近日,國(guó)家市場(chǎng)監(jiān)督管理總局、國(guó)家互聯(lián)網(wǎng)信息辦公室聯(lián)合發(fā)布《關(guān)于實(shí)施個(gè)人信息保護(hù)認(rèn)證的公告》(以下簡(jiǎn)稱《公告》),鼓勵(lì)個(gè)人信息處理者通過(guò)認(rèn)證方式提升個(gè)人信息保護(hù)能力。同時(shí)發(fā)布的《個(gè)人信息保護(hù)認(rèn)證實(shí)施規(guī)則》(以下簡(jiǎn)稱《認(rèn)證規(guī)則》),還明確規(guī)定了對(duì)個(gè)人信息處理者開展個(gè)人信息收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除以及跨境等處理活動(dòng)進(jìn)行認(rèn)證的基本原則和要求。本文對(duì)個(gè)人信息保護(hù)認(rèn)證的背景開展研究分析,總結(jié)梳理《認(rèn)證規(guī)則》的內(nèi)容要點(diǎn),并進(jìn)一步思考其對(duì)數(shù)據(jù)安全產(chǎn)業(yè)的啟示。
所謂認(rèn)證,是指由具備專業(yè)能力的第三方機(jī)構(gòu),依據(jù)相關(guān)標(biāo)準(zhǔn)或技術(shù)規(guī)范對(duì)企業(yè)的產(chǎn)品、服務(wù)和管理體系等進(jìn)行評(píng)定。為了規(guī)范個(gè)人信息處理活動(dòng),2021年我國(guó)出臺(tái)了《個(gè)人信息保護(hù)法》,其中明確規(guī)定,推進(jìn)個(gè)人信息保護(hù)社會(huì)化服務(wù)體系建設(shè),支持有關(guān)機(jī)構(gòu)開展個(gè)人信息保護(hù)評(píng)估、認(rèn)證服務(wù)。此次《規(guī)則》的發(fā)布,既是對(duì)《個(gè)人信息保護(hù)法》的貫徹落實(shí),也是引入第三方專業(yè)力量加強(qiáng)個(gè)人信息保護(hù)的有益嘗試。
根據(jù)《規(guī)則》,個(gè)人信息保護(hù)認(rèn)證的認(rèn)證模式為:技術(shù)驗(yàn)證﹢現(xiàn)場(chǎng)審核﹢獲證后監(jiān)督。認(rèn)證證書有效期為3年。在有效期內(nèi),通過(guò)認(rèn)證機(jī)構(gòu)的獲證后監(jiān)督,保持認(rèn)證證書的有效性。當(dāng)獲得認(rèn)證的個(gè)人信息處理者不再符合認(rèn)證要求時(shí),認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)及時(shí)對(duì)認(rèn)證證書予以暫停直至撤銷。認(rèn)證委托人在認(rèn)證證書有效期內(nèi)可申請(qǐng)認(rèn)證證書暫停、注銷。對(duì)企業(yè)來(lái)說(shuō),主動(dòng)就自身個(gè)人信息保護(hù)工作進(jìn)行認(rèn)證,不僅可以增強(qiáng)自身相關(guān)工作的合規(guī)性,而且可以讓相關(guān)各方直觀了解自身個(gè)人信息保護(hù)水平,增加對(duì)企業(yè)的信任,從而在市場(chǎng)競(jìng)爭(zhēng)中贏得更多機(jī)會(huì)。當(dāng)然,獲得認(rèn)證證書并不意味著一勞永逸,《規(guī)則》特別明確,認(rèn)證機(jī)構(gòu)應(yīng)采取合理頻次、適當(dāng)方式實(shí)施監(jiān)督,確保獲得認(rèn)證者持續(xù)符合認(rèn)證要求,這就相當(dāng)于給企業(yè)個(gè)人信息保護(hù)工作加了道“安全鎖”。對(duì)老百姓來(lái)說(shuō),通過(guò)查看企業(yè)有無(wú)個(gè)人信息保護(hù)認(rèn)證證書,也能給自己的消費(fèi)決策提供重要參考。
一、個(gè)人信息保護(hù)認(rèn)證背景梳理
根據(jù)國(guó)際標(biāo)準(zhǔn)化組織(ISO)和國(guó)際電工委員會(huì)(IEC)等國(guó)際組織公認(rèn)的定義,認(rèn)證是指由國(guó)家認(rèn)可的認(rèn)證機(jī)構(gòu)提供書面保證,證明一個(gè)組織的產(chǎn)品、服務(wù)、管理體系符合相關(guān)標(biāo)準(zhǔn)、技術(shù)規(guī)范或特定要求的合格評(píng)定活動(dòng)。
網(wǎng)絡(luò)安全、數(shù)據(jù)安全和個(gè)人信息保護(hù)是當(dāng)前我國(guó)網(wǎng)絡(luò)安全工作的三個(gè)主要領(lǐng)域。此前,我國(guó)發(fā)布了一系列相關(guān)領(lǐng)域的認(rèn)證,其中,網(wǎng)絡(luò)安全領(lǐng)域認(rèn)證包括:網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證、網(wǎng)絡(luò)安全審計(jì)服務(wù)資質(zhì)認(rèn)證等;數(shù)據(jù)安全領(lǐng)域認(rèn)證包括:數(shù)據(jù)安全管理認(rèn)證、數(shù)據(jù)安全能力成熟度認(rèn)證等;個(gè)人信息安全領(lǐng)域認(rèn)證包括:移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(App)安全認(rèn)證、個(gè)人信息安全管理體系認(rèn)證等。
本次個(gè)人信息保護(hù)認(rèn)證工作的啟動(dòng),進(jìn)一步補(bǔ)充完善了個(gè)人信息安全管理領(lǐng)域的認(rèn)證體系,對(duì)個(gè)人信息處理者提升自身個(gè)人信息保護(hù)能力提供了新的重要途徑。
二、《認(rèn)證規(guī)則》內(nèi)容要點(diǎn)分析
《認(rèn)證規(guī)則》是落實(shí)《個(gè)人信息保護(hù)法》關(guān)于“支持有關(guān)機(jī)構(gòu)開展個(gè)人信息保護(hù)評(píng)估、認(rèn)證服務(wù)”相關(guān)規(guī)定的落地規(guī)范,對(duì)個(gè)人信息保護(hù)認(rèn)證的認(rèn)證對(duì)象、認(rèn)證流程與合規(guī)要求等做出了體系化要求,具體內(nèi)容分析如下。
01 認(rèn)證對(duì)象
《認(rèn)證規(guī)則》明確了個(gè)人信息保護(hù)認(rèn)證適用的主體與行為。一是適用主體,即個(gè)人信息保護(hù)認(rèn)證的適用對(duì)象為“個(gè)人信息處理者”,該定義出自《個(gè)人信息保護(hù)法》“在個(gè)人信息處理活動(dòng)中自主決定處理目的、處理方式的組織、個(gè)人”;二是適用行為,即個(gè)人信息保護(hù)認(rèn)證的適用范圍:“開展個(gè)人信息收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除”等處理活動(dòng);開展個(gè)人信息“跨境”處理活動(dòng)。
02 認(rèn)證流程
《認(rèn)證規(guī)則》對(duì)個(gè)人信息保護(hù)認(rèn)證實(shí)施程序做出了詳細(xì)規(guī)定,獲得認(rèn)證需經(jīng)過(guò)“認(rèn)證申請(qǐng)-資料審查-技術(shù)驗(yàn)證-現(xiàn)場(chǎng)審核-認(rèn)證決定-獲證后監(jiān)督”等一系列環(huán)節(jié)。