小贝案语

■ 一段时间以来,国家网信部门先后发布了关于数据安全管理认证、个人信息出境标准合同(征求意见稿)、数据出境安全评估的文件,全国信息安全标准化技术委员会秘书处还发布了个人信息跨境处理活动安全认证规范。今天又来了一个《关于实施个人信息保护认证的公告》,看着是不是有点儿晕。

有一个词叫做“知识障”。大意是说,一个人知道的越多,反而会受到越多的牵绊。这个时候,要做的不是抛弃知识,而是突破这个层面,由量变到质变达到新境界。古话说“把厚书读薄”也大抵是这个意思。为什么会这样呢?因为当零碎分散的知识聚集后,如何抓住知识之间的关系就成为了大问题。今天,小贝说安全从读者角度理出了20个关于数据出境政策的相关问题,努力澄清复杂事物之间的关系。

大千世界,唯有断惑,方能证真。

一、《个人信息保护认证实施规则》是个什么性质的文件?

今天,国家互联网信息办官网发布了《关于实施个人信息保护认证的公告》。公告同时给出了《个人信息保护认证实施规则》,这是国家建立个人信息保护认证制度的一个关键环节。

根据《中华人民共和国认证认可条例》(2020年修订)第十七条,认证机构应当按照认证基本规范、认证规则从事认证活动。认证基本规范、认证规则由国务院认证认可监督管理部门制定;涉及国务院有关部门职责的,国务院认证认可监督管理部门应当会同国务院有关部门制定。

为什么要这么规定呢?这是因为,认证的基本作用是为社会提供可被采信的第三方“背书”,故只要开展法定认证,必须明确认证范围、认证依据、认证模式、认证流程、证书标志等重要事项。且这些事项需经官方批准,这是认证严肃性的基础保障,也是官方对认证活动进行监管的重要手段,故需要由国务院认证认可监督管理部门制定认证基本规范和认证规则

但很多时候,认证事项涉及到国务院其他部门职责,如农产品、汽车产品、消防产品等,这时便需要国务院认证认可监督管理部门会同国务院有关部门共同制定认证基本规范和认证规则。一般而言,会以联合公告的形式发布,发文单位以国务院认证认可监督管理部门为首,使用的是国务院认证认可监督管理部门的文号。

《个人信息保护认证实施规则》即是根据上述条例规定,官方发布的个人信息保护认证制度的“认证规则”。由于数据安全涉及到国家网信部门主管事项,故该认证实施规则由国家市场监管总局和国家互联网信息办联合印发

需要指出,“国务院认证认可监督管理部门”原指国家认证认可监督管理委员会(国家认监委)。本轮机构改革前,国家认监委是原国家质检总局下属副部级事业单位。2018年3月,中共中央印发《深化党和国家机构改革方案》,组建国家市场监督管理总局。国家认证认可监督管理委员会、国家标准化管理委员会职责划入国家市场监督管理总局,对外保留牌子。2018年9月,中国机构编制网正式发布《国家市场监督管理总局职能配置、内设机构和人员编制规定》,原有国家认监委的相关业务职能由认证监督管理司和认可与检验检测监督管理司承担。

二、个人信息保护认证与个人信息出境是什么关系?

个人信息保护认证是一种独立的认证,其认证结果可被各类社会活动所采信。一个机构为了对外证明自己有保护个人信息安全的良好能力,便可以申请个人信息保护认证。

即,个人信息保护认证的结果有很多用途。用于个人信息出境场合只是其中一种,目的是证明数据出境活动满足了有关个人信息保护标准规范的要求。

换言之,个人信息保护认证是全集,个人信息出境认证是其中的子集,但其针对个人信息出境场景还有特殊要求,故精确说其属于“子集”+“补集”。

三、《个人信息保护认证实施规则》与《个人信息跨境处理活动安全认证规范》是什么关系?

