备受瞩目的《个人信息保护法（草案）》（下称“草案”）目前仍在向社会公众征求意见的阶段。11月4日，数据保护官（DPO）草案专题研讨会在北京汉坤律师事务所举行。

草案研讨会分为两期。在此次第一期活动中，来自互联网企业、研究机构等数据安全一线的工作者结合实践案例，对草案中域外管辖、跨境提供规则、个人权利以及处理者的义务等规定进行了深入研讨。

10月13日，草案首次提请十三届全国人大常委会第二十二次会议审议。21日，草案全文在中国人大网公开并面向社会征求意见，意见反馈截止时间为11月19日。

在当前的网络信息时代，企业的跨境业务日渐增多。此次草案首次在法律层面明确了域外适用的标准，也为企业提供了更为丰富和灵活的个人信息跨境提供机制。

在研讨会上，DPO社群成员们关注较多的是如何理解境外处理者在境内设立专门机构或指定代表的要求，如何实现向境外提供信息取得个人单独同意等焦点问题。

此外，草案第五章向个人信息处理者提出了许多新义务，贝壳集团高级法务总监张朝认为，这章强调的是个人信息处理者义务的本质，实际上就是对风险的管控，总体目标要求包括合法——处理活动符合法律和行政法规的规定，和安全——防范未经授权的访问、泄露、被窃取、篡改、删除等两个方面。

张朝介绍，从具体操作层面来看，企业需要事先制定内部组织规则、数据保护合规规则，事中通过PIA（隐私影响风险评估）的流程进行颗粒度的风险防控，以及制定事后出现数据泄露事件的应对办法等等。

对于指定个人信息保护负责人这一要求，她谈到，相比于欧盟《通用数据保护条例》（GDPR）引入风险评估的概念以定性的方式规定，草案的规定比较笼统，是从定量的角度，要求处理的信息达到一定规模就需设立个人信息保护负责人。

DPO社群发起人洪延青随后回应表示，草案没有规定具体的信息数量，但不排除会按照《信息安全技术 个人信息安全规范》中“处理超过100万人的个人信息”的标准。

在场一家企业的法务提到，对个人信息保护负责人的支持问题，确实是一个实践中的合规难题。张朝也认为，这不仅是一个法律领域的问题，也涉及到企业管理问题，最难的是从管理层面去协调，以及不论是法务、安全还是业务方一起自上而下进行推动。

她建议，在个人信息保护负责人之外，可以再规定一个个人信息保护机构。同时，为了更好开展相关工作，未来能够有细化的规则给个人信息保护负责人一定的权限和资源。

草案第五十四条则规定了个人信息处理者在什么条件下需要启动事前风险评估，张朝表示，这是企业未来开展合规工作的灵魂。对此，她解释道，风险评估最难的是确保评估覆盖范围足够广，以及嵌入的节点足够前置，“其实这也是一个管理上的要求，需要把评估嵌入到项目业务的最前端，这就需要企业的法务和安全部门有比较强的影响力”。

洪延青对上述思路表示赞同。他还透露，下个月《信息安全技术 个人信息安全影响评估指南》会正式发布，和上述思路比较吻合。

对于个人信息处理者义务这部分的规定，在场DPO社群成员还针对定期审计的要求，是否可以有一些激励兼容以及事后免责的规定，以及个人信息泄露是否要告知到个人等问题进行了探讨。

随着数字化技术的发展，人们在享受便利的同时，也面临着个人信息泄露等诸多风险。对此，草案中第四章中明确了个人在个人信息处理活动中所拥有的权利，其中包括知情权、决定权、查阅复制权、删除权、规则解释权等。

与此同时，如何平衡个人信息保护与数字经济发展，也是企业关注的重点议题之一。美团数据合规法务总监刘笑岑认为，在个人信息处理过程中，有关个人权利的规定落地也是企业关心的焦点。她对个人权利中的查阅复制权和删除权进行了重点说明。

什么情况下，个人可以行使查阅复制权？GDPR与《加州消费者隐私法案》（CCPA）中都提到了一定的限制条件，如个人明显无理由或过度申请的，对方可以拒绝或收取合理费用。

刘笑岑认为，相较于欧美的上述法律，草案中未提及个人行使查阅复制权的限制条件。她表示，对于查阅复制的时限、频次，可以查阅的范围，通过什么形式提供，响应及延期时间等问题，草案没有明确的规定。

此外，针对在个人信息处理过程中的删除权，企业是否可以拒绝用户删除个人信息？草案中规定，法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止处理个人信息。

刘笑岑以GDPR和CCPA做对比，这两部法律中均指出，在一些场景下，可以拒绝相应的删除权，例如基于履行合同、科学研究或基于安全保障目的等。她表示，基于安全风控或产品调试的目的，拒绝对应的删除权，对企业来说，也是比较现实的问题。

对此，刘笑岑建议，应该在草案中增加一些关于个人权利行使的例外场景或限制条件，这样对于未来制定标准或法院进行认定等都有益处。

有DPO社群成员提出了删除权相关的困惑，即匿名化可否满足个人的删除权？就企业而言，即便是匿名化的数据也是有价值的，可不可以通过匿名化的方式来处理个人数据？

针对上述困惑，洪延青表示，草案中第四条提到，个人信息不包括匿名化处理后的信息。《信息安全技术 个人信息安全规范》中也提到，个人信息经匿名化处理后所得的信息不属于个人信息。因此，他认为，匿名化可以满足个人的删除权。

临近会议尾声，亦有一线法务人员呼吁，在个人信息处理过程中的个人权利能够在立法上做出一些限制和例外场景。

采写：南都记者李慧琪 实习生孙朝

摄像：实习生孙逸辉 南都记者潘颖欣

编辑：蒋琳