文│中国网络安全审查技术与认证中心 陈世翔

2022 年 11 月 4 日,国家市场监督管理总局、国家互联网信息办公室联合发布《关于开展个人信息保护认证工作的公告》,标志着我国个人信息保护认证制度正式建立。当前,全球范围内个人信息保护立法力度空前,个人信息保护工作受到各方的热切关注。《中华人民共和国个人信息保护法》发布以来,落实法律要求的个人信息保护制度不断出台。认证作为国际通行的市场监督管理的重要制度手段,将在落实《个人信息保护法》要求、支撑个人信息保护工作、促进个人信息合法有序利用等方面发挥重要作用。由于个人信息特性及其处理活动的复杂性,个人信息保护认证具有相应的独特性和复杂性。为便于个人信息处理者做好认证准备工作并顺利通过认证,现将个人信息保护认证实施要点简介如下。

一、认证对象和范围

开展个人信息处理活动的个人信息处理者可申请个人信息保护认证。个人信息保护认证的对象是个人信息处理者开展的个人信息处理活动,认证申请主体应为个人信息处理者。个人信息处理活动包括个人信息收集、存储、使用、加工、传输、公开、跨境提供等,认证范围涵盖个人信息处理活动涉及的组织范围、业务范围、系统范围等,涉及个人信息处理活动的组织管理、制度措施、技术处理等方面。个人信息处理者申请认证应根据自身个人信息处理情况,梳理清楚涉及的个人信息情况、业务范围、组织范围、系统范围等,明确认证范围。

个人信息处理者向境外提供个人信息时,应梳理对照个人信息向境外提供的管理要求,选择适合自身情况的管理方式。对不属于评估范围的情形,个人信息处理者通过认证后可直接向境外提供;对属于评估范围的情形,认证结果可作为个人信息出境安全评估输入。

结合认证制度特点,适合采用认证方式满足向境外提供个人信息管理要求的个人信息处理者包括但不限于:一是向境外接收方持续提供个人信息的个人信息处理者;二是跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动;三是落实法规标准要求,亟需加强个人信息跨境提供安全制度措施、规范开展个人信息处理活动的个人信息处理者;四是为向个人信息主体、境外接收方等明示个人信息处理达到相关标准要求的个人信息处理者。

二、认证依据

个人信息处理者应当符合 GB/T 35273《信息安全技术 个人信息安全规范》的要求,对于开展跨境处理活动的个人信息处理者,还应符合 TC260-PG-20222A《个人信息跨境处理活动安全认证规范》的要求。GB/T 35273《信息安全技术 个人信息安全规范》从个人信息安全基本原则、个人信息的收集、存储、使用、委托处理、共享、转让、公开披露,以及个人信息主体的权利、个人信息安全事件处理、组织的个人信息安全管理要求等诸方面做出了相关要求。TC260-PG-20222A《个人信息跨境处理活动安全认证规范》主要针对个人信息跨境处理活动从基本原则、个人信息处理者和境外接收方的基本要求、个人信息主体权益保障等方面提出了要求。

三、认证实施流程

个人信息保护认证流程包括认证申请、技术验证、现场审核、认证决定、获证后监督 5 个主要环节。

个人信息处理者向认证机构提交认证申请资料,认证机构对申请资料进行评审后作出受理决定并确定认证方案,采用技术检测、现场核查、人员访谈等方式进行技术验证和现场审核,认证机构根据申请资料、技术验证报告和现场审核报告等进行综合评价,作出认证决定。认证决定通过后,认证机构向认证申请方颁发认证证书,并授权获证个人信息处理者使用规定的认证标志。获证后监督是为确保个人信息处理者在获得证书后持续满足认证标准的要求,维持认证证书有效性。具体可参考流程图。

图 个人信息保护认证流程图

四、认证时限及证书有效期

自认证受理之日起至作出认证决定所实际发生的工作日,包括认证申请资料审核时间、技术验证时间、现场审核时间、认证决定和证书批准以及制作时间,一般为 70 个工作日(不包含整改时间)。

认证证书有效期为 3 年。在有效期内,通过认证机构的获证后监督,保持认证证书的有效性。证书到期还需延续使用的,个人信息处理者应在有效期届满前 6 个月内向认证机构提出认证申请。认证机构采用获证后监督的方式,对符合认证要求的委托换发新证书。

五、如何申请个人信息保护认证

个人信息处理者在认证申请时,应提交认证申请书、自评价表以及相关附件证明材料。为便于认证顺利开展,提高认证工作效率,申请认证的个人信息处理者可提前了解标准要求和认证流程、下载相应模板,如实、准确填报认证申请书、自评估表,准备好附件证明材料。个人信息保护认证范围与个人信息种类、数量、敏感程度以及个人信息处理情况、个人信息处理者组织管理等密切相关,不同业务场景的评价方法和指标不尽相同,需要企业的密切配合和充分沟通。

中国网络安全审查技术与认证中心作为实施数据安全管理认证和 App 安全认证的专业认证机构,目前正在积极推进个人信息保护认证实施准备工作。当收到个人信息处理者申请多项个人信息保护相关认证时,将根据实际情况尽可能采取证据重用,满足认证要求的同时尽可能降低企业负担。有意申请个人信息保护认证的个人信息处理者可与中国网络安全审查技术与认证中心沟通联系,做好认证实施准备。

(本文刊登于《中国信息安全》杂志2022年第12期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。