前面说了,建立一项认证制度,必须有认证规则,且必须经过主管部门批准。但这还不够,《中华人民共和国认证认可条例》(2020年修订)第二条已经明确,“认证”是指由认证机构证明产品、服务、管理体系符合“相关技术规范相关技术规范的强制性要求或者标准”的合格评定活动。

即,除了由官方规定某项认证活动的基本规则外,还要明确该认证的技术依据。这个依据可以是标准,也可以是技术规范。一般而言,目前基本都依据标准,且多是国家标准或行业标准。如果标准一时半会儿还来不及制定,那也不是不可以,依据技术规范即可。但这个“技术规范”不能随便拿来一个就算数,总还是要有一个相对严谨、能够令人信服的编制过程。

《个人信息跨境处理活动安全认证规范》便是作为个人信息出境安全认证依据的“技术规范”。其身份是全国信息安全标准化技术委员会秘书处组织制定的“网络安全标准实践指南”。这类技术文件旨在围绕网络安全法律法规政策、标准、网络安全热点和事件等主题,宣传网络安全相关标准及知识,提供标准化实践指引。

当然,个人信息出境安全认证依据的“技术规范”不是必须要由全国信息安全标准化技术委员会秘书处组织制定和发布,但在没有国家标准的情况下,通过这种方式能保证该技术规范的科学性、严谨性、权威性。

不过这终究是权宜之计。为此,全国信息安全标准化技术委员会秘书处在今年3月公布的2022年度网络安全国标需求清单中,已经提出了国家标准《信息安全技术 个人信息跨境传输认证要求》的编制任务。目前,该标准已明确由中国网络安全审查技术与认证中心牵头组织编制。

至于个人信息跨境处理活动与个人信息跨境传输(出境)的异同,后文有述。

四、GB/T 35273《个人信息跨境处理活动安全认证规范》是什么关系?

《个人信息保护认证实施规则》指出:未开展跨境处理活动的个人信息处理者,应当符合GB/T 35273《信息安全技术 个人信息安全规范》的要求。开展跨境处理活动的个人信息处理者,还应当符合TC260-PG-20222A《个人信息跨境处理活动安全认证规范》的要求。

即,作为一项独立的认证,个人信息保护认证依据的是GB/T 35273《信息安全技术 个人信息安全规范》。但当开展这项认证的子集和补集——个人信息出境认证时,既要满足GB/T 35273的要求,还要满足《个人信息跨境处理活动安全认证规范》的要求。当然,前面说了,将来会用国标《信息安全技术 个人信息跨境传输认证要求》代替《个人信息跨境处理活动安全认证规范》。

一切事实都来自于以上的背景。所以完全不必从GB/T 35273是国标、《个人信息跨境处理活动安全认证规范》是技术文件的角度去看待两者的关系。两者的差别只是形式上的,在作为认证依据方面没有本质区别。

五、前不久发布的数据安全管理认证与本次的个人信息保护认证是什么关系?

6月9日,国家互联网信息办官网公布了《关于开展数据安全管理认证工作的公告》,宣布建立数据安全管理认证制度。其与本次的个人信息保护认证之间是包含关系、并列关系还是其他什么关系?

它们肯定不是包含关系,“数据安全管理认证”并不是“数据安全认证”的总称。但也不能简单说两者是并列关系。

最好从法定认证对象角度来看待这个问题。根据《中华人民共和国认证认可条例》,认证是指由认证机构证明“产品、服务、管理体系”符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。即,认证的法定对象一共就三种:产品、服务、管理体系。换言之,可以对一个产品发证书,也可以对开展的某种服务发证书(例如IT运维服务、灾备服务等),还可以对一个机构自身发证书(一般以管理能力来表征这个机构的能力)。

数据安全管理认证制度属于上面的第三种,用来证明该机构的数据安全管理能力符合有关标准的要求。这类似于ISO 9000质量体系认证、ISO 14000环境管理体系认证、ISO 27001信息安全管理体系认证,适合衡量一个机构(或机构的某个部门)在某方面的能力。

但能说个人信息保护认证对应于以上三种之一吗?

