2022年11月4日��,國家互聯網信息辦公室(下稱“國家網信辦”)���、國家市場監督管理總局(下稱“市場監管總局”)聯合印發《關於實施個人信息保護認證的公告》(下稱“《認證公告》”)�����,內附《個人信息保護認證實施規則》(下稱“《認證實施規則》”)。《認證實施規則》共計7條�,對適用範圍���、認證依據��、認證模式��、認證實施程序���、認證證書和認證標誌�����、認證實施細則�����、認證責任等內容作出明確規定���,進一步明確和完善了我國的個人信息保護認證製度。本文將具體結合《認證實施規則》及其他相關法律文件對初露頭角的個人信息保護認證製度進行重點解讀�����,以期為企業的業務和合規工作開展提供參考。
1�����、個人信息保護認證的法律框架
(1)個人信息保護認證的相關法律文件和製定沿革
根據《中華人民共和國認證認可條例(2020修訂)》(下稱“《認證認可條例(2020修訂)》”)的第2條規定����,認證����,是指由認證機構證明產品��、服務�、管理體係符合相關技術規範�、相關技術規範的強製性要求或者標準的合格評定活動。關於個人信息保護認證的主要法律法規等如下:
2021年11月1日����,《個人信息保護法》正式施行��,第38條從法律層麵上將個人信息保護認證設定為與安全評估及標準合同並行的個人信息跨境提供合法路徑之一。
2022年3月6日���,全國信息安全標準化技術委員會(下稱“信安標委”)印發《2022年網絡安全國家標準需求清單》���,提出國家標準《信息安全技術 個人信息跨境傳輸認證要求》(下稱“《認證要求》”)的編製任務�����,用以支撐《個人信息保護法》第38條的個人信息跨境提供安全認證工作����,並於11月14日對該國標征集參編單位。
2022年6月24日���,信安標委發布《網絡安全標準實踐指南—個人信息跨境處理活動安全認證規範》(下稱“《認證規範V1.0》”)��,《認證規範V1.0》係我國首個個人信息保護認證方麵的標準技術文件�;11月8日�����,信安標委再次發布《網絡安全標準實踐指南—個人信息跨境處理活動安全認證規範V2.0(征求意見稿)》(下稱“《認證規範V2.0》”�,為個人信息跨境處理安全認證的落地提供標準化實踐指引。
2022年11月4日�����,市場監管總局作為國務院認證認可監督管理部門��,會同主管網絡安全����、數據安全���、個人信息保護事項的國家網信辦聯合印發《認證實施規則》���,為我國個人信息保護認證製度提供具體的“認證規則”。
(2)個人信息保護認證的法律依據和法律地位
《認證公告》規定�,《認證實施規則》的上位法依據為《個人信息保護法》及《認證認可條例(2020修訂)》。根據《個人信息保護法》第38條�����、《認證認可條例(2020修訂)》第18條的規定���,個人信息保護認證屬於自願選擇的製度����,可以作為個人信息跨境傳輸的合法途徑之一。
根據《認證認可條例(2020修訂)》第17條的規定�,本次公布的《認證實施規則》屬於由國務院認證認可監督管理部門製定的�����,對於個人信息保護認證機構在實施認證活動中應當遵循的基本規範��、認證規則。《認證實施規則》適用於個人信息保護認證活動�����,屬於規範性文件�,對認證機構和自願委托進行認證的申請人具有法律約束力。
在認證依據方麵���,根據《認證認可條例》第2條�,認證機構實施認證活動中對產品��、服務���、管理體係進行合格評定���,應當對標相關技術規範�、相關技術規範的強製性要求或者標準。根據《認證實施規則》第2條�����,申請PIP認證(不含跨境處理活動的個人信息保護認證)及PIPCB認證(含跨境處理活動的個人信息保護認證)的個人信息處理活動均需符合國家標準《信息安全技術 個人信息安全規範》(GB/T35273-2020)(下稱“《個人信息安全規範》”)的要求�,申請PIPCB認證的個人信息跨境處理活動還應另外符合《認證規範V1.0》的要求�,且上述法律文件應按最新版本執行���,因此待《認證規範V2.0》正式發布後將作為PIPCB認證的依據。
在標準方麵��,目前已生效的國家標準《個人信息安全規範》將為個人信息保護認證提供合規控製點。在技術規範方麵����,信安標委秘書處發布的《認證規範》作為標準技術性文件�,在權威性上雖不及國家標準��,但經《認證實施規則》確認將共同成為認證活動的確定的依據。
