內(nèi)部治理體系是能夠合規(guī)的。雖然具體細(xì)節(jié)上可能還有很多要探討，但是之前至少能夠滿足合規(guī)要求。當(dāng)前，具體行業(yè)實(shí)施細(xì)則還沒出臺(tái)的背景下，企業(yè)不清楚公司內(nèi)部的相關(guān)規(guī)范現(xiàn)在還能不能合規(guī)，所以對很多企業(yè)來說，直接反應(yīng)就是先觀望。

王巖飛也認(rèn)為，《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》和《網(wǎng)絡(luò)安全法》三大法其實(shí)都有相應(yīng)的規(guī)定，但是具體怎么去落地實(shí)施很多企業(yè)搞不清楚，因?yàn)闆]有強(qiáng)制性的某個(gè)標(biāo)準(zhǔn)說是一定要去試用，企業(yè)在執(zhí)行過程中很難去掌控這個(gè)度。

針對當(dāng)下行業(yè)實(shí)施細(xì)則尚未出臺(tái)的背景下，企業(yè)出現(xiàn)觀望的態(tài)度，方禹認(rèn)為，個(gè)人信息保護(hù)配套立法十分重要，需要通過相關(guān)下位法以及標(biāo)準(zhǔn)規(guī)范等不斷厘清個(gè)人信息保護(hù)具體適用問題。從縱向來看，需要通過相應(yīng)的行政法規(guī)、部門規(guī)章以及規(guī)范性文件等對《個(gè)人信息保護(hù)法》作出更為細(xì)致的要求。從橫向來看，金融、醫(yī)療、電商等行業(yè)領(lǐng)域需要結(jié)合本行業(yè)本領(lǐng)域出臺(tái)配套規(guī)則，來清晰適用《個(gè)人信息保護(hù)法》。

此外，方禹也指出，執(zhí)法的持續(xù)性和相對穩(wěn)定性十分關(guān)鍵。正如前述，個(gè)人信息保護(hù)工作在較大程度依賴執(zhí)法解釋來劃定邊界，執(zhí)法活動(dòng)本身也是一個(gè)形成共識(shí)的過程，共識(shí)來源于經(jīng)驗(yàn)，越豐富的經(jīng)驗(yàn)越能形成可靠的共識(shí)。

在謝鴻飛看來，《個(gè)人信息保護(hù)法》只是搭建了個(gè)人信息保護(hù)的基本框架體系，奠定了個(gè)人信息保護(hù)的基礎(chǔ)法地位。其中許多規(guī)則如何理解、如何操作仍須進(jìn)一步明確。不同行業(yè)、不同領(lǐng)域、不同主體在信息收集和處理過程中所負(fù)擔(dān)的義務(wù)各不相同，因此各行各業(yè)都期望監(jiān)管部門根據(jù)行業(yè)特征制定相應(yīng)的實(shí)施細(xì)則或統(tǒng)一的行業(yè)標(biāo)準(zhǔn)，為本行業(yè)提供可資借鑒的信息處理合規(guī)方案。另一方面，各行業(yè)也期待具體法律細(xì)則提供一個(gè)正確的導(dǎo)向，即不要過度強(qiáng)調(diào)個(gè)人信息的保護(hù)，以致信息共享和信息流動(dòng)嚴(yán)重阻滯，制約本行業(yè)的發(fā)展。

方禹強(qiáng)調(diào)，個(gè)人信息保護(hù)是一個(gè)多方學(xué)習(xí)、共同治理的過程，按照一定的節(jié)奏推進(jìn)更符合個(gè)人信息保護(hù)和個(gè)人信息合理利用雙重立法目標(biāo)的要求。據(jù)方禹介紹，從歐盟經(jīng)驗(yàn)來看，循序漸進(jìn)的特點(diǎn)十分明顯。2018年，歐盟GDPR實(shí)施后，設(shè)置了最高2000萬歐元或4%營業(yè)額的罰款數(shù)額。實(shí)踐中，歐盟在處罰力度上較為謹(jǐn)慎，截至2020年底，總體呈緩慢上升趨勢，最高一筆罰款數(shù)額是法國對谷歌進(jìn)行的5000萬歐元處罰，雖然遠(yuǎn)超2000萬歐元上限，但僅占谷歌營業(yè)額的0.04%左右。今年，由于歐盟對愛爾蘭執(zhí)法機(jī)構(gòu)的寬松態(tài)度十分不滿，才促使愛爾蘭作出了兩例較大數(shù)額的處罰。


編輯：薛姣