未必。从欧盟《通用数据保护条例》(GDPR)认证来看,对个人信息保护的认证可以适用于任何一种场景。例如,某机构提供数据脱敏服务,其可以为这种服务申请一张个人信息保护证书;某机构是产品供应方,其可以为产品申请一张符合“Privacy by design”的个人信息保护证书,证明其在产品设计生产时符合了将隐私保护天然置于产品设计之中的“Privacy by design”原则;该机构当然还可以为自身的管理体系申请一张个人信息保护证书,当前最有影响力的个人信息保护认证ISO 27701隐私信息管理体系认证便属于此类,其本来不隶属GDPR体系,但也源出欧洲,目前已经吸收了GDPR的要求。

因此,更宜把个人信息保护认证作为一种认证框架(而数据安全管理认证制度是一个具体制度)。其认证对象可以有多种,认证结果可以分别证明不同的事项。

也有人会疑问,对不同的对象,认证标准的所有条款都适用吗?当然不是。事实上,全世界的认证制度,都要求在证书上标注认证所依据的技术规范(标准),且还应注明相应认证对象是符合标准的全部条款还是部分条款,只是大家一般都选择全部满足而已。

这也为后续工作提出了一个课题:今后有必要为个人信息保护认证制度的多种使用模式作出进一步的细则规定。

六、数据安全相关的人员认证难道不是法定认证吗?现有的人员认证管理政策是什么?

很明确,法定认证就三种:产品、服务、管理体系。人员认证从来就不是法定认证。

这并不是说不允许搞人员认证,而是说开展人员认证不用遵循《中华人民共和国认证认可条例》的规定,不用经依法批准。这也是为什么国外有无数的人员类认证,国内的人员认证也多如牛毛的原因。甚至很多企业也面向自身产品、服务设置了进阶式的工程师认证,有的还成为了人才市场的金字招牌。这些都不受到限制。

但问题来了,如果不受到监管,那会不会乱套?实际上现在已经有了苗头。特别是,随着数据安全热度不断升温,数据安全方面的人才极度稀缺,各种数据安全认证、培训项目风起云涌,的确出现了发展无序、质量参差不齐、有时对政策解读偏差较大等情况。这需要用人单位在确定所采信的证书类型、受训人员在选择认证品牌时擦亮眼睛。

据了解,一段时间以来,国家网信部门已经在研究规范网络安全培训事宜,希望这个问题今后能够得到更好的解决。同时也要看到一点:法定的三种认证对象只是现阶段我国认证认可法律法规的规定。我国的认证制度是从国外引进的,国外没有对人员认证进行规范,不等于我国就不能规范。今天没有将其纳入认证监管,不等于明天就不纳入认证监管。

当前阶段,如果一定要列举的话,有两类数据安全人员证书值得推荐——这里并不比较它们是否一定比别的好,而是强调,这两类数据安全人员证书更加“根红苗正”。

一个是中国信息安全测评中心的CISP-PIP(注册信息安全专业人员个人信息保护)认证项目。中国信息安全测评中心原名中国信息安全产品测评认证中心,按照中央编办批准的职能开展信息安全人员认证(CISP),迄今已培训10万人,是我国在网络安全领域最权威、历史最悠久的人员认证证书。2019年,中国信息安全测评中心在CISP下设立了PIP项目,目前培训体系已经非常完善,涵盖了数据安全、个人信息保护领域的主要政策法规、重大制度和核心技术规范。

另一个是中国网络安全审查技术与认证中心的CCRC-PIP(信息安全保障人员认证个人信息保护)认证项目。在规划中国网络安全审查技术与认证中心的业务体系时,当时便考虑到,人员认证在我国有需求,除了三种法定认证外,国家级网络安全认证机构应当对人员认证制度进行探索,故其此后设立了信息安全保障人员认证项目,这项工作还上报了当时的国家认监委。2022年,根据形势发展,信息安全保障人员认证项目之下设立了PIP项目。

有一段时间,国外泊来的数据安全/隐私保护人员认证项目在国内受到热捧,这与国外较早开展这项活动、国内的数据安全人员认证项目空白有关。但这段空白期已经过去了,以国外的数据安全、个人信息保护法规政策体系来作为国内人才的主流知识体系,这是很不合适的,也不应该宣传,这不是与国外接轨与否的问题。

七、前几天征求意见的个人信息出境标准合同与本次的个人信息保护认证是什么关系?

