网络数据安全企业安恒信息(688023.SH)首席标准研究员周亚超认为,《认证规则》是一种共同治理的策略,也即先由相关实体制定针对具体活动或行为的标准,同时这样的标准在一定程度上获得监管机构的认可,随后由组织在其内部实施落地。使用这种策略的原因是,在数字化转型的浪潮下,数据处理场景、数据类型多样,仅靠网络安全监管手段难以有效覆盖,需要鼓励多方参与,包括政府部门、监管机构、院校、数据运营者、网络服务提供者等。
周亚超分析说,《认证规则》中并未有强制性规定,而是采取自愿的原则,这已经提供了一个很好的共同治理的前提,让不同角色根据需要参与到网络安全和数据安全的治理中。在周亚超看来,这种“自证”的方式,是一条切实可行的路。“其重要价值在于,在监管中为创新留下空间,进而鼓励进一步的市场竞争。”
完善数据跨境的规则体系
让业界颇为关注的是,《认证规则》既包含了通用的个人信息保护认证制度,也建立了针对数据出境场景的个人信息出境认证制度。
据左晓栋介绍,申请个人信息保护认证的个人信息处理者应当符合国家推荐标准(GB/T 35273《信息安全技术个人信息安全规范》)的要求;但如果要在个人信息出境时采信认证结论,还必须符合技术文件(TC260-PG-20222A《个人信息跨境处理活动安全认证规范》)的要求。
何延哲认为,确立数据跨境的认证模式,是《认证规则》中的一个新的价值点。吴沈括也向财经E法表示,个人信息保护认证是对接国际主流实践、培育个人信息流转利用良性生态的重要举措。一方面,数据出境在法律层面有关于认证机制出境的制度设计,需要有配套的落地细则规范;另一方面是在原有的国家标准中,没有关于数据跨境的专门规定,因此需要通过前述技术文件来予以补充,形成制度的闭环。
左晓栋透露,TC260-PG-20222A《个人信息跨境处理活动安全认证规范》可能会被新的国家标准《信息安全技术个人信息跨境传输认证要求》所代替,权威性会进一步增强。
依据《个人信息保护法》,个人信息出境应当具备下列条件之一:(1)安全评估:通过网信部门组织的安全评估;(2)认证:按照网信部门规定经专业机构进行个人信息保护认证;(3)标准合同:按照网信部门制定的标准合同与境外接收方订立合同;(4)法律、行政法规或者国家网信部门规定的其他条件。也就是说,机构在个人信息出境时,除了选择安全评估和标准合同以外,还可以选择认证的方式进行个人信息出境。因而,数据跨境成为《认证规则》适用的重要场景之一。
根据海问律师事务所的解读,安全评估具有优先地位和国家安全站位;标准合同是一种无需审查、相对轻量级的跨境机制;而跨境认证由专业机构对个人信息处理者及境外接收方的数据保护水平进行审查,不仅可以作为跨境机制,亦可成为企业证明自身合规水平的有效方式。
哪些机构和业务场景更适合做个人信息保护认证?
左晓栋认为,由于个人信息保护认证是第三方机构对企业个人信息保护的能力,给予的供社会广泛采信的背书,因此开展大量个人信息处理活动的企业或机构,以及业务受数据驱动明显的企业或机构,最适合做个人信息保护认证。他举例,即时通信、网盘、网约车、互联网医疗、互联网金融等服务,都是典型的拥有大量数据处理的业务场景,尤其是涉及到大量个人信息。开展类似业务的企业或机构就可以通过做个人信息保护认证,来获取用户信任,以更好地树立企业形象、保障业务可持续发展。
分类来看,涉及跨境的,TC260-PG-20222A《个人信息跨境处理活动安全认证规范》点出了跨境认证的典型适用场景:
其一,跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动(“集团内跨境”)。多位律师与业内人士对财经E法称,这类似于欧盟《通用数据保护条例》(简称“GDPR”)下的有约束力的行为准则(Binding Corporate Rules,简称“BCR”)模式。
其二,《个人信息保护法》第3条第2款规定的境外个人信息处理者分析、评估境内自然人的行为(“域外管辖”)。
而针对在境内,吴卫明也列举了三个具体场景。
首先,如果政府招标时要求具备个人信息保护认证的企业才能参与,认证过的企业就比没有认证过的企业拥有更多机会。
其次,若某企业帮金融机构做业务导流,不可避免地会把个人信息推给金融机构。金融机构需要知道这些个人信息是否合法,但又不能到一线去监督个人信息数据的产生过程,只能从流程或者内部控制上来评估所提供的数据是否安全。“此时,如果企业做了个人信息保护认证,那么它得到认可的可能性就会更大。”
最后,若某公司需要将软件开发或者系统开发的工作承包给乙方公司,有能证明个人信息保护能力资质的乙方公司,会让客户更放心。
面对新的认证规则,企业该如何应对?
周亚超向财经E法透露,《认证规则》出台后,安恒信息已接到不少客户的咨询,包括适不适合做认证、怎么做认证,以及认证的价值等问题。周亚超发现,很多企业想通过认证来证明或提升自身的个人信息保护能力。此外,大型企业会比中小型企业意愿更强烈,因为认证是有成本的,不仅需要整改,且满足认证当中所规定的相关制度、技术以及和相应的安全措施,甚至还要配备专业人员等。
“这对于中小型企业来说可能负担较重。”周亚超说。
不过从企业角度,周亚超希望看到实际案例和激励措施落地。比如,企业如果做到了自证合规,并具备安全保障措施,但依然没有避免安全事件和风险,“是否能有一定程度的减轻或者豁免安全责任等?”
吴卫明认为,《认证规则》可以为产业界提供更明确的合规指导,同时也能带动个人信息安全咨询和相关合规工具的发展,进而推动建立更好的产业生态,并引导好的企业脱颖而出。“企业应该积极响应监管要求做到自证合规,“ 吴卫明说。“也会促进企业更好的发展”。
左晓栋援引数据出境安全的例子称,传统产品和服务解决不了企业的如下问题:如何证明实际出境的数据是合规的,没有境外业务是否会发生数据出境,以及如何监测出境数据等等。他指出,包括个人信息保护认证在内的数据安全评定将直接催生大量数据安全咨询需求,且各类机构亟需数据安全合规工具的支持,这都将成为企业新的业务增长点。
相关阅读 >>
爱立信ceo发出警告:全球5g或6g标准分裂,中国通信会更强大
更多相关阅读请进入《新闻资讯》频道 >>
