德勤中國副主席蔣穎：需建立針對個人信息保護的組織

過去一年，個人信息保護領域熱鬧非凡。從歐盟《一般數據保護條例》(GDPR)生效，到多國陸續出臺個人信息保護的相關立法，再到用戶個人信息泄露事件的頻發，政府和公眾對個人信息保護的關注度在全球范圍內持續升溫。差異巨大的各國法律法規，在合規方面給企業全球化制造了不少障礙;如何平衡個人信息保護和用戶數據的收集、使用，也讓企業面臨挑戰。

全國政協委員、德勤中國副主席蔣穎敏銳地觀察到了這個趨勢，并據此提出了《關于推進國際間個人信息保護規則充分認可的提案》。在接受南都記者專訪時，她提出，中國需要建立一個針對個人信息保護的組織，來統一和協同國內外的法律法規。她透露，德勤將在今年發布一份亞太區隱私保護趨勢的調研報告，中國過去兩年內在個人信息保護方面的進展也將被納入其中。

趨勢

網絡安全和信息保護

是一道“必答題”

南都：過去一年，德勤發布的網絡趨勢、人工智能、移動消費等多領域的調查報告里，都無一例外提到了隱私保護。這代表了什么趨勢?

蔣穎：的確，現在我們任何的報告，不管是工業4.0、5G發展也好，新經濟、新零售也好，還是智能化轉型也好，都會提到網絡安全和信息保護的內容。我覺得，這是一道“必答題”。

現在個人的信息保護意識在不斷增強，但企業的動作還沒有跟上，因為個人信息保護不僅是個復雜的問題，還會增加企業的運營成本。但我們2017年調研亞太地區的時候，一些國家的消費者表示，愿意犧牲一些便利來換取個人信息的安全性。

我覺得這個觀察蠻有意思的，可能可以幫助企業在設計產品時找到一個平衡，而不單單只是從便利的角度出發。所以，我希望個人信息保護能成為企業核心競爭力的一部分、企業文化的一部分，以及企業自律的一部分。

南都：你今年提出了《關于推進國際間個人信息保護規則充分認可的提案》。請簡單介紹一下?

蔣穎：在國際層面，歐盟、美國、日本等國家和地區都出臺了個人信息保護相關的法律法規;在國內，網絡安全法實施以后，個人信息保護法和數據安全法也被列入了本屆全國人大常委會的立法規劃，這方面的標準也在不斷制定當中，所以關注度一直很高。

對于進入中國的企業來講，中國很多個人信息保護相關的規定都散落在各種法律法規當中，內容也停留在相對原則性的層面，有些標準還只是建議性、而不是強制性的。所以，如何真正地規范和保護“走進來”的企業，還是有些挑戰。

更重要的是“走出去”的中國企業。GDPR的規定是非常廣泛和嚴格的，跟國內的法規差別也很大，像“被遺忘權”這樣的概念，在中國還沒有被清晰地提出來。即使技術上能做到合規，也需要付出極高的成本，而違規成本同樣很高。在目前數據跨境流動幾乎不可避免的情況下，企業全球化會面臨很大挑戰。

南都：怎樣才能從政府層面有效地降低企業合規成本?

蔣穎：一個中國企業想做合規，需要一套完整的企業內控系統和管理制度去順應國內外的法律法規，我覺得是挺難的。

所以我建議中國建立一個針對個人信息保護的組織，不管是委員會還是其他形式，要能夠統一和協同現在法律法規當中關于個人信息保護的很多規則，既對企業合規更有針對性，也更便于監管。

同時，還可以利用這個組織跟國外機構加強互動，參與到國際規則的制定過程當中，讓我們的法律法規跟國外已經建立起來的法律法規實現互認，在立法過程中適當地借鑒參考，提升包容性，使跨境數據可以在一個相對無間、無阻的安全區域里面傳輸。這樣既減少了企業的合規成本，又增加了國際競爭力。

現狀

有些企業不重視

“數據不是你的”這個概念

南都：據你觀察，目前中國企業的個人信息保護合規狀況怎么樣?

