总第137期 聚焦个人信息跨境新规:个人信息保护认证办法征求意见解析
编者按
2025年1月3日,国家互联网信息办公室(以下简称“网信办”)发布了《个人信息出境个人信息保护认证办法(征求意见稿)》(以下简称“《征求意见稿》”),公开征求意见,截止日期为2025年2月3日。《征求意见稿》作为《个人信息保护法》《网络数据安全管理条例》等法律的配套文件,标志着2025年数据保护领域立法的开端。这一举措对规范个人信息跨境流动、保障个人信息安全具有重要意义,或将成为境外处理者合规处理境内个人信息的最佳实践方案。
《征求意见稿》全文共20条,明确了个人信息保护认证的适用范围、条件及主要内容,旨在落实《个人信息保护法》第三十八条第一款第二项关于通过认证实现个人信息出境的规定。本期热点话题将对其关键内容进行解析,供参考。
目录
背景
根据目前中国数据出境合规的监管框架,企业出境数据时,应结合自身的主体类型、出境数据的类型综合判断认定,是否需要额外:(i)申报并通过数据出境安全评估,(ii)订立个人信息保护标准合同,或(iii)通过个人信息安全保护认证(以下合称为“出境前置程序”)。具体而言:
1. 如果企业拟出境的数据为重要数据的,应当申报并通过网信办的数据出境安全评估。
2. 如果企业拟出境的数据为个人信息的,则满足以下任一条件,便应当申报并通过网信办的数据出境安全评估:(i)企业被认定为关键信息基础设施运营者的;(ii)处理100万人以上个人信息的;(iii)自上年1月1日起累计向境外提供10万人个人信息的;或(iv)自上年1月1日起累计向境外提供1万人敏感个人信息的。
3. 若拟出境的数据为个人信息,且未满足上述任一情形的,则可以选择(i)订立并备案个人信息保护标准合同,或(ii)通过个人信息安全保护认证后出境个人信息。
我国在个人信息出境管理方面已迈出重要一步。自2023年6月1日起,《个人信息出境标准合同办法》已开始实施,为向境外提供个人信息提供了具体指导和规范。
对于个人信息安全保护认证,2022年11月4日,国家市场监督管理总局、国家互联网信息办公室联合发布《关于实施个人信息保护认证的公告》,标志着我国个人信息保护认证制度正式建立。
作为中国个人信息出境合规的路径之一,个人信息出境认证结果与个人信息出境标准合同备案结果具有同等的法律效力。
《征求意见稿》主要内容及要点
一、对个人信息出境活动的规定
对于个人信息出境活动,《征求意见稿》维持了现行的监管思路,即三种情形:(1)个人信息处理者将在境内运营中收集和产生的个人信息传输至境外;(2)个人信息处理者收集和产生的个人信息存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;(3)符合《中华人民共和国个人信息保护法》第三条第二款情形,在境外处理境内自然人个人信息等其他个人信息处理活动。
值得注意的是第三种情形,《个人信息保护法》第三条第二款情形属于境外直接处理,按照跨境监管逻辑,这是数据出境的情形之一,应当符合数据出境的相关要求。境外直接处理和数据出境具有相似性,但在法律形式上有所差别,中国和欧盟采取了不同的监管思路。欧盟《通用数据保护条例》(GDPR)中没有对数据跨境(transfer)进行界定,因此欧盟数据保护委员会(EDPB)通过《关于GDPR第三条和第五章跨境传输条款相互影响的指南》(Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR)进行了释明。其中,EDPB认为境外直接处理的情形下,因为在欧盟境内并无一个出口者(exporter),而是由境外方跨境直接处理了个人数据,且该境外方受GDPR管辖,所以这不构成数据出境(transfer)。EDPB解释称,跨境监管的目的在于保证数据接收方不会降低数据保护水平,而境外直接处理的情形中,境外处理者本身就落入了GDPR的监管框架,因此没有必要再通过跨境进行监管。
