11月18日，国家市场监督管理总局、国家互联网信息办公室联合发布《关于实施个人信息保护认证的公告》《个人信息保护认证实施规则》，进一步贯彻落实《中华人民共和国个人信息保护法》，实施个人信息保护认证，鼓励个人信息处理者通过认证方式提升个人信息的保护能力，织密个人信息保护法网。 　　 　　自2012年全国人大常委会通过《关于加强网络信息保护的决定》以来，随着数字技术和数字经济快速发展，我国个人信息保护相关法律法规陆续出台，2021年11月1日起《中华人民共和国个人信息保护法》施行，今年12月1日起《中华人民共和国反电信网络诈骗法》施行，个人信息保护法律制度日益完善。 　　 　　个人信息保护具有多元价值和目的 　　 　　作为我国首部个人信息保护的专门性法律，个人信息保护法施行一年来，在规范打击侵犯个人信息违规违法犯罪行为、保护个人信息权益等方面发挥了重要作用。党的二十大报告提出，加强个人信息保护。 　　 　　近年来，随着网络信息产业的不断发展，数字经济已经渗透到人们日常生活的方方面面，个人信息保护已不仅仅是针对个体私权的保护和数字经济的发展，还与国家安全、经济安全、产业安全密切相关。 　　 　　对此，中国政法大学法治政府研究院院长赵鹏在中国社科院法学研究所主办的“个人信息保护法实施一周年实践与展望高峰论坛”上表示，当下，互联网已经成为人们社会生活的重要部分，人们的大量活动是以数据处理为基础展开的，个人信息的处理已构成数字经济发展的基础，对社会活动产生广泛影响，因此，必须要建立公共管制架构。 　　 　　实际上，个人信息保护关乎国家安全、公共安全已形成共识，在相关的配套制度中也有所体现。今年9月1日起施行的《数据出境安全评估办法》第四条将“处理100万人以上个人信息的数据处理者向境外提供个人信息”“自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息”等情形，列入应当申报数据出境安全评估的范围，进一步规范数据出境活动，保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全、自由流动。 　　 　　个人信息保护法规定了个人信息处理的规范要求以及个人信息处理者的责任义务，实施之初，被有的人视为平台合规经营成本增加的“紧箍咒”，但如今许多平台企业正在积极拥抱监管。比如，在反电信网络诈骗法实施大背景下，国内头部互联网平台不断通过技术更迭拦截、打击网络黑灰产业和诈骗。 　　 　　百度集团资深副总裁、百度数据管理委员会主席梁志祥表示，个人信息保护对互联网企业至关重要。目前，在企业内部，百度设立“数据管理委员会”，监管个人信息使用情况；在企业外部，成立“度察察自律委员会”，收集网民建议，及时改进产品。同时，不断加强企业内部培训，整体提升企业员工个人信息保护意识。“做好个人信息保护，不仅不制约企业发展，还助力企业提升综合竞争力。”梁志祥说。 　　 　　保护与利用并重 　　 　　《个人信息保护法》第一条开宗明义提出立法目的，即“为了保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用，根据宪法，制定本法”，既强调“保护”，又强调“利用”。 　　 　　党的二十大报告提出：“加快发展数字经济，促进数字经济和实体经济深度融合，打造具有国际竞争力的数字产业集群。”《国务院关于数字经济发展情况的报告》提出，加快出台数据要素基础制度及配套政策，推进公共数据、企业数据、个人数据分类分级确权授权使用，构建数据产权、流通交易、收益分配、安全治理制度规则，统筹推进全国数据要素市场体系。建立健全数据安全治理体系，完善数据分类分级保护制度，规范数据全生命周期管理，加强数据跨境流动安全管理，推动数据安全产业发展，加强个人信息保护，提升数据安全保障水平，提升防诈反诈技防水平，完善长效治理机制。 　　 　　