蔣穎：現在越來越多的App會彈出用戶協議和隱私政策，說明企業對個人信息保護越來越重視，不過一定程度上企業的負擔也會越來越重。因為企業為了給用戶提供更多便利，必然會收集更多數據，一方面要保護、不能侵犯，另一方面又要使用、讓數據產生價值。這里面存在著無限的機會和挑戰。

企業要實現可持續發展，又要適應愈發嚴格的監管，就必須主動合規，提升自律意識。如果企業能把個人信息保護當成核心競爭力之一，刻在公司文化的DNA里面，就肯定會花時間花精力在這上面，再加上外力的倒逼，對我們大眾來說，絕對是件好事。

南都：為了適應公眾不斷提升的個人信息保護意識，企業需要改善哪些方面?

蔣穎：我覺得大中型企業要長久經營下去，一般來說都會主動合規;更需要關注的是那些小企業，只有用嚴懲去倒逼，才可能有動力合規。但現實情況往往是，碰到信息泄露或者個人隱私被侵犯的問題，個人沒有足夠的毅力和精力去起訴這些小企業，形成個人的自我保護意識在提升，但常常覺得無能為力的尷尬局面。

我倒不認為它們是技術上落后，主要還是整個的管理機制和流程設計沒有做到位。像“數據不是你的”這個概念，有些企業可能未必很重視。

我有一個朋友，非常注重保護自己的個人信息，會根據目的使用專門的電話卡和銀行卡，出門得帶三臺手機。要不要像他一樣用這種方式保護自己的個人信息，我覺得是每個人的判斷，但企業絕對不能放任不管。

合規

把合規放在盈利之后

企業將付出更大代價

南都：個人信息保護意識的提升這一點在咨詢業務中有所體現嗎?

蔣穎：有。現在很多企業，特別是傳統企業，都在做數字化轉型，那就勢必要對數據加以利用。我們這幾年力推的解決方案里，都會把網絡安全和信息保護考慮進來，希望盡早讓企業適應這樣的常態化運作。

雖然客戶不一定剛開始就愿意花大成本買下全套方案，但他必須要對如何保護收集到的信息、尤其是用戶個人信息的安全有所了解，而不僅僅拘泥于把線下的東西變成線上。現在企業常常把合規的重要性放在盈利之后，其實這樣可能反而要付出更大的代價。作為運營中不可或缺的一部分，合規成本是不能省的。

南都：在合規GDPR等國外法律法規上，企業最需要幫助的地方有哪些?

蔣穎：企業需要的幫助大致分為兩種情況：第一種是很多企業在“撞南墻”之前不愿意花費成本去做合規，結果出事了，這時就要幫它“修補”;第二種是幫企業進行診斷評估，然后彌補差距，這個差距可能存在于企業內部的管理制度，也可能存在于系統或技術上，比如實現GDPR里的“被遺忘權”，就需要復雜的算法支撐。

舉個例子，現在中國互聯網企業的盈利模式之一是精準推送，通過分析用戶的行為、地理位置和個人資料向其推送個性化內容，這里面往往有不正當使用用戶個人信息的情況發生。有沒有可能通過一個復雜的建模，對個人信息去標識化、匿名化之后，依然可以達到企業精準推送的需要?

總的來說，我們的最終目的還是讓企業做它該做的事情，不能永遠依賴外部幫助。所以有一項工作我們一直在做，就是希望引導企業建立一個完善的管理體系，能夠起到風險控制的作用。

南都：各個國家的法律法規都具有一定差異性，企業怎樣才能遵守國家間差異巨大的隱私保護要求?

蔣穎：其實我們接到過很多這類項目。前段時間有一個中國的企業，它在20多個國家有業務，必然涉及到數據跨境傳輸。所以我們搭建的團隊基本上就是一個“聯合國”，雖然方法論相似，但是評估的內容每個地方都不一樣，建議也因地制宜。

但從整體上看，考慮到合規成本，最終還是要回歸到怎么能夠求同存異地讓企業找到最優的、最有效率的合規狀態。當然，最理想的情況還是建立一套能夠適應最高標準的內控體系，但企業肯定是從最緊急、最大規模的地方開始，然后慢慢地、分步地去調試和執行，才能最終達到理想狀態。

