您现在的位置: 通信界 >> 运营动态 >> 新闻正文  
 
解密“个人信息保护认证”
[ 通信界 / 王梦欣 / www.cntxj.net / 2022/12/6 14:16:12 ]
 

2022年11月18日,市场监管总局、国家网信办发布公告,为落实《个人信息保护法》,决定实施个人信息保护认证并发布《个人信息保护认证实施规则》(下称“《认证规则》”),鼓励个人信息处理者通过认证方式提升个人信息保护能力。

这是两部门在数据安全认证领域的又一动作。

2019年3月15日,为规范App收集、使用用户信息,两部门曾根据《网络安全法》,决定开展App安全认证,并发布了《App安全认证实施规则》。

2022年6月,两部门根据《数据安全法》开启数据安全管理认证,鼓励网络运营者通过认证方式规范网络数据处理活动,加强网络数据安全保护,并公布了《数据安全管理认证实施规则》。

那么,新的《认证规则》有何作用?如何实施?又会给企业带来什么影响?

多位受访专家、律师、业界人士均对财经E法表示,个人信息保护认证在内的数据安全认证是企业证明自身在该领域合规水平的有效方式。

在制度建设角度,中国科技大学公共事务学院、网络空间安全学院教授左晓栋对财经E法指出,三份认证实施规则共同建立了数据安全认证制度的框架。“主管部门连续发布数据安全认证相关的公告,意味着一定会推动认证制度发挥更大的作用。”左晓栋说。

虽然《认证规则》尚未明确执行细则,但左晓栋认为,无论是何种数据安全认证,我国认证机构大概率会是同一家,即中国网络安全审查技术与认证中心。

值得关注的是,个人信息保护认证有两项准则,其一是国家推荐标准,其二是技术文件。北京师范大学法学院博士生导师、中国互联网协会研究中心副主任吴沈括称,“覆盖了非跨境和跨境的所有个人信息处理场景”。

细则仍待明确

认证认可制度是一种国内外通行的第三方评价制度,由具备专业能力的第三方机构依据标准和技术规范,对产品、服务或企业的管理体系、人员能力等做出评价,从而可供社会对评价结果进行采信。

《认证认可条例》第二条明确,“认证”是指由认证机构证明产品、服务、管理体系符合“相关技术规范、相关技术规范的强制性要求或者标准”的合格评定活动。

左晓栋表示,认证认可制度通过解决市场经济交易中的信息不对称问题,进而降低了交易费用,并保障有效市场竞争。在《数据安全法》《个人信息保护法》发布施行后,认证认可制度也成为重要的数据安全治理手段。

具体到“个人信息保护认证”,《个人信息保护法》第三十八条仅有一句话提及,“按照国家网信部门的规定经专业机构进行个人信息保护认证”,本次公布的《认证规则》明确并细化了如何认证,以及认证模式。

《认证规则》 规定了对个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证的基本原则和要求,认证模式为技术验证+现场审核+获证后监督。

根据《认证规则》,认证证书有效期为3年。如需延续使用,认证委托人应当在有效期届满前6个月内提出认证委托。认证机构应当采用获证后监督的方式,对符合认证要求的委托换发新证书。

但业界普遍认为,执行细节仍有待完善。

中国电子技术标准化研究院网络安全研究中心测评实验室副主任何延哲向财经E法表示,《认证规则》只是一个开始,还需完成一系列的后续工作。比如,目前,没有明确规定执行机构,需要花费的成本以及工作流程等。《认证规则》只是确立了认证是条可行路径, “未来,如果有了更加详细的实施细则,很多操作层面的问题将迎刃而解。”

上海锦天城律师事务所高级合伙人吴卫明也表示,《认证规则》还有诸多待完善的地方。比如并没有明确规定监管机构,也没有规定执行机构。“未来还应出台配套细则,明确规定执行机构的管理规则,以及应该承担的责任等内容。”

