2022年11月18日,国家市场监督管理总局和国家互联网信息办公室联合发布《关于实施个人信息保护认证的公告》(2022年第37号)(“《公告》”),并附《个人信息保护认证实施规则》(“《规则》”)。我们从概念、定位、操作可行性、认证对象、流程依据、认证主体等诸方面进行评述,并和其他法域个人信息出境类似制度进行比较。
01 什么是个人信息保护和出境认证?
《公告》正文“为贯彻落实《中华人民共和国个人信息保护法》有关规定”和《规则》“本规则依据《中华人民共和国认证认可条例》制定”为认证制度提供了上位法依据,适用于且仅适用于个人信息的认证。《网络安全法》下的其他网络数据、《数据安全法》下的核心数据和重要数据以及《关键信息基础设施安全保护条例》下的关键信息基础设施数据均不适用《公告》下的认证制度。因此,
《公告》中的认证仅涉及个人信息,不包括非个人信息之外的其他数据。
《个人信息保护法》一共提及三种认证制度:其一为向中华人民共和国境外提供个人信息的出境认证(第38条第1款第2项);其二为电子身份认证和网络身份认证(第62条第3项);其三为个人信息保护认证(第62条第4项)。
《公告》涉及的认证制度为“鼓励个人信息处理者通过认证方式提升个人信息保护能力”,因此不是第二种电子身份认证和网络身份认证。同时《规则》规定的认证依据为GB/T 35273《信息安全技术个人信息安全规范》(“《标准》”)和TC260-PG-20222A《个人信息跨境处理活动安全认证规范》(“《规范》”),分别对应第三种个人信息保护认证和第一种个人信息出境认证。因此,《公告》将个人信息保护认证和个人信息出境认证“合二为一”,个人信息出境认证为《公告》规定的其中一种认证。同时,《规则》指引的出境《规范》中还引述了《标准》,那是否满足《规范》的前提条件是符合《标准》的基础性要求,如果是的话,个人信息保护认证和个人信息出境认证就是包含关系,前者包含后者。
02 是不是必须进行个人信息保护和出境认证?
《公告》本身规定“鼓励个人信息处理者通过认证方式提升个人信息保护能力”,因此并不强制要求认证。《规则》规定的两项认证依据《标准》和《规范》也均为非强制性规则。
网络安全专业领域从事标准化工作的技术组织为全国信息安全标准化技术委员会(“信安标委”),对网络安全国家标准进行统一技术归口。由国家市场监督管理总局(下设国家标准化管理委员会)领导,业务上受中央网络安全和信息化委员会办公室指导。这也是为什么《公告》由国家市场监督管理总局和国家互联网信息办公室联合发布的原因。同时,网络安全国家标准的实际研究和承接由中国电子技术标准化研究院(“电子四院”)进行,电子四院是工业和信息化部直属事业单位,是国家从事电子信息技术领域标准化的公益性研究机构。
中国经历过从政府主导的政府标准到民间组织主导的市场标准的变革。从上述网络安全国家标准研究和编制单位来看,更像政府标准;但是在标准的实际编制过程中,又有大量市场主体和企业参与甚至牵头制定标准,又很像市场标准。综合起来看,网络安全国家标准类似准政府标准。与国际隐私领域通行的ISO27001和ISO27701“纯”民间认证相比,虽然《公告》定位为鼓励认证,但实际“威慑力”和权威性还是很大的,有很好地受市场认可并积极参与的良好基础,但市场公信力尤其是国际认可度有待检验。
03 如何实施个人信息保护和出境认证?
我们可以清晰地看到,法律 – 国家标准和技术规范 – 通过公告对国家标准和技术规范的实施 – 认证机构的实施细则这一“法律+技术”的个人信息保护合规落地路径。
《认证认可条例》第2条分别对认证和认可进行了界定,认证对象为“产品、服务、管理体系”,认可对象为“认证机构及人员的能力和执业资格”,认证制度直接针对企业,认可制度为对认证从业机构和人员的监督机制。那么,又由谁对从事认证的机构尤其是从业人员进行监督?个人信息保护这种不同于信息安全和数据安全这种新知识密集型业务如何确保认证人员具备足够的专业水平?防止被认证企业较高的个人信息合规储备必须“就低”认证标准?