6月30日,国家互联网信息办官网公布了《个人信息出境标准合同规定(征求意见稿)》。标准合同与个人信息出境认证是并列关系,同为个人信息出境的其中一种途径。

《个人信息保护法》第三十八条规定,个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:

(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;

(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;

(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;

(四)法律、行政法规或者国家网信部门规定的其他条件。

7月7日,国家互联网信息办官网公布的《数据出境安全评估办法》则具体给出了需要进行评估的数据出境情形:一是数据处理者向境外提供重要数据。二是关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息。三是自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息。四是国家网信部门规定的其他需要申报数据出境安全评估的情形。

即,如果不属于上述需要评估的情形,那么在实施个人信息出境时,既可选择个人信息保护认证途径,也可选择标准合同途径。具体如何选择并不强制,由数据出境方根据实际情况自行决定。

八、通过个人信息保护认证途径开展数据出境活动时还要签订合同,那么这个合同与个人信息出境标准合同是什么关系?岂不意味着前者比后者多了一道手续?

通过签署标准合同实施数据出境,这是全世界的惯例,经过实践证明是有效的。其核心思想是,合同模板要由监管机构严格限定,从而确保数据发送方和境外数据接收方的行为符合法律的规定和监管部门的意志。

而在不通过标准合同出境时,数据发送方和接收方依然还要签订合同。其基本原理是,数据出境后到了“别人的地盘”,本国法律难以约束,监管机构更不能跨境执法,为了防范数据出境风险,有必要通过数据发送方和接收方的合同,以民事关系来约束数据接收方履行数据保护义务。这实际上是在弥补监管部门“力有不逮”的缺憾。

在通过个人信息保护认证实施数据出境时,合同还有另一层目的:认证是一次性的、静态的,而出境可能是频繁发生的、动态的。一次的静态证明怎么可能为多次的动态行为作背书呢?显然不能依靠一张证书便可以放心让数据出境。这种情况下,数据发送方和接收方除了依然要遵守法律规定的义务外,还要承诺本次数据出境符合申请认证时所述的场景。在欧盟的制度设计中,这种承诺不仅要写到合同中,而且还有可能向认证机构和数据保护监管机构备案。

因此,不通过标准合同出境时,也依然需要在数据发送方和接收方之间签署合同。但这个合同没有必要搞得那么复杂,绝对不能搞成同标准合同一个样子。否则就会出现悖论。

更何况,“标准合同”模式也是有成本的,有时候成本还不低,可能达到数十万元。这更不可能要求其他途径下的数据发送方、接收方之间的合同搞成“标准合同”。

九、在数据出境的几种法定途径中,有没有难易之分?或者说,对几种法定途径的适用比例有没有预期?企业首选应当是什么?

这首先不是难易选择的问题,因为数据发送方在实施数据出境行为前,先要做必答题,然后才能做选择题。

《个人信息保护法》第三十八条的写法,很容易使人理解为,第一款下的四项条件是并列关系。实际上,这是《个人信息保护法》的瑕疵,其第一款第一项“依照本法第四十条的规定通过国家网信部门组织的安全评估”与其他各项不是并列关系。数据发送方应当首先判断,其出境数据是否符合需要评估的条件(前已述)。只有在不需要进行评估时,才轮得到其在认证、标准合同等途径中进行选择。

具体到究竟选择认证还是标准合同,这要看具体情况。在有的情况下,标准合同有优势,但也有不适用标准合同的情况。

实践中看,国外的数据出境以标准合同模式居多(不考虑双边协议等“绿色通道”情况的话),认证作为一种理论上的方式,实际上并无太多案例。但我国情况与国外有明显不同,《个人信息保护法》没有考虑跨国企业分支机构间传输数据的情况。这在国外一般通过“约束性企业合同”完成数据出境。目前尚未看到我国有修订或补充《个人信息保护法》第三十八条的意愿,这种情况下走认证还是走标准合同?需要企业从成本、境外接收方配合度等角度去考虑,现阶段还没有案例可供统计比例。

十、一些人认为,虽然法律给出了多种数据出境途径,但极低的评估条件门槛,导致企业事实上难以选择其他出境途径,是不是这样?

