個(gè)人信息保護(hù)認(rèn)證

個(gè)人信息保護(hù)認(rèn)證機(jī)構(gòu)

當(dāng)前，我國(guó)正在抓緊建立符合國(guó)際慣例的數(shù)據(jù)出境安全管理制度。2021 年，《個(gè)人信息保護(hù)法》發(fā)布實(shí)施，對(duì)個(gè)人信息出境設(shè)置了多種方式，包括“按照國(guó)家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證”。這一法律規(guī)定既提出了“個(gè)人信息保護(hù)認(rèn)證”的概念，也確立了“個(gè)人信息出境認(rèn)證”的出境方式。
認(rèn)證機(jī)制作為個(gè)人信息的出境方式，是國(guó)際通行的做法，但尚未有成熟實(shí)施模式，各國(guó)也均在探索之中。近日，國(guó)家市場(chǎng)監(jiān)管總局、國(guó)家互聯(lián)網(wǎng)信息辦公室聯(lián)合印發(fā)公告，發(fā)布了《個(gè)人信息保護(hù)認(rèn)證實(shí)施規(guī)則》，標(biāo)志著我國(guó)個(gè)人信息出境認(rèn)證制度正式進(jìn)入實(shí)施階段。這一制度借鑒了歐盟有關(guān)經(jīng)驗(yàn)，并充分考慮了我國(guó)具體國(guó)情。

個(gè)人信息保護(hù)認(rèn)證與個(gè)人信息出境認(rèn)證的關(guān)系

根據(jù)我國(guó)《認(rèn)證認(rèn)可條例》，認(rèn)證是指由認(rèn)證機(jī)構(gòu)證明產(chǎn)品、服務(wù)、管理體系符合相關(guān)技術(shù)規(guī)范、相關(guān)技術(shù)規(guī)范的強(qiáng)制性要求或者標(biāo)準(zhǔn)的合格評(píng)定活動(dòng)。這一規(guī)定指出了認(rèn)證的對(duì)象，即產(chǎn)品、服務(wù)、管理體系。因此，“個(gè)人信息保護(hù)認(rèn)證”是一個(gè)總體概念，其可以針對(duì)產(chǎn)品，也可以針對(duì)服務(wù)和管理體系。即，可以對(duì)一個(gè)產(chǎn)品是否能夠保護(hù)用戶的個(gè)人信息進(jìn)行認(rèn)證，也可以對(duì)企業(yè)、機(jī)構(gòu)在開展某種活動(dòng)中能否保護(hù)用戶個(gè)人信息進(jìn)行認(rèn)證，還可以對(duì)企業(yè)機(jī)構(gòu)自身是否能夠保護(hù)用戶個(gè)人信息進(jìn)行認(rèn)證，只是具體依據(jù)的技術(shù)依據(jù)不同而已。

顯然，無論個(gè)人信息是否出境，個(gè)人信息處理者都有申請(qǐng)個(gè)人信息保護(hù)認(rèn)證的客觀需要，即我國(guó)建立的是通用的個(gè)人信息保護(hù)認(rèn)證制度。但如果要在個(gè)人信息出境時(shí)采信認(rèn)證結(jié)論，這還是不夠的，需針對(duì)個(gè)人信息出境場(chǎng)景增加認(rèn)證要求。這意味著，個(gè)人信息出境認(rèn)證制度是個(gè)人信息保護(hù)認(rèn)證制度的子集和增量。
也正因?yàn)槿绱耍敬喂嫉膫€(gè)人信息保護(hù)認(rèn)證，依據(jù)標(biāo)準(zhǔn)是 GB/T 35273《信息安全技術(shù) 個(gè)人信息安全規(guī)范》和《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范》。申請(qǐng)個(gè)人信息保護(hù)認(rèn)證的個(gè)人信息處理者應(yīng)符合 GB/T35273《信息安全技術(shù) 個(gè)人信息安全規(guī)范》的要求；但如果認(rèn)證結(jié)論要用于個(gè)人信息出境，還需符合《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范》的要求。

我國(guó)個(gè)人信息出境認(rèn)證制度的特點(diǎn)

