聚焦 | 个人信息保护认证规则发布,数据安全国家认证有多少?
编者按
2022年11月18日,国家市场监督管理总局(“市场监管总局”)与国家互联网信息办公室(“网信办”)联合发布《关于实施个人信息保护认证的公告》及附件《个人信息保护认证实施规则》(简称“认证规则”),意在鼓励个人信息处理者通过认证方式提升个人信息保护能力。
一、认证规则简评
根据《个人信息保护认证实施规则》,个人信息保护认证的认证模式为:技术验证 + 现场审核 + 获证后监督。首先,认证机构将根据个人信息处理者提交的认证委托资料确定认证方案,包括个人信息类型和数量、涉及的个人信息处理活动范围、技术验证机构信息等;然后,技术验证机构将按照认证方案实施技术验证并出具技术验证报告;之后,认证机构将对个人信息处理者实施现场审核并出具现场审核报告;最后,认证机构会根据认证委托资料、技术验证报告、现场审核报告和其他相关资料信息进行综合评价,作出最终认证决定。对符合认证要求的,颁发有效期为3年的认证证书。有效期内,认证机构将对个人信息处理者进行持续监督。
《个人信息保护认证实施规则》明确了《个人信息保护法》第三十八条第二款规定的“按照国家网信部门的规定经专业机构进行的个人信息保护认证”的适用情形、基本原则、基本要求等规定。对于此次认证规则的出台,我们认为不仅有效支撑了个人信息出境中“认证”路径的法律依据,而且也就《个保法》六十二条第(四)项中“个人信息保护社会化服务体系”中的认证服务提供了有效落地方案。
根据《认证规则》,对于开展跨境处理活动的个人信息处理者,不仅应当符合GB/T 35273《信息安全技术 个人信息安全规范》的要求,还应当符合TC260-PG-20222A《个人信息跨境处理活动安全认证规范》的要求。换言之,个人信息跨境传输第二条合规路径“认证之路”需同时满足前述两个国标的要求。
GB/T 35273《信息安全技术 个人信息安全规范》为市场监管总局与国家标准化管理委员会(“信安标委”)联合发布的国家推荐性标准,最新版本为2020版,是《个人信息保护法》出台前企业搭建个人信息保护合规体系最重要的参考依据之一;而TC260-PG-20222A《个人信息跨境处理活动安全认证规范》为信安标委发布的技术规范文件,11月中旬结束了对第二稿的征求意见,目前尚未正式颁布。此外,根据信安标委公布的《2022 年网络安全国家标准需求清单》和《2022年网络安全国家标准立项项目清单》,《信息安全技术 个人信息跨境传输认证要求》也正在制定中,目的是支撑《个人信息保护法》第三十八条个人信息跨境提供安全认证工作。
点击蓝色字体,可查阅我们已发布的“新旧对比 | 《个人信息跨境处理活动安全认证规范》”。
二、网安与数据领域的六大认证
作为我国网络安全与数据合规领域的三驾马车,《网络安全法》《数据安全法》以及《个人信息保护法》中均含有支持有关企业、机构开展网络与数据领域安全检测、评估及认证的规定。近年来,以市场监管部门、网信办、公安部为代表的监管部门陆续发布了《数据安全管理认证实施规则》《关于开展网络安全服务认证工作的实施意见(征求意见稿)》等规定,积极推动中国网络安全与数据领域的认证规则建立与落地。
基于上述背景,本团队特对网络安全与数据领域的六大类的认证进行了梳理与对比,以便利企业在网路安全与数据合规的工作中,定制化开展网络安全与数据领域的相关认证:
(点击可查看大图)
本文首发自公众号:数据与电商研究室
如需转发,请注明信息来自数据与电商研究室,如有意见建议或合作,请邮件CPdatalaw@zhonglun.com.
点击下方“阅读原文”,可获取认证规则全文。
往 期 精 彩
解读文章
Core Issues When Processing Employees’ Personal Information(Q&A)
Landmark Rules on Certification for Cross-Border Data Processing
案例分享
★
长按二维码一键关注