數(shù)據(jù)企業(yè)的個(gè)人信息保護(hù)責(zé)任：從GDPR到中國(guó)

戴正

摘 要：大數(shù)據(jù)技術(shù)的沖擊使得原有的個(gè)人信息保護(hù)方式已無(wú)法保障個(gè)人信息安全。歐盟近年頒布的《通用數(shù)據(jù)保護(hù)條例》摒棄了傳統(tǒng)告知同意機(jī)制，在提供多樣化個(gè)人控制手段的同時(shí)，從事前防范、事后告知、數(shù)據(jù)管理架構(gòu)三方面對(duì)數(shù)據(jù)企業(yè)的個(gè)人信息保護(hù)責(zé)任做出了系統(tǒng)性規(guī)定。我國(guó)現(xiàn)行法律體系中對(duì)數(shù)據(jù)企業(yè)的個(gè)人信息保護(hù)責(zé)任僅有原則性規(guī)定，相關(guān)國(guó)家標(biāo)準(zhǔn)也存在不少局限，這些問(wèn)題在將來(lái)的個(gè)人信息單獨(dú)立法中應(yīng)加以完善。

關(guān)鍵詞：個(gè)人信息;隱私保護(hù);企業(yè)責(zé)任

中圖分類號(hào)：D912.8? ? ? ? 文獻(xiàn)標(biāo)志碼：A? ? ? 文章編號(hào)：1673-291X（2018）36-0017-03

一、問(wèn)題的提出

大數(shù)據(jù)經(jīng)濟(jì)可堪為當(dāng)前最為火熱的經(jīng)濟(jì)領(lǐng)域之一，特別是在2015年兩會(huì)上李克強(qiáng)總理提出“互聯(lián)網(wǎng)+”戰(zhàn)略后，大數(shù)據(jù)一時(shí)風(fēng)頭無(wú)兩。然而在提高商業(yè)及服務(wù)水平的同時(shí)，大數(shù)據(jù)也導(dǎo)致了嚴(yán)重的個(gè)人信息泄露風(fēng)險(xiǎn)，為個(gè)人信息安全帶來(lái)巨大的威脅。有學(xué)者通過(guò)對(duì)大數(shù)據(jù)特點(diǎn)進(jìn)行分析后指出，大數(shù)據(jù)技術(shù)在數(shù)據(jù)應(yīng)用領(lǐng)域的創(chuàng)新已對(duì)告知同意產(chǎn)生了極大破壞[1]。告知同意機(jī)制作為傳統(tǒng)個(gè)人信息保護(hù)體系中最為重要的，甚至幾乎是唯一的手段，是指在收集或處理個(gè)人信息前，應(yīng)當(dāng)告知信息主體收集處理其個(gè)人信息的相關(guān)信息并請(qǐng)求其同意。該機(jī)制最大的特點(diǎn)在于重視個(gè)人信息收集過(guò)程中個(gè)人在知情基礎(chǔ)上對(duì)信息的控制與選擇。自1980年由經(jīng)濟(jì)與合作組織（OECD）在《隱私保護(hù)與個(gè)人數(shù)據(jù)流通指南》中作為處理個(gè)人信息的前置條件設(shè)立起，告知同意機(jī)制在個(gè)人信息保護(hù)體系中一直發(fā)揮著舉足輕重的作用。但在幾十年后的今天，傳統(tǒng)告知同意機(jī)制的失靈已是不爭(zhēng)的事實(shí)，公眾及學(xué)界對(duì)個(gè)人信息保護(hù)體系改革的呼聲不斷高漲。

