业务介绍丨数据安全认证咨询评估服务

本期主要介绍的是国家数据安全认证咨询服务： 数据安全管理(DSM)认证咨询评估服务 、 个人信息保护（PIP/PIPCB）认证咨询评估服务 和 APP安全认证咨询评估服务 三大国家数据安全认证咨询评估服务。

作为第三方规制的数据安全认证，可以有效克服市场与政府的“双重失灵”，实现数据安全保障和数字经济发展的平衡。数据安全认证已逐渐成为全球数据治理的重要手段。

国家法律法规政策层面对数据安全认证、检测和评估都做出了明确的要求：

《网络安全法》第二章网络安全支持与促进的第17条中明确提出：“国家推进网络安全社会化服务体系建设，鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务”。

《数据安全法》第二章数据安全与发展第18条第1款提出：“国家促进数据安全检测评估、认证等服务的发展，支持数据安全检测评估、认证等专业机构依法开展服务活动”。

《个人信息保护法》第38条将个人信息保护认证作为向境外提供个人信息的合法性条件之一，第62条要求“推进个人信息保护社会化服务体系建设，支持有关机构开展个人信息保护评估、认证服务”。

在具体实践中，这几年国家市场监督总局和国家互联网和信息化办公室联合下发了相关政策文件，为具体开展数据安全认证提供法规和政策依据：

2019年国家市场监管总局和中央网信办联合发布2019年第11号文——《关于开展App安全认证工作的公告》，旨在规范移动互联网应用程序（以下称App）收集、使用用户信息特别是个人信息的行为，加强个人信息安全保护。

2022年6月5日，国家市场监督管理总局和国家互联网信息办公室发布2022年第18号文——《关于开展数据安全管理认证工作的公告》，鼓励网络运营者通过认证方式规范网络数据处理活动，加强网络数据安全保护。

2022年11月18日，国家市场监督管理总局和国家互联网信息办公室联合颁发了2022年第37号文——《关于实施个人信息保护认证的公告》，贯彻落实了《中华人民共和国个人信息保护法》有关规定，规范个人信息处理活动，促进个人信息合理利用。这是国家建立个人信息保护认证制度的一个关键环节，进一步鼓励个人信息处理者通过认证方式提升个人信息保护能力。

基于对国家数据安全三认证的相关法律法规政策文件的研究，公司推出以数据安全认证为目标的数据安全评估咨询服务。

◆ 《网络安全法》

◆ 《数据安全法》

◆ 《个人信息保护法》

◆ 《消费者权益保护法》

◆ 《中华人民共和国认证认可条例》

◆ 国家市场监管总局-2019年第11号-《移动互联网应用程序（App）安全认证实施规则》

◆ 国家市场监管总局-2022年第18号-《数据安全管理认证实施规则》

◆ 国家市场监管总局-2022年第37号-《个人信息保护认证实施规则》

◆ 《GB/T 41479 信息安全技术 网络数据处理安全要求》

◆ 《GB /T 35273 信息安全技术 个人信息安全规范》

◆ 《TC260-PG-20222A个人信息跨境处理活动安全认证规范》

数据安全三认证共有

六大流程：认证委托、自查自测自改、技术验证、现场审核、结果评价和批准及获证后监督。由认证委托人、评估咨询机构、认证机构、技术验证机构共同完成。

咨询评估机构可协助认证委托人在认证委托阶段完善《认证委托资料》；在自查自测自改阶段根据《认证方案》协助客户开展自查自测自改；在技术验证阶段为认证委托人提供技术验证支撑；在现场审核阶段为认证委托人提供配合与支持；在获证后监督阶段协助认证委托人接受证后监督。

整个认证和评估咨询过程中，相关方相互配合的工作业务流程如下：

认证咨询评估服务可协助认证委托人高效率、高质量通过第三方专业数据安全认证评定。并能帮助认证委托单位发现和解决潜在的数据安全隐患，提高信息系统的数据安全保障。

根据数据安全认证机构颁发的认证标志，网络用户可以快速识别相关服务或产品的数据保护安全能力，所以，数据安全认证有助于提高委托单位数据服务和产品的数据安全能力的辨识度，可以让用户更高效、更准确地作出选择决定。