2022年11月4日,国家互联网信息办公室(下称“国家网信办”)、国家市场监督管理总局(下称“市场监管总局”)联合印发《关于实施个人信息保护认证的公告》(下称“《认证公告》”),内附《个人信息保护认证实施规则》(下称“《认证实施规则》”)。《认证实施规则》共计7条,对适用范围、认证依据、认证模式、认证实施程序、认证证书和认证标志、认证实施细则、认证责任等内容作出明确规定,进一步明确和完善了我国的个人信息保护认证制度。本文将具体结合《认证实施规则》及其他相关法律文件对初露头角的个人信息保护认证制度进行重点解读,以期为企业的业务和合规工作开展提供参考。
1、个人信息保护认证的法律框架
(1)个人信息保护认证的相关法律文件和制定沿革
根据《中华人民共和国认证认可条例(2020修订)》(下称“《认证认可条例(2020修订)》”)的第2条规定,认证,是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。关于个人信息保护认证的主要法律法规等如下:
2021年11月1日,《个人信息保护法》正式施行,第38条从法律层面上将个人信息保护认证设定为与安全评估及标准合同并行的个人信息跨境提供合法路径之一。
2022年3月6日,全国信息安全标准化技术委员会(下称“信安标委”)印发《2022年网络安全国家标准需求清单》,提出国家标准《信息安全技术 个人信息跨境传输认证要求》(下称“《认证要求》”)的编制任务,用以支撑《个人信息保护法》第38条的个人信息跨境提供安全认证工作,并于11月14日对该国标征集参编单位。
2022年6月24日,信安标委发布《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》(下称“《认证规范V1.0》”),《认证规范V1.0》系我国首个个人信息保护认证方面的标准技术文件;11月8日,信安标委再次发布《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0(征求意见稿)》(下称“《认证规范V2.0》”,为个人信息跨境处理安全认证的落地提供标准化实践指引。
2022年11月4日,市场监管总局作为国务院认证认可监督管理部门,会同主管网络安全、数据安全、个人信息保护事项的国家网信办联合印发《认证实施规则》,为我国个人信息保护认证制度提供具体的“认证规则”。
(2)个人信息保护认证的法律依据和法律地位
《认证公告》规定,《认证实施规则》的上位法依据为《个人信息保护法》及《认证认可条例(2020修订)》。根据《个人信息保护法》第38条、《认证认可条例(2020修订)》第18条的规定,个人信息保护认证属于自愿选择的制度,可以作为个人信息跨境传输的合法途径之一。
根据《认证认可条例(2020修订)》第17条的规定,本次公布的《认证实施规则》属于由国务院认证认可监督管理部门制定的,对于个人信息保护认证机构在实施认证活动中应当遵循的基本规范、认证规则。《认证实施规则》适用于个人信息保护认证活动,属于规范性文件,对认证机构和自愿委托进行认证的申请人具有法律约束力。
在认证依据方面,根据《认证认可条例》第2条,认证机构实施认证活动中对产品、服务、管理体系进行合格评定,应当对标相关技术规范、相关技术规范的强制性要求或者标准。根据《认证实施规则》第2条,申请PIP认证(不含跨境处理活动的个人信息保护认证)及PIPCB认证(含跨境处理活动的个人信息保护认证)的个人信息处理活动均需符合国家标准《信息安全技术 个人信息安全规范》(GB/T35273-2020)(下称“《个人信息安全规范》”)的要求,申请PIPCB认证的个人信息跨境处理活动还应另外符合《认证规范V1.0》的要求,且上述法律文件应按最新版本执行,因此待《认证规范V2.0》正式发布后将作为PIPCB认证的依据。
在标准方面,目前已生效的国家标准《个人信息安全规范》将为个人信息保护认证提供合规控制点。在技术规范方面,信安标委秘书处发布的《认证规范》作为标准技术性文件,在权威性上虽不及国家标准,但经《认证实施规则》确认将共同成为认证活动的确定的依据。