采寫：南方報業全媒體記者、南方都市報記者 蔣琳

攝影：南方報業全媒體記者、南方都市報記者 衛迎

【全國人大代表張近東：要加快數據安全立法】

張近東。 受訪者供圖

今年是全國人大代表、蘇寧控股集團董事長張近東第十七次迎來“兩會時間”，已經提交過70多份提案(張近東2003-2017年為全國政協委員)和建議的張近東在今年帶來了關于數據安全、綠色物流及促進消費等多個方面的建議。他向南都記者表示：“人大代表是政府和百姓之間的橋梁和紐帶，我要把社會上反映強烈的問題帶到兩會上，讓政府和相關職能部門聽到更多來自基層的聲音，并推動社會的改革和進步。”

在3月4日的十三屆全國人大二次會議新聞發布會上，大會發言人張業遂透露已將制定《個人信息保護法》列入本屆立法規劃，相關部門正在抓緊研究和起草，爭取能夠早日出臺。隨著網絡信息技術和數字經濟的快速發展，個人信息安全、數據安全等問題在近年來成為了社會的關注焦點。

張近東認為，目前許多企業數據保護意識不足，相關立法滯后，信息泄露、信息孤島、數據壁壘等現象極大地制約了數字經濟的發展。

鑒于此，張近東建議從法規制定、政府引導、資金扶持、大眾支持、國際合作等方面，強化數據安全保護，發展高質量數字經濟，并提出了以下五點建議：

一是建議由國家相關部委牽頭，聯合互聯網技術供應商和互聯網服務企業，加快制定數據安全法律法規、安全保護配套標準，構建防護技術體系，從信息的收集、存儲、處理、傳輸、共享、刪除等全生命周期管理的角度制定完善的法律體系，確保數據安全。

二是通過政府引導實現全社會數據的開放共享，通過立法保護企業的數據挖掘分析成果，引導企業開放對數據的探索結果，實現信息共享的市場化。有資質和有業務需求的企業可以共享基礎信息或降低公共基礎信息的獲取成本。建立在政府監管下的地方政府大數據局，將政府數據和相關公共數據通過大數據局進行統一管理和統一開放。

三是建議政府開放數據的重點放在打開局域數據壁壘、降低獲取自有數據的成本、擴大數據再開發利用等重點方向，通過引導社會資本對數據進行增值開發，形成大數據應用平臺造福大眾創業;同時設定激勵機制，引導數據共享服務與公眾需求;探索建立信息社會化開放共享績效評價制度，鼓勵創業企業運用和開發數據產品。

四是建議政府抓住重點領域、關鍵環節和核心問題，加大財政資金的引導和支持力度。建議設立數據核心技術研發創新的財政專項資金，為數據挖掘、采集、分析、可視化和非結構化處理等的研發與應用提供資金扶持，實現數據產業長足發展，構建具有自主知識產權的大數據產業鏈，優化信息消費環境。

五是建議由我國政府主導，“一帶一路”沿線國家參與，組建跨境數據安全合作組織，制定跨境數據安全流通指南，為各國跨境數據的流通提供有效溝通交流機制，避免因為國別法律不同而造成不必要的法律風險;同時引導跨境數據進行安全高效的流通，促進國際社會數字經濟良性發展。

采寫：南方報業全媒體記者、南方都市報記者 徐冰倩

相關閱讀：

《個人信息保護法》立法進程回顧

隨著社會信息化進程的深入，個人信息成為整個網絡空間中最為重要的數據類型，不僅關涉到公民的私權利保護，也關系到公私領域對于個人信息的利用。面對個人信息保護這一共性問題，雖然已經有相關法律法規有所涉及，但單獨的行業監管難以實現相應的頂層設計，在個人信息保護問題上，仍然需要統一立法實現頂層設計。

2018年9月，十三屆全國人大常委會立法規劃公布。立法規劃中包括69件“條件比較成熟、任期內擬提請審議”的法律草案，個人信息保護法也在此列。這意味著，個人信息保護法有望在本屆人大常委會任期內，也就是五年內提請審議。

目前，消費者權益保護法、網絡安全法、民法總則、刑法等諸多法律法規中，都有關于個人信息保護的條款。然而，法律條款過于分散、缺乏統一操作標準。

值得注意的是，在打擊侵犯個人信息犯罪的法律適用上，我國存在著刑法在先、民法及行政法在后的問題，導致刑法“排擠”了其他法律手段，消費者受到侵害后難以得到實質性賠償。