当然,我国采取了与欧盟不同的态度,无论是数据出境安全评估以及个人信息标准合同,还是本次《征求意见稿》中对数据出境的界定,都将跨境直接处理视为数据出境。2024年9月,广州互联网法院公布的国内首例跨境传输个人信息纠纷的判决书,某高公司住所地位于法国,在中国境内并无实体,属于在境外直接处理个人信息。法院认为,某高公司的处理活动符合《个人信息保护法》第三条第二款的情形,受《个人信息保护法》管辖,同时亦认为其处理活动属于数据跨境。可见,在境外直接处理与数据跨境的问题上,司法机关与行政机关的态度基本一致。
二、对适用情形的规定
《征求意见稿》对适用情形同样维持了现行的监管思路,明确为三点:(1)非关键信息基础设施运营者;(2)自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息;(3)不包含重要数据。
根据《个人信息保护法》《促进和规范数据跨境流动规定》等要求,关键信息基础设施运营者向境外提供个人信息或者重要数据,以及数据处理者向境外提供重要数据,都需要申报数据出境安全评估。保护认证仅适用于一定数量的个人信息数据出境场景。
三、个人信息出境个人信息保护认证机构
根据《征求意见稿》,个人信息保护认证遵循自愿性、市场化、社会化服务原则。个人信息保护认证是由个人信息处理者自主选择的一种方式,但这是一种相对自由的出境方式。根据法律规定,符合条件的个人信息出境活动,可以通过个人信息保护认证或者签订个人信息保护标准合同的方式出境。也就是说,个人信息处理者进行个人信息出境活动,其个人信息达到相应阈值的,必须办理相关手续,可以选择标准合同,也可以选择保护认证。
个人信息保护认证的机构是“具备资质的专业认证机构”。相较于国家市监总局和国家网信办联合发布的《关于实施个人信息保护认证的公告》,《征求意见稿》明确了个人信息出境个人信息保护认证的专业认证机构的资质要求,相应的专业机构应当具备专业资质,并向国家网信部门办理备案手续。
四、如何获得个人信息保护认证?
根据《关于实施个人信息保护认证的公告》随附的《个人信息保护认证实施规则》,个人信息保护认证的认证模式为:技术验证+现场审核+获证后监督,对于开展跨境处理活动的个人信息处理者,应当符合GB/T 35273《信息安全技术 个人信息安全规范》和TC260-PG-20222A《个人信息跨境处理活动安全认证规范》的要求。《征求意见稿》中明确个人信息出境个人信息保护认证的重点评定内容为六项。具体保护:
(1)处理得当。评定个人信息出境的目的、范围、方式等的合法性、正当性、必要性;
(2)影响评估。评定境外个人信息处理者、境外接收方所在国家或者地区的个人信息保护政策法律和网络和数据安全环境对出境个人信息安全的影响;
(3)同等保护。评定境外个人信息处理者、境外接收方的个人信息保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求;
(4)协议约定。评定个人信息处理者与境外接收方订立的有法律约束力的协议是否约定了个人信息保护的义务;
(5)保障措施。评定个人信息处理者、境外接收方的组织架构、管理体系、技术措施能否充分有效保障数据安全和个人信息权益;
(6)其他事项。专业认证机构根据个人信息保护认证相关标准认为需要评定的其他事项。
五、认证后的监督
