文│北京师范大学法学院博士生导师 吴沈括

2022 年 11 月 18 日,为贯彻落实《中华人民共和国个人信息保护法》有关规定,规范个人信息处理活动,促进个人信息合理利用,根据《中华人民共和国认证认可条例》,国家市场监督管理总局、国家互联网信息办公室发布《关于实施个人信息保护认证的公告》,决定实施个人信息保护认证,鼓励个人信息处理者通过认证方式提升个人信息保护能力,同时要求从事个人信息保护认证工作的认证机构经批准后开展有关认证活动,并按照《个人信息保护认证实施规则》实施认证。由此确立了我国首个关于个人信息保护认证的专项制度,引起了国内外实务和产业各界的广泛关注。

《个人信息保护认证实施规则》系统规定了个人信息保护认证的适用范围、认证依据、认证模式、认证实施程序、认证证书和认证标志等内容,明确对个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证的基本原则和要求。它的出台,一方面丰富完善了我国的数据认证认可体系,有助于推动建立更加科学合理的数据治理生态,另一方面也将《个人信息保护法》有关个人信息出境的制度规定予以细化和落实,有助于构建与国际接轨的数据跨境流动认证制度,为相关认证未来的国际互认奠定了基础。

需要指出的是,2022 年 6 月 24 日,全国信息安全标准化技术委员会公布《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》(以下简称:“《安全认证规范》”)。《网络安全标准实践指南》是全国信息安全标准化技术委员会秘书处组织制定和发布的标准相关技术文件,旨在围绕网络安全法律法规政策、标准、网络安全热点和事件等主题,宣传网络安全相关标准及知识,提供标准化实践指引。而《安全认证规范》是我国第一项有关个人信息保护认证的标准相关技术文件,其记载了认证机构对个人信息跨境处理活动进行个人信息保护认证的基本要求,在操作流程层面进一步明确了该情景下认证机制的适用情形、认证主体、基本原则、基本要求以及权益保障等诸多要素,反映了个人信息保护认证所具有的重大制度意义。

一、个人信息保护认证的重大制度意义

第一,个人信息保护认证是贯彻施行个人信息保护法的基础性抓手。众所周知,在我国法律体系下,个人信息保护认证的核心依据之一在于2021 年 11 月 1 日正式施行的《中华人民共和国个人信息保护法》,第三十八条第二款规定:“按照国家网信部门的规定经专业机构进行个人信息保护认证”。个人信息保护认证以及《安全认证规范》的推出正是落实个人信息保护法第三十八条制度要求的重要举措,及时填补了我国个人信息跨境提供制度的实施细则空白。

第二,个人信息保护认证能与个人信息出境其他机制形成系统配套。2022 年 6 月 30 日,国家互联网信息办公室就《个人信息出境标准合同规定(征求意见稿)》公开征求意见;7 月 7 日,国家互联网信息办公室公布《数据出境安全评估办法》并自 2022 年 9 月 1 日起施行,由此揭开了我国数据出境制度整体建构的序幕。经过安全评估后出境和利用标准合同出境有着各自特殊的适用条件和应用场景,而个人信息保护认证作为并列的法定出境机制之一,能够和前两者产生有效的机制协调和衔接,共同助力数据跨境安全、自由流动。

第三,个人信息保护认证有助于加速建构接轨国际的数据出境机制。放眼全球,各大主要国家和地区纷纷针对数据跨境流动建立符合自身政策法规的相关认证机制:欧盟以《通用数据保护条例》(GDPR)为基础确立个人数据跨境传输认证,卢森堡数据保护机关新近推出包含个人数据跨境传输场景的 GDPR-CARPA 认证机制,亚太经合组织(APEC)则在跨境数据流动领域引入 CBPR 认证制度,不一而足。以我国现行法律法规为依据、并比较借鉴域外权威认证机制而建立个人信息保护认证,一方面有利于全面、及时回应跨境数据治理的全球态势,另一方面也有利于务实推动中国规则的国际化实现。

二、个人信息保护认证的突出实践价值

在具体操作规则的设计层面,《安全认证规范》特别地从基本原则、个人信息处理者和境外接收方在跨境处理活动中应遵循的要求、个人信息主体权益保障等方面提出了要求,为认证机构实施个人信息保护认证提供跨境处理活动认证依据,也为个人信息处理者规范个人信息跨境处理活动提供参考,其本身还反映了个人信息保护认证所具有的突出实践价值。

第一,个人信息保护认证是有关机构开展合规能力建设的有用指引。毋庸置疑,个人信息保护认证绝非一纸证明,其本质是一整套有关个人信息保护和利用的合规工具,它从制度规则、标准要求、技术运用和平台工具等不同维度建构了各类机构应当全面遵循的业务准则和应当持续保持的能力水平。以《安全认证规范》为例,它突出了各方在个人信息跨境处理活动中应当坚持的合法、正当、必要和诚信等六大原则,强调了在法律协议、组织管理、跨境处理规则和保护影响评估等层面应当达到的合规要求,可谓是有关机构设计和完善自身运营流程的操作指南。

第二,个人信息保护认证是有关机构提升自身品牌形象的有力表征。历史地看,认证制度的诞生是促进商品服务流通、加强公共利益保障和便利国际贸易开展的实际需要,而建立和传递特定的品牌信任更是其核心价值,进而更好地发挥认证在支撑监管落地和助推市场发展等不同层面的实践作用。作为示例,《安全认证规范》特别针对个人信息主体的权益保障,明文规定了个人信息跨境处理活动中个人信息主体的具体权利内容,并明确了个人信息处理者和境外接收方对应的责任义务要求,实质上旨在为各利益相关方搭建高水平的信任基础,切实以此为行为准绳,自然能够让各类机构在面对用户社群、合作伙伴乃至监管机关时树立稳健可信的品牌形象。

第三,个人信息保护认证是有关机构强化国际合作交流的有效途径。围绕个人信息的全面保护,从国家认证制度到区域认证制度再到未来全球认证制度的建立已是无可逆转的大势所趋。《安全认证规范》的出台,意味着开启了个人信息保护认证的建立与应用新征程,这无疑是为各类机构在日益复杂的国际地缘政治背景下扩大和深化国际合作往来打开了有效的对话交流通道,特别是通过以此为基础持续探索和构建相关认证的国际互认生态,必将使得各类机构能够更好、更便捷地利用国内国际两大数据市场、两种数据资源。

(本文刊登于《中国信息安全》杂志2022年第12期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。