在世界范圍內(nèi)，對(duì)傳統(tǒng)保護(hù)體系進(jìn)行革新的努力已經(jīng)持續(xù)數(shù)年，且已取得了不少成果。目前而言，最具代表性的立法成果當(dāng)屬歐盟于2016年發(fā)布的《通用數(shù)據(jù)保護(hù)條例》（以下簡(jiǎn)稱GDPR）。自2012年該條例草案出臺(tái)以來(lái)，為保證其不落后于大數(shù)據(jù)時(shí)代的發(fā)展，GDPR歷時(shí)四年修改，于2016年正式頒布，并于2018年5月正式生效。GDPR取代了歐盟原先實(shí)施的《隱私保護(hù)指令》（95/46/EC），其最大的特點(diǎn)在于摒棄了單一的告知同意的規(guī)制手段，對(duì)個(gè)人信息采取了更為靈活且全面的保護(hù)方式。相比而言，GDPR在原有的信息主體同意權(quán)外增設(shè)了數(shù)據(jù)可攜權(quán)、刪除權(quán)等其他權(quán)利，并對(duì)同意的適用條件進(jìn)行嚴(yán)格限定以強(qiáng)化數(shù)據(jù)主體對(duì)自身信息的控制力;更具開創(chuàng)性的是，GDPR對(duì)數(shù)據(jù)企業(yè)增設(shè)了大量個(gè)人信息保護(hù)方面的義務(wù)，凸顯出歐盟立法機(jī)構(gòu)加強(qiáng)數(shù)據(jù)企業(yè)責(zé)任的個(gè)人信息保護(hù)體系改革思路。在數(shù)據(jù)全球化的時(shí)代，滿足GDPR要求是我國(guó)數(shù)據(jù)行業(yè)走向國(guó)際化無(wú)法繞開的必要環(huán)節(jié)。同時(shí)，GDPR作為個(gè)人信息領(lǐng)域的代表性立法，我們有必要對(duì)GDPR對(duì)數(shù)據(jù)企業(yè)個(gè)人信息保護(hù)責(zé)任進(jìn)行梳理，以期在我國(guó)未來(lái)的個(gè)人信息保護(hù)單獨(dú)立法中能夠加以合理借鑒，對(duì)數(shù)據(jù)企業(yè)形成良好的規(guī)制。

二、GDPR中的數(shù)據(jù)企業(yè)個(gè)人信息保護(hù)責(zé)任

原有同意機(jī)制的崩潰使歐美監(jiān)管機(jī)構(gòu)意識(shí)到僅靠賦予個(gè)人控制很難有效保障其個(gè)人信息。美國(guó)總統(tǒng)行政辦公室報(bào)告就曾指出，（在大數(shù)據(jù)時(shí)代）重點(diǎn)對(duì)個(gè)人信息的收集和保留加以控制，已不再足以保護(hù)個(gè)人信息。在互聯(lián)網(wǎng)時(shí)代，數(shù)據(jù)企業(yè)所提供的服務(wù)往往在數(shù)據(jù)主體的工作或生活中發(fā)揮重要作用，因此導(dǎo)致數(shù)據(jù)企業(yè)與數(shù)據(jù)主體間的地位顯著不平等化。同時(shí)，數(shù)據(jù)實(shí)踐逐漸滲透至生活的方方面面，個(gè)人難以全面掌控其信息如何被收集及使用。如果僅停留在加強(qiáng)個(gè)人控制手段的層面而不對(duì)數(shù)據(jù)實(shí)踐的流程做出規(guī)制，那么數(shù)據(jù)控制者利用其優(yōu)勢(shì)地位繞過(guò)同意機(jī)制的后果是可以預(yù)見的?；谝陨显颍瑲W美監(jiān)管機(jī)構(gòu)在改革立法中都考慮到在個(gè)人控制外大幅增加數(shù)據(jù)企業(yè)責(zé)任。歐盟的數(shù)據(jù)監(jiān)管機(jī)構(gòu)便是基于此，在GDPR開篇提出，“為有效保護(hù)整個(gè)歐盟的個(gè)人數(shù)據(jù)，需要在加強(qiáng)信息主體權(quán)利的同時(shí)詳細(xì)制定信息處理者的義務(wù)。”同時(shí)，GDPR條文中也對(duì)數(shù)據(jù)企業(yè)在收集處理個(gè)人信息過(guò)程應(yīng)承擔(dān)的數(shù)據(jù)保護(hù)責(zé)任進(jìn)行了系統(tǒng)化規(guī)定，以防企業(yè)獲取個(gè)人同意后的數(shù)據(jù)濫用。無(wú)論是總體規(guī)定數(shù)據(jù)企業(yè)責(zé)任的第24條，還是其后的具體條款，無(wú)不滲透著歐盟數(shù)據(jù)監(jiān)管機(jī)構(gòu)以“風(fēng)險(xiǎn)”為導(dǎo)向的全新立法理念。風(fēng)險(xiǎn)是對(duì)個(gè)人信息安全事件及其后果的嚴(yán)重程度及可能性的預(yù)測(cè)，而“風(fēng)險(xiǎn)導(dǎo)向”則意味著根據(jù)個(gè)人數(shù)據(jù)處理、利用的場(chǎng)景、目的及可能引發(fā)的風(fēng)險(xiǎn)程度向數(shù)據(jù)企業(yè)施以義務(wù)和責(zé)任[2]。具體而言，GDPR中對(duì)數(shù)據(jù)企業(yè)的個(gè)人信息保護(hù)責(zé)任設(shè)置主要體現(xiàn)在以下三部分內(nèi)容。