这种认识来自于对评估门槛中“100万”这一数量的担心。《数据出境安全评估办法》规定,处理100万人以上个人信息的数据处理者向境外提供个人信息时,需要进行安全评估。这里的“100万人”指的是累计,考虑到我国人口众多,企业很容易便达到这一门槛。所以有的人会认为,即使法律给出了多种数据出境途径,但并无太大意义,因为多数情况下还是首先落入了必须进行安全评估的区间,企业无从选择。

的确,“处理100万人以上个人信息的数据处理者”非常多,但这一定意味着企业的数据出境需要进行评估吗?

实际上,企业的数据完全可以不用通过《个人信息保护法》第三十八条第一款所列的4种途径进行出境。最近一段时间,连篇累牍的专家解读,都侧重于阐述现有文件的规定,是在文件的范畴内讨论问题,容易使读者忽视了在这些文件范畴之外,本身还有不用按照这些途径出境的数据。

一是既非个人信息又非重要数据的数据出境(国家秘密除外)。这些数据可自由出境。有人说,中国的数据出境安全管理制度太严格了,将会限制数字贸易。这个认识显然偏颇,因为还有大量的数据根本就是在没有任何前置条件下便可以出境的。即使是处理100万人以上个人信息的数据处理者,你出境数据中不含重要数据、个人信息,当然不用走评估、认证、标准合同等任何一种途径。事实上,有多少企业掌握重要数据呢?又有多少企业一定要向外传输个人信息呢?难道世界上只有这两类数据吗?

二是自然人因个人或者家庭事务需要对个人信息出境。这也可以自由出境,不用受到任何限制。《个人信息保护法》第三十八条虽然没有对这种数据出境情形进行豁免,但《个人信息保护法》第七十二条针对自然人因个人或者家庭事务处理个人信息的情况,对整部法的要求作了豁免,自然也包括数据出境场景,不需要在第三十八条中特意提及。这意味着,用户出国旅行时,如果订机票、宾馆等需要传输护照号,可自由实施。

三是我国签订了相关国际协议的情况。《个人信息保护法》第三十八条第二款指出,中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。即,如果将来有一天,我国签订的国际协议中对个人信息出境有规定,以协议为优先,这相当于“绿色通道”。这种情况下,也不用走评估、认证、标准合同等任何一种途径。

十一、什么是数据出境?如何准确把握?

需要指出,最近一段时间,人们讨论的其实不是“数据出境”,而是“需要规范的数据出境”。两者差异极大,因为数据出境场景太多,需要规范的数据出境只是其中一部分。物理上的数据出境很好理解,甚至我们访问国外互联网网站,也必然会发生数据出境,因为互联网通信中,TCP连接需要实施握手行为,不向外发送连接信息是无法完成通信的。但这类数据出境活动不需要进行规范。

7月7日,国家互联网信息办公室有关负责人就《数据出境安全评估办法》答记者问时指出,该办法所称数据出境活动主要包括:一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。二是数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。

准确把握这一概念的要点在于理解数据出境的风险。之所以建立数据出境安全管理制度,是因为数据出境会导致我国数据被其他国家的实体或人员所访问,从而带来不可控风险。并非数据不出境就没风险,而是要关注数据因出境而带来的特殊风险。由此,便可以理解国家互联网信息办公室有关负责人答记者问时提到的第二种场景:境内数据被境外访问。

以下情况常被问到是否属于数据出境:

一是,境内机构受委托处理境外数据,处理完后再传回境外。一般而言,这不属于需要规范的“数据出境”。一则,从概念上,这不属于《网络安全法》第三十七条所称的“境内运营”所“产生”和“收集”的数据。二则,这种场景下境内机构并不是“数据处理者”,而是“受委托处理者”。三则,所处理的数据来自境外,这种情况下数据出境一般不会影响境内用户利益和中国国家安全。但是,若处理过程涉及到使用国内敏感的数据处理算法,或处理过程有国内数据的参与,则数据再出境时依然需要受到规范。

