解密“個(gè)人信息保護(hù)認(rèn)證”

2022年11月18日，市場(chǎng)監(jiān)管總局、國(guó)家網(wǎng)信辦發(fā)布公告，為落實(shí)《個(gè)人信息保護(hù)法》，決定實(shí)施個(gè)人信息保護(hù)認(rèn)證并發(fā)布《個(gè)人信息保護(hù)認(rèn)證實(shí)施規(guī)則》(下稱(chēng)“《認(rèn)證規(guī)則》”)，鼓勵(lì)個(gè)人信息處理者通過(guò)認(rèn)證方式提升個(gè)人信息保護(hù)能力。

這是兩部門(mén)在數(shù)據(jù)安全認(rèn)證領(lǐng)域的又一動(dòng)作。

2019年3月15日，為規(guī)范App收集、使用用戶(hù)信息，兩部門(mén)曾根據(jù)《網(wǎng)絡(luò)安全法》，決定開(kāi)展App安全認(rèn)證，并發(fā)布了《App安全認(rèn)證實(shí)施規(guī)則》。

2022年6月，兩部門(mén)根據(jù)《數(shù)據(jù)安全法》開(kāi)啟數(shù)據(jù)安全管理認(rèn)證，鼓勵(lì)網(wǎng)絡(luò)運(yùn)營(yíng)者通過(guò)認(rèn)證方式規(guī)范網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)，加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)，并公布了《數(shù)據(jù)安全管理認(rèn)證實(shí)施規(guī)則》。

那么，新的《認(rèn)證規(guī)則》有何作用？如何實(shí)施？又會(huì)給企業(yè)帶來(lái)什么影響？

多位受訪專(zhuān)家、律師、業(yè)界人士均對(duì)財(cái)經(jīng)E法表示，個(gè)人信息保護(hù)認(rèn)證在內(nèi)的數(shù)據(jù)安全認(rèn)證是企業(yè)證明自身在該領(lǐng)域合規(guī)水平的有效方式。

在制度建設(shè)角度，中國(guó)科技大學(xué)公共事務(wù)學(xué)院、網(wǎng)絡(luò)空間安全學(xué)院教授左曉棟對(duì)財(cái)經(jīng)E法指出，三份認(rèn)證實(shí)施規(guī)則共同建立了數(shù)據(jù)安全認(rèn)證制度的框架�！爸鞴懿块T(mén)連續(xù)發(fā)布數(shù)據(jù)安全認(rèn)證相關(guān)的公告，意味著一定會(huì)推動(dòng)認(rèn)證制度發(fā)揮更大的作用�！弊髸詶澱f(shuō)。

雖然《認(rèn)證規(guī)則》尚未明確執(zhí)行細(xì)則，但左曉棟認(rèn)為，無(wú)論是何種數(shù)據(jù)安全認(rèn)證，我國(guó)認(rèn)證機(jī)構(gòu)大概率會(huì)是同一家，即中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心。

值得關(guān)注的是，個(gè)人信息保護(hù)認(rèn)證有兩項(xiàng)準(zhǔn)則，其一是國(guó)家推薦標(biāo)準(zhǔn)，其二是技術(shù)文件。北京師范大學(xué)法學(xué)院博士生導(dǎo)師、中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)研究中心副主任吳沈括稱(chēng)，“覆蓋了非跨境和跨境的所有個(gè)人信息處理場(chǎng)景”。

細(xì)則仍待明確

認(rèn)證認(rèn)可制度是一種國(guó)內(nèi)外通行的第三方評(píng)價(jià)制度，由具備專(zhuān)業(yè)能力的第三方機(jī)構(gòu)依據(jù)標(biāo)準(zhǔn)和技術(shù)規(guī)范，對(duì)產(chǎn)品、服務(wù)或企業(yè)的管理體系、人員能力等做出評(píng)價(jià)，從而可供社會(huì)對(duì)評(píng)價(jià)結(jié)果進(jìn)行采信。

《認(rèn)證認(rèn)可條例》第二條明確，“認(rèn)證”是指由認(rèn)證機(jī)構(gòu)證明產(chǎn)品、服務(wù)、管理體系符合“相關(guān)技術(shù)規(guī)范、相關(guān)技術(shù)規(guī)范的強(qiáng)制性要求或者標(biāo)準(zhǔn)”的合格評(píng)定活動(dòng)。

