首頁|必讀|視頻|專訪|運(yùn)營|制造|監(jiān)管|大數(shù)據(jù)|物聯(lián)網(wǎng)|量子|元宇宙|博客|特約記者
手機(jī)|互聯(lián)網(wǎng)|IT|5G|光通信|人工智能|云計(jì)算|芯片報(bào)告|智慧城市|移動(dòng)互聯(lián)網(wǎng)|會(huì)展
首頁 >> 監(jiān)管 >> 正文

解密“個(gè)人信息保護(hù)認(rèn)證”

2022年12月6日 08:15  《財(cái)經(jīng)》新媒體  作 者:王夢(mèng)欣

2022年11月18日,市場(chǎng)監(jiān)管總局、國家網(wǎng)信辦發(fā)布公告,為落實(shí)《個(gè)人信息保護(hù)法》,決定實(shí)施個(gè)人信息保護(hù)認(rèn)證并發(fā)布《個(gè)人信息保護(hù)認(rèn)證實(shí)施規(guī)則》(下稱“《認(rèn)證規(guī)則》”),鼓勵(lì)個(gè)人信息處理者通過認(rèn)證方式提升個(gè)人信息保護(hù)能力。

這是兩部門在數(shù)據(jù)安全認(rèn)證領(lǐng)域的又一動(dòng)作。

2019年3月15日,為規(guī)范App收集、使用用戶信息,兩部門曾根據(jù)《網(wǎng)絡(luò)安全法》,決定開展App安全認(rèn)證,并發(fā)布了《App安全認(rèn)證實(shí)施規(guī)則》。

2022年6月,兩部門根據(jù)《數(shù)據(jù)安全法》開啟數(shù)據(jù)安全管理認(rèn)證,鼓勵(lì)網(wǎng)絡(luò)運(yùn)營者通過認(rèn)證方式規(guī)范網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng),加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù),并公布了《數(shù)據(jù)安全管理認(rèn)證實(shí)施規(guī)則》。

那么,新的《認(rèn)證規(guī)則》有何作用?如何實(shí)施?又會(huì)給企業(yè)帶來什么影響?

多位受訪專家、律師、業(yè)界人士均對(duì)財(cái)經(jīng)E法表示,個(gè)人信息保護(hù)認(rèn)證在內(nèi)的數(shù)據(jù)安全認(rèn)證是企業(yè)證明自身在該領(lǐng)域合規(guī)水平的有效方式。

在制度建設(shè)角度,中國科技大學(xué)公共事務(wù)學(xué)院、網(wǎng)絡(luò)空間安全學(xué)院教授左曉棟對(duì)財(cái)經(jīng)E法指出,三份認(rèn)證實(shí)施規(guī)則共同建立了數(shù)據(jù)安全認(rèn)證制度的框架。“主管部門連續(xù)發(fā)布數(shù)據(jù)安全認(rèn)證相關(guān)的公告,意味著一定會(huì)推動(dòng)認(rèn)證制度發(fā)揮更大的作用!弊髸詶澱f。

雖然《認(rèn)證規(guī)則》尚未明確執(zhí)行細(xì)則,但左曉棟認(rèn)為,無論是何種數(shù)據(jù)安全認(rèn)證,我國認(rèn)證機(jī)構(gòu)大概率會(huì)是同一家,即中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心。

值得關(guān)注的是,個(gè)人信息保護(hù)認(rèn)證有兩項(xiàng)準(zhǔn)則,其一是國家推薦標(biāo)準(zhǔn),其二是技術(shù)文件。北京師范大學(xué)法學(xué)院博士生導(dǎo)師、中國互聯(lián)網(wǎng)協(xié)會(huì)研究中心副主任吳沈括稱,“覆蓋了非跨境和跨境的所有個(gè)人信息處理場(chǎng)景”。

細(xì)則仍待明確

認(rèn)證認(rèn)可制度是一種國內(nèi)外通行的第三方評(píng)價(jià)制度,由具備專業(yè)能力的第三方機(jī)構(gòu)依據(jù)標(biāo)準(zhǔn)和技術(shù)規(guī)范,對(duì)產(chǎn)品、服務(wù)或企業(yè)的管理體系、人員能力等做出評(píng)價(jià),從而可供社會(huì)對(duì)評(píng)價(jià)結(jié)果進(jìn)行采信。