1.構(gòu)建事前防范機(jī)制。過(guò)去的告知同意機(jī)制雖要求數(shù)據(jù)企業(yè)在收集、處理個(gè)人信息前向信息主體進(jìn)行告知，但該流程顯然是在數(shù)據(jù)實(shí)踐過(guò)程中進(jìn)行的。GDPR將企業(yè)的信息安全治理責(zé)任從此前的個(gè)人信息收集時(shí)及之后向前擴(kuò)張至數(shù)據(jù)實(shí)踐的設(shè)計(jì)準(zhǔn)備階段，有助于從源頭上改善個(gè)人信息被濫用的窘境。其中，最為重要的制度是“數(shù)據(jù)保護(hù)影響評(píng)估”（data protection impact assessment，DPIA）。數(shù)據(jù)保護(hù)影響評(píng)估是一個(gè)評(píng)估個(gè)人信息收集處理的必要性以及是否成比例，并通過(guò)確定解決措施來(lái)幫助管控因收集或處理而對(duì)個(gè)人的權(quán)利和自由造成的風(fēng)險(xiǎn)的過(guò)程。GDPR要求數(shù)據(jù)企業(yè)認(rèn)為處理行為可能導(dǎo)致對(duì)自然人權(quán)利或自由的高度風(fēng)險(xiǎn)時(shí)，有責(zé)任對(duì)風(fēng)險(xiǎn)來(lái)源、性質(zhì)、特殊性與嚴(yán)重性進(jìn)行評(píng)估，并在評(píng)估結(jié)果的基礎(chǔ)上決定采取適當(dāng)措施。同時(shí)，實(shí)施的措施應(yīng)確保適當(dāng)?shù)臄?shù)據(jù)安全水平，并將技術(shù)發(fā)展水平、實(shí)施成本與所保護(hù)的個(gè)人信息的性質(zhì)與風(fēng)險(xiǎn)納入考量。對(duì)于何為高度風(fēng)險(xiǎn)，GDPR在其數(shù)據(jù)保護(hù)影響評(píng)估指南中指出，通過(guò)對(duì)個(gè)人信息自動(dòng)處理對(duì)信息主體做出具有顯著影響的決策、處理大量個(gè)人敏感信息及對(duì)公開數(shù)據(jù)的大范圍監(jiān)測(cè)都毫無(wú)疑問(wèn)的屬于此范疇內(nèi)。但值得注意的是，數(shù)據(jù)影響評(píng)估并非在每次數(shù)據(jù)時(shí)間前處理都是必須的，只有在處理“可能對(duì)自然人的權(quán)利和自由造成高風(fēng)險(xiǎn)”時(shí)，才需要進(jìn)行評(píng)估。然而，沒(méi)有達(dá)到高風(fēng)險(xiǎn)這一觸發(fā)條件并不意味著減少數(shù)據(jù)企業(yè)執(zhí)行適當(dāng)管理風(fēng)險(xiǎn)控制措施的一般義務(wù)。這意味著，數(shù)據(jù)企業(yè)不僅應(yīng)當(dāng)在數(shù)據(jù)實(shí)踐前考慮風(fēng)險(xiǎn)因素，且在其處理活動(dòng)也必須不斷監(jiān)測(cè)并防止風(fēng)險(xiǎn)，以便確定其何時(shí)“可能對(duì)自然人的權(quán)利和自由造成高風(fēng)險(xiǎn)”。因此，開展數(shù)據(jù)保護(hù)影響評(píng)估的目的，在于督促數(shù)據(jù)控制者主動(dòng)考慮風(fēng)險(xiǎn)，主動(dòng)提出降低風(fēng)險(xiǎn)的方案[3]。最后，如果數(shù)據(jù)企業(yè)無(wú)法找到足以使風(fēng)險(xiǎn)降低至可接受的水平的措施或?qū)嵤┐胧┖髿埓骘L(fēng)險(xiǎn)依然較高時(shí)，GDPR要求數(shù)據(jù)企業(yè)應(yīng)當(dāng)盡快告知相關(guān)數(shù)據(jù)監(jiān)管機(jī)構(gòu)并進(jìn)行協(xié)商。

