2022年11月18日,市場監管總局、國家網信辦發布公告,為落實《個人信息保護法》,決定實施個人信息保護認證并發布《個人信息保護認證實施規則》(下稱“《認證規則》”),鼓勵個人信息處理者通過認證方式提升個人信息保護能力。
這是兩部門在數據安全認證領域的又一動作。
2019年3月15日,為規范App收集、使用用戶信息,兩部門曾根據《網絡安全法》,決定開展App安全認證,并發布了《App安全認證實施規則》。
2022年6月,兩部門根據《數據安全法》開啟數據安全管理認證,鼓勵網絡運營者通過認證方式規范網絡數據處理活動,加強網絡數據安全保護,并公布了《數據安全管理認證實施規則》。
那么,新的《認證規則》有何作用?如何實施?又會給企業帶來什么影響?
多位受訪專家、律師、業界人士均對財經E法表示,個人信息保護認證在內的數據安全認證是企業證明自身在該領域合規水平的有效方式。
在制度建設角度,中國科技大學公共事務學院、網絡空間安全學院教授左曉棟對財經E法指出,三份認證實施規則共同建立了數據安全認證制度的框架。“主管部門連續發布數據安全認證相關的公告,意味著一定會推動認證制度發揮更大的作用。”左曉棟說。
雖然《認證規則》尚未明確執行細則,但左曉棟認為,無論是何種數據安全認證,我國認證機構大概率會是同一家,即中國網絡安全審查技術與認證中心。
值得關注的是,個人信息保護認證有兩項準則,其一是國家推薦標準,其二是技術文件。北京師范大學法學院博士生導師、中國互聯網協會研究中心副主任吳沈括稱,“覆蓋了非跨境和跨境的所有個人信息處理場景”。
細則仍待明確
認證認可制度是一種國內外通行的第三方評價制度,由具備專業能力的第三方機構依據標準和技術規范,對產品、服務或企業的管理體系、人員能力等做出評價,從而可供社會對評價結果進行采信。
《認證認可條例》第二條明確,“認證”是指由認證機構證明產品、服務、管理體系符合“相關技術規范、相關技術規范的強制性要求或者標準”的合格評定活動。
左曉棟表示,認證認可制度通過解決市場經濟交易中的信息不對稱問題,進而降低了交易費用,并保障有效市場競爭。在《數據安全法》《個人信息保護法》發布施行后,認證認可制度也成為重要的數據安全治理手段。
具體到“個人信息保護認證”,《個人信息保護法》第三十八條僅有一句話提及,“按照國家網信部門的規定經專業機構進行個人信息保護認證”,本次公布的《認證規則》明確并細化了如何認證,以及認證模式。
《認證規則》 規定了對個人信息處理者開展個人信息收集、存儲、使用、加工、傳輸、提供、公開、刪除以及跨境等處理活動進行認證的基本原則和要求,認證模式為技術驗證+現場審核+獲證后監督。
根據《認證規則》,認證證書有效期為3年。如需延續使用,認證委托人應當在有效期屆滿前6個月內提出認證委托。認證機構應當采用獲證后監督的方式,對符合認證要求的委托換發新證書。
但業界普遍認為,執行細節仍有待完善。
中國電子技術標準化研究院網絡安全研究中心測評實驗室副主任何延哲向財經E法表示,《認證規則》只是一個開始,還需完成一系列的后續工作。比如,目前,沒有明確規定執行機構,需要花費的成本以及工作流程等。《認證規則》只是確立了認證是條可行路徑, “未來,如果有了更加詳細的實施細則,很多操作層面的問題將迎刃而解。”
上海錦天城律師事務所高級合伙人吳衛明也表示,《認證規則》還有諸多待完善的地方。比如并沒有明確規定監管機構,也沒有規定執行機構。“未來還應出臺配套細則,明確規定執行機構的管理規則,以及應該承擔的責任等內容。”
公開信息顯示,中國網絡安全審查技術與認證中心(下稱“網安認證中心”)負責數據安全管理認證制度的具體建設和實施,同時,該中心也是App安全認證的實施機構。網安認證中心為國家市場監督管理總局直屬正司局級事業單位。
左曉棟認為,無論是何種數據安全認證,認證機構大概率會是同一家,網安認證中心。這為認證機構聯合開展不同的數據安全認證提供了可能,企業可以一次性打包向其提出認證申請。
對外經貿大學法學院副教授、數字經濟與法律創新研究中心主任許可對財經E法稱,實施《認證規則》的目的,一方面主要是通過社會治理,彌補監管不足;另一方面,也是為了推動《認證規則》所依據的國家標準和技術文件的落地。
網絡數據安全企業安恒信息(688023.SH)首席標準研究員周亞超認為,《認證規則》是一種共同治理的策略,也即先由相關實體制定針對具體活動或行為的標準,同時這樣的標準在一定程度上獲得監管機構的認可,隨后由組織在其內部實施落地。使用這種策略的原因是,在數字化轉型的浪潮下,數據處理場景、數據類型多樣,僅靠網絡安全監管手段難以有效覆蓋,需要鼓勵多方參與,包括政府部門、監管機構、院校、數據運營者、網絡服務提供者等。
周亞超分析說,《認證規則》中并未有強制性規定,而是采取自愿的原則,這已經提供了一個很好的共同治理的前提,讓不同角色根據需要參與到網絡安全和數據安全的治理中。在周亞超看來,這種“自證”的方式,是一條切實可行的路。“其重要價值在于,在監管中為創新留下空間,進而鼓勵進一步的市場競爭。”
完善數據跨境的規則體系
