個人信息保護(hù)認(rèn)證機(jī)構(gòu)

當(dāng)前，我國正在抓緊建立符合國際慣例的數(shù)據(jù)出境安全管理制度。2021 年，《個人信息保護(hù)法》發(fā)布實施，對個人信息出境設(shè)置了多種方式，包括“按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個人信息保護(hù)認(rèn)證”。這一法律規(guī)定既提出了“個人信息保護(hù)認(rèn)證”的概念，也確立了“個人信息出境認(rèn)證”的出境方式。
認(rèn)證機(jī)制作為個人信息的出境方式，是國際通行的做法，但尚未有成熟實施模式，各國也均在探索之中。近日，國家市場監(jiān)管總局、國家互聯(lián)網(wǎng)信息辦公室聯(lián)合印發(fā)公告，發(fā)布了《個人信息保護(hù)認(rèn)證實施規(guī)則》，標(biāo)志著我國個人信息出境認(rèn)證制度正式進(jìn)入實施階段。這一制度借鑒了歐盟有關(guān)經(jīng)驗，并充分考慮了我國具體國情。

個人信息保護(hù)認(rèn)證與個人信息出境認(rèn)證的關(guān)系

根據(jù)我國《認(rèn)證認(rèn)可條例》，認(rèn)證是指由認(rèn)證機(jī)構(gòu)證明產(chǎn)品、服務(wù)、管理體系符合相關(guān)技術(shù)規(guī)范、相關(guān)技術(shù)規(guī)范的強(qiáng)制性要求或者標(biāo)準(zhǔn)的合格評定活動。這一規(guī)定指出了認(rèn)證的對象，即產(chǎn)品、服務(wù)、管理體系。因此，“個人信息保護(hù)認(rèn)證”是一個總體概念，其可以針對產(chǎn)品，也可以針對服務(wù)和管理體系。即，可以對一個產(chǎn)品是否能夠保護(hù)用戶的個人信息進(jìn)行認(rèn)證，也可以對企業(yè)、機(jī)構(gòu)在開展某種活動中能否保護(hù)用戶個人信息進(jìn)行認(rèn)證，還可以對企業(yè)機(jī)構(gòu)自身是否能夠保護(hù)用戶個人信息進(jìn)行認(rèn)證，只是具體依據(jù)的技術(shù)依據(jù)不同而已。

顯然，無論個人信息是否出境，個人信息處理者都有申請個人信息保護(hù)認(rèn)證的客觀需要，即我國建立的是通用的個人信息保護(hù)認(rèn)證制度。但如果要在個人信息出境時采信認(rèn)證結(jié)論，這還是不夠的，需針對個人信息出境場景增加認(rèn)證要求。這意味著，個人信息出境認(rèn)證制度是個人信息保護(hù)認(rèn)證制度的子集和增量。
也正因為如此，本次公布的個人信息保護(hù)認(rèn)證，依據(jù)標(biāo)準(zhǔn)是 GB/T 35273《信息安全技術(shù) 個人信息安全規(guī)范》和《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南——個人信息跨境處理活動安全認(rèn)證規(guī)范》。申請個人信息保護(hù)認(rèn)證的個人信息處理者應(yīng)符合 GB/T35273《信息安全技術(shù) 個人信息安全規(guī)范》的要求；但如果認(rèn)證結(jié)論要用于個人信息出境，還需符合《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南——個人信息跨境處理活動安全認(rèn)證規(guī)范》的要求。

