本报记者杜丽娟北京报道

    11月1日，《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）正式实施两周年。作为我国保护个人信息的专门性法律，法案明确要求不得过度收集个人信息，并对“大数据杀熟”以及人脸信息等敏感个人信息的处理做出界定。

    “自2021年11月1日法案施行以来，过去两年时间里，我们发现已经有很多企业将个人信息保护合规义务转化为日常运营工作的一部分，这增强了对个人隐私的保护力度。”一位外资公司市场咨询部相关人士告诉《中国经营报》记者。

    目前，在个人信息保护的各个细分领域，也出台了多部支持性法规及国家标准，总体看，基本形成了从顶层设计到政策落地的一整套个人信息保护框架。

    完善信息跨境传输路径

    相较之前，个人信息的跨境传输也有了明确规定。按照法案要求，个人信息的跨境传输在《个人信息保护法》生效后受到严格管控，《个人信息保护法》规定了三种合规出境方式，分别是安全评估、标准合同备案和个人信息保护认证。

    对于前两种方式，伴随《数据安全评估办法》正式生效，以及《个人信息出境标准合同备案指南（第一版）》发布，个人信息的跨境传输路径逐渐明确。“按照现有政策，个人信息保护认证的实施路径还在论证中，我们预测未来会逐步铺开。”上述人士介绍。

    记者了解到，2022年11月，《个人信息保护认证实施规则》发布，并对个人信息保护的认证依据、认证模式以及认证程序进行了阐述。与此同时，个人信息跨境传输认证的国家标准也正在制定中。

    为保障国家数据安全，保护个人信息权益，进一步规范和促进数据依法有序自由流动，国家互联网信息办公室就《规范和促进数据跨境流动规定（征求意见稿）》（以下简称《征求意见稿》）公开征求意见。

    《征求意见稿》提出，向境外提供100万人以上个人信息的，应当申报数据出境安全评估。但对国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境，不包含个人信息或者重要数据的，不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

    国家互联网信息办公室解释称，符合为订立、履行个人作为一方当事人的合同所必需，如跨境购物、跨境汇款、机票酒店预订、签证办理等，必须向境外提供个人信息的；紧急情况下为保护自然人的生命健康和财产安全等，必须向境外提供个人信息等情形之一的，不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

    据悉，《征求意见稿》内容共11条，对《数据出境安全评估办法》等数据出境前置监管规定进行了补充和豁免，且能动性地运用《个人信息保护法》的授权对现有体制进行重构，这引发了各界的广泛关注。

    业内人士认为，《征求意见稿》的发布，将从制度衔接、概念界定等角度对数据出境做出新规定，这有望进一步降低企业数据跨境流动的合规成本。

    提高信息保护效能

    根据Gartner的预测，到2024年，大型企业的年均隐私预算将超过250万美元，这说明隐私保护在企业合规管理中的重要性正在凸显。

    普华永道相关人士表示，个人信息保护是一项长期性工作，一个健全的个人信息保护管理体系不是一蹴而就的，需要企业在制度、人力、流程、工具等方面持续投入和积累。“对于企业来说，尤其是那些需要处理大量个人信息的企业，应该在内审、个人信息保护、信息安全等部门建立协同机制，并将个人信息保护纳入内部合规审计的范畴。”

    今年8月，国家互联网信息办公室还曾发布《个人信息保护合规审计管理办法（征求意见稿）》，并面向社会公开征求意见。该管理办法旨在指导、规范个人信息保护合规审计活动，为企业开展个人信息保护合规审计提供操作依据。

    从具体内容看，该管理办法是对《个人信息保护法》第五十四条和六十四条所提出的个人信息保护合规审计义务的具体落地。市场预计，该管理办法或将在短期内正式定稿生效，这会为企业开展个人信息保护提供更多参考路径。

    事实上，在《个人信息保护法》发布不久，工业和信息化部就发布了《关于开展信息通信服务感知提升行动的通知》，要求各相关企业应建立已收集个人信息清单和与第三方共享个人信息清单，并在APP二级菜单中展示，方便用户查询。

    2022年11月，国家市场监督管理总局、国家互联网信息办公室颁布《个人信息保护认证实施规则》，鼓励个人信息处理者通过认证方式提升个人信息保护能力，并规定了对个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证的基本原则和要求。

    上述咨询人士表示，具体操作中对涉及个人信息的，企业应当取得个人同意或者要符合法律、行政法规规定的其他情形。“当然更重要的是，未来还要强化对相关制度的落实，只有这样才能进一步提高个人信息保护效能。”