专题|数字大咖谈:中国个人信息保护认证面面观
文│北京师范大学法学院博士生导师 吴沈括
2022 年 11 月 18 日,为贯彻落实《中华人民共和国个人信息保护法》有关规定,规范个人信息处理活动,促进个人信息合理利用,根据《中华人民共和国认证认可条例》,国家市场监督管理总局、国家互联网信息办公室发布《关于实施个人信息保护认证的公告》,决定实施个人信息保护认证,鼓励个人信息处理者通过认证方式提升个人信息保护能力,同时要求从事个人信息保护认证工作的认证机构经批准后开展有关认证活动,并按照《个人信息保护认证实施规则》实施认证。由此确立了我国首个关于个人信息保护认证的专项制度,引起了国内外实务和产业各界的广泛关注。《个人信息保护认证实施规则》系统规定了个人信息保护认证的适用范围、认证依据、认证模式、认证实施程序、认证证书和认证标志等内容,明确对个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证的基本原则和要求。它的出台,一方面丰富完善了我国的数据认证认可体系,有助于推动建立更加科学合理的数据治理生态,另一方面也将《个人信息保护法》有关个人信息出境的制度规定予以细化和落实,有助于构建与国际接轨的数据跨境流动认证制度,为相关认证未来的国际互认奠定了基础。需要指出的是,2022 年 6 月 24 日,全国信息安全标准化技术委员会公布《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》(以下简称:“《安全认证规范》”)。《网络安全标准实践指南》是全国信息安全标准化技术委员会秘书处组织制定和发布的标准相关技术文件,旨在围绕网络安全法律法规政策、标准、网络安全热点和事件等主题,宣传网络安全相关标准及知识,提供标准化实践指引。而《安全认证规范》是我国第一项有关个人信息保护认证的标准相关技术文件,其记载了认证机构对个人信息跨境处理活动进行个人信息保护认证的基本要求,在操作流程层面进一步明确了该情景下认证机制的适用情形、认证主体、基本原则、基本要求以及权益保障等诸多要素,反映了个人信息保护认证所具有的重大制度意义。
一、个人信息保护认证的重大制度意义
第一,个人信息保护认证是贯彻施行个人信息保护法的基础性抓手。众所周知,在我国法律体系下,个人信息保护认证的核心依据之一在于2021 年 11 月 1 日正式施行的《中华人民共和国个人信息保护法》,第三十八条第二款规定:“按照国家网信部门的规定经专业机构进行个人信息保护认证”。个人信息保护认证以及《安全认证规范》的推出正是落实个人信息保护法第三十八条制度要求的重要举措,及时填补了我国个人信息跨境提供制度的实施细则空白。
第二,个人信息保护认证能与个人信息出境其他机制形成系统配套。2022 年 6 月 30 日,国家互联网信息办公室就《个人信息出境标准合同规定(征求意见稿)》公开征求意见;7 月 7 日,国家互联网信息办公室公布《数据出境安全评估办法》并自 2022 年 9 月 1 日起施行,由此揭开了我国数据出境制度整体建构的序幕。经过安全评估后出境和利用标准合同出境有着各自特殊的适用条件和应用场景,而个人信息保护认证作为并列的法定出境机制之一,能够和前两者产生有效的机制协调和衔接,共同助力数据跨境安全、自由流动。第三,个人信息保护认证有助于加速建构接轨国际的数据出境机制。放眼全球,各大主要国家和地区纷纷针对数据跨境流动建立符合自身政策法规的相关认证机制:欧盟以《通用数据保护条例》(GDPR)为基础确立个人数据跨境传输认证,卢森堡数据保护机关新近推出包含个人数据跨境传输场景的 GDPR-CARPA 认证机制,亚太经合组织(APEC)则在跨境数据流动领域引入 CBPR 认证制度,不一而足。以我国现行法律法规为依据、并比较借鉴域外权威认证机制而建立个人信息保护认证,一方面有利于全面、及时回应跨境数据治理的全球态势,另一方面也有利于务实推动中国规则的国际化实现。二、个人信息保护认证的突出实践价值
在具体操作规则的设计层面,《安全认证规范》特别地从基本原则、个人信息处理者和境外接收方在跨境处理活动中应遵循的要求、个人信息主体权益保障等方面提出了要求,为认证机构实施个人信息保护认证提供跨境处理活动认证依据,也为个人信息处理者规范个人信息跨境处理活动提供参考,其本身还反映了个人信息保护认证所具有的突出实践价值。
第一,个人信息保护认证是有关机构开展合规能力建设的有用指引。毋庸置疑,个人信息保护认证绝非一纸证明,其本质是一整套有关个人信息保护和利用的合规工具,它从制度规则、标准要求、技术运用和平台工具等不同维度建构了各类机构应当全面遵循的业务准则和应当持续保持的能力水平。以《安全认证规范》为例,它突出了各方在个人信息跨境处理活动中应当坚持的合法、正当、必要和诚信等六大原则,强调了在法律协议、组织管理、跨境处理规则和保护影响评估等层面应当达到的合规要求,可谓是有关机构设计和完善自身运营流程的操作指南。第二,个人信息保护认证是有关机构提升自身品牌形象的有力表征。历史地看,认证制度的诞生是促进商品服务流通、加强公共利益保障和便利国际贸易开展的实际需要,而建立和传递特定的品牌信任更是其核心价值,进而更好地发挥认证在支撑监管落地和助推市场发展等不同层面的实践作用。作为示例,《安全认证规范》特别针对个人信息主体的权益保障,明文规定了个人信息跨境处理活动中个人信息主体的具体权利内容,并明确了个人信息处理者和境外接收方对应的责任义务要求,实质上旨在为各利益相关方搭建高水平的信任基础,切实以此为行为准绳,自然能够让各类机构在面对用户社群、合作伙伴乃至监管机关时树立稳健可信的品牌形象。第三,个人信息保护认证是有关机构强化国际合作交流的有效途径。围绕个人信息的全面保护,从国家认证制度到区域认证制度再到未来全球认证制度的建立已是无可逆转的大势所趋。《安全认证规范》的出台,意味着开启了个人信息保护认证的建立与应用新征程,这无疑是为各类机构在日益复杂的国际地缘政治背景下扩大和深化国际合作往来打开了有效的对话交流通道,特别是通过以此为基础持续探索和构建相关认证的国际互认生态,必将使得各类机构能够更好、更便捷地利用国内国际两大数据市场、两种数据资源。(本文刊登于《中国信息安全》杂志2022年第12期)
个人信息保护认证实施要点
文│中国网络安全审查技术与认证中心 陈世翔
一、认证对象和范围
开展个人信息处理活动的个人信息处理者可申请个人信息保护认证。个人信息保护认证的对象是个人信息处理者开展的个人信息处理活动,认证申请主体应为个人信息处理者。个人信息处理活动包括个人信息收集、存储、使用、加工、传输、公开、跨境提供等,认证范围涵盖个人信息处理活动涉及的组织范围、业务范围、系统范围等,涉及个人信息处理活动的组织管理、制度措施、技术处理等方面。个人信息处理者申请认证应根据自身个人信息处理情况,梳理清楚涉及的个人信息情况、业务范围、组织范围、系统范围等,明确认证范围。
个人信息处理者向境外提供个人信息时,应梳理对照个人信息向境外提供的管理要求,选择适合自身情况的管理方式。对不属于评估范围的情形,个人信息处理者通过认证后可直接向境外提供;对属于评估范围的情形,认证结果可作为个人信息出境安全评估输入。结合认证制度特点,适合采用认证方式满足向境外提供个人信息管理要求的个人信息处理者包括但不限于:一是向境外接收方持续提供个人信息的个人信息处理者;二是跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动;三是落实法规标准要求,亟需加强个人信息跨境提供安全制度措施、规范开展个人信息处理活动的个人信息处理者;四是为向个人信息主体、境外接收方等明示个人信息处理达到相关标准要求的个人信息处理者。二、认证依据
个人信息处理者应当符合 GB/T 35273《信息安全技术 个人信息安全规范》的要求,对于开展跨境处理活动的个人信息处理者,还应符合 TC260-PG-20222A《个人信息跨境处理活动安全认证规范》的要求。GB/T 35273《信息安全技术 个人信息安全规范》从个人信息安全基本原则、个人信息的收集、存储、使用、委托处理、共享、转让、公开披露,以及个人信息主体的权利、个人信息安全事件处理、组织的个人信息安全管理要求等诸方面做出了相关要求。TC260-PG-20222A《个人信息跨境处理活动安全认证规范》主要针对个人信息跨境处理活动从基本原则、个人信息处理者和境外接收方的基本要求、个人信息主体权益保障等方面提出了要求。
三、认证实施流程
个人信息保护认证流程包括认证申请、技术验证、现场审核、认证决定、获证后监督 5 个主要环节。