《征求意见稿》第九条第二款中规定,中华人民共和国境外的个人信息处理者申请个人信息保护认证的,……在认证有效期内接受专业认证机构的持续监督。但是,《征求意见稿》并未规定认证的有效期。《个人信息保护认证实施规则》中明确认证证书有效期为3年。《征求意见稿》第七条中规定,国家市场监督管理部门会同国家网信部门组织制定个人信息出境个人信息保护认证实施规则、统一认证证书及标志。因此,现行的《个人信息保护认证实施规则》的跨境部分有可能被新的实施规则所替代。而无论如何,认证证书势必有确定的有效期,在有效期内,个人信息处理者仍需受到相应的监督。具体包括三个方面:
(1)监管侧。具体而言,监管部门对个人信息保护认证的监督包括三种情形:国家市场监督管理部门会同国家网信部门对个人信息出境个人信息保护认证活动进行监督,对认证过程和认证结果进行抽查,对专业认证机构进行评价;国家网信部门和有关部门发现获证个人信息处理者存在个人信息出境情况与认证范围不一致等不再符合认证要求的,专业认证机构应当配合及时暂停、撤销相关认证证书并予以公布;省级以上网信部门和有关部门发现获证个人信息处理者存在较大风险或者发生个人信息安全事件的,可以采取约谈、要求整改等措施。
(2)专业认证机构。专业认证机构的监督包括两种情形:专业认证机构发现获证个人信息处理者存在个人信息出境情况与认证范围不一致等不再符合认证要求的,应当及时暂停、撤销相关认证证书并予以公布;专业认证机构在开展认证活动中,发现个人信息出境活动危害国家安全、公共利益或者严重影响个人信息权益的,应当及时向国家网信部门及有关部门报告。
(3)社会公众。任何组织和个人发现获证个人信息处理者违法向境外提供个人信息的,可以向省级以上网信部门和有关部门举报。
小结而言,持证后的监督主体为网信部门、专业认证机构以及社会公众。专业认证机构有权暂停、撤销认证证书,其可以自行进行决定,也可以依据国家网信部门和有关部门的指示进行。有权指示暂停、撤销认证证书的是国家层面,而省级网信部门和有关部门可以通过约谈等方式要求整改,消除隐患。
内容来源:个人信息出境选择保护认证还是标准合同?——解读《个人信息出境个人信息保护认证办法(征求意见稿)》
《征求意见稿》重点关注问题解析
问题一:什么是出境个保认证?与其他个人信息保护认证的区别?
根据《征求意见稿》第三条规定,出境个保认证是指依法设立并经国家市场监督管理部门批准取得个人信息保护认证资质的专业认证机构,对个人信息处理者个人信息出境活动开展的个人信息保护认证。该规定呼应了《个保法》第三十八条所规定的“个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应具备下列条件之一:……(三)按照国家网信部门的规定经专业机构进行个人信息保护认证”,是个保认证在个人信息出境情形下的适用。
那么出境个保认证与一般的个保认证有何区别呢?主要区别在于认证对象、认证依据与认证标志的不同。在认证对象方面,前者仅针对个人信息跨境处理活动,后者的范围比较广泛,包含了对个人信息收集、存储、使用、加工、传输、提供、公开、删除等处理活动的认证。比如《个人信息保护认证实施规则》(以下简称“《认证规则》”)第二条就对两类认证对象进行了说明,针对一般的个保认证应当符合《信息安全技术 个人信息安全规范》(GB/T 35273)(以下简称“《个人信息安全规范》”)的要求,而对于开展跨境处理活动的个人信息处理者,除了须符合一般性个保认证的要求以外,还应进一步符合针对跨境数据处理活动相关的《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》(以下简称“《认证规范V2.0》”)的要求(由于《信息安全技术 个人信息跨境传输认证要求(征求意见稿)》(以下简称“《跨境认证要求(征)》”)还在编制中,后续正式出台后将可能代替《认证规范V2.0》,成为跨境数据处理活动的认证依据)。此外,根据《认证规则》第5.2条,两者的认证标志也有所不同,具体如下方图示。
.png)
问题二:境内境外主体申请出境个保认证有何不同?