数字经济发展需要数据要素流通，如何平衡个人信息保护与利用的关系？实践中，平台企业面临诸多难题，比如个人信息保护法规定的个人信息定义明确“不包括匿名化处理后的信息”，但匿名化信息的内涵外延并不明确。 　　 　　抖音集团数据及隐私法务总监刘笑岑表示，目前，立法对“匿名化信息”定义的范围尚不明确，这不利于数据要素真正流通到市场中发挥资源配置作用。建议从引入隐私计算技术合规价值角度，探索“相对匿名化”或“阶段匿名化”。 　　 　　蚂蚁集团隐私保护研究中心主任李海英也表示，为了平衡个人信息保护和数据要素的利用，对于“匿名化信息”的相关规定，需要出台更加具体的指引。 　　 　　此外，个人信息保护法确立的“同意”规则条款也需要司法解释进一步完善，比如对第三方共享情况、处理敏感个人信息、个人信息跨境传输等情形下要获得用户“单独同意”，但实践中对于“单独同意”在什么情形下以何种形式适用，目前还存在争议。 　　 　　大中小企业面临不同合规生态 　　 　　《个人信息保护法》第五十八条被视为“守门人条款”，要求提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，积极承担社会责任，履行“守门人”责任。 　　 　　李海英表示，个人信息保护法的实施是对企业个人信息保护合规工作的重要检验，蚂蚁集团把隐私保护根植于产品整个开发应用的流程当中，通过事前个人信息保护影响评估、事中风险监测、事后监督团队和审计团队，保障产品的个人信息保护合规性，把隐私保护作为改善用户体验的重要环节。 　　 　　刘笑岑表示，个人信息保护法生效前后，抖音在数据合规体系化和制度化建设以及具体落地方面做了大量工作。以个人信息权益保障为例，用户可以在App内查询平台动态收集他的个人信息情况，包括具体字段、收集场景、使用目的等，用户还可以通过平台内的个人信息管理、隐私设置等功能对各项个人信息进行管理，这保障了用户知情权、决定权。 　　 　　针对“守门人”企业社会责任履行情况，中国社会科学院法学研究所与南方财经集团共同研发“守门人”社会责任指标体系，并围绕18家平台企业具有代表性的手机应用进行测评。测评结果显示，大型平台的个人信息保护不断完善，隐私政策文本规范性明显提升，专门个人信息合规部门普遍设立，个性化推荐关闭的便捷选项基本落实，但仍存在独立监督机构设置不完善、个人信息分类管理不到位、储存期限设置不明确等问题，需进一步改善。 　　 　　值得注意的是，相较于资金雄厚、技术强大的头部企业，中小企业缺乏资金和技术支持，在平衡个人信息保护和企业自身发展的过程中动力不足。《国务院关于数字经济发展情况的报告》也提出，传统产业数字化发展相对较慢。农业、工业等传统产业数字化还需深化，部分企业数字化转型存在“不愿”“不敢”“不会”的困境，中小企业数字化转型相对滞后。 　　 　　对此，环球律师事务所合伙人孟洁表示，中小企业可以借鉴头部企业在个人信息保护领域的优秀实践案例，通过对头部企业各类成果的学习借鉴，完成自我提升。对于中小企业的合规要求，应遵循“木桶原理”和比例原则，按照企业发展规模和现实能力对其合规实践进行评价。 　　 　　中国电子技术标准化研究院网安中心测评实验室副主任何延哲也表示，对于中小企业个人信息的保护，应减免部分事项，减小中小企业的合规压力，并给予有力的协助和引导，促进整个行业个人信息保护能力提升。   　　作者：□本社记者 任文岱 见习记者 张若楠 　　伊志律师事务所位于北京市朝阳区朝外大街乙6号朝外SOHO-C座1209，优越的地理位置，便利的交通条件，安静、专业的办公环境为需求提供方便。 电话：010-84493343 微信：18401228075 电话：18401228075