据国家市场监督管理总局官网公告,近日,国家市场监督管理总局、国家互联网信息办公室决定实施个人信息保护认证,鼓励个人信息处理者通过认证方式提升个人信息保护能力。从事个人信息保护认证工作的认证机构应当经批准后开展有关认证活动,并按照《个人信息保护认证实施规则》(以下简称《规则》)实施认证。
为何要实施个人信息保护认证?如何认证?具体规则包括哪些?一起来看——
01 个人信息泄露事件频发,落实法律法规刻不容缓
这样的情况,想必大家并不陌生:当你下载完一个新软件并首次打开时,总会收到一条关于读取某些信息权限的提示,不知你是否认真思考过,应用方是否有权限搜集这些信息数据?这些个人信息又能否得到妥善“保管”?……信息时代的高速发展,生活方式的更新迭代,使得众多应用软件应运而生。为追求更优的算法推荐、更好的个性化定制,这些应用的运行,往往需要海量个人信息数据的加持。但是,若维护不力、保管不当或被不法分子入侵,便极易引发网络安全事故,泄露个人信息,危害用户权益。
2018年,中国消费者协会曾发布过一份《App个人信息泄露情况调查报告》(以下简称《报告》)。《报告》称,手机App过度采集个人信息呈现普遍趋势。且根据调查结果,手机App需要获取的权限种类繁多,最突出的是获取位置信息和访问联系人权限。而且,一些App还出现了在自身功能使用非必要的情况下获取用户隐私权限的问题,增加了个人信息泄露的风险。
又如,2022年1月,公安部公布的2021年侵犯公民个人信息犯罪十大典型案例之一的广东公安机关破获某公司非法获取公民个人信息实施诈骗案。广东公安网安部门侦查查明,珠海某艺术品策划公司从某App维护人员汪某处购买App在运营过程中获取的古董持有人员个人信息200万余条,以协助拍卖古董为名,骗取客户服务费、托管费,非法牟利1.9亿余元。该公司员工邝某、黄某为谋取私利,将公司非法获取的个人信息向其他电信网络诈骗团伙贩卖。
再如,2022年7月21日,国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规,对滴滴全球股份有限公司处人民币80.26亿元罚款。
02 规范个人信息使用制度,促进企业参与数字竞争
数据安全认证是我国数据安全治理体系的重要组成部分。针对越来越多个人信息被泄露、被贩卖等市场乱象,2021年8月,我国出台首部个人信息保护方面的专门法律《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),并已于2021年11月1日起施行。《个人信息保护法》与《中华人民共和国民法典》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国电子商务法》《消费者权益保护法》等共同编织成一张消费者个人信息“保护网”。
基于此,为贯彻落实《个人信息保护法》有关规定,规范个人信息处理活动,促进个人信息合理利用,根据《中华人民共和国认证认可条例》,国家市场监督管理总局、国家互联网信息办公室决定实施个人信息保护认证,要求从事个人信息保护认证工作的认证机构应当经批准后开展有关认证活动,并按照《个人信息保护认证实施规则》实施认证。
此外,欧盟的GDPR(《通用数据保护条例》)作为全球公认的个人信息保护标杆,本次《规则》也对其进行了参考。《个人信息保护法》第三十八条指出,个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;(二)按照国家网信部门的规定经专业机构进行个人信息保护认证……“条件(二)”明确,个人信息保护认证可以作为数据出境的一种途径,这与欧盟GDPR第四十二条规定一致。因此,《规则》在避免个人信息被过度采集、使用的同时,不仅提高了全社会的个人信息保护意识,同时也进一步完善了我国数据出境安全管理制度,有利于我国企业参与到全球数字经济的市场竞争中去。
03 明确认证实施流程,规范认证证书及标志
《规则》规定了对个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证的基本原则和要求。同时,《规则》明确个人信息保护认证的认证模式为:技术验证+现场审核+获证后监督。
认证实施程序方面,《规则》指出,认证机构应当明确认证委托资料要求,包括但不限于认证委托人基本材料、认证委托书、相关证明文档等。认证委托人应当按认证机构要求提交认证委托资料,认证机构在对认证委托资料审查后及时反馈是否受理。认证机构应当根据认证委托资料确定认证方案,包括个人信息类型和数量、涉及的个人信息处理活动范围、技术验证机构信息等,并通知认证委托人。
技术验证机构应当按照认证方案实施技术验证,并向认证机构和认证委托人出具技术验证报告。认证机构实施现场审核,并向认证委托人出具现场审核报告。
认证机构根据认证委托资料、技术验证报告、现场审核报告和其他相关资料信息进行综合评价,作出认证决定。对符合认证要求的,颁发认证证书;对暂不符合认证要求的,可要求认证委托人限期整改,整改后仍不符合的,以书面形式通知认证委托人终止认证。
对于获证后监督,《规则》要求,认证机构应当在认证有效期内,对获得认证的个人信息处理者进行持续监督,并合理确定监督频次。认证机构对获证后监督结论和其他相关资料信息进行综合评价,评价通过的,可继续保持认证证书;不通过的,认证机构应当根据相应情形作出暂停直至撤销认证证书的处理。
关于认证证书,《规则》明确,认证证书有效期为3年。在有效期内,通过认证机构的获证后监督,保持认证证书的有效性。证书到期需延续使用的,认证委托人应当在有效期届满前6个月内提出认证委托。认证机构应当采用获证后监督的方式,对符合认证要求的委托换发新证书。