《認(rèn)證認(rèn)可條例》第二條明確,“認(rèn)證”是指由認(rèn)證機(jī)構(gòu)證明產(chǎn)品、服務(wù)、管理體系符合“相關(guān)技術(shù)規(guī)范、相關(guān)技術(shù)規(guī)范的強(qiáng)制性要求或者標(biāo)準(zhǔn)”的合格評(píng)定活動(dòng)。

左曉棟表示,認(rèn)證認(rèn)可制度通過解決市場(chǎng)經(jīng)濟(jì)交易中的信息不對(duì)稱問題,進(jìn)而降低了交易費(fèi)用,并保障有效市場(chǎng)競(jìng)爭。在《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》發(fā)布施行后,認(rèn)證認(rèn)可制度也成為重要的數(shù)據(jù)安全治理手段。

具體到“個(gè)人信息保護(hù)認(rèn)證”,《個(gè)人信息保護(hù)法》第三十八條僅有一句話提及,“按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證”,本次公布的《認(rèn)證規(guī)則》明確并細(xì)化了如何認(rèn)證,以及認(rèn)證模式。

《認(rèn)證規(guī)則》 規(guī)定了對(duì)個(gè)人信息處理者開展個(gè)人信息收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除以及跨境等處理活動(dòng)進(jìn)行認(rèn)證的基本原則和要求,認(rèn)證模式為技術(shù)驗(yàn)證+現(xiàn)場(chǎng)審核+獲證后監(jiān)督。

根據(jù)《認(rèn)證規(guī)則》,認(rèn)證證書有效期為3年。如需延續(xù)使用,認(rèn)證委托人應(yīng)當(dāng)在有效期屆滿前6個(gè)月內(nèi)提出認(rèn)證委托。認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)采用獲證后監(jiān)督的方式,對(duì)符合認(rèn)證要求的委托換發(fā)新證書。

但業(yè)界普遍認(rèn)為,執(zhí)行細(xì)節(jié)仍有待完善。

中國電子技術(shù)標(biāo)準(zhǔn)化研究院網(wǎng)絡(luò)安全研究中心測(cè)評(píng)實(shí)驗(yàn)室副主任何延哲向財(cái)經(jīng)E法表示,《認(rèn)證規(guī)則》只是一個(gè)開始,還需完成一系列的后續(xù)工作。比如,目前,沒有明確規(guī)定執(zhí)行機(jī)構(gòu),需要花費(fèi)的成本以及工作流程等。《認(rèn)證規(guī)則》只是確立了認(rèn)證是條可行路徑, “未來,如果有了更加詳細(xì)的實(shí)施細(xì)則,很多操作層面的問題將迎刃而解。”

上海錦天城律師事務(wù)所高級(jí)合伙人吳衛(wèi)明也表示,《認(rèn)證規(guī)則》還有諸多待完善的地方。比如并沒有明確規(guī)定監(jiān)管機(jī)構(gòu),也沒有規(guī)定執(zhí)行機(jī)構(gòu)!拔磥磉應(yīng)出臺(tái)配套細(xì)則,明確規(guī)定執(zhí)行機(jī)構(gòu)的管理規(guī)則,以及應(yīng)該承擔(dān)的責(zé)任等內(nèi)容!

公開信息顯示,中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心(下稱“網(wǎng)安認(rèn)證中心”)負(fù)責(zé)數(shù)據(jù)安全管理認(rèn)證制度的具體建設(shè)和實(shí)施,同時(shí),該中心也是App安全認(rèn)證的實(shí)施機(jī)構(gòu)。網(wǎng)安認(rèn)證中心為國家市場(chǎng)監(jiān)督管理總局直屬正司局級(jí)事業(yè)單位。

左曉棟認(rèn)為,無論是何種數(shù)據(jù)安全認(rèn)證,認(rèn)證機(jī)構(gòu)大概率會(huì)是同一家,網(wǎng)安認(rèn)證中心。這為認(rèn)證機(jī)構(gòu)聯(lián)合開展不同的數(shù)據(jù)安全認(rèn)證提供了可能,企業(yè)可以一次性打包向其提出認(rèn)證申請(qǐng)。

對(duì)外經(jīng)貿(mào)大學(xué)法學(xué)院副教授、數(shù)字經(jīng)濟(jì)與法律創(chuàng)新研究中心主任許可對(duì)財(cái)經(jīng)E法稱,實(shí)施《認(rèn)證規(guī)則》的目的,一方面主要是通過社會(huì)治理,彌補(bǔ)監(jiān)管不足;另一方面,也是為了推動(dòng)《認(rèn)證規(guī)則》所依據(jù)的國家標(biāo)準(zhǔn)和技術(shù)文件的落地。

