全球性解决方案仍然付之阙如
不过 ， 人们的期望是一回事；政府监管部门的想法是另一回事 。 2021年8月20日 ， 中国全国人大常委会通过了《个人信息保护法》（PIPL） ， 与另外两部法律并行 ， 组成中国治理网络安全、非个人身份数据和个人信息的“三驾马车” 。
这“三驾马车”分别是：《网络安全法》 ， 适用于中国境内建设、运营、维护和使用网络的活动 ， 以及网络安全的监管；《数据安全法》 ， 规范除个人信息以外的其他数据的安全、治理和交易；PIPL ， 适用于个人信息和相关事项 。
在草案阶段 ， 研究人士即指出 ， PIPL可能代表了美国的部门方法和欧盟全面的《通用数据保护条例》（GDPR）框架之间的第三种方式 ， 前者对特定行业或消费者类别适用不同的规则 ， 后者则在各种情况下体现了基本权利 。 在法律的草案阶段可以清晰看出 ， 中国不断发展的数据治理制度在强调消费者隐私的同时 ， 也通过数据本地化措施、跨境数据流动限制以及持续的监控和执法权力 ， 将国家安全放在首位 。
事实上 ， 最终通过的PIPL建立了一个类似于GDPR的机制 ， 但它在某些方面的要求更严格 。 比如 ， PIPL要求在处理敏感个人信息时应向个人披露更多细节 。 向境外提供个人信息的 ， PIPL要求披露每一个境外接收方的名称／姓名和联系方式 ， 并取得个人的单独同意 。 PIPL还要求控制者在若干种情形下进行安全影响评估 。 PIPL对关键信息基础设施运营者和处理个人信息达到规定数量的控制者提出了信息存储要求 。 此外 ， PIPL对跨境数据转移实行更严格的管控 。
从数据治理角度 ， 该法不仅重塑了中国的隐私法 ， 而且还将成为不断发展的全球隐私格局中的重要力量 ， 亦即成为对国际商业具有高度影响的监管框架 。
然而 ， 也正是因为这一点 ， 中国的PIPL与欧洲的GDPR之间 ， 可能会产生互操作性障碍 。 首先我们必须承认 ， 任何重要的隐私法都不可避免地要被拿来与欧洲的GDPR相比较 。 这部分是因为它提供了一个全面的框架 ， 启发了包括中国在内的其他司法管辖区的监管 ， 但同时也因为欧洲的规则适用于欧洲人的数据在世界各地的处理方式 ， 令GDPR成为任何处理跨国个人数据的参考点 。
在许多方面 ， 中国的法律显示出与GDPR的相似之处 ， GDPR中的几个被广泛采用的隐私最佳实践 ， 包括数据最小化（data minimisation）和目的限制 ， 都体现在中国的法律中 。 广义上说 ， 个人信息、敏感信息、个人权利和处理的法律依据的定义都与GDPR有相似之处 ， 但其中也存在重要区别 ， 最大的区别在于与国家安全有关的规定 。
原则上 ， GDPR促进了数据的跨境自由流动 ， 提供了若干法律转移机制 。 然而 ， 虽然一些欧盟委员会官员公开批评数据本地化措施 ， 但其他人似乎支持这一概念 。 在此方面 ， PIPL发出了毫不含混的信息 。 根据《网络安全法》 ， 包括个人数据在内的关键信息基础设施（CII）数据必须存储在中国境内 。 PIPL将这一要求扩大到了非CII运营商处理的个人数据 ， 代表着《网络安全法》和《数据安全法》中现有数据本地化措施的扩展 ， 这些措施都与GDPR在满足条件下实现数据流动的机制相悖 。 虽然与GDPR的一些差异是可以预期的 ， 但这方面的不一致可能会破坏数据保护 ， 并可能阻碍数据制度的互操作性 。
对于PIPL来说 ， 隐私的追求主要是针对私营部门的风险 。 尽管个人数据处理规则同样适用于政府 ， 但现有的制度缺乏明确的措施和界限 ， 以做到在援引国家安全或公共利益时能够保护公民隐私 。 在后斯诺登时代 ， 虽然世界各地的公民和政府都在推动保护个人隐私免受政府监控 ， 但仍然没有一个全球性的解决方案来平衡高度的隐私问题和国家安全需求 。