讓業界頗為關注的是,《認證規則》既包含了通用的個人信息保護認證制度,也建立了針對數據出境場景的個人信息出境認證制度。
據左曉棟介紹,申請個人信息保護認證的個人信息處理者應當符合國家推薦標準(GB/T 35273《信息安全技術個人信息安全規范》)的要求;但如果要在個人信息出境時采信認證結論,還必須符合技術文件(TC260-PG-20222A《個人信息跨境處理活動安全認證規范》)的要求。
何延哲認為,確立數據跨境的認證模式,是《認證規則》中的一個新的價值點。吳沈括也向財經E法表示,個人信息保護認證是對接國際主流實踐、培育個人信息流轉利用良性生態的重要舉措。一方面,數據出境在法律層面有關于認證機制出境的制度設計,需要有配套的落地細則規范;另一方面是在原有的國家標準中,沒有關于數據跨境的專門規定,因此需要通過前述技術文件來予以補充,形成制度的閉環。
左曉棟透露,TC260-PG-20222A《個人信息跨境處理活動安全認證規范》可能會被新的國家標準《信息安全技術個人信息跨境傳輸認證要求》所代替,權威性會進一步增強。
依據《個人信息保護法》,個人信息出境應當具備下列條件之一:(1)安全評估:通過網信部門組織的安全評估;(2)認證:按照網信部門規定經專業機構進行個人信息保護認證;(3)標準合同:按照網信部門制定的標準合同與境外接收方訂立合同;(4)法律、行政法規或者國家網信部門規定的其他條件。也就是說,機構在個人信息出境時,除了選擇安全評估和標準合同以外,還可以選擇認證的方式進行個人信息出境。因而,數據跨境成為《認證規則》適用的重要場景之一。
根據海問律師事務所的解讀,安全評估具有優先地位和國家安全站位;標準合同是一種無需審查、相對輕量級的跨境機制;而跨境認證由專業機構對個人信息處理者及境外接收方的數據保護水平進行審查,不僅可以作為跨境機制,亦可成為企業證明自身合規水平的有效方式。
適合哪些業務場景?
哪些機構和業務場景更適合做個人信息保護認證?
左曉棟認為,由于個人信息保護認證是第三方機構對企業個人信息保護的能力,給予的供社會廣泛采信的背書,因此開展大量個人信息處理活動的企業或機構,以及業務受數據驅動明顯的企業或機構,最適合做個人信息保護認證。他舉例,即時通信、網盤、網約車、互聯網醫療、互聯網金融等服務,都是典型的擁有大量數據處理的業務場景,尤其是涉及到大量個人信息。開展類似業務的企業或機構就可以通過做個人信息保護認證,來獲取用戶信任,以更好地樹立企業形象、保障業務可持續發展。
分類來看,涉及跨境的,TC260-PG-20222A《個人信息跨境處理活動安全認證規范》點出了跨境認證的典型適用場景:
其一,跨國公司或者同一經濟、事業實體下屬子公司或關聯公司之間的個人信息跨境處理活動(“集團內跨境”)。多位律師與業內人士對財經E法稱,這類似于歐盟《通用數據保護條例》(簡稱“GDPR”)下的有約束力的行為準則(Binding Corporate Rules,簡稱“BCR”)模式。
其二,《個人信息保護法》第3條第2款規定的境外個人信息處理者分析、評估境內自然人的行為(“域外管轄”)。
而針對在境內,吳衛明也列舉了三個具體場景。
首先,如果政府招標時要求具備個人信息保護認證的企業才能參與,認證過的企業就比沒有認證過的企業擁有更多機會。
其次,若某企業幫金融機構做業務導流,不可避免地會把個人信息推給金融機構。金融機構需要知道這些個人信息是否合法,但又不能到一線去監督個人信息數據的產生過程,只能從流程或者內部控制上來評估所提供的數據是否安全。“此時,如果企業做了個人信息保護認證,那么它得到認可的可能性就會更大。”
最后,若某公司需要將軟件開發或者系統開發的工作承包給乙方公司,有能證明個人信息保護能力資質的乙方公司,會讓客戶更放心。
企業應對路徑
面對新的認證規則,企業該如何應對?
周亞超向財經E法透露,《認證規則》出臺后,安恒信息已接到不少客戶的咨詢,包括適不適合做認證、怎么做認證,以及認證的價值等問題。周亞超發現,很多企業想通過認證來證明或提升自身的個人信息保護能力。此外,大型企業會比中小型企業意愿更強烈,因為認證是有成本的,不僅需要整改,且滿足認證當中所規定的相關制度、技術以及和相應的安全措施,甚至還要配備專業人員等。
“這對于中小型企業來說可能負擔較重。”周亞超說。
不過從企業角度,周亞超希望看到實際案例和激勵措施落地。比如,企業如果做到了自證合規,并具備安全保障措施,但依然沒有避免安全事件和風險,“是否能有一定程度的減輕或者豁免安全責任等?”
吳衛明認為,《認證規則》可以為產業界提供更明確的合規指導,同時也能帶動個人信息安全咨詢和相關合規工具的發展,進而推動建立更好的產業生態,并引導好的企業脫穎而出。“企業應該積極響應監管要求做到自證合規,“ 吳衛明說。“也會促進企業更好的發展”。
左曉棟援引數據出境安全的例子稱,傳統產品和服務解決不了企業的如下問題:如何證明實際出境的數據是合規的,沒有境外業務是否會發生數據出境,以及如何監測出境數據等等。他指出,包括個人信息保護認證在內的數據安全評定將直接催生大量數據安全咨詢需求,且各類機構亟需數據安全合規工具的支持,這都將成為企業新的業務增長點。