2.設(shè)置事后處理措施。第29條工作組在《個(gè)人信息泄露告知指南》中指出，GDPR所設(shè)置的數(shù)據(jù)安全策略的關(guān)鍵因素是，一方面盡可能防止發(fā)生數(shù)據(jù)泄露造成個(gè)人信息風(fēng)險(xiǎn)，另一方面在發(fā)生泄露的情況下，能夠及時(shí)地對(duì)其做出有效反應(yīng)。因而GDPR在對(duì)數(shù)據(jù)企業(yè)構(gòu)建了數(shù)據(jù)實(shí)踐前風(fēng)控制度的同時(shí)，也為數(shù)據(jù)企業(yè)在個(gè)人信息泄露事件發(fā)生后的行動(dòng)以立法方式做出了規(guī)制。GDPR條款規(guī)定了何時(shí)及向誰(shuí)進(jìn)行泄露告知，以及告知中應(yīng)當(dāng)包含哪些內(nèi)容。GDPR第33條規(guī)定，發(fā)生數(shù)據(jù)泄露的數(shù)據(jù)處理者應(yīng)當(dāng)立即告知數(shù)據(jù)控制者，數(shù)據(jù)控制者則應(yīng)當(dāng)在至遲72小時(shí)內(nèi)向相關(guān)監(jiān)管機(jī)構(gòu)報(bào)告。報(bào)告內(nèi)容不但應(yīng)當(dāng)包含數(shù)據(jù)泄露的性質(zhì)、涉及的數(shù)據(jù)類型及大致數(shù)量等常規(guī)內(nèi)容，還應(yīng)當(dāng)對(duì)泄露后果進(jìn)行預(yù)判并提出補(bǔ)救措施。同時(shí)，數(shù)據(jù)控制者還應(yīng)當(dāng)立即對(duì)受影響的數(shù)據(jù)主體進(jìn)行告知，除非泄露不會(huì)對(duì)個(gè)人信息安全產(chǎn)生較高風(fēng)險(xiǎn)或其補(bǔ)救措施能夠避免該風(fēng)險(xiǎn)。從條文規(guī)定來(lái)看，GDPR設(shè)置的數(shù)據(jù)企業(yè)向監(jiān)管機(jī)構(gòu)的告知是強(qiáng)制性的，除非數(shù)據(jù)泄露事件對(duì)個(gè)人的權(quán)利和自由造成風(fēng)險(xiǎn)的可能性足夠低。而如果該泄露可能對(duì)個(gè)人的權(quán)利和自由造成高風(fēng)險(xiǎn)，就必須告知個(gè)人。因此，向個(gè)人進(jìn)行告知的條件高于告知監(jiān)管機(jī)構(gòu)的，這一設(shè)置意在使個(gè)人免于不必要的通知造成的煩瑣。但同時(shí)也意味著，一旦意識(shí)到出現(xiàn)數(shù)據(jù)泄露事件，GDPR要求數(shù)據(jù)企業(yè)不僅應(yīng)設(shè)法進(jìn)行控制，而且應(yīng)同步評(píng)估由此可能造成的風(fēng)險(xiǎn)。一方面，這將有助于控制者采取有效措施遏制和處理違約行為;另一方面，數(shù)據(jù)企業(yè)將以此確定是否需要向監(jiān)管機(jī)構(gòu)或個(gè)人進(jìn)行告知。此外，對(duì)于數(shù)據(jù)控制者與數(shù)據(jù)處理者分離的情況，GDPR在泄露告知方面采取了更為靈活的策略。例如第33條第2款明確規(guī)定，如果數(shù)據(jù)處理者意識(shí)到其從數(shù)據(jù)控制者處獲得的個(gè)人信息發(fā)生泄露，它必須“無(wú)延遲”地通知數(shù)據(jù)控制者。與上文所述規(guī)定不同的是，在通知前，數(shù)據(jù)處理者不需要首先評(píng)估泄露引起的風(fēng)險(xiǎn)的可能性，而只需要確定是否發(fā)生了違規(guī)，然后通知數(shù)據(jù)控制者。此外，如果數(shù)據(jù)控制者已經(jīng)給予數(shù)據(jù)處理者適當(dāng)?shù)氖跈?quán)，那么數(shù)據(jù)處理中可以代表數(shù)據(jù)控制者發(fā)出告知，但告知所發(fā)生的法律責(zé)任仍然在于數(shù)據(jù)控制者。

