2021年11月1日，《個人信息保護法》（以下簡稱“個保法”）正式實施，該法的落地一方面從根本上保護了個人信息主體的權益，但同時對個人信息的處理者——互聯網公司、政務服務部門等則提出了很高的保護義務要求，并且提出了由國家監管部門、社會機構等多方共同監督個人信息保護落實情況的監管框架。

　　從個保法中可以看出，國家對個人信息保護的重視程度非常高，互聯網企業、政務服務部門擁有越多的個人信息，其安全責任就越大，在法律正式實施，但配套機制、組織建設尚在進行中的當下，執行落實均存在諸多不確定因素，個人信息的處理者將面臨巨大的合規挑戰。

　　01

　　●挑戰一：法律中的監管要求和落地實施還有一定的距離

　　在個保法中有多層的監管，包括國家監管部門的監管，大型互聯網公司成立的獨立監管機構需要監督互聯網公司個保法的執行，同時國家也鼓勵企業通過第三方和自審對個人信息保護情況進行認證和定期審計，但是這些機制都只是提供了一個監管框架，具體的監管辦法、機構部門、審計內容都還需要進一步落實和完善。這就對信息處理者的合規造成了困難，我們到底需要向誰提供監管報告，我們如何成立獨立機構進行監督，我們需要審計什么內容才能證明合規，這一系列問題目前都還沒有答案。因此法律中的監管要求還在摸索階段，離實際落地還需要一段實踐時間。

　　02

　　●挑戰二：個人信息主體權益的保護要求和驗證方式還需完善

　　個保法強調個人信息的處理者需要為個人信息主體行使權利提供便利的渠道并切實執行主體的要求，在法律中個人擁有的這些權利很明確，但是企業如何兌現才符合法律要求，是否真的兌現了，這些都缺乏驗證機制。比如用戶在行使刪除權的時候，互聯網服務提供商需要用戶提供身份證證件來驗證身份，互聯網服務商試圖通過這種方式來提升用戶刪除信息的成本，達到降低用戶刪除信息的目的，那么這種驗證身份的方式是否合理，所提供的是否還屬于便捷的服務就需要商榷了；用戶申請撤回同意使用位置信息，那么企業需要不采集用戶的位置信息，同時刪除之前采集的位置信息，前者較為容易得到驗證，但是企況、驗證機制還有待探索。

　　03

　　●挑戰三：大型互聯網企業保護責任的落實還需進一步明確

　　在個保法中針對大型互聯網企業提出了更高的要求，但是如何判斷一個企業是大型互聯網企業還不明確，是擁有超過100萬的注冊用戶的互聯網企業還是涉及物流、金融等民生行業，或者是擁有跨5種行業以上業務服務的互聯網企業，這些都還需要進一步厘定。同時提交的定期審計報告需要提交給哪個部門或者哪個機構，定期的審計報告內容是什么，需要發布的社會責任報告中應該包括什么內容均暫不明朗。因此大型互聯網企業的義務還有待進一步明確。

　　04

　　●挑戰四：個人信息的出境機制還未完全建成

　　在最新的《數據出境評估指南（征求意見稿）》中，明確了擁有超過100萬個人信息的企業和累計10萬條以上個人信息或1萬條以上敏感個人信息出境需要進行安全評估，但是現在個人信息出境評估指南還處于征求意見稿的階段，出境評估的機構、評估的具體細則還沒完全擬定，因此出境評估這件事明確要做，但是如何執行還需要探索。

　　面臨個保法正式實施但又存在諸多挑戰的當下，個人信息的處理者，尤其是互聯網企業應該如何應對這些挑戰？我們在此提出以下四點建議：

　　※衛士通數據安全治理理念

　　1、整體籌劃

　　● 個保法的落地需要企業從整體去思考。企業需要從意識培訓、管理制度、合同條約、人員管理、技術工具等多個方面全面、體系化地籌劃，而不是單一的以購買產品、疊加技術的方式去填補漏洞。

　　2、因業施策

　　● 企業需要根據自身的真實情況分行業、分場景地明確合規要求，考慮合規途徑。當前行業合規的要求不一，同時有些行業還存在一定空白，在這些空白行業，企業可以根據實際情況來形成合規思路，以自身的實踐來促進行業規范的形成，實現個人信息保護自底向上合規制度的完善。例如在醫療行業個人信息涉及大量病例影像等文件數據，而除了簡單的統計分析外，目前還存在基于人工智能輔助進行病灶的圈定等場景，那么這個行業的這個場景可以通過限定數據的提取方式、數據的流轉控制、隱私計算等技術來滿足個人信息保護的要求。這些業務場景的分析和合規方案設計可以更高效的促進行業個人信息保護規范的形成，這也讓企業明確了行業的合規要求，減少不確定性帶來的風險。

　　3、密碼筑基

　　● 企業可以選擇密碼技術為核心技術來保護個人信息，盡可能的利用密碼技術作為保護手段。個人信息保護的重要目標是防止個人信息的濫用和泄露，密碼技術作為一種可得到形式化驗證的安全技術，可以通過增加基于證書的認證方式、傳輸加密、存儲加密等多種密碼技術的融合，最大程度保證個人信息的安全。

　　4、多方共治

　　● 一種多方共治的個人信息保護機制是有利于建立個人和企業之間的信任關系的。企業可以考慮聯合第三方監管機構、第三方密鑰服務機構和用戶，從監管、審計、評估、保護各方面建立一個多方共治的個人信息保護機制。企業主動邀請第三方機構定期發布監管報告、安全報告供用戶查看，應用發布前、應用運營過程中邀請第三方機構進行安全評估安全認證，加強用戶對企業的信任度；企業定期發布審計報告供用戶查看，增強企業對用戶的透明度；企業將敏感個人信息的控制權通過第三方密鑰管理的方式移交給用戶，增強個人對其敏感信息的控制權。通過建立多方共治的機制，達到各方互相監督、約束的效果，來提升用戶對企業的信任度。