公开信息显示,中国网络安全审查技术与认证中心(下称“网安认证中心”)负责数据安全管理认证制度的具体建设和实施,同时,该中心也是App安全认证的实施机构。网安认证中心为国家市场监督管理总局直属正司局级事业单位。

左晓栋认为,无论是何种数据安全认证,认证机构大概率会是同一家,网安认证中心。这为认证机构联合开展不同的数据安全认证提供了可能,企业可以一次性打包向其提出认证申请。

对外经贸大学法学院副教授、数字经济与法律创新研究中心主任许可对财经E法称,实施《认证规则》的目的,一方面主要是通过社会治理,弥补监管不足;另一方面,也是为了推动《认证规则》所依据的国家标准和技术文件的落地。

网络数据安全企业安恒信息(688023.SH)首席标准研究员周亚超认为,《认证规则》是一种共同治理的策略,也即先由相关实体制定针对具体活动或行为的标准,同时这样的标准在一定程度上获得监管机构的认可,随后由组织在其内部实施落地。使用这种策略的原因是,在数字化转型的浪潮下,数据处理场景、数据类型多样,仅靠网络安全监管手段难以有效覆盖,需要鼓励多方参与,包括政府部门、监管机构、院校、数据运营者、网络服务提供者等。

周亚超分析说,《认证规则》中并未有强制性规定,而是采取自愿的原则,这已经提供了一个很好的共同治理的前提,让不同角色根据需要参与到网络安全和数据安全的治理中。在周亚超看来,这种“自证”的方式,是一条切实可行的路。“其重要价值在于,在监管中为创新留下空间,进而鼓励进一步的市场竞争。”

完善数据跨境的规则体系

让业界颇为关注的是,《认证规则》既包含了通用的个人信息保护认证制度,也建立了针对数据出境场景的个人信息出境认证制度。

据左晓栋介绍,申请个人信息保护认证的个人信息处理者应当符合国家推荐标准(GB/T 35273《信息安全技术个人信息安全规范》)的要求;但如果要在个人信息出境时采信认证结论,还必须符合技术文件(TC260-PG-20222A《个人信息跨境处理活动安全认证规范》)的要求。

何延哲认为,确立数据跨境的认证模式,是《认证规则》中的一个新的价值点。吴沈括也向财经E法表示,个人信息保护认证是对接国际主流实践、培育个人信息流转利用良性生态的重要举措。一方面,数据出境在法律层面有关于认证机制出境的制度设计,需要有配套的落地细则规范;另一方面是在原有的国家标准中,没有关于数据跨境的专门规定,因此需要通过前述技术文件来予以补充,形成制度的闭环。

左晓栋透露,TC260-PG-20222A《个人信息跨境处理活动安全认证规范》可能会被新的国家标准《信息安全技术个人信息跨境传输认证要求》所代替,权威性会进一步增强。

依据《个人信息保护法》,个人信息出境应当具备下列条件之一:(1)安全评估:通过网信部门组织的安全评估;(2)认证:按照网信部门规定经专业机构进行个人信息保护认证;(3)标准合同:按照网信部门制定的标准合同与境外接收方订立合同;(4)法律、行政法规或者国家网信部门规定的其他条件。也就是说,机构在个人信息出境时,除了选择安全评估和标准合同以外,还可以选择认证的方式进行个人信息出境。因而,数据跨境成为《认证规则》适用的重要场景之一。

根据海问律师事务所的解读,安全评估具有优先地位和国家安全站位;标准合同是一种无需审查、相对轻量级的跨境机制;而跨境认证由专业机构对个人信息处理者及境外接收方的数据保护水平进行审查,不仅可以作为跨境机制,亦可成为企业证明自身合规水平的有效方式。

适合哪些业务场景?

哪些机构和业务场景更适合做个人信息保护认证?

