一、个人信息保护认证制度概述
2021年11月1日起施行的《中华人民共和国个人信息保护法》(以下简称" 《个人信息保护法》")第六十二条第(四)项规定,"国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作:(四)推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务"。
为贯彻落实《个人信息保护法》的上述规定,规范个人信息处理活动,促进个人信息合理利用,2022年11月4日,国家互联网信息办公室(以下简称" 网信办")联合国家市场监督管理总局,发布并正式实施《个人信息保护认证实施规则》,实施个人信息保护认证,以鼓励个人信息处理者通过认证方式提升个人信息保护能力。
二、个人信息保护认证实施规则(以下简称"《实施规则》")
《实施规则》从个人信息保护认证的适用范围、认证依据、认证模式、认证程序、认证标识、认证细则和认证责任等七个方面对个人信息保护认证规则进行了整体构建,明确了认证的主体、对象、依据、流程等问题。
(一)适用范围
《实施规则》规定了对个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证的基本原则和要求。从认证主体来看,凡是个人信息处理者皆可申请该项认证。从认证对象来看,认证涉及个人信息处理活动过程的产品、服务、管理体系。从认证内容来看,认证仅仅涉及个人信息,而不包括其他数据,如《数据安全法》规定的核心数据和重要数据、《关键信息基础设施安全保护条例》规定的关键信息基础设施相关数据以及《个人信息保护法》规定的匿名化处理后的信息等,此类非个人信息均不属于《实施规则》的认证内容。
(二)认证依据
所谓"认证",是指《中华人民共和国认证认可条例》(国务院2020年11月29日最新修订,以下简称" 《认证认可条例》")第2条规定的"由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动";最新版本的GB/T 35273《信息安全技术 个人信息安全规范》和TC260-PG-20222A《个人信息跨境处理活动安全认证规范》即是《实施规则》所规定的个人信息保护认证的评定依据。前者由市场监管总局与国家标准化管理委员会联合发布,属于推荐性国家标准,不具备强制适用的效力,在《个人信息保护法》实施以前就对企业数据合规建设提供重要依据和规范指南,对个人信息保护体系化发挥着重要作用;后者由全国信息安全标准化技术委员会组织制定和发布的技术规范,也属于推荐性国家标准,不具备强制适用的效力。根据《实施规则》规定,凡个人信息处理者申请个人信息保护认证时均需要满足GB/T 35273《信息安全技术 个人信息安全规范》的要求,而开展跨境数据传输的个人信息处理者还应当符合TC260-PG-20222A《个人信息跨境处理活动安全认证规范》的要求。
(三)认证程序
"技术验证+现场审核+获证后监督"是《实施规则》提出的个人信息保护认证模式,按此模式,认证机构在对认证委托人提交的认证委托资料审查过后,决定是否受理并向委托人及时反馈,受理后将确定认证方案并告知委托人。具体认证程序如下:(1)技术验证:技术验证机构实施技术验证,并向认证机构和认证委托人出具技术验证报告。(2)现场审核:在收到技术验证报告之后,认证机构将对个人信息处理者实施现场审核,并向认证委托人出具现场审核报告。(3)获证后监督:根据认证委托人提交的委托资料、技术验证机构出具的技术验证报告、认证机构掌握的现场审核报告和其他相关资料信息,认证机构将进行综合评价,最终决定认证申请是否通过。对符合认证要求的个人信息处理者颁发有效期为3年的认证证书。在有效期内,认证机构将采取适当方式、以合理监督频次,对已获认证的个人信息处理者进行持续监督。
(四)认证证书
认证机构将对符合认证要求的认证委托人颁发认证证书,有效期为3年。在此期间,认证委托人可向认证机构提出变更委托,对已获认证的个人信息处理者相关资料进行变更,也可申请将认证证书暂停、注销;到期后,认证委托人需要延续使用的,应在有效期届满前6个月内提交申请。获证后,认证委托人将受认证机构的持续监督,监督过程中若已获证的个人信息处理者不再符合认证要求,认证机构应当及时对认证证书予以暂停直至撤销。
(五)认证责任
