精华观点 | DSG数安先锋行第四期：数据安全管理及个人信息保护认证制度、评估及实践主题沙龙 - 新鲜讯息

7月13日，由中关村网络安全与信息化产业联盟、中国网络安全产业联盟数据安全工作委员会指导，中关村网络安全与信息化产业联盟数据安全治理委员会主办，北京安华金和科技有限公司承办的“数安先锋行”系列沙龙活动——第四期“数据安全管理及个人信息保护认证制度、评估及实践”主题沙龙成功举办。

本期沙龙活动特邀中国网络安全审查技术与认证中心网络安全审查二部主任陈世翔，国家信息技术安全研究中心刘曦泽，中国电子技术标准化研究院徐羽佳，北京安华金和科技有限公司解决方案部总工钟强围绕认证制度及工作进展、认证技术验证要点等方向发表丰富观点，开启一场精彩纷呈的线上对话。出席本次沙龙的还有来自银行、证券、基金、期货、保险、医院、政务、运营商、能源、烟草、制药、汽车、教育等行业代表以及网信、卫健部门的专家150余人。

干货精选，先睹为快

中国网络安全审查技术与认证中心网络安全审查二部主任陈世翔

数据认证探索与实践

标准与认证是支撑法律法规落地实施的重要制度措施，近年来，《网络安全法》、《数据安全法》、《个人信息保护法》均明确了认证要求，这为开展数据安全管理认证和个人信息保护认证工作提供了政策法律支持。

数据安全管理认证制度为国推认证制度，认证依据标准为GB/T 41479《网络数据处理安全要求》。数据安全管理认证针对数据安全保护和管理的新特点、新需要，认证对象明确为数据处理活动。通过认证能够引导网络运营者以业务线为基本单元，识别、梳理数据处理活动涉及的数据和技术基础设施，根据具体场景的数据处理情况，进行风险分析，识别、制定和有效实施应采取的过程性程序和技术措施。从发挥基础制度作用的角度，实现支撑监管、服务发展的作用。通过认证可有效证明认证范围内数据处理活动满足标准法规要求，发挥合规引导作用，提升使用信心和市场竞争力。

个人信息保护认证的对象是个人信息处理者开展的个人信息处理活动，认证申请主体应为个人信息处理者，个人信息处理者应当符合 GB/T 35273《信息安全技术个人信息安全规范》的要求，对于开展个人信息跨境处理活动的个人信息处理者，还应满足跨境规范的要求。个人信息保护认证制度顶层设计层面也充分考虑了与数据出境安全评估和个人信息出境标准合同的衔接问题。通过认证便于落实政策法规要求，规范个人信息处理活动，发挥合规引导作用，便利国际贸易。

数据安全管理认证和个人信息保护认证制度可以起到以下三方面的作用:

一是发挥质量管理“体检证”作用。认证机构依据法律法规、标准规范，运用资质评审、合格评定、持续监督等手段，对企业机构的个人信息处理活动进行全方位评价，能够发现企业机构个人信息保护工作中存在的问题和不足，促进企业机构做出优化改进，进一步提升个人信息保护水平。

二是发挥数据流动“通行证”作用。认证是促进全球数据安全自由流动的重要手段，欧盟、经济合作与发展组织都将认证作为个人信息跨境传输的合法工具。建立完善个人信息保护认证制度，通过第三方认证的方式，证明企业机构具备良好个人信息保护水平，能够落实法律法规和遵守有关规则，有助于促进国际交流与合作，优化国际营商环境。

三是发挥市场经济“信用证”作用。认证本质是向个人、企业、政府等各方传递信任。在市场经济条件下，第三方权威认证有助于建立市场信任机制，引导市场优胜劣汰，正向激励企业机构改善数字产品和服务，促进数字经济健康发展。

如何深入推进两项认证制度实施

1）强化认证工作的统筹，推进认证制度实施，促进认证制度同其他制度有效衔接、加强认证结果采信。

2）切实加强能力建设，确保认证有效性。加强对技术验证、现场审核等方法研究；加强基础理论、基础评价方法等的研究；加强技术验证机构、审核员等机构人员的培训管理。

3）认证作为一项国际通行的做法，仍在不断丰富完善阶段，要积极跟踪国外认证制度进展，促进国际交流互动。

国家信息技术安全研究中心刘曦泽

个人信息保护认证评估实施要点

国家支持鼓励数据处理者通过认证方式提升个人信息保护能力，认证作为国际通行的市场监督管理的重要制度手段，将在落实《个人信息保护法》要求、支撑个人信息保护工作、促进个人信息合法有序利用等方面发挥重要作用。

个人信息处理者应当符合GB/T 35273《信息安全技术个人信息安全规范》的要求。对于开展跨境处理活动的个人信息处理者，还应当符合TC260-PG-20222A《个人信息跨境处理活动安全认证规范》的要求。依据以上制定了实施细则《个人信息保护认证评价规范》，共计500余项评价指标，规定采用技术验证+现场审核的认证模式。

个人信息保护认证适用的组织为个人信息处理者（申请方）存在收集处理个人信息的业务场景；认证的对象为个人信息处理活动；数据范围为直接通过用户收集的数据，通过第三方共享、受委托处理的个人信息；系统范围为运行数据处理活动的业务系统。认证评估的内容包含：收集处理合理合规、个人信息保护体系建设、用户权益保障、个人信息安全保护措施。认证申请的准备包括确定申请的业务、梳理个人信息清单目录、确认个人信息来源和出口、梳理业务活动中个人信息的处理方式、填报自评价材料。