左曉棟表示，認(rèn)證認(rèn)可制度通過(guò)解決市場(chǎng)經(jīng)濟(jì)交易中的信息不對(duì)稱(chēng)問(wèn)題，進(jìn)而降低了交易費(fèi)用，并保障有效市場(chǎng)競(jìng)爭(zhēng)。在《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》發(fā)布施行后，認(rèn)證認(rèn)可制度也成為重要的數(shù)據(jù)安全治理手段。

具體到“個(gè)人信息保護(hù)認(rèn)證”，《個(gè)人信息保護(hù)法》第三十八條僅有一句話提及，“按照國(guó)家網(wǎng)信部門(mén)的規(guī)定經(jīng)專(zhuān)業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證”，本次公布的《認(rèn)證規(guī)則》明確并細(xì)化了如何認(rèn)證，以及認(rèn)證模式。

《認(rèn)證規(guī)則》 規(guī)定了對(duì)個(gè)人信息處理者開(kāi)展個(gè)人信息收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)、刪除以及跨境等處理活動(dòng)進(jìn)行認(rèn)證的基本原則和要求，認(rèn)證模式為技術(shù)驗(yàn)證+現(xiàn)場(chǎng)審核+獲證后監(jiān)督。

根據(jù)《認(rèn)證規(guī)則》，認(rèn)證證書(shū)有效期為3年。如需延續(xù)使用，認(rèn)證委托人應(yīng)當(dāng)在有效期屆滿前6個(gè)月內(nèi)提出認(rèn)證委托。認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)采用獲證后監(jiān)督的方式，對(duì)符合認(rèn)證要求的委托換發(fā)新證書(shū)。

但業(yè)界普遍認(rèn)為，執(zhí)行細(xì)節(jié)仍有待完善。

中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院網(wǎng)絡(luò)安全研究中心測(cè)評(píng)實(shí)驗(yàn)室副主任何延哲向財(cái)經(jīng)E法表示，《認(rèn)證規(guī)則》只是一個(gè)開(kāi)始，還需完成一系列的后續(xù)工作。比如，目前，沒(méi)有明確規(guī)定執(zhí)行機(jī)構(gòu)，需要花費(fèi)的成本以及工作流程等�！墩J(rèn)證規(guī)則》只是確立了認(rèn)證是條可行路徑， “未來(lái)，如果有了更加詳細(xì)的實(shí)施細(xì)則，很多操作層面的問(wèn)題將迎刃而解�！�

上海錦天城律師事務(wù)所高級(jí)合伙人吳衛(wèi)明也表示，《認(rèn)證規(guī)則》還有諸多待完善的地方。比如并沒(méi)有明確規(guī)定監(jiān)管機(jī)構(gòu)，也沒(méi)有規(guī)定執(zhí)行機(jī)構(gòu)�！拔磥�(lái)還應(yīng)出臺(tái)配套細(xì)則，明確規(guī)定執(zhí)行機(jī)構(gòu)的管理規(guī)則，以及應(yīng)該承擔(dān)的責(zé)任等內(nèi)容�！�

公開(kāi)信息顯示，中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心（下稱(chēng)“網(wǎng)安認(rèn)證中心”）負(fù)責(zé)數(shù)據(jù)安全管理認(rèn)證制度的具體建設(shè)和實(shí)施，同時(shí)，該中心也是App安全認(rèn)證的實(shí)施機(jī)構(gòu)。網(wǎng)安認(rèn)證中心為國(guó)家市場(chǎng)監(jiān)督管理總局直屬正司局級(jí)事業(yè)單位。

左曉棟認(rèn)為，無(wú)論是何種數(shù)據(jù)安全認(rèn)證，認(rèn)證機(jī)構(gòu)大概率會(huì)是同一家，網(wǎng)安認(rèn)證中心。這為認(rèn)證機(jī)構(gòu)聯(lián)合開(kāi)展不同的數(shù)據(jù)安全認(rèn)證提供了可能，企業(yè)可以一次性打包向其提出認(rèn)證申請(qǐng)。

