個(gè)人信息保護(hù)認(rèn)證機(jī)構(gòu)
當(dāng)前,我國(guó)正在抓緊建立符合國(guó)際慣例的數(shù)據(jù)出境安全管理制度。2021 年,《個(gè)人信息保護(hù)法》發(fā)布實(shí)施,對(duì)個(gè)人信息出境設(shè)置了多種方式,包括“按照國(guó)家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證”。這一法律規(guī)定既提出了“個(gè)人信息保護(hù)認(rèn)證”的概念,也確立了“個(gè)人信息出境認(rèn)證”的出境方式。
認(rèn)證機(jī)制作為個(gè)人信息的出境方式,是國(guó)際通行的做法,但尚未有成熟實(shí)施模式,各國(guó)也均在探索之中。近日,國(guó)家市場(chǎng)監(jiān)管總局、國(guó)家互聯(lián)網(wǎng)信息辦公室聯(lián)合印發(fā)公告,發(fā)布了《個(gè)人信息保護(hù)認(rèn)證實(shí)施規(guī)則》,標(biāo)志著我國(guó)個(gè)人信息出境認(rèn)證制度正式進(jìn)入實(shí)施階段。這一制度借鑒了歐盟有關(guān)經(jīng)驗(yàn),并充分考慮了我國(guó)具體國(guó)情。
個(gè)人信息保護(hù)認(rèn)證與個(gè)人信息出境認(rèn)證的關(guān)系
根據(jù)我國(guó)《認(rèn)證認(rèn)可條例》,認(rèn)證是指由認(rèn)證機(jī)構(gòu)證明產(chǎn)品、服務(wù)、管理體系符合相關(guān)技術(shù)規(guī)范、相關(guān)技術(shù)規(guī)范的強(qiáng)制性要求或者標(biāo)準(zhǔn)的合格評(píng)定活動(dòng)。這一規(guī)定指出了認(rèn)證的對(duì)象,即產(chǎn)品、服務(wù)、管理體系。因此,“個(gè)人信息保護(hù)認(rèn)證”是一個(gè)總體概念,其可以針對(duì)產(chǎn)品,也可以針對(duì)服務(wù)和管理體系。即,可以對(duì)一個(gè)產(chǎn)品是否能夠保護(hù)用戶的個(gè)人信息進(jìn)行認(rèn)證,也可以對(duì)企業(yè)、機(jī)構(gòu)在開展某種活動(dòng)中能否保護(hù)用戶個(gè)人信息進(jìn)行認(rèn)證,還可以對(duì)企業(yè)機(jī)構(gòu)自身是否能夠保護(hù)用戶個(gè)人信息進(jìn)行認(rèn)證,只是具體依據(jù)的技術(shù)依據(jù)不同而已。
顯然,無(wú)論個(gè)人信息是否出境,個(gè)人信息處理者都有申請(qǐng)個(gè)人信息保護(hù)認(rèn)證的客觀需要,即我國(guó)建立的是通用的個(gè)人信息保護(hù)認(rèn)證制度。但如果要在個(gè)人信息出境時(shí)采信認(rèn)證結(jié)論,這還是不夠的,需針對(duì)個(gè)人信息出境場(chǎng)景增加認(rèn)證要求。這意味著,個(gè)人信息出境認(rèn)證制度是個(gè)人信息保護(hù)認(rèn)證制度的子集和增量。
也正因?yàn)槿绱耍敬喂嫉膫€(gè)人信息保護(hù)認(rèn)證,依據(jù)標(biāo)準(zhǔn)是 GB/T 35273《信息安全技術(shù) 個(gè)人信息安全規(guī)范》和《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范》。申請(qǐng)個(gè)人信息保護(hù)認(rèn)證的個(gè)人信息處理者應(yīng)符合 GB/T35273《信息安全技術(shù) 個(gè)人信息安全規(guī)范》的要求;但如果認(rèn)證結(jié)論要用于個(gè)人信息出境,還需符合《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范》的要求。
我國(guó)個(gè)人信息出境認(rèn)證制度的特點(diǎn)
近年來(lái),我國(guó)著力建設(shè)數(shù)據(jù)出境安全評(píng)估制度,這是一種最嚴(yán)格的數(shù)據(jù)出境方式。但跨境經(jīng)濟(jì)活動(dòng)的多樣性、國(guó)際貿(mào)易流通的復(fù)雜性決定了,數(shù)據(jù)出境方式必然是靈活多樣的,因此,必須加快建立個(gè)人信息出境安全認(rèn)證機(jī)制,作為數(shù)據(jù)出境安全評(píng)估機(jī)制的重要補(bǔ)充,既堅(jiān)決維護(hù)國(guó)家安全,又有效促進(jìn)跨境貿(mào)易、便利數(shù)據(jù)流動(dòng)。此次發(fā)布的《個(gè)人信息保護(hù)認(rèn)證實(shí)施規(guī)則》對(duì)此進(jìn)行了積極探索,其具有以下四個(gè)特點(diǎn)。
