App监管走向何方？个保法落地难点何解？

11月1日下午，“个人信息保护法实施两周年：观察与展望”研讨会在武汉圆满落幕。本次会议由南方都市报数字经济治理研究中心、数据安全共同体计划（DSC）、中国网络安全产业联盟（CCIA）数据安全工作委员会联合主办。

在这个特殊的周年纪念日里，多位专家学者在主持人、中国电子技术标准化研究院网安中心测评实验室副主任何延哲的带领下，围绕“后App合规时代：如何把握个人信息保护合规方向和保持合规水平”主题分享了他们的观点。

圆桌论坛现场，图源主办方

如今，个人信息保护水平已成为衡量一款App“质量”的必要因素，是用户面对同质应用时选择下载的重要权衡标准。App个保开始“内卷”之后，有哪些合规经验值得借鉴？今后App合规监管将走向何方？从“数据二十条”出台到国家数据局挂牌，数据价值被不断强调的同时，企业应如确保个保合规水平？

文|樊文扬 李玲 王子黎

企业从被动合规进入到主动合规阶段

2021年11月1日，《中华人民共和国个人信息保护法》（下称“个保法”）正式实施。经历了用户个人信息被无条件攫取的“野蛮期”、多部委联合开展专项治理行动的“强监管期”，这部应时而生的法律带领个人信息保护进入新“征程”。

两年来，许许多多的变化发生在日常生活中：逐渐成为App“标配”的隐私政策，不时弹窗出现的权限调用申请，不断细化的隐私设置功能……在不同场景个人信息收集和使用规则越来越明晰的当下，各App个保水平的差距似乎也在缩小。这或许意味着，App合规已顺利度过初期，进入到了“后半场”。

会上，多位来自企业的法律专家分享了App监管机制下的合规经验。一位头部互联网公司的数据及隐私法务总监谈道，自个保法实施以来，实务界对于合规的认知和路径也有相应转变：

一是从被动合规进入到主动合规阶段。在前个保法时代，实务的做法通常是被动地按照规则清单查漏补缺，如今则是以更全面的角度探索合规体系的建设。比如以构建用户信任机制为核心，在法规要求之上延伸作出一些主动合规的举动，兼顾不同用户的隐私预期。

二是合规重点从个人信息收集阶段过渡到使用阶段，更加注重合规的体系性。就App合规而言，目前各大互联网公司都有各自的自动化检测工具，对App的日常合规情况进行自查并整改。“大量的日常评估都是发生在背后，可能都是大家感知不到的场景……不是说只要把App面上的东西搞定了，这个合规（任务）就完成了，而是冰山下有一整套系统要去建设，以此确保合规的完整性。”

三是从规范合规向技术合规的转变。除了规范合规之外，实务界也越来越重视以技术促合规的重要性，以此来提升合规的效率和效果。

自从今年ChatGPT成为科技圈、产业界最热门的话题之一后，它的问世似乎标志着人们迎来了全新的AI时代。不过，人工智能领域不断取得突破进展，深刻影响和改造人类社会的同时，有关如何监管、治理的讨论也从未停歇。

中国网络安全审查技术与认证中心科技与国际部主管樊华谈及个保法落实难点时指出，在当前技术飞速发展的大背景下，个人信息保护场景也越来越丰富。以今年爆发的AIGC产业为例，其牵涉出一系列数据合规问题，包括数据来源的合法性、数据标识的安全性、算法的可解释性以及反歧视性等。要解决新兴热点带来的个人信息保护问题，从研究到落地也需要较长的时间。

另一位互联网信息服务平台的数据合规负责人从企业实践的角度指出，落实个保法的一个难点在于，该法律施行后，企业需要进行个人信息保护影响评估的场景有所增多。从事前评估，到事中监督、事后处置，企业需在合规工作方面预留一定的成本。

南都数字经济治理研究中心去年发布的《个人信息安全年度报告（2022）》曾对包括头、中、尾部共150款App个人信息保护水平进行测评，对比发现近年来App个保水平普遍提高，头部App的合规情况尤佳。随着后App合规时代的带来，个保监管有哪些新方向值得关注？

北京清律律师事务所主任、合伙人朱芸阳在会上总结了三个方向。首先，后App合规时代的监管颗粒度会更加细化，进而走向全方面的系统监管。其次，个保工作越来越重视对弱势群体的保护，包括未满14周岁的未成年人、老年人等，“要兼顾他们的需求，这不仅是个人信息（保护）问题，还要考虑到社会价值问题。”用户感知也被纳入到个人信息保护评价体系中。

再者，个人信息保护审计或成为今后App合规的重要内容。企业的合规工作大多由法律从业人员担任，其与审计机构的沟通和衔接也是值得考虑的问题。

从去年“数据二十条”出台，到今年10月国家数据局正式挂牌，我国数据要素市场化或将迎来加速发展期。在数据价值被不断强调的大背景下，企业如何持续保持个人信息保护合规水平？

樊华表示，个保法实施两年以来，企业整体个保水平明显提升。这不仅体现在App隐私政策、权限弹窗等方面，还体现在研发设计、法务、管理层等形成的个保共识上，“个人信息保护不仅仅是终端方面的问题，也与整个生态圈有关，这个理念一旦深入人心，（个保合规水平）应该是不会掉下来的。”

“数据的价值，一定是与个人信息保护并驾齐驱的，不能偏废。”在朱芸阳看来，“数据二十条”等政策的出台不仅不会让企业个保水平倒退，反而是一个全新的契机。

她解释，“数据二十条”有利于推动数据分类分级，而数据梳理、分类分级、数据合规整改是体现数据价值、数据入表、数据资产定价的前提，也更能凸显合规工作的重要性。另外，纵观个保法实施两年间的民事司法审判、个人信息保护公益诉讼等，结果对原告更有利的情况相对较多，这也意味着数据合规问题也会进入司法程序进行评价，很可能不利于企业体现自身价值、打造品牌效应等。“从这个层面来讲，往往合规就是企业的一个‘生命底线’。”

如果您希望参加培训，或者您想参与课程研发，或者您想成为讲师？抑或您有好的建议？都可以扫描下面二维码联系项目经理徐博士