Feature网事焦点36/2022.12文│中国科学技术大学公共事务学院许皖秀左晓栋把握我国实施个人信息出境认证的几个要点当前,我国正在抓紧建立符合国际惯例的数据出境安全管理制度。2021年,《个人信息保护法》发布实施,对个人信息出境设置了多种方式,包括“按照国家网信部门的规定经专业机构进行个人信息保护认证”。这一法律规定既提出了“个人信息保护认证”的概念,也确立了“个人信息出境认证”的出境方式。认证机制作为个人信息的出境方式,是国际通行的做法,但尚未有成熟实施模式,各国也均在探索之中。近日,国家市场监管总局、国家互联网信息办公室联合印发公告,发布了《个人信息保护认证实施规则》,标志着我国个人信息出境认证制度正式进入实施阶段。这一制度借鉴了欧盟有关经验,并充分考虑了我国具体国情。一、个人信息保护认证与个人信息出境认证的关系根据我国《认证认可条例》,认证是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。这一规定指出了认证的对象,即产品、服务、管理体系。因此,“个人信息保护认证”是一个总体概念,其可以针对产品,也可以针对服务和管理体系。即,可以对一个产品是否能够保护用户的个人信息进行认证,也可以对企业、机构在开展某种活动中能否保护用户个人信息进行认证,还可以对企业机构自身是否能够保护用户个人信息进行认证,只是具体依据的技术依据不同而已。显然,无论个人信息是否出境,个人信息处理者都有申请个人信息保护认证的客观需要,即我国建立的是通用的个人信息保护认证制度。但如果要在个人信息出境时采信认证结论,这还是不够的,需针对个人信息出境场景增加认证要求。这意味着,个人信息出境认证制度是个人信息保护认证制度的子集和增量。也正因为如此,本次公布的个人信息保护认证,依据标准是GB/T35273《信息安全技术个人信息安全规范》和《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》。申请个人信息保护认证的个人信息处理者应符合GB/T35273《信息安全技术个人信息安全规范》的要求;但如果认证结论要用于个人信息出境,还需符合《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》的要求。二、个人信息出境认证是崭新制度,欧盟提供了先例(一)欧盟立法规定了认证制度是数据出境方式之一欧盟在其《通用数据保护条例》(GDPR)中规定了多种从欧盟地区向外传输数据的方式,包括标准合...
