专题·个人信息保护认证 | 把握我国实施个人信息出境认证的几个要点
扫码订阅《中国信息安全》杂志
邮发代号 2-786
征订热线:010-82341063
一、个人信息保护认证与个人信息出境认证的关系
根据我国《认证认可条例》,认证是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。这一规定指出了认证的对象,即产品、服务、管理体系。因此,“个人信息保护认证”是一个总体概念,其可以针对产品,也可以针对服务和管理体系。即,可以对一个产品是否能够保护用户的个人信息进行认证,也可以对企业、机构在开展某种活动中能否保护用户个人信息进行认证,还可以对企业机构自身是否能够保护用户个人信息进行认证,只是具体依据的技术依据不同而已。
显然,无论个人信息是否出境,个人信息处理者都有申请个人信息保护认证的客观需要,即我国建立的是通用的个人信息保护认证制度。但如果要在个人信息出境时采信认证结论,这还是不够的,需针对个人信息出境场景增加认证要求。这意味着,个人信息出境认证制度是个人信息保护认证制度的子集和增量。也正因为如此,本次公布的个人信息保护认证,依据标准是 GB/T 35273《信息安全技术 个人信息安全规范》和《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》。申请个人信息保护认证的个人信息处理者应符合 GB/T35273《信息安全技术 个人信息安全规范》的要求;但如果认证结论要用于个人信息出境,还需符合《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》的要求。二、个人信息出境认证是崭新制度,欧盟提供了先例
三、借鉴欧盟,需研究解决关于个人信息出境认证的几个关键问题
(一)对谁进行认证
我国《个人信息保护法》未明确对谁进行个人信息出境安全认证。国内普遍认为,应对数据发送者进行认证,没有必要也很难对境外的数据接收者进行认证。研究欧盟 GDPR 可知,在欧盟数据跨境传输场景下,接受认证的是数据接收者。即,要通过认证来证明位于境外的数据控制者或处理者已采取所有必要措施,能够为来自欧盟的数据提供安全保障。位于境内的数据发送者承担数据跨境传输的总体责任,但不必然需要获得认证。因此,不对境外数据接收者进行认证毫无意义。一些人担心,到境外去进行现场审核和发证有难度,但这不能成为取消对境外数据接收者认证的理由。如实施认证确有难度,数据发送者可以采取其他方式进行数据出境。(二)谁来批准和监管认证机构我国已经建立了成熟的认证认可制度,同时也正在建立数据安全监管制度。这就带来一个问题,我国数据安全认证制度由哪个部门负责组建?研究发现,欧盟认为认证认可监管部门或数据安全保护部门都可以作为数据安全认证制度的负责部门,两者联合负责亦可。但鉴于数据安全的专业性很强,欧盟总体上倾向于由数据安全保护部门负责实施数据安全认证制度。(三)如何对数据发送者和接收者进行监督管理对机构进行认证是静态和一次性过程,而数据出境则可能是长期的连续行为。我国法律规定,满足特定条件的个人信息出境行为,必须经过国家网信部门组织的安全评估。其他条件下才可选择认证等方式。因此,即使某机构通过了个人信息出境认证,也不意味着其某次数据出境行为合法。为此,欧盟提出了“安全认证+承诺”的模式。即,数据接收者通过认证后,还要与认证机构签署认证合同,与数据发送者签署数据处理合同,在合同中承诺履行数据保护义务,并同意接受认证机构和数据发送者的监督。此外,欧盟还建议,可通过条约等手段在国家之间建立义务,进一步加强对接收方的监管。(四)如何互认国际互认是认证认可领域的通用实践。我国在若干政策文件中都提出了个人信息保护标准的互认问题。一旦建立个人信息出境安全认证制度,互认也将上升到议事日程。但鉴于数据安全的敏感性,我国应当对国际互认持谨慎态度,即使我国正在加入多个多边贸易协定。从欧盟情况看,其尚未提出明确的多国间或 GDPR 与其他国际认证结果互认的指南文件。鉴于此,宜对个人信息出境安全认证的国际互认持观望态度,现阶段还不必急于推动个人信息保护认证的互认。四、我国个人信息出境认证制度的特点
近年来,我国着力建设数据出境安全评估制度,这是一种最严格的数据出境方式。但跨境经济活动的多样性、国际贸易流通的复杂性决定了,数据出境方式必然是灵活多样的,因此,必须加快建立个人信息出境安全认证机制,作为数据出境安全评估机制的重要补充,既坚决维护国家安全,又有效促进跨境贸易、便利数据流动。此次发布的《个人信息保护认证实施规则》对此进行了积极探索,其具有以下四个特点。
(一)首先开展数据安全认证顶层设计,个人信息出境安全认证是数据安全认证制度的其中一种应用个人信息保护认证的对象包括产品、服务和管理体系,这一制度可以发挥多方面作用,用于个人信息出境仅是其中一种。因此,我国从总体上设计了数据安全认证制度,个人信息出境安全认证只是从属于这一顶层设计而已。即,我国先后发布数据安全管理认证和个人信息保护认证制度文件,明确了数据安全认证的工作架构,但也在其中对个人信息出境安全认证作了特殊安排,具体体现为这种场景下的认证依据是《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》。(二)由国家市场监管总局和国家互联网信息办共同实施监管欧盟在研究 GDPR 认证时,对数据安全认证提出了三种可能的监管模式:传统认证认可监管部门负责、数据保护机构负责、两者共同负责。我国采用的模式与后者类似。即,由国家市场监管总局和国家互联网信息办公室联合印发文件,共同实施。市场监管部门对流程、通用能力进行把关。网信部门从数据安全专业性方面进行把关。虽然目前只是发布了认证实施规则,但可以预见,后续将由两部门共同负责认证机构、审核员的审批和监管。(三)“急用先上”与“稳步推进”相结合任何认证,都应当基于标准或技术规范。但数据安全是新事物,标准不一定很完备,这就需要有权威的技术规范。6 月 24 日,全国信息安全标准化技术委员会发布《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》,目的便在于此。但是,这毕竟还不是国家标准。只能用于解决暂时问题。为此,早在今年 3 月,全国信息安全标准化技术委员会便提出,要在 2022 年立项制定国家标准《信息安全技术 个人信息跨境传输认证要求》。目前,该国家标准的立项工作正在顺利推进,有望早日制定完成。(四)从制度设计上强化对数据发送者和接收者的监督管理数据出境后,数据安全监管部门难以监管接收者履行数据保护义务的情况,需在合同上下功夫,并压实数据发送者监督合同履行的责任。为此,《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》规定,个人信息处理者和境外接收方之间应当签订具有法律约束力和执行力的文件,确保个人信息主体权益得到充分的保障。此外,上述认证规范还要求,个人信息处理者和境外接收方均需承诺接受中华人民共和国认证机构对个人信息跨境处理活动的监督,包括答复询问、例行检查等。(本文刊登于《中国信息安全》杂志2022年第12期)
《中国信息安全》杂志 倾情推出
“企业成长计划”
点击下图 了解详情