个人信息处理者向认证机构提交认证申请资料,认证机构对申请资料进行评审后作出受理决定并确定认证方案,采用技术检测、现场核查、人员访谈等方式进行技术验证和现场审核,认证机构根据申请资料、技术验证报告和现场审核报告等进行综合评价,作出认证决定。认证决定通过后,认证机构向认证申请方颁发认证证书,并授权获证个人信息处理者使用规定的认证标志。获证后监督是为确保个人信息处理者在获得证书后持续满足认证标准的要求,维持认证证书有效性。具体可参考流程图。图 个人信息保护认证流程图
四、认证时限及证书有效期
自认证受理之日起至作出认证决定所实际发生的工作日,包括认证申请资料审核时间、技术验证时间、现场审核时间、认证决定和证书批准以及制作时间,一般为 70 个工作日(不包含整改时间)。
认证证书有效期为 3 年。在有效期内,通过认证机构的获证后监督,保持认证证书的有效性。证书到期还需延续使用的,个人信息处理者应在有效期届满前 6 个月内向认证机构提出认证申请。认证机构采用获证后监督的方式,对符合认证要求的委托换发新证书。五、如何申请个人信息保护认证
个人信息处理者在认证申请时,应提交认证申请书、自评价表以及相关附件证明材料。为便于认证顺利开展,提高认证工作效率,申请认证的个人信息处理者可提前了解标准要求和认证流程、下载相应模板,如实、准确填报认证申请书、自评估表,准备好附件证明材料。个人信息保护认证范围与个人信息种类、数量、敏感程度以及个人信息处理情况、个人信息处理者组织管理等密切相关,不同业务场景的评价方法和指标不尽相同,需要企业的密切配合和充分沟通。
中国网络安全审查技术与认证中心作为实施数据安全管理认证和 App 安全认证的专业认证机构,目前正在积极推进个人信息保护认证实施准备工作。当收到个人信息处理者申请多项个人信息保护相关认证时,将根据实际情况尽可能采取证据重用,满足认证要求的同时尽可能降低企业负担。有意申请个人信息保护认证的个人信息处理者可与中国网络安全审查技术与认证中心沟通联系,做好认证实施准备。(本文刊登于《中国信息安全》杂志2022年第12期)
顺势而为——谈我国个人信息保护认证制度的设计
文│ 中国科学技术大学公共事务学院、网络空间安全学院教授 左晓栋
2022 年 11 月,国家市场监管总局、国家互联网信息办公室联合印发了《关于实施个人信息保护认证的公告》,并在附件公布了《个人信息保护认证实施规则》。这表明我国正式宣布建立个人信息保护认证制度,是对数据安全认证制度的进一步完善。特别是,由于该项制度与个人信息出境密切关联,因而在更大范围内引发了热议与关注。
一、数据安全认证是我国数据安全治理体系的重要组成部分
认证认可制度是一种国内外通行的第三方评价制度,由具备专业能力的第三方机构依据标准和技术规范,对产品、服务或企业的管理体系、人员能力等作出评价,从而可供社会对评价结果进行采信。这一制度来源于现代市场经济体制。
市场经济的本质是交易的双方能够自由缔结契约,市场经济有效运作的基本前提是交易双方都具有比较充分完备的信息,否则不仅交易难以进行,也难以通过竞争性选择实现优胜劣汰。交易中的信息不对称可能导致各种坑蒙拐骗,严重影响交易的秩序,影响市场配置资源的效率。这一问题早在现代市场经济形成之前就已存在,但只有到了工业革命以后才变得十分普遍和复杂。认证认可制度正是适应解决交易中的信息不对称、降低交易费用、增进市场机制作用要求的一种制度安排。有效的认证认可活动,促进了信息不对称问题的解决,保障了有效的市场竞争,推动了现代市场体制的完善。因此,认证认可是市场经济体制下的一项基础性制度安排,是市场经济体制运行有效性的重要保障。认证认可制度首次出现在我国网络安全工作领域,源于 2004 年 10 月的《关于建立国家信息安全产品认证认可体系的通知》。在此之前,政府对社会的治理,更多地采用行政许可手段。这在“大政府”时代是可以理解的,也是可行的。但随着市场经济的进一步发展,凡事进行行政许可会使政府不堪重负,也不符合政府改革的方向。因此,需要理顺政府、市场、社会三者之间的关系,政府侧重法则、规则的制定,把该由市场和社会来做的产品、服务、管理体系等方面的具体性事务交由市场和社会。这便出现了从计划经济的“行政许可”向由社会组织调节的“认证认可”的转变。为此,在规划国家信息安全产品认证认可体系建设时,我国便明确了政事分开、发挥认证认可制度作用的原则,凡可以通过认证认可解决的检测、评审,原则上不再设立行政许可,特殊情况报经国务院审定后仍需保留的行政许可,应转变行政许可的方式,充分利用产品认证、检查、检测的结果,不得重复取样、重复检查、检测和收费。《数据安全法》《个人信息保护法》发布施行后,建立科学高效的数据安全治理体系的任务提上议事日程,认证认可制度成为重要的治理手段。特别是在合规验证、检查评估方面,认证认可制度具备天然优势。故而,建立数据安全认证认可制度是客观必然。其实质是,在我国认证认可监督管理制度下,运用认证认可的基本流程、原理,对数据安全的合规作出评价,使政府、社会及其他各方面对其数据安全能力建立信任。
二、个人信息保护认证是我国建立的第三种也是用途最广的数据安全认证制度
根据《认证认可条例》,认证是指由认证机构证明“产品、服务、管理体系”符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。即,认证的法定对象共三种:产品、服务、管理体系。换言之,可以对一个产品发证书,也可以对开展的某种服务发证书(例如 IT 运维服务、灾备服务等),还可以对一个机构自身发证书(一般以管理能力来表征这个机构的能力)。
目前,我国已经建立了 3 种数据安全认证制度。其中,《移动互联网应用程序(App)安全认证实施规则》于 2019 年 3 月发布,这是一种产品认证。《数据安全管理认证实施规则》于 2022 年 6 月份发布,侧重于数据安全管理能力。本次建立的个人信息保护认证制度则是第三种,是以认证认可为手段证明个人信息保护能力的一种方式。但个人信息保护认证的适用范围更广。如某机构提供数据脱敏服务,其可以为这种服务申请一张个人信息保护证书,从而表明服务能力;某机构是产品供应方,则可以为其产品申请一张个人信息处理过程符合有关标准的证书;该机构当然还可以为自身的管理体系申请一张个人信息保护证书,当前很有影响力的 ISO 27701 隐私信息管理体系认证便属于此类。《个人信息保护认证实施规则》明确了该项认证的技术依据:个人信息处理者应当符合 GB/T 35273《信息安全技术 个人信息安全规范》的要求;对于开展跨境处理活动的个人信息处理者,还应当符合 TC260-PG-20222A《个人信息跨境处理活动安全认证规范》的要求。这一规定表明,个人信息保护认证制度有两种作用:一种是为常规的个人信息处理活动提供证明,依据是 GB/T35273;另一种是为个人信息出境活动提供证明,依据除 GB/T 35273 还有 TC260-PG-20222A。因工作需要,后者暂以“网络安全标准实践指南”形式发布,今后会以国家标准《信息安全技术 个人信息跨境传输认证要求》(正在编制中)代替。个人信息保护认证之所以可用于数据出境安全管理,是因为我国《个人信息保护法》作了有关规定。《个人信息保护法》第三十八条指出,个人信息处理者需要向中华人民共和国境外提供个人信息的,可以选择多种方式,其中一种是按国家网信部门的规定经专业机构进行个人信息保护认证。众所周知,数据出境安全管理与跨境贸易关系甚大,是经济发展的焦点问题,这是个人信息保护认证受到高度关注的原因。也正因为如此,预料它将比其他两种数据安全认证制度得到更广泛的应用。
三、个人信息保护认证制度是国际惯例,我国对此做了充分借鉴,为更好融入国际商贸环境创造了条件
欧盟《通用数据保护条例》(GDPR)是公认的全球个人信息保护标杆。GDPR 第 42 条和第 43 条规定了对数据控制者和处理者的数据处理操作进行合规性认证的制度,提出了认证框架、明确了相关角色,这便是欧盟个人信息保护认证制度的由来(它被称为“数据保护认证”,实则为面向个人信息保护)。第 42(1) 款规定:“成员国、监管机构、欧盟数据保护委员会和欧盟委员会应鼓励建立数据保护认证机制,设立数据保护印章、标识,特别是欧盟级别的印章和标识,以便证明数据控制者和处理者的数据处理操作符合本条例要求。应考虑中小微型企业的特定需求。”第 43(1) 款规定:“在不减损第 57、58 条所述监管机构的任务和权力的情况下,在数据保护方面具有相应专业水平的认证组织可在告知有权限的监管机构后(以便其根据第 58 条 (2)(h) 项行使自身权力)签发和续期认证。”
