今天和大家分享的是对刚刚公布的【关于实施个人信息保护认证的公告】的一点观察。

近年来,我国出台了不少关于个人信息保护的重要法律法规,特别是《个人信息保护法》于2021年11月1日生效,标志着我国系统性地明确了个人信息处理者开展个人信息处理活动时应当遵守的基线要求。那么个人信息处理者为对外展示自己符合这些基线要求时,除了保持没有被监管部门查处的记录之外,取得个人信息保护相关的认证,实际上能够提供更加直接、更加有力的证明。

按照《中华人民共和国认证认可条例》的规定,认证是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。近日由中央网信办和国家市场监管总局联合公布的《个人信息保护认证实施规则》,标志着我国《个人信息保护法》框架下个人信息保护认证工作的正式起航。其对个人信息处理者的个人信息保护水平的提升,具有十分重要的意义。

一、个人信息保护认证是一种共同治理手段

一般来说,对某个活动或者行为的监管,存在三种策略,分别是:(1)“命令和控制”,其一般以“如果-那么”的模式表述,表现形式为对具体的行为的法律规则;(2)国家规定的自我监管(也就是共同治理),其一般先由相关实体制定针对具体活动或行为的标准,同时这样的标准在一定程度上获得监管机构的认可,随后由组织在其内部实施落地;(3)社会或行业自律。

我国开展的个人信息保护认证,本质上属于共同治理的一种形式。类似的,GDPR第42条和第43条规定的数据保护认证机制、第40条和第41条规定的行为守则以及第46条和第47条规定的有约束力的公司规则,都属于此类共同治理的工具。这种共同治理的策略,一个重要的价值在于能在监管中为创新留下了空间,进而鼓励进一步市场竞争。其原因在于在共同治理策略中,监管对象既有规范的方向,又有足够的“发挥余地”以找到符合监管目标的最适合的解决方案,同时还可以考虑商业中数据处理场景的具体情况。在我国个人信息保护框架中,《个人信息安全规范》(GB/T-35273)就承担了符合《个人信息保护法》的一种适合的方案。

而共同治理的策略具有两方面的重要意义。首先,共同治理策略所提供的法律确定性可以对创新活动产生积极影响。虽然“命令与控制”的监管策略为企业应用法律提供了精确的指引,但在高度动态和创新的环境中,这种策略不可避免存在僵化、落后的风险。其次,这种共同治理策略可以为市场参与者(主要是消费者)发出个人信息保护程度的信号。一般来说,产品或服务创新的目标是使其具备特定的品质,并获得消费者的支持。就个人信息保护法而言,这意味着数据主体必须能够选择具有特定“个人信息保护品质”的产品或服务。但是,如果没有一个通用尺度来衡量个人信息保护水平,消费者就无法比较不同“个人信息保护质量”的产品或服务。原则上,共同治理策略可以为企业提供明确和标准化的衡量指标,从而使企业向消费者表明其个人信息保护的质量。

二、个人信息保护认证所对特定的信息处理活动具有较高的适用性

个人信息保护认证的模式,是结合技术验证、现场审核、获证后监督,因此其本质上非常适合于对重复、固定且基础性的个人信息处理活动。基于这个出发点,本部分简要提出个人信息境内处理和跨境流动中比较适合于个人信息保护认证制度的具体场景。

首先是看境内个人信息处理活动。笔者认为以下三类活动尤其适合取得个人信息保护认证。一是集团式的数据处理:一个集团公司下设很多分公司,分公司开展不同业务。这时候集团公司需要建立个统一的个人信息保护基线,分公司基于这个保护基线,再根据各自不同业务新增个人信息保护要求。此时,对于集团公司建立的个人信息保护基线,适合做个人信息保护认证。二是数据中台:与上述情况类似,只不过是一个公司内部有不同业务线。这些业务线会把数据融合至数据中台。此时,数据中台适合做个人信息保护认证。三是生态式的业务合作:例如平台上提供的各项服务基本是由固定的合作伙伴提供的,此时平台会与合作伙伴有固定的数据交互,这时候对于数据交互中涉及的数据处理,可以做个人信息保护认证。

其次看个人信息跨境流动。笔者认为以下两类情形尤其适合取得个人信息保护认证:一是集团公司内的跨境流动:类似于欧盟的有约束力的行为准则(Binding Corporate Rules)模式。为解决来自于欧盟的数据在一个集团内部且位于不同国家或地区的实体之间流转问题,该集团选择一实体向该实体所在国的数据保护当局提出申请,申请事项为:对该集团所实施的数据保护规则作出确认,其数据保护规则所提供的水平满足欧盟的法律法规要求。二是上述境内处理中三个具体场景中如果涉及到个人信息的跨境流动,也适合做个人信息保护认证。

三、简要的总结

总之,个人信息保护认证是我国个人信息保护工作的一个重要组成部分。其最核心的作用是在满足《个人信息保护法》的“底线要求”之上,对自愿性达到更高要求的企业提供一个能够获得监管部门一定程度认可的形式,并对外发出这样的正向信号。企业在考虑认证时,可以优先将重复、固定且对其他也有具有支撑性的基础信息处理活动作为对象,以为其产品或服务打下坚实的个人信息保护“地基”。(洪延青

声明:本文来自网安寻路人,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。