近日，國家市場監(jiān)督管理總局、國家互聯(lián)網(wǎng)信息辦公室聯(lián)合發(fā)布《關于實施個人信息保護認證的公告》（以下簡稱《公告》），鼓勵個人信息處理者通過認證方式提升個人信息保護能力。同時發(fā)布的《個人信息保護認證實施規(guī)則》（以下簡稱《認證規(guī)則》），還明確規(guī)定了對個人信息處理者開展個人信息收集、存儲、使用、加工、傳輸、提供、公開、刪除以及跨境等處理活動進行認證的基本原則和要求。本文對個人信息保護認證的背景開展研究分析，總結(jié)梳理《認證規(guī)則》的內(nèi)容要點，并進一步思考其對數(shù)據(jù)安全產(chǎn)業(yè)的啟示。

個人信息保護咨詢

所謂認證,是指由具備專業(yè)能力的第三方機構(gòu),依據(jù)相關標準或技術(shù)規(guī)范對企業(yè)的產(chǎn)品、服務和管理體系等進行評定。為了規(guī)范個人信息處理活動,2021年我國出臺了《個人信息保護法》,其中明確規(guī)定,推進個人信息保護社會化服務體系建設,支持有關機構(gòu)開展個人信息保護評估、認證服務。此次《規(guī)則》的發(fā)布,既是對《個人信息保護法》的貫徹落實,也是引入第三方專業(yè)力量加強個人信息保護的有益嘗試。

根據(jù)《規(guī)則》,個人信息保護認證的認證模式為:技術(shù)驗證﹢現(xiàn)場審核﹢獲證后監(jiān)督。認證證書有效期為3年。在有效期內(nèi),通過認證機構(gòu)的獲證后監(jiān)督,保持認證證書的有效性。當獲得認證的個人信息處理者不再符合認證要求時,認證機構(gòu)應當及時對認證證書予以暫停直至撤銷。認證委托人在認證證書有效期內(nèi)可申請認證證書暫停、注銷。對企業(yè)來說,主動就自身個人信息保護工作進行認證,不僅可以增強自身相關工作的合規(guī)性,而且可以讓相關各方直觀了解自身個人信息保護水平,增加對企業(yè)的信任,從而在市場競爭中贏得更多機會。當然,獲得認證證書并不意味著一勞永逸,《規(guī)則》特別明確,認證機構(gòu)應采取合理頻次、適當方式實施監(jiān)督,確保獲得認證者持續(xù)符合認證要求,這就相當于給企業(yè)個人信息保護工作加了道“安全鎖”。對老百姓來說,通過查看企業(yè)有無個人信息保護認證證書,也能給自己的消費決策提供重要參考。

一、個人信息保護認證背景梳理
根據(jù)國際標準化組織（ISO）和國際電工委員會（IEC）等國際組織公認的定義，認證是指由國家認可的認證機構(gòu)提供書面保證，證明一個組織的產(chǎn)品、服務、管理體系符合相關標準、技術(shù)規(guī)范或特定要求的合格評定活動。

網(wǎng)絡安全、數(shù)據(jù)安全和個人信息保護是當前我國網(wǎng)絡安全工作的三個主要領域。此前，我國發(fā)布了一系列相關領域的認證，其中，網(wǎng)絡安全領域認證包括：網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品安全認證、網(wǎng)絡安全審計服務資質(zhì)認證等；數(shù)據(jù)安全領域認證包括：數(shù)據(jù)安全管理認證、數(shù)據(jù)安全能力成熟度認證等；個人信息安全領域認證包括：移動互聯(lián)網(wǎng)應用程序（App）安全認證、個人信息安全管理體系認證等。

本次個人信息保護認證工作的啟動，進一步補充完善了個人信息安全管理領域的認證體系，對個人信息處理者提升自身個人信息保護能力提供了新的重要途徑。

二、《認證規(guī)則》內(nèi)容要點分析
《認證規(guī)則》是落實《個人信息保護法》關于“支持有關機構(gòu)開展個人信息保護評估、認證服務”相關規(guī)定的落地規(guī)范，對個人信息保護認證的認證對象、認證流程與合規(guī)要求等做出了體系化要求，具體內(nèi)容分析如下。

01 認證對象

《認證規(guī)則》明確了個人信息保護認證適用的主體與行為。一是適用主體，即個人信息保護認證的適用對象為“個人信息處理者”，該定義出自《個人信息保護法》“在個人信息處理活動中自主決定處理目的、處理方式的組織、個人”；二是適用行為，即個人信息保護認證的適用范圍：“開展個人信息收集、存儲、使用、加工、傳輸、提供、公開、刪除”等處理活動；開展個人信息“跨境”處理活動。

02 認證流程

《認證規(guī)則》對個人信息保護認證實施程序做出了詳細規(guī)定，獲得認證需經(jīng)過“認證申請-資料審查-技術(shù)驗證-現(xiàn)場審核-認證決定-獲證后監(jiān)督”等一系列環(huán)節(jié)。

信息安全咨詢公司