GDPR 认证主要针对数据控制者或处理者进行的 1 项或多项数据处理操作,证明其满足 GDPR 规定要求。该机制十分灵活,在认证主体上,可以是数据控制者或处理者的一项操作或多项操作;在认证目标上,可证明其满足 GDPR 对数据控制者或处理者提出的某项、某几项乃至全部要求;在认证层级上,该机制提出了成员国内部、成员国间以及欧盟范围内的通用认证;在认证证书的签发上,可由成员国的数据保护监管机构(DPA)签发,也可由获得认可的认证机构签发。欧盟认为,认证机制一方面可以提高数据处理行为的透明度,便于控制者和处理者展示其处理过程的合规性,使相关方能便捷地了解处理操作的数据保护水平;另一方面,根据 GDPR 第 42(2) 款、第 46(2) 款规定,认证机制还可以作为数据跨境传输(转移至第三国或国际组织)的合法途径;此外,是否已获得认证且遵从认证要求也可作为监管当局在决定施加行政罚款或决定罚款金额时的考量因素。GDPR 在法律层面提出了认证认可机制,但要在欧盟范围内推进该机制的落地实施,仍有诸多问题需要探索明确。为此,欧盟委员会和欧盟数据保护委员会组织开展了大量研究,发布指南和研究报告为实际操作中的重点问题提供指导和参考。2018 年 5 月,欧盟数据保护委员会发布了《对 GDPR 第 42、43 条所述认证标准进行认证和识别的指南》,并于 2019 年 6 月发布第 3 版,对认证制度的作用、关键概念和认证范围、认证标准的评估要求等进行了更加详细的阐释。该指南附录《认证标准评估指南》经修改于 2021 年 4 月 14 日至 5 月 26 日公开征求意见。2018 年 12 月,欧盟数据保护委员会发布了《依据 GDPR 第 43 条要求对认证机构进行认可的指南》,对认可过程中相关方职责、认证机构的认可要求等提出指导。2019 年 5 月,欧盟委员会发布了《数据保护认证机制———对 GDPR 第 42、43 条的研究报告》,旨在对认证机制尚未明确的问题加以探讨,为欧盟委员会进一步补充完善 GDPR 认证制度提出建议。2022 年 6 月,欧盟数据保护委员会发布了《认证作为传输工具的指南》。鉴于数据出境关系重大,关于如何根据 GDPR 第 42(2) 款要求,将认证机制作为数据跨境传输(包括转移至第三国或国际组织)的合法途径相关事宜,欧盟数据保护委员会一直在研究。《认证作为传输工具的指南》的发布表明其在实施层面形成了阶段性研究成果。但是,对于这个领域的国际互认问题,欧盟认为远未到可以讨论的时候。这也从一个侧面说明,虽然我国积极借鉴欧盟经验,已经初步建立了个人信息保护认证制度的框架,但就全球而言,这仍然是个新问题,尤其是其作为数据跨境机制使用之时。下一步,还需要对有关实施细则开展深入研究,以使其更好地发挥作用。(本文刊登于《中国信息安全》杂志2022年第12期)
推动数据安全认证工作 助力数据基础制度建设
为落实党中央重要部署,中央网信办和市场监管总局依据《网络安全法》《数据安全法》《个人信息保护法》有关要求,连续发布关于开展数据安全管理认证、开展个人信息保护认证等的联合公告,初步建立起以个人信息保护认证和数据安全管理认证制度为核心的数据安全认证制度体系,迈出了支撑数据安全基础制度建设,加强数据安全监管,压实企业数据安全主体责任的重要一步。
一、数据安全认证工作开展情况
数据安全认证制度体系建设的总体目标是落实《网络安全法》《数据安全法》《个人信息保护法》要求,规范数据和个人信息处理活动,保障数据和个人信息安全,促进数据和个人信息开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益。围绕这个总体目标,市场监管总局联合中央网信办围绕个人信息保护和数据安全管理,初步建立了数据安全认证基础制度体系。
个人信息保护认证主要针对个人信息处理者的个人信息处理活动,依据 GB/T 35273《个人信息安全规范》,证明个人信息处理者开展的个人信息收集、存储、使用、共享、转让、公开披露、删除等活动符合标准规定的原则和安全要求,能够保障个人信息主体的合法权益。当个人信息处理者开展个人信息跨境处理活动时,还要依据TC260-PG-20222A《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》,证明个人信息跨境处理活动符合标准规定的基本原则、基本要求和个人信息主体权益保障要求。数据安全管理认证主要针对网络运营者的数据处理活动,依据 GB/T 41479《网络数据处理安全规范》,证明网络运营者对其通过网络收集、存储、使用、加工、传输、提供、公开的个人信息、重要数据和其他数据,采取了必要和有效措施以确保数据处于有效保护和合法利用的状态,并具备保障持续安全状态的能力。
二、数据安全认证对数据基础制度建设的重要作用
数字经济正在成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量。《关于构建数据基础制度更好发挥数据要素作用的意见》提出“构建数据基础制度”,从根本上为数字经济发展打造了负重致远的新动能。
构建数据基础制度,核心是让数据要素的获取、加工、流通、利用以及收益分配等行为有法可依、有规可循,确保数据安全,推动数据要素市场规范化、制度化建设,从而提升数据要素的市场化配置效率。认证制度作为市场经济运行的信用工具和基础性制度,在推进数据基础制度建设方面能发挥不可替代的重要作用。认证制度起源于工业革命时代工业化大生产对质量控制和安全保障的需求,经过近 120 年发展,已成为国家质量基础设施的重要组成部分,与标准化、计量和认可等制度共同构成了一套成熟运行的,在提升质量、促进贸易方面发挥着重要作用的制度体系。在推进数据基础制度建设方面,数据安全认证能够推进建立数据产权制度,推进公共数据、企业数据、个人数据分类分级确权授权使用,支撑数据要素权益保护;数据安全认证能够帮助完善数据全流程合规和监管规则体系,从而支撑建立合规高效的数据要素流通和交易制度;数据安全认证有助于把安全贯穿数据治理全过程,明确监管红线,压实企业数据安全责任,守住安全底线,从而贯彻总体国家安全观,支撑完善数据全流程合规和监管规则体系。
三、不断完善数据安全认证体系,做好与其他数据安全基础制度的衔接
《网络安全法》《数据安全法》《个人信息保护法》和正在起草的《网络数据安全管理条例》构成了我国数据安全顶层制度框架,并从数据安全治理需求出发,提出了建立数据分类分级保护、数据安全审查、数据出口管制、数据出境安全评估、个人信息跨境安全认证等一系列数据安全基础制度的要求。
由于数据处理活动的复杂性,其环节涉及收集、存储、使用、加工、传输、提供、公开和删除,其参与主体可能涉及数据控制者、数据处理者、共同数据控制者、数据接收者,以及数据加工、交易等第三方,其形态可能包括产品、服务等。针对数据处理活动的不同环节、对象,数据安全基础制度从不同监管角度、对象,提出了不同的监管要求,并相互配合,共同构成支撑数据安全治理、支撑数据基础制度建设的制度体系。相关制度基于共同的制度目标展开设计,其底层技术基础存在许多共同之处。数据安全认证制度作为国家数据安全治理体系的基础性技术支撑,一方面要不断完善自身体系,既考虑全面覆盖数据处理所有环节的通用认证制度,也应考虑针对监管中的关键、重点、难点,对特殊产品、服务等设立专门认证制度;另一方面也要做好与其他数据安全基础制度的衔接,尽量复用技术评价结果,减少重复评价,减轻企业负担,更好促进数据要素流通。(本文刊登于《中国信息安全》杂志2022年第12期)
把握我国实施个人信息出境认证的几个要点
文│中国科学技术大学公共事务学院 许皖秀 左晓栋
一、个人信息保护认证与个人信息出境认证的关系
根据我国《认证认可条例》,认证是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。这一规定指出了认证的对象,即产品、服务、管理体系。因此,“个人信息保护认证”是一个总体概念,其可以针对产品,也可以针对服务和管理体系。即,可以对一个产品是否能够保护用户的个人信息进行认证,也可以对企业、机构在开展某种活动中能否保护用户个人信息进行认证,还可以对企业机构自身是否能够保护用户个人信息进行认证,只是具体依据的技术依据不同而已。
显然,无论个人信息是否出境,个人信息处理者都有申请个人信息保护认证的客观需要,即我国建立的是通用的个人信息保护认证制度。但如果要在个人信息出境时采信认证结论,这还是不够的,需针对个人信息出境场景增加认证要求。这意味着,个人信息出境认证制度是个人信息保护认证制度的子集和增量。也正因为如此,本次公布的个人信息保护认证,依据标准是 GB/T 35273《信息安全技术 个人信息安全规范》和《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》。申请个人信息保护认证的个人信息处理者应符合 GB/T35273《信息安全技术 个人信息安全规范》的要求;但如果认证结论要用于个人信息出境,还需符合《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》的要求。二、个人信息出境认证是崭新制度,欧盟提供了先例