對(duì)外經(jīng)貿(mào)大學(xué)法學(xué)院副教授、數(shù)字經(jīng)濟(jì)與法律創(chuàng)新研究中心主任許可對(duì)財(cái)經(jīng)E法稱(chēng)，實(shí)施《認(rèn)證規(guī)則》的目的，一方面主要是通過(guò)社會(huì)治理，彌補(bǔ)監(jiān)管不足；另一方面，也是為了推動(dòng)《認(rèn)證規(guī)則》所依據(jù)的國(guó)家標(biāo)準(zhǔn)和技術(shù)文件的落地。

網(wǎng)絡(luò)數(shù)據(jù)安全企業(yè)安恒信息（688023.SH）首席標(biāo)準(zhǔn)研究員周亞超認(rèn)為，《認(rèn)證規(guī)則》是一種共同治理的策略，也即先由相關(guān)實(shí)體制定針對(duì)具體活動(dòng)或行為的標(biāo)準(zhǔn)，同時(shí)這樣的標(biāo)準(zhǔn)在一定程度上獲得監(jiān)管機(jī)構(gòu)的認(rèn)可，隨后由組織在其內(nèi)部實(shí)施落地。使用這種策略的原因是，在數(shù)字化轉(zhuǎn)型的浪潮下，數(shù)據(jù)處理場(chǎng)景、數(shù)據(jù)類(lèi)型多樣，僅靠網(wǎng)絡(luò)安全監(jiān)管手段難以有效覆蓋，需要鼓勵(lì)多方參與，包括政府部門(mén)、監(jiān)管機(jī)構(gòu)、院校、數(shù)據(jù)運(yùn)營(yíng)者、網(wǎng)絡(luò)服務(wù)提供者等。

周亞超分析說(shuō)，《認(rèn)證規(guī)則》中并未有強(qiáng)制性規(guī)定，而是采取自愿的原則，這已經(jīng)提供了一個(gè)很好的共同治理的前提，讓不同角色根據(jù)需要參與到網(wǎng)絡(luò)安全和數(shù)據(jù)安全的治理中。在周亞超看來(lái)，這種“自證”的方式，是一條切實(shí)可行的路�！捌渲匾獌r(jià)值在于，在監(jiān)管中為創(chuàng)新留下空間，進(jìn)而鼓勵(lì)進(jìn)一步的市場(chǎng)競(jìng)爭(zhēng)�！�

完善數(shù)據(jù)跨境的規(guī)則體系

讓業(yè)界頗為關(guān)注的是，《認(rèn)證規(guī)則》既包含了通用的個(gè)人信息保護(hù)認(rèn)證制度，也建立了針對(duì)數(shù)據(jù)出境場(chǎng)景的個(gè)人信息出境認(rèn)證制度。

據(jù)左曉棟介紹，申請(qǐng)個(gè)人信息保護(hù)認(rèn)證的個(gè)人信息處理者應(yīng)當(dāng)符合國(guó)家推薦標(biāo)準(zhǔn)（GB/T 35273《信息安全技術(shù)個(gè)人信息安全規(guī)范》）的要求；但如果要在個(gè)人信息出境時(shí)采信認(rèn)證結(jié)論，還必須符合技術(shù)文件（TC260-PG-20222A《個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范》）的要求。

何延哲認(rèn)為，確立數(shù)據(jù)跨境的認(rèn)證模式，是《認(rèn)證規(guī)則》中的一個(gè)新的價(jià)值點(diǎn)。吳沈括也向財(cái)經(jīng)E法表示，個(gè)人信息保護(hù)認(rèn)證是對(duì)接國(guó)際主流實(shí)踐、培育個(gè)人信息流轉(zhuǎn)利用良性生態(tài)的重要舉措。一方面，數(shù)據(jù)出境在法律層面有關(guān)于認(rèn)證機(jī)制出境的制度設(shè)計(jì)，需要有配套的落地細(xì)則規(guī)范；另一方面是在原有的國(guó)家標(biāo)準(zhǔn)中，沒(méi)有關(guān)于數(shù)據(jù)跨境的專(zhuān)門(mén)規(guī)定，因此需要通過(guò)前述技術(shù)文件來(lái)予以補(bǔ)充，形成制度的閉環(huán)。

左曉棟透露，TC260-PG-20222A《個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范》可能會(huì)被新的國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)個(gè)人信息跨境傳輸認(rèn)證要求》所代替，權(quán)威性會(huì)進(jìn)一步增強(qiáng)。

