2022年11月18日,市场监管总局、国家网信办发布公告,为落实《个人信息保护法》,决定实施个人信息保护认证并发布《个人信息保护认证实施规则》(下称“《认证规则》”),鼓励个人信息处理者通过认证方式提升个人信息保护能力。
这是两部门在数据安全认证领域的又一动作。
2019年3月15日,为规范App收集、使用用户信息,两部门曾根据《网络安全法》,决定开展App安全认证,并发布了《App安全认证实施规则》。
2022年6月,两部门根据《数据安全法》开启数据安全管理认证,鼓励网络运营者通过认证方式规范网络数据处理活动,加强网络数据安全保护,并公布了《数据安全管理认证实施规则》。
那么,新的《认证规则》有何作用?如何实施?又会给企业带来什么影响?
多位受访专家、律师、业界人士均对财经E法表示,个人信息保护认证在内的数据安全认证是企业证明自身在该领域合规水平的有效方式。
在制度建设角度,中国科技大学公共事务学院、网络空间安全学院教授左晓栋对财经E法指出,三份认证实施规则共同建立了数据安全认证制度的框架。“主管部门连续发布数据安全认证相关的公告,意味着一定会推动认证制度发挥更大的作用。”左晓栋说。
虽然《认证规则》尚未明确执行细则,但左晓栋认为,无论是何种数据安全认证,我国认证机构大概率会是同一家,即中国网络安全审查技术与认证中心。
值得关注的是,个人信息保护认证有两项准则,其一是国家推荐标准,其二是技术文件。北京师范大学法学院博士生导师、中国互联网协会研究中心副主任吴沈括称,“覆盖了非跨境和跨境的所有个人信息处理场景”。
细则仍待明确
认证认可制度是一种国内外通行的第三方评价制度,由具备专业能力的第三方机构依据标准和技术规范,对产品、服务或企业的管理体系、人员能力等做出评价,从而可供社会对评价结果进行采信。
《认证认可条例》第二条明确,“认证”是指由认证机构证明产品、服务、管理体系符合“相关技术规范、相关技术规范的强制性要求或者标准”的合格评定活动。
左晓栋表示,认证认可制度通过解决市场经济交易中的信息不对称问题,进而降低了交易费用,并保障有效市场竞争。在《数据安全法》《个人信息保护法》发布施行后,认证认可制度也成为重要的数据安全治理手段。
具体到“个人信息保护认证”,《个人信息保护法》第三十八条仅有一句话提及,“按照国家网信部门的规定经专业机构进行个人信息保护认证”,本次公布的《认证规则》明确并细化了如何认证,以及认证模式。
《认证规则》 规定了对个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证的基本原则和要求,认证模式为技术验证+现场审核+获证后监督。
根据《认证规则》,认证证书有效期为3年。如需延续使用,认证委托人应当在有效期届满前6个月内提出认证委托。认证机构应当采用获证后监督的方式,对符合认证要求的委托换发新证书。
但业界普遍认为,执行细节仍有待完善。
中国电子技术标准化研究院网络安全研究中心测评实验室副主任何延哲向财经E法表示,《认证规则》只是一个开始,还需完成一系列的后续工作。比如,目前,没有明确规定执行机构,需要花费的成本以及工作流程等。《认证规则》只是确立了认证是条可行路径, “未来,如果有了更加详细的实施细则,很多操作层面的问题将迎刃而解。”
上海锦天城律师事务所高级合伙人吴卫明也表示,《认证规则》还有诸多待完善的地方。比如并没有明确规定监管机构,也没有规定执行机构。“未来还应出台配套细则,明确规定执行机构的管理规则,以及应该承担的责任等内容。”
公开信息显示,中国网络安全审查技术与认证中心(下称“网安认证中心”)负责数据安全管理认证制度的具体建设和实施,同时,该中心也是App安全认证的实施机构。网安认证中心为国家市场监督管理总局直属正司局级事业单位。
左晓栋认为,无论是何种数据安全认证,认证机构大概率会是同一家,网安认证中心。这为认证机构联合开展不同的数据安全认证提供了可能,企业可以一次性打包向其提出认证申请。
对外经贸大学法学院副教授、数字经济与法律创新研究中心主任许可对财经E法称,实施《认证规则》的目的,一方面主要是通过社会治理,弥补监管不足;另一方面,也是为了推动《认证规则》所依据的国家标准和技术文件的落地。
网络数据安全企业安恒信息(688023.SH)首席标准研究员周亚超认为,《认证规则》是一种共同治理的策略,也即先由相关实体制定针对具体活动或行为的标准,同时这样的标准在一定程度上获得监管机构的认可,随后由组织在其内部实施落地。使用这种策略的原因是,在数字化转型的浪潮下,数据处理场景、数据类型多样,仅靠网络安全监管手段难以有效覆盖,需要鼓励多方参与,包括政府部门、监管机构、院校、数据运营者、网络服务提供者等。
周亚超分析说,《认证规则》中并未有强制性规定,而是采取自愿的原则,这已经提供了一个很好的共同治理的前提,让不同角色根据需要参与到网络安全和数据安全的治理中。在周亚超看来,这种“自证”的方式,是一条切实可行的路。“其重要价值在于,在监管中为创新留下空间,进而鼓励进一步的市场竞争。”
完善数据跨境的规则体系