《实施规则》规定,认证机构、技术验证机构、认证委托人分别对各自的认证和验证结论、认证委托资料的真实性和合法性负责。针对认证机构的责任,《认证认可条例》第73条规定了"认证机构未对其认证的产品实施有效的跟踪调查,或者发现其认证的产品不能持续符合认证要求,不及时暂停或者撤销认证证书和要求其停止使用认证标志给消费者造成损失的,与生产者、销售者承担连带责任。"也就是说,若认证机构对个人信息主体造成损失则需承担连带责任,这意味着认证机构在个人信息保护认证工作实施过程中担负着持续的监督和审查义务,面临着重要的认证责任。
三、信息安全技术个人信息安全规范
《实施规则》规定,最新版本的GB/T 35273《信息安全技术 个人信息安全规范》(以下简称" 《个人信息安全规范》")是个人信息保护认证的认证依据。《个人信息安全规范》为国家推荐性标准并非国家强制性标准,根据《中华人民共和国标准化法》(全国人民代表大会常务委员会2017年11月4日最新修订),对于推荐性标准,国家鼓励企业自愿采用,因此《个人信息安全规范》并不具有强制约束力。但因《个人信息安全规范》已成为个人信息保护认证的认证依据,对于希望取得该认证的企业而言,其必须满足《个人信息安全规范》规定的基本要求。
(一)《信息安全技术 个人信息安全规范(GB/T 35273--2017)》(以下简称" 2017年版《个人信息安全规范》")
《个人信息安全规范》最早由网信办联合国家质量监督检验检疫总局和全国信息安全标准化技术委员会在2017年12月29日联合发布,并自2018年5月1日起正式实施。2017年版《个人信息安全规范》对个人信息的收集、保存、使用、委托处理、共享、转让、公开披露及个人信息安全事件的处置的全过程提供了详尽的操作指引。
2017年版《个人信息安全规范》的正文主要分为四大部分:(1)第一部分规定了2017年版《个人信息安全规范》的适用范围、相关引用文件。(2)第二部分规定了2017年版《个人信息安全规范》的术语和定义,以及个人信息安全保护的基本原则。(3)第三部分规定了个人信息的收集、保存、使用、委托处理、共享、转让、公开披露、个人信息安全事件处置等各个环节所需遵守的具体要求,基本覆盖个人信息自收集到删除的全过程。(4)第四部分规定了个人信息控制者设立相关管理机构和组织的具体要求。正文部分外,2017年版《个人信息安全规范》还有四个资料性附录,包括"个人信息实例"、"个人敏感信息判定"、"保障个人信息主体选择同意权的方法"和"隐私政策模板"。
(二)《信息安全技术 个人信息安全规范(GB/T 35273--2020)》(以下简称" 2020年版《个人信息安全规范》")
在2020年3月6日,国家市场监督管理总局联合国家标准化管理委员会发布了2020年版《个人信息安全规范》,也是目前为止最新版的《个人信息安全规范》,2020年版《个人信息安全规范》相较2017年版,主要的调整为:
1."授权同意"的定义扩展为包括默示同意
2020年版《个人信息安全规范》修订了"授权同意"的定义,规定"授权同意"既包括通过积极的行为做出授权(即明示同意),亦包括通过消极的不作为作出授权(即默示同意),并针对默示同意提供了一个例子:如果信息主体被告知在特定区域内会被录像后仍停留在该区域,则视为信息主体对此类录像行为进行了授权同意。
2.多项业务功能分别征求同意
2020年版《个人信息安全规范》中,增加了禁止个人信息控制者强迫个人信息主体接受产品或服务所提供的所有需要收集个人信息的业务功能的规定,亦禁止强迫个人信息主体接受所有相关的个人信息收集请求。相对应的,个人信息控制者应就所提供的各项功能分别征求同意,并仅收集与个人信息主体授权同意使用的特定功能直接相关的个人信息。2020年版《个人信息安全规范》进一步要求个人信息控制者为个人信息主体提供方便的关闭或退出已授权业务功能的措施,并在个人信息主体选择关闭或退出特定业务功能后,停止该业务功能的个人信息收集活动。
3.对个人生物识别信息的收集、使用及存储提出更加严格的要求
2020年版《个人信息安全规范》增加了针对个人信息控制者收集个人生物识别信息的特别要求,包括:(1)应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则;(2)在收集个人生物识别信息前,应获取信息主体的明示同意,该同意应具体、明确的,并在"充分告知"的基础上获得;(3)个人生物识别信息应与个人身份信息分开存储;(4)原则上不应存储原始个人生物识别信息(如样本、图像),可采取的措施范例包括仅存储个人生物识别信息的摘要信息、在采集终端中直接收集个人生物识别信息实现身份识别或在身份识别功能完成后删除个人生物识别信息的原始图像。