但是,值得进一步观察的是,个人信息保护认证的认证依据尽管已作出规定,但存在一些有待探讨与明确的问题。例如,正在编制中并计划于未来发布的国家标准《认证要求》出台后,是否能够作为个人信息保护认证的认证依据;《个人信息安全规范》及《认证规范V1.0》超出《个人信息保护法》的合规要求是否应当严格遵循;《个人信息安全规范》及《认证规范V1.0》提及的其他标准或技术规范能否成为个人信息保护认证的认证依据等。
2、个人信息保护认证的类型及适用
根据《认证实施规则》第1条,个人信息保护认证适用于个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动,即适用范围为个人信息处理活动全生命周期。企业通过个人信息保护认证,可为自身具备保护个人信息安全的良好能力提供证明。其中,个人信息跨境处理属于个人信息处理活动的环节之一,故个人信息跨境处理认证属于个人信息保护认证的类型之一,企业可以在满足相关条件的前提下自愿选择将个人信息保护认证作为个人信息跨境处理的合规路径。在认证类型方面,《认证实施规则》第5.2条规定,不含跨境处理活动的个人信息保护认证为PIP认证,包含跨境处理活动的个人信息保护认证为PIPCB认证。
另外,包含跨境处理活动的PIPCB认证的适用情形发生变化。根据《认证规范V1.0》,对于不适用安全评估路径进行出境的个人信息处理者而言,PIPCB认证的适用情形为:(1)跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动;(2)《个人信息保护法》第3条第2款适用的境外个人信息处理者相关活动。但是《认证规范V2.0》删除了上述两类具体的数据跨境处理活动,将PIPCB认证的适用情形变更为“个人信息处理者开展个人信息跨境处理活动”。从字面意思理解,《认证规范V2.0》的修改或将扩大PIPCB认证的适用范围,该版本的最终生效和实际效用仍有待观察。
3、个人信息保护认证的模式及流程
根据《认证实施规则》第3条,个人信息保护认证采取常规的认证模式,即技术验证+现场审核+获证后监督。个人信息保护认证主要涉及三类主体:(1)认证机构,对现场审核结论、认证结论负责;(2)技术验证机构,对技术验证结论负责;(3)认证委托人,对认证委托资料的真实性、合法性负责。具体认证流程如下:
4、个人信息保护认证制度的实施意义和问题点
根据我们对相关法律制度的研究和比较,并结合我们在实际工作中对企业运营和需求的理解,我们倾向认为相较于安全评估和标准合同,个人信息保护认证作为个人信息跨境处理的合法路径之一,具有以下实施的意义,但是至少在现阶段对于企业是否选择认证方式,同时存在以下注意点。
(1)个人信息保护认证制度的实施意义
a.便利性。对于可适用主体而言,个人信息保护认证理论上可以便利个人信息跨境处理业务。当境内处理者和境外接收方的个人信息保护能力达到我国法律法规规定的相关要求时,个人信息保护认证理论上可以摆脱一事一议的局限性,无需按照单一业务需求、业务场景或业务合同进行安全评估或者进行标准合同备案等手续。
b.合规背书。企业进行个人信息保护认证,不但可以将其作为将来数据跨境处理活动的合规路径之一,而且能够通过认证机构的认证结果证明自身的个人信息保护能力。虽然现行法律,除了跨境传输,并未明确个人信息保护认证的法律效果,但是鉴于《个人信息保护法》规定,个人信息处理者应当采取有效措施保护个人信息的安全,而且处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。通过个人信息保护认证,无论对于企业规范安全管理,还是对外证明履行义务,实施个人信息保护认证都不失为一个可以考虑的选项。
(2)注意点
a.适用对象限定。在个人信息跨境的业务场景下,企业只有在不适用安全评估的前提下才可以考虑是否选择个人信息保护认证,而且目前个人信息保护认证的适用条件仅限于两种情况,即跨国公司集团内部的个人信息跨境处理和境外个人信息处理者的相关活动(即使《认证规范V2.0》最终扩大适用范围,实际应用情况仍有待观察)。
