《個人資訊保護認證明施規則》釋出：建構與國際接軌的資料跨境流動認證制度

南方财經全媒體記者 李潤澤子 實習生 高藝 廣州報道

近日，為貫徹落實《中華人民共和國個人資訊保護法》有關規定，規範個人資訊處理活動，促進個人資訊合理利用，根據《中華人民共和國認證認可條例》，國家市場監督管理總局、國家網際網路資訊辦公室決定實施個人資訊保護認證，并釋出《個人資訊保護認證明施規則》（下稱《實施規則》），鼓勵個人資訊處理者通過認證方式提升個人資訊保護能力。

梳理發現，目前大陸資料安全認證制度的架構日漸完善，已經建立了App個人資訊保護認證、資料安全管理認證、個人資訊保護認證3種資料安全認證制度。

受訪專家告訴南方财經全媒體記者，《實施規則》是大陸史上首個關于個人資訊保護認證的專項制度，确立了個人資訊保護認證在大陸個人資訊保護法律體系當中的正式地位，同時《實施規則》的出台進一步完善了大陸資料安全認證認可制度，推動建立更加科學高效的資料安全治理體系。此外，專家指出《實施規則》将《個人資訊保護法》個人資訊出境的相關規定具體化和可操作化，意在建構與國際接軌的資料跨境流動認證制度，為未來相關認證的國際互認奠定基礎。

首個關于個人資訊保護認證的專項制度

此次釋出的《實施規則》明确了個人資訊保護認證的适用範圍、認證依據、認證模式、認證明施程式、認證證書和認證标志等内容，規定了對個人資訊處理者開展個人資訊收集、存儲、使用、加工、傳輸、提供、公開、删除以及跨境等處理活動進行認證的基本原則和要求。

根據《實施規則》，個人資訊保護認證的認證模式為：技術驗證+現場稽核+獲證後監督。認證明施程式為認證委托，技術驗證，現場稽核，認證結果評價和準許，獲證後監督和認證時限。而認證證書的有效期限是3年。

據了解，認證認可工作制度是一種國内外通行的第三方評價制度，由具備專業能力的第三方機構依據标準和技術規範，對産品、服務或企業的管理體系、人員能力等做出評價，是國家品質技術的其中一項基礎。

在資料安全方面，目前大陸已經建立了App個人資訊保護認證、資料安全管理認證和個人資訊保護認證3種認證制度。其中，資料安全管理認證工作同樣于今年展開，通過專門規定認證機構的認證模式、認證明施程式、認證證書和認證标志、認證責任等事項，實作對資料安全認證活動的規範管理。

據智聯出行研究院（ICMA）院長何姗姗介紹，移動網際網路應用程式(App)安全認證、資料安全管理認證和個人資訊保護認證共同構成了大陸目前資料安全認證制度的内容，但它們認證的事項不盡相同。

”移動網際網路應用程式(App)安全認證的認證對象是移動網際網路應用程式（App）的資料安全，資料安全管理認證的認證對象是企業的資料安全管理體系，個人資訊保護認證的認證對象較廣泛，包括産品、服務和管理體系三大類法定事項。“何姗姗進一步解釋。

但此次釋出的《實施規則》仍是大陸史上第一個關于個人資訊保護認證的專項制度。“《實施規則》确立了個人資訊保護認證在我們國家個人資訊保護法律體系當中的正式地位。”北京師範大學網際網路發展研究院院長助理、中國網際網路協會研究中心副主任吳沈括表示。

何姗姗則指出，《實施規則》的出台會進一步完善大陸資料安全認證認可制度，推動建立更加科學高效的資料安全治理體系。

與國際接軌

個人資訊跨境處理是《實施規則》的重要内容，在認證依據中就明确，對于開展跨境處理活動的個人資訊處理者，還應當符合TC260-PG-20222A《個人資訊跨境處理活動安全認證規範》的要求。