但dan是shi���,值zhi得de進jin一yi步bu觀guan察cha的de是shi�,個ge人ren信xin息xi保bao護hu認ren證zheng的de認ren證zheng依yi據ju盡jin管guan已yi作zuo出chu規gui定ding��,但dan存cun在zai一yi些xie有you待dai探tan討tao與yu明ming確que的de問wen題ti。例li如ru���,正zheng在zai編bian製zhi中zhong並bing計ji劃hua於yu未wei來lai發fa布bu的de國guo家jia標biao準zhun《認證要求》出台後�,是否能夠作為個人信息保護認證的認證依據��;《個人信息安全規範》及《認證規範V1.0》超出《個人信息保護法》的合規要求是否應當嚴格遵循���;《個人信息安全規範》及《認證規範V1.0》提及的其他標準或技術規範能否成為個人信息保護認證的認證依據等。
2��、個人信息保護認證的類型及適用
根據《認證實施規則》第1條�����,個人信息保護認證適用於個人信息處理者開展個人信息收集����、存儲��、使用�����、加工��、傳輸�、提供���、公開���、刪除以及跨境等處理活動�,即適用範圍為個人信息處理活動全生命周期。企業通過個人信息保護認證����,可為自身具備保護個人信息安全的良好能力提供證明。其中����,gerenxinxikuajingchulishuyugerenxinxichulihuodongdehuanjiezhiyi�����,gugerenxinxikuajingchulirenzhengshuyugerenxinxibaohurenzhengdeleixingzhiyi����,qiyekeyizaimanzuxiangguantiaojiandeqiantixiaziyuanxuanzejianggerenxinxibaohurenzhengzuoweigerenxinxikuajingchulideheguilujing。在認證類型方麵�����,《認證實施規則》第5.2條規定����,不含跨境處理活動的個人信息保護認證為PIP認證����,包含跨境處理活動的個人信息保護認證為PIPCB認證。
另外�,包含跨境處理活動的PIPCB認證的適用情形發生變化。根據《認證規範V1.0》����,對於不適用安全評估路徑進行出境的個人信息處理者而言����,PIPCB認證的適用情形為:(1)跨國公司或者同一經濟��、事業實體下屬子公司或關聯公司之間的個人信息跨境處理活動���;(2)《個人信息保護法》第3條第2款適用的境外個人信息處理者相關活動。但是《認證規範V2.0》刪除了上述兩類具體的數據跨境處理活動����,將PIPCB認證的適用情形變更為“個人信息處理者開展個人信息跨境處理活動”。從字麵意思理解����,《認證規範V2.0》的修改或將擴大PIPCB認證的適用範圍����,該版本的最終生效和實際效用仍有待觀察。
3�����、個人信息保護認證的模式及流程
根據《認證實施規則》第3條���,個人信息保護認證采取常規的認證模式���,即技術驗證+現場審核+獲證後監督。個人信息保護認證主要涉及三類主體:(1)認證機構�����,對現場審核結論�����、認證結論負責��;(2)技術驗證機構��,對技術驗證結論負責�;(3)認證委托人����,對認證委托資料的真實性�����、合法性負責。具體認證流程如下:
4����、個人信息保護認證製度的實施意義和問題點
根(gen)據(ju)我(wo)們(men)對(dui)相(xiang)關(guan)法(fa)律(lv)製(zhi)度(du)的(de)研(yan)究(jiu)和(he)比(bi)較(jiao)�����,並(bing)結(jie)合(he)我(wo)們(men)在(zai)實(shi)際(ji)工(gong)作(zuo)中(zhong)對(dui)企(qi)業(ye)運(yun)營(ying)和(he)需(xu)求(qiu)的(de)理(li)解(jie)����,我(wo)們(men)傾(qing)向(xiang)認(ren)為(wei)相(xiang)較(jiao)於(yu)安(an)全(quan)評(ping)估(gu)和(he)標(biao)準(zhun)合(he)同(tong)��,個(ge)人(ren)信(xin)息(xi)保(bao)護(hu)認(ren)證(zheng)作(zuo)為(wei)個(ge)人(ren)信(xin)息(xi)跨(kua)境(jing)處(chu)理(li)的(de)合(he)法(fa)路(lu)徑(jing)之(zhi)一(yi)��,具(ju)有(you)以(yi)下(xia)實(shi)施(shi)的(de)意(yi)義(yi)���,但(dan)是(shi)至(zhi)少(shao)在(zai)現(xian)階(jie)段(duan)對(dui)於(yu)企(qi)業(ye)是(shi)否(fou)選(xuan)擇(ze)認(ren)證(zheng)方(fang)式(shi)����,同(tong)時(shi)存(cun)在(zai)以(yi)下(xia)注(zhu)意(yi)點(dian)。