根据《认证认可条例》第2条,认证依据应当为“相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。”技术规范(尤其是技术规范的强制要求)或者标准(包括国家标准、行业标准、团体标准等)均可成为认证依据,依据来源非常广泛。《规则》第2条规定的认证依据为《标准》和仅适用于开展跨境处理活动的《规范》。《标准》为国家标准,《规范》属于技术规范。当然技术标准也可以转化为标准,实际上,国家标准《信息安全技术个人信息跨境传输认证要求》正在编制中。但是,《标准》和《规范》均不是为认证检测测评设计的,多为原则性的要求,没有实际的合规标准。
《规则》规定,认证机构应当依据本规则有关要求,细化认证实施程序,制定科学、合理、可操作的认证实施细则,并对外公布实施。可以看到,《公告》和《规则》的规定比较原则,具体依据《标准》和《规范》仅为衡量准则,但是具体的工作流程、文件报送、技术验证等还有待认证机构进行细化,不同认证机构的实施细则可能不尽相同。各认证机构的实施细则实际上为认证落地“最后一公里”,其细则内容的精准和流程的便捷合理很大程度上也会影响其认证的社会认可度和权威性,如果认证机构“层层加码”,把本来没有的规定通过扩张性解释放到实际的认证条件中,最终的认证检测标准就很大程度上依赖认证机构的想象力。
《规则》还规定了认证机构接受委托后,还应当根据认证委托资料确定认证方案。认证方案似乎需要为每位申请认证的个人信息处理者“定制化打造”,认证方案包括个人信息类型和数量、涉及的个人信息处理活动范围等信息。
2006年,国家认监委发布过《认证技术规范管理办法》(已失效),规定认证机构自行制定的用于产品、服务、管理体系认证的符合性要求的技术性文件称为认证技术规范,数千项认证技术规范已获得备案。鉴于《认证技术规范管理办法》已经失效,暂未看到替代性规则,如何对认证机构的实施细则进行规范和监督以及实施细则本身是否需要备案等,需要观察和引起重视。
04 对什么进行个人信息保护和出境认证以及对谁进行认证?
如前所述,个人信息保护和出境认证为《个人信息保护法》下“合二为一”的两种认证制度,认证对象为个人信息的保护以及其中一种处理方式 – 出境。但是《标准》本身规定了个人信息保护的方方面面,从个人权利到处理周期,从制度建设到技术规则,进行系统全面的《标准》符合性认证理论上可行,但实践中不可操作。举个例子,访问、请求删除等十余种个人权利和收集、传输、存储等十余种处理方式,是不是每一个都要完备符合才可以颁发证书(图示图下)?专门针对出境的《规范》相对比较聚焦一些。二者的实质差别在于,依据《标准》的认证为一种资格和能力,依据《规范》的认证为一种行为和场景。
作为依据《标准》个人信息保护资格和能力认证,是否会由认证机构再进行细分项的拆解?例如,分为对个人权利保障的认证、对个人信息处理周期的符合性认证等。笼统的认证所代表的符合性程度是存疑的,在“谁都知道不太可能都符合”的情况下发个证书公信力是否会大?