“《個人資訊保護法》規定個人資訊保護認證可以作為個人資訊出境的途徑之一，《實施規則》将其具體化，可操作化。”何姗姗表示，個人資訊保護認證可以用于多種場景，個人資訊出境是其中一個重要場景。當涉及出境事項時，個人資訊保護認證可以作為資料出境的一種途徑，這一點也被《個人資訊保護法》确認。

根據《個人資訊保護法》第38條，個人資訊處理者因業務等需要，确需向中華人民共和國境外提供個人資訊的，應當具備的條件之一便是按照國家網信部門的規定經專業機構進行個人資訊保護認證。

在上海彙業律師事務所律師史宇航看來，《實施規則》最重要的意義就在于确認了個人資訊出境場景下的個人資訊保護認證機制。這意味着機構在個人資訊出境時，除了選擇安全評估以外，還可以選擇認證的方式進行個人資訊出境。

“認證的制度意義，一方面是落實大陸個人資訊保護法的要求，特别是第38條的制度規定。另一方面，确立認證制度也有助于我們實作和國際通行做法的接軌以及協調。”吳沈括表示。

事實上，認證是全球個人資訊保護實踐當中的通行做法。吳沈括介紹，國際上常見的個人資訊保護相關認證包括歐盟的《通用資料保護條例》(GDPR)，與歐盟GDPR相關的eprivacy認證，美國的TRUSTe認證機制和亞太經濟合作組織APEC架構下的CBPR認證。

“相比較而言，我們國家的認證制度蘊含着主權監管的思路，強調與中國相關法律制度的比對性。”吳沈括表示，在國際協調的過程當中，需要通過進一步的合作和交流，實作中外認證機制的互認，方能確定認證制度可持續發展。

值得注意的是，何姗姗提示如果涉及個人資訊跨境處理，則仍需要符合《網絡安全标準實踐指南——個人資訊跨境處理活動安全認證規範》（下稱《認證規範》）。

據北京觀韬中茂（上海）律師事務所合夥人王渝偉介紹，該《認證規範》由全國資訊安全标準化技術委員會于今年6月釋出，系大陸首個在個人資訊保護認證方面的實踐指南，具有重要的實踐意義。

“國内對于個人資訊保護認證的實踐尚在探索之中。境外不少法域已經有較為成熟的類似制度。對境外個人資訊保護認證制度的對比研究有利于我們更好地了解和落地《個人資訊保護法》下個人資訊保護認證制度。另一方面，對于出海企業需要在境外進行個人資訊跨境活動的，因受到境外法律的限制，有必要對相關境外個人資訊保護認證制度予以關注。”他表示。

持續監督

南方财經全媒體記者觀察發現，此次《實施規則》是由國家市場監管總局和國家網際網路資訊辦聯合印發。對此，何姗姗解釋，可以看出個人資訊保護認證由國家市場監管總局和國家網際網路資訊辦公室共同監管。

實際上根據《個人資訊保護法》第62條，國家網信部門統籌協調有關部門依據本法推進下列個人資訊保護工作，其中就包括推進個人資訊保護社會化服務體系建設，支援有關機構開展個人資訊保護評估、認證服務。

“但認證并不是機構個人資訊保護能力的護身符。如果通過認證的機構違法處理個人資訊或侵害個人資訊權益，認證并不能成為免責事由，僅能作為個人資訊保護能力的證明材料。”史宇航表示。

而吳沈括則提到認證後的持續監督問題。“這是值得大家關注的一個重要制度設計，認證不是一次性的，要持續實作能力建設的監督。在這個意義上，未來我們國家的個人資訊保護，将沿着我們的法律制度設計和政策戰略要求，積極調動多方參與主體的主動性，構築共建、共享、共治的個人資訊保護生态。”

此外，需要指出的是此次《實施規則》的出台不僅是制度層面的完善，也可能推動産業界的變化。何姗姗認為，《實施規則》對個人資訊出境制度的完善為産業界提供更明确的合規指導，增強了大陸企業在全球數字經濟發展中的競争力，也可能催生大量的個人資訊安全咨詢需求和合規工具需求，推動相關行業發展。

更多内容請下載下傳21财經APP