3.優(yōu)化企業(yè)數(shù)據(jù)管理架構(gòu)。傳統(tǒng)個(gè)人信息保護(hù)規(guī)定僅就企業(yè)整體應(yīng)負(fù)的義務(wù)進(jìn)行規(guī)制，對(duì)于企業(yè)內(nèi)部如何自主防控，將個(gè)人信息風(fēng)險(xiǎn)防患于未然則未有涉及，因此要求企業(yè)內(nèi)部設(shè)立專門的數(shù)據(jù)監(jiān)督專員是GDPR在增強(qiáng)數(shù)據(jù)企業(yè)責(zé)任的一系列規(guī)定中的又一大亮點(diǎn)。在GDPR條文中將這一職位稱為“數(shù)據(jù)保護(hù)官”（data protection officer，DPO），并明確規(guī)定數(shù)據(jù)保護(hù)官應(yīng)當(dāng)獨(dú)立開展工作，直接向數(shù)據(jù)企業(yè)的最高管理層報(bào)告，履行職責(zé)不受企業(yè)干涉。有關(guān)數(shù)據(jù)保護(hù)官的職責(zé)，GDPR第35條第2款規(guī)定，數(shù)據(jù)企業(yè)在進(jìn)行數(shù)據(jù)保護(hù)影響評(píng)估時(shí)，應(yīng)征求其數(shù)據(jù)保護(hù)官的意見。此外，還應(yīng)當(dāng)監(jiān)測(cè)企業(yè)數(shù)據(jù)合規(guī)情況，同時(shí)對(duì)參與數(shù)據(jù)實(shí)踐的工作人員進(jìn)行培訓(xùn)。當(dāng)個(gè)人信息泄露時(shí)，數(shù)據(jù)保護(hù)官的強(qiáng)制性任務(wù)包括向數(shù)據(jù)控制者或數(shù)據(jù)處理者提供數(shù)據(jù)保護(hù)建議和信息，以及提供進(jìn)行數(shù)據(jù)影響評(píng)估的建議。數(shù)據(jù)保護(hù)官還必須與監(jiān)管機(jī)構(gòu)合作，并承擔(dān)起與監(jiān)管機(jī)構(gòu)及所涉信息主體聯(lián)絡(luò)的職責(zé)。例如，第33條第3款就要求，數(shù)據(jù)控制者在向監(jiān)管機(jī)構(gòu)告知泄露情況時(shí)提供其數(shù)據(jù)保護(hù)官的名稱和聯(lián)絡(luò)方式。在記錄泄露的情況方面，數(shù)據(jù)企業(yè)能夠從數(shù)據(jù)保護(hù)官處獲得對(duì)該記載的結(jié)構(gòu)、設(shè)置及管理方面的意見，這表示數(shù)據(jù)保護(hù)官可能額外負(fù)擔(dān)維護(hù)這些記錄的任務(wù)。以上職責(zé)意味著，數(shù)據(jù)保護(hù)官通過(guò)提供咨詢和監(jiān)測(cè)合規(guī)情況，不但能夠在協(xié)助防止泄露及為泄露做好準(zhǔn)備方面，同時(shí)也應(yīng)在向監(jiān)管機(jī)構(gòu)告知泄露情況及在監(jiān)管機(jī)構(gòu)隨后進(jìn)行的任何調(diào)查期間發(fā)揮關(guān)鍵作用?；诖?，第29條工作組建議數(shù)據(jù)企業(yè)將數(shù)據(jù)泄露的情況及時(shí)告知數(shù)據(jù)保護(hù)官，并使其參與整個(gè)數(shù)據(jù)實(shí)踐過(guò)程。

