今年两会，第三年履职的全国政协委员蒋颖又多了一些新鲜的体验。受疫情影响，很多采访都只能采用视频连线的方式。

“这几天，我下载了五六个视频直播App，还在房间里面摆弄直播设备”，她笑称，“我想，这次两会以后我都能成为直播小能手了。”

蒋颖乐于接受和观察新事物的态度也体现在每年带来的提案中。2018年两会，《慈善法》实施一年半，她关注到慈善税收制度存在的问题；去年，“史上最严”的欧盟《通用数据保护条例》（GDPR）实施后引发全球“地震”，她建议中国建立个人信息保护组织，来统一和协同国内外的法律法规。而今年，她把疫情写进了提案。

她指出，疫情期间，大量社区、物业、商圈等基层组织成为个人信息主要采集者，但各方对采集数据的方式、标准不统一、安全隐患大，后期的销毁和去隐私化也缺乏相应规范。此外，在线新经济的快速发展也对个人信息保护带来了新的挑战。

围绕等疫情后数据如何“善后”、全球个人信息保护发展趋势如何影响企业合规等热点话题，南都对全国政协委员、德勤中国副主席蒋颖进行了专访。

全国政协委员、德勤中国副主席蒋颖。受访者供图

南都：今年你带来了一份名为《关于加强常态化防控下的个人信息保护》的联合提案，为什么会关注到这个问题？

蒋颖：疫情期间，为了保护大家的健康，很多个人信息都被采集了，不管是我们个人的一些旅行信息、家庭信息，还是工作上的一些信息。比如我那时候进办公楼，就要登记手机号和身份证，不登记就不能进，也不知道这些数据之后怎么处理了。

在疫情这种大事件面前，大家出于保护自己、家庭、社会的心理，非常积极地贡献了自己的信息。但我们也发现，采集信息的平台很多，但基本没有相应的标准规范。这么多平台会怎么使用和保管这些信息，其实我们个人是无法控制的。

这其实不是个新问题，但是因为疫情的关系，被推到了风口浪尖。从个人信息安全的角度来看，还是回归到对数据的分类管理和全流程管理上，这不仅仅针对特定的事件，应该拓展到一个广泛的层面。

南都：你建议如何处理疫情期间收集的数据？

蒋颖：首先重大事件中如果需要收集信息，可以提前备好预案，针对不同响应等级的重大突发事件，建立个人信息分级分类采集标准。这次信息收集这块的预案显然不够充分，有没有可能借着这次机会，出台一个预案？而不是到时候再去想。

另外我认为应该把数据如何“善后”纳入现有的法律法规，建立疫情过程中个人信息采集、存储、应用、去隐私化和销毁全流程管理机制。我相信大多数采集平台不会去滥用这些信息，但也不排除被不法分子获取的可能。所以我希望监管部门能完善相关法律法规，这样后续的管理也会相对简单一点。

南都：去年，国内外都出台了很多个人信息保护领域的法律法规和标准规范。这释放了什么信号？

蒋颖：过去一年多的时间，中国的个人信息保护领域有非常多的行动，监管变得更加广泛和更加核心，对企业的影响还是挺大的。

比如去年初开始大规模开展App违法违规收集使用个人信息专项治理，同时相关的标准规范也在不断升级。我希望，也觉得应该是在为个人信息保护法铺路，因为我们最终肯定需要出台一部有相对比较完整的顶层设计和实施细则的法律。

国外方面，引起关注比较多的是《加州消费者隐私法案》。加州是美国人口和GDP最大的一个州，这项法案也被认为是美国各州隐私立法里最严格的，势必会对整个美国产生一些影响。总体来看，很多国家都希望能对个人信息保护领域进行规范。

南都：据你观察，《加州消费者隐私法案》出台之后对“走出去”的企业有哪些影响？

蒋颖：我们在美国——不单单是在加州——做过一个关于消费者个人信息保护的调研，其实很能反映消费者的真实看法。参与调研的美国两千多个消费者中，有差不多一半觉得他根本无法控制自己的个人信息，不知道哪些信息被哪些人掌握；还有85%的消费者说如果个人信息被侵犯，他不会再去那个商家。