近年來，我國(guó)著力建設(shè)數(shù)據(jù)出境安全評(píng)估制度，這是一種最嚴(yán)格的數(shù)據(jù)出境方式。但跨境經(jīng)濟(jì)活動(dòng)的多樣性、國(guó)際貿(mào)易流通的復(fù)雜性決定了，數(shù)據(jù)出境方式必然是靈活多樣的，因此，必須加快建立個(gè)人信息出境安全認(rèn)證機(jī)制，作為數(shù)據(jù)出境安全評(píng)估機(jī)制的重要補(bǔ)充，既堅(jiān)決維護(hù)國(guó)家安全，又有效促進(jìn)跨境貿(mào)易、便利數(shù)據(jù)流動(dòng)。此次發(fā)布的《個(gè)人信息保護(hù)認(rèn)證實(shí)施規(guī)則》對(duì)此進(jìn)行了積極探索，其具有以下四個(gè)特點(diǎn)。
（一）首先開展數(shù)據(jù)安全認(rèn)證頂層設(shè)計(jì)，個(gè)人信息出境安全認(rèn)證是數(shù)據(jù)安全認(rèn)證制度的其中一種應(yīng)用
個(gè)人信息保護(hù)認(rèn)證的對(duì)象包括產(chǎn)品、服務(wù)和管理體系，這一制度可以發(fā)揮多方面作用，用于個(gè)人信息出境僅是其中一種。因此，我國(guó)從總體上設(shè)計(jì)了數(shù)據(jù)安全認(rèn)證制度，個(gè)人信息出境安全認(rèn)證只是從屬于這一頂層設(shè)計(jì)而已。即，我國(guó)先后發(fā)布數(shù)據(jù)安全管理認(rèn)證和個(gè)人信息保護(hù)認(rèn)證制度文件，明確了數(shù)據(jù)安全認(rèn)證的工作架構(gòu)，但也在其中對(duì)個(gè)人信息出境安全認(rèn)證作了特殊安排，具體體現(xiàn)為這種場(chǎng)景下的認(rèn)證依據(jù)是《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范》。
（二）由國(guó)家市場(chǎng)監(jiān)管總局和國(guó)家互聯(lián)網(wǎng)信息辦共同實(shí)施監(jiān)管
歐盟在研究 GDPR 認(rèn)證時(shí)，對(duì)數(shù)據(jù)安全認(rèn)證提出了三種可能的監(jiān)管模式：傳統(tǒng)認(rèn)證認(rèn)可監(jiān)管部門負(fù)責(zé)、數(shù)據(jù)保護(hù)機(jī)構(gòu)負(fù)責(zé)、兩者共同負(fù)責(zé)。我國(guó)采用的模式與后者類似。即，由國(guó)家市場(chǎng)監(jiān)管總局和國(guó)家互聯(lián)網(wǎng)信息辦公室聯(lián)合印發(fā)文件，共同實(shí)施。市場(chǎng)監(jiān)管部門對(duì)流程、通用能力進(jìn)行把關(guān)。網(wǎng)信部門從數(shù)據(jù)安全專業(yè)性方面進(jìn)行把關(guān)。雖然目前只是發(fā)布了認(rèn)證實(shí)施規(guī)則，但可以預(yù)見，后續(xù)將由兩部門共同負(fù)責(zé)認(rèn)證機(jī)構(gòu)、審核員的審批和監(jiān)管。
（三）“急用先上”與“穩(wěn)步推進(jìn)”相結(jié)合
任何認(rèn)證，都應(yīng)當(dāng)基于標(biāo)準(zhǔn)或技術(shù)規(guī)范。但數(shù)據(jù)安全是新事物，標(biāo)準(zhǔn)不一定很完備，這就需要有權(quán)威的技術(shù)規(guī)范。6 月 24 日，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范》，目的便在于此。但是，這畢竟還不是國(guó)家標(biāo)準(zhǔn)。只能用于解決暫時(shí)問題。為此，早在今年 3 月，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)便提出，要在 2022 年立項(xiàng)制定國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 個(gè)人信息跨境傳輸認(rèn)證要求》。目前，該國(guó)家標(biāo)準(zhǔn)的立項(xiàng)工作正在順利推進(jìn)，有望早日制定完成。
（四）從制度設(shè)計(jì)上強(qiáng)化對(duì)數(shù)據(jù)發(fā)送者和接收者的監(jiān)督管理
數(shù)據(jù)出境后，數(shù)據(jù)安全監(jiān)管部門難以監(jiān)管接收者履行數(shù)據(jù)保護(hù)義務(wù)的情況，需在合同上下功夫，并壓實(shí)數(shù)據(jù)發(fā)送者監(jiān)督合同履行的責(zé)任。為此，《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范》規(guī)定，個(gè)人信息處理者和境外接收方之間應(yīng)當(dāng)簽訂具有法律約束力和執(zhí)行力的文件，確保個(gè)人信息主體權(quán)益得到充分的保障。此外，上述認(rèn)證規(guī)范還要求，個(gè)人信息處理者和境外接收方均需承諾接受中華人民共和國(guó)認(rèn)證機(jī)構(gòu)對(duì)個(gè)人信息跨境處理活動(dòng)的監(jiān)督，包括答復(fù)詢問、例行檢查等。

信息安全咨詢公司