(1)個人信息保護認證製度的實施意義
a.便利性。對dui於yu可ke適shi用yong主zhu體ti而er言yan���,個ge人ren信xin息xi保bao護hu認ren證zheng理li論lun上shang可ke以yi便bian利li個ge人ren信xin息xi跨kua境jing處chu理li業ye務wu。當dang境jing內nei處chu理li者zhe和he境jing外wai接jie收shou方fang的de個ge人ren信xin息xi保bao護hu能neng力li達da到dao我wo國guo法fa律lv法fa規gui規gui定ding的de相xiang關guan要yao求qiu時shi���,個ge人ren信xin息xi保bao護hu認ren證zheng理li論lun上shang可ke以yi擺bai脫tuo一yi事shi一yi議yi的de局ju限xian性xing����,無wu需xu按an照zhao單dan一yi業ye務wu需xu求qiu����、業務場景或業務合同進行安全評估或者進行標準合同備案等手續。
b.合規背書。qiyejinxinggerenxinxibaohurenzheng�����,budankeyijiangqizuoweijianglaishujukuajingchulihuodongdeheguilujingzhiyi��,erqienenggoutongguorenzhengjigouderenzhengjieguozhengmingzishendegerenxinxibaohunengli。suiranxianxingfalv��,chulekuajingchuanshu�����,bingweimingquegerenxinxibaohurenzhengdefalvxiaoguo�,danshijianyu《個人信息保護法》規(gui)定(ding)�,個(ge)人(ren)信(xin)息(xi)處(chu)理(li)者(zhe)應(ying)當(dang)采(cai)取(qu)有(you)效(xiao)措(cuo)施(shi)保(bao)護(hu)個(ge)人(ren)信(xin)息(xi)的(de)安(an)全(quan)�,而(er)且(qie)處(chu)理(li)個(ge)人(ren)信(xin)息(xi)侵(qin)害(hai)個(ge)人(ren)信(xin)息(xi)權(quan)益(yi)造(zao)成(cheng)損(sun)害(hai)�����,個(ge)人(ren)信(xin)息(xi)處(chu)理(li)者(zhe)不(bu)能(neng)證(zheng)明(ming)自(zi)己(ji)沒(mei)有(you)過(guo)錯(cuo)的(de)����,應(ying)當(dang)承(cheng)擔(dan)損(sun)害(hai)賠(pei)償(chang)等(deng)侵(qin)權(quan)責(ze)任(ren)。通(tong)過(guo)個(ge)人(ren)信(xin)息(xi)保(bao)護(hu)認(ren)證(zheng)����,無(wu)論(lun)對(dui)於(yu)企(qi)業(ye)規(gui)範(fan)安(an)全(quan)管(guan)理(li)�����,還(hai)是(shi)對(dui)外(wai)證(zheng)明(ming)履(lv)行(xing)義(yi)務(wu)�����,實(shi)施(shi)個(ge)人(ren)信(xin)息(xi)保(bao)護(hu)認(ren)證(zheng)都(dou)不(bu)失(shi)為(wei)一(yi)個(ge)可(ke)以(yi)考(kao)慮(lv)的(de)選(xuan)項(xiang)。
(2)注意點