二是,在境外的中国公民、机构访问境内数据。这种情况依然需要从风险角度去研判。此类数据访问会导致境内数据在境外落地,即使访问者是中国公民、机构,也不能防范数据在境外落地后被境外机构获得的风险,因而依然属于需要规范的数据出境行为。

三是,跨国公司内部中国雇员之间跨境共享数据。事实上,只要访问发起人位于境外,风险便会客观存在,与访问者国籍无必然关系,原理同前。故这种情况下的数据出境行为也要规范。

十二、为什么认证规范使用的是“个人信息跨境处理活动”而不是“个人信息出境”?

前面已提到,《个人信息跨境处理活动安全认证规范》是实施个人信息出境认证所依据的技术规范。但由于文件名使用的术语是“个人信息跨境处理活动”,因而引发了一些猜测。

首先说事实:11月8日,全国信息安全标准化技术委员会秘书处发布了《个人信息跨境处理活动安全认证规范V2.0(征求意见稿)》,删除了原来版本中的如下描述

本文件作为认证机构对个人信息跨境处理活动进行个人信息保护认证的基本要求,适用于以下情形:

a) 跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动;

b)《中华人民共和国个人信息保护法》第三条第二款适用的个人信息处理活动。

一些人曾因原文表述而认为,《个人信息跨境处理活动安全认证规范》对应的是《个人信息保护法》第三条规定的“在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动”。如果说,修改前的版本可能存在这样的歧义,那么现在这种歧义完全消除了。“个人信息跨境处理活动”与“个人信息出境”在字面上有区别,更多的来源于政策本身的更新原因,并无他意。

如果一定要深究,那只是表述方法的不同,将来会统一。当然,现有表述方法也可以解释得通,只是形式上没有完全一致而已。在“跨境处理”中,这里的“处理”并不是指“通过跨境来处理”,而是指“跨境”是一种数据处理行为;此外,“跨境”与“出境”没有特别区分,只有使用场合的不同。这项制度本来不涉及数据入境,所以我们的政策法规中往往使用“出境”;但国际上国与国之间对等讨论数据流动问题时,无法通过参照物定义“出”和“入”,这时候一般称“跨境”。两种用法都有。

前文曾提到,个人信息出境认证的技术规范将来会以国家标准《信息安全技术 个人信息跨境传输认证要求》为准。目前标准暂定名也使用的是“跨境”。

还要强调一点:《个人信息保护法》第三条第二款适用的“个人信息处理活动”本身并不是数据出境活动,其属于数据出境后的数据处理活动,只是发生在境外而已,与数据出境活动有因果关系但并非一回事。而且,导致境外机构有机会处理境内个人信息的数据出境行为有很多种可能的出境途径。针对这些不同的途径,该怎么管就怎么管,现有制度(评估、认证、标准合同等)完全可以解决。而且,正如前文所述,其中有很多数据出境场景是不需要规范的。如用户主动通过国外电子商务网站购物后留下了邮寄地址,这种场景下并无数据出境管理制度中的第三方“数据发送者”,但境外网站处理这类数据却属于《个人信息保护法》第三条第二款所述行为,要适用于《个人信息保护法》。归根结底,《个人信息保护法》第三条第二款强调的是域外效力问题,其关注点不在跨境,解决的也不是数据跨境风险。

那么,如果说《个人信息保护法》第三条第二款适用的个人信息处理活动不是数据跨境活动,难道就不可以管了吗?当然可以管,而且很有必要管。因循这一思路,倒的确可以对境外的数据处理活动进行认证,也完全可以编制一部类似于《境外处理境内个人信息安全认证规范》的技术文件。但问题在于,这份技术文件的重点应当是规范境外个人信息处理者的行为,而不在于关注数据出境本身。例如,没有必要对“个人信息处理者和境外接收方”之间的合同作要求。

十三、个人信息出境认证制度设计中,认证机构有没有必要、是否具备现实可能性对境外机构进行个人信息保护认证?

