11月18日,国家市场监督管理总局(以下简称“市场监管总局”)、国家互联网信息办公室(以下简称“网信办”)联合发布《关于实施个人信息保护认证的公告》(以下简称“公告”),并同时公布附件《个人信息保护认证实施规则》(以下简称“认证规则”)。
本文重点关注认证规则的主要条款,并阐述我们的见解。
背景
《网络安全法》规定,国家推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。《数据安全法》也规定,国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。2022年6月,市场监管总局与网信办宣布将建立数据安全管理认证制度,并发布相关实施细则。
根据《个人信息保护法》的相关规定,网信办将协调相关部委,促进个人信息保护的评估和认证服务。2022年6月,全国信息安全标准化技术委员会(以下简称“信安标委”)发布了第一版《个人信息跨境处理活动安全认证规范》(TC260-PG-20222A)(“个人信息跨境认证指南”),并于12月更新了该指南。个人信息保护认证是国家进一步完善个人信息保护认证制度的一大举措。
主要条款与见解
I. 认证标准
个人信息处理者需要遵守《个人信息安全规范》(GB/T 35273)(“安全规范”),这是一套非强制性的数据保护国家标准,最初于2017年发布。信安标委于2020年3月更新了安全规范,但此后没有再发布任何更新。
由于最新版本的安全规范是在《个人信息保护法》颁布前一年发布的,安全规范中的一些条款与《个人信息保护法》中的条款不一致,例如个人信息处理者可以依据同意以外的其他合法性基础来处理个人信息。因此,当前版本的安全规范可能不适合作为个人信息保护认证的标准,申请认证的个人信息处理者会有违反《个人信息保护法》的风险。
认证规则中对个人信息处理者的相关规定似乎表明,《个人信息保护法》意义下的代表个人信息处理者处理个人信息的受托方将不能申请个人信息保护认证。此外,申请人只能就其以个人信息处理者身份进行的处理活动申请个人信息保护认证。目前尚未明确这是否是网信办的规范意图。
认证规则还要求出口个人信息的个人信息处理者遵守个人信息跨境认证指南,因此认证规则也适用于跨境传输个人信息的活动。
II. 认证实施程序
认证实施程序由四个步骤组成:
i. 申请:
a. 认证委托人应当向认证机构提交认证委托材料,包括认证委托人基本材料、认证委托书、相关证明文档等;
b. 认证机构在对认证委托资料审查后反馈是否受理;
c. 如果可以受理,认证机构应当根据认证委托资料确定认证方案并通知认证委托人,包括个人信息类型和数量、涉及的个人信息处理活动范围、技术验证机构信息等。
ii. 技术验证:技术验证机构应当按照认证方案实施技术验证,并向认证机构和认证委托人出具技术验证报告;
iii. 现场审核:认证机构实施现场审核,并向认证委托人出具现场审核报告;
iv. 评价与批准:认证机构将对符合认证要求的认证委托人颁发认证证书,对暂不符合认证要求的,可要求认证委托人限期整改。未在规定时间内整改的,可能导致认证申请失败。
认证规则没有详细规定认证材料和认证流程的内容,或技术验证和现场审核的范围,认证机构和技术验证机构的名单也尚未公布。
此外,在开始进行认证申请时,认证机构应当对上述认证各环节的时限作出明确规定,并确保相关工作按时限要求完成。然而,认证规则并没有对流程时间的长短提供任何指导。
个人信息保护认证一旦被批准,认证证书的有效期为三年。如果个人信息处理者需要更新认证,则必须在到期前6个月内进行申请。认证机构将通过获证后监督(详见下文第三部分)的方式对申请进行评估。
如果个人信息处理者的名称或注册地址、认证要求或认证范围发生变化,也必须申请更新其认证。认证机构将对该申请进行评估,必要时可进行技术验证和/或现场审核。
III. 获证后的监督
认证机构应当在个人信息处理者获得个人信息保护认证后,以进行综合评价的方式对获得认证的个人信息处理者进行持续监督。未能通过评价的,认证机构会根据相应情形作出暂停直至撤销认证证书的处理。
然而,认证规则并没有明确规定获证后程序的评估范围,特别是其是否仍将涉及技术核查或现场检查。
结论
个人信息保护认证制度向个人信息处理者提供了通过独立第三方机构的认证来评估自己个人信息保护水平的路径。认证规则建立了认证制度的基本框架,但目前仍缺乏在实践中落地的诸多关键细节。我们预计相应的实施细则将在2023年公布。