a.適用對象限定。在(zai)個(ge)人(ren)信(xin)息(xi)跨(kua)境(jing)的(de)業(ye)務(wu)場(chang)景(jing)下(xia)���,企(qi)業(ye)隻(zhi)有(you)在(zai)不(bu)適(shi)用(yong)安(an)全(quan)評(ping)估(gu)的(de)前(qian)提(ti)下(xia)才(cai)可(ke)以(yi)考(kao)慮(lv)是(shi)否(fou)選(xuan)擇(ze)個(ge)人(ren)信(xin)息(xi)保(bao)護(hu)認(ren)證(zheng)��,而(er)且(qie)目(mu)前(qian)個(ge)人(ren)信(xin)息(xi)保(bao)護(hu)認(ren)證(zheng)的(de)適(shi)用(yong)條(tiao)件(jian)僅(jin)限(xian)於(yu)兩(liang)種(zhong)情(qing)況(kuang)���,即(ji)跨(kua)國(guo)公(gong)司(si)集(ji)團(tuan)內(nei)部(bu)的(de)個(ge)人(ren)信(xin)息(xi)跨(kua)境(jing)處(chu)理(li)和(he)境(jing)外(wai)個(ge)人(ren)信(xin)息(xi)處(chu)理(li)者(zhe)的(de)相(xiang)關(guan)活(huo)動(dong)(即使《認證規範V2.0》最終擴大適用範圍���,實際應用情況仍有待觀察)。
b.製度實施尚有不確定之處。雖然《認證實施規則》的出台�����,明確了個人信息保護認證實施過程中認證模式和實施程序����,認證工作有望得到進一步推動。但是認證機構等目前尚不明確(根據過往經驗�����,可能由中國網絡安全審查技術與認證中心擔任認證機構)���,現階段實際開展仍存在一定難度�����,更加細化的認證實施程序和認證實施細則待進一步公布。
c.成本投入並不低。個人信息保護認證作為一套體係化的合規安排����,需要進行技術驗證+現場審核+獲證後監督的複雜流程。而且��,根據《認證規範V2.0》��,企業通過個人信息保護認證進行跨境處理的��,境內外雙方還應當簽訂具有法律約束力和可執行的文件�����、指定個人信息保護負責人����、設立個人信息保護機構�、遵(zun)守(shou)同(tong)一(yi)個(ge)人(ren)信(xin)息(xi)跨(kua)境(jing)處(chu)理(li)規(gui)則(ze)�����,境(jing)內(nei)個(ge)人(ren)信(xin)息(xi)處(chu)理(li)者(zhe)還(hai)應(ying)當(dang)開(kai)展(zhan)個(ge)人(ren)信(xin)息(xi)保(bao)護(hu)影(ying)響(xiang)評(ping)估(gu)。此(ci)外(wai)��,相(xiang)較(jiao)標(biao)準(zhun)合(he)同(tong)的(de)路(lu)徑(jing)而(er)言(yan)�,個(ge)人(ren)信(xin)息(xi)保(bao)護(hu)認(ren)證(zheng)一(yi)般(ban)需(xu)要(yao)收(shou)費(fei)。成(cheng)本(ben)投(tou)入(ru)可(ke)能(neng)會(hui)對(dui)相(xiang)關(guan)企(qi)業(ye)選(xuan)擇(ze)認(ren)證(zheng)方(fang)式(shi)產(chan)生(sheng)影(ying)響(xiang)。
d.操作中的隱憂。根據我們的經驗���,在實務操作中個人信息保護認證可能存在若幹外資企業普遍關注和存有顧慮的問題���,例如:境外處理者需要指定代理機構才能申請認證����;境內外處理者需要指定個人信息負責人���,而且對於該負責人有身份和資質上的要求����;境外接收方需要承諾遵守中國個人信息保護有關法律����、行政法規�,並接受中國司法管轄��;境外接收方需要承諾接受認證機構的監督�����,包括答複詢問���、例行檢查等。《認證規範V2.0》還進一步增加和細化了跨境協議內容�、個人信息保護機構的職責要求����、個ge人ren信xin息xi主zhu體ti的de賠pei償chang請qing求qiu權quan和he處chu理li者zhe與yu接jie收shou方fang之zhi間jian的de責ze任ren義yi務wu等deng內nei容rong。這zhe些xie可ke能neng會hui給gei境jing外wai接jie收shou方fang了le解jie和he配pei合he認ren證zheng工gong作zuo帶dai來lai一yi些xie影ying響xiang��,從cong而er進jin一yi步bu影ying響xiang認ren證zheng工gong作zuo的de實shi施shi效xiao率lv和he企qi業ye的de選xuan擇ze。
