近日，國(guó)家市場(chǎng)監(jiān)督管理總局、國(guó)家互聯(lián)網(wǎng)信息辦公室聯(lián)合發(fā)布《關(guān)于實(shí)施個(gè)人信息保護(hù)認(rèn)證的公告》（以下簡(jiǎn)稱《公告》），鼓勵(lì)個(gè)人信息處理者通過(guò)認(rèn)證方式提升個(gè)人信息保護(hù)能力。同時(shí)發(fā)布的《個(gè)人信息保護(hù)認(rèn)證實(shí)施規(guī)則》（以下簡(jiǎn)稱《認(rèn)證規(guī)則》），還明確規(guī)定了對(duì)個(gè)人信息處理者開(kāi)展個(gè)人信息收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)、刪除以及跨境等處理活動(dòng)進(jìn)行認(rèn)證的基本原則和要求。本文對(duì)個(gè)人信息保護(hù)認(rèn)證的背景開(kāi)展研究分析，總結(jié)梳理《認(rèn)證規(guī)則》的內(nèi)容要點(diǎn)，并進(jìn)一步思考其對(duì)數(shù)據(jù)安全產(chǎn)業(yè)的啟示。

個(gè)人信息保護(hù)咨詢

所謂認(rèn)證,是指由具備專業(yè)能力的第三方機(jī)構(gòu),依據(jù)相關(guān)標(biāo)準(zhǔn)或技術(shù)規(guī)范對(duì)企業(yè)的產(chǎn)品、服務(wù)和管理體系等進(jìn)行評(píng)定。為了規(guī)范個(gè)人信息處理活動(dòng),2021年我國(guó)出臺(tái)了《個(gè)人信息保護(hù)法》,其中明確規(guī)定,推進(jìn)個(gè)人信息保護(hù)社會(huì)化服務(wù)體系建設(shè),支持有關(guān)機(jī)構(gòu)開(kāi)展個(gè)人信息保護(hù)評(píng)估、認(rèn)證服務(wù)。此次《規(guī)則》的發(fā)布,既是對(duì)《個(gè)人信息保護(hù)法》的貫徹落實(shí),也是引入第三方專業(yè)力量加強(qiáng)個(gè)人信息保護(hù)的有益嘗試。

根據(jù)《規(guī)則》,個(gè)人信息保護(hù)認(rèn)證的認(rèn)證模式為:技術(shù)驗(yàn)證﹢現(xiàn)場(chǎng)審核﹢獲證后監(jiān)督。認(rèn)證證書(shū)有效期為3年。在有效期內(nèi),通過(guò)認(rèn)證機(jī)構(gòu)的獲證后監(jiān)督,保持認(rèn)證證書(shū)的有效性。當(dāng)獲得認(rèn)證的個(gè)人信息處理者不再符合認(rèn)證要求時(shí),認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)及時(shí)對(duì)認(rèn)證證書(shū)予以暫停直至撤銷。認(rèn)證委托人在認(rèn)證證書(shū)有效期內(nèi)可申請(qǐng)認(rèn)證證書(shū)暫停、注銷。對(duì)企業(yè)來(lái)說(shuō),主動(dòng)就自身個(gè)人信息保護(hù)工作進(jìn)行認(rèn)證,不僅可以增強(qiáng)自身相關(guān)工作的合規(guī)性,而且可以讓相關(guān)各方直觀了解自身個(gè)人信息保護(hù)水平,增加對(duì)企業(yè)的信任,從而在市場(chǎng)競(jìng)爭(zhēng)中贏得更多機(jī)會(huì)。當(dāng)然,獲得認(rèn)證證書(shū)并不意味著一勞永逸,《規(guī)則》特別明確,認(rèn)證機(jī)構(gòu)應(yīng)采取合理頻次、適當(dāng)方式實(shí)施監(jiān)督,確保獲得認(rèn)證者持續(xù)符合認(rèn)證要求,這就相當(dāng)于給企業(yè)個(gè)人信息保護(hù)工作加了道“安全鎖”。對(duì)老百姓來(lái)說(shuō),通過(guò)查看企業(yè)有無(wú)個(gè)人信息保護(hù)認(rèn)證證書(shū),也能給自己的消費(fèi)決策提供重要參考。

