什么是企业性质和规模,恒大集团企业性质及规模

资料图。图/unsplash

资料图。图/unsplash

谢鸿飞也认为，《个人信息保护法》《数据安全法》等法律施行后，各行各业的商业模式必将随之更改，野蛮生长将会受到抑制。例如，根据《个人信息保护法》规定，个人信息处理需征得用户同意，通过自动化决策方式向用户推送信息或商业营销，须提供不针对个人特征的选项或向个人提供便捷的拒绝方式。若用户拒绝提供非必需信息则势必影响个性化推荐的效率，这样一来数字广告投放的精准度降低，电商广告收入或将受到影响。

虽然用户拒绝提供个人信息会使数字广告投放精度受到影响，但盘和林认为，长期来看，数字广告行业整体依然乐观，由于在线人数、在线时长增加，未来数字广告曝光量仍是增长趋势。只是在数字广告投放渠道方面，用户推送广告模式将转向对用户信息要求性质度更低的社交嵌入和搜索引擎嵌入的广告模式。

不仅是互联网行业，对于电信、医疗等个人信息保护重点行业而言，个人信息处理活动也十分频繁和普遍。方禹表示，《个人信息保护法》本身就较大调整了保护逻辑和规则，企业的商业模式，甚至是内部架构，势必也需要作出较大调整。一是要规范个人信息处理活动，按照《个人信息保护法》对“处理”所界定的全生命周期，针对每一个环节进行合规校验。二是要个人对个人信息处理活动中的权利做业务准备，结合企业性质、规模、风险程度以及有关部门的具体要求，形成符合自身特点和立法要求的权利保障方案。三是要确定个人信息安全保障措施。《个人信息保护法》第51条对个人信息处理者的义务进行了总括性规定，企业需要对照要求确定适合本企业的相关措施。

谢鸿飞表示，电商、电信、医疗等在商业经营过程中应当注重数据合规计划的制订。例如，《个人信息保护法》第24条规定，个人信息处理者进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。这一规定对于电商类、住宿类平台利用大数据“杀熟”起到了严格管控作用，平台的个性化定价受到限制。

不过，方禹表示，商业模式的调整对企业而言既是挑战也是机遇。《个人信息保护法》既是对过去近十年我国及个人信息保护工作的经验总结和升华，也对个人信企业息保护的原则和规则进行了制度重构。前个保法时代，个人信息保护以“知情-同意”为核心而展开，是基于隐私保护的认识基础上的自然延展。

行业特性不同决定相关法律落地还存在一些难点

谢鸿飞指出，《个人信息保护法》实施的难点有两个方面，一是个人信息处理的事前同意规则，尤其是单独同意规则在具体操作过程中难以落实。以助贷业务为例，助贷机构在向金融机构推介客户时，通常需要分享客户的个人信息，而根据《个人信息保护法》的规定，助贷机构需要告知客户接收方（金融机构）的名称、联系方式、处理目的、处理方式和所涉及的个人信息种类，在没有其他合法性基础的情形下，还需要取得客户的单独同意。二是个人信息侵权的事后救济存在困难，尤其是损害的认定问题。据学者统计，司法实践中40%的裁判结果都不支持个人信息权益受害人的请求，一个重要原因在于其无法证明其所遭受的损害。

就金融机构来说，谢鸿飞告诉新京智库，金融机构本身并不直接接触用户，金融机构通常将授权协议前置到助贷环节去勾选，那么在助贷环节取得用户单独授权后是否意味着金融机构就可以直接利用用户个人信息？对此监管方面目前还没有明确的态度。除此之外，在金融集团、母子公司之间的信息共享也将面临困难，金融集团内部的数据流通受阻。

