专题·个人信息保护认证 | 认证机制强化个人信息保护，促进数据合规利用 - 新鲜讯息

扫码订阅《中国信息安全》

邮发代号 2-786

征订热线：010-82341063

文│中国网络安全审查技术与认证中心王凤娇

作为落实《网络安全法》《数据安全法》《个人信息保护法》有关要求的一项数据基础制度，继 2022年 6 月 9 日国家市场监督管理总局、国家互联网信息办公室联合印发《关于开展数据安全管理认证工作的公告》（2022 年第 18 号）后，2022年 11 月 4 日，国家市场监督管理总局、国家互联网信息办公室联合印发《关于个人信息保护认证工作的公告》，正式推出我国个人信息保护认证制度。公告的发布，在落实个人信息保护相关政策法规要求，完善数字治理制度体系建设、服务数字经济发展方面迈出了重要的一步，具有里程碑意义。

一、个人信息保护认证制度是落实法规要求，完善个人信息保护制度体系的一项基础制度

个人信息保护法对个人信息保护认证制度建设做出了明确要求。我国《个人信息保护法》第 38 条将“按照国家网信部门的规定经专业机构进行个人信息保护认证”作为个人信息跨境流动的合法途径之一，个人信息保护认证制度（以下简称“个保认证”）据此建立。但个保认证制度不仅为跨境情形而设立，其着眼于规范个人信息处理活动，保护个人信息主体权益，目的是证明个人信息处理者特定业务涉及的处理活动符合标准要求。个保认证以 GB/T35273《信息安全技术个人信息安全规范》标准为基础和通用评价要求，突出了重在落实政策法规要求、基线合规的特点。针对个人信息跨境处理这一特殊情形，增加了《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》的评价要求，也是适应当前国际上普遍认同的在数据跨境传输方面应坚持的基本原则和理念。目的是证明个人信息处理者跨境处理个人信息活动符合标准要求，以此保障公民个人信息安全和主体权益，促进数据的合规利用，紧扣《个人信息保护法》制定的核心考虑和初衷。

在全球范围内，标准与认证历来是落实政策法规要求的有效方式。在全球最严格的数据保护法规—欧盟《通用数据保护条例》（GDPR）下，认证机制仍然被作为帮助企业证明其符合法规/标准要求的重要手段而提出。正如欧盟指出的，认证的特点对于证明企业的个人信息处理活动符合标准要求有天然的优势，如认证要求的数据处理的文档化管理，做到一举一动都有据可查；认证要求的企业应当建立周密的制度安排，包括数据安全管理流程、泄露事故发现、上报预案等。通过认证，一方面可以提高数据处理行为的透明度，便于控制者和处理者展示其处理过程的合规性，使相关方能便捷地了解处理操作的数据保护水平，另一方面也可以作为数据跨境传输（转移至第三国或国际组织）的合法途径之一。

二、个人信息保护认证重在规范和引导，有利于传递信任、服务数字经济发展

认证认可作为国际通行的质量管理手段和符合世界贸易组织规则的技术性贸易措施，是市场有效运行的质量基础设施，在提高个人信息保护质量、促进数据安全有序流动和合理利用方面也必将发挥重要作用。

个人信息保护认证定位为国家推行的自愿性认证，以第三方认证的方式证明企业的个人信息处理活动（含跨境处理个人信息）符合法律法规和标准要求，相较于政府监管，更侧重于发挥规范和引导作用，具体表现在三个方面：

一是从国家层面来看，个保认证是国家政策法规和标准落地实施的重要抓手，以此促进个人信息保护基线水平的提升，对于保护公民个人权益、维护国家数据安全、加强数据安全治理和促进国家数字经济高质量发展可以起到重要支撑作用。

二是从平台和企业层面来看，通过认证，企业能够对自身个人信息处理情况进行细致的梳理和了解，对照政策法规和标准要求，找到差距和不足之处，以规范化、体系化的方式采取对应的方法和措施，形成合规证据，这个过程本身就是一个企业个人信息保护水平的自我提升过程，能有效地帮助企业减少因数据问题导致的损失，保障企业正常运行。同时，认证作为标准符合性证明的特点，重在规范和引导，为企业满足标准要求的方式留有选择和创新空间。此外，通过认证有利于提升企业的品牌形象、提升市场竞争力。特别是涉及跨境个人信息处理的企业，通过认证有利于个人信息处理者相关数据的安全有序流动，从而为企业创造和带来更大的价值。

同时，比制定制度、采取措施更重要的是有效运行制度、确保措施适宜，并在运行中不断完善。个保认证机制和模式的设计充分考虑了这一需求，技术验证和认证审核的过程对企业个人信息处理活动相关制度、措施的有效性、适宜性进行抽样验证、审核，通过持续监督、专项监督等方式对发现的问题及整改情况进行跟踪处理，可以起到督促完善的作用。

三是从用户/个人消费者方面来看，随着社会生活的网络化、数字化程度不断加深，个人的衣食住行对各类数字化产品、服务和平台依赖度也越来越高。但与此同时，个人信息被违规收集、使用、非法传输等情况屡见不鲜，造成了个人信息主体在选择和使用这些产品和服务时可能面临个人信息被违规处理的焦虑和担忧。个人信息保护认证可以为消费者采购/选择提供指引，便于选择和使用经过权威机构认证、相对有质量保障的企业提供的产品和服务，可以提升使用信心，降低个人信息权益被侵犯的风险。

三、个人信息保护认证是便利贸易的重要措施，有利于促进我国数字经济和数字治理与国际接轨

认证机制作为便利贸易的一种有效手段，对促进数字经济国际合作，积极参与全球数字治理进程能够起到重要支撑作用。个人信息跨境安全认证所依据的《个人信息跨境处理活动安全认证规范》以国际通行的合法、正当、必要、公开、透明、信息质量和责任明确原则等个人信息保护基本原则为核心，为个人信息跨境安全认证的国际互认和与国际接轨奠定了重要基础，为涉及跨境业务的企业实现合规要求提供了有效途径。

此外，相较于数据出境安全评估，个人信息跨境安全认证以公开、透明的程序和标准对跨境处理个人信息活动进行合规证明，偏向基线要求，认证结果可以为数据出境安全评估提供基础证据支持。相较于个人信息出境标准合同模板，认证也对境内发送方和境外接收方提出了签署具有法律效力合同的要求。更重要的是，认证通过专业技术机构验证、现场审核和获证后监督相结合的模式，以第三方证明的方式对个人信息跨境处理活动持续符合标准要求予以证明，覆盖更加全面、完整，更具有公信力。

（本文刊登于《中国信息安全》杂志2022年第12期）

《中国安全信息》杂志倾力推荐

“企业成长计划”

点击下图了解详情