关于《个人信息保护法》出台背景下，通过条款的罗列和案例的解读，分析了法律服务行业未来将面临的机遇和挑战。

一、机遇

第一个：就是关于企业个人信息出境和专项法律服务，包括现在滴滴也好，以及最近修改的相关法律法规，关于企业个人信息出境不管是企业上市还是个人信息流动其实《个人信息保护法》当中都有具体的规定，这个对于律师或者是从事相关业务是一个必须的可以提供的服务。这里面法律依据有个保法38条，还有根据征求意见稿个人信息出台评估管理办法，包括最近《网络安全审查办法》，需要掌握一百万以上个人信息的赴外国企业上市还是需要做评估的。这是第一个相关机遇。

第二个：作为律师相关法律服务行业还可以帮助企业制定和完善内部管理制度和操作流程，这是根据个保法第五章第51条，要求制定内部管理制度和操作规程。

第三个：是为企业定期开展培训。定期进行教育培训，很多教授、专家其实目前也在做相关的业务，就是企业内训或者培训。

第四个：我这边也是ESIN国际考试培训的老师，欧盟当中第37条是有数据保护的具体规定，我们给涉外企业提供服务的时候也提供这个服务，是不是可以成为保护机构的成员，欧盟GDPR规定EPO一般是处罚的，咱们国家是双罚制，面临处罚的时候如果产生信息泄漏或者其他问题是不是处罚，还是需要进一步细化。如果可以不处罚或者不列为企业信息负责人是不是可以使用。

第五个：是境外企业外包服务，这个和GDPR是相一致的，数据主权，包括服务判定原则在个保法都有相关借鉴。

第六个：是企业信息定期合规业务，个人信息处理者规定的，应当对其个人信息活动进行合规审计，作为律师也好肯定是他的业务范畴，同时咱们可以关注一下最近出现了一个团标，这个其实是目前我们在个保法出台之前给企业提供服务的时候是一个常规依据标准，也是一个团体标准。

第七个：就是关于企业个人信息安全事前影响评估，个人信息处理以下行为的时候需要进行事前影响评估，包括要进行是否合规，律师也可以提供一些具体的意见。个人信息评估当中除了依据个保法，我们目前做业务当中主要还是依据《个人信息安全规范》，包括《个人信息安全影响评估指南》，这是做业务当中参考的内容依据，这个和欧盟数据保护评估也是有同样的一个点。

第八个：增加了基础互联网平台服务，这是一个强制要求，是应当的。不仅包括基础性互联网平台，还有巨大的、业务类型复杂的平台都要成立外部独立机构。作为律师，作为一个外部人员是不是可以参与，包括学者是不是可以成为技术人员成为独立机构的人员，同时律师还需要定期发布个人信息保护社会报告，不管是法务部门，还是公关部门的事情，这是“应当”范畴里面，律师对于专项合规还是可以的。

第九个：是履行个人信息保护职责的部门提供常年或专项法律服务，大家还是处于一个前期的阶段，对于这块不是特别熟悉，给政府提供服务，他们要调查得取证，是不是律师可以参与进去，为监管方提供法律服务，因为现在要求各个部门法律全覆盖。

第十个：是企业行政检查及行政处罚事项应对，企业行政检查和处罚当中律师应对的话，是不是与相关监管部门进行沟通和交涉，能不处罚的不处罚，处罚的是不是可以降低，如果处罚过高是不是可以进行行政诉讼，咱们规定最高可以罚五千万人民币，或者上一年营业额5%，这个数额是很高的，律师是不是可以提供专业技能为企业降低处罚数额。还有一部分是争议解决，就是关于数据的个人信息保护，律师也可以处理。

第十一个：个人信息维权，规定了个人信息处理受到侵害，平台方或者个人信息处理者应当承担赔偿责任，这次讲的非常明确就是由个人信息处理者，对于平台方的要求会更高。获得赔偿数额问题，我之前是赔了250块钱，确定了我个人信息泄漏了，我有损失，结果一千块钱没有赔，还承担了250块钱的诉讼费用，咱们国家这么规定了，后面处理当中，像之前淘宝个人信息13个亿，到底数额是多少，作为个人信息权利所有人是不是可以进行起诉？针对案子大量泄漏，需要赔偿的话，主张权利的话是不是可以适用相关规则，欧盟当中有相关规定第82条。同时我想举一个例子，美国加州消费者隐私保护法案，每名消费者索赔不少于一百美元，且不超过750美元。最近比较火的是英航数据泄漏事件，双方经过保密条款情况下达成了和解，最终泄漏42万人的数据，一万六千向银行索赔，预计每名受害者最高可以达到两千英镑，所以银行整体达到8亿英镑。所以这个也是比较重要的，8亿英镑的话律师很快就实现财富自由了。最开始英航泄漏42万，要罚，还要赔，最开始的时候处罚是1.83亿，后来大家知道因为疫情，最终罚了1.83亿英镑，约合15.8亿人民币，最后罚了两千万英镑。据他们猜测赔了8亿英镑，这个数额还是很多的，既赔又罚。包括欧盟那个规定是可以有一个作用，有一个借鉴。

第十二个：就是企业个人信息刑事风险。

二、挑战方面

第一，目前业务当中很多企业个人信息保护意识不足，尤其是管理层他们认为没有达到应有的高度，需要进行教育。

第二，没有太多先例，需要进一步落地和完善。

第三，就是数据合规，不懂数据不会写代码的律师不是好数据分析师，对于数据合规领域是法律+管理+科技，不光懂法律，还要懂管理和技术，所以需要进一步大家有很大挑战性，但是机遇也是存在的。（庞理鹏：北京策略律师事务所执行主任，数据合规项目组负责人）