(一)欧盟立法规定了认证制度是数据出境方式之一欧盟在其《通用数据保护条例》(GDPR)中规定了多种从欧盟地区向外传输数据的方式,包括标准合同条款(SCC)、有约束力的公司规则(BCR)、认证等。其中,GDPR 第 42(2) 款及第 46(2) 款提出,可将数据保护认证作为数据跨境传输合法依据。即,位于未获得数据保护充分性认定的第三国的数据处理者或控制者获得认证,并向数据传输方或认证机构做出有约束力的承诺(如合同条款等),即可合法接收欧盟的个人数据。(二)欧盟已经设计了完整的数据安全认证机制GDPR 认证机制整体框架如下图所示,主要包括:认证体系(特别是认证标准,包括程序性要求和实质性要求);对数据控制者或处理者的数据处理行为进行认证(合格评定、证书签发/续签/变更/暂扣/撤销、持续监督、争议和纠纷处理等);在认可领域通用要求外,数据安全监管机构(SA)提出附加认可要求;对认证机构进行认可。三、借鉴欧盟,需研究解决关于个人信息出境认证的几个关键问题
(一)对谁进行认证
我国《个人信息保护法》未明确对谁进行个人信息出境安全认证。国内普遍认为,应对数据发送者进行认证,没有必要也很难对境外的数据接收者进行认证。研究欧盟 GDPR 可知,在欧盟数据跨境传输场景下,接受认证的是数据接收者。即,要通过认证来证明位于境外的数据控制者或处理者已采取所有必要措施,能够为来自欧盟的数据提供安全保障。位于境内的数据发送者承担数据跨境传输的总体责任,但不必然需要获得认证。因此,不对境外数据接收者进行认证毫无意义。一些人担心,到境外去进行现场审核和发证有难度,但这不能成为取消对境外数据接收者认证的理由。如实施认证确有难度,数据发送者可以采取其他方式进行数据出境。(二)谁来批准和监管认证机构我国已经建立了成熟的认证认可制度,同时也正在建立数据安全监管制度。这就带来一个问题,我国数据安全认证制度由哪个部门负责组建?研究发现,欧盟认为认证认可监管部门或数据安全保护部门都可以作为数据安全认证制度的负责部门,两者联合负责亦可。但鉴于数据安全的专业性很强,欧盟总体上倾向于由数据安全保护部门负责实施数据安全认证制度。(三)如何对数据发送者和接收者进行监督管理对机构进行认证是静态和一次性过程,而数据出境则可能是长期的连续行为。我国法律规定,满足特定条件的个人信息出境行为,必须经过国家网信部门组织的安全评估。其他条件下才可选择认证等方式。因此,即使某机构通过了个人信息出境认证,也不意味着其某次数据出境行为合法。为此,欧盟提出了“安全认证+承诺”的模式。即,数据接收者通过认证后,还要与认证机构签署认证合同,与数据发送者签署数据处理合同,在合同中承诺履行数据保护义务,并同意接受认证机构和数据发送者的监督。此外,欧盟还建议,可通过条约等手段在国家之间建立义务,进一步加强对接收方的监管。(四)如何互认国际互认是认证认可领域的通用实践。我国在若干政策文件中都提出了个人信息保护标准的互认问题。一旦建立个人信息出境安全认证制度,互认也将上升到议事日程。但鉴于数据安全的敏感性,我国应当对国际互认持谨慎态度,即使我国正在加入多个多边贸易协定。从欧盟情况看,其尚未提出明确的多国间或 GDPR 与其他国际认证结果互认的指南文件。鉴于此,宜对个人信息出境安全认证的国际互认持观望态度,现阶段还不必急于推动个人信息保护认证的互认。四、我国个人信息出境认证制度的特点
近年来,我国着力建设数据出境安全评估制度,这是一种最严格的数据出境方式。但跨境经济活动的多样性、国际贸易流通的复杂性决定了,数据出境方式必然是灵活多样的,因此,必须加快建立个人信息出境安全认证机制,作为数据出境安全评估机制的重要补充,既坚决维护国家安全,又有效促进跨境贸易、便利数据流动。此次发布的《个人信息保护认证实施规则》对此进行了积极探索,其具有以下四个特点。
(一)首先开展数据安全认证顶层设计,个人信息出境安全认证是数据安全认证制度的其中一种应用个人信息保护认证的对象包括产品、服务和管理体系,这一制度可以发挥多方面作用,用于个人信息出境仅是其中一种。因此,我国从总体上设计了数据安全认证制度,个人信息出境安全认证只是从属于这一顶层设计而已。即,我国先后发布数据安全管理认证和个人信息保护认证制度文件,明确了数据安全认证的工作架构,但也在其中对个人信息出境安全认证作了特殊安排,具体体现为这种场景下的认证依据是《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》。(二)由国家市场监管总局和国家互联网信息办共同实施监管欧盟在研究 GDPR 认证时,对数据安全认证提出了三种可能的监管模式:传统认证认可监管部门负责、数据保护机构负责、两者共同负责。我国采用的模式与后者类似。即,由国家市场监管总局和国家互联网信息办公室联合印发文件,共同实施。市场监管部门对流程、通用能力进行把关。网信部门从数据安全专业性方面进行把关。虽然目前只是发布了认证实施规则,但可以预见,后续将由两部门共同负责认证机构、审核员的审批和监管。(三)“急用先上”与“稳步推进”相结合任何认证,都应当基于标准或技术规范。但数据安全是新事物,标准不一定很完备,这就需要有权威的技术规范。6 月 24 日,全国信息安全标准化技术委员会发布《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》,目的便在于此。但是,这毕竟还不是国家标准。只能用于解决暂时问题。为此,早在今年 3 月,全国信息安全标准化技术委员会便提出,要在 2022 年立项制定国家标准《信息安全技术 个人信息跨境传输认证要求》。目前,该国家标准的立项工作正在顺利推进,有望早日制定完成。(四)从制度设计上强化对数据发送者和接收者的监督管理数据出境后,数据安全监管部门难以监管接收者履行数据保护义务的情况,需在合同上下功夫,并压实数据发送者监督合同履行的责任。为此,《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》规定,个人信息处理者和境外接收方之间应当签订具有法律约束力和执行力的文件,确保个人信息主体权益得到充分的保障。此外,上述认证规范还要求,个人信息处理者和境外接收方均需承诺接受中华人民共和国认证机构对个人信息跨境处理活动的监督,包括答复询问、例行检查等。(本文刊登于《中国信息安全》杂志2022年第12期)
推动个人信息保护认证国际互认 促进个人数据合规高效跨境流通
文│中国网络安全审查技术与认证中心 甘杰夫
一、认证认可在促进贸易便利、实现市场国际共治中的重要作用
认证认可作为国际通行的质量管理手段和贸易便利化工具,是实现市场国际共治的有效手段,在全球贸易体系中发挥着协调国际市场准入、促进贸易便利等重要作用,能有效促进国际市场规则对接、提升市场开放程度,是多双边贸易体制中促进相互市场开放的制度安排。
在实现市场国际共治中,各国法规是市场准入的最大障碍。从历史发展经验看,其解决之道就是认证结果的国际互认:首先,通过认证解决国内市场准入问题。将法规要求落实为技术标准,通过认证来证明标准符合性以提供合法合规的权威证据,执法机构通过采信认证结果,一方面降低了执法成本,另一方面也降低了技术风险;其次,由于各国认证制度差异,为进入各国市场,供应商需要反复申请多国认证,耗费巨大的人力物力成本,某些国家可利用认证制造贸易中的非关税壁垒,限制其他国家的商品或服务进入,特别是发达国家有可能据此对发展中国家采取歧视政策,因此,实现认证的相互承认成为打破技术性贸易壁垒,促进市场国际共治的有效方法。目前,国际数字经济发展中规则林立、壁垒重叠、贸易受阻的趋势已经显现,与 20 世纪 60、70 年代工业经济时代工业品国际贸易中面临的情况极为类似。当时,国际标准化组织(ISO)和关贸总协定(GATT)都意识到认证的国际互认对促进经济发展和消除贸易中的技术壁垒的重要性,并在推进各国认证制度的规范化基础上逐步建立起国际互认体系,惠及全球贸易。我国也是该国际互认体系的受益者:以电子产品为例,每年有 6 万多家中国企业获得国际电工委员会电工产品安全认证测试证书(IECEECB),平均降低出口成本三分之一以上;以食品为例,我国加入占全球食品贸易总额的 65% 的“全球食品安全倡议”(GFSI)体系后,每年有 4000 余家食品企业从中受益;我国还在国际上某些认证认可领域发挥了主导引领的作用,主导建立的 LED 认证成为国际电工委员会电子元器件合格评定体系(IECQ)的国际认证制度,直接惠及几千亿元的 LED 产业。目前,我国已经加入了 21 个认证认可国际组织,对外签署 15 份多边互认协议、123 份双边合作互认安排,国际互认范围覆盖占全球经济总量 90% 以上的区域,为我国大量产品、服务出口提供“一次检测,一次认证,全球通行”的便利化服务。二、个人信息保护认证互认对推进数字经济国际合作的重要意义