網(wǎng)絡(luò)數(shù)據(jù)安全企業(yè)安恒信息(688023.SH)首席標(biāo)準(zhǔn)研究員周亞超認(rèn)為,《認(rèn)證規(guī)則》是一種共同治理的策略,也即先由相關(guān)實(shí)體制定針對(duì)具體活動(dòng)或行為的標(biāo)準(zhǔn),同時(shí)這樣的標(biāo)準(zhǔn)在一定程度上獲得監(jiān)管機(jī)構(gòu)的認(rèn)可,隨后由組織在其內(nèi)部實(shí)施落地。使用這種策略的原因是,在數(shù)字化轉(zhuǎn)型的浪潮下,數(shù)據(jù)處理場(chǎng)景、數(shù)據(jù)類型多樣,僅靠網(wǎng)絡(luò)安全監(jiān)管手段難以有效覆蓋,需要鼓勵(lì)多方參與,包括政府部門、監(jiān)管機(jī)構(gòu)、院校、數(shù)據(jù)運(yùn)營者、網(wǎng)絡(luò)服務(wù)提供者等。

周亞超分析說,《認(rèn)證規(guī)則》中并未有強(qiáng)制性規(guī)定,而是采取自愿的原則,這已經(jīng)提供了一個(gè)很好的共同治理的前提,讓不同角色根據(jù)需要參與到網(wǎng)絡(luò)安全和數(shù)據(jù)安全的治理中。在周亞超看來,這種“自證”的方式,是一條切實(shí)可行的路!捌渲匾獌r(jià)值在于,在監(jiān)管中為創(chuàng)新留下空間,進(jìn)而鼓勵(lì)進(jìn)一步的市場(chǎng)競(jìng)爭!

完善數(shù)據(jù)跨境的規(guī)則體系

讓業(yè)界頗為關(guān)注的是,《認(rèn)證規(guī)則》既包含了通用的個(gè)人信息保護(hù)認(rèn)證制度,也建立了針對(duì)數(shù)據(jù)出境場(chǎng)景的個(gè)人信息出境認(rèn)證制度。

據(jù)左曉棟介紹,申請(qǐng)個(gè)人信息保護(hù)認(rèn)證的個(gè)人信息處理者應(yīng)當(dāng)符合國家推薦標(biāo)準(zhǔn)(GB/T 35273《信息安全技術(shù)個(gè)人信息安全規(guī)范》)的要求;但如果要在個(gè)人信息出境時(shí)采信認(rèn)證結(jié)論,還必須符合技術(shù)文件(TC260-PG-20222A《個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范》)的要求。

何延哲認(rèn)為,確立數(shù)據(jù)跨境的認(rèn)證模式,是《認(rèn)證規(guī)則》中的一個(gè)新的價(jià)值點(diǎn)。吳沈括也向財(cái)經(jīng)E法表示,個(gè)人信息保護(hù)認(rèn)證是對(duì)接國際主流實(shí)踐、培育個(gè)人信息流轉(zhuǎn)利用良性生態(tài)的重要舉措。一方面,數(shù)據(jù)出境在法律層面有關(guān)于認(rèn)證機(jī)制出境的制度設(shè)計(jì),需要有配套的落地細(xì)則規(guī)范;另一方面是在原有的國家標(biāo)準(zhǔn)中,沒有關(guān)于數(shù)據(jù)跨境的專門規(guī)定,因此需要通過前述技術(shù)文件來予以補(bǔ)充,形成制度的閉環(huán)。

左曉棟透露,TC260-PG-20222A《個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范》可能會(huì)被新的國家標(biāo)準(zhǔn)《信息安全技術(shù)個(gè)人信息跨境傳輸認(rèn)證要求》所代替,權(quán)威性會(huì)進(jìn)一步增強(qiáng)。

依據(jù)《個(gè)人信息保護(hù)法》,個(gè)人信息出境應(yīng)當(dāng)具備下列條件之一:(1)安全評(píng)估:通過網(wǎng)信部門組織的安全評(píng)估;(2)認(rèn)證:按照網(wǎng)信部門規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證;(3)標(biāo)準(zhǔn)合同:按照網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同;(4)法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件。也就是說,機(jī)構(gòu)在個(gè)人信息出境時(shí),除了選擇安全評(píng)估和標(biāo)準(zhǔn)合同以外,還可以選擇認(rèn)證的方式進(jìn)行個(gè)人信息出境。因而,數(shù)據(jù)跨境成為《認(rèn)證規(guī)則》適用的重要場(chǎng)景之一。