三、我國(guó)數(shù)據(jù)企業(yè)責(zé)任制度審視與完善

我國(guó)現(xiàn)行法律法規(guī)中有關(guān)個(gè)人信息保護(hù)的條文并不鮮見，但從條文規(guī)定看，我國(guó)現(xiàn)行法律仍以傳統(tǒng)告知同意的保護(hù)機(jī)制為主，對(duì)數(shù)據(jù)企業(yè)的個(gè)人信息保護(hù)責(zé)任規(guī)定不多。盡管《網(wǎng)絡(luò)安全法》首次以法律形式對(duì)網(wǎng)絡(luò)經(jīng)營(yíng)者的數(shù)據(jù)責(zé)任作出了規(guī)定，包括網(wǎng)絡(luò)運(yùn)營(yíng)者采取必要措施防止信息泄露的義務(wù)，以及信息泄露發(fā)生后進(jìn)行補(bǔ)救、及時(shí)告知用戶及監(jiān)管機(jī)構(gòu)等義務(wù)，但這些規(guī)定都并非深入具體的進(jìn)行規(guī)定，而僅是原則性、概括性條款。面對(duì)大數(shù)據(jù)時(shí)代的浪潮，僅靠《網(wǎng)絡(luò)安全法》顯得獨(dú)木難支。因此，在《民法總則》將個(gè)人信息權(quán)認(rèn)定為獨(dú)立的民事權(quán)利后，各界對(duì)個(gè)人信息保護(hù)單獨(dú)立法呼聲較高。

目前，我國(guó)雖未對(duì)個(gè)人信息保護(hù)進(jìn)行單獨(dú)立法，但對(duì)個(gè)人信息實(shí)踐影響密切的個(gè)人信息安全國(guó)家標(biāo)準(zhǔn)業(yè)已制訂，即《信息安全技術(shù)個(gè)人信息安全規(guī)范》（以下簡(jiǎn)稱《規(guī)范》）?！兑?guī)范》首次較為系統(tǒng)的規(guī)定了數(shù)據(jù)企業(yè)的個(gè)人信息保護(hù)責(zé)任，對(duì)信息安全事件處置及告知進(jìn)行了指引。在應(yīng)急預(yù)案、應(yīng)急演練等事前防范措施之外，《規(guī)范》要求數(shù)據(jù)控制者在個(gè)人信息安全事件發(fā)生后，需要采取記錄、評(píng)估、上報(bào)、告知等四大類措施以確保將風(fēng)險(xiǎn)控制在盡可能小的范圍內(nèi)。值得一提的是，《規(guī)范》設(shè)置個(gè)人信息安全影響評(píng)估的目的與GDPR相同，均是“使風(fēng)險(xiǎn)降低到可接受的水平”，這反映出《規(guī)范》在設(shè)置數(shù)據(jù)控制者責(zé)任時(shí)的風(fēng)險(xiǎn)導(dǎo)向。此外，《規(guī)范》還根據(jù)我國(guó)國(guó)情做出了一些創(chuàng)新性指引，例如在人員管理培訓(xùn)方面，《規(guī)范》要求數(shù)據(jù)企業(yè)與涉數(shù)據(jù)人員簽訂保密協(xié)議、明確職責(zé)與懲罰機(jī)制。