根据《征求意见稿》第九条,中华人民共和国境内的个人信息处理者自愿向专业认证机构申请个人信息出境个人信息保护认证。中华人民共和国境外的个人信息处理者申请个人信息出境个人信息保护认证的,应当由其在境内设立的专门机构或者指定代表协助进行申请,并承担相应的法律责任,承诺遵守中华人民共和国个人信息保护有关法律法规并接受监督管理,在认证有效期内接受专业认证机构的持续监督。对于申请的主体,《征求意见稿》延续了《认证规范V2.0》的规定,保持一律由境内主体提交认证申请的基本思路,即境内个人信息处理者直接申请出境个保认证,境外个人信息处理者由其境内设立主体或指定代表协助申请出境个保认证,《认证规范》提及了下述情形:
(一)境内个人信息处理者为其所在的跨国公司或者同一经济、事业实体下属子公司或关联公司开展个人信息跨境处理活动;
(二)境内个人信息处理者向无关联关系的其他境外公司开展个人信息跨境处理活动。
而《征求意见稿》第九条则从字面上对《认证规范V2.0》个人信息跨境处理的适用场景范围进行了扩展,涵盖了除跨国公司或者同一经济、事业实体下关联公司数据跨境以外的更多数据跨境处理活动,更加符合实际中数据跨境流动的情形。
| 法规名称 | 《认证规范V2.0》 | 《征求意见稿》 | ||
| 适用情形 | 跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动 | 境外个人信息处理者直接收集中国境内的个人信息 | 中华人民共和国境内的个人信息处理者自愿向专业认证机构申请个人信息出境个人信息保护认证 | 境外的个人信息处理者申请个人信息出境个人信息保护认证 |
| 申请主体 | 境内一方 | 境外个人信息处理者在中国境内设置的专门机构或指定代表 | 境内个人信息处理者 | 境外个人信息处理者在中国境内设置的专门机构或指定代表 |
同时,还应注意到,依据《个保法》第三十八条和《征求意见稿》第三条所规定的适用范围,出境个保认证不适用于受托方,这一点与GDPR项下的数据控制者(data controller)与数据处理者(data processor)都可以获得数据跨境认证存在明显不同。
问题三:企业需要提交什么材料申请出境个保认证?
尽管《征求意见稿》未明确列出个人信息处理者申请出境个保认证时所需提交的具体材料清单,但2022年发布的《认证规则》规定,认证委托资料应包括但不限于认证委托人基本材料、认证委托书及相关证明文件等。同时,根据我们向中国网络安全审查认证和市场监管大数据中心(以下简称“网安审认证和市监大数据中心”)咨询的结果以及网信办于2024年3月22日发布的《〈促进和规范数据跨境流动规定〉答记者问》,企业可以通过个人信息保护认证管理系统(具体网址为 https://data.isccc.gov.cn)向网安审认证和市监大数据中心进行申请。个人信息处理者可参考《认证规则》以及网安审认证和市监大数据中心官网上公示的《个人信息保护认证申请书》,来熟悉需要准备哪些认证材料。
同时,个人信息处理者还应根据《征求意见稿》规定的出境个保认证重点评定内容,针对性地准备足够论证评定事项合规性的材料内容,具体如下:
(一)个人信息出境的目的、范围、方式等的合法性、正当性、必要性:个人信息处理者需就跨境传输事项的合法性、正当性、必要性展开论证说明。合法性侧重体现在个人信息出境活动必须有法律依据,具备个人信息主体对出境活动单独同意的合法性基础,且不属于法律法规禁止出境的情况;正当性包含个人信息出境的目的应当明确且合理;必要性主要包含目的必要与个人信息出境范围必要(即出境目的与出境个人信息有直接关联且数量最小化)。
(二)境外个人信息处理者、境外接收方所在国家或者地区的个人信息保护政策法律和网络和数据安全环境对出境个人信息安全的影响:个人信息处理者需梳理境外个人信息处理者、接收方所在国家和地区有关个人信息保护的法律法规、当地执法司法机构是否完善等情况,以证明境外国家/地区的个人信息保护政策法律和网络和数据安全环境不会对出境个人信息的安全产生负面影响。
(三)境外个人信息处理者、境外接收方的个人信息保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求:个人信息处理者在此部分可阐述该国家/地区是否加入数据保护相关国际组织,在数据保护方面是否作出过具有约束力的国际承诺,或是否与中国缔结了有关数据流通、共享等方面双边或多边的协定。
(四)个人信息处理者与境外接收方订立的有法律约束力的协议是否约定了个人信息保护的义务:若个人信息处理者与境外接收方签署了数据处理协议(DPA),协议应设置专门条款,约定双方在个人信息保护方面承担的责任义务,以确保出境数据的安全。
(五)个人信息处理者、境外接收方的组织架构、管理体系、技术措施能否充分有效保障数据安全和个人信息权益:个人信息处理者应就是否设立个人信息保护部门或管理机构、是否设立PIPO岗位,以及针对个人信息跨境活动采取了哪些技术保护措施等展开具体说明。
鉴于出境个保认证与标准合同备案在数据出境机制中适用情形一致,且通过比较发现,所涉评定内容与《个人信息保护影响评估报告》所涵盖事项实则存在较大重合,故我们认为,在向认证机构提交出境个保认证材料时,若企业曾就个人信息出境活动开展过个人信息保护影响评估,出具《个人信息保护影响评估报告》在很大程度上能起到履行合规义务的证明作用,并作为出境个保认证的重要材料提交参考,从而降低合规证明成本。
问题四:出境个保认证评定内容如何映射到其他管理体系的要求?
