2022年11月4日，國家市場監(jiān)督管理總局、國家互聯(lián)網(wǎng)信息辦公室聯(lián)合發(fā)布《關(guān)于實(shí)施個(gè)人信息保護(hù)認(rèn)證的公告》，標(biāo)志著我國個(gè)人信息保護(hù)認(rèn)證制度正式建立。近日，國家互聯(lián)網(wǎng)信息辦公室就《個(gè)人信息出境個(gè)人信息保護(hù)認(rèn)證辦法（征求意見稿）》公開征求意見，對個(gè)人信息出境個(gè)人信息保護(hù)認(rèn)證制度的適用情形和對象、認(rèn)證評價(jià)內(nèi)容、實(shí)施過程、認(rèn)證結(jié)果的使用等關(guān)鍵環(huán)節(jié)做出了細(xì)化完善。落實(shí)《個(gè)人信息保護(hù)法》要求，認(rèn)證是我國個(gè)人信息向境外提供管理制度體系的組成部分。作為國際通行的市場監(jiān)督管理的重要制度手段，個(gè)人信息出境個(gè)人信息保護(hù)認(rèn)證將在便利個(gè)人信息出境活動(dòng)、保護(hù)個(gè)人信息權(quán)益、促進(jìn)個(gè)人信息高效便利安全跨境流動(dòng)等方面發(fā)揮重要作用。

一、認(rèn)證適用情形和對象

個(gè)人信息出境個(gè)人信息保護(hù)認(rèn)證適用于以下三種情形：一是個(gè)人信息處理者將在境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息傳輸至境外；二是個(gè)人信息處理者收集和產(chǎn)生的個(gè)人信息存儲(chǔ)在境內(nèi)，境外的機(jī)構(gòu)、組織或者個(gè)人可以查詢、調(diào)取、下載、導(dǎo)出；三是符合《個(gè)人信息保護(hù)法》第三條第二款情形，在境外處理境內(nèi)自然人個(gè)人信息等其他個(gè)人信息處理活動(dòng)。前兩種情形下的認(rèn)證委托人為開展個(gè)人信息出境處理活動(dòng)的個(gè)人信息處理者，第三種情形下的認(rèn)證委托人為境外個(gè)人信息處理者，由其在境內(nèi)設(shè)立的專門機(jī)構(gòu)或指定代表具體辦理。

個(gè)人信息出境個(gè)人信息保護(hù)認(rèn)證的對象是個(gè)人信息出境處理活動(dòng)。認(rèn)證范圍涵蓋個(gè)人信息出境處理活動(dòng)涉及的組織范圍、業(yè)務(wù)范圍、系統(tǒng)范圍等，涉及個(gè)人信息出境處理活動(dòng)的組織管理、制度措施、技術(shù)處理等方面。認(rèn)證委托人申請認(rèn)證應(yīng)根據(jù)自身個(gè)人信息擬出境情況，梳理清楚出境涉及的個(gè)人信息、業(yè)務(wù)范圍、組織范圍、系統(tǒng)范圍等情況，明確認(rèn)證范圍。

二、認(rèn)證評價(jià)內(nèi)容

認(rèn)證評價(jià)內(nèi)容主要落實(shí)個(gè)人信息保護(hù)法等相關(guān)法律法規(guī)要求。評價(jià)主要內(nèi)容包括個(gè)人信息出境合法性、正當(dāng)性、必要性，境外處理個(gè)人信息的政策法律和網(wǎng)絡(luò)和數(shù)據(jù)安全環(huán)境、個(gè)人信息保護(hù)水平、個(gè)人信息處理者和境外接收方訂立的有法律約束力的協(xié)議情況及其組織架構(gòu)、管理體系、技術(shù)措施情況等方面。從認(rèn)證評價(jià)依據(jù)標(biāo)準(zhǔn)看，一方面要落實(shí)個(gè)人信息處理活動(dòng)的通用要求，認(rèn)證評價(jià)標(biāo)準(zhǔn)為GB/T 35273《信息安全技術(shù) 個(gè)人信息安全規(guī)范》，該標(biāo)準(zhǔn)從個(gè)人信息安全基本原則、個(gè)人信息的收集、存儲(chǔ)、使用、委托處理、共享、轉(zhuǎn)讓、公開披露，以及個(gè)人信息主體的權(quán)利、個(gè)人信息安全事件處理、組織的個(gè)人信息安全管理要求等諸方面做出了相關(guān)要求。另一方面還應(yīng)滿足個(gè)人信息出境處理活動(dòng)相關(guān)要求，認(rèn)證評價(jià)標(biāo)準(zhǔn)為TC260-PG-20222A《個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范》的要求，該規(guī)范主要針對個(gè)人信息出境處理活動(dòng)從基本原則、個(gè)人信息處理者和境外接收方的基本要求、個(gè)人信息主體權(quán)益保障等方面提出了要求。

