庞理鹏：北京策略律师事务所执行主任，数据合规项目组负责人

摘要：
基于新规定，肯定有新的要求，要有新的衍生业务，《个人信息保护法》出台，法律服务行业面临的机遇与挑战。法律服务行业不光是律师事务所，还包含咨询机构。
面临的十五个机遇，第一，跨境企业、集团公司包括很多中国的企业的信息出境服务；第二，企业制定和完善内部管理制度和操作规程服务；第三，为企业定期开展培训；第四，企业个人信息保护负责人外包服务；第五，境外企业代表外包服务；第六，企业定期合规审计业务；第七，企业个人信息安全的事前影响评估；第八，为提供重要互联网平台服务、用户数量巨大、业务类型复杂的企业建立健全个人信息保护合规制度体系；第九，由外部成员组成的独立机构对个人信息保护情况进行监督；第十，起草社会责任报告；第十一，由网信部门负责统筹协调个人信息保护工作和相关监督管理工作，这个需求比较大；第十二，企业行政检查以及行政处罚事项应对；第十三，企业个人信息保护争议的解决；第十四，个人信息权益维护的权利； 第十五，《个保法》其实是通过民事、行政、刑事各个方面，通过三个纬度对个人信息进行保护，《个保法》明确规定犯罪的要移交公安机关处理，我相信后面随着对于一些比较严重的侵害个人信息的案子也会不断发生，法律服务相关行业的从业者工作内容以及工作量会大幅增加。以上这是《个保法》出台之后面临的机遇。
面临的三个挑战，第一，目前在实践当中很多企业一把手负责人的个人保护意识还是没有达到应有的高度，随着执法和司法相关推进，需要进一步提高；第二，目前没有太多的先例供参考，需要进一步落地、规范和完善；第三，要求法律相关从业者不断提升自身的业务水平、技术水平以及专业素养。总体来看肯定是机遇大于挑战的。

今天我就《个保法》里面有可能涉及到的相关业务给大家做一个分享。基于新规定，肯定有新的要求，要有新的衍生业务，我主要讲的内容是关于《个保法》出台背景下法律服务行业面临的机遇与挑战。法律服务行业不光是律师事务所，还包含咨询机构。