这是多数人所担心的,也的确是一个现实问题。有人提出,只要对境内的数据发送方认证便可以了,因为实在不方便对境外的接收方进行认证。

从个人信息出境认证制度的初衷看,最关键的是要对境外数据接收方进行认证,境内数据发送方反而好办。因此,个人信息出境认证制度决不能在这个问题上妥协,欧盟GDPR认证对此也有很明确的态度——如果希望使数据通过认证模式出境,必须对境外接收方进行认证。

当然,如果因为某些原因,始终不能完成对境外数据接收方的认证(最典型的是,境外数据接收方拒不配合),那就相当于宣告这种出境途径行不通,当事人应当考虑其他出境途径。

十四、数据安全认证到底分几种,以后还会有吗?怎么从中选择?

目前,我国已经建立了3种数据安全认证制度:App个人信息保护认证、数据安全管理认证、个人信息保护认证。

此外,政策还允许已有的认证制度在数据安全领域扩项,符合《中华人民共和国认证认可条例》规定的法定程序即可。例如,ISO 27701隐私信息管理体系认证,便是将ISO 27001信息安全管理体系认证在个人信息保护领域进行扩充。

因此,理论上可以有很多种形式的数据安全认证。即使对于同一个法律规范下的GDPR认证,欧洲也认为可以有几十甚至上百种(数目如此庞大也与GDPR认证分为国家级、区域级、欧盟级有关)。不排除今后我国还会设立新的数据安全认证制度。但在短时间内,主要存在的可能就是以上几种制度了,我国不会出现欧洲一样的数据安全认证“百花齐放”的局面。

这3种认证也不是简单的并列关系。例如,App个人信息保护认证实际上是个人信息保护认证的一种,当时因工作急需所以先行实施了。而个人信息出境认证本来也可以单独设立,只是同“个人信息保护认证”写到了一起而已。

怎么选择适合自己的认证呢?可从以下几个方面去考虑:

一是看对象。要区分是产品、服务还是管理体系认证。

二是看目的。希望通过证书来证明何种能力?这种背书对企业会带来何种收益?

三是看业务。不同业务类型的企业,可能会对不同的认证有偏好。例如,在服务型企业和制造型企业之间,或在IT企业和传统企业之间,可能适用的数据安全证书便不一样。

十五、今后数据安全认证是否会有强制性认证?是否收费?

目前,我国的数据安全认证都是自愿性的。但鉴于数据安全的重要性,不排除未来我国会强制实施某些与数据安全有关的认证活动,特别是在产品认证领域。即,在强制性的《网络关键设备和网络安全专用产品目录》中,今后有必要加入数据安全产品。但这不会是一项新的制度,不宜称为独立的“数据安全强制性认证制度”,而是在已有的网络安全专用产品强制性认证制度中扩充某些产品类别而已。

数据安全认证无论是否属于强制,都收费。但收费标准是明确的,要受到监管和社会公开监督。

十六、既然个人信息保护认证要收费,而其他数据出境方式不收费,那申请这种认证有什么好处?

需要指出,不收费不等于没成本,时间成本也是成本。而且,为了准备签订有效的标准合同,所付出的时间、人力成本等也并非是小数目。

此外,认证制度相对于其他数据出境途径,也有其特殊的优势,尤其体现在“社会背书”这一方面。即使某机构不是为了数据出境,也可以申请个人信息保护认证,这将为其带来很多附加收益。

因此,这笔账要全面算。

十七、我一口气申请现有的各种数据安全认证,成本会节省吗?

理论上,成本会节省的,因为各种数据安全认证必然会有相同的关切点。

实践中,也一定会节省的,因为无论是何种数据安全认证,我国认证机构大概率会是同一家,即中国网络安全审查技术与认证中心。这为其联合开展不同的数据安全认证提供了可能,可以一次性打包向其提出认证申请。

当然,这需要认证机构再下些功夫,优化联合认证流程,确定可复用的证据项,并更精准地测算联合认证的人日成本。

十八、数据安全认证过程会涉及到测评吗?怎么实施?