早在 2011 年的世界经济论坛报告中就指出个人数据是一种新的经济资产类别。数字经济的蓬勃发展需要大量的用户数据以达到规模效应,我国电商交易额、移动支付交易规模都稳居全球第一,其基础就是海量个人信息的汇聚和流通。但同时也应看到,对个人信息的过度收集和滥用将引发消费者的强烈质疑和反对,从长期来看,必然导致消费者对各类数据处理者的不信任,为保护个人权益,最终选择放弃数字消费,这将从根本上损害和动摇数字经济的基础。而个人信息保护认证就是解决数字经济国际合作中的信任问题、规则问题的有效方案,其优势体现在如下三个方面。
(一)在国内外监管机构、企业、消费者间传递信任个人信息保护认证的目的就是证明个人信息处理者的个人信息处理活动合规合法,帮助建立消费者对个人信息处理者的信任。通过引导消费者选择通过认证的合规个人信息处理者,鼓励企业主动保护用户的个人权益,通过市场的正向选择,使诚信守法的企业获得更多的用户认可和更大的市场份额,并带动更多企业保护个人权益,形成三方受益的良性的市场生态:消费者获得了选择合规产品或服务的依据,避免个人权益受损;制造商和服务提供者获得了确定其产品和服务符合法律法规、标准规范并按顾客期望提供的证明,从而获得市场信任,避免了违规导致的损失;监管部门则获得了执行法律法规和实现公共政策目标的专业化、市场化、国际化支撑手段。更进一步,通过推动国际统一的认证制度的建立,在国际组织成员间实现一个标准、一次认证、全球通行。按照国际规则开展的认证活动、出具的认证证书,更容易在各个国家得到承认。(二)保障数据要素合规高效跨境流通从全球范围来看,数字经济正在成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量。数据要素合规高效跨境流通是保证数字经济稳定、顺畅运行的关键,据美国智库布鲁金斯学会的相关研究,2009—2018 年十年间,全球数据跨境流动对全球经济增长贡献度高达 10.1%,预计 2025 年有望突破 11 万亿美元。目前,各国纷纷针对数据安全、个人信息保护立法,客观上增加了数据要素流通的难度,为跨国业务带来了很大的不确定性。不同于工业时代,工业品国际贸易主要面临的问题是如何进入他国市场;在数字经济时代,由于数据是一种战略资产,数据要素流通面临的主要问题是一方面要保证本国数据安全出境,另一方面还要吸引他国数据顺畅流入。实现数据要素的流通与实现认证的国际互认一样,最根本的因素是政治和经济考量,而且基于个人信息的数据资产属性,各国都会希望可以尽可能多的数据净流入而非流出。但在全球化背景下,任何单边主义、闭关主义都不符合数字经济发展的要求,就像航空、旅游产业的需求一样,我们既要让本国个人信息能流出,保证国内旅客出得去,也要让国外个人信息能流入,保证国外旅客进得来。要实现双向的数据流通,必须依赖于双方信任、共同遵循的规则。近 50 年的国际实践表明,认证结果的国际互认体系规则是有效的解决方案之一。基于公开透明、相互认可的个人信息保护认证,有助于减少各方对隐私和个人权益保护的安全疑虑,并通过国际通行的规则弱化政治经济影响。而认证的专业性,也能保证个人信息跨境流通的高效、合规。(三)在跨境数据治理的国际博弈中争取主动2019 年 1 月,包括美国、欧盟、中国、俄罗斯在内的 76 个 WTO 成员共同签署《关于电子商务的联合声明》,美国主导提出“跨境数据自由流动”“禁止数据本地化”等主张,而中国则表明这些问题需进行“进一步解释性讨论”。博弈还延伸到 WTO 多边框架之外,上述主张已被纳入美国、欧盟主导的《全面进步的跨太平洋伙伴关系协定》(CPTPP)、《日本—欧盟经济伙伴关系协定》(EPA)、《美墨加贸易协定》(USMCA)等。此外,2019 年 10 月,英美签署基于美国云法案的《数据访问协议》,进一步推动其数据跨境规则落地实施。美欧日之间有关跨境数据流动的制度范围正在逐步扩大,通过构建“数据共同体”来主导跨境数据流动规则的制定,并初步形成了 GDPR 和 CBPRs 两个体系。但也应看到,美、欧等的主张在实践中还存在诸多问题,不能完全“自洽”。例如,美国在宣称“数据自由流动”的同时,实际上正在通过限制重要技术数据出口以及特定数据领域的外国投资进行数据跨境流动管制。例如,2018 年 8 月签署的《美国出口管制改革法案》就特别规定,出口管制不仅限于“硬件”出口,还包括“软件”,如科学技术数据传输到美国境外的服务器或数据出境,必须获得商务部产业与安全局(BIS)出口许可。而美国对 TikTok 的“本地存储”限令,也戳破了其“数据自由流动”的幌子。就本质而言,美国是通过输出规则来争夺跨境数据治理话语权。总体而言,目前国际数据治理规则仍然呈现碎片化特征,各国基于各自的政治、经济现实利益,在许多原则问题上尚未达成共识,统一的治理框架并未形成,各方的国际规则体系大多处于双边、区域试行状态,距离实质性落地尚需时日。在这种背景下,积极推动个人信息保护认证的国际互认,在跨境数据治理国际规则体系制定中主动提出中国方案,有利于打破美、欧对规则的垄断,消解其对我的进攻,扩大中国“朋友圈”,保护我国数字经济的健康、稳定运行。三、个人信息保护认证互认的实现途径
从政治、经济、技术等多个因素考虑,个人信息保护认证的国际互认绝非能够一蹴而就,欧美在这个领域的多年实践也仅是摸着石头过河,GDPR 体系下的首个认证制度 GDPR-CAPRA 今年 5 月才在卢森堡推出,并且没有直接支持跨境互认。因此,实施路径的设计一定遵守循序渐进原则,首先是政治上互信,其次是经济上互需,最后是技术上可行。
一种可行的途径是:第一步,实现国内数据跨境认证。在个人信息保护认证基础上,探索建立粤港澳大湾区三地监管机构认可的跨境个人信息保护认证规则,实现个人信息保护认证结果的三地采信;第二步,实现区域性数据跨国认证。以粤港澳大湾区互认规则为基础,依托现有的区域互认合作框架,推动建立东盟、“一带一路”沿线国家的个人信息保护区域互认体系;第三步,实现国际数据互认。推动相关标准规范的国际化,在 WTO 框架下,促成个人信息保护认证国际互认体系的建立。(一)三地互认:粤港澳大湾区在法规政策层面,由于《个人信息保护法》与香港《个人资料(私隐)条例》、澳门《个人资料保护法》基本原则较为接近,为互认提供了法律基础。《横琴粤澳深度合作区建设总体方案》《广东省数据要素市场化配置改革行动方案》《广东省人民政府关于加快数字化发展的意见》《深圳建设中国特色社会主义先行示范区综合改革试点实施方案(2020 - 2025 年)》等文件都提出了推动粤港澳大湾区数据有序流通、构建数据要素流通顺畅的数字大湾区等任务,为互认提供了政策基础。在技术层面,GB/T 35273《个人信息安全规范》、TC260-PG-20222A《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》提供了符合相关法规的技术标准,可在其基础上进一步修改形成三地跨境认证依据标准。依据相关法规、文件和标准,通过制定发布粤港澳大湾区三地监管机构认可的跨境个人信息保护认证规则,可实现个人信息保护认证结果的三地采信。可根据相关文件要求“支持科研合作项目需要的医疗数据等数据资源在大湾区内有序跨境流动”“支持珠海、澳门相关高校、科研机构在确保个人信息和重要数据安全前提下,实现科学研究数据跨境互联互通”,首先启动科学数据、医疗数据等领域的个人信息跨境试点,进而推动建立粤港澳个人信息跨境流动自由港。(二)区域互认:东盟、“一带一路”沿线国家等东盟在数字经济、数据跨境方面陆续出台了《东盟互联互通发展计划 2025》《东盟数字发展计划 2025》《东盟数字数据治理框架 2018》《东盟个人数据保护框架 2016》等政策,也形成了自愿性的《东盟数据管理框架和跨境数据传输机制的实施指南》(CBDF)、《东盟数据管理框架》(DMF)、《东盟跨境数据传输合同条款模板 2021》等东盟内数据跨境指导文件。这些文件为实现与东盟数据跨境互认提供了基础,但目前还没有形成东盟层面广泛接受的跨境规则。美国 CBPR、欧盟 GDPR 都在积极争取对东盟地区施加影响,由于经济和地缘因素,日本于 2019 年在 G20 峰会提出的“信任数据自由流动”(DFFT)也在东盟地区具有一定影响力。我国与东盟在数字领域已建立了“中国-东盟数字部长会议”“中国-东盟智慧城市合作”“中国-东盟信息通信基础设施互联互通”“中国-东盟数字经济合作年”的合作机制,为推动与东盟的区域互认提供了平台。由于东盟数据跨境与 RCEP 电子商务章中的数据跨境流动政策密切相关,我国在加入 RCEP 后,具备了更好地推动互认的条件。近期,我国提出加入新加坡主导的 DEPA,也为实现互认提供了更多、更好的选项。在“一带一路”国家方向上,我国通过《共同推动认证认可服务“一带一路”建设愿景与行动》三年计划,已与 30 多个“一带一路”沿线国家和地区建立双边合作关系,为推动与“一带一路”国家的区域互认提供了合作框架基础。(三)国际互认实施以国际标准和规则为依据的国际认证制度,才能更加有效地推动数字经济贸易,减少贸易中的技术壁垒。从长期来看,要在区域互认的基础上,联合相关国家、地区,积极推动有关标准的国际化,主动主导个人信息保护认证国际互认规则的制定,引领国际数据跨境流动治理,用中国方案服务世界经济发展。(本文刊登于《中国信息安全》杂志2022年第12期)