最高人民法院研究室刑事處副處長喻海松此前曾在公開演講中表示，一般的行為應先讓行政法、民法進行規制，只有解決不了的時候，刑法作為最后的保護法再進行處罰，這應是社會最理想的狀況。他特別強調，個人信息保護問題已超出刑法所能解決的范疇，是專門的公民個人信息保護法要解決的問題。

據悉，目前已經有中國社會科學院法學研究所研究員、中國法學會網絡和信息法學研究會常務副會長周漢華，中國人民大學法學院教授張新寶和重慶大學網絡與大數據戰略研究院院長齊愛民提出了個人信息保護法的專家建議稿。

全國人大層面，十三屆全國人大二次會議大會發言人張業遂在昨日的新聞發布會上透露，全國人大常委會已將制定個人信息保護法列入本屆立法規劃，相關部門正在抓緊研究和起草，爭取早日出臺。

《個人信息保護法》還未出臺 目前哪些法律在保護你的個人信息？

《中華人民共和國網絡安全法》：

第四十一條　網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意。

網絡運營者不得收集與其提供的服務無關的個人信息，不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息，并應當依照法律、行政法規的規定和與用戶的約定，處理其保存的個人信息。

第四十二條　網絡運營者不得泄露、篡改、毀損其收集的個人信息;未經被收集者同意，不得向他人提供個人信息。但是，經過處理無法識別特定個人且不能復原的除外。

網絡運營者應當采取技術措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失。在發生或者可能發生個人信息泄露、毀損、丟失的情況時，應當立即采取補救措施，按照規定及時告知用戶并向有關主管部門報告。

第四十三條　個人發現網絡運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的，有權要求網絡運營者刪除其個人信息;發現網絡運營者收集、存儲的其個人信息有錯誤的，有權要求網絡運營者予以更正。網絡運營者應當采取措施予以刪除或者更正。

第四十四條　任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息。

第四十五條　依法負有網絡安全監督管理職責的部門及其工作人員，必須對在履行職責中知悉的個人信息、隱私和商業秘密嚴格保密，不得泄露、出售或者非法向他人提供。

《中華人民共和國電子商務法》：

第二十五條　有關主管部門依照法律、行政法規的規定要求電子商務經營者提供有關電子商務數據信息的，電子商務經營者應當提供。有關主管部門應當采取必要措施保護電子商務經營者提供的數據信息的安全，并對其中的個人信息、隱私和商業秘密嚴格保密，不得泄露、出售或者非法向他人提供。

第八十七條　依法負有電子商務監督管理職責的部門的工作人員，玩忽職守、濫用職權、徇私舞弊，或者泄露、出售或者非法向他人提供在履行職責中所知悉的個人信息、隱私和商業秘密的，依法追究法律責任。

《中華人民共和國刑法》：

第二百五十三條之一【侵犯公民個人信息罪】違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金;情節特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。

違反國家有關規定，將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人的，依照前款的規定從重處罰。

竊取或者以其他方法非法獲取公民個人信息的，依照第一款的規定處罰。

《中華人民共和國民法總則》：

第一百一十條　自然人享有生命權、身體權、健康權、姓名權、肖像權、名譽權、榮譽權、隱私權、婚姻自主權等權利。

法人、非法人組織享有名稱權、名譽權、榮譽權等權利。

第一百一十一條　自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。

《中華人民共和國消費者權益保護法》：

第十四條　消費者在購買、使用商品和接受服務時，享有人格尊嚴、民族風俗習慣得到尊重的權利，享有個人信息依法得到保護的權利。

第二十九條

經營者收集、使用消費者個人信息，應當遵循合法、正當、必要的原則，明示收集、使用信息的目的、方式和范圍，并經消費者同意。

經營者收集、使用消費者個人信息，應當公開其收集、使用規則，不得違反法律、法規的規定和雙方的約定收集、使用信息。

經營者及其工作人員對收集的消費者個人信息必須嚴格保密，不得泄露、出售或者非法向他人提供。

經營者應當采取技術措施和其他必要措施，確保信息安全，防止消費者個人信息泄露、丟失。在發生或者可能發生信息泄露、丟失的情況時，應當立即采取補救措施。

經營者未經消費者同意或者請求，或者消費者明確表示拒絕的，不得向其發送商業性信息。(以上法條為不完全統計)