據國家市場監督管理總局官網公告,近日,國家市場監督管理總局、國家網際網路資訊辦公室決定實施個人資訊保護認證,鼓勵個人資訊處理者通過認證方式提升個人資訊保護能力。從事個人資訊保護認證工作的認證機構應當經準許後開展有關認證活動,并按照《個人資訊保護認證明施規則》(以下簡稱《規則》)實施認證。
為何要實施個人資訊保護認證?如何認證?具體規則包括哪些?一起來看——
01
個人資訊洩露事件頻發
落實法律法規刻不容緩
這樣的情況,想必大家并不陌生:當你下載下傳完一個新軟體并首次打開時,總會收到一條關于讀取某些資訊權限的提示,不知你是否認真思考過,應用方是否有權限搜集這些資訊資料?這些個人資訊又能否得到妥善“保管”?……資訊時代的高速發展,生活方式的更新疊代,使得衆多應用軟體應運而生。為追求更優的算法推薦、更好的個性化定制,這些應用的運作,往往需要海量個人資訊資料的加持。但是,若維護不力、保管不當或被不法分子入侵,便極易引發網絡安全事故,洩露個人資訊,危害使用者權益。
2018年,中國消費者協會曾釋出過一份《App個人資訊洩露情況調查報告》(以下簡稱《報告》)。《報告》稱,手機App過度采集個人資訊呈現普遍趨勢。且根據調查結果,手機App需要擷取的權限種類繁多,最突出的是擷取位置資訊和通路聯系人權限。而且,一些App還出現了在自身功能使用非必要的情況下擷取使用者隐私權限的問題,增加了個人資訊洩露的風險。
又如,2022年1月,公安部公布的2021年侵犯公民個人資訊犯罪十大典型案例之一的廣東公安機關破獲某公司非法擷取公民個人資訊實施詐騙案。廣東公安網安部門偵查查明,珠海某藝術品策劃公司從某App維護人員汪某處購買App在營運過程中擷取的古董持有人員個人資訊200萬餘條,以協助拍賣古董為名,騙取客戶服務費、托管費,非法牟利1.9億餘元。該公司員工邝某、黃某為謀取私利,将公司非法擷取的個人資訊向其他電信網絡詐騙團夥販賣。
再如,2022年7月21日,國家網際網路資訊辦公室依據《網絡安全法》《資料安全法》《個人資訊保護法》《行政處罰法》等法律法規,對滴滴全球股份有限公司處人民币80.26億元罰款。
02
規範個人資訊使用制度
促進企業參與數字競争
資料安全認證是大陸資料安全治理體系的重要組成部分。針對越來越多個人資訊被洩露、被販賣等市場亂象,2021年8月,大陸出台首部個人資訊保護方面的專門法律《中華人民共和國個人資訊保護法》(以下簡稱《個人資訊保護法》),并已于2021年11月1日起施行。《個人資訊保護法》與《中華人民共和國民法典》《中華人民共和國網絡安全法》《中華人民共和國資料安全法》《中華人民共和國電子商務法》《消費者權益保護法》等共同編織成一張消費者個人資訊“保護網”。
基于此,為貫徹落實《個人資訊保護法》有關規定,規範個人資訊處理活動,促進個人資訊合理利用,根據《中華人民共和國認證認可條例》,國家市場監督管理總局、國家網際網路資訊辦公室決定實施個人資訊保護認證,要求從事個人資訊保護認證工作的認證機構應當經準許後開展有關認證活動,并按照《個人資訊保護認證明施規則》實施認證。
此外,歐盟的GDPR(《通用資料保護條例》)作為全球公認的個人資訊保護标杆,本次《規則》也對其進行了參考。《個人資訊保護法》第三十八條指出,個人資訊處理者因業務等需要,确需向中華人民共和國境外提供個人資訊的,應當具備下列條件之一:(一)依照本法第四十條的規定通過國家網信部門組織的安全評估;(二)按照國家網信部門的規定經專業機構進行個人資訊保護認證……“條件(二)”明确,個人資訊保護認證可以作為資料出境的一種途徑,這與歐盟GDPR第四十二條規定一緻。是以,《規則》在避免個人資訊被過度采集、使用的同時,不僅提高了全社會的個人資訊保護意識,同時也進一步完善了大陸資料出境安全管理制度,有利于大陸企業參與到全球數字經濟的市場競争中去。
03
明确認證明施流程
規範認證證書及标志
《規則》規定了對個人資訊處理者開展個人資訊收集、存儲、使用、加工、傳輸、提供、公開、删除以及跨境等處理活動進行認證的基本原則和要求。同時,《規則》明确個人資訊保護認證的認證模式為:技術驗證+現場稽核+獲證後監督。
認證明施程式方面,《規則》指出,認證機構應當明确認證委托資料要求,包括但不限于認證委托人基本材料、認證委托書、相關證明文檔等。認證委托人應當按認證機構要求送出認證委托資料,認證機構在對認證委托資料審查後及時回報是否受理。認證機構應當根據認證委托資料确定認證方案,包括個人資訊類型和數量、涉及的個人資訊處理活動範圍、技術驗證機構資訊等,并通知認證委托人。
技術驗證機構應當按照認證方案實施技術驗證,并向認證機構和認證委托人出具技術驗證報告。認證機構實施現場稽核,并向認證委托人出具現場稽核報告。
認證機構根據認證委托資料、技術驗證報告、現場稽核報告和其他相關資料資訊進行綜合評價,作出認證決定。對符合認證要求的,頒發認證證書;對暫不符合認證要求的,可要求認證委托人限期整改,整改後仍不符合的,以書面形式通知認證委托人終止認證。
對于獲證後監督,《規則》要求,認證機構應當在認證有效期内,對獲得認證的個人資訊處理者進行持續監督,并合理确定監督頻次。認證機構對獲證後監督結論和其他相關資料資訊進行綜合評價,評價通過的,可繼續保持認證證書;不通過的,認證機構應當根據相應情形作出暫停直至撤銷認證證書的處理。
關于認證證書,《規則》明确,認證證書有效期為3年。在有效期内,通過認證機構的獲證後監督,保持認證證書的有效性。證書到期需延續使用的,認證委托人應當在有效期屆滿前6個月内提出認證委托。認證機構應當采用獲證後監督的方式,對符合認證要求的委托換發新證書。《規則》确定了認證标志(“ABCD”代表認證機構識别資訊):
左為不含跨境處理活動的個人資訊保護認證标志;
右為包含跨境處理活動的個人資訊保護認證标志