论个人信息出境认证与安全评估、标准合同的关系
一、出境认证与安全评估、标准合同具有共通之处
出境认证与安全评估、标准合同在目的、理论基础、事后监督方面具有相同之处。首先,在目的方面,三者的规制目的都是落实《个人信息保护法》第 38 条第 3 款,即判断个人信息处理者是否能够确保境外接收方对所接收个人信息提供了符合该法所规定的保护水平(下称“同等保护”)。换言之,个人信息处理者通过了出境认证、安全评估,或者与境外接收方签订标准合同,都能确认境外接收方提供了同等保护,依法可以将个人信息跨境提供。
同时,三者实施的理论基础也是相同的,即个人信息处理者必须遵守公认的责任原则。从《OECD 指南》《108 号公约》到《APEC 隐私框架》,国际上普遍认可的个人信息保护都以个人信息处理基本原则为框架,并以其中的责任原则驱动其他原则的落实。责任原则的核心要求是个人信息处理者要为自己的个人信息处理行为负责,包括将个人信息跨境提供给境外接收方。类似地,我国《个人信息保护法》第九条规定个人信息处理者应当对其个人信息处理活动负责。因此,出境认证、安全评估和标准合同都是以责任原则为理论基础,审查和评估个人信息处理者是否采取了合理措施、履行其在个人信息向境外提供情形下应当尽到的法律责任。最后,个人信息处理者通过安全评估、出境认证或者签订标准合同之后,仅仅完成出境前的合规要求,都仍要根据责任原则持续采取措施,监督境外接收方是否对所接收个人信息持续提供同等保护。在具体监督方式上,《个人信息保护法》第五十四条规定,个人信息处理者应当定期合规审计其处理个人信息遵守法律、行政法规的情况。因此,个人信息处理者这里所要持续采取的监督措施主要就是对境外接收方的后续个人信息处理进行合规审计。二、出境认证与安全评估、标准合同在具体实施方面有所不同
首先,适用的范围不同。《个人信息保护法》第三十八条仅列举安全评估、出境认证和标准合同是个人信息合法出境的条件之一,并未明确三者适用范围的关系,三者似乎是平等适用关系。不过,该法第四十条规定,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者的个人信息出境原则上应当通过安全评估。其中,“国家网信部门规定数量的个人信息处理者”已通过《数据出境安全评估办法》第四条加以明确。目前,《个人信息出境标准合同规定(征求意见稿)》第四条规定了未达到安全评估的个人信息出境情形都可以通过签订标准合同的形式进行合法出境。相比之下,《认证规范》将出境认证的范围扩展至所有个人信息处理者开展个人信息跨境处理活动。换言之,只要企业开展个人信息出境活动都可以申请出境认证。这样的定位实际上是回归认证的原本功能,即体现企业对个人信息的高水平保护,因此任何有个人信息出境需求的企业都可以通过该认证体现其在个人信息处理尤其是跨境处理方面的高水平保护。
其次,审查的主体不同。虽然三者都是在审查或评估个人信息处理者是否履行个人信息出境方面的责任原则要求,但具体审查的主体有所不同。安全评估的审查主体是网信部门,其中省级网信部门对申请材料进行形式审查,国家网信部门对申请材料进行实质审查并作出是否可以出境的决定。出境认证的审查主体是国家网信部门认可的专业机构,该专业机构不是政府机构,而是市场化运营的组织。相比之下,标准合同机制下的审查主体是向境外提供个人信息的个人信息处理者自己。值得注意的是,这三种审查都是相应主体在个人信息出境前进行的审查或评估,与事后的国家监督(或安全评估中的国家事后持续监督)并不冲突。再者,审查的依据和侧重点有所不同。虽然三者最根本的审查依据是《个人信息保护法》,但三者都要遵守各自细化的审查依据。安全评估的审查依据是《数据出境安全评估办法》,侧重审查个人信息出境风险、个人信息处理者和境外接收方有关个人信息保护责任分配的约定、境外接收方所在国法律环境对境外接收方遵守约定的影响。相比之下,出境认证的审查目前而言依据的是全国信息安全标准化技术委员会发布的《认证规范》,主要考察的是个人信息处理者个人信息处理的内部管理体系(包括组织管理、个人信息处理基本规则、个人信息跨境出境规则等),个人信息处理者与境外接收方存在的关联关系以及该关系对个人信息处理者对境外接收方进行监督和责任承担方面的便利安排。值得注意的是,今年 11 月 4 日,国家市场监管总局、国家互联网信息办联合发布了《个人信息保护认证实施规则》,明确了个人信息出境认证的依据、模式、实施程序、认证证书有效期等规则。在标准合同机制下,个人信息处理者的审查依据并非自己确定,而是由国家网信部门通过标准合同具体条款加以明确,如第三方受益人条款要求个人信息处理者审查境外接收方是否同意个人信息主体可以作为第三方受益人向其主张权利。最后,审查决定的性质不同。根据《数据出境安全评估办法》第三条的“风险自评估和安全评估相结合”原则,安全评估的法律属性是行政确认,是行政主体(国家网信部门)依法对行政相对人(个人信息处理者)是否采取合理措施确保境外接收方提供同等保护进行甄别,给予确定、认定、证明并予以宣告的具体行政行为。相比之下,认证机构作出的个人信息处理者满足认证要求的决定不是行政确认,而是由认证机构证明该个人信息处理者在个人信息处理尤其是个人信息跨境保护方面所采取的技术、管理和制度措施等方面符合相关技术规范或者标准的合格评定活动。在标准合同机制下,个人信息处理者按照标准合同要求审查境外接收方能否提供同等保护要求后与其签订标准合同,并依法进行标准合同备案时,也就相当于做出了自我审查决定。该自我审查决定在性质上属于自我提供了个人信息出境合规的证据,其证明力要比认证机构的认证决定和国家网信部门的安全评估决定相对要弱,但仍符合我国个人信息出境制度的合规要求。三、出境认证与安全评估和标准合同的内在协调关系
在全球数字经济当中,个人信息跨境流动频繁而多样,包括了跨国企业为统一人力资源管理而进行的员工个人信息跨境流动,也包括了企业为因服务客户而进行的消费者个人信息跨境流动。因此,为了有效平衡不同个人信息跨境需求下的个人信息安全和经济发展的两大利益,多元互补的个人信息出境合法机制更为科学、合理。
首先,三者的适用范围在现有制度下仍有可能存在交叉和重叠。在判断三者适用范围的关系时,我们容易忽略《个人信息保护法》第四十条的但书规定,从而误认为达到安全评估门槛的都必须申报安全评估。然而,该但书规定为豁免安全评估预留了制度空间,“法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定”。尽管国家网信部门在制定《数据出境安全评估办法》时未同步明确安全评估的豁免情形,但仍有权在未来通过其他规定设定豁免情形。目前而言,全国信息安全标准化技术委员会秘书处在《认证规范》中对出境认证的适用范围未做限制,但个人信息出境的情形达到安全评估门槛时是否仅通过出境认证即可合法出境,目前《个人信息保护认证实施规则》尚未明确,仍有待国家网信部门综合《数据出境安全评估办法》和《个人信息保护法》第四十条的但书规定作出最终决定,例如符合安全评估的特定情形通过出境认证即可合法出境,从而在效果上创设安全评估的豁免情形。同理,依据《个人信息保护法》第四十条但书规定,国家网信部门在出台正式的《个人信息出境标准合同规定》时,也可以考虑将符合安全评估的特定情形规定为签订标准合同即可合法出境。其次,出境认证属于第三方专业认证,任何个人信息处理者都可以自愿委托依法设立的个人信息出境认证机构进行出境认证。按照我国《认证认可条例》第十八条的规定,认证遵循自愿原则,任何法人、组织和个人可以自愿委托依法设立的认证机构进行产品、服务、管理体系认证。出境认证也应当遵循《认证认可条例》的自愿原则,只要个人信息处理者自愿申请出境认证,认证机构都应当依法依规对其认证申请进行受理和评审。值得注意的是,当出境个人信息达到一定数量或者境外接收方所在国家或地区的法律环境变化时,个人信息出境风险可能会发生质变,以至于个人信息处理者通过自身内部的管理和技术措施调整和优化仍未能有效控制该出境风险。此时个人信息处理者通过出境认证后,可能还会被要求申报个人信息出境安全评估。最后,个人信息处理者在申请出境认证时,必须和境外接收方签订合同明确各自的权利与义务,但并不排除当事人可以直接选择用标准合同。标准合同是国家为了便利中小企业个人信息出境而制定的个人信息出境机制。具体而言,国家网信部门在制定标准合同具体条款时,综合个人信息出境的风险、个人信息处理者和境外接收方的个人信息安全保障能力、个人信息主体维权困难等,事先拟定了个人信息处理者和境外接收方对出境个人信息的权利和义务的分配机制。一旦个人信息处理者和境外接收方在个人信息出境时自愿选择签订标准合同,则国家网信部门事先拟定的标准合同具体条款自动转化为双方的自愿约定,进而成为约束双方的有效法律机制。至于双方签订标准合同是否可以直接合法开展个人信息出境,仍然需要根据标准合同规定来确定。因此,个人信息处理者在申请出境认证时,也可自愿与境外接收方签订标准合同,并以此作为双方在个人信息出境方面的权利和义务安排。应当强调的是,个人信息处理者申请认证时选择签订标准合同作为约束境外接收方的法律机制,应当全面审查和明确其个人信息出境评价要求与标准合同条款有关要求相冲突时的解决方案,而认证机构则需要重点评判该解决方案是否能够确保境外接收方提供同等保护。总而言之,在《个人信息保护法》的制度框架和责任原则的理论框架下,出境认证与安全评估、标准合同可以形成多元互补的关系,从而在整体上构建起宽严相济的个人信息出境监管制度。(本文刊登于《中国信息安全》杂志2022年第12期)