《規(guī)范》也存在著一些明顯的局限。首當(dāng)其沖的是《規(guī)范》的效力問(wèn)題?！兑?guī)范》作為國(guó)家標(biāo)準(zhǔn)，其效力弱于法律及行政法規(guī)等。不僅如此，《規(guī)范》也并非國(guó)家強(qiáng)制性標(biāo)準(zhǔn)，而是國(guó)家推薦性標(biāo)準(zhǔn)，其對(duì)于相關(guān)企業(yè)的約束力很難得到保證，這將導(dǎo)致《規(guī)范》無(wú)法起到預(yù)想的規(guī)制數(shù)據(jù)企業(yè)的效果。對(duì)此，有兩種解決方式。一是通過(guò)立法程序，將《規(guī)范》內(nèi)容加以凝練和擴(kuò)充，成為我國(guó)個(gè)人信息單獨(dú)立法的一部分;二是在指令性文件中對(duì)《規(guī)范》的有關(guān)內(nèi)容進(jìn)行引用，根據(jù)我國(guó)《標(biāo)準(zhǔn)化法條文解釋》的規(guī)定，推薦性標(biāo)準(zhǔn)一旦納入指令性文件，將具有相應(yīng)的行政約束力。通過(guò)以上方法，我國(guó)對(duì)數(shù)據(jù)企業(yè)個(gè)人信息責(zé)任的規(guī)制效力才能得到真正提升。此外，目前我國(guó)在這方面規(guī)制還存在著僅有規(guī)定而無(wú)制裁的缺陷，限于《規(guī)范》推薦性標(biāo)準(zhǔn)的形式，其雖有規(guī)定卻無(wú)法對(duì)違反的數(shù)據(jù)企業(yè)進(jìn)行懲罰。這一問(wèn)題同樣體現(xiàn)在《網(wǎng)絡(luò)安全法》中，我國(guó)《網(wǎng)絡(luò)安全法》規(guī)定，數(shù)據(jù)企業(yè)泄露個(gè)人信息最高可處違法所得1倍以上10倍以下罰款，無(wú)違法所得的處100萬(wàn)元罰款，但對(duì)于企業(yè)個(gè)人信息安全措施不到位的問(wèn)題因未規(guī)定而無(wú)法制裁。且在數(shù)額上，相較于GDPR最高1 000歐元或上年度全球營(yíng)業(yè)額4%的罰款，《網(wǎng)絡(luò)安全法》也存在較大差距，這顯示出我國(guó)對(duì)數(shù)據(jù)企業(yè)個(gè)人信息安全責(zé)任的規(guī)制力度還有待進(jìn)一步加大。

保護(hù)個(gè)人信息安全是一項(xiàng)長(zhǎng)期性、系統(tǒng)性工程，是大數(shù)據(jù)行業(yè)健康發(fā)展的基礎(chǔ)。我國(guó)對(duì)個(gè)人信息安全的法制建設(shè)正處于關(guān)鍵時(shí)期，從《規(guī)范》的經(jīng)驗(yàn)看，我國(guó)的個(gè)人信息規(guī)制應(yīng)當(dāng)在結(jié)合我國(guó)數(shù)據(jù)行業(yè)實(shí)踐與信息主體權(quán)利意識(shí)程度的前提下對(duì)國(guó)際上的其他方案進(jìn)行取長(zhǎng)補(bǔ)短，不斷探索適合中國(guó)的個(gè)人信息安全規(guī)制道路。