個人信息保護認證 | 把握我國實施個人信息出境認證的幾個要點

當前，我國正在抓緊建立符合國際慣例的數據出境安全管理制度。2021 年，《個人信息保護法》發布實施，對個人信息出境設置了多種方式，包括“按照國家網信部門的規定經專業機構進行個人信息保護認證”。這一法律規定既提出了“個人信息保護認證”的概念，也確立了“個人信息出境認證”的出境方式。

認證機制作為個人信息的出境方式，是國際通行的做法，但尚未有成熟實施模式，各國也均在探索之中。近日，國家市場監管總局、國家互聯網信息辦公室聯合印發公告，發布了《個人信息保護認證實施規則》，標志著我國個人信息出境認證制度正式進入實施階段。這一制度借鑒了歐盟有關經驗，并充分考慮了我國具體國情。

一、個人信息保護認證與個人信息出境認證的關系

根據我國《認證認可條例》，認證是指由認證機構證明產品、服務、管理體系符合相關技術規范、相關技術規范的強制性要求或者標準的合格評定活動。這一規定指出了認證的對象，即產品、服務、管理體系。因此，“個人信息保護認證”是一個總體概念，其可以針對產品，也可以針對服務和管理體系。即，可以對一個產品是否能夠保護用戶的個人信息進行認證，也可以對企業、機構在開展某種活動中能否保護用戶個人信息進行認證，還可以對企業機構自身是否能夠保護用戶個人信息進行認證，只是具體依據的技術依據不同而已。

顯然，無論個人信息是否出境，個人信息處理者都有申請個人信息保護認證的客觀需要，即我國建立的是通用的個人信息保護認證制度。但如果要在個人信息出境時采信認證結論，這還是不夠的，需針對個人信息出境場景增加認證要求。這意味著，個人信息出境認證制度是個人信息保護認證制度的子集和增量。

也正因為如此，本次公布的個人信息保護認證，依據標準是 GB/T 35273《信息安全技術 個人信息安全規范》和《網絡安全標準實踐指南——個人信息跨境處理活動安全認證規范》。申請個人信息保護認證的個人信息處理者應符合 GB/T35273《信息安全技術 個人信息安全規范》的要求；但如果認證結論要用于個人信息出境，還需符合《網絡安全標準實踐指南——個人信息跨境處理活動安全認證規范》的要求。

二、個人信息出境認證是嶄新制度，歐盟提供了先例

(一）歐盟立法規定了認證制度是數據出境方式之一

歐盟在其《通用數據保護條例》（GDPR）中規定了多種從歐盟地區向外傳輸數據的方式，包括標準合同條款（SCC）、有約束力的公司規則（BCR）、認證等。其中，GDPR 第 42（2） 款及第 46（2） 款提出，可將數據保護認證作為數據跨境傳輸合法依據。即，位于未獲得數據保護充分性認定的第三國的數據處理者或控制者獲得認證，并向數據傳輸方或認證機構做出有約束力的承諾（如合同條款等），即可合法接收歐盟的個人數據。

(二）歐盟已經設計了完整的數據安全認證機制

GDPR 認證機制整體框架如下圖所示，主要包括：認證體系（特別是認證標準，包括程序性要求和實質性要求）；對數據控制者或處理者的數據處理行為進行認證（合格評定、證書簽發/續簽/變更/暫扣/撤銷、持續監督、爭議和糾紛處理等）；在認可領域通用要求外，數據安全監管機構（SA）提出附加認可要求；對認證機構進行認可。

圖 GDPR 認證機制整體框架

(三）歐盟內承認多種數據安全認證制度并存

歐盟對數據安全認證提出了總體要求，但不指定具體的認證制度。即，理論上歐盟可以同時存在多種數據安全認證制度，只要符合歐盟的總體要求即可。歐盟數據保護委員會（EDPB）及各成員國 SA 的主要職責是審批認證制度，對認證/認可結果進行備案和持續監督，從數據安全專業性等角度對認證機構提出附加要求，以及通過對認證機構的認可來行使其監管職責。例如，就認證適用范圍而言，有成員國內部（國家級）、成員國間（區域級），以及歐盟范圍內的通用認證（歐盟級，稱為“歐盟數據保護章”），主要區別在于認證標準的審批權限不同。

