近日,国家市场监督管理总局、国家互联网信息办公室联合发布《关于实施个人信息保护认证的公告》(以下简称《公告》),鼓励个人信息处理者通过认证方式提升个人信息保护能力。同时发布的《个人信息保护认证实施规则》(以下简称《认证规则》),还明确规定了对个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证的基本原则和要求。本文对个人信息保护认证的背景开展研究分析,总结梳理《认证规则》的内容要点,并进一步思考其对数据安全产业的启示。
个人信息保护咨询
所谓认证,是指由具备专业能力的第三方机构,依据相关标准或技术规范对企业的产品、服务和管理体系等进行评定。为了规范个人信息处理活动,2021年我国出台了《个人信息保护法》,其中明确规定,推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务。此次《规则》的发布,既是对《个人信息保护法》的贯彻落实,也是引入第三方专业力量加强个人信息保护的有益尝试。
根据《规则》,个人信息保护认证的认证模式为:技术验证﹢现场审核﹢获证后监督。认证证书有效期为3年。在有效期内,通过认证机构的获证后监督,保持认证证书的有效性。当获得认证的个人信息处理者不再符合认证要求时,认证机构应当及时对认证证书予以暂停直至撤销。认证委托人在认证证书有效期内可申请认证证书暂停、注销。对企业来说,主动就自身个人信息保护工作进行认证,不仅可以增强自身相关工作的合规性,而且可以让相关各方直观了解自身个人信息保护水平,增加对企业的信任,从而在市场竞争中赢得更多机会。当然,获得认证证书并不意味着一劳永逸,《规则》特别明确,认证机构应采取合理频次、适当方式实施监督,确保获得认证者持续符合认证要求,这就相当于给企业个人信息保护工作加了道“安全锁”。对老百姓来说,通过查看企业有无个人信息保护认证证书,也能给自己的消费决策提供重要参考。
一、个人信息保护认证背景梳理
根据国际标准化组织(ISO)和国际电工委员会(IEC)等国际组织公认的定义,认证是指由国家认可的认证机构提供书面保证,证明一个组织的产品、服务、管理体系符合相关标准、技术规范或特定要求的合格评定活动。
网络安全、数据安全和个人信息保护是当前我国网络安全工作的三个主要领域。此前,我国发布了一系列相关领域的认证,其中,网络安全领域认证包括:网络关键设备和网络安全专用产品安全认证、网络安全审计服务资质认证等;数据安全领域认证包括:数据安全管理认证、数据安全能力成熟度认证等;个人信息安全领域认证包括:移动互联网应用程序(App)安全认证、个人信息安全管理体系认证等。
本次个人信息保护认证工作的启动,进一步补充完善了个人信息安全管理领域的认证体系,对个人信息处理者提升自身个人信息保护能力提供了新的重要途径。
二、《认证规则》内容要点分析
《认证规则》是落实《个人信息保护法》关于“支持有关机构开展个人信息保护评估、认证服务”相关规定的落地规范,对个人信息保护认证的认证对象、认证流程与合规要求等做出了体系化要求,具体内容分析如下。
01 认证对象
《认证规则》明确了个人信息保护认证适用的主体与行为。一是适用主体,即个人信息保护认证的适用对象为“个人信息处理者”,该定义出自《个人信息保护法》“在个人信息处理活动中自主决定处理目的、处理方式的组织、个人”;二是适用行为,即个人信息保护认证的适用范围:“开展个人信息收集、存储、使用、加工、传输、提供、公开、删除”等处理活动;开展个人信息“跨境”处理活动。
02 认证流程
《认证规则》对个人信息保护认证实施程序做出了详细规定,获得认证需经过“认证申请-资料审查-技术验证-现场审核-认证决定-获证后监督”等一系列环节。
信息安全咨询公司