认证不必然涉及测评,这与具体的认证事项有关。例如,数据安全产品类的认证需要工厂检查员到现场检查,这里的工厂检查员是认证机构直接聘用的,代表认证机构开展工作;但除此之外还需要检测机构对产品进行测试并向认证机构提交检测报告,这往往由专门的测评机构负责。然而,在传统的管理体系认证中,不需要测评机构参与,认证机构直接派出审核员到现场即可。

当然,这也与认证复杂性、专业性、工作量有关,并非一成不变。如数据安全管理认证便改变了原有的管理体系认证模式,增加了数据安全测评环节。

在个人信息保护认证中,一般也需要测评机构通过技术手段进行测试。

十九、我能申请成为数据安全认证制度中的认证或测评机构吗?

数据安全认证机构的数量应当受到严格限制,以防止出现恶性竞争——虽然我国认证认可监管制度要求建立竞争机制。这里面有一个基本逻辑:在认证认可制度设计上,认证机构本质上是中立第三方的角色;但就市场经济地位而言,其又是乙方,认证申请者反而是甲方。这里面本身有悖论,所以严格控制认证机构数量是必要的。

数据安全测评的工作量比较大,专业化程度高,机构数量可以适当放开,以更好满足社会需求和适应行业特点。

但无论是认证机构还是测评机构,不能既当裁判员又当运动员。有这方面意愿的机构应对此有充分考量。

当然,对各具体类型的数据安全认证而言,究竟需要批准多少家认证机构、测评机构?如何审批和管理?这需要官方制定专门政策。最近社会上有些传言,未必准确。

二十、如何看待产业界的机会?

《网络安全法》和《数据安全法》都提出,鼓励和支持检测、认证服务发展。总体上,这是利好消息。但应当秉持客观态度看待数据安全认证带来的产业机会,既不要夸大,也不要轻视。

不要夸大,是因为这是一项具体工作。认证制度虽然很重要,但也只是市场经济中经济社会治理的一种手段,不是全局性的顶层设计。

不要轻视,是因为随着行政管理体制改革的推进,认证结果会得到越来越多的采信。主管部门既然连续发布有关数据安全认证的公告,就一定会推动认证制度发挥更大的作用。毋庸讳言,前些年的一些涉网络安全认证搞得并不好,甚至很多有来头的权威机构绕过“认证”二字自行设立了很多评选、检测、认定项目,企业负担较重。数据安全领域目前也出现了这样的苗头,期待这个问题能在一开始得到规范治理。

数据安全认证肯定会催生新的业态,产业界应当为此做哪些准备?

首先,不要总盯着认证机构或测评机构的遴选,这类机构的数量十分有限,且并不符合很多数据安全、网络安全企业的角色定位,企业总不能因此不再当产品服务供应方了。

数据安全合格评定工作将直接催生大量数据安全咨询需求,且各类机构亟需数据安全合规工具的支持,这才是企业的新的业务增长点。例如在数据出境安全方面,企业如何证明实际出境的数据是合规的?没有境外业务就不会发生数据出境吗,如何监测出境数据?传统产品和服务解决不了这些问题。

当年ISO 27001认证兴起时,相应的咨询服务的确受到欢迎,但很快昙花一现,没有为产业带来利好。一是因为上百家认证机构恶性竞争,认证严肃性大为降低,生生搞成了“白菜价”;二是ISO 27001认证侧重信息安全管理体系文件,当一个单位用零成本拷贝一套word版本的体系文件就可以应付认证机构审核时,谁还愿意花钱请专业机构提供咨询服务呢?

数据安全则不同以往,不是一套体系文件就可以解决的。希望在主管部门统筹规划下,数据安全认证能真正实现稳健发展,也使数据安全、网络安全行业从中受益。

小贝结语

■ 这篇公号,小贝本想点到为止——毕竟很少有人会愿意看长文章。但我们总是不敢忘记自己的初心:凡谋有道,必得其所因,我们以专业性探究数据安全政策法规之“因”。引商刻羽,杂以流征,专业性始终是我们的底色,我们将永远坚定这一信念,以此回报亲爱的支持者们。

声明:本文来自小贝说安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。