根据《征求意见稿》第十条的规定,出境个人信息保护认证的重点评定内容已明确。可以预见,未来作为认证机构的单位将依据此条规定,同时结合2022年网信办与市监总局发布的《关于实施个人信息保护认证的公告》(以下简称“《认证公告》”)《认证规则》、信安标委发布的《认证规范V2.0》以及《跨境认证要求(征)》,制定具体的评定标准和程序。
从《征求意见稿》第十条的内容来看,已建立个人信息管理体系的企业,可以通过梳理自身组织结构与技术控制措施来回应评定要求。通过管理体系所要求的监视、测量和持续改进的控制措施,企业能够确保其持续符合这些认证要求。
特别地,《征求意见稿》第十条第(五)款提到了管理体系的要求,这为企业的实际操作提供了明确指引。实践中,许多企业已经依据国际标准化组织(ISO)和国际电工委员会(IEC)发布的ISO/IEC 27701标准建立了隐私信息管理体系(Privacy Information Management System,PMIS)。该体系不仅帮助企业满足法定义务、合同义务及标准要求的合规性,还为企业提供了能够有效应对外部认证要求的框架。
为帮助企业更好地应对认证评定,我们将《征求意见稿》第十条中提到的重点要求与ISO/IEC 27701:2019标准也进行了对比。通过这种映射,企业能够更加清晰地了解如果已经进行了ISO/IEC 27701认证,如何在此基础上继续准备出境个保认证,从而提升审核效率和合规性,并确保顺利通过出境个人信息保护认证的评定。对此,我们通过以下表格进行解析,说明两者的关系、协同与整体配合。
| 《征求意见稿》 第十条重点评定内容 |
ISO/IEC 27701:2019中适用于 | |
| 数据控制者(data controller)的条款 | 数据处理者(data processor)的条款 | |
| (一)个人信息出境的目的、范围、方式等的合法性、正当性、必要性 | A. 7.2.1 识别和记录目的; A. 7.2.2 确定合法依据 |
B. 8.2.1 与data controller的数据处理协议(DPA) B. 8.2.2 组织目的 |
| (二)境外个人信息处理者、境外接收方所在国家或者地区的个人信息保护政策法律和网络和数据安全环境对出境个人信息安全的影响 | 5.2.1 了解组织及其环境; A. 7.5.1 识别跨境PII传输的依据 |
5.2.1 了解组织及其环境; B. 8.5.1 识别跨境PII传输的依据 |
| (三)境外个人信息处理者、境外接收方的个人信息保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求 | 5.2.1 了解组织及其环境; 5.2.2 了解利益相关方的需求和期望; 5.3-5.8 (领导作用、规划、支持、运营、绩效评估和改进); 附录A的所有控制措施 |
5.2.1 了解组织及其环境; 5.2.2 了解利益相关方的需求和期望; 5.3-5.8 (领导作用、规划、支持、运营、绩效评估和改进); 附录B的所有控制措施 |
| (四)个人信息处理者与境外接收方订立的有法律约束力的协议是否约定了个人信息保护的义务 | A. 7.2.6 与data processor的数据处理协议(DPA) | B. 8.2.1 与data controller的数据处理协议(DPA) |
| (五)个人信息处理者、境外接收方的组织架构、管理体系、技术措施能否充分有效保障数据安全和个人信息权益 | 第五章 附录A的所有控制措施: A. 7.2 收集和处理的条件; A. 7.3 对个人的义务; A. 7.4 隐私设计与隐私默认; A. 7.5 个人信息共享、传输与披露 |
第五章 附录B的所有控制措施: B. 8.2 收集和处理的条件; B. 8.3 对个人的义务; B. 8.4 隐私设计与隐私默认; B. 8.5 个人信息共享、传输与披露 |
| (六)专业认证机构根据个人信息保护认证相关标准认为需要评定的其他事项 | 视具体认证机构要求而定 | 视具体认证机构要求而定 |
问题五:如何申请成为出境个保认证机构?