依據(jù)《個(gè)人信息保護(hù)法》，個(gè)人信息出境應(yīng)當(dāng)具備下列條件之一：（1）安全評(píng)估：通過(guò)網(wǎng)信部門(mén)組織的安全評(píng)估；（2）認(rèn)證：按照網(wǎng)信部門(mén)規(guī)定經(jīng)專(zhuān)業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證；（3）標(biāo)準(zhǔn)合同：按照網(wǎng)信部門(mén)制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同；（4）法律、行政法規(guī)或者國(guó)家網(wǎng)信部門(mén)規(guī)定的其他條件。也就是說(shuō)，機(jī)構(gòu)在個(gè)人信息出境時(shí)，除了選擇安全評(píng)估和標(biāo)準(zhǔn)合同以外，還可以選擇認(rèn)證的方式進(jìn)行個(gè)人信息出境。因而，數(shù)據(jù)跨境成為《認(rèn)證規(guī)則》適用的重要場(chǎng)景之一。

根據(jù)海問(wèn)律師事務(wù)所的解讀，安全評(píng)估具有優(yōu)先地位和國(guó)家安全站位；標(biāo)準(zhǔn)合同是一種無(wú)需審查、相對(duì)輕量級(jí)的跨境機(jī)制；而跨境認(rèn)證由專(zhuān)業(yè)機(jī)構(gòu)對(duì)個(gè)人信息處理者及境外接收方的數(shù)據(jù)保護(hù)水平進(jìn)行審查，不僅可以作為跨境機(jī)制，亦可成為企業(yè)證明自身合規(guī)水平的有效方式。

適合哪些業(yè)務(wù)場(chǎng)景？

哪些機(jī)構(gòu)和業(yè)務(wù)場(chǎng)景更適合做個(gè)人信息保護(hù)認(rèn)證？

左曉棟認(rèn)為，由于個(gè)人信息保護(hù)認(rèn)證是第三方機(jī)構(gòu)對(duì)企業(yè)個(gè)人信息保護(hù)的能力，給予的供社會(huì)廣泛采信的背書(shū)，因此開(kāi)展大量個(gè)人信息處理活動(dòng)的企業(yè)或機(jī)構(gòu)，以及業(yè)務(wù)受數(shù)據(jù)驅(qū)動(dòng)明顯的企業(yè)或機(jī)構(gòu)，最適合做個(gè)人信息保護(hù)認(rèn)證。他舉例，即時(shí)通信、網(wǎng)盤(pán)、網(wǎng)約車(chē)、互聯(lián)網(wǎng)醫(yī)療、互聯(lián)網(wǎng)金融等服務(wù)，都是典型的擁有大量數(shù)據(jù)處理的業(yè)務(wù)場(chǎng)景，尤其是涉及到大量個(gè)人信息。開(kāi)展類(lèi)似業(yè)務(wù)的企業(yè)或機(jī)構(gòu)就可以通過(guò)做個(gè)人信息保護(hù)認(rèn)證，來(lái)獲取用戶(hù)信任，以更好地樹(shù)立企業(yè)形象、保障業(yè)務(wù)可持續(xù)發(fā)展。

分類(lèi)來(lái)看，涉及跨境的，TC260-PG-20222A《個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范》點(diǎn)出了跨境認(rèn)證的典型適用場(chǎng)景：

其一，跨國(guó)公司或者同一經(jīng)濟(jì)、事業(yè)實(shí)體下屬子公司或關(guān)聯(lián)公司之間的個(gè)人信息跨境處理活動(dòng)（“集團(tuán)內(nèi)跨境”）。多位律師與業(yè)內(nèi)人士對(duì)財(cái)經(jīng)E法稱(chēng)，這類(lèi)似于歐盟《通用數(shù)據(jù)保護(hù)條例》（簡(jiǎn)稱(chēng)“GDPR”）下的有約束力的行為準(zhǔn)則（Binding Corporate Rules，簡(jiǎn)稱(chēng)“BCR”）模式。

其二，《個(gè)人信息保護(hù)法》第3條第2款規(guī)定的境外個(gè)人信息處理者分析、評(píng)估境內(nèi)自然人的行為（“域外管轄”）。

而針對(duì)在境內(nèi)，吳衛(wèi)明也列舉了三個(gè)具體場(chǎng)景。

首先，如果政府招標(biāo)時(shí)要求具備個(gè)人信息保護(hù)認(rèn)證的企業(yè)才能參與，認(rèn)證過(guò)的企業(yè)就比沒(méi)有認(rèn)證過(guò)的企業(yè)擁有更多機(jī)會(huì)。

