解密“個人信息保護認證”

2022年11月18日，市場監(jiān)管總局、國家網(wǎng)信辦發(fā)布公告，為落實《個人信息保護法》，決定實施個人信息保護認證并發(fā)布《個人信息保護認證實施規(guī)則》(下稱“《認證規(guī)則》”)，鼓勵個人信息處理者通過認證方式提升個人信息保護能力。

這是兩部門在數(shù)據(jù)安全認證領域的又一動作。

2019年3月15日，為規(guī)范App收集、使用用戶信息，兩部門曾根據(jù)《網(wǎng)絡安全法》，決定開展App安全認證，并發(fā)布了《App安全認證實施規(guī)則》。

2022年6月，兩部門根據(jù)《數(shù)據(jù)安全法》開啟數(shù)據(jù)安全管理認證，鼓勵網(wǎng)絡運營者通過認證方式規(guī)范網(wǎng)絡數(shù)據(jù)處理活動，加強網(wǎng)絡數(shù)據(jù)安全保護，并公布了《數(shù)據(jù)安全管理認證實施規(guī)則》。

那么，新的《認證規(guī)則》有何作用？如何實施？又會給企業(yè)帶來什么影響？

多位受訪專家、律師、業(yè)界人士均對財經(jīng)E法表示，個人信息保護認證在內(nèi)的數(shù)據(jù)安全認證是企業(yè)證明自身在該領域合規(guī)水平的有效方式。

在制度建設角度，中國科技大學公共事務學院、網(wǎng)絡空間安全學院教授左曉棟對財經(jīng)E法指出，三份認證實施規(guī)則共同建立了數(shù)據(jù)安全認證制度的框架�！爸鞴懿块T連續(xù)發(fā)布數(shù)據(jù)安全認證相關的公告，意味著一定會推動認證制度發(fā)揮更大的作用。”左曉棟說。

雖然《認證規(guī)則》尚未明確執(zhí)行細則，但左曉棟認為，無論是何種數(shù)據(jù)安全認證，我國認證機構大概率會是同一家，即中國網(wǎng)絡安全審查技術與認證中心。

值得關注的是，個人信息保護認證有兩項準則，其一是國家推薦標準，其二是技術文件。北京師范大學法學院博士生導師、中國互聯(lián)網(wǎng)協(xié)會研究中心副主任吳沈括稱，“覆蓋了非跨境和跨境的所有個人信息處理場景”。

細則仍待明確

認證認可制度是一種國內(nèi)外通行的第三方評價制度，由具備專業(yè)能力的第三方機構依據(jù)標準和技術規(guī)范，對產(chǎn)品、服務或企業(yè)的管理體系、人員能力等做出評價，從而可供社會對評價結果進行采信。

《認證認可條例》第二條明確，“認證”是指由認證機構證明產(chǎn)品、服務、管理體系符合“相關技術規(guī)范、相關技術規(guī)范的強制性要求或者標準”的合格評定活動。

左曉棟表示，認證認可制度通過解決市場經(jīng)濟交易中的信息不對稱問題，進而降低了交易費用，并保障有效市場競爭。在《數(shù)據(jù)安全法》《個人信息保護法》發(fā)布施行后，認證認可制度也成為重要的數(shù)據(jù)安全治理手段。

具體到“個人信息保護認證”，《個人信息保護法》第三十八條僅有一句話提及，“按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機構進行個人信息保護認證”，本次公布的《認證規(guī)則》明確并細化了如何認證，以及認證模式。

《認證規(guī)則》 規(guī)定了對個人信息處理者開展個人信息收集、存儲、使用、加工、傳輸、提供、公開、刪除以及跨境等處理活動進行認證的基本原則和要求，認證模式為技術驗證+現(xiàn)場審核+獲證后監(jiān)督。

根據(jù)《認證規(guī)則》，認證證書有效期為3年。如需延續(xù)使用，認證委托人應當在有效期屆滿前6個月內(nèi)提出認證委托。認證機構應當采用獲證后監(jiān)督的方式，對符合認證要求的委托換發(fā)新證書。

但業(yè)界普遍認為，執(zhí)行細節(jié)仍有待完善。

中國電子技術標準化研究院網(wǎng)絡安全研究中心測評實驗室副主任何延哲向財經(jīng)E法表示，《認證規(guī)則》只是一個開始，還需完成一系列的后續(xù)工作。比如，目前，沒有明確規(guī)定執(zhí)行機構，需要花費的成本以及工作流程等。《認證規(guī)則》只是確立了認證是條可行路徑， “未來，如果有了更加詳細的實施細則，很多操作層面的問題將迎刃而解�！�

上海錦天城律師事務所高級合伙人吳衛(wèi)明也表示，《認證規(guī)則》還有諸多待完善的地方。比如并沒有明確規(guī)定監(jiān)管機構，也沒有規(guī)定執(zhí)行機構�！拔磥磉�應出臺配套細則，明確規(guī)定執(zhí)行機構的管理規(guī)則，以及應該承擔的責任等內(nèi)容。”

