其一是对个人信息处理者信息处理行为进行具体的行为规制，如《个人信息保护法》第二章中对于包括“收集、存储、使用、加工、传输、提供、公开、删除”在内的个人信息处理的重要环节都进行了规制。具体而言，个人信息处理者在开展个人信息处理行为前，应当依照《个人信息保护法》第十三条规定的情形，根据处理个人信息的目的确定适当的合法性基础。再如，个人信息处理者在将个人的同意作为处理个人信息处理行为的合法性基础时，《个人信息保护法》规定，其应当依照第十四至十八条关于告知的内容和例外、个人的同意形式、同意的撤回、同意的自愿性质等进行确定。此外，第十九条规定，个人信息处理者在处理个人信息时，应当遵循确定的个人信息存储时间最小化的准则。另外，《个人信息保护法》第二十至二十三条也对共同处理、委托处理、向其他个人信息处理者提供其处理的个人信息，以及“因合并、分立、解散、被宣告破产等原因需要转移个人信息”等不同情形进行了相对应的规制。而对于“敏感个人信息”的处理规则，《个人信息保护法》也在第二章第二节中作出了具体规定。

 

 

 

其二是对个人信息处理者的信息处理行为提出一种“评估式合规”要求（assessment-based compliance）。在这方面，不少国家和地区都颁布了相关的法律法规及标准。我国《个人信息保护法》提出的“个人信息保护影响评估”和欧盟《通用数据保护条例》（GDPR）提出的“数据保护影响评估”（data protection impact assessment）即为典型的例子。“评估式合规”并没有针对特定的个人信息处理活动提出明晰、确定的安全控制措施，而是要求组织针对特定个人信息处理活动，开展具体的风险分析，并采取与风险相称的安全控制措施，将对个人信息主体合法权益不利影响的风险降低到可接受的程度。相比于直接设定具体行为规范的规制路径，这种“评估式合规”的规范路径并非事先设定的，而是要求个人信息处理者在完成一个完整的风险评估流程后再提出具体的合规措施。简单来说，针对某一信息处理环节直接设定具体的行为规范，即直接明确“规定动作”；而“评估式合规”要求，则需要个人信息处理者通过风险评估这个“规定动作”得出合适的“自选动作”。因此，后者是基于“风险路径”，其核心目的是在一定场景中，超越“静态底线式”的个人信息保护合规，有效、全面地掌握信息处理行为对个人合法权益影响的风险变化，有针对性地提出安全保护措施，最终达到动态优化式的权益保护效果。这样的思路在个人信息处理行为日益复杂化、泛在化、链条化的今天尤为重要。