依据《中华人民共和国认证认可条例》以及《征求意见稿》的相关规定,在数据安全及个人信息保护领域开展工作的专业机构需满足以下要求:
(一)合法设立:机构需依法设立,具有独立法人资格,且必须获得国家市场监督管理部门的批准,取得个人信息保护认证资质,并依法向国家网信部门办理认证机构备案。(同时由于《征求意见稿》第八条要求认证机构提交“近3年从事数据安全领域、个人信息保护领域专业工作情况”作为机构备案材料,我们理解这里相当于也设立了一个隐形门槛,即要求认证机构需为成立3年以上的组织。)
(二)专业能力:具备与认证领域相关的专业技术能力,能够对数据安全及个人信息保护进行准确评估和认证。能够依据现行有效的法规和标准,制定开展出境个保认证的准则与程序。具备实施技术验证的能力,能够对个人信息处理者的安全技术和措施进行有效评估。这包括对技术架构、数据加密、访问控制等方面的验证,以确保个人信息在出境过程中的安全性。
(三)人员要求:拥有一定数量的专业技术人员和管理人员,这些人员需具备相应的专业知识和实践经验,能评估组织的个人信息处理活动的合规性及其风险控制措施的有效性。
(四)管理体系:建立完善的内部管理体系和质量保证体系,包括制定详细的认证流程、认证实施细则、工作计划、审核标准和质量控制措施,以保证认证工作的专业性和规范性。同时,具备争议受理机制和投诉处理机制。
(五)数据安全风险防范:建立数据安全风险防范机制,确保认证过程中的数据免于遭受篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险。
(六)持续监督:建立获证后的监督制度,对获证个人信息处理者进行的个人信息出境活动是否符合认证标准情况进行持续监督。
(七)公正性:机构在开展认证活动时,保持独立性和客观性,避免利益冲突,应遵循客观、公正的原则,不受外界干扰,确保认证结果的真实性和有效性。
(八)信息公开:向公众公开认证依据、认证程序、收费标准等信息,接受社会监督。
问题六:申请出境个保认证的全流程步骤有哪些?
虽然《征求意见稿》暂未详细列出认证机构开展出境个保认证的具体流程,但根据2022年网信办与市监总局联合发布的《认证公告》及《认证规则》,其中明确规定了认证机构进行个保认证(也涵盖出境个保认证)时的评估流程。因此,在尚未出台更加详细的规则时,企业在现阶段可以此为参考,事先了解出境个保认证的相关流程。根据《认证规则》,认证流程依次包括认证委托、技术验证、现场审核、认证结果评价和批准、获证后监督等主要环节,其中每个环节中对认证委托人与认证机构的具体要求如下:
| 认证环节 | 认证委托人To do | 认证机构To do |
| 1. 认证委托 | (1)申请前整改:在申请个人信息保护认证前,可以按照认证依据的要求开展自评估以及合规整改,以符合认证依据的有关要求。 (2)提交认证委托资料:个人信息处理者(即认证委托人)提交认证委托资料,包括但不限于认证委托人基本材料、认证委托书、相关证明文档等。 |
(1)通知是否受理:认证机构在对认证委托资料审查后及时反馈是否受理。 (2)确认认证方案并通知:认证机构根据认证委托资料确定认证方案,包括个人信息类型和数量、涉及的个人信息处理活动范围、技术验证机构信息等,并通知认证委托人。 |
| 2. 技术核验 | 积极配合技术验证机构按照认证方案实施技术验证,并接收技术验证报告。 | 接收技术验证报告。 |
| 3. 现场审核 | 积极配合认证机构实施现场审核,并接收现场审核报告。 | 实施现场审核,并向认证委托人出具现场审核报告。 |
| 4. 认证结果评价和批准 | / | (1)认证决定:根据认证委托资料、技术验证报告、现场审核报告和其他相关资料信息进行综合评价,作出认证决定: |