还有两个相关问题值得关注。其一,除了《标准》和《规范》是否还有别的标准依据可以纳入;其二,《标准》和《规范》和《个人信息保护》法等法律冲突怎么办?如果不能解决这两个问题,是否通过认证有可能会演变成认证机构“自己说了算”,造成“县官不如现管”现象。我们总是需要在具体问题下讨论问题,举个例子:
《标准》中提到了其他标准,提到的标准是否可以通过这种引述成为认证依据?《标准》第11.2条(个人信息安全工程)规定,开发具有处理个人信息功能的产品或服务时,个人信息控制者宜根据国家有关标准在需求、设计、开发、测试、发布等系统工程阶段考虑个人信息保护要求;第11.5条(数据安全能力)规定,规定个人信息控制者应根据有关国家标准的要求,建立适当的数据安全能力,落实必要的管理和技术措施,防止个人信息的泄漏、损毁、丢失、篡改。
上述两项国家有关标准分别为即将实施的GB/T 41817-2022《信息安全技术个人信息安全工程指南》和现行的GB/T 37988-2019《信息安全技术数据安全能力成熟度模型》,他们会成为或者可以成为认证依据吗?那又是一整套规范要求,要做到什么程度才算符合呢?这个问题放到其他认证领域是不显著的,毕竟生产食品的企业就那些,生产电动车的企业也有限,但是数据和个人信息处理是全行业的,“粗放型”认证机制如何有实效果和真正起到保护个人信息的效果而不是成为市场体制下从事正常经营活动“为了拿一个证书”的人为门槛?除了大互联网平台和各类所有制下的企业,《个人信息保护法》也没有排除政务数据中个人信息,大量处理个人信息的税务、社保等政务部门要做认证吗?金融或者医疗行业认证还要依据自己行业的标准吗?
再如,《标准》附录A个人信息举例中将大量有争议的个人信息明确归为个人信息,包括IP地址、软件使用记录、点击记录等,附录B敏感信息的列举直接扩展了《个人信息保护法》金融账户的非常有限的规定,把交易和消费记录、流水记录等都列为敏感个人信息,敏感信息近百种。这些与《个人信息保护法》冲突的规则是否还有参考价值?还是作为非强制性的标准,在认证规则的“加持下”变成了更加严格的不得不遵守的规定,让分类分级失去自主性?
这些困境可能也是《一般数据保护条例》生效这么多年,2022年5月第一个认证机制才由卢森堡做出,且仅认证位于卢森堡境内的机构的特定处理行为而非对组织能力进行认证。
05 个人信息出境认证与其他出境路径的关系?
《个人信息保护法》第38条规定了三种基本的个人信息合法出境路径,分别为:1. 通过国家网信部门组织的安全评估;2. 按照国家网信部门的规定经专业机构进行个人信息保护认证;3. 按照国家网信部门制定的标准合同与境外接收方订立合同。《个人信息保护法》的规定非常明确,只要具备条件之一,就可以合法出境,不需要叠加适用多项条件。
严格按照法律理解,只要获得个人信息出境认证,就可以出境,不需要再经过安全评估或者签署标准合同条款。但在实践中,按此操作,风险会比较大,实际效果可能会导致三种路径叠加适用,尤其是出境数据量达到《数据出境安全评估办法》的条件。
实际上需要出境安全评估的门槛并不高,关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息和自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息,均需进行数据出境安全评估。同时,《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0(征求意见稿)》就是将三种出境条件进行叠加要求和规定的,还将 GB/T 39335《信息安全技术个人信息安全影响评估指南》一并纳入。
很显然,《公告》为执行上述第2种出境路径的规定,第1种通过已经生效的《数据出境安全评估办法》落地,第3种通过处于征求意见阶段的《个人信息出境标准合同规定(征求意见稿)》落地。图示如下:
包括中国在内的个人信息保护和出境规则和欧盟都很类似,欧盟《一般数据保护条例》第5章(第44条– 第50条)规定了数据出境的多种路径,能和《个人信息保护法》对应的上的部分如下:
06 个人信息保护和出境认证的有效期?
《规则》规定认证证书有效期为3年,但是认证机构应在获证后进行持续监督。监督频次由认证机构合理确定,如果获证后持续监督过程中未通过综合评价,可暂停或者撤销证书。这里有非常大的不确定性。尤其是如果将该认证作为数据出境的依据时,出境的数据将随时会面临违法或者违约的风险,始终处于不确定状态,同时也给予了认证机构非常大的主动权。数据作为企业经营的核心资产,数据流这条大动脉就随时会被切断,内外都循环不了。
我们再结合《数据出境安全评估办法》来看,数据出境安全评估的结果有效期为2年,在有效期内出现一定情形(情形非常宽泛,包括“向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化”等),数据处理者应当重新申报评估。也是不确定很强,随时需要中断出境。
07 个人信息保护和出境认证与其他相关认证的关系?