公開信息顯示，中國網(wǎng)絡安全審查技術與認證中心（下稱“網(wǎng)安認證中心”）負責數(shù)據(jù)安全管理認證制度的具體建設和實施，同時，該中心也是App安全認證的實施機構。網(wǎng)安認證中心為國家市場監(jiān)督管理總局直屬正司局級事業(yè)單位。

左曉棟認為，無論是何種數(shù)據(jù)安全認證，認證機構大概率會是同一家，網(wǎng)安認證中心。這為認證機構聯(lián)合開展不同的數(shù)據(jù)安全認證提供了可能，企業(yè)可以一次性打包向其提出認證申請。

對外經(jīng)貿(mào)大學法學院副教授、數(shù)字經(jīng)濟與法律創(chuàng)新研究中心主任許可對財經(jīng)E法稱，實施《認證規(guī)則》的目的，一方面主要是通過社會治理，彌補監(jiān)管不足；另一方面，也是為了推動《認證規(guī)則》所依據(jù)的國家標準和技術文件的落地。

網(wǎng)絡數(shù)據(jù)安全企業(yè)安恒信息（688023.SH）首席標準研究員周亞超認為，《認證規(guī)則》是一種共同治理的策略，也即先由相關實體制定針對具體活動或行為的標準，同時這樣的標準在一定程度上獲得監(jiān)管機構的認可，隨后由組織在其內(nèi)部實施落地。使用這種策略的原因是，在數(shù)字化轉型的浪潮下，數(shù)據(jù)處理場景、數(shù)據(jù)類型多樣，僅靠網(wǎng)絡安全監(jiān)管手段難以有效覆蓋，需要鼓勵多方參與，包括政府部門、監(jiān)管機構、院校、數(shù)據(jù)運營者、網(wǎng)絡服務提供者等。

周亞超分析說，《認證規(guī)則》中并未有強制性規(guī)定，而是采取自愿的原則，這已經(jīng)提供了一個很好的共同治理的前提，讓不同角色根據(jù)需要參與到網(wǎng)絡安全和數(shù)據(jù)安全的治理中。在周亞超看來，這種“自證”的方式，是一條切實可行的路�！捌渲匾獌r值在于，在監(jiān)管中為創(chuàng)新留下空間，進而鼓勵進一步的市場競爭�！�

完善數(shù)據(jù)跨境的規(guī)則體系

讓業(yè)界頗為關注的是，《認證規(guī)則》既包含了通用的個人信息保護認證制度，也建立了針對數(shù)據(jù)出境場景的個人信息出境認證制度。

據(jù)左曉棟介紹，申請個人信息保護認證的個人信息處理者應當符合國家推薦標準（GB/T 35273《信息安全技術個人信息安全規(guī)范》）的要求；但如果要在個人信息出境時采信認證結論，還必須符合技術文件（TC260-PG-20222A《個人信息跨境處理活動安全認證規(guī)范》）的要求。

何延哲認為，確立數(shù)據(jù)跨境的認證模式，是《認證規(guī)則》中的一個新的價值點。吳沈括也向財經(jīng)E法表示，個人信息保護認證是對接國際主流實踐、培育個人信息流轉利用良性生態(tài)的重要舉措。一方面，數(shù)據(jù)出境在法律層面有關于認證機制出境的制度設計，需要有配套的落地細則規(guī)范；另一方面是在原有的國家標準中，沒有關于數(shù)據(jù)跨境的專門規(guī)定，因此需要通過前述技術文件來予以補充，形成制度的閉環(huán)。

左曉棟透露，TC260-PG-20222A《個人信息跨境處理活動安全認證規(guī)范》可能會被新的國家標準《信息安全技術個人信息跨境傳輸認證要求》所代替，權威性會進一步增強。

依據(jù)《個人信息保護法》，個人信息出境應當具備下列條件之一：（1）安全評估：通過網(wǎng)信部門組織的安全評估；（2）認證：按照網(wǎng)信部門規(guī)定經(jīng)專業(yè)機構進行個人信息保護認證；（3）標準合同：按照網(wǎng)信部門制定的標準合同與境外接收方訂立合同；（4）法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件。也就是說，機構在個人信息出境時，除了選擇安全評估和標準合同以外，還可以選擇認證的方式進行個人信息出境。因而，數(shù)據(jù)跨境成為《認證規(guī)則》適用的重要場景之一。

根據(jù)海問律師事務所的解讀，安全評估具有優(yōu)先地位和國家安全站位；標準合同是一種無需審查、相對輕量級的跨境機制；而跨境認證由專業(yè)機構對個人信息處理者及境外接收方的數(shù)據(jù)保護水平進行審查，不僅可以作為跨境機制，亦可成為企業(yè)證明自身合規(guī)水平的有效方式。