左晓栋认为,由于个人信息保护认证是第三方机构对企业个人信息保护的能力,给予的供社会广泛采信的背书,因此开展大量个人信息处理活动的企业或机构,以及业务受数据驱动明显的企业或机构,最适合做个人信息保护认证。他举例,即时通信、网盘、网约车、互联网医疗、互联网金融等服务,都是典型的拥有大量数据处理的业务场景,尤其是涉及到大量个人信息。开展类似业务的企业或机构就可以通过做个人信息保护认证,来获取用户信任,以更好地树立企业形象、保障业务可持续发展。

分类来看,涉及跨境的,TC260-PG-20222A《个人信息跨境处理活动安全认证规范》点出了跨境认证的典型适用场景:

其一,跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动(“集团内跨境”)。多位律师与业内人士对财经E法称,这类似于欧盟《通用数据保护条例》(简称“GDPR”)下的有约束力的行为准则(Binding Corporate Rules,简称“BCR”)模式。

其二,《个人信息保护法》第3条第2款规定的境外个人信息处理者分析、评估境内自然人的行为(“域外管辖”)。

而针对在境内,吴卫明也列举了三个具体场景。

首先,如果政府招标时要求具备个人信息保护认证的企业才能参与,认证过的企业就比没有认证过的企业拥有更多机会。

其次,若某企业帮金融机构做业务导流,不可避免地会把个人信息推给金融机构。金融机构需要知道这些个人信息是否合法,但又不能到一线去监督个人信息数据的产生过程,只能从流程或者内部控制上来评估所提供的数据是否安全。“此时,如果企业做了个人信息保护认证,那么它得到认可的可能性就会更大。”

最后,若某公司需要将软件开发或者系统开发的工作承包给乙方公司,有能证明个人信息保护能力资质的乙方公司,会让客户更放心。

企业应对路径

面对新的认证规则,企业该如何应对?

周亚超向财经E法透露,《认证规则》出台后,安恒信息已接到不少客户的咨询,包括适不适合做认证、怎么做认证,以及认证的价值等问题。周亚超发现,很多企业想通过认证来证明或提升自身的个人信息保护能力。此外,大型企业会比中小型企业意愿更强烈,因为认证是有成本的,不仅需要整改,且满足认证当中所规定的相关制度、技术以及和相应的安全措施,甚至还要配备专业人员等。

“这对于中小型企业来说可能负担较重。”周亚超说。

不过从企业角度,周亚超希望看到实际案例和激励措施落地。比如,企业如果做到了自证合规,并具备安全保障措施,但依然没有避免安全事件和风险,“是否能有一定程度的减轻或者豁免安全责任等?”

吴卫明认为,《认证规则》可以为产业界提供更明确的合规指导,同时也能带动个人信息安全咨询和相关合规工具的发展,进而推动建立更好的产业生态,并引导好的企业脱颖而出。“企业应该积极响应监管要求做到自证合规,“ 吴卫明说。“也会促进企业更好的发展”。

左晓栋援引数据出境安全的例子称,传统产品和服务解决不了企业的如下问题:如何证明实际出境的数据是合规的,没有境外业务是否会发生数据出境,以及如何监测出境数据等等。他指出,包括个人信息保护认证在内的数据安全评定将直接催生大量数据安全咨询需求,且各类机构亟需数据安全合规工具的支持,这都将成为企业新的业务增长点。

 

作者:王梦欣 合作媒体:《财经》新媒体 编辑:顾北

 

 

