認證機制強化個人信息保護，促進數據合規利用

作為落實《網絡安全法》《數據安全法》《個人信息保護法》有關要求的一項數據基礎制度，繼 2022年 6 月 9 日國家市場監督管理總局、國家互聯網信息辦公室聯合印發《關于開展數據安全管理認證工作的公告》（2022 年第 18 號）后，2022年 11 月 4 日，國家市場監督管理總局、國家互聯網信息辦公室聯合印發《關于個人信息保護認證工作的公告》，正式推出我國個人信息保護認證制度。公告的發布，在落實個人信息保護相關政策法規要求，完善數字治理制度體系建設、服務數字經濟發展方面邁出了重要的一步，具有里程碑意義。

一、個人信息保護認證制度是落實法規要求，完善個人信息保護制度體系的一項基礎制度

個人信息保護法對個人信息保護認證制度建設做出了明確要求。我國《個人信息保護法》第 38 條將“按照國家網信部門的規定經專業機構進行個人信息保護認證”作為個人信息跨境流動的合法途徑之一，個人信息保護認證制度（以下簡稱“個保認證”）據此建立。但個保認證制度不僅為跨境情形而設立，其著眼于規范個人信息處理活動，保護個人信息主體權益，目的是證明個人信息處理者特定業務涉及的處理活動符合標準要求。個保認證以 GB/T35273《信息安全技術 個人信息安全規范》標準為基礎和通用評價要求，突出了重在落實政策法規要求、基線合規的特點。針對個人信息跨境處理這一特殊情形，增加了《網絡安全標準實踐指南——個人信息跨境處理活動安全認證規范》的評價要求，也是適應當前國際上普遍認同的在數據跨境傳輸方面應堅持的基本原則和理念。目的是證明個人信息處理者跨境處理個人信息活動符合標準要求，以此保障公民個人信息安全和主體權益，促進數據的合規利用，緊扣《個人信息保護法》制定的核心考慮和初衷。

在全球范圍內，標準與認證歷來是落實政策法規要求的有效方式。在全球最嚴格的數據保護法規—歐盟《通用數據保護條例》（GDPR）下，認證機制仍然被作為幫助企業證明其符合法規/標準要求的重要手段而提出。正如歐盟指出的，認證的特點對于證明企業的個人信息處理活動符合標準要求有天然的優勢，如認證要求的數據處理的文檔化管理，做到一舉一動都有據可查；認證要求的企業應當建立周密的制度安排，包括數據安全管理流程、泄露事故發現、上報預案等。通過認證，一方面可以提高數據處理行為的透明度，便于控制者和處理者展示其處理過程的合規性，使相關方能便捷地了解處理操作的數據保護水平，另一方面也可以作為數據跨境傳輸（轉移至第三國或國際組織）的合法途徑之一。

二、個人信息保護認證重在規范和引導，有利于傳遞信任、服務數字經濟發展

認證認可作為國際通行的質量管理手段和符合世界貿易組織規則的技術性貿易措施，是市場有效運行的質量基礎設施，在提高個人信息保護質量、促進數據安全有序流動和合理利用方面也必將發揮重要作用。

個人信息保護認證定位為國家推行的自愿性認證，以第三方認證的方式證明企業的個人信息處理活動（含跨境處理個人信息）符合法律法規和標準要求，相較于政府監管，更側重于發揮規范和引導作用，具體表現在三個方面：

一是從國家層面來看，個保認證是國家政策法規和標準落地實施的重要抓手，以此促進個人信息保護基線水平的提升，對于保護公民個人權益、維護國家數據安全、加強數據安全治理和促進國家數字經濟高質量發展可以起到重要支撐作用。

二是從平臺和企業層面來看，通過認證，企業能夠對自身個人信息處理情況進行細致的梳理和了解，對照政策法規和標準要求，找到差距和不足之處，以規范化、體系化的方式采取對應的方法和措施，形成合規證據，這個過程本身就是一個企業個人信息保護水平的自我提升過程，能有效地幫助企業減少因數據問題導致的損失，保障企業正常運行。同時，認證作為標準符合性證明的特點，重在規范和引導，為企業滿足標準要求的方式留有選擇和創新空間。此外，通過認證有利于提升企業的品牌形象、提升市場競爭力。特別是涉及跨境個人信息處理的企業，通過認證有利于個人信息處理者相關數據的安全有序流動，從而為企業創造和帶來更大的價值。

同時，比制定制度、采取措施更重要的是有效運行制度、確保措施適宜，并在運行中不斷完善。個保認證機制和模式的設計充分考慮了這一需求，技術驗證和認證審核的過程對企業個人信息處理活動相關制度、措施的有效性、適宜性進行抽樣驗證、審核，通過持續監督、專項監督等方式對發現的問題及整改情況進行跟蹤處理，可以起到督促完善的作用。

三是從用戶/個人消費者方面來看，隨著社會生活的網絡化、數字化程度不斷加深，個人的衣食住行對各類數字化產品、服務和平臺依賴度也越來越高。但與此同時，個人信息被違規收集、使用、非法傳輸等情況屢見不鮮，造成了個人信息主體在選擇和使用這些產品和服務時可能面臨個人信息被違規處理的焦慮和擔憂。個人信息保護認證可以為消費者采購/選擇提供指引，便于選擇和使用經過權威機構認證、相對有質量保障的企業提供的產品和服務，可以提升使用信心，降低個人信息權益被侵犯的風險。

三、個人信息保護認證是便利貿易的重要措施，有利于促進我國數字經濟和數字治理與國際接軌

認證機制作為便利貿易的一種有效手段，對促進數字經濟國際合作，積極參與全球數字治理進程能夠起到重要支撐作用。個人信息跨境安全認證所依據的《個人信息跨境處理活動安全認證規范》以國際通行的合法、正當、必要、公開、透明、信息質量和責任明確原則等個人信息保護基本原則為核心，為個人信息跨境安全認證的國際互認和與國際接軌奠定了重要基礎，為涉及跨境業務的企業實現合規要求提供了有效途徑。

此外，相較于數據出境安全評估，個人信息跨境安全認證以公開、透明的程序和標準對跨境處理個人信息活動進行合規證明，偏向基線要求，認證結果可以為數據出境安全評估提供基礎證據支持。相較于個人信息出境標準合同模板，認證也對境內發送方和境外接收方提出了簽署具有法律效力合同的要求。更重要的是，認證通過專業技術機構驗證、現場審核和獲證后監督相結合的模式，以第三方證明的方式對個人信息跨境處理活動持續符合標準要求予以證明，覆蓋更加全面、完整，更具有公信力。