一、個(gè)人信息保護(hù)認(rèn)證背景梳理
根據(jù)國(guó)際標(biāo)準(zhǔn)化組織（ISO）和國(guó)際電工委員會(huì)（IEC）等國(guó)際組織公認(rèn)的定義，認(rèn)證是指由國(guó)家認(rèn)可的認(rèn)證機(jī)構(gòu)提供書(shū)面保證，證明一個(gè)組織的產(chǎn)品、服務(wù)、管理體系符合相關(guān)標(biāo)準(zhǔn)、技術(shù)規(guī)范或特定要求的合格評(píng)定活動(dòng)。

網(wǎng)絡(luò)安全、數(shù)據(jù)安全和個(gè)人信息保護(hù)是當(dāng)前我國(guó)網(wǎng)絡(luò)安全工作的三個(gè)主要領(lǐng)域。此前，我國(guó)發(fā)布了一系列相關(guān)領(lǐng)域的認(rèn)證，其中，網(wǎng)絡(luò)安全領(lǐng)域認(rèn)證包括：網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證、網(wǎng)絡(luò)安全審計(jì)服務(wù)資質(zhì)認(rèn)證等；數(shù)據(jù)安全領(lǐng)域認(rèn)證包括：數(shù)據(jù)安全管理認(rèn)證、數(shù)據(jù)安全能力成熟度認(rèn)證等；個(gè)人信息安全領(lǐng)域認(rèn)證包括：移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（App）安全認(rèn)證、個(gè)人信息安全管理體系認(rèn)證等。

本次個(gè)人信息保護(hù)認(rèn)證工作的啟動(dòng)，進(jìn)一步補(bǔ)充完善了個(gè)人信息安全管理領(lǐng)域的認(rèn)證體系，對(duì)個(gè)人信息處理者提升自身個(gè)人信息保護(hù)能力提供了新的重要途徑。

二、《認(rèn)證規(guī)則》內(nèi)容要點(diǎn)分析
《認(rèn)證規(guī)則》是落實(shí)《個(gè)人信息保護(hù)法》關(guān)于“支持有關(guān)機(jī)構(gòu)開(kāi)展個(gè)人信息保護(hù)評(píng)估、認(rèn)證服務(wù)”相關(guān)規(guī)定的落地規(guī)范，對(duì)個(gè)人信息保護(hù)認(rèn)證的認(rèn)證對(duì)象、認(rèn)證流程與合規(guī)要求等做出了體系化要求，具體內(nèi)容分析如下。

01 認(rèn)證對(duì)象

《認(rèn)證規(guī)則》明確了個(gè)人信息保護(hù)認(rèn)證適用的主體與行為。一是適用主體，即個(gè)人信息保護(hù)認(rèn)證的適用對(duì)象為“個(gè)人信息處理者”，該定義出自《個(gè)人信息保護(hù)法》“在個(gè)人信息處理活動(dòng)中自主決定處理目的、處理方式的組織、個(gè)人”；二是適用行為，即個(gè)人信息保護(hù)認(rèn)證的適用范圍：“開(kāi)展個(gè)人信息收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)、刪除”等處理活動(dòng)；開(kāi)展個(gè)人信息“跨境”處理活動(dòng)。

02 認(rèn)證流程

《認(rèn)證規(guī)則》對(duì)個(gè)人信息保護(hù)認(rèn)證實(shí)施程序做出了詳細(xì)規(guī)定，獲得認(rèn)證需經(jīng)過(guò)“認(rèn)證申請(qǐng)-資料審查-技術(shù)驗(yàn)證-現(xiàn)場(chǎng)審核-認(rèn)證決定-獲證后監(jiān)督”等一系列環(huán)節(jié)。

信息安全咨詢公司