认证机制强化个人信息保护，促进数据合规利用

作为落实《网络安全法》《数据安全法》《个人信息保护法》有关要求的一项数据基础制度继 2022 年 6 月 9 日国家市场监督管理总局、国家互联网信息办公室联合印发《关于开展数据安全管理认证工作的公告》2022 年第 18 号后2022 年 11 月 4 日国家市场监督管理总局、国家互联网信息办公室联合印发《关于个人信息保护认证工作的公告》正式推出我国个人信息保护认证制度。公告的发布在落实个人信息保护相关政策法规要求完善数字治理制度体系建设、服务数字经济发展方面迈出了重要的一步具有里程碑意义。

一、个人信息保护认证制度是落实法规要求完善个人信息保护制度体系的一项基础制度

个人信息保护法对个人信息保护认证制度建设做出了明确要求。我国《个人信息保护法》第 38 条将 “按照国家网信部门的规定经专业机构进行个人信息保护认证” 作为个人信息跨境流动的合法途径之一个人信息保护认证制度以下简称 “个保认证”据此建立。但个保认证制度不仅为跨境情形而设立其着眼于规范个人信息处理活动保护个人信息主体权益目的是证明个人信息处理者特定业务涉及的处理活动符合标准要求。个保认证以 GB/T35273《信息安全技术 个人信息安全规范》标准为基础和通用评价要求突出了重在落实政策法规要求、基线合规的特点。针对个人信息跨境处理这一特殊情形增加了《网络安全标准实践指南 —— 个人信息跨境处理活动安全认证规范》的评价要求也是适应当前国际上普遍认同的在数据跨境传输方面应坚持的基本原则和理念。目的是证明个人信息处理者跨境处理个人信息活动符合标准要求以此保障公民个人信息安全和主体权益促进数据的合规利用紧扣《个人信息保护法》制定的核心考虑和初衷。

在全球范围内标准与认证历来是落实政策法规要求的有效方式。在全球最严格的数据保护法规 — 欧盟《通用数据保护条例》GDPR下认证机制仍然被作为帮助企业证明其符合法规 / 标准要求的重要手段而提出。正如欧盟指出的认证的特点对于证明企业的个人信息处理活动符合标准要求有天然的优势如认证要求的数据处理的文档化管理做到一举一动都有据可查认证要求的企业应当建立周密的制度安排包括数据安全管理流程、泄露事故发现、上报预案等。通过认证一方面可以提高数据处理行为的透明度便于控制者和处理者展示其处理过程的合规性使相关方能便捷地了解处理操作的数据保护水平另一方面也可以作为数据跨境传输转移至第三国或国际组织的合法途径之一。

二、个人信息保护认证重在规范和引导有利于传递信任、服务数字经济发展

认证认可作为国际通行的质量管理手段和符合世界贸易组织规则的技术性贸易措施是市场有效运行的质量基础设施在提高个人信息保护质量、促进数据安全有序流动和合理利用方面也必将发挥重要作用。

个人信息保护认证定位为国家推行的自愿性认证以第三方认证的方式证明企业的个人信息处理活动含跨境处理个人信息符合法律法规和标准要求相较于政府监管更侧重于发挥规范和引导作用具体表现在三个方面

一是从国家层面来看个保认证是国家政策法规和标准落地实施的重要抓手以此促进个人信息保护基线水平的提升对于保护公民个人权益、维护国家数据安全、加强数据安全治理和促进国家数字经济高质量发展可以起到重要支撑作用。

二是从平台和企业层面来看通过认证企业能够对自身个人信息处理情况进行细致的梳理和了解对照政策法规和标准要求找到差距和不足之处以规范化、体系化的方式采取对应的方法和措施形成合规证据这个过程本身就是一个企业个人信息保护水平的自我提升过程能有效地帮助企业减少因数据问题导致的损失保障企业正常运行。同时认证作为标准符合性证明的特点重在规范和引导为企业满足标准要求的方式留有选择和创新空间。此外通过认证有利于提升企业的品牌形象、提升市场竞争力。特别是涉及跨境个人信息处理的企业通过认证有利于个人信息处理者相关数据的安全有序流动从而为企业创造和带来更大的价值。

同时比制定制度、采取措施更重要的是有效运行制度、确保措施适宜并在运行中不断完善。个保认证机制和模式的设计充分考虑了这一需求技术验证和认证审核的过程对企业个人信息处理活动相关制度、措施的有效性、适宜性进行抽样验证、审核通过持续监督、专项监督等方式对发现的问题及整改情况进行跟踪处理可以起到督促完善的作用。

三是从用户 / 个人消费者方面来看随着社会生活的网络化、数字化程度不断加深个人的衣食住行对各类数字化产品、服务和平台依赖度也越来越高。但与此同时个人信息被违规收集、使用、非法传输等情况屡见不鲜造成了个人信息主体在选择和使用这些产品和服务时可能面临个人信息被违规处理的焦虑和担忧。个人信息保护认证可以为消费者采购 / 选择提供指引便于选择和使用经过权威机构认证、相对有质量保障的企业提供的产品和服务可以提升使用信心降低个人信息权益被侵犯的风险。

三、个人信息保护认证是便利贸易的重要措施有利于促进我国数字经济和数字治理与国际接轨

认证机制作为便利贸易的一种有效手段对促进数字经济国际合作积极参与全球数字治理进程能够起到重要支撑作用。个人信息跨境安全认证所依据的《个人信息跨境处理活动安全认证规范》以国际通行的合法、正当、必要、公开、透明、信息质量和责任明确原则等个人信息保护基本原则为核心为个人信息跨境安全认证的国际互认和与国际接轨奠定了重要基础为涉及跨境业务的企业实现合规要求提供了有效途径。

此外相较于数据出境安全评估个人信息跨境安全认证以公开、透明的程序和标准对跨境处理个人信息活动进行合规证明偏向基线要求认证结果可以为数据出境安全评估提供基础证据支持。相较于个人信息出境标准合同模板认证也对境内发送方和境外接收方提出了签署具有法律效力合同的要求。更重要的是认证通过专业技术机构验证、现场审核和获证后监督相结合的模式以第三方证明的方式对个人信息跨境处理活动持续符合标准要求予以证明覆盖更加全面、完整更具有公信力。