 
 热点新闻
普通新闻 快来获取你的世界杯独家记忆
普通新闻 起得早却跑得慢,爱奇艺的“奈飞梦”已到梦醒时分
普通新闻 国产高端手机,谁最有潜力挑战苹果?
普通新闻 靠“云”而飞的亚马逊,还能“飘”多久?
普通新闻 同程旅行:机票和火车票搜索量同比涨680%和540%,上海成最热门出发
普通新闻 搜狐张朝阳呼吁不要囤退烧药:我“阳”过,只消耗两粒布洛芬
普通新闻 苹果向你“征税”的时代,要结束了?
普通新闻 直播、造车、元宇宙,2022年的悲喜参不透
普通新闻 创新引领,中国信科C-V2X车联网成果备受业界瞩目
普通新闻 美英澳加四国发布关于电信供应商多元化的联合声明
普通新闻 OPPO将推第二颗自研芯片 做好芯片 在用户体验上形成优势
普通新闻 通信界观察:中兴四年生死路
普通新闻 台积电产能利用率在明年上半年预计降至80% 5nm/7nm都将下滑
普通新闻 高文:构建算力网络,还需克服算力封装和时延两大难题
普通新闻 联发科发布天玑移动芯片:采用4nm制程,支持5G全频段网络
普通新闻 台媒:台积电明年一季度营收可能环比下降10%-15%
普通新闻 中国移动董事长杨杰:聚力融合创新 共谱数智华章
普通新闻 iQOO11 国内安卓首发背景音过滤,人声更突显,通话更隐私
普通新闻 中国信科“C-V2X车联网关键技术突破与进展”荣获中国信息通信领域十
普通新闻 2022中国移动全球合作伙伴大会丨从技术创新到产业实践 中软国际与中
  版权与免责声明: ① 凡本网注明“合作媒体:通信界”的所有作品,版权均属于通信界,未经本网授权不得转载、摘编或利用其它方式使用。已经本网授权使用作品的,应在授权范围内使用,并注明“来源:通信界”。违反上述声明者,本网将追究其相关法律责任。 ② 凡本网注明“合作媒体:XXX(非通信界)”的作品,均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。 ③ 如因作品内容、版权和其它问题需要同本网联系的,请在一月内进行。
通信视界
新华三:云智原生 AD-NET构筑智能联接新底座
华为林永明:ADN 铺就高阶自智网络之路
普通对话 中国移动陈国:智慧中台对外输出数百项高价
普通对话 中兴通讯总裁徐子阳:数贯东西,融达天下,
普通对话 中国移动丁海煜:三大方向十大技术,5G-A赋
普通对话 英特尔王锐:中国战略是我们的全球战略之重
普通对话 新华三:云智原生 AD-NET构筑智能联接新底座
普通对话 华为林柏枫:联接升级,激发商业增长
普通对话 华为林永明:ADN 铺就高阶自智网络之路
普通对话 NVIDIA发力数字孪生:站在虚拟和现实之间
普通对话 韦乐平:网络深度转型最明确的方向首先就是
普通对话 中国工程院院士邬贺铨:6G标准面临小圈子风
普通对话 华为丁耘:绿色ICT,共创新价值
普通对话 爱立信中国区总裁方迎:将在中国市场重点做
普通对话 中国联通买彦州:广电5G商用对行业竞争格局
普通对话 中国联通陈忠岳:从“提速降费”向“提速提
普通对话 华为胡厚崑:5G+工业互联网 数据驱动是关键
通信前瞻
孟晚舟:“三大聚力”迎接数字化、智能化、低
北斗三号卫星低能离子能谱仪载荷研制成功
普通对话 孟晚舟:“三大聚力”迎接数字化、智能化、
普通对话 物联网设备在智能工作场所技术中的作用
普通对话 软银研发出以无人机探测灾害被埋者手机信号
普通对话 AI材料可自我学习并形成“肌肉记忆”
普通对话 北斗三号卫星低能离子能谱仪载荷研制成功
普通对话 为什么Wi-Fi6将成为未来物联网的关键?
普通对话 马斯克出现在推特总部 收购应该没有悬念了
普通对话 台积电澄清:未强迫员工休假或有任何无薪假
普通对话 新一代载人运载火箭发动机研制获重大突破
普通对话 多管齐下,VMware跨云服务助力企业云转型
普通对话 中国移动李慧镝:强化数智基建驱动 推进产业
普通对话 苏少林:打造北京数字经济“五强”,助力标
普通对话 中国科大在高安全量子密钥分发网络方面取得
普通对话 华为杨超斌:迈向5.5G持续创新,开启5G产业
普通对话 中国联通买彦州:加强创新力度,协同推进6G