让业界颇为关注的是,《认证规则》既包含了通用的个人信息保护认证制度,也建立了针对数据出境场景的个人信息出境认证制度。
据左晓栋介绍,申请个人信息保护认证的个人信息处理者应当符合国家推荐标准(GB/T 35273《信息安全技术个人信息安全规范》)的要求;但如果要在个人信息出境时采信认证结论,还必须符合技术文件(TC260-PG-20222A《个人信息跨境处理活动安全认证规范》)的要求。
何延哲认为,确立数据跨境的认证模式,是《认证规则》中的一个新的价值点。吴沈括也向财经E法表示,个人信息保护认证是对接国际主流实践、培育个人信息流转利用良性生态的重要举措。一方面,数据出境在法律层面有关于认证机制出境的制度设计,需要有配套的落地细则规范;另一方面是在原有的国家标准中,没有关于数据跨境的专门规定,因此需要通过前述技术文件来予以补充,形成制度的闭环。
左晓栋透露,TC260-PG-20222A《个人信息跨境处理活动安全认证规范》可能会被新的国家标准《信息安全技术个人信息跨境传输认证要求》所代替,权威性会进一步增强。
依据《个人信息保护法》,个人信息出境应当具备下列条件之一:(1)安全评估:通过网信部门组织的安全评估;(2)认证:按照网信部门规定经专业机构进行个人信息保护认证;(3)标准合同:按照网信部门制定的标准合同与境外接收方订立合同;(4)法律、行政法规或者国家网信部门规定的其他条件。也就是说,机构在个人信息出境时,除了选择安全评估和标准合同以外,还可以选择认证的方式进行个人信息出境。因而,数据跨境成为《认证规则》适用的重要场景之一。
根据海问律师事务所的解读,安全评估具有优先地位和国家安全站位;标准合同是一种无需审查、相对轻量级的跨境机制;而跨境认证由专业机构对个人信息处理者及境外接收方的数据保护水平进行审查,不仅可以作为跨境机制,亦可成为企业证明自身合规水平的有效方式。
适合哪些业务场景?
哪些机构和业务场景更适合做个人信息保护认证?
左晓栋认为,由于个人信息保护认证是第三方机构对企业个人信息保护的能力,给予的供社会广泛采信的背书,因此开展大量个人信息处理活动的企业或机构,以及业务受数据驱动明显的企业或机构,最适合做个人信息保护认证。他举例,即时通信、网盘、网约车、互联网医疗、互联网金融等服务,都是典型的拥有大量数据处理的业务场景,尤其是涉及到大量个人信息。开展类似业务的企业或机构就可以通过做个人信息保护认证,来获取用户信任,以更好地树立企业形象、保障业务可持续发展。
分类来看,涉及跨境的,TC260-PG-20222A《个人信息跨境处理活动安全认证规范》点出了跨境认证的典型适用场景:
其一,跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动(“集团内跨境”)。多位律师与业内人士对财经E法称,这类似于欧盟《通用数据保护条例》(简称“GDPR”)下的有约束力的行为准则(Binding Corporate Rules,简称“BCR”)模式。
其二,《个人信息保护法》第3条第2款规定的境外个人信息处理者分析、评估境内自然人的行为(“域外管辖”)。
而针对在境内,吴卫明也列举了三个具体场景。
首先,如果政府招标时要求具备个人信息保护认证的企业才能参与,认证过的企业就比没有认证过的企业拥有更多机会。
其次,若某企业帮金融机构做业务导流,不可避免地会把个人信息推给金融机构。金融机构需要知道这些个人信息是否合法,但又不能到一线去监督个人信息数据的产生过程,只能从流程或者内部控制上来评估所提供的数据是否安全。“此时,如果企业做了个人信息保护认证,那么它得到认可的可能性就会更大。”
最后,若某公司需要将软件开发或者系统开发的工作承包给乙方公司,有能证明个人信息保护能力资质的乙方公司,会让客户更放心。
企业应对路径
面对新的认证规则,企业该如何应对?
周亚超向财经E法透露,《认证规则》出台后,安恒信息已接到不少客户的咨询,包括适不适合做认证、怎么做认证,以及认证的价值等问题。周亚超发现,很多企业想通过认证来证明或提升自身的个人信息保护能力。此外,大型企业会比中小型企业意愿更强烈,因为认证是有成本的,不仅需要整改,且满足认证当中所规定的相关制度、技术以及和相应的安全措施,甚至还要配备专业人员等。
“这对于中小型企业来说可能负担较重。”周亚超说。
不过从企业角度,周亚超希望看到实际案例和激励措施落地。比如,企业如果做到了自证合规,并具备安全保障措施,但依然没有避免安全事件和风险,“是否能有一定程度的减轻或者豁免安全责任等?”
吴卫明认为,《认证规则》可以为产业界提供更明确的合规指导,同时也能带动个人信息安全咨询和相关合规工具的发展,进而推动建立更好的产业生态,并引导好的企业脱颖而出。“企业应该积极响应监管要求做到自证合规,“ 吴卫明说。“也会促进企业更好的发展”。
左晓栋援引数据出境安全的例子称,传统产品和服务解决不了企业的如下问题:如何证明实际出境的数据是合规的,没有境外业务是否会发生数据出境,以及如何监测出境数据等等。他指出,包括个人信息保护认证在内的数据安全评定将直接催生大量数据安全咨询需求,且各类机构亟需数据安全合规工具的支持,这都将成为企业新的业务增长点。
