2021年11月1日，中国《个人信息保护法》正式施行。这是一部不论施以多少赞誉都不为过的法律，标志着中国个人信息保护尝试着接轨进入全球数据保护的洪流之中，在全球法治赛道中驰扬。

正是这部法律，极大的提升了中国个人信息保护领域的水平，这是毋庸质疑人事实。但如任何新生事物一样，该法在个人信息的中国环境适配上出现了一些必然的磨合，有些令人拍案，以及留下一段模糊。

本文尝试着“无序地”、“想到一点写一点地”盘点《个人信息保护法》施行至今，那些“用力过猛”且看起来也似乎“矫枉过正”的理解和玩法。不论对错，权且仅当一家之言作为交流的源起，数据合规法律人尽可留言点赞或反对。

1 万能的“同意”滥用

曾几何时一刀下去，市面上所有的app都要在首屏弹窗，几乎清一色“同意” 和“不同意”，兜来转去的多屏挽留，用户还是只能点“同意”。这是一种典型的“暴力丑学”，明明个保法给了这么多合法性基础，但几乎没人敢用“我知道了”。如果哪一天有app敢螳臂当车用“我知道了”，请让我知道。

2 弹窗必然单独

单独同意和弹窗没有半毛钱关系，单独同意的方式多种多样，单独页面、单独勾选都可以是单独同意。大部分产品或业务不愿意单独弹窗，内在真的想法不是怕伤害业务和体验，而在于——为什么明明别人不来弹？不患寡而患不均。

3 什么都往里装的个人信息

个人信息保护法的起点是个人信息的认定，但自从设备标识符被作为特定场合中的示例列入35273，一堆号主就把任何乱七八糟的字符，不加场景分析下都当个人信息来合规。搞得现在，技术圈程序员们一天到晚和法务撕名牌——这怎么是个人信息？！更有甚者，用户的聊天记录、用户下载到相册的中的照片，都当成的个人信息来看待，还一板一眼地直到写进隐私政策中才感到安全，求全不求对。

4 自欺欺人的匿名化

匿名化只是相对不可识别的去标识化，匿名化一定是在特定场景和主体环境中的认定模式，要根据回复或关联个人信息的意愿及可能性来判断，是否匿名化需要一把公平秤进行检验。但中国匿名化方案，直到现在，都是各大厂商在隐私政策中，只是写出来进行自我安慰的话术，什么多方安全计算、同态加密隐私计算，只是既让用户不焦虑，也让自己不忧伤的方法。匿名化不是什么挡箭牌，匿名化本身就不是什么好鸟。

5 企业没有“合法利益”

个保法将gdpr中的企业合法利益去掉了，这可能也是因为合法利益太难评估定性了。但是自从没有合法利益，很多功能和场景，就没有直接相适配合法性基础，隐私政策其实是有些不伦不类了。还好几个司法判决，替企业守望住了。

6 头痛灸头，脚痛灸脚

当舆论对网络娱乐和游戏产品中出现的未成年人打赏问题，铺天盖地口诛笔伐时，大家一致谴责网络平台为什么不上人脸识别。而当平台尝试着往前走一小步用人脸，另又有人跳现来指责个人信息保护不力。

7 实名制中的法律依据

以各大平台似乎同一天一起发布前台实名公告，以及之前的IP地址显址为例。为啥个人信息保护做不好，就是因为似乎任何政策和规范性文件都可以成为极强强制力的“法律和行政法规”依据，然后被运用在无合法性基础的规则之上，各平台发文中强调“经用户同意”的措辞足可看出网络平台的挣扎和无奈，一边苦于找不到让大V前台实名的法律依据，另一边又只能看似自愿的同意后显名。没人再关注“法律效力”这玩意，对法学院走出的人来说，这有点落莫。

8 极力拉拢个保法

在个保法实施前后，笔者代理了多起典型的个人信息典型案例，无一例外，不管事实发生在11月1日前还是之后，法院均一律拉拢个保法或者个保法精神作为裁判依据，一度让我对法不溯及既往的法理产生些许不适。但这兴许就是滚滚红尘吧。

9 把大数据杀熟当成单纯法律问题

大家只知道数据杀熟的不对，但数据杀生呢？国家、地方、一切解读都似乎不希望发生“个性化定价”，甚至什么才是合理的差异化定价，什么才是相同的条件，却难以道清，不得说明。这件事吧，总归还得回到经济学原理上去考虑。人人都谈的绍兴案，和大数据杀熟其实也没有半点关系。

10 副本问题，远没解决

2021年在代理媒体称为首例副本权诉讼案时，个人信息副本问题在中国没有可抄写的答案。副本的范围，副本写到什么程度，至今大部分app用几k文本就解决掉了，而我们看看海外这些巨头们，没几个G是下不来的。不是说什么都必须给副本，不是说每个副本都还要同步说明目的方式，不然写隐私政策做什么？

11 沿街扫楼，谁都得建内部数据制度

中小企业和大类平台的合规能力不同，合规成本更是不一样。而公安机关径直称沿街小店们，但凡有放台电脑在店里，就可能以“未指定数据安全管理制度，未采取必要措施保障数据安全“来作警告等处罚（还好不是责令改正，否则下次就可能坐牢了）。大胆猜测，中国任何一条沿街放了电脑了小店铺，99.9%以上都不可能知道什么叫做数据安全管理制度。所有平台都一样一类监管，必然是不公平的。

12 数据跨境需更自信和透明

数据出境评估结果真的只有结果，没有过程。通过和不通过的业务场景通过和不通过的字段，可以出就可以出，不可以出也不知道为什么不可以出。关键是，无解。希望出境可以更透明，跨境数据新规真的能落地。

13 数据行业“人才”辈出

某数据领域法规出台后，看到行业内有位智库前辈一口气开了一门大课卖钱，出于好奇也买了。过了几天，发现这位前辈在媒体上高谈阔论离婚生育法律问题，瞬间感觉要喷饭，赶紧去把课退掉了。希望越来越多人加入这个领域潜心研究，但不希望功利的短期捞金者，来装大咖误人子弟。

14 套娃式治理不断

当我们还得意于生成式人工智能立法，而困惑于一堆套娃式备案和安全评估，一个门槛加一个门槛之时，Meta大模型Llama 都已经开源并允许免费用于研究和商业用途了，感觉是我们主动放弃了一个时代机遇。真的，企业要上一个创新玩意真的很难，适当时候平衡下经济发展和个人权利保护，真是一个很重要的命题。

来源：网络法实务圈