e.時效性。取得認證並非一勞永逸��,根據《認證實施規則》�,認證證書有效期3年����,證書到期需延續使用的�����,認證委托人應當在有效期屆滿前6個月內提出認證委托。認證機構應當采用獲證後監督的方式���,對符合認證要求的委托換發新證書。
5.結語
綜zong上shang所suo述shu�,個ge人ren信xin息xi保bao護hu認ren證zheng製zhi度du是shi我wo國guo認ren證zheng製zhi度du的de一yi項xiang內nei容rong���,體ti現xian了le國guo家jia在zai全quan球qiu化hua背bei景jing下xia與yu國guo際ji接jie軌gui�����,在zai保bao護hu個ge人ren信xin息xi安an全quan和he主zhu體ti權quan益yi的de同tong時shi努nu力li促cu進jin數shu據ju自zi由you有you序xu流liu動dong的de意yi圖tu��,為wei跨kua國guo企qi業ye和he組zu織zhi履lv行xing數shu據ju隱yin私si合he規gui義yi務wu提ti供gong了le實shi踐jian指zhi引yin。雖sui然ran個ge人ren信xin息xi保bao護hu認ren證zheng製zhi度du剛gang剛gang顯xian露lu端duan倪ni�����,我wo們men建jian議yi企qi業ye可ke以yi在zai參can考kao本ben文wen中zhong解jie讀du的de個ge人ren信xin息xi保bao護hu認ren證zheng製zhi度du的de適shi用yong範fan圍wei��、認證程序�、實施意義和現階段注意點分析的基礎上��,結合自身情況��,(1)對於一般性個人信息保護認證��,可以積極探討實施認證的必要性和可行性��;(2)對dui於yu跨kua境jing的de個ge人ren信xin息xi保bao護hu認ren證zheng�����,在zai無wu需xu適shi用yong安an全quan評ping估gu進jin行xing個ge人ren信xin息xi跨kua境jing處chu理li的de前qian提ti下xia�,在zai個ge人ren信xin息xi出chu境jing業ye務wu和he境jing外wai個ge人ren信xin息xi接jie收shou方fang相xiang對dui比bi較jiao固gu定ding�����、一定期間內頻繁有個人信息出境業務需求����、境外個人信息接收方較能接受和配合認證機構的認證和監督的情形下�����,可以嚐試考慮適用個人信息保護認證的路徑。
注釋:
[1] 《個人信息保護法》第38條 個人信息處理者因業務等需要�,確需向中華人民共和國境外提供個人信息的�����,應當具備下列條件之一:
(一)依照本法第四十條的規定通過國家網信部門組織的安全評估�;
(二)按照國家網信部門的規定經專業機構進行個人信息保護認證�;
(三)按照國家網信部門製定的標準合同與境外接收方訂立合同���,約定雙方的權利和義務�;
(四)法律�����、行政法規或者國家網信部門規定的其他條件。
中華人民共和國締結或者參加的國際條約�����、協定對向中華人民共和國境外提供個人信息的條件等有規定的���,可以按照其規定執行。
個人信息處理者應當采取必要措施��,保障境外接收方處理個人信息的活動達到本法規定的個人信息保護標準。
[2] 《認證認可條例(2020修訂)》第18條 任何法人����、組織和個人可以自願委托依法設立的認證機構進行產品����、服務���、管理體係認證。
[3] 《認證認可條例(2020修訂)》第17條 認證機構應當按照認證基本規範�����、認證規則從事認證活動。認證基本規範�、認證規則由國務院認證認可監督管理部門製定�;涉及國務院有關部門職責的���,國務院認證認可監督管理部門應當會同國務院有關部門製定。
[4] 《個人信息保護法》第3條 在中華人民共和國境內處理自然人個人信息的活動���,適用本法。
在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動�����,有下列情形之一的��,也適用本法:
(一)以向境內自然人提供產品或者服務為目的����;
(二)分析���、評估境內自然人的行為��;
(三)法律��、行政法規規定的其他情形。
[5] 《個人信息保護法》第9條���、第51條。
[6] 《個人信息保護法》第69條。