(四）歐盟數據安全認證主題多樣化

GDPR 第 42 條、第 43 條并未將認證主題限制到某個特定對象。EDPB 認為，只要側重于證明控制者和處理者的處理過程符合《條例》要求均可作為認證主題，如認證主題可以是 GDPR 第 2 章“原則”、第 3 章“數據主體權利”第 1-4 節、第 4 章“數據控制者和處理者”第 1-3 節（除第 31 條）及第 4 節第 37 條、第 5 章“向第三方國家或國際組織傳輸數據”的第 44、46、47 條，以及第 9 章“關于特定處理情形的規定”第 87、88 條。此外，可僅針對條例的某項要求進行認證，如兒童信息的處理、跨境傳輸安全等，這稱為單項認證；也可對個人信息控制者與處理者在 GDPR 下全部義務進行認證，這稱為綜合性認證。

(五）認證機制用于數據出境還缺少足夠的實踐

現實中，由于數據安全是新事物，數據跨境安全認證制度還面臨很多挑戰。例如，認證程序、合格評定方法（如透明度、質量、健全性等）尚無可供參照的基準要求和具體實例，多種認證制度共存的模式使成員國間認證認可結果的互認存在困難。2022 年 5 月 13 日，盧森堡數據保護委員會實施了其本國的 GDPR 認證機制，這被認為是在 GDPR 下第一個國家級的數據安全認證制度，但該制度并不適用于數據出境。2022 年 6 月，歐盟數據保護委員會發布了《認證作為傳輸工具的指南》，這是重要進展。但嚴格而言，歐盟目前并沒有成功建立任何一個用于數據出境的認證制度。

三、借鑒歐盟，需研究解決關于個人信息出境認證的幾個關鍵問題

(一）對誰進行認證

我國《個人信息保護法》未明確對誰進行個人信息出境安全認證。國內普遍認為，應對數據發送者進行認證，沒有必要也很難對境外的數據接收者進行認證。研究歐盟 GDPR 可知，在歐盟數據跨境傳輸場景下，接受認證的是數據接收者。即，要通過認證來證明位于境外的數據控制者或處理者已采取所有必要措施，能夠為來自歐盟的數據提供安全保障。位于境內的數據發送者承擔數據跨境傳輸的總體責任，但不必然需要獲得認證。因此，不對境外數據接收者進行認證毫無意義。一些人擔心，到境外去進行現場審核和發證有難度，但這不能成為取消對境外數據接收者認證的理由。如實施認證確有難度，數據發送者可以采取其他方式進行數據出境。

(二）誰來批準和監管認證機構

我國已經建立了成熟的認證認可制度，同時也正在建立數據安全監管制度。這就帶來一個問題，我國數據安全認證制度由哪個部門負責組建？研究發現，歐盟認為認證認可監管部門或數據安全保護部門都可以作為數據安全認證制度的負責部門，兩者聯合負責亦可。但鑒于數據安全的專業性很強，歐盟總體上傾向于由數據安全保護部門負責實施數據安全認證制度。

(三）如何對數據發送者和接收者進行監督管理

對機構進行認證是靜態和一次性過程，而數據出境則可能是長期的連續行為。我國法律規定，滿足特定條件的個人信息出境行為，必須經過國家網信部門組織的安全評估。其他條件下才可選擇認證等方式。因此，即使某機構通過了個人信息出境認證，也不意味著其某次數據出境行為合法。為此，歐盟提出了“安全認證+承諾”的模式。即，數據接收者通過認證后，還要與認證機構簽署認證合同，與數據發送者簽署數據處理合同，在合同中承諾履行數據保護義務，并同意接受認證機構和數據發送者的監督。此外，歐盟還建議，可通過條約等手段在國家之間建立義務，進一步加強對接收方的監管。