在网络安全和数据安全领域的认证并不鲜见。比较“有名”的包括:
对网络关键设备和网络安全专用产品的安全认证,为《网络安全法》第23条的落地规则。2022年1月30日,国家网信办、工业和信息化部、公安部、隶属国家市场监督管理总局的国家认证认可监督管理委员会联合发布《关于统一发布网络关键设备和网络安全专用产品安全认证和安全检测结果的公告》,2022年2月21日,网络关键设备安全检测结果(第4批)公布,检测机构为信息产业数据通信产品质量监督检验中心和中国信息通信研究院泰尔实验室。有资质的检测机构可参考《关于发布承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录(第一批)的公告》。
对云计算服务能力的认证,《关于加强党政部门云计算服务网络安全管理的意见》等关于党政部门采购云服务的规定。
对App的安全认证,市场监管总局、中央网信办《关于开展App安全认证工作的公告》,依据《移动互联网应用程序(App)安全认证实施规则》对App安全认证,认证机构为中国网络安全审查技术与认证中心,检测机构由认证机构根据认证业务需要和技术能力确定。App安全认证标识图示如下:
此外,还有2019年征求意见的《信息安全技术数据安全管理认证规范》和个人信息保护认证是并列关系还是包含关系?将来是否还会推行数据安全管理认证?
《网络安全法》第23条规定,网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。对网络关键设备和网络安全专用产品的安全认证属于强制性认证,对云计算服务能力的认证和对App的安全认证和个人信息保护和出境认证一样,属于非强制性认证,但是各个认证之间为相互独立的制度,认证对象和行为也不同。
08 谁来进行个人信息保护和出境认证?
这是一个非常关键和重要的问题,和其相关的发问是,这是一个官方认证还是民间认证?哪些机构可以认证及承担的责任?认证资质和认证机构具备的专业能力和知识背景有何要求?网信部门和市场监管部门是否后续将公布认证机构名单?
2021年11月19日,国家网络安全等级保护工作协调小组办公室发布《关于撤销网络安全等级测评机构推荐证书的公告》,公告提出,为贯彻落实国务院“放管服”改革要求,不断提升网络安全等级测评机构管理工作的规范化、专业化和社会化水平,经研究决定,自即日起,国家网络安全等级保护工作协调小组办公室撤销网络安全等级测评机构推荐证书,不再发布《全国网络安全等级测评机构推荐目录》,相关工作纳入国家认证体系。
我们做一下类比,网络安全等级保护这样“传统”且同等重要的测评和认证机构且取消推荐,那么在个人信息保护和出境认证领域,限定窄范围的认证机构的合理性和市场体制下“放管服”要求的符合性就会被质疑。网络安全等级保护多为技术规范,在技术范围内就可以解决问题,而数据出境认证涉及的法律问题和合规问题并不比技术问题少,例如技术无法回答如何确保境外数据接收国法律保护和中国达到同等水平,也无法确保涉外合同条款是否足以保护中国数据出境方利益。
就认证机构责任而言,《中华人民共和国认证认可条例》详细列举了责任条款,其中第73条规定,认证机构未对其认证的产品实施有效的跟踪调查,或者发现其认证的产品不能持续符合认证要求,不及时暂停或者撤销认证证书和要求其停止使用认证标志给消费者造成损失的,与生产者、销售者承担连带责任。可以看出,认证机构实际上承担的责任是很重的,给个人信息主体造成损失的,需要承担连带责任。
从我们的经验来判断,中国网络安全审查技术与认证中心、电子四院、信息通信研究院、泰尔实验室等均为大概率的“候选人”。当然,也需要符合市场监管总局下设的国家认证认可监督管理委员会的规定和考虑他们的意见。此外,中认信安(北京)技术服务有限公司牵头制定《信息安全技术个人信息跨境传输认证要求》,也有可能成为认证机构。
09 个人信息保护和出境认证与其他法域认证的异同?
