文│ 中国信息安全研究院副院长 左晓栋

一、个人信息保护的形势

当前,数据已成为国家基础性战略资源。在为社会创造巨大价值的同时,也有越来越多的个人信息和重要数据遭到非法收集、泄露、滥用。为此,各国纷纷加强数据安全保护,欧盟《通用数据保护条例》在全球产生重大影响,数据跨境流动政策引领世界贸易规则重构。我国出台了《网络安全法》《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等法律法规,《数据安全管理办法》《个人信息出境安全评估办法》等政策文件正在加快起草,大批国家标准陆续发布实施,多个网络安全主管部门开展数据安全专项行动,全国人大已将《数据安全法》《个人信息保护法》列入本届立法规划。随着数据的基础资源作用和创新引擎作用日益显现,数据安全特别是个人信息保护的合规性成为各行业共同面临的急迫问题。

2019年9月,习近平总书记对国家网络安全宣传周作出重要指示强调,保障个人信息安全,维护公民在网络空间的合法权益,提升广大人民群众在网络空间的获得感、幸福感、安全感。落实总书记的重要指示,就必须将个人信息保护作为当前一项十分重要且迫切的工作抓紧抓好。

人才是第一资源。由于个人信息保护和数据安全形势变化迅速、技术更新快等原因,仅依靠知识体系较为固定的学历教育难以满足实际工作需求,具有较强时效性、针对性、灵活性的专业人员认证已成为个人信息保护工作的重要抓手。从全球看,此类认证制度方兴未艾,目前各国都在积极推进。

二、国外个人信息保护专业人员认证情况

目前,国际影响力较大的个人信息保护认证项目为“国际隐私专业人员协会”(IAPP)认证。IAPP成立于2000年,是一个非盈利性组织,也是全球最大的隐私信息保护社区和资源库,致力于提升隐私保护从业人员职业技能,帮助不同组织提高管理和保护隐私数据的能力。

IAPP认证作为目前全球顶级的隐私保护认证,包括隐私保护专业人员认证(CIPP)、隐私保护经理认证(CIPM)和隐私保护技术专家认证(CIPT)3个项目。其中,CIPP认证主要适用于隐私保护法律法规、合规性审查、信息管理、数据治理、人力资源等领域的从业人员。因各国(地区)数据安全政策不同,CIPP认证又分为CIPP/A(Asia)、CIPP/US(U.S. private-sector)、CIPP/G(U.S. Government)、CIPP/C(Canada)和CIPP/E(Europe)等5个子类。CIPM则主要满足隐私项目生命周期内风险管理、隐私运行、审计与追责、隐私分析等方面的需求。CIPT面向IT从业者开展隐私保护认证,可证明专业人员在IT产品和服务的开发、工程、部署与审计方面,对于隐私和数据保护实践的理解程度,以及管理和建立隐私保护要求和控制措施的能力。

获得IAPP认证的过程包括申请、准备、考试、发证、认证维持等环节。IAPP在全球各地设置了800多个机考考试点,也可在美国全球隐私峰会、美国隐私安全风险、欧洲数据保护会议三个国际会议期间进行笔考。IAPP所有考试均采用英语,对于CIPP/E也可采用法语和德语。机考和笔考的考试内容相同,不同种类认证的考试要求有所不同。IAPP采用持续隐私教育(CPE)政策维持认证证书的有效性。证书有效期内(一般为2年),为了维持认证资格,所有证书持有人必须至少满足两个要求:一是每年缴纳证书维持费;二是以2年为周期,每种证书持有人应完成规定课时的CPE。IAPP为获得CPE课时提供了多种方式,如参加隐私保护相关国际会议、学术演讲、学习资料、参加IAP的培训等。

三、我国个人信息保护专业人员认证实践——CISP-PIP项目

适应我国个人信息保护和数据安全工作需要,2019年,中国信息安全测评中心依据中编办批准开展“信息安全人员培训与资质认证”的职能,推出了对个人信息保护专业人员能力认定的CISP-PIP(注册信息安全专业人员-个人信息保护)项目,并授权设立了CISP-PIP运营中心。该项目面向我国数据保护、信息审计、组织合规与风险管理等领域的信息安全专业人员,紧密围绕《网络安全法》及其他数据安全管理政策法规的要求,以加强个人信息保护为目标,同时兼顾国家重要数据保护需求以及医疗健康、金融等领域的行业大数据应用及安全需求,突出了对重要政策法规、重要标准的合规性培训,旨在为我国个人信息安全保护工作培养一支强有力的专业人才队伍。

CISP-PIP知识体系以个人信息安全保护为主线,以落实政策、衔接国际、注重实效为基本原则,全面覆盖基础、标准、法规、技术、管理和工程等领域,并与典型案例和全球最新实践紧密结合。一方面,该项目与CISP形成进阶关系,适度保留注册信息安全专业人员应掌握的三类通用知识:国家网络安全顶层设计、网络安全体系结构以及网络安全管理与工程。另一方面,参考IAPP等知识体系,基于《网络安全法》《个人信息安全规范》等主要法规标准要求,设计专业培训与考试内容。专业知识包含五个方面:数据安全基础、GB/T 35273《个人信息安全规范》、个人信息安全标准体系、个人信息保护实践、行业个人信息保护。如图1所示。

CISP-PIP项目认证过程与CISP一致,认证过程主要包括注册申请、资格审核、参加考试、证书发放、证后监督等环节。

四、下一步推进工作的建议

通过对国外IAPP认证制度的分析和我国CISP-PIP项目实践,关于我国个人信息保护专业人员资质测评体系的建设,提出以下建议。

一是进一步细化CISP-PIP项目。可在先期成功探索的基础上,借鉴IAPP,择机将CISP-PIP扩展至3类资质认定项目:个人信息保护专业人士,主要适用于个人信息保护法律法规、合规审查、信息管理、数据治理、人力资源等领域的从业人员;个人信息保护项目经理,主要面向来自政府、监管部门以及企事业单位等从事个人信息保护项目管理人员;个人信息保护技术专家,主要面向IT产品和服务开发、工程、部署、运维和审计专业人士。必要时,还可针对医疗健康、金融、交通、教育、能源等数据安全影响较为突出的行业设立定制化培训内容,开展更细粒度的人员资质测评。

二是逐步建立我国个人信息保护专业人员认证持续教育政策。持续教育主要服务于人员认证制度,用于支撑认证证书有效期的维持;也可以服务于国内个人信息保护相关教育、培训等需求。一个可行的举措是,将我国多个主管部门牵头开展的个人信息保护专项行动、标准制定等与持续教育相衔接,鼓励获证人员积极参与。

三是以网站、公众号等形式建立一个以个人信息保护专业人员认证为主题的交流平台,并借此在国内推广个人信息保护文化。

(本文刊登于《中国信息安全》杂志2020年第4期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。