適合哪些業(yè)務場景？

哪些機構和業(yè)務場景更適合做個人信息保護認證？

左曉棟認為，由于個人信息保護認證是第三方機構對企業(yè)個人信息保護的能力，給予的供社會廣泛采信的背書，因此開展大量個人信息處理活動的企業(yè)或機構，以及業(yè)務受數(shù)據(jù)驅動明顯的企業(yè)或機構，最適合做個人信息保護認證。他舉例，即時通信、網(wǎng)盤、網(wǎng)約車、互聯(lián)網(wǎng)醫(yī)療、互聯(lián)網(wǎng)金融等服務，都是典型的擁有大量數(shù)據(jù)處理的業(yè)務場景，尤其是涉及到大量個人信息。開展類似業(yè)務的企業(yè)或機構就可以通過做個人信息保護認證，來獲取用戶信任，以更好地樹立企業(yè)形象、保障業(yè)務可持續(xù)發(fā)展。

分類來看，涉及跨境的，TC260-PG-20222A《個人信息跨境處理活動安全認證規(guī)范》點出了跨境認證的典型適用場景：

其一，跨國公司或者同一經(jīng)濟、事業(yè)實體下屬子公司或關聯(lián)公司之間的個人信息跨境處理活動（“集團內(nèi)跨境”）。多位律師與業(yè)內(nèi)人士對財經(jīng)E法稱，這類似于歐盟《通用數(shù)據(jù)保護條例》（簡稱“GDPR”）下的有約束力的行為準則（Binding Corporate Rules，簡稱“BCR”）模式。

其二，《個人信息保護法》第3條第2款規(guī)定的境外個人信息處理者分析、評估境內(nèi)自然人的行為（“域外管轄”）。

而針對在境內(nèi)，吳衛(wèi)明也列舉了三個具體場景。

首先，如果政府招標時要求具備個人信息保護認證的企業(yè)才能參與，認證過的企業(yè)就比沒有認證過的企業(yè)擁有更多機會。

其次，若某企業(yè)幫金融機構做業(yè)務導流，不可避免地會把個人信息推給金融機構。金融機構需要知道這些個人信息是否合法，但又不能到一線去監(jiān)督個人信息數(shù)據(jù)的產(chǎn)生過程，只能從流程或者內(nèi)部控制上來評估所提供的數(shù)據(jù)是否安全�！按藭r，如果企業(yè)做了個人信息保護認證，那么它得到認可的可能性就會更大�！�

最后，若某公司需要將軟件開發(fā)或者系統(tǒng)開發(fā)的工作承包給乙方公司，有能證明個人信息保護能力資質(zhì)的乙方公司，會讓客戶更放心。

企業(yè)應對路徑

面對新的認證規(guī)則，企業(yè)該如何應對？

周亞超向財經(jīng)E法透露，《認證規(guī)則》出臺后，安恒信息已接到不少客戶的咨詢，包括適不適合做認證、怎么做認證，以及認證的價值等問題。周亞超發(fā)現(xiàn)，很多企業(yè)想通過認證來證明或提升自身的個人信息保護能力。此外，大型企業(yè)會比中小型企業(yè)意愿更強烈，因為認證是有成本的，不僅需要整改，且滿足認證當中所規(guī)定的相關制度、技術以及和相應的安全措施，甚至還要配備專業(yè)人員等。

“這對于中小型企業(yè)來說可能負擔較重。”周亞超說。

不過從企業(yè)角度，周亞超希望看到實際案例和激勵措施落地。比如，企業(yè)如果做到了自證合規(guī)，并具備安全保障措施，但依然沒有避免安全事件和風險，“是否能有一定程度的減輕或者豁免安全責任等？”

吳衛(wèi)明認為，《認證規(guī)則》可以為產(chǎn)業(yè)界提供更明確的合規(guī)指導，同時也能帶動個人信息安全咨詢和相關合規(guī)工具的發(fā)展，進而推動建立更好的產(chǎn)業(yè)生態(tài)，并引導好的企業(yè)脫穎而出�！捌髽I(yè)應該積極響應監(jiān)管要求做到自證合規(guī)，“ 吳衛(wèi)明說�！耙矔�促進企業(yè)更好的發(fā)展”。

左曉棟援引數(shù)據(jù)出境安全的例子稱，傳統(tǒng)產(chǎn)品和服務解決不了企業(yè)的如下問題：如何證明實際出境的數(shù)據(jù)是合規(guī)的，沒有境外業(yè)務是否會發(fā)生數(shù)據(jù)出境，以及如何監(jiān)測出境數(shù)據(jù)等等。他指出，包括個人信息保護認證在內(nèi)的數(shù)據(jù)安全評定將直接催生大量數(shù)據(jù)安全咨詢需求，且各類機構亟需數(shù)據(jù)安全合規(guī)工具的支持，這都將成為企業(yè)新的業(yè)務增長點。