个人信息保护认证

个人信息保护认证

个人信息保护认证机构

当前,我国正在抓紧建立符合国际惯例的数据出境安全管理制度。2021 年,《个人信息保护法》发布实施,对个人信息出境设置了多种方式,包括“按照国家网信部门的规定经专业机构进行个人信息保护认证”。这一法律规定既提出了“个人信息保护认证”的概念,也确立了“个人信息出境认证”的出境方式。
认证机制作为个人信息的出境方式,是国际通行的做法,但尚未有成熟实施模式,各国也均在探索之中。近日,国家市场监管总局、国家互联网信息办公室联合印发公告,发布了《个人信息保护认证实施规则》,标志着我国个人信息出境认证制度正式进入实施阶段。这一制度借鉴了欧盟有关经验,并充分考虑了我国具体国情。

个人信息保护认证与个人信息出境认证的关系

根据我国《认证认可条例》,认证是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。这一规定指出了认证的对象,即产品、服务、管理体系。因此,“个人信息保护认证”是一个总体概念,其可以针对产品,也可以针对服务和管理体系。即,可以对一个产品是否能够保护用户的个人信息进行认证,也可以对企业、机构在开展某种活动中能否保护用户个人信息进行认证,还可以对企业机构自身是否能够保护用户个人信息进行认证,只是具体依据的技术依据不同而已。

显然,无论个人信息是否出境,个人信息处理者都有申请个人信息保护认证的客观需要,即我国建立的是通用的个人信息保护认证制度。但如果要在个人信息出境时采信认证结论,这还是不够的,需针对个人信息出境场景增加认证要求。这意味着,个人信息出境认证制度是个人信息保护认证制度的子集和增量。
也正因为如此,本次公布的个人信息保护认证,依据标准是 GB/T 35273《信息安全技术 个人信息安全规范》和《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》。申请个人信息保护认证的个人信息处理者应符合 GB/T35273《信息安全技术 个人信息安全规范》的要求;但如果认证结论要用于个人信息出境,还需符合《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》的要求。

我国个人信息出境认证制度的特点

近年来,我国着力建设数据出境安全评估制度,这是一种最严格的数据出境方式。但跨境经济活动的多样性、国际贸易流通的复杂性决定了,数据出境方式必然是灵活多样的,因此,必须加快建立个人信息出境安全认证机制,作为数据出境安全评估机制的重要补充,既坚决维护国家安全,又有效促进跨境贸易、便利数据流动。此次发布的《个人信息保护认证实施规则》对此进行了积极探索,其具有以下四个特点。
(一)首先开展数据安全认证顶层设计,个人信息出境安全认证是数据安全认证制度的其中一种应用
个人信息保护认证的对象包括产品、服务和管理体系,这一制度可以发挥多方面作用,用于个人信息出境仅是其中一种。因此,我国从总体上设计了数据安全认证制度,个人信息出境安全认证只是从属于这一顶层设计而已。即,我国先后发布数据安全管理认证和个人信息保护认证制度文件,明确了数据安全认证的工作架构,但也在其中对个人信息出境安全认证作了特殊安排,具体体现为这种场景下的认证依据是《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》。
(二)由国家市场监管总局和国家互联网信息办共同实施监管
欧盟在研究 GDPR 认证时,对数据安全认证提出了三种可能的监管模式:传统认证认可监管部门负责、数据保护机构负责、两者共同负责。我国采用的模式与后者类似。即,由国家市场监管总局和国家互联网信息办公室联合印发文件,共同实施。市场监管部门对流程、通用能力进行把关。网信部门从数据安全专业性方面进行把关。虽然目前只是发布了认证实施规则,但可以预见,后续将由两部门共同负责认证机构、审核员的审批和监管。
(三)“急用先上”与“稳步推进”相结合
任何认证,都应当基于标准或技术规范。但数据安全是新事物,标准不一定很完备,这就需要有权威的技术规范。6 月 24 日,全国信息安全标准化技术委员会发布《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》,目的便在于此。但是,这毕竟还不是国家标准。只能用于解决暂时问题。为此,早在今年 3 月,全国信息安全标准化技术委员会便提出,要在 2022 年立项制定国家标准《信息安全技术 个人信息跨境传输认证要求》。目前,该国家标准的立项工作正在顺利推进,有望早日制定完成。
(四)从制度设计上强化对数据发送者和接收者的监督管理
数据出境后,数据安全监管部门难以监管接收者履行数据保护义务的情况,需在合同上下功夫,并压实数据发送者监督合同履行的责任。为此,《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》规定,个人信息处理者和境外接收方之间应当签订具有法律约束力和执行力的文件,确保个人信息主体权益得到充分的保障。此外,上述认证规范还要求,个人信息处理者和境外接收方均需承诺接受中华人民共和国认证机构对个人信息跨境处理活动的监督,包括答复询问、例行检查等。

信息安全咨询公司

信息安全咨询公司