数据出境适用场景

适用情形：

1. 跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动；

2. 分析、评估境内自然人的行为的跨境处理活动。

认证出境活动的要求：

数据处理双方应签订合法合规的合同协议，指定负责人和履行和监督协议执行的机构，明确数据处理规则，事前开展影响评估，保障个人单独同意、个人权益响应。

个人信息保护认证评估的实施能够促进安全体系建设、落实安全合规要求、并展示组织安全能力。

中国电子技术标准化研究院徐羽佳

数据安全管理认证技术验证要点分享

数据安全管理认证技术验证内容包含：GB/T 41479—2022《信息安全技术网络数据处理安全要求》中的第五章及附录A，内容覆盖数据安全处理技术要求（通则、收集、存储、使用、加工、传输、提供、公开、个人信息查阅/更正/删除及用户账号注销、投诉/举报受理处置、访问控制与审计、数据删除和匿名化处理等。）

开展技术验证工作的要点

技术验证的前期准备：

确认认证申请材料；准备工作模板；准备技术工具；与委托方对接；制定技术验证方案；其他准备工作。

充分了解认证对象：

双方对认证对象的范围达成共识；明确涉及的业务、系统、数据、处理活动；自评价情况确认。

技术验证开展过程中：

保密、廉洁等义务；明确工作机制及沟通机制；及时协调所需资源（人员、资料、验证条件等）；注重数据安全措施的落地实施效果验证。

现场工作结束前：

对技术验证结果达成共识；完成不符合项报告、待观察项报告；与现场审核组沟通结果；明确后续计划。

通用数据安全评估的依据包含：GB/T 41479-2022《信息安全技术网络数据处理安全要求》、GB/T 37988-2019《信息安全技术数据安全能力成熟度模型》、GB/T 39335-2020《信息安全技术个人信息安全影响评估指南》、《信息安全技术数据安全风险评估方法》、《网络安全标准实践指南—网络数据安全风险评估实施指引》、GB/T 35273-2020《个人信息安全规范》等。

特殊对象数据安全标准符合性评估可参考的标准包含：GB/T 41871—2022《汽车数据处理安全要求》、GB/T 37932 《数据交易服务安全要求》（修订中）、GB/T 41819-2022《信息安全技术人脸识别数据安全要求》、GB/T 41806-2022《信息安全技术基因识别数据安全要求》、GB/T 41773-2022《信息安全技术步态识别数据安全要求》、GB/T 41807-2022《信息安全技术声纹识别数据安全要求》、GB/T 42014-2022《信息安全技术网上购物服务数据安全要求》、GB/T 42012-2022《信息安全技术即时通信服务数据安全要求》、GB/T 42015-2022《信息安全技术网络支付服务数据安全要求》、GB/T 42017-2022《信息安全技术网络预约汽车服务数据安全要求》、GB/T 42016-2022《信息安全技术网络音视频服务数据安全要求》、GB/T 42013-2022《信息安全技术快递物流服务数据安全要求》等。

北京安华金和科技有限公司解决方案部总工钟强

数据安全管理及个人信息保护实践探索

从认证需求看数据安全工作的重点是搭建数据安全能力底座：包括开展数据安全风险自评估、进行数据分类分级、管理制度建设、加强技术措施等。

医疗行业数据安全实践

医疗数据安全建设面临数据安全管理制度不健全、数据处理场景中存在安全隐患等问题，亟需完善组织架构和制度流程，需加强数据分类分级、安全评估以及基于业务场景的技术措施。

在某医院的数据安全建设实践中，参考医疗相关分类分级指南，从个人信息、医疗健康数据两方面分别对数据进行数据字段及数据集合维度的分类分级，基于分类分级的结果，在诸如病历分析、科学研究、商保查询、煎药配送等数据使用流转过程中，通过对高敏感数据进行脱敏降级处理、用数审批、操作管控、行为监测、溯源分析等技术手段和流程制度，加强医院在各业务数据场景下的数据安全综合能力。

金融行业数据安全实践

金融行业数据安全呈现数据安全合规难度大、数据量大且分散、数据场景复杂等多重现状。金融数据安全组织保障需要业务部门、科技部门、数据管理部门、审计部门等做好多方协调工作。

某国有大行全行数据安全监测项目实践中，在场景梳理及安全风险评估方面，运维团队会对大量数据资产进行运维管控；在分类分级联动方面，则开展数据分类分级，并对敏感对象进行监测；在分类分级结果利用上，实现了敏感信息的监测管控；同时实现高敏数据查询等的监测管控。

企业数据跨境实践

如何快速鉴别数据、开展出境评估、做好个人信息跨境处理是当前企业数据跨境实践的主要挑战。企业面临向外跨境传输数据时，需进行事前评估，包含资产梳理、风险识别等，同时要持续监督数据出境情况变化，包括风险监测、分析溯源等，从而形成自评估报告。

在某跨国企业进行跨境访问境内数据的项目实践中，通过自动化工具快速识别个人信息；针对个人信息，开展个人信息使用场景的梳理、安全风险评估及全链路数据跨境传输的监测，根据梳理、评估、监测的实际情况制定技术评估报告；同时在跨境数据访问过程中实现对高敏感个人信息的脱敏、超权限管控及攻击防护措施。

“数安先锋行”系列沙龙将为产业界持续提供开放交流的平台，不断推动数据安全治理实践落地，围绕数据安全热点话题，分享前沿产品技术与解决方案，致力于成为以技术创新驱动产业发展，以行业实践夯实产业根基，聚焦技术成果和实践案例的分享交流平台，技术赋能，数治未来。

往期推荐