并没有一个国际范围内均认可的统一的个人信息保护或者出境认证机制,数据区域化自由流动更像是价值观认同度高的国家们的“朋友圈”。除了欧盟主导的欧洲30个国家或者区域加14个“白名单”国家在《一般数据保护条例》下的数据保护和出境机制,还有美国主导下的亚洲太平洋经济合作组织(APEC)21个国家。
根据《APEC隐私框架》,如果数据控制者跨境传输个人信息,需要征得数据主体同意或者确保数据接收方持续遵守《APEC隐私框架》。随后的《APEC跨境隐私规则体系》(CBPRs)对数据跨境流动采取认证机制,通过认证后可以在APEC内进行跨境传输。加入CBPRs体系且通过认证评估的国家或者地区内的数据自由流动,目前有美国、日本、加拿大、韩国(2017)、新加坡(2020年)、澳大利亚(2018)、中国台湾地区(2018年)8个国家加入,加入国中有美、日两国的共计26家企业通过了CBPRs认证。
在东南亚地区,东盟10国和中国、日本、韩国、澳大利亚、新西兰间通过《区域全面经济伙伴关系协定》(RCEP)规定电子商务数据在RECP国家之间可以自由流动,不得以要求缔约方将其计算设施“本地化”作为商业行为的条件,通过电子方式跨境传输信息的基本原则为缔约方应允许电子商务电子信息的自由跨境,但需要符合合法的公共政策目标和保护基本安全利益所必要的措施。并没有看到有明确的认证要求。在东盟内部也在研究通过标准合同条款和认证来管理跨境数据流动。
10 总结
我们认为,在解决个人信息保护认证依据和认证范围之前,笼统地对个人信息处理者的资格与能力进行认证需要探索和细化,但是具体地对个人信息出境行为进行认证是《个人信息保护法》出境路径的有效明晰。就个人信息出境认证而言,《关于实施个人信息保护认证的公告》和《数据出境安全评估办法》以及《个人信息出境标准合同规定(征求意见稿)》共同构成了《个人信息保护法》下三种出境路径的落地规则,虽然《个人信息保护法》规定择其一,但操作实践中大概率会叠加适用。个人信息保护和出境认证并非强制性要求,且仅适用于个人信息,不适用于个人信息之外的其他数据,具体落地实施还需要依赖《个人信息保护认证实施规则》、GB/T 35273《信息安全技术个人信息安全规范》、TC260-PG-20222A《个人信息跨境处理活动安全认证规范》及其他相关国家标准和规范、认证机构的实施细则,各规则之间的协调性以及和上位法《个人信息保护法》的符合性都是关键问题,依靠制度规则本身确立客观标准,法律合规性的重要程度不少于技术验证。有资质的认证机构目前并没有明确,对认证机构和从业人员通过认可进行监督与确保其个人信息保护专业水准有助于提高认证公信力和国际认可度。根据《认证认可条例》,认证机构失职可能会和个人信息处理者一道向个人信息主体承担连带责任。就个人信息出境认证而言,3年有效期的证书可能会因为持续的监督要求被中断停止,不确定比较大。需要防止《个人信息保护法》对个人信息出境的保障机制异化为审批甚至是阻碍机制,让数据资产的流动经过和货物贸易和服务贸易一样的从封闭到开放的过程,而不是在制度设计之初就保护好其天然的流动性和开放性,这有违“促进个人信息合理利用”的立法目的和数字经济发展的理念。世界范围来看,各价值观相同或者利益依赖度较大的区域“朋友圈”间个人信息自由流动和互相认证的机制比较可行,如同WTO对货物和服务贸易自由流动所做出的努力一样,形成全球统一的个人信息流动或者认证机制短时间内不可期待。
万字解析:中国个人信息保护和出境认证评述(附法规汇编)
作者:王源来源:iLaw合规

2022年11月18日,国家市场监督管理总局和国家互联网信息办公室联合发布《关于实施个人信息保护认证的公告》(2022年第37号)(“《公告》”),并附《个人信息保护认证实施规则》(“《规则》”)。