引言

云计算、区块链、大数据与人工智能的叠加演进，已将全球推入“数据即生产要素”的深度数字经济阶段。数据呈现“海量、实时、低密度”的典型特征，单点数据或孤立数据集难以产生社会价值，唯有通过流动、共享与算法加工，方可形成可持续的价值链条。这一“流动性、即时性、公共性”的三重属性，对传统“静态—属地”治理范式提出系统性挑战。

01 时代的挑战：四重张力

一是监管架构的分散化与集中化张力。不同于欧盟单一数据保护机关模式，我国采行“网信统筹、行业协同”的分散监管格局。网信办、工信部、公安部、市场监管总局等多部门均被授予相应权限，形成“九龙治水”的现实图景。其优势在于专业分工与行业深耕，潜在风险则在于规则竞合、标准不一与执法缝隙。

二是审批留权与合规成本的结构性矛盾。《个人信息保护法》出于国家安全考量，保留了不少类审批事项，如：个人信息出境的安全评估、向境外执法机构提供境内的个人信息、信息处理活动的合规审计等。在全球业务“7×24”不间断运营的背景下，审批周期与商业节奏之间的张力日益凸显。尤其是对中概股企业而言，需同时应对中美两国在审计底稿、跨境数据流动、信息披露上的双重合规要求，滴滴事件后网络安全审查的强制化更放大了政策不确定性。如何在“安全可控”与“效率可期”之间求得动态平衡，成为制度演进的关键命题。

三是规范叠加与企业的合规困境。现行规范体系呈现“横向多法并存、纵向多层细化”的复杂格局。横向《个人信息保护法》、《数据安全法》、《网络安全法》、《关键信息基础设施安全保护条例》、《网络数据安全管理条例》，以及汽车、金融、医疗等行业的特别规定；纵向国家标准、行业标准、技术指南、征求意见稿层出不穷。对中小企业而言，全面合规几近“不可承受之重”；对大型平台而言，则需投入专门团队与预算进行持续审计与系统改造。立法机关与监管机构亟须通过“合规指引+技术工具包”的方式，降低制度性交易成本。

四是新兴技术的治理缺口。人工智能以ChatGPT为代表的大模型依赖海量训练数据，训练语料往往来源于公开网络爬取，其中包含大量个人信息。模型推理阶段亦存在输入数据泄露、提示注入攻击、输出内容不当等新型风险。现行“告知同意”框架难以覆盖训练阶段的“群体数据抓取”，需要引入“合法利益豁免、算法透明度、可撤销机制”的复合治理方案。区块链作为分布式账本技术通过共识机制与密码学手段，将“数据处理者”概念解构为去中心化节点。其“不可篡改、不可删除”的特性与《个人信息保护法》第四十六条、第四十七条确立的更正权、删除权形成直接张力。

02 全球治理协同：从碎片化到“中国方案”

当前，国际层面尚未形成统一的数据跨境流动规则。美国以“数字贸易自由化”为导向，倡导最低限度的监管干预；欧盟则以“基本权利保护”为核心，强调充分性认定与高标准例外排除。两大范式并存导致全球治理呈现“规则碎片化”与“标准竞争化”态势。我国秉持“人类命运共同体”理念，以共建共享为原则，积极推动“一带一路”建设，参与国际事务的治理。目前，我国已经与日本、韩国、澳大利亚、新西兰和东盟十国共十五方成员达成了《区域全面经济伙伴关系协定》（RCEP），在第十二章电子商务部分，将“参考国际标准、原则、指南和准则”纳入条约义务，为区域性个人信息保护冲突提供了协调路径。未来，中国应进一步主动参与并主导多边或区域条约的制定，推动国内规则与域外制度的有效衔接；通过发布《个人信息治理白皮书》、设立国际司法交流平台、典型案例裁判说理等方式，提升我国法治话语的国际认同度；利用自由贸易试验区负面清单、跨境数据流动绿色通道等制度创新，扩大我国数据治理规则的示范效应，逐步形成具有全球影响力的“中国方案”。

03 社会共治体系：自律、认证与信用修复

世界各国对个人信息权利的相关立法一般被视为隐私权或者个人信息层面上的权利。在治理手段上，各国运用行业自律机制是较为普遍的措施，是弥补政府监管外的一种强有力的治理路径，在规范市场主体违法行为、维持市场正常秩序上发挥着极其重要的作用。比如，美国公布的《全球电子商务框架》指出，联邦政府应当鼓励行业自律，采用行业自律模式保护私领域的个人隐私，个人信息安全上的规范大部分由民间机构的行业规则、公司内部制度等组成。相较之下，我国行业自律组织尚处起步阶段，技术标准与管理规范与国际先进水平存在差距。随着社会发展及公民隐私意识加强，消费者对个人信息安全的需求也越来越高，从某种程度上迫使有关部门、企业等信息控制、运用、经营等主体必须采取措施不断升级隐私安全技术与标准。强化行业自律组织和行业标准的自律、服务规制效果显得尤为重要。个人信息处理者自主参与行业标准的制定及行业自身的自律监管，建立自律惩戒与信用修复机制，将更有利于对于标准的认同和遵守，也能快速灵活应对行业的变化和个人信息保护的需求。