(一)首先開展數(shù)據(jù)安全認(rèn)證頂層設(shè)計(jì),個(gè)人信息出境安全認(rèn)證是數(shù)據(jù)安全認(rèn)證制度的其中一種應(yīng)用
個(gè)人信息保護(hù)認(rèn)證的對(duì)象包括產(chǎn)品、服務(wù)和管理體系,這一制度可以發(fā)揮多方面作用,用于個(gè)人信息出境僅是其中一種。因此,我國(guó)從總體上設(shè)計(jì)了數(shù)據(jù)安全認(rèn)證制度,個(gè)人信息出境安全認(rèn)證只是從屬于這一頂層設(shè)計(jì)而已。即,我國(guó)先后發(fā)布數(shù)據(jù)安全管理認(rèn)證和個(gè)人信息保護(hù)認(rèn)證制度文件,明確了數(shù)據(jù)安全認(rèn)證的工作架構(gòu),但也在其中對(duì)個(gè)人信息出境安全認(rèn)證作了特殊安排,具體體現(xiàn)為這種場(chǎng)景下的認(rèn)證依據(jù)是《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范》。
(二)由國(guó)家市場(chǎng)監(jiān)管總局和國(guó)家互聯(lián)網(wǎng)信息辦共同實(shí)施監(jiān)管
歐盟在研究 GDPR 認(rèn)證時(shí),對(duì)數(shù)據(jù)安全認(rèn)證提出了三種可能的監(jiān)管模式:傳統(tǒng)認(rèn)證認(rèn)可監(jiān)管部門負(fù)責(zé)、數(shù)據(jù)保護(hù)機(jī)構(gòu)負(fù)責(zé)、兩者共同負(fù)責(zé)。我國(guó)采用的模式與后者類似。即,由國(guó)家市場(chǎng)監(jiān)管總局和國(guó)家互聯(lián)網(wǎng)信息辦公室聯(lián)合印發(fā)文件,共同實(shí)施。市場(chǎng)監(jiān)管部門對(duì)流程、通用能力進(jìn)行把關(guān)。網(wǎng)信部門從數(shù)據(jù)安全專業(yè)性方面進(jìn)行把關(guān)。雖然目前只是發(fā)布了認(rèn)證實(shí)施規(guī)則,但可以預(yù)見,后續(xù)將由兩部門共同負(fù)責(zé)認(rèn)證機(jī)構(gòu)、審核員的審批和監(jiān)管。
(三)“急用先上”與“穩(wěn)步推進(jìn)”相結(jié)合
任何認(rèn)證,都應(yīng)當(dāng)基于標(biāo)準(zhǔn)或技術(shù)規(guī)范。但數(shù)據(jù)安全是新事物,標(biāo)準(zhǔn)不一定很完備,這就需要有權(quán)威的技術(shù)規(guī)范。6 月 24 日,全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范》,目的便在于此。但是,這畢竟還不是國(guó)家標(biāo)準(zhǔn)。只能用于解決暫時(shí)問(wèn)題。為此,早在今年 3 月,全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)便提出,要在 2022 年立項(xiàng)制定國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 個(gè)人信息跨境傳輸認(rèn)證要求》。目前,該國(guó)家標(biāo)準(zhǔn)的立項(xiàng)工作正在順利推進(jìn),有望早日制定完成。
(四)從制度設(shè)計(jì)上強(qiáng)化對(duì)數(shù)據(jù)發(fā)送者和接收者的監(jiān)督管理
數(shù)據(jù)出境后,數(shù)據(jù)安全監(jiān)管部門難以監(jiān)管接收者履行數(shù)據(jù)保護(hù)義務(wù)的情況,需在合同上下功夫,并壓實(shí)數(shù)據(jù)發(fā)送者監(jiān)督合同履行的責(zé)任。為此,《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范》規(guī)定,個(gè)人信息處理者和境外接收方之間應(yīng)當(dāng)簽訂具有法律約束力和執(zhí)行力的文件,確保個(gè)人信息主體權(quán)益得到充分的保障。此外,上述認(rèn)證規(guī)范還要求,個(gè)人信息處理者和境外接收方均需承諾接受中華人民共和國(guó)認(rèn)證機(jī)構(gòu)對(duì)個(gè)人信息跨境處理活動(dòng)的監(jiān)督,包括答復(fù)詢問(wèn)、例行檢查等。
信息安全咨詢公司