尽管《个人信息保护法》目前仍处草案阶段,但根据近几年来已发布的法律、规章及规范文件或草案的发展情况来看,相应的概念和规定的文本越来越趋于一致,显示立法者的考虑在趋于成熟。所以,个人信息保护法的出台相信不会太久了。市场主体应当从现在开始就着手准备——现在想像不出还有哪个市场主体不是个人信息的处理者,换言之,所有在中国运营的市场主体都会受到这部法律的管辖。
但好消息是有的——从某种程度上看,《个人信息保护法(草案)》似乎显示出立法者放松了对个人信息跨境传输的监管刚性。
这表现在两个方面。首先,与此前颁布的《个人信息和重要数据出境安全评估办法(征求意见稿)》不同,草案不再强制所有存在跨境个人信息传输行为的“网络运营者”进行安全评估,而只强制关键信息基础设施运营者以及处理个人信息达到一定数量的主体进行安全评估。其次,草案还提供了两个替代性解决方案,即“社会监管”——请合格的认证机构进行认证,和“自我监管”——与境外接收者签订合同约束并监督境外接收者满足中国的个人信息保护要求(38条)。
当然,即使个人信息出境主体满足了上述要求,还有另一个强制要求是必须满足的,即必须满足个人信息主体的“知情—同意”权。饶是如此,前述“放松措施”仍然使得市场主体能够以更为灵活的方式满足这部法律的要求。
【作者为浩富同人组织发展与安全专家】