(四）如何互認

國際互認是認證認可領域的通用實踐。我國在若干政策文件中都提出了個人信息保護標準的互認問題。一旦建立個人信息出境安全認證制度，互認也將上升到議事日程。但鑒于數據安全的敏感性，我國應當對國際互認持謹慎態度，即使我國正在加入多個多邊貿易協定。從歐盟情況看，其尚未提出明確的多國間或 GDPR 與其他國際認證結果互認的指南文件。鑒于此，宜對個人信息出境安全認證的國際互認持觀望態度，現階段還不必急于推動個人信息保護認證的互認。

四、我國個人信息出境認證制度的特點

近年來，我國著力建設數據出境安全評估制度，這是一種最嚴格的數據出境方式。但跨境經濟活動的多樣性、國際貿易流通的復雜性決定了，數據出境方式必然是靈活多樣的，因此，必須加快建立個人信息出境安全認證機制，作為數據出境安全評估機制的重要補充，既堅決維護國家安全，又有效促進跨境貿易、便利數據流動。此次發布的《個人信息保護認證實施規則》對此進行了積極探索，其具有以下四個特點。

(一）首先開展數據安全認證頂層設計，個人信息出境安全認證是數據安全認證制度的其中一種應用

個人信息保護認證的對象包括產品、服務和管理體系，這一制度可以發揮多方面作用，用于個人信息出境僅是其中一種。因此，我國從總體上設計了數據安全認證制度，個人信息出境安全認證只是從屬于這一頂層設計而已。即，我國先后發布數據安全管理認證和個人信息保護認證制度文件，明確了數據安全認證的工作架構，但也在其中對個人信息出境安全認證作了特殊安排，具體體現為這種場景下的認證依據是《網絡安全標準實踐指南——個人信息跨境處理活動安全認證規范》。

(二）由國家市場監管總局和國家互聯網信息辦共同實施監管

歐盟在研究 GDPR 認證時，對數據安全認證提出了三種可能的監管模式：傳統認證認可監管部門負責、數據保護機構負責、兩者共同負責。我國采用的模式與后者類似。即，由國家市場監管總局和國家互聯網信息辦公室聯合印發文件，共同實施。市場監管部門對流程、通用能力進行把關。網信部門從數據安全專業性方面進行把關。雖然目前只是發布了認證實施規則，但可以預見，后續將由兩部門共同負責認證機構、審核員的審批和監管。

(三）“急用先上”與“穩步推進”相結合

任何認證，都應當基于標準或技術規范。但數據安全是新事物，標準不一定很完備，這就需要有權威的技術規范。6 月 24 日，全國信息安全標準化技術委員會發布《網絡安全標準實踐指南——個人信息跨境處理活動安全認證規范》，目的便在于此。但是，這畢竟還不是國家標準。只能用于解決暫時問題。為此，早在今年 3 月，全國信息安全標準化技術委員會便提出，要在 2022 年立項制定國家標準《信息安全技術 個人信息跨境傳輸認證要求》。目前，該國家標準的立項工作正在順利推進，有望早日制定完成。

(四）從制度設計上強化對數據發送者和接收者的監督管理

數據出境后，數據安全監管部門難以監管接收者履行數據保護義務的情況，需在合同上下功夫，并壓實數據發送者監督合同履行的責任。為此，《網絡安全標準實踐指南——個人信息跨境處理活動安全認證規范》規定，個人信息處理者和境外接收方之間應當簽訂具有法律約束力和執行力的文件，確保個人信息主體權益得到充分的保障。此外，上述認證規范還要求，個人信息處理者和境外接收方均需承諾接受中華人民共和國認證機構對個人信息跨境處理活動的監督，包括答復詢問、例行檢查等。