我國個人信息出境認(rèn)證制度的特點

近年來，我國著力建設(shè)數(shù)據(jù)出境安全評估制度，這是一種最嚴(yán)格的數(shù)據(jù)出境方式。但跨境經(jīng)濟(jì)活動的多樣性、國際貿(mào)易流通的復(fù)雜性決定了，數(shù)據(jù)出境方式必然是靈活多樣的，因此，必須加快建立個人信息出境安全認(rèn)證機(jī)制，作為數(shù)據(jù)出境安全評估機(jī)制的重要補充，既堅決維護(hù)國家安全，又有效促進(jìn)跨境貿(mào)易、便利數(shù)據(jù)流動。此次發(fā)布的《個人信息保護(hù)認(rèn)證實施規(guī)則》對此進(jìn)行了積極探索，其具有以下四個特點。
（一）首先開展數(shù)據(jù)安全認(rèn)證頂層設(shè)計，個人信息出境安全認(rèn)證是數(shù)據(jù)安全認(rèn)證制度的其中一種應(yīng)用
個人信息保護(hù)認(rèn)證的對象包括產(chǎn)品、服務(wù)和管理體系，這一制度可以發(fā)揮多方面作用，用于個人信息出境僅是其中一種。因此，我國從總體上設(shè)計了數(shù)據(jù)安全認(rèn)證制度，個人信息出境安全認(rèn)證只是從屬于這一頂層設(shè)計而已。即，我國先后發(fā)布數(shù)據(jù)安全管理認(rèn)證和個人信息保護(hù)認(rèn)證制度文件，明確了數(shù)據(jù)安全認(rèn)證的工作架構(gòu)，但也在其中對個人信息出境安全認(rèn)證作了特殊安排，具體體現(xiàn)為這種場景下的認(rèn)證依據(jù)是《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南——個人信息跨境處理活動安全認(rèn)證規(guī)范》。
（二）由國家市場監(jiān)管總局和國家互聯(lián)網(wǎng)信息辦共同實施監(jiān)管
歐盟在研究 GDPR 認(rèn)證時，對數(shù)據(jù)安全認(rèn)證提出了三種可能的監(jiān)管模式：傳統(tǒng)認(rèn)證認(rèn)可監(jiān)管部門負(fù)責(zé)、數(shù)據(jù)保護(hù)機(jī)構(gòu)負(fù)責(zé)、兩者共同負(fù)責(zé)。我國采用的模式與后者類似。即，由國家市場監(jiān)管總局和國家互聯(lián)網(wǎng)信息辦公室聯(lián)合印發(fā)文件，共同實施。市場監(jiān)管部門對流程、通用能力進(jìn)行把關(guān)。網(wǎng)信部門從數(shù)據(jù)安全專業(yè)性方面進(jìn)行把關(guān)。雖然目前只是發(fā)布了認(rèn)證實施規(guī)則，但可以預(yù)見，后續(xù)將由兩部門共同負(fù)責(zé)認(rèn)證機(jī)構(gòu)、審核員的審批和監(jiān)管。
（三）“急用先上”與“穩(wěn)步推進(jìn)”相結(jié)合
任何認(rèn)證，都應(yīng)當(dāng)基于標(biāo)準(zhǔn)或技術(shù)規(guī)范。但數(shù)據(jù)安全是新事物，標(biāo)準(zhǔn)不一定很完備，這就需要有權(quán)威的技術(shù)規(guī)范。6 月 24 日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南——個人信息跨境處理活動安全認(rèn)證規(guī)范》，目的便在于此。但是，這畢竟還不是國家標(biāo)準(zhǔn)。只能用于解決暫時問題。為此，早在今年 3 月，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會便提出，要在 2022 年立項制定國家標(biāo)準(zhǔn)《信息安全技術(shù) 個人信息跨境傳輸認(rèn)證要求》。目前，該國家標(biāo)準(zhǔn)的立項工作正在順利推進(jìn)，有望早日制定完成。
（四）從制度設(shè)計上強(qiáng)化對數(shù)據(jù)發(fā)送者和接收者的監(jiān)督管理
數(shù)據(jù)出境后，數(shù)據(jù)安全監(jiān)管部門難以監(jiān)管接收者履行數(shù)據(jù)保護(hù)義務(wù)的情況，需在合同上下功夫，并壓實數(shù)據(jù)發(fā)送者監(jiān)督合同履行的責(zé)任。為此，《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南——個人信息跨境處理活動安全認(rèn)證規(guī)范》規(guī)定，個人信息處理者和境外接收方之間應(yīng)當(dāng)簽訂具有法律約束力和執(zhí)行力的文件，確保個人信息主體權(quán)益得到充分的保障。此外，上述認(rèn)證規(guī)范還要求，個人信息處理者和境外接收方均需承諾接受中華人民共和國認(rèn)證機(jī)構(gòu)對個人信息跨境處理活動的監(jiān)督，包括答復(fù)詢問、例行檢查等。

信息安全咨詢公司