三、認(rèn)證實(shí)施流程

個(gè)人信息出境個(gè)人信息保護(hù)認(rèn)證流程包括認(rèn)證申請、技術(shù)驗(yàn)證、現(xiàn)場審核、認(rèn)證決定、獲證后監(jiān)督5個(gè)主要環(huán)節(jié)。認(rèn)證委托人向認(rèn)證機(jī)構(gòu)提交認(rèn)證申請資料，認(rèn)證機(jī)構(gòu)對申請資料進(jìn)行評審后作出受理決定并確定認(rèn)證方案，采用技術(shù)檢測、現(xiàn)場核查、人員訪談等方式進(jìn)行技術(shù)驗(yàn)證和現(xiàn)場審核，認(rèn)證機(jī)構(gòu)根據(jù)申請資料、技術(shù)驗(yàn)證報(bào)告和現(xiàn)場審核報(bào)告等進(jìn)行綜合評價(jià)，作出認(rèn)證決定。認(rèn)證決定通過后，認(rèn)證機(jī)構(gòu)向認(rèn)證委托人頒發(fā)認(rèn)證證書，并授權(quán)獲證組織使用規(guī)定的認(rèn)證標(biāo)志。獲證后監(jiān)督是為確保個(gè)人信息處理者在獲得證書后持續(xù)滿足認(rèn)證標(biāo)準(zhǔn)的要求，維持認(rèn)證證書有效性。具體可參考流程圖。

個(gè)人信息出境個(gè)人信息保護(hù)認(rèn)證流程圖

四、認(rèn)證時(shí)限及認(rèn)證證書

認(rèn)證時(shí)限是指自認(rèn)證受理之日起至作出認(rèn)證決定所實(shí)際發(fā)生的工作日，包括認(rèn)證申請資料審核時(shí)間、技術(shù)驗(yàn)證時(shí)間、現(xiàn)場審核時(shí)間、認(rèn)證決定和證書批準(zhǔn)以及制作時(shí)間，一般為70個(gè)工作日（不包含整改時(shí)間）。

認(rèn)證證書有效期為3年。在有效期內(nèi)，通過認(rèn)證機(jī)構(gòu)的獲證后監(jiān)督，保持認(rèn)證證書的有效性。證書到期還需延續(xù)使用的，認(rèn)證委托人應(yīng)在有效期屆滿前6個(gè)月內(nèi)向認(rèn)證機(jī)構(gòu)提出認(rèn)證申請。認(rèn)證機(jī)構(gòu)采用獲證后監(jiān)督的方式，對符合認(rèn)證要求的認(rèn)證委托人換發(fā)新證書。當(dāng)發(fā)生認(rèn)證證書簽發(fā)、暫停、注銷等情形時(shí)，認(rèn)證機(jī)構(gòu)在5個(gè)工作日內(nèi)及時(shí)向主管部門報(bào)送相關(guān)情況。

五、如何申請個(gè)人信息保護(hù)認(rèn)證

個(gè)人信息處理者在認(rèn)證申請時(shí)，應(yīng)提交認(rèn)證申請書、自評價(jià)表以及相關(guān)附件證明材料。為便于認(rèn)證順利開展，提高認(rèn)證工作效率，申請個(gè)人信息出境個(gè)人信息保護(hù)認(rèn)證的委托人可提前了解標(biāo)準(zhǔn)要求和認(rèn)證流程、下載相應(yīng)模板，如實(shí)、準(zhǔn)確填報(bào)認(rèn)證申請書、自評價(jià)表，準(zhǔn)備好附件證明材料。個(gè)人信息出境個(gè)人信息保護(hù)認(rèn)證范圍與個(gè)人信息種類、數(shù)量、敏感程度以及個(gè)人信息出境處理情況、個(gè)人信息處理者組織管理、境外接收方個(gè)人信息保護(hù)水平和法律環(huán)境等密切相關(guān)，不同業(yè)務(wù)場景的評價(jià)方法和適用指標(biāo)需要根據(jù)實(shí)際情況進(jìn)行對照分析，需要企業(yè)的密切配合和充分溝通。

中國網(wǎng)絡(luò)安全審查認(rèn)證和市場監(jiān)管大數(shù)據(jù)中心作為開展個(gè)人信息保護(hù)認(rèn)證、數(shù)據(jù)安全管理認(rèn)證和App安全認(rèn)證的專業(yè)認(rèn)證機(jī)構(gòu)，為個(gè)人信息出境個(gè)人信息保護(hù)認(rèn)證制度實(shí)施提供支撐。當(dāng)收到個(gè)人信息處理者申請多項(xiàng)個(gè)人信息保護(hù)相關(guān)認(rèn)證時(shí)，將根據(jù)實(shí)際情況盡可能采取證據(jù)重用，滿足認(rèn)證要求的同時(shí)盡可能降低企業(yè)負(fù)擔(dān)。（作者：陳世翔，中國網(wǎng)絡(luò)安全審查認(rèn)證和市場監(jiān)管大數(shù)據(jù)中心網(wǎng)絡(luò)安全審查五處處長）