其次，若某企業(yè)幫金融機(jī)構(gòu)做業(yè)務(wù)導(dǎo)流，不可避免地會(huì)把個(gè)人信息推給金融機(jī)構(gòu)。金融機(jī)構(gòu)需要知道這些個(gè)人信息是否合法，但又不能到一線去監(jiān)督個(gè)人信息數(shù)據(jù)的產(chǎn)生過(guò)程，只能從流程或者內(nèi)部控制上來(lái)評(píng)估所提供的數(shù)據(jù)是否安全�！按藭r(shí)，如果企業(yè)做了個(gè)人信息保護(hù)認(rèn)證，那么它得到認(rèn)可的可能性就會(huì)更大�！�

最后，若某公司需要將軟件開(kāi)發(fā)或者系統(tǒng)開(kāi)發(fā)的工作承包給乙方公司，有能證明個(gè)人信息保護(hù)能力資質(zhì)的乙方公司，會(huì)讓客戶(hù)更放心。

企業(yè)應(yīng)對(duì)路徑

面對(duì)新的認(rèn)證規(guī)則，企業(yè)該如何應(yīng)對(duì)？

周亞超向財(cái)經(jīng)E法透露，《認(rèn)證規(guī)則》出臺(tái)后，安恒信息已接到不少客戶(hù)的咨詢(xún)，包括適不適合做認(rèn)證、怎么做認(rèn)證，以及認(rèn)證的價(jià)值等問(wèn)題。周亞超發(fā)現(xiàn)，很多企業(yè)想通過(guò)認(rèn)證來(lái)證明或提升自身的個(gè)人信息保護(hù)能力。此外，大型企業(yè)會(huì)比中小型企業(yè)意愿更強(qiáng)烈，因?yàn)檎J(rèn)證是有成本的，不僅需要整改，且滿足認(rèn)證當(dāng)中所規(guī)定的相關(guān)制度、技術(shù)以及和相應(yīng)的安全措施，甚至還要配備專(zhuān)業(yè)人員等。

“這對(duì)于中小型企業(yè)來(lái)說(shuō)可能負(fù)擔(dān)較重�！敝軄喅�說(shuō)。

不過(guò)從企業(yè)角度，周亞超希望看到實(shí)際案例和激勵(lì)措施落地。比如，企業(yè)如果做到了自證合規(guī)，并具備安全保障措施，但依然沒(méi)有避免安全事件和風(fēng)險(xiǎn)，“是否能有一定程度的減輕或者豁免安全責(zé)任等？”

吳衛(wèi)明認(rèn)為，《認(rèn)證規(guī)則》可以為產(chǎn)業(yè)界提供更明確的合規(guī)指導(dǎo)，同時(shí)也能帶動(dòng)個(gè)人信息安全咨詢(xún)和相關(guān)合規(guī)工具的發(fā)展，進(jìn)而推動(dòng)建立更好的產(chǎn)業(yè)生態(tài)，并引導(dǎo)好的企業(yè)脫穎而出�！捌髽I(yè)應(yīng)該積極響應(yīng)監(jiān)管要求做到自證合規(guī)，“ 吳衛(wèi)明說(shuō)�！耙矔�(huì)促進(jìn)企業(yè)更好的發(fā)展”。

左曉棟援引數(shù)據(jù)出境安全的例子稱(chēng)，傳統(tǒng)產(chǎn)品和服務(wù)解決不了企業(yè)的如下問(wèn)題：如何證明實(shí)際出境的數(shù)據(jù)是合規(guī)的，沒(méi)有境外業(yè)務(wù)是否會(huì)發(fā)生數(shù)據(jù)出境，以及如何監(jiān)測(cè)出境數(shù)據(jù)等等。他指出，包括個(gè)人信息保護(hù)認(rèn)證在內(nèi)的數(shù)據(jù)安全評(píng)定將直接催生大量數(shù)據(jù)安全咨詢(xún)需求，且各類(lèi)機(jī)構(gòu)亟需數(shù)據(jù)安全合規(guī)工具的支持，這都將成為企業(yè)新的業(yè)務(wù)增長(zhǎng)點(diǎn)。