方禹则表示，个人信息保护在不同领域、不同行业、不同企业之间呈现不同特点，同时随着时间推移也不断发生变化。相关法律实施的难点关键在于如何适应个人信息保护的动态性。

方禹指出，对监管机构而言，需要充分发挥指导监督的作用，不断根据实践情况作出行政指导。如欧盟数据保护委员会（EDPB）在《通用数据保护条例》（GDPR）实施后，持续发布指南，来指导具体个人信息保护工作。同时也需要把握执法的频度和广度，通过有效执法形成边界。网络法治建设的突出特点之一，是执法解释的效果远优于立法解释，立法本身需要普适性和概括性，这与互联网技术特别是移动互联网技术的裂变性和普及性不相适应，法律制度的具体要求高度依赖实践情况，需要通过强有力的执法机构予以补充。

对于因行业特性，相关法律落地执法中遇到的难点，中国网络空间安全协会副理事长、上海交通大学网络空间安全学院教授李建华也认为，相关法律落地难点还体现在行为主体在违反法律后怎么去处罚的问题，这不仅需要建立一套执法体系，可能还涉及跨部门的沟通。这个过程当中还有很多具体需要细化的可操作、可执行措施。

在李建华看来，应对数据安全事件的响应和处置能力建设也很重要，要解决针对违法行为怎么去处罚，由谁去处罚问题，就需要在人才和执法队伍上面花大力气去建设。

实施细则或统一行业标准亟须出台

黄科满告诉新京智库，在《数据安全法》和《个人信息保护法》出台以后，很多企业对相关法律实施细节的不确定性感到焦虑。据黄科满介绍，很多企业认为自己原来的内部治理体系是能够合规的。虽规模然具体细节上可能还有很多要探讨，但是之前至少能够满足合规要求。当前，具体行业实施细则还没出台的背景下，企业不清楚公司内部的相关规范现在还能不能合规，所以对很多企业来说，直接反应就是先观望。

王岩飞也认为，《数据安全法》、《个恒大人信息保护法》和《网络安全法》三大法其实都有相应的规定，但是具体怎么去落地实施很多企业搞不清楚，因为没有强制性的某个标准说是一定要去试用，企业在执行过程中很难去掌控这个度。

针对当下行业实施细则尚未出台的背景下，企业出现观望的态度，方禹认为，个人信息保护配套立法十分重要，需要通过相关下位法以及标准规范等不断厘清个人信息保护具体适用问题。从纵向来看，需要通过相应的行政法规、部门规章以及规范性文件等对《个人信息保护法》作出更为细致的要求。从横向来看，金融、医疗、电商等行业领域需要结合本行业本领域出台配套规则，来清晰适用《个人信息保护法》。

此外，方禹也指出，执法的持续性和相对稳定性十分关键。正如前述，个人信息保护工作在较大程度依赖执法解释集团来划定边界，执法活动本身也是一个形成共识的过程，共识来源于经验，越丰富的经验越能形是成可靠的共识。

在谢鸿飞看来，《个人信息保护法》只是搭建了个人信息保护的基本框架体系，奠定了个人信息保护的基础法地位。其中许多规则如何理解、如何操作仍须进一步明确。不同行业、不同领域、不同主体在信息收集和处理过程中所负担的义务各不相同，因此各行各业都期望监管部门根据行业特征制定相应的实施细则或统一的行业标准，为本行业提供可资借鉴的信息处理合规方案。另一方面，各行业也期待具体法律细则提供一个正确的导向，即不要过度强调个人信息的保护，以致信息共享和信息流动严重阻滞，制约本行业的发展。

方禹强调，个人信息保护是什么一个多方学习、共同治理的过程，按照一定的节奏推进更符合个人信息保护和个人信息合理利用双重立法目标的要求。据方禹介绍，从欧盟经验来看，循序和渐进的特点十分明显。2018年，欧盟GDPR实施后，设置了最高2000万欧元或4%营业额的罚款数额。实践中，欧盟在处罚力度上较为谨慎，截至2020年底，总体呈缓慢上升趋势，最高一笔罚款数额是法国对谷歌进行的5000万欧元处罚，虽然远超2000万欧元上限，但仅占谷歌营业额的0.04%左右。今年，由于欧盟对爱尔兰执法机构的宽松态度十分不满，才促使爱尔兰作出了两例较大数额的处罚。

校对 | 杨许丽