個人信息保護認證機構

當前，我國正在抓緊建立符合國際慣例的數據出境安全管理制度。2021 年，《個人信息保護法》發(fā)布實施，對個人信息出境設置了多種方式，包括“按照國家網信部門的規(guī)定經專業(yè)機構進行個人信息保護認證”。這一法律規(guī)定既提出了“個人信息保護認證”的概念，也確立了“個人信息出境認證”的出境方式。
認證機制作為個人信息的出境方式，是國際通行的做法，但尚未有成熟實施模式，各國也均在探索之中。近日，國家市場監(jiān)管總局、國家互聯(lián)網信息辦公室聯(lián)合印發(fā)公告，發(fā)布了《個人信息保護認證實施規(guī)則》，標志著我國個人信息出境認證制度正式進入實施階段。這一制度借鑒了歐盟有關經驗，并充分考慮了我國具體國情。

個人信息保護認證與個人信息出境認證的關系

根據我國《認證認可條例》，認證是指由認證機構證明產品、服務、管理體系符合相關技術規(guī)范、相關技術規(guī)范的強制性要求或者標準的合格評定活動。這一規(guī)定指出了認證的對象，即產品、服務、管理體系。因此，“個人信息保護認證”是一個總體概念，其可以針對產品，也可以針對服務和管理體系。即，可以對一個產品是否能夠保護用戶的個人信息進行認證，也可以對企業(yè)、機構在開展某種活動中能否保護用戶個人信息進行認證，還可以對企業(yè)機構自身是否能夠保護用戶個人信息進行認證，只是具體依據的技術依據不同而已。

顯然，無論個人信息是否出境，個人信息處理者都有申請個人信息保護認證的客觀需要，即我國建立的是通用的個人信息保護認證制度。但如果要在個人信息出境時采信認證結論，這還是不夠的，需針對個人信息出境場景增加認證要求。這意味著，個人信息出境認證制度是個人信息保護認證制度的子集和增量。
也正因為如此，本次公布的個人信息保護認證，依據標準是 GB/T 35273《信息安全技術 個人信息安全規(guī)范》和《網絡安全標準實踐指南——個人信息跨境處理活動安全認證規(guī)范》。申請個人信息保護認證的個人信息處理者應符合 GB/T35273《信息安全技術 個人信息安全規(guī)范》的要求；但如果認證結論要用于個人信息出境，還需符合《網絡安全標準實踐指南——個人信息跨境處理活動安全認證規(guī)范》的要求。

我國個人信息出境認證制度的特點

近年來，我國著力建設數據出境安全評估制度，這是一種最嚴格的數據出境方式。但跨境經濟活動的多樣性、國際貿易流通的復雜性決定了，數據出境方式必然是靈活多樣的，因此，必須加快建立個人信息出境安全認證機制，作為數據出境安全評估機制的重要補充，既堅決維護國家安全，又有效促進跨境貿易、便利數據流動。此次發(fā)布的《個人信息保護認證實施規(guī)則》對此進行了積極探索，其具有以下四個特點。
（一）首先開展數據安全認證頂層設計，個人信息出境安全認證是數據安全認證制度的其中一種應用
個人信息保護認證的對象包括產品、服務和管理體系，這一制度可以發(fā)揮多方面作用，用于個人信息出境僅是其中一種。因此，我國從總體上設計了數據安全認證制度，個人信息出境安全認證只是從屬于這一頂層設計而已。即，我國先后發(fā)布數據安全管理認證和個人信息保護認證制度文件，明確了數據安全認證的工作架構，但也在其中對個人信息出境安全認證作了特殊安排，具體體現為這種場景下的認證依據是《網絡安全標準實踐指南——個人信息跨境處理活動安全認證規(guī)范》。
（二）由國家市場監(jiān)管總局和國家互聯(lián)網信息辦共同實施監(jiān)管
歐盟在研究 GDPR 認證時，對數據安全認證提出了三種可能的監(jiān)管模式：傳統(tǒng)認證認可監(jiān)管部門負責、數據保護機構負責、兩者共同負責。我國采用的模式與后者類似。即，由國家市場監(jiān)管總局和國家互聯(lián)網信息辦公室聯(lián)合印發(fā)文件，共同實施。市場監(jiān)管部門對流程、通用能力進行把關。網信部門從數據安全專業(yè)性方面進行把關。雖然目前只是發(fā)布了認證實施規(guī)則，但可以預見，后續(xù)將由兩部門共同負責認證機構、審核員的審批和監(jiān)管。
（三）“急用先上”與“穩(wěn)步推進”相結合
任何認證，都應當基于標準或技術規(guī)范。但數據安全是新事物，標準不一定很完備，這就需要有權威的技術規(guī)范。6 月 24 日，全國信息安全標準化技術委員會發(fā)布《網絡安全標準實踐指南——個人信息跨境處理活動安全認證規(guī)范》，目的便在于此。但是，這畢竟還不是國家標準。只能用于解決暫時問題。為此，早在今年 3 月，全國信息安全標準化技術委員會便提出，要在 2022 年立項制定國家標準《信息安全技術 個人信息跨境傳輸認證要求》。目前，該國家標準的立項工作正在順利推進，有望早日制定完成。
（四）從制度設計上強化對數據發(fā)送者和接收者的監(jiān)督管理
數據出境后，數據安全監(jiān)管部門難以監(jiān)管接收者履行數據保護義務的情況，需在合同上下功夫，并壓實數據發(fā)送者監(jiān)督合同履行的責任。為此，《網絡安全標準實踐指南——個人信息跨境處理活動安全認證規(guī)范》規(guī)定，個人信息處理者和境外接收方之間應當簽訂具有法律約束力和執(zhí)行力的文件，確保個人信息主體權益得到充分的保障。此外，上述認證規(guī)范還要求，個人信息處理者和境外接收方均需承諾接受中華人民共和國認證機構對個人信息跨境處理活動的監(jiān)督，包括答復詢問、例行檢查等。

信息安全咨詢公司