认证机制强化个人信息保护,促进数据合规利用
文│中国网络安全审查技术与认证中心 王凤娇作为落实《网络安全法》《数据安全法》《个人信息保护法》有关要求的一项数据基础制度,继 2022年 6 月 9 日国家市场监督管理总局、国家互联网信息办公室联合印发《关于开展数据安全管理认证工作的公告》(2022 年第 18 号)后,2022年 11 月 4 日,国家市场监督管理总局、国家互联网信息办公室联合印发《关于个人信息保护认证工作的公告》,正式推出我国个人信息保护认证制度。公告的发布,在落实个人信息保护相关政策法规要求,完善数字治理制度体系建设、服务数字经济发展方面迈出了重要的一步,具有里程碑意义。一、个人信息保护认证制度是落实法规要求,完善个人信息保护制度体系的一项基础制度
个人信息保护法对个人信息保护认证制度建设做出了明确要求。我国《个人信息保护法》第 38 条将“按照国家网信部门的规定经专业机构进行个人信息保护认证”作为个人信息跨境流动的合法途径之一,个人信息保护认证制度(以下简称“个保认证”)据此建立。但个保认证制度不仅为跨境情形而设立,其着眼于规范个人信息处理活动,保护个人信息主体权益,目的是证明个人信息处理者特定业务涉及的处理活动符合标准要求。个保认证以 GB/T35273《信息安全技术 个人信息安全规范》标准为基础和通用评价要求,突出了重在落实政策法规要求、基线合规的特点。针对个人信息跨境处理这一特殊情形,增加了《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》的评价要求,也是适应当前国际上普遍认同的在数据跨境传输方面应坚持的基本原则和理念。目的是证明个人信息处理者跨境处理个人信息活动符合标准要求,以此保障公民个人信息安全和主体权益,促进数据的合规利用,紧扣《个人信息保护法》制定的核心考虑和初衷。
在全球范围内,标准与认证历来是落实政策法规要求的有效方式。在全球最严格的数据保护法规—欧盟《通用数据保护条例》(GDPR)下,认证机制仍然被作为帮助企业证明其符合法规/标准要求的重要手段而提出。正如欧盟指出的,认证的特点对于证明企业的个人信息处理活动符合标准要求有天然的优势,如认证要求的数据处理的文档化管理,做到一举一动都有据可查;认证要求的企业应当建立周密的制度安排,包括数据安全管理流程、泄露事故发现、上报预案等。通过认证,一方面可以提高数据处理行为的透明度,便于控制者和处理者展示其处理过程的合规性,使相关方能便捷地了解处理操作的数据保护水平,另一方面也可以作为数据跨境传输(转移至第三国或国际组织)的合法途径之一。二、个人信息保护认证重在规范和引导,有利于传递信任、服务数字经济发展
认证认可作为国际通行的质量管理手段和符合世界贸易组织规则的技术性贸易措施,是市场有效运行的质量基础设施,在提高个人信息保护质量、促进数据安全有序流动和合理利用方面也必将发挥重要作用。
个人信息保护认证定位为国家推行的自愿性认证,以第三方认证的方式证明企业的个人信息处理活动(含跨境处理个人信息)符合法律法规和标准要求,相较于政府监管,更侧重于发挥规范和引导作用,具体表现在三个方面:一是从国家层面来看,个保认证是国家政策法规和标准落地实施的重要抓手,以此促进个人信息保护基线水平的提升,对于保护公民个人权益、维护国家数据安全、加强数据安全治理和促进国家数字经济高质量发展可以起到重要支撑作用。二是从平台和企业层面来看,通过认证,企业能够对自身个人信息处理情况进行细致的梳理和了解,对照政策法规和标准要求,找到差距和不足之处,以规范化、体系化的方式采取对应的方法和措施,形成合规证据,这个过程本身就是一个企业个人信息保护水平的自我提升过程,能有效地帮助企业减少因数据问题导致的损失,保障企业正常运行。同时,认证作为标准符合性证明的特点,重在规范和引导,为企业满足标准要求的方式留有选择和创新空间。此外,通过认证有利于提升企业的品牌形象、提升市场竞争力。特别是涉及跨境个人信息处理的企业,通过认证有利于个人信息处理者相关数据的安全有序流动,从而为企业创造和带来更大的价值。同时,比制定制度、采取措施更重要的是有效运行制度、确保措施适宜,并在运行中不断完善。个保认证机制和模式的设计充分考虑了这一需求,技术验证和认证审核的过程对企业个人信息处理活动相关制度、措施的有效性、适宜性进行抽样验证、审核,通过持续监督、专项监督等方式对发现的问题及整改情况进行跟踪处理,可以起到督促完善的作用。三是从用户/个人消费者方面来看,随着社会生活的网络化、数字化程度不断加深,个人的衣食住行对各类数字化产品、服务和平台依赖度也越来越高。但与此同时,个人信息被违规收集、使用、非法传输等情况屡见不鲜,造成了个人信息主体在选择和使用这些产品和服务时可能面临个人信息被违规处理的焦虑和担忧。个人信息保护认证可以为消费者采购/选择提供指引,便于选择和使用经过权威机构认证、相对有质量保障的企业提供的产品和服务,可以提升使用信心,降低个人信息权益被侵犯的风险。三、个人信息保护认证是便利贸易的重要措施,有利于促进我国数字经济和数字治理与国际接轨
认证机制作为便利贸易的一种有效手段,对促进数字经济国际合作,积极参与全球数字治理进程能够起到重要支撑作用。个人信息跨境安全认证所依据的《个人信息跨境处理活动安全认证规范》以国际通行的合法、正当、必要、公开、透明、信息质量和责任明确原则等个人信息保护基本原则为核心,为个人信息跨境安全认证的国际互认和与国际接轨奠定了重要基础,为涉及跨境业务的企业实现合规要求提供了有效途径。
此外,相较于数据出境安全评估,个人信息跨境安全认证以公开、透明的程序和标准对跨境处理个人信息活动进行合规证明,偏向基线要求,认证结果可以为数据出境安全评估提供基础证据支持。相较于个人信息出境标准合同模板,认证也对境内发送方和境外接收方提出了签署具有法律效力合同的要求。更重要的是,认证通过专业技术机构验证、现场审核和获证后监督相结合的模式,以第三方证明的方式对个人信息跨境处理活动持续符合标准要求予以证明,覆盖更加全面、完整,更具有公信力。(本文刊登于《中国信息安全》杂志2022年第12期)
— END —
“数据二十条”政策解读|吴沈括:构筑面向数字化和全球化的数据跨境流通生态
聚焦网络法治 护航数字经济:2022年世界互联网大会乌镇峰会网络法治论坛在浙江乌镇举行
动向|欧洲2023年立法议程:数字立法位于第二位
美国要求互联网公司研发针对中国电信设备的攻击武器 外交部回应“中国+中亚五国”数据安全合作倡议
前沿瞭望|美国首次公布联邦《数据隐私与保护法案》(全文)
动向|美国推动的"印太经济框架" 想做什么?动向|拜登宣布启动"印太经济框架" 日韩澳印等13国加入洞察|欧盟-美国有关未来数字治理的立场异同欧洲EDPS与EDPB关于欧盟数据法案的联合意见(5月5日)
高端视野|吴沈括 李涛:流量劫持的的刑法应对
吴沈括|数据要素市场建设中的公共数据与政企合作吴沈括|欧盟2022年《数字服务法案》:平台新治理的欧洲样板
吴沈括|欧盟2022年《数据治理法案》:数据要素流转利用的欧洲方案
美欧就跨大西洋数据隐私框架达成原则性协议(含监管历史演进梳理)光明网 | 吴沈括:强化数字安全助力数字经济高质量发展重磅|欧盟《数据法案》(Data Act)草案(中译本)重磅|欧盟《数据法案》(Data Act)草案全文
高端视野|吴沈括 Deuse Clément:欧盟数字主权与《数据法案》立法进程高端视野 | 吴沈括 S. Boutillier:网络空间国际规则与《巴黎倡议》高端视野|吴沈括 L. Valenti:数据跨境调取与布达佩斯公约第二补充议定书高端视野|吴沈括 H. MANZOOR:数字安全与联合国打击网络犯罪公约高端视野|吴沈括 Elena Scarpelli:欧盟数据主权与《电子证据条例》立法高端视野|吴沈括 Andrea Fusi:欧盟数字转型与《数字权利和原则宣言》高端视野 | 欧盟委员会《欧洲数据治理条例》提案研究数字治理全球洞察 | 跨境数据治理前沿系列:【研究报告】数据跨境治理国别规则(9):俄罗斯