另外我国可设置第三方认证机构，有利于分担行政监管机构压力，这类由政府批准建立或者认可的个人信息跨境处置的第三方认证机构应当保证专业水平高、权威性强，对跨境传输、敏感信息处理等高风险场景进行合规评估与持续监督，认证结果可作为行政检查减免的参考依据。第三方认证机构失误造成个人信息跨境违法违规的，应该承担相应赔偿责任，并可给予停业、吊销许可证件、罚款、限制从业等行政处罚。

04 技术治理创新：从匿名化到联邦学习    

数据治理是一项系统工程，不仅涉及技术、经济、法律，还涉及政策、环境、公共管理等多个方面，需要多元主体的共同努力。科技技术的高速发展一方面给个人信息保护带来了挑战，同时也为信息保护提供了更多的支撑和保障手段，既是风险源，也是治理工具。

从各国对个人信息的定义来看，可识别性是界定个人信息的关键标准。我国亦是如此。个人信息不包括匿名化处理后的信息。各种脱敏和匿名化创新技术也是个人信息保护的利器在各行业广为应用。比如支付标记化技术(Payment Tokenization)。支付标记化技术是国际芯片卡标准化组织EMVCo发布的一项通过支付标记代替银行卡号进行交易验证的技术，支付标记化以不可逆标记替代银行卡主账号，限定使用场景与设备，阻断敏感信息泄露链路。不仅有效防范交易各环节的持卡人敏感信息泄露风险，还降低了欺诈交易的发生概率。中国银联和苹果公司在2016年合作推出的移动支付方案“苹果支付”就采用了支付标记化技术，有效规避了敏感信息泄露的风险。

区块链技术作为底层技术具有天然的抗攻击性，区块链不存在中心化的管理机构，信息分散保存在各个节点，链中单个节点受到攻击不会危及其他节点的安全。且如果删改任意一个区块里的内容都会改变本区块的哈希值，从而导致下一个区块失效。据此，无论是账户持有人还是攻击者均无法随意修改。当前，在加密货币市场中，大型加密货币安全性很高，从侧面验证了区块链强大的抗攻击性。币种的网络规模越大意味着诚实节点越多，在抵御外部攻击方面较传统信息存储方式具有明显的优越性，所以诸如比特币、以太坊等很难被攻克。同时从某种意义上解决了中心化模式下数据控制者对数据的垄断问题，使用户拥有了真正的个人信息保护自主权。区块链具还有匿名性的特点，即使在很多区块链应用中，所谓的“匿名”只能达到“化名”的效果，但对直接识别的个人信息依然具有保护作用。这种方式减少了社会机构为进行验证而储存个人信息的情况，从源头避免了内部人的非法传播。区块链技术存在前文所述个人信息更正权、删除权难以行使的问题，但通过链上治理机制明确节点责任，为监管部门提供可追责的“逻辑主体”。目前区块链在智能合约、司法存证、产权登记、法律监管等多场景予以应用，对于支撑数据要素流通、保障数据更可信可以发挥更大的作用。区块链技术为个人信息保护和数据可信流通提出了更多的路径和方法，值得深入研究。

此外，还有其他各种数据“可用而不可见”创新技术。联邦学习技术就是一种加密的分布式机器学习技术，参与各方可以在不披露底层数据的前提下共建模型，从而实现各机构自有数据不出本地，通过加密机制下的参数交换方式使各机构在不交换数据的情况下进行协作，提升机器学习的效果。联邦学习可以充分保障信息安全，有望成为下一代人工智能协同算法和协作网络的基础。

END

结语

未来，技术治理的关键在于以法律标准设定“底线”，以行业标准划定“基线”，以技术创新突破“上限”，通过代码审计、算法备案、可验证计算等手段，形成法律与技术耦合的动态治理范式。

作者名片

*本平台的文章仅供交流之用，不代表博硕律师事务所观点或律师的专业法律意见，若需要专业法律咨询或分析，请直接与博硕律师事务所联系。转载事宜请发送信息至后台获取授权，须注明来源及出处。

撰稿：闫小菊

审核：王千 石浩 陈倩倩 薛娇

编辑：李沛源

IP属地：中国 陕西