根據(jù)海問律師事務(wù)所的解讀,安全評(píng)估具有優(yōu)先地位和國家安全站位;標(biāo)準(zhǔn)合同是一種無需審查、相對(duì)輕量級(jí)的跨境機(jī)制;而跨境認(rèn)證由專業(yè)機(jī)構(gòu)對(duì)個(gè)人信息處理者及境外接收方的數(shù)據(jù)保護(hù)水平進(jìn)行審查,不僅可以作為跨境機(jī)制,亦可成為企業(yè)證明自身合規(guī)水平的有效方式。

適合哪些業(yè)務(wù)場(chǎng)景?

哪些機(jī)構(gòu)和業(yè)務(wù)場(chǎng)景更適合做個(gè)人信息保護(hù)認(rèn)證?

左曉棟認(rèn)為,由于個(gè)人信息保護(hù)認(rèn)證是第三方機(jī)構(gòu)對(duì)企業(yè)個(gè)人信息保護(hù)的能力,給予的供社會(huì)廣泛采信的背書,因此開展大量個(gè)人信息處理活動(dòng)的企業(yè)或機(jī)構(gòu),以及業(yè)務(wù)受數(shù)據(jù)驅(qū)動(dòng)明顯的企業(yè)或機(jī)構(gòu),最適合做個(gè)人信息保護(hù)認(rèn)證。他舉例,即時(shí)通信、網(wǎng)盤、網(wǎng)約車、互聯(lián)網(wǎng)醫(yī)療、互聯(lián)網(wǎng)金融等服務(wù),都是典型的擁有大量數(shù)據(jù)處理的業(yè)務(wù)場(chǎng)景,尤其是涉及到大量個(gè)人信息。開展類似業(yè)務(wù)的企業(yè)或機(jī)構(gòu)就可以通過做個(gè)人信息保護(hù)認(rèn)證,來獲取用戶信任,以更好地樹立企業(yè)形象、保障業(yè)務(wù)可持續(xù)發(fā)展。

分類來看,涉及跨境的,TC260-PG-20222A《個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范》點(diǎn)出了跨境認(rèn)證的典型適用場(chǎng)景:

其一,跨國公司或者同一經(jīng)濟(jì)、事業(yè)實(shí)體下屬子公司或關(guān)聯(lián)公司之間的個(gè)人信息跨境處理活動(dòng)(“集團(tuán)內(nèi)跨境”)。多位律師與業(yè)內(nèi)人士對(duì)財(cái)經(jīng)E法稱,這類似于歐盟《通用數(shù)據(jù)保護(hù)條例》(簡稱“GDPR”)下的有約束力的行為準(zhǔn)則(Binding Corporate Rules,簡稱“BCR”)模式。

其二,《個(gè)人信息保護(hù)法》第3條第2款規(guī)定的境外個(gè)人信息處理者分析、評(píng)估境內(nèi)自然人的行為(“域外管轄”)。

而針對(duì)在境內(nèi),吳衛(wèi)明也列舉了三個(gè)具體場(chǎng)景。

首先,如果政府招標(biāo)時(shí)要求具備個(gè)人信息保護(hù)認(rèn)證的企業(yè)才能參與,認(rèn)證過的企業(yè)就比沒有認(rèn)證過的企業(yè)擁有更多機(jī)會(huì)。

其次,若某企業(yè)幫金融機(jī)構(gòu)做業(yè)務(wù)導(dǎo)流,不可避免地會(huì)把個(gè)人信息推給金融機(jī)構(gòu)。金融機(jī)構(gòu)需要知道這些個(gè)人信息是否合法,但又不能到一線去監(jiān)督個(gè)人信息數(shù)據(jù)的產(chǎn)生過程,只能從流程或者內(nèi)部控制上來評(píng)估所提供的數(shù)據(jù)是否安全!按藭r(shí),如果企業(yè)做了個(gè)人信息保護(hù)認(rèn)證,那么它得到認(rèn)可的可能性就會(huì)更大!

最后,若某公司需要將軟件開發(fā)或者系統(tǒng)開發(fā)的工作承包給乙方公司,有能證明個(gè)人信息保護(hù)能力資質(zhì)的乙方公司,會(huì)讓客戶更放心。

企業(yè)應(yīng)對(duì)路徑

面對(duì)新的認(rèn)證規(guī)則,企業(yè)該如何應(yīng)對(duì)?

