解读｜《个人信息保护认证实施规则》及其产业影响

根据国际标准化组织（ISO）和国际电工委员会（IEC）等国际组织公认的定义，认证是指由国家认可的认证机构提供书面保证，证明一个组织的产品、服务、管理体系符合相关标准、技术规范或特定要求的合格评定活动。

网络安全、数据安全和个人信息保护是当前我国网络安全工作的三个主要领域。此前，我国发布了一系列相关领域的认证，其中，网络安全领域认证包括：网络关键设备和网络安全专用产品安全认证、网络安全审计服务资质认证等；数据安全领域认证包括：数据安全管理认证、数据安全能力成熟度认证等；个人信息安全领域认证包括：移动互联网应用程序（App）安全认证、个人信息安全管理体系认证等。

本次个人信息保护认证工作的启动，进一步补充完善了个人信息安全管理领域的认证体系，对个人信息处理者提升自身个人信息保护能力提供了新的重要途径。

《认证规则》是落实《个人信息保护法》关于“支持有关机构开展个人信息保护评估、认证服务”相关规定的落地规范，对个人信息保护认证的认证对象、认证流程与合规要求等做出了体系化要求，具体内容分析如下。

《认证规则》明确了个人信息保护认证适用的主体与行为。一是适用主体，即个人信息保护认证的适用对象为“个人信息处理者”，该定义出自《个人信息保护法》“在个人信息处理活动中自主决定处理目的、处理方式的组织、个人”；二是适用行为，即个人信息保护认证的适用范围：“开展个人信息收集、存储、使用、加工、传输、提供、公开、删除”等处理活动；开展个人信息“跨境”处理活动。

《认证规则》对个人信息保护认证实施程序做出了详细规定，获得认证需经过“认证申请-资料审查-技术验证-现场审核-认证决定-获证后监督”等一系列环节。具体流程如下图所示。

在此，个人信息处理者需要重点关注获证后认证机构的持续监管。通过认证仅能代表认证时符合相关标准规范，并不能一劳永逸（《认证规则》第4.5.1规定，认证机构应当在认证有效期内，对获得认证的个人信息处理者进行持续监督，并合理确定监督频次）。个人信息处理者在通过个人信息保护认证后，还应进行必要的管理与技术投入，以确保“持续符合”各项监督评价要求。

针对个人信息保护的不同适用范围，《认证规则》明确了对应的认证依据。一方面，个人信息保护认证的主要依据是《信息安全技术 个人信息安全规范》（GB/T 35273）（以下简称《安全规范》），该标准于2020年10月1日正式实施，规定了“个人信息处理者在开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动应遵循的原则和安全要求”。另一方面，对于开展跨境处理活动的个人信息处理者，还应当遵循《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》（TC260-PG-20222A）（以下简称《认证规范》）。具体合规要求如下。

第一，个人信息处理全生命周期安全要求。主要包括收集、存储、使用、委托处理、共享、转让、公开披露等7类基本处理活动，具体内容见下表：

第二，个人信息安全事件处置要求。一是个人信息安全事件应急处置和报告，对个人信息控制者的要求包括：制定个人信息安全事件应急预案、至少每年一次组织内部相关人员进行应急响应培训和应急演练、根据应急响应预案进行处置等；二是个人信息安全事件告知，包括及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体等。

第三，个人信息安全管理要求。一是明确责任部门与人员，包括明确其法定代表人或主要负责人负全面领导责任、任命个人信息保护负责人和工作机构并为其提供必要的资源等；二是个人信息安全工程，保证在系统建设时对个人信息保护措施同步规划、同步建设和同步使用等；三是个人信息处理活动记录，内容包括所涉及个人信息的类型、数量、来源，个人信息的处理目的、使用场景等；四是开展个人信息安全影响评估，包括建立个人信息安全影响评估制度、形成个人信息安全影响评估报告等；五是数据安全能力，包括建立适当的数据安全能力，落实必要的管理和技术措施，防止个人信息的泄漏、损毁、丢失、篡改等；六是人员管理与培训，包括与相关人员签署保密协议、建立相应的内部制度和政策对员工提出个人信息保护的指引和要求、定期开展个人信息安全专业化培训和考核等；七是安全审计，包括对个人信息保护政策、相关规程和安全措施的有效性进行审计，建立自动化审计系统，防止非授权访问、篡改或删除审计记录等。

第四，个人信息跨境处理要求。主要包括四个方面：一是具有法律约束力的协议，个人信息处理者和境外接收方应签订具有法律约束力和可执行的文件，内容包括：个人信息处理者和境外接收方的基本信息、责任与义务，个人信息跨境处理的目的、范围、类型、敏感程度、数量等。二是组织管理，开展个人信息跨境处理活动的个人信息处理者和境外接收方均应指定个人信息保护负责人和设立个人信息保护机构等。三是个人信息跨境处理规则，开展个人信息跨境处理活动的处理者和境外接收方遵守统一的个人信息跨境处理规则等。四是个人信息保护影响评估，开展个人信息跨境活动的个人信息处理者事前评估向境外提供个人信息活动是否合法、正当、必要，所采取的保护措施是否与风险程度相适应并有效等。

《认证规则》是个人信息保护领域首个综合性认证规范，对个人信息保护认证提出了框架要求，某些细化要求则需通过后续相关实施细则进行具体明确，主要包括认证时限、持续监督的具体要求等。与此相应，《认证规则》明确规定了认证机构应当“细化认证实施程序，制定认证实施细则，并对外公布实施”。可见，对于上述未明确的问题，《认证规则》也对相关认证机构（尚未公布具体名单）给予了授权，后续认证实施细则值得期待。

一方面，在产业供给侧，《认证规则》将带动个人信息保护认证相关服务的发展。此前，国家市场监管总局委托中国网络安全审查技术与认证中心面向第三方机构和部分安全厂商开展“移动互联网应用程序（App）个人信息安全测试项目”能力验证计划，验证结果合格可作为申请“App安全认证”签约实验室的基本条件之一（《关于受理“移动互联网应用程序（App）安全认证”签约实验室申请的通知》）。由此我们推断个人信息保护认证领域也不排除组织开展类似专项计划的可能，并推进建立健全技术检测机构（或实验室）的准入机制，而这也将为个人信息保护认证检测服务行业带来新的业务增长点。

另一方面，在产业需求侧，《认证规则》将在一定程度上促进企业提高对个人信息保护落地的自觉性，主动构建和完善自身个人信息安全防护体系。可重点关注以下三方面工作：一是规范个人信息处理安全技术要求，明确个人信息收集、存储、使用、加工、传输、提供、公开，以及对个人信息查阅、更正、删除，访问控制与审计，数据删除和匿名化等方面要求。二是建立个人信息安全管理制度，包括设立个人信息保护责任人、加强信息系统建设与个人信息保护的“三同步”要求、明确人力资源保障与考核机制等。三是规范个人信息跨境处理活动，包括充分评估个人信息出境的必要性、与境外接收方签订相关法律文件、设立个人信息保护负责人和保护机构，并开展个人信息保护的影响评估等。