新法速递 | 国家标准《信息安全技术 个人信息跨境传输认证要求》(征求意见稿)
编者按
2023年3月16日,全国信息安全标准化技术委员会(以下简称信安标委)发布《信息安全技术 个人信息跨境处理活动安全认证规范》(征求意见稿)(以下简称“《认证规范》”),为认证机构对个人信息跨境传输开展个人信息保护认证提供了国家标准。
《认证规范》将以国家市场监督管理总局和国家标准化管理委员会的名义对外发布,同时适用于监管机构针对个人信息跨境传输的监管。
一、《认证规范》解读
作为个人信息跨境传输合规路径之一,《认证规范》为个人信息保护认证路径提供了更精准和明确的要求。我们理解,《认证规范》正式发布后,将取代信安标委发布的《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》(以下简称“规范2.0”),升级成为推荐性国家标准。
此前我们已就个人信息跨境传输方案选择及规范2.0进行过解读,具体可见:
01/
认证规范有何不同?
首先,对比《认证规范》和规范2.0,二者对认证原则、认证要求以及个人信息主体权益保障要求的规定差异不大。
我们比对后发现两者主要不同在于以下:
1)《认证规范》主要删除了关于认证主体的相关规定,为更多类型的企业通过个人信息保护认证实现跨境传输合规义务提供了空间;
2)《认证规范》删除了规范2.0摘要部分关于“开展跨境处理活动的个人信息处理者申请个人信息保护认证应符合GB/T 35273《信息安全技术 个人信息安全规范》和本文件的要求”的表述,并在术语和定义部分增加了对GB/T 35273《信息安全技术 个人信息安全规范》相关内容的引用。
02/
如何进行跨境传输认证?
个人信息跨境传输认证工作由国家网络安全审查技术与认证中心承担,个人信息处理者通过下述流程图进行申请,申请被正式受理后,进入三步认证审核阶段:第一步,具有资质的技术验证机构将按照认证方案进行技术验证并出具技术验证报告; 第二步,认证机构将将实施现场审核并出具现场审核报告; 第三步,认证机构会基于前述材料进行综合评价,作出认证决定并颁发认证证书。
(点击可查看大图)
03/
合规建议
根据我们的实践经验,个人信息保护认证周期长达四个月甚至更多,建议相关企业对照《认证规范》,提早就组织机构、人员、法律约束性文件、PIA以及个人信息主体权益保障等要求进行整改和材料准备。
企业在取得认证后,认证机构将采取措施以一定频次持续监督其个人信息跨境传输活动,并有权暂停甚至撤销认证。我们建议即使企业已经获得认证,仍需保持与认证要求一致的合规要求。
《认证规范》意见征求截至2023年5月15日。我们也会持续关注《认证规范》的发布进展,及时更新有关变化。
二、《认证规范》原文
《认证规范》原文如下:
(点击可查看大图)
点击下方“阅读原文”,可获取《认证规范》全文
本文首发自公众号:数据与电商研究室
如需转发,请注明信息来自数据与电商研究室,如有意见建议或合作,请邮件CPdatalaw@zhonglun.com.
往 期 精 彩
解读文章
个人信息出境标准合同落地,企业应对的“道”与“法” 新法速递 | 国版SCC正式发布,一文尽览修订要点(含全文新旧对比) Core Issues When Processing Employees’ Personal Information(Q&A)
Landmark Rules on Certification for Cross-Border Data Processing
案例分享
★
长按二维码一键关注