【研究报告】数据跨境治理国别规则(8):印度
【研究报告】数据跨境治理国别规则(7):马来西亚
【研究报告】数据跨境治理国别规则(6):新加坡
【研究报告】数据跨境治理国别规则(5):韩国
【研究报告】数据跨境治理国别规则(4):日本
【研究报告】数据跨境治理国别规则(3):德国
【研究报告】数据跨境治理国别规则(2):爱尔兰
【研究报告】数据跨境治理国别规则(1):欧盟重磅|上海网信办:数据出境安全评估申报工作十问十答(二)
重磅|发改委、商务部:放宽数据要素交易和跨境数据业务市场准入
数据跨境|欧-美数据隐私框架充分性决定草案:认可美国数据保护水平
数据跨境|英国就韩国达成数据跨境充分性认定 助力实现双边经济增长
数据跨境取证|吴沈括 蔡佩原:英国-美国《数据访问协议》中译本(2022-10-03施行)
数据跨境|拜登《关于加强美国信号情报活动保障的行政命令》(中译本)高端视野|吴沈括 孙鹏程:《数据出境安全评估办法》下的出境合规准备工作重磅 | 国家互联网信息办公室《数据出境安全评估办法》(全文)
重磅 | 国家互联网信息办公室公布《数据出境安全评估办法》(附答记者问)
速递|欧洲数据保护委员会关于欧美跨大西洋数据隐私框架协议的声明动向|欧盟与美国有望在2022年春季达成新的数据跨境传输协议高端视野|吴沈括 蔡佩原:欧盟《数据法案》(草案)的非个人数据跨境制度高端视野 | 吴沈括 邓立山:WTO框架下的数据跨境规则研究高端视野 | 吴沈括 邓立山:OECD框架下的数据跨境规则研究高端视野 | 吴沈括 邓立山:DEPA框架下的数据跨境规则研究
高端视野 | 吴沈括 邓立山:G20框架下的数据跨境规则研究
高端视野|吴沈括 邓立山:CPTPP框架下的数据跨境规则研究
高端视野|吴沈括 邓立山:RCEP框架下的数据跨境规则研究
高端视野 | 吴沈括 邓立山:APEC框架下的数据跨境规则研究高端视野|吴沈括 邓立山:APEC框架下关于数据跨境的CBPR规则研究数字治理全球洞察 | 数据治理前沿系列:速递|最高人民法院发布第35批指导性案例 强化个人信息刑法保护
吴沈括|全面落实上位法律规范 培育数据安全管理生态
重磅|工信部《工业和信息化领域数据安全管理办法(试行)》(全文)
数据司法|欧盟法院:如果个人信息“明显不准确” 有权要求搜索引擎移除搜索结果
最高检发布5件依法惩治侵犯公民个人信息犯罪典型案例
《“十四五”全民健康信息化规划》:医院核心信息全国互通 强化网络与数据安全
汽车数据处理、个人信息安全工程指南等14项国家标准发布
EDPB:执法资源不足导致个人数据保护的监管面临风险
速递|印尼国会审议通过《个人数据保护法》高端视野|吴沈括:《企业涉个人信息刑事风险合规风控》研究报告重磅|中央深改委通过《关于构建数据基础制度更好发挥数据要素作用的意见》
瞭望|英国公布2022年《数据改革法案》具体计划 称为“脱欧后的胜利”数据执法|法国数据监管机关:对谷歌分析工具的整改不会让它变得合法高端视野 | 跨国企业数据保护官(DPO)设置研究(上篇)国家市场监督管理总局 国家互联网信息办公室关于开展数据安全管理认证工作的公告观点|阻碍医疗数据研究革命的是法律问题,而不是基础设施
检察日报|吴沈括 李涛:数字经济语境下流量劫持的刑事治理数据监管|匈牙利就AI数据处理侵权对布达佩斯银行科处高额罚款数据监管|法国数据保护机关就健康数据泄露处罚生物公司150万欧元
欧洲数据保护委员会(EDPB)关于执法合作的声明(4月28日)
速递|欧洲数据保护委员会关于比利时数据保护机关独立地位的质疑关切数据监管|芬兰数据保护机关因诊所实现数据主体权利不力科处行政罚款数据监管|欧洲数据保护专员(EDPS):是时候瞄准在线广告了!数据监管|爱尔兰数据保护委员会宣布对Meta(脸书)处罚1700万欧元数据监管|意大利数据保护机关就面部识别处罚美国Clearview公司2000万欧元数据监管|波兰数据保护机关就员工造成数据泄露对公司处以创纪录罚款数字治理全球洞察 | 网络安全治理前沿系列:速递|美国禁止华为中兴等5家中企在美销售设备
英国延后华为临时禁令 但2027年底前全面移除5G设备不变
美国网络安全禁令生效,限制向中国等国家共享网络漏洞重磅|欧盟委员会2022年《网络安全条例》提案(全文)重磅|欧盟委员会2022年《信息安全条例》提案(全文)数字治理全球洞察 | 网络平台治理前沿系列:速递|工信部征求意见:提升移动互联网应用服务能力,强化全流程个人信息保护
重磅|市场监管总局对知网滥用市场支配地位罚款8760万元并责令全面整改(附行政处罚决定书)
重磅|中央网信办秘书局 中国证监会办公厅《非法证券活动网上信息内容治理工作方案》(全文)
重磅|国家网信办、工信部、公安部《互联网信息服务深度合成管理规定》(全文)
国家六部门:网约车平台采集个人信息应在中国内地存储使用 保存不少于2年
重磅|反不正当竞争法(修订草案征求意见稿)禁止利用数据算法不正当竞争
国家互联网信息办公室修订《互联网跟帖评论服务管理规定》发布施行
EDPB通过有关TikTok的法律文书 TikTok停更个性化广告的法律基础重磅|国家广电总局、文旅部《网络主播行为规范》(全文)
重磅|中央深改委:将平台企业支付和其他金融活动纳入监管 服务实体经济
国家网信办《互联网跟帖评论服务管理规定(修订草案征求意见稿)》(全文)全国人大常委会法工委披露反垄断法、反电信网络诈骗法二审稿修改内容
重磅|国家网信办修订发布《移动互联网应用程序信息服务管理规定》(全文)
数字治理全球洞察 | 数字政府治理前沿系列:重磅|国务院《关于加强数字政府建设的指导意见》(全文)数字治理全球洞察 | 未成年人保护前沿系列:光明网|吴沈括:未成年人网络保护面临技术、组织、内容三重风险
数字治理全球洞察 | 电信网络诈骗治理前沿系列:2022年电信网络诈骗治理报告:以短视频平台为样本的研究
发布反电信网络诈骗倡议!北师大主办2022年世界互联网大会乌镇峰会网络法治论坛
吴沈括 黄诗亮|《反电信网络诈骗法》的治理要旨与合规启示英译本|《中华人民共和国反电信网络诈骗法》(全文)重磅|《中华人民共和国反电信网络诈骗法》(全文)重磅 | 《反电信网络诈骗法(草案二次审议稿)》(全文)数字治理全球洞察 | 数据跨境取证前沿系列:重磅|司法部明确涉诉数据信息的跨境调取规则数据跨境取证|吴沈括 蔡佩原:英国-美国《数据访问协议》中译本(2022-10-03施行)数字治理全球洞察 | 数据认证前沿系列:高端视野|吴沈括:个人信息保护认证的制度意义与实践价值
吴沈括 邱芷蕙|美国TrustArc隐私与数据治理框架(P&DG)要览吴沈括 周奕达|美国TRUSTe企业隐私认证的机制概要与价值启示前沿|EDPB批准德国州数据保护机关有关数据保护认证计划的意见数字治理全球洞察 | 数据要素市场前沿系列:重磅|发改委、商务部:放宽数据要素交易和跨境数据业务市场准入
Meta将个人数据用于广告投放 被欧盟罚款3.9亿欧元
数据要素市场|厦门公布《厦门经济特区数据条例》(全文)
《四川省数据条例》获表决通过 2023年1月1日起实施
数据要素立法|《陕西省大数据条例》(全文)数字治理全球洞察 | 人工智能治理前沿系列:洞察|美欧首个全面人工智能协议达成,对我国影响几何?洞察|大火的“ChatGPT”,潜在的“数据安全隐患”重磅 | 中国关于加强人工智能伦理治理的立场文件
速递|美国总统拜登签署《人工智能培训法案》
EDPS:欧洲委员会《人工智能公约》谈判应当加强基本权利保护数字治理全球洞察 | 数字经济治理前沿系列:动向|美国议员鼓动强化对美在中国投资审查
吴沈括|构筑面向数字化和全球化的数据跨境流通生态
美国PCAOB:现行合作框架满足对中概股审计底稿核查的要求
数据资产|财政部:企业应按规定披露不同类型数据资源
吴沈括 崔鑫铭|《北京市数字经济促进条例》助力建设全球数字经济标杆
重磅|《北京市数字经济促进条例》通过 重点培育数字经济核心产业数字治理全球洞察 | 国别研究系列(美国):洞察|美欧首个全面人工智能协议达成,对我国影响几何?重磅|外交部网站:《美国滥施“长臂管辖”及其危害》报告(全文)
吴沈括 黄诗亮|美国智库CNAS《数字监控生态系统》报告解析吴沈括 黄诗亮|美国智库New America《数字政府建设路径》报告解析
吴沈括 黄诗亮|美国智库CNAS《开放未来:5G的未来之路》报告解析数字治理全球洞察 |联合国网络犯罪公约系列:吴沈括 胡云|联合国网络犯罪公约特委会工作路线图(中译本)
数字治理全球洞察 | 出口管制与制裁前沿系列:动向|美荷日达成芯片管制协议 对华加大限制