周亞超向財(cái)經(jīng)E法透露,《認(rèn)證規(guī)則》出臺(tái)后,安恒信息已接到不少客戶的咨詢,包括適不適合做認(rèn)證、怎么做認(rèn)證,以及認(rèn)證的價(jià)值等問題。周亞超發(fā)現(xiàn),很多企業(yè)想通過認(rèn)證來證明或提升自身的個(gè)人信息保護(hù)能力。此外,大型企業(yè)會(huì)比中小型企業(yè)意愿更強(qiáng)烈,因?yàn)檎J(rèn)證是有成本的,不僅需要整改,且滿足認(rèn)證當(dāng)中所規(guī)定的相關(guān)制度、技術(shù)以及和相應(yīng)的安全措施,甚至還要配備專業(yè)人員等。

“這對(duì)于中小型企業(yè)來說可能負(fù)擔(dān)較重。”周亞超說。

不過從企業(yè)角度,周亞超希望看到實(shí)際案例和激勵(lì)措施落地。比如,企業(yè)如果做到了自證合規(guī),并具備安全保障措施,但依然沒有避免安全事件和風(fēng)險(xiǎn),“是否能有一定程度的減輕或者豁免安全責(zé)任等?”

吳衛(wèi)明認(rèn)為,《認(rèn)證規(guī)則》可以為產(chǎn)業(yè)界提供更明確的合規(guī)指導(dǎo),同時(shí)也能帶動(dòng)個(gè)人信息安全咨詢和相關(guān)合規(guī)工具的發(fā)展,進(jìn)而推動(dòng)建立更好的產(chǎn)業(yè)生態(tài),并引導(dǎo)好的企業(yè)脫穎而出!捌髽I(yè)應(yīng)該積極響應(yīng)監(jiān)管要求做到自證合規(guī),“ 吳衛(wèi)明說。“也會(huì)促進(jìn)企業(yè)更好的發(fā)展”。

左曉棟援引數(shù)據(jù)出境安全的例子稱,傳統(tǒng)產(chǎn)品和服務(wù)解決不了企業(yè)的如下問題:如何證明實(shí)際出境的數(shù)據(jù)是合規(guī)的,沒有境外業(yè)務(wù)是否會(huì)發(fā)生數(shù)據(jù)出境,以及如何監(jiān)測(cè)出境數(shù)據(jù)等等。他指出,包括個(gè)人信息保護(hù)認(rèn)證在內(nèi)的數(shù)據(jù)安全評(píng)定將直接催生大量數(shù)據(jù)安全咨詢需求,且各類機(jī)構(gòu)亟需數(shù)據(jù)安全合規(guī)工具的支持,這都將成為企業(yè)新的業(yè)務(wù)增長點(diǎn)。

編 輯:路金娣
聲明:刊載本文目的在于傳播更多行業(yè)信息,本站只提供參考并不構(gòu)成任何投資及應(yīng)用建議。如網(wǎng)站內(nèi)容涉及作品版權(quán)和其它問題,請(qǐng)?jiān)?0日內(nèi)與本網(wǎng)聯(lián)系,我們將在第一時(shí)間刪除內(nèi)容。本站聯(lián)系電話為86-010-87765777,郵件后綴為#cctime.com,冒充本站員工以任何其他聯(lián)系方式,進(jìn)行的“內(nèi)容核實(shí)”、“商務(wù)聯(lián)系”等行為,均不能代表本站。本站擁有對(duì)此聲明的最終解釋權(quán)。
相關(guān)新聞              
 
人物
工信部張?jiān)泼鳎捍蟛糠謬倚聞澐至酥蓄l段6G頻譜資源
精彩專題
專題丨“汛”速出動(dòng) 共筑信息保障堤壩
2023MWC上海世界移動(dòng)通信大會(huì)
中國5G商用四周年
2023年中國國際信息通信展覽會(huì)
CCTIME推薦
關(guān)于我們 | 廣告報(bào)價(jià) | 聯(lián)系我們 | 隱私聲明 | 本站地圖
CCTIME飛象網(wǎng) CopyRight © 2007-2024 By CCTIME.COM
京ICP備08004280號(hào)-1  電信與信息服務(wù)業(yè)務(wù)經(jīng)營許可證080234號(hào) 京公網(wǎng)安備110105000771號(hào)
公司名稱: 北京飛象互動(dòng)文化傳媒有限公司
未經(jīng)書面許可,禁止轉(zhuǎn)載、摘編、復(fù)制、鏡像