個人信息保護認證的制度意義與實踐價值
責編:gltian |2022-12-30 14:04:452022 年 11 月 18 日,為貫徹落實《中華人民共和國個人信息保護法》有關規定,規范個人信息處理活動,促進個人信息合理利用,根據《中華人民共和國認證認可條例》,國家市場監督管理總局、國家互聯網信息辦公室發布《關于實施個人信息保護認證的公告》,決定實施個人信息保護認證,鼓勵個人信息處理者通過認證方式提升個人信息保護能力,同時要求從事個人信息保護認證工作的認證機構經批準后開展有關認證活動,并按照《個人信息保護認證實施規則》實施認證。由此確立了我國首個關于個人信息保護認證的專項制度,引起了國內外實務和產業各界的廣泛關注。
《個人信息保護認證實施規則》系統規定了個人信息保護認證的適用范圍、認證依據、認證模式、認證實施程序、認證證書和認證標志等內容,明確對個人信息處理者開展個人信息收集、存儲、使用、加工、傳輸、提供、公開、刪除以及跨境等處理活動進行認證的基本原則和要求。它的出臺,一方面豐富完善了我國的數據認證認可體系,有助于推動建立更加科學合理的數據治理生態,另一方面也將《個人信息保護法》有關個人信息出境的制度規定予以細化和落實,有助于構建與國際接軌的數據跨境流動認證制度,為相關認證未來的國際互認奠定了基礎。
需要指出的是,2022 年 6 月 24 日,全國信息安全標準化技術委員會公布《網絡安全標準實踐指南——個人信息跨境處理活動安全認證規范》(以下簡稱:“《安全認證規范》”)。《網絡安全標準實踐指南》是全國信息安全標準化技術委員會秘書處組織制定和發布的標準相關技術文件,旨在圍繞網絡安全法律法規政策、標準、網絡安全熱點和事件等主題,宣傳網絡安全相關標準及知識,提供標準化實踐指引。而《安全認證規范》是我國第一項有關個人信息保護認證的標準相關技術文件,其記載了認證機構對個人信息跨境處理活動進行個人信息保護認證的基本要求,在操作流程層面進一步明確了該情景下認證機制的適用情形、認證主體、基本原則、基本要求以及權益保障等諸多要素,反映了個人信息保護認證所具有的重大制度意義。
一、個人信息保護認證的重大制度意義
第一,個人信息保護認證是貫徹施行個人信息保護法的基礎性抓手。眾所周知,在我國法律體系下,個人信息保護認證的核心依據之一在于2021 年 11 月 1 日正式施行的《中華人民共和國個人信息保護法》,第三十八條第二款規定:“按照國家網信部門的規定經專業機構進行個人信息保護認證”。個人信息保護認證以及《安全認證規范》的推出正是落實個人信息保護法第三十八條制度要求的重要舉措,及時填補了我國個人信息跨境提供制度的實施細則空白。
第二,個人信息保護認證能與個人信息出境其他機制形成系統配套。2022 年 6 月 30 日,國家互聯網信息辦公室就《個人信息出境標準合同規定(征求意見稿)》公開征求意見;7 月 7 日,國家互聯網信息辦公室公布《數據出境安全評估辦法》并自 2022 年 9 月 1 日起施行,由此揭開了我國數據出境制度整體建構的序幕。經過安全評估后出境和利用標準合同出境有著各自特殊的適用條件和應用場景,而個人信息保護認證作為并列的法定出境機制之一,能夠和前兩者產生有效的機制協調和銜接,共同助力數據跨境安全、自由流動。
第三,個人信息保護認證有助于加速建構接軌國際的數據出境機制。放眼全球,各大主要國家和地區紛紛針對數據跨境流動建立符合自身政策法規的相關認證機制:歐盟以《通用數據保護條例》(GDPR)為基礎確立個人數據跨境傳輸認證,盧森堡數據保護機關新近推出包含個人數據跨境傳輸場景的 GDPR-CARPA 認證機制,亞太經合組織(APEC)則在跨境數據流動領域引入 CBPR 認證制度,不一而足。以我國現行法律法規為依據、并比較借鑒域外權威認證機制而建立個人信息保護認證,一方面有利于全面、及時回應跨境數據治理的全球態勢,另一方面也有利于務實推動中國規則的國際化實現。
二、個人信息保護認證的突出實踐價值
在具體操作規則的設計層面,《安全認證規范》特別地從基本原則、個人信息處理者和境外接收方在跨境處理活動中應遵循的要求、個人信息主體權益保障等方面提出了要求,為認證機構實施個人信息保護認證提供跨境處理活動認證依據,也為個人信息處理者規范個人信息跨境處理活動提供參考,其本身還反映了個人信息保護認證所具有的突出實踐價值。
第一,個人信息保護認證是有關機構開展合規能力建設的有用指引。毋庸置疑,個人信息保護認證絕非一紙證明,其本質是一整套有關個人信息保護和利用的合規工具,它從制度規則、標準要求、技術運用和平臺工具等不同維度建構了各類機構應當全面遵循的業務準則和應當持續保持的能力水平。以《安全認證規范》為例,它突出了各方在個人信息跨境處理活動中應當堅持的合法、正當、必要和誠信等六大原則,強調了在法律協議、組織管理、跨境處理規則和保護影響評估等層面應當達到的合規要求,可謂是有關機構設計和完善自身運營流程的操作指南。
第二,個人信息保護認證是有關機構提升自身品牌形象的有力表征。歷史地看,認證制度的誕生是促進商品服務流通、加強公共利益保障和便利國際貿易開展的實際需要,而建立和傳遞特定的品牌信任更是其核心價值,進而更好地發揮認證在支撐監管落地和助推市場發展等不同層面的實踐作用。作為示例,《安全認證規范》特別針對個人信息主體的權益保障,明文規定了個人信息跨境處理活動中個人信息主體的具體權利內容,并明確了個人信息處理者和境外接收方對應的責任義務要求,實質上旨在為各利益相關方搭建高水平的信任基礎,切實以此為行為準繩,自然能夠讓各類機構在面對用戶社群、合作伙伴乃至監管機關時樹立穩健可信的品牌形象。
第三,個人信息保護認證是有關機構強化國際合作交流的有效途徑。圍繞個人信息的全面保護,從國家認證制度到區域認證制度再到未來全球認證制度的建立已是無可逆轉的大勢所趨。《安全認證規范》的出臺,意味著開啟了個人信息保護認證的建立與應用新征程,這無疑是為各類機構在日益復雜的國際地緣政治背景下擴大和深化國際合作往來打開了有效的對話交流通道,特別是通過以此為基礎持續探索和構建相關認證的國際互認生態,必將使得各類機構能夠更好、更便捷地利用國內國際兩大數據市場、兩種數據資源。
(本文刊登于《中國信息安全》雜志2022年第12期)
來源:中國信息安全