下面讲机遇，第一，我们做项目的时候由于很多是跨境企业、集团公司包括很多中国的企业想要信息出境的都面临这个服务，《个保法》第三章专门进行了规定，38条，相信大家都有看到过相关内容。在《个保法》出台之前其实我们更多引入的是《个保法》二审稿，包括《个人信息出境管理办法》，包括《关键信息基础设施安全保护条例》。第二，基于《个保法》出台我们有很多业务是关于企业制定和完善内部管理制度和操作规程，这个也是重要的法律服务机构可以做的内容。第三，为企业定期开展培训，很多专家学者包括咱们的吴沈括老师都一直对企业包括网络行业里面很多人员进行相关培训，对于企业的培训也是《个保法》的要求。第四，企业个人信息保护负责人外包服务，或者是成为企业个人信息保护工作机构成员，我目前主要是教GDPR，关于数据保护官是可以外包的，但是咱们过程企业个人信息保护负责人给大家提出一个我的想法，包括作为机构工作人员作为法律服务的机构，不管是负责技术安全还是法律合规方面是有相关的机遇的，咱们国家《个保法》目前就我看到欧盟GDPR当中没有看到相关处罚数据保护官的，因为讲独立性，但是咱们《个保法》有相关的罚负责人，所以要有相关的意识，责任会更大一些。包括我目前做合规的时候主要是依据《个人信息安全规范》关于个人信息保护负责人包括成员相关义务进行了规定。在《信息安全技术个人信息安全规范》里面主要还是借鉴了GDPR的规定，后面可能进行调整。第五，境外企业代表外包服务，也是要制定代表的，之前GDPR有相关规定，没有进行相关处罚，如果是面向中国自然人开展评估和服务，但是境内没有机构的需要派代表的，这个代表作为咱们专业服务机构是可以为外企，境内没有机构的代表提供服务。第六，企业定期合规审计业务，《个保法》规定的非常明确，第54条要求应当定期对处理个人信息遵守行政法规情况进行合规审计，同时发现存在一些事项的也要求企业委托专业机构进行合规评估、审计，这个我认为作为法律服务机构是可以承担起这样的义务的。第七，关于企业个人信息安全的事前影响评估，法律从业人员还是有很大机遇的，事前评估规定对于很多类型情况都要进行事前安全评估，《个保法》规定主要还是依据《个人信息安全规范》里面的相关规定。第八，为提供重要互联网平台服务、用户数量巨大、业务类型复杂的企业建立健全个人信息保护合规制度体系，这个可以作为我们相关法律服务行业从业者有很大的机遇。第九，由外部成员组成的独立机构对个人信息保护情况进行监督，作为法律服务从业人员肯定也是可以帮企业主要由外部成员机构组成独立监督机构，对个人信息保护情况进行监督。第十，要求每年还是要起草社会责任报告，接受社会监督，合规性意见由法律服务机构或者律师提供的法律服务意见肯定是重要组成部分，这一块机遇还是挺大的。第十一，咱们《个保法》在第60条规定由网信部门负责统筹协调个人信息保护工作和相关监督管理工作，这个需求也是比较大的。第十二，企业行政检查以及行政处罚事项应对，《个保法》当中对于这个处罚力度其实是要和欧洲差不多，和欧盟、美国比要不吃亏这样一个原则，不仅是罚款上，最高是五千万或者营业额5%，对于处罚方式上目前要求责令整改、吊销营业执照、停业整顿，相关的处罚手段和金额都是比较大的，这也是一个比较大的市场机遇。第十三，企业个人信息保护争议的解决。随着《个保法》出台以后赋予了个人信息主体，当个人信息侵害的时候向相关部门投诉的权利，同时采取过错推定的原则，增加了作为企业平台的一个举动义务，如果面临信息的泄漏或者面临其他侵害行为发生的时候陆续会有很多案件发生，对于企业而言案子怎么应对，尤其是群体性案件，前段时间淘宝将近13亿人个人信息被泄漏，如果一旦发起集体诉讼，每个人赔五百块钱，这个数额也是一个天价的，企业怎么应对，也是大家可以提供的一个内容。第十四，个人信息权益维护的权利，当时那个案子是250的案件，一审败诉，二审胜诉了，这个怎么赔偿，目前来看的话基于个人信息遭到侵害，个人信息的赔偿额国内还没有一个判例，也期待着随着《个保法》出台以后相关随着案件的出现司法机关会给一个判断。在CCPA当中其实规定了一个基本数额，不少于100美元且不超过750美元的损害赔偿金或者实际损害赔偿金，这个有待于通过判例或者通过规定的方式对于相关数额能够进行一个相关的参考标准。

英航这个案例，当时说进行相关处罚，说的是1.9亿英镑，最终因为疫情影响，航空公司不景气，最后罚了两千万，除了行政处罚之外对于个人赔偿这一块，PGMBM团队发布了一个协议，应该是每名人员赔了大概两千英镑，42万人的话赔偿金额就是8亿英镑左右，关于这个信息泄漏以后集体诉讼索赔问题我觉得后面肯定会有相关业务产生。咱们可以界定目前证券执法案件当中很多律师事务所都已经在帮助投资人。

第十五，《个保法》其实是通过民事、行政、刑事各个方面，通过三个纬度对个人信息进行保护，《个保法》明确规定犯罪的要移交公安机关处理，我相信后面随着对于一些比较严重的侵害个人信息的案子也会不断发生。以上这是《个保法》出台之后面临的机遇。

我们也觉得面临三个挑战，第一，虽然《个保法》出台了，包括《数据安全法》也已经出台，但是目前在我们实践当中可以看到很多企业，一把手负责人个人保护意识还是没有达到应有的高度，随着执法和司法相关推进这个需要进一步提高。第二，目前没有太多的先例，当然《个保法》刚刚出台，所以很多都在实践当中，需要进一步落地、规范和完善。第三，目前在数据合规包括网络安全合规领域不光是法律这一块，其实很多咨询公司，很多科技公司都进入这个行业，也就意味着这个行业不光需要法律背景，需要对于技术的掌握，对法律人员提出了更多的要求，也就是我说的不会写代码的数据分析师不是好律师，总体来看肯定是机遇大于挑战的。在一线的法律从业人员也能够给各位学者做出更多有价值的案件，能够不断的落地，促进《个保法》的实施。