要么“裸奔”要么“弃用”？隐私保护的“中国方案”该如何完善(2)

　　而在译言联合创始人赵嘉敏看来，人们当前想要拥有“删除键”的意识是基于隐私观念。但现实情况是，隐私的概念本身就在不断演化。可持续性的解决方案也许不是去要求技术来遵从我们的传统习惯，而是要去改变我们的传统意识和社会规范，以更好地适应技术的发展，并让个体和群体都能从这种改变中受益。
　　完善“中国方案”
　　对于企业为合规而付出的高额成本，重庆大学国家网络空间安全与大数据法治战略研究院院长齐爱民表示，企业在GDPR正式实施初期，不可避免地要修改自身的隐私政策，在此过程中，企业需要支出较大的成本来达成这一任务目标。但是，只要企业的个人数据保护合规工作进入正轨，那么之后的维护成本也将大大降低，并不会过多地影响企业的技术创新问题。
　　“另外，由于GDPR的实施，提升了商业环境中对个人数据安全的保护，促成了针对隐私友好型创新的发展。换言之，隐私友好型的技术创新将成为下一个技术创新的基本模式。”齐爱民说。
　　法国国务顾问、法国数据保护局(CNIL)前副主席伊莎贝尔·法尔克·皮尔罗廷甚至直接反驳了“高额成本”的说法，“像法国数据保护局，他们就常开展一些教育培训，专门来辅导和教育初创企业如何做到隐私保护合规，从产品早期设计开始就考虑隐私的问题，那根本就没有多少成本。”
　　无论细节上有多少差异，保护隐私已是共识。北京安理律师事务所高级合伙人王新锐曾表示，很多大型公司在做完GDPR合规后，透明度明显有提升，也给了用户更多选择。
　　事实上，我国正在快速推进隐私保护工作。去年，推荐性国家标准《信息安全技术个人信息安全规范》（以下简称《规范》）正式实施。这部由33位拥有政策制定、技术标准、企业实践经验的专家共同起草，历经两年多博弈的《规范》对个人信息收集、保存、使用、流转等环节提出要求，非常明确地把《网络安全法》原则性的规定给落地了，填补了国内个人信息保护在实践标准上的空白。
　　但问题也很明显，《规范》是推荐性标准而非强制性标准，因此不具备法律强制力，在齐爱民看来，《规范》在对信息主体的个人信息保护力度上是远远不够的。“虽然我国关于个人信息保护的相关法规散见于《民法总则》、《网络安全法》、《电子商务法》和《消费者权益保护法》等相关立法文件中，但是我国尚未出台一部专门的《个人信息保护法》。”
　　王新锐说，下一步应该就是立法了，中国个人信息保护的立法者现在面临的是一方面要“补课”，借鉴各国立法中被证明有效的部分，另一方面又要回答中国的独特性问题，尤其是移动互联网高速发展带来的问题。
　　“哪些可以借鉴国际规则，哪些必须要自己原创性的回答，这本身就是一个非常难的问题。”王新锐表示，现阶段立法还是应该以补课为主要目标，适度留有口子，而对于新型问题，可以先以位阶较低的规则加以应对，待成熟稳定后再上升为立法。
　　复旦大学网络空间治理研究中心主任沈逸也认为，当前我国可通过“小步快走”的方式逐步将法规上升为法律，“推出一些原则性的规定，然后迅速地把它细化，然后在细化和实践的过程中，如果发现有些东西和实践之间发生了比较大的冲突，再做及时的调整。”
　　在这方面，齐爱民认为，GDPR的经验可供借鉴。GDPR赋予信息主体强大的个人信息权利的同时，忽略了复杂多变的现实生活场景对个人信息的不同需求。“未来立法者可以考虑采用以《个人信息保护法》为主，授权相关主管部门制定该特定行业的个人信息保护配套规则的立法模式，更加灵活地处理不同场景对于个人信息的需求。”