刘文印表示 ， 如果“拒绝” ， 甚至可以自动投诉到监管机构 。 如果在登录易中设置自动授权“同意”的条件 ， 自动检查信息请求是否满足 ， 就可以自动授权 ， 提高效率 ， 同时留下“单次通知知情-单次同意”的日志记录 ， 作为证据 。
然而 ， “很多企业还不知道如何才能自动合规 ， 实现上述规则 ， 尤其是单独‘同意’的规则在实践中如何落地” ， 刘文印表示 ， 因为这是一个全新规则 ， 比普通的“同意”更难获得 ， 需要有单独的通知 ， 让用户知情 ， 并明确授权“同意” ， 不能一开始在用户协议或隐私政策一次性打钩就算永久“同意” ， “授权”了 。
因为数量上加上技术上客观存在的难题 ， 游云庭介绍 ， 多数情况下 ， 互联网公司会做“踩线”的事 ， 比如在产品设计时就把它设计成一个容易混淆 ， 方便他们在接受审查时有退路的架构 ， 处理成一个看似合规合理的模式 。
为什么这么做？游云庭表示 ， 因为这涉及一个监管部门的审计能力问题 。 因为目前我们的监管机构缺乏相应的审计能力 ， 即如何判定互联网公司的某个设计是否违法 ， 或者一旦发生数据安全违法事件 ， 如何判定违法还需要查看相应的产品设计方案及程序源代码 。
“如果要加强执法的话 ， 其实要提升相应的数据审计能力 ， 这个成本由谁来承担” ， 游云庭表示 ， 如果由平台公司承担 ， 那就变成了一个“猫鼠游戏” ， 把“老鼠”都抓光了 ， “猫”也就不用活了 。
数据出境到底怎么出
一个可能更为棘手的问题是 ， 涉外企业的数据出境问题该如何解决？
王岩飞介绍 ， 他所感受到的是 ， 企业对于数据出境问题还是有很多急需法律普及的盲点 。 “很多企业暂时不知道怎么做 ， 而且有的是跨国公司” 。
作为高校教师 ， 刘文印所在的网络安全圈子也经常遇到来自企业界的类似困惑 。 因为很多境内外都有业务（或者国内运营 ， 用户主要在境外）的公司就会遇到“数据出境”和“个人信息保护”的双重问题 。
涉及这类业务的不仅有外资企业 ， 还有中资企业 ， 比如在境外设有子公司的 ， 或境外只有贸易业务的 。 以外资企业为例 ， 国家统计局《中国统计年鉴2021》的数据显示 ， 2020年 ， 我国共有外商投资企业户数总计63.54万家 ， 同比增长1.3% 。
随着数字经济全球化的推进 ， 数字贸易日益成为区域经贸协定的重要内容 ， 我国数字贸易金额也越来越大 。 商务部的数据显示 ， “十三五”时期我国数字贸易额由2015年的2000亿美元增长到2020年的2947.6亿美元（约合人民币2万亿元） ， 增长47.4% ， 占服务贸易的比重从30.6%增长至44.5% 。
“比如 ， 有一家叫‘XX思维’的在线教育App ， 因为收集了太多个人信息 ， 三天两头收到监管部门的通知整改” ， 刘文印说 ， 因为该App的不少用户在境外 ， 不仅要符合中国的法律 ， 海外也得合规 ， 包括符合欧盟GDPR的规定 。
对于金融企业来说 ， 也有一些问题亟待解决 。 王岩飞介绍 ， 金融企业不仅要履行反洗钱法律责任 ， 如果某家商业银行是在海外注册的 ， 不仅要做好反洗钱合规工作 ， 基于其归属地的法律 ， 还需要把信息对冲过去 ， 就又涉及数据出境问题在不同法律之间怎么协调处理问题 。 “我觉得是个难点” 。
急需解决的问题不仅于此 。 游云庭表示 ， 当企业在为数据出境感到困惑时 ， 我们的监管部门力量还无法匹配 。 即当所有涉及数据出境的企业都要求到监管部门备案时 ， 监管部门能否都及时审批过来？如果不能 ， 那企业数据出境业务怎么开展？