2022-06-28
短評“認證”:個人信息跨境處理及數據安全管理認證
作者:
楊建媛
鄔丹
2022年6月于數據合規領域而言,“認證”是個繞不開的熱點話題。月初,數據安全管理認證工作宣告開展、認證實施規則亦已確定;月末,個人信息跨境處理的安全認證規范在征求意見兩個月后正式發布。在GDPR體系下,歐盟EDPB起草了首個關于跨境認證的指南(尚未公布文本),為個人數據跨境傳輸提供了新的工具;盧森堡數據保護監管機構率先采用關于個人數據處理活動合規性的認證機制GDPR-CARPA,并于今日(6月28日)舉行啟動會議。
研讀國內的兩個認證規則,其所設定的規則標準不低且具體細致。企業取得認證相當于得到認證機構就管理體系或特定數據處理行為的背書,但為滿足相關要求亦需投入相當的合規成本。如何權衡認證收益與合規維護成本?不妨從認證規則入手進行研判。
2022年6月24日,全國信息安全標準化技術委員會秘書處發布了《網絡安全標準實踐指南—個人信息跨境處理活動安全認證規范》(“《認證規范》”),以落實《個人信息保護法》(“《個保法》”)的個人信息保護認證制度,標志著我國進一步探索個人信息跨境的可行路徑,為認證機構實施認證提供依據、亦為企業開展合規工作提供參考。如下要點值得特別關注。 其一,《認證規范》具有特定的適用范圍。 1.跨國公司或者同一經濟、事業實體下屬子公司或關聯公司之間的跨境處理活動。并且,《認證規范》要求處理者與境外接收方之間簽訂“具有法律約束力和執行力的文件”,并不限于“協議”,這與歐盟GDPR下的“有約束力的公司準則(BCRs)”或有相通之處,值得跨國公司關注。 2.受《個保法》域外管轄的境外處理活動。此時涉及頗具爭議的一個問題——從境外直接收集個人信息是否適用《個保法》第三章的跨境規則。可能的解釋包括:(1)從境外直接收集境內自然人的個人信息時,境外處理者即適用跨境規則,并由其在境內設置的專門機構或指定代表作為境內處理者;(2)個人信息出境后再次傳輸時,境外處理者才適用跨境規則,認證則是一種可行路徑。 其二,《認證規范》數次強調監管響應與法律責任承擔。 一方面,以境內實體作為我國監管的抓手:《認證規范》要求由跨國公司的境內公司、或境外處理者在境內的專門機構或指定代表申請認證,并由上述境內實體承擔法律責任。該等法律責任帶來的衍生效果包括,無關聯關系的境內主體(如專業中介機構)對擔任境外處理者的指定代表有較多顧慮,而沒有境內關聯實體的境外處理者在指定代表時可能面臨困境。 另一方面,個人信息處理者和境外接收方均需承諾:遵守中國關于個人信息保護的法律與行政法規的保護標準,接受中國認證機構的監督(如答復詢問、例行檢查),并接受中國的司法管轄。 其三,《認證規范》重申、細化或提高了《個保法》關于個人信息跨境的合規要求。 《認證規范》的基本要求包括:個人信息處理者和境外接收方均應指定個人信息保護負責人(由決策層成員擔任)和保護機構,簽訂具有法律約束力和執行力的文件(“法律文件”),明確各方統一遵守的個人信息跨境處理規則(包括個人信息的類型與數量、處理目的與方式、存儲期限、中轉地、個人信息主體權益保障、安全事件處理等),并由處理者事先開展個人信息保護影響評估。 此外,《認證規范》特別強調對個人信息主體權益的保障,將《個保法》下的個人信息主體權利(包括提起訴訟)的行使擴展至境外接收方;同時,明確個人作為上述法律文件中涉及個人信息主體權益相關條款的受益人,有權要求獲取該等條款的副本。該等要求與GDPR標準合同條款(“SCCs”)的思路亦有相通之處。 2022年6月5日,國家市場監督管理總局與國家互聯網信息辦公室聯合發布《關于開展數據安全管理認證工作的公告》(含《數據安全管理認證實施規則》),明確數據安全管理認證(“DSM認證”)工作的認證依據、認證模式與實施程序等。認證證書有效期為三年。 DSM認證是有資格的認證機構對組織(即認證委托人)的數據安全管理體系是否符合相關標準規范的評定活動,屬于鼓勵性活動。《網絡安全法》《數據安全法》《個保法》均有認證相關規定,2019年發布的《數據安全管理辦法(征求意見稿)》也明確鼓勵網絡運營者自愿通過數據安全管理認證。DSM認證擴充了現有數據安全認證機制,方便組織在開展“App安全認證”之外依據自身需求申請數據安全管理體系認證。 DSM認證的主要認證依據系《信息安全技術 網絡數據處理安全要求》(GB/T 41479),主要包括數據處理安全總體要求(數據識別、分類分級、風險防控、審計追溯)、數據處理安全技術要求(包括收集、存儲、使用、傳輸、刪除和匿名化等)以及數據處理安全管理要求(數據安全責任人、人力資源保障及考核、事件應急處置)三個方面。該要求覆蓋面廣、顆粒度細,為組織數據合規提供明確指引,但也為認證工作開展提出核驗難題。以第5.2(e)條關于從其他途徑獲取個人信息的合規要求為例,其提到組織需“了解個人信息來源、個人信息提供方已獲得的個人信息處理授權同意范圍”,對此認證時組織提供承諾函、相關合同條款即可,還是需要提供方實質證明數據來源的合法性,甚至要求組織采取必要核驗措施?此有待進一步實踐觀察。 DSM認證的特點之一為將技術驗證和現場審核作為認證的重要環節,此要求企業在制度文件體系以外,還需將數據管理工作落實到技術層面。實施流程包括認證委托、技術驗證、現場審核、認證結果評價和批準、獲證后監督共五步,其中技術驗證環節會委托技術驗證機構開展并參考其出具的技術驗證報告進行評定。中國網絡安全審查技術與認證中心(“CCRC”)負責DSM認證的具體建設和實施工作,接受公眾咨詢和認證申請。截至目前,CCRC已為DSM認證搭建公眾聯系專線及主題頁面,且預設“數據安全管理認證申辦系統”窗口,但系統窗口未正式啟用,認證相關實施規則、申請書材料等尚未公布。此外,經了解,不排除未來CCRC委派其他認證機構承擔DSM認證的可能性,有待持續關注。
*實習生陳瑞庭、張宜軒對本文亦有貢獻
京ICP備05019364號-1 
京公網安備110105011258