这其实是消费者最直接的感受，最终会体现到商业决定上去。对于零售行业来说，现在出现了一个拐点，如果不解决合规问题，最终消费者会流失。但参与调研的70%以上厂商认为合规成本对他们的运营有影响，只有20%多的企业认为自己已经做好准备了。

我觉得这是很有意思一个问题，合规不是一个小事情，你要真的做到用最严格的标准，比如GDPR，成本是非常高的。这个成本我相信很多具有社会责任感的企业愿意去承担，但是如果这个成本大到它无法承受，而且无法从市场得到回报，其实是很难的一种事情。

南都：这的确是企业面临的一大挑战。有什么解决办法吗？

蒋颖：如果消费者愿意为付出合规成本的企业和产品多花一点点钱，为保护隐私买单的话，我相信对推进整个合规工作是有帮助的。

大家当然可以说，保护消费者的个人信息是一个底线，是企业应该做的。我觉得这也是对的，问题是它的成本实在太高了，不管是技术还是管理，包括很多中国的企业在美国做这些合规工作，他们也会认为这个成本是非常高的。

所以如果一家企业的隐私保护做得非常好，消费者也愿意在价格上面多出一点，我觉得可能最终可以形成平衡。但就目前来说，要做到还是有点难度。

南都：在各国个人信息保护标准不一的大环境下，企业应该如何合规？

蒋颖：从德勤来讲，我们的企业合规业务做得越来越好，市场需求也越来越大。这几年我们一直在推一个理念：隐私权的觉醒和全面保护。

一家企业拿了我们的个人信息，并不是说只保留在接收端，而是会融入到很多的业务流程里面去。所以我们如果真的要去帮助一家企业合规，不管在哪个国家，我们要看到的是一家企业真正把隐私权当成是一个非常重要的权利来保护。其实以前我也说过，如果一家企业没有把保护客户信息作为它的战略之一的话，它是很难完全合规的。

比如很多中国企业需要在中国合规，也需要到美国或者是欧洲去合规，每个地方的法规还不一样。那么对一家企业，特别是一家总部在中国的企业来讲，他是只要符合当地的法规就可以了呢，还是说它要在公司层面建立一套原则性的规章制度，不管去哪只要符合这一套就行？我觉得这些问题已经越来越受到企业的重视了。

南都：你认为未来全球个人信息保护的发展趋势是更加趋同化还是差异化？

蒋颖：这是一个其实是蛮战略性的问题，也是一个非常好的问题。总体上我希望是趋同的，也看到一些趋势是在趋同，因为技术和业务其实越来越无国界。很多的产业链、资产的流动和一个产品从设计到销售，基本上都是全球配置的。

个人信息保护的法律法规本身在每个地方显得非常不一样，主要是因为每个国家的法律体系不太一样，但事实上里面的原则是越来越趋同的，只是同到哪个程度而已。这主要还是取决于相关技术在各个国家的成熟程度，以及每个国家的文化和经济形势等等。

你如果去看GDPR——它应该我们大家认为全球最严格的一套隐私保护法规，再去看《加州消费者隐私法案》，其实里面也有很多类似的规定，比如数据的删除权、访问权这些。我相信中国也是往这个方向去走的。

南都：在这样的发展趋势下，怎样才能真正地规范和保护“走出去”的中国企业？

蒋颖：我去年提交的《关于推进国际间个人信息保护规则充分认可的提案》就是关于这个问题，得到的回复是说这个问题政府很重视，也在出台各种各样的政策文件。我注意到《个人信息出境安全评估办法》也公开征求意见了。

在顶层设计上，我认为应该加快出台个人信息保护的法规。另一方面也可以与其他国家接轨，便于全球化企业合规。事实上，我相信国际对话一直在发生。我们对于个人信息“出海”有一些自己的规范的话，无论比欧洲严或者不严，至少能对我们出海企业有一个很强的规范作用，这也是有好处的。

采写：南都记者蒋琳

编辑：程姝雯

更多报道请看专题：【专题】2020年全国两会

对这篇文章有想法？跟我聊聊吧

蒋琳

程姝雯