b.制度实施尚有不确定之处。虽然《认证实施规则》的出台,明确了个人信息保护认证实施过程中认证模式和实施程序,认证工作有望得到进一步推动。但是认证机构等目前尚不明确(根据过往经验,可能由中国网络安全审查技术与认证中心担任认证机构),现阶段实际开展仍存在一定难度,更加细化的认证实施程序和认证实施细则待进一步公布。
c.成本投入并不低。个人信息保护认证作为一套体系化的合规安排,需要进行技术验证+现场审核+获证后监督的复杂流程。而且,根据《认证规范V2.0》,企业通过个人信息保护认证进行跨境处理的,境内外双方还应当签订具有法律约束力和可执行的文件、指定个人信息保护负责人、设立个人信息保护机构、遵守同一个人信息跨境处理规则,境内个人信息处理者还应当开展个人信息保护影响评估。此外,相较标准合同的路径而言,个人信息保护认证一般需要收费。成本投入可能会对相关企业选择认证方式产生影响。
d.操作中的隐忧。根据我们的经验,在实务操作中个人信息保护认证可能存在若干外资企业普遍关注和存有顾虑的问题,例如:境外处理者需要指定代理机构才能申请认证;境内外处理者需要指定个人信息负责人,而且对于该负责人有身份和资质上的要求;境外接收方需要承诺遵守中国个人信息保护有关法律、行政法规,并接受中国司法管辖;境外接收方需要承诺接受认证机构的监督,包括答复询问、例行检查等。《认证规范V2.0》还进一步增加和细化了跨境协议内容、个人信息保护机构的职责要求、个人信息主体的赔偿请求权和处理者与接收方之间的责任义务等内容。这些可能会给境外接收方了解和配合认证工作带来一些影响,从而进一步影响认证工作的实施效率和企业的选择。
e.时效性。取得认证并非一劳永逸,根据《认证实施规则》,认证证书有效期3年,证书到期需延续使用的,认证委托人应当在有效期届满前6个月内提出认证委托。认证机构应当采用获证后监督的方式,对符合认证要求的委托换发新证书。
5.结语
综上所述,个人信息保护认证制度是我国认证制度的一项内容,体现了国家在全球化背景下与国际接轨,在保护个人信息安全和主体权益的同时努力促进数据自由有序流动的意图,为跨国企业和组织履行数据隐私合规义务提供了实践指引。虽然个人信息保护认证制度刚刚显露端倪,我们建议企业可以在参考本文中解读的个人信息保护认证制度的适用范围、认证程序、实施意义和现阶段注意点分析的基础上,结合自身情况,(1)对于一般性个人信息保护认证,可以积极探讨实施认证的必要性和可行性;(2)对于跨境的个人信息保护认证,在无需适用安全评估进行个人信息跨境处理的前提下,在个人信息出境业务和境外个人信息接收方相对比较固定、一定期间内频繁有个人信息出境业务需求、境外个人信息接收方较能接受和配合认证机构的认证和监督的情形下,可以尝试考虑适用个人信息保护认证的路径。
注释:
[1] 《个人信息保护法》第38条 个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:
(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
(四)法律、行政法规或者国家网信部门规定的其他条件。
中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。
个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。
[2] 《认证认可条例(2020修订)》第18条 任何法人、组织和个人可以自愿委托依法设立的认证机构进行产品、服务、管理体系认证。
[3] 《认证认可条例(2020修订)》第17条 认证机构应当按照认证基本规范、认证规则从事认证活动。认证基本规范、认证规则由国务院认证认可监督管理部门制定;涉及国务院有关部门职责的,国务院认证认可监督管理部门应当会同国务院有关部门制定。
[4] 《个人信息保护法》第3条 在中华人民共和国境内处理自然人个人信息的活动,适用本法。
在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:
(一)以向境内自然人提供产品或者服务为目的;
(二)分析、评估境内自然人的行为;
(三)法律、行政法规规定的其他情形。
[5] 《个人信息保护法》第9条、第51条。
[6] 《个人信息保护法》第69条。