4.用户画像的使用限制
2020年版《个人信息安全规范》专门增加了针对用户画像使用限制的章节,例如,用户画像中对个人信息主体的特征描述不应包含任何与淫秽、色情、赌博、暴力相关的内容或者与民族、种族、宗教、残疾或疾病歧视相关的内容。在业务经营或对外业务合作中使用用户画像的,个人信息控制者不应侵害公民、法人和其他组织的合法权益或从事违法行为。此外,除严格意义上的必要情形,用户画像的使用应该避免关联到特定个人。
5.可辨识的和可控制的个性化展示
2020年版《个人信息安全规范》要求个人信息控制者让用户意识到个性化展示的存在,并提供给用户选择个性化展示或非个性化展示的选项。例如,个人信息控制者应显著区分个性化展示和非个性化展示的内容,方式包括表明"定推"的字样或通过不同的栏目和页面分别展示个性化展示和非个性化展示的内容。在提供电商服务的过程中,个人信息控制者需要提供给消费者选择非个性化展示的选项。在提供新闻信息服务的过程中,个人信息控制者需要提供简单直观的退出个性化展示模式的选项。
6.账户注销程序
个人信息控制者应提供给用户简易和方便的注销账户的方法,特别是,个人信息控制者必须避免在注销账户的过程中设置不合理的条件或程序,或出于验证用户身份的目的收集不必要的个人信息。个人信息控制者应当在用户注销账户后删除个人信息或对其进行匿名化处理。即使是因法律法规需要留存的个人信息,个人信息控制者亦不得将其用于日常业务活动中。
7.数据处理协议
在2020年版《个人信息安全规范》项下,个人信息控制者应与个人信息处理者和其他与之分享个人信息的合作方签署全面的数据处理协议,当个人信息处理者/合作方以不恰当的方式处理个人信息时,个人信息控制者应当要求个人信息处理者/合作方停止相关的数据处理活动、采取补救措施、控制安全风险并在必要时终止合作关系。
8.对共同个人信息控制者和其他第三方插件的严格要求
2020年版《个人信息安全规范》在2017年版《个人信息安全规范》规定的"当个人信息控制者将用户的个人信息分享给共同个人信息控制者,个人信息控制者应与共同个人信息控制者签署协议来明确双方各自承担的安全义务和法律责任"的基础上,进一步提出,如果个人信息控制者未能向个人信息主体明确告知共同个人信息控制者的身份,个人信息控制者应当承担因共同个人信息控制者的行为引起的责任。2020年版《个人信息安全规范》还要求,如果个人信息控制者在其产品或服务中接入具备收集个人信息功能的第三方产品或服务,且个人信息控制者和该第三方并不是共同个人信息控制者时,个人信息控制者应建立相关的管理机制、和第三方签署协议、向个人信息主体明确告知产品或服务由第三方提供、留存相关的记录,并要求第三方履行其法律义务。
9.内部管理要求
2020年版《个人信息安全规范》还要求个人信息保护负责人具有相关的工作经验和专业知识,并修改了要求委派个人信息保护负责人和保护机构的两个标准:若一个组织处理超过100万人的个人信息,或者预计在12个月内处理超过100万人(2017年版《个人信息安全规范》是50万人)的个人信息,或者处理超过10万人的个人敏感信息。同时,2020年版《个人信息安全规范》增加了个人信息保护负责人的具体职责:制定个人信息保护工作计划并督促落实、制定并更新相关的政策、开展个人信息安全影响评估、开展相关培训、进行安全审计并与相关监管部门保持沟通。
四、个人信息跨境处理活动安全认证规范
《实施规则》规定,最新版本的TC260-PG-20222A《个人信息跨境处理活动安全认证规范》(以下简称" 《个人信息跨境处理活动安全认证规范》")是对于开展跨境处理活动的个人信息处理者办理个人信息保护认证时额外的认证依据,即开展跨境处理活动的个人信息处理者除应满足《个人信息安全规范》要求外,还需满足《个人信息跨境处理活动安全认证规范》的要求。《个人信息跨境处理活动安全认证规范》同样不具备强制性,但对于希望取得个人信息保护认证的开展跨境处理活动的企业而言,其也必须满足《个人信息跨境处理活动安全认证规范》规定的基本要求。
《个人信息跨境处理活动安全认证规范v1.0》最早于2022年6月24日()由全国信息安全标准化技术委员会(以下简称" 信安标委")发布。在不到半年内,信安标委又再次修改并发布了最新的《个人信息跨境处理活动安全认证规范v2.0》。《个人信息跨境处理活动安全认证规范》的主要内容包括基本原则、个人信息处理者和境外接收方在个人信息跨境处理活动的个人信息保护、个人信息主体权益保障等方面。具体而言:
1.适用情形
《个人信息跨境处理活动安全认证规范》作为认证机构对个人信息跨境处理活动进行个人信息保护认证的认证依据,也为个人信息处理者规范个人信息跨境处理活动提供参考。
2.认证主体
申请认证的个人信息处理者应取得合法的法人资格,正常经营且具有良好的信誉、商誉。跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动可由境内一方申请认证,并承担法律责任。《个人信息保护法》第三条第二款规定的境外个人信息处理者,可由其在境内设置的专门机构或指定代表申请认证,并承担法律责任。
3.基本原则
(1)合法、正当、必要和诚信原则。(2)公开、透明原则。(3)信息质量保障原则。(4)同等保护原则。(5)责任明确原则。(6)自愿认证原则。
4.基本要求
(1)具有法律约束力的文件。开展个人信息跨境处理活动的个人信息处理者和境外接收方应签订具有法律约束力和可执行的文件,确保个人信息主体权益得到充分的保障。(2)组织管理:(i)个人信息保护负责人。开展个人信息跨境处理活动的个人信息处理者和境外接收方均应指定个人信息保护负责人。个人信息保护负责人应具备个人信息保护专业知识和相关管理工作经历,由本组织的决策层成员担任。(ii)个人信息保护机构。开展个人信息跨境处理活动的个人信息处理者和境外接收方均应设立个人信息保护机构,履行个人信息保护义务,防止未经授权的访问以及个人信息泄露、篡改、丢失等,并在个人信息跨境处理活动中承担相应职责。(3)个人信息跨境处理规则。开展个人信息跨境处理活动的个人信息处理者和境外接收方应约定并共同遵守同一个人信息跨境处理规则。(4)个人信息保护影响评估。个人信息处理者应对拟向境外接收方提供个人信息的活动开展个人信息保护影响评估,并形成个人信息保护影响评估报告,评估报告至少保存3年。
5.个人信息主体权益保障要求
(1)个人信息主体权利。个人信息主体对其个人信息的处理拥有知情权、决定权、限制或拒绝他人对其个人信息进行处理的权利、查阅权、复制权、更正与补充的权利、删除权,有权撤回对其个人信息跨境处理的同意。(2)个人信息处理者和境外接收方的责任义务。以电子邮件、即时通信、信函、传真等方式告知个人信息主体开展个人信息跨境处理活动的个人信息处理者和境外接收方的基本情况,以及向境外提供个人信息的目的、类型和保存时间,并取得个人信息主体的单独同意。
五、个人信息保护认证最新实践
由于个人信息保护认证是第三方机构对企业个人信息保护的能力,给予的供社会广泛采信的背书,因此开展大量个人信息处理活动的企业或机构,以及业务受数据驱动明显的企业或机构,最适合做个人信息保护认证,如即时通信、网盘、网约车、互联网医疗、互联网金融等服务,都是典型的拥有大量数据处理的业务场景,尤其是涉及到大量个人信息。
虽然上述《认证规则》、《个人信息安全规范》及《个人信息跨境处理活动安全认证规范》为个人信息保护认证活动的开展提供了较为具体的指引,但目前上述规定仍有较多亟待完善的地方,比如没有明确规定监管机构和执行机构等。目前来看,开展个人信息保护认证的第三方机构只有一家,即国家市场监管总局下设的事业单位--中国网络安全审查技术与认证中心(以下简称" CCRC")。
CCRC目前已经开设了个人信息保护认证申办系统,也发布了认证申请书模板,并着手实施个人信息保护认证工作。向CCRC申请个人信息保护认证时,CCRC需要收取认证费用,根据CCRC官网发布的收费标准,申请费为1.8万,评定注册费为2.4万,年金为5万/年;此外,根据个人信息处理场景的复杂性,CCRC还会按6000元/人/天的标准,收取审核/验证费。初步预估,完成一次认证的花费在15万以上。另外,企业之后每年需要进行年审、缴纳年金,重新支付审核/验证费,预计每年的年审费用在10万以上。根据CCRC内部的制度,认证通常在受理申请后110个工作日内完成(不含企业整改所花费的时间)。据CCRC披露的信息,目前已经有企业在申请该项认证,但暂未有已取得该认证的实例。
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