| 接收认证证书。 | a. 对符合认证要求的,颁发认证证书; | |
| 依据认证机构的要求进行整改,并再次提交认证材料。 | b. 对暂不符合认证要求的,要求认证委托人限期整改;对于整改后仍不符合的,以书面形式通知认证委托人终止认证。 | |
| 不得实施欺骗、隐瞒信息、故意违反认证要求的行为。 | c.如发现认证委托人、个人信息处理者存在欺骗、隐瞒信息、故意违反认证要求等严重影响认证实施的行为时,认证不予通过。 | |
| / | (2)报送认证结果:在颁发认证证书后5个工作日内,向全国认证认可公共信息平台报送个人信息出境个人信息保护认证证书相关信息,包括认证证书编号、获证个人信息处理者名称、认证范围以及证书状态变化信息等。 | |
| 5. 获证后监督 | 确保个人信息跨境传输活动持续符合认证要求,则可继续保持认证证书;否则,可能会被作出暂停直至撤销认证证书的处理。 | (1)持续监督:在认证有效期(3年)内,对获得认证的个人信息处理者进行持续监督,并合理确定监督频次。 (2)作出评价结论:对获证后监督结论和其他相关资料信息进行综合评价,评价通过的,可继续保持认证证书;不通过的,应根据相应情形作出暂停直至撤销认证证书的处理。 |
| 6. 认证证书的延期 | 证书到期需延续使用的,应在有效期届满前6个月内提出认证委托。 | 采用获证后监督的方式,对符合认证要求的委托换发新证书。 |
| 7. 认证证书的变更 | (1)提出变更委托:认证证书有效期内,若获得认证的个人信息处理者名称、注册地址,或认证要求、认证范围等发生变化时,应向认证机构提出变更委托。 (2)配合技术验证和/或现场审核(如需)。 |
(1)确认变更内容:根据变更的内容,对变更委托资料进行评价,确定是否可以批准变更。 (2)技术验证和/或现场审核:如需技术验证和/或现场审核,还应当在批准变更前进行技术验证和/或现场审核。 (3)报送认证结果:在认证证书状态发生变化后5个工作日内,向全国认证认可公共信息平台报送个人信息出境个人信息保护认证证书相关信息。 |
| 8. 认证证书的注销、暂停和撤销 | 在认证证书有效期内可申请认证证书暂停、注销。 | 当发现获证个人信息处理者存在个人信息出境情况与认证范围不一致等不再符合认证要求时,应及时对认证证书予以暂停直至撤销,并予以公布。 |
问题七:出境个保认证会受到谁的监督?
尽管市场化认证机构开始进入评估体系,《征求意见稿》通过建立机构监督、监管监督和社会监督相结合的三位一体监督机制,实现了监管多层次和全方位的覆盖。
首先,根据《征求意见稿》第十一、十三条,赋予认证机构暂停或撤销不符合认证要求的企业认证的职责,通过持续监督保障认证结果的动态合规性;其次,根据《征求意见稿》第十三、十四与十六条规定,通过网信办和市监总局对认证机构的抽查和评价,防止认证机构失控或认证活动流于形式。同时,根据《征求意见稿》第十五条规定,引入了外部社会群众的监督,通过举报机制强化了公众的参与,进一步增强了数据出境治理的透明性与合规性。上述监督机制在分工明确的基础上形成了权责制衡,既能调动市场主体的积极性,又兼顾公共利益和数据安全需求。
| 监督方式 | 法条 | 内容 | 责任承担主体 | 违规后果 |
| 机构监督 | 第十一条 | 认证机构在开展认证活动中,发现个人信息出境活动危害国家安全、公共利益或者严重影响个人信息权益的,应当及时向国家网信部门及有关部门报告。 | 个人信息处理者 | 被报告至网信办及相关主管部门。 |
| 第十三条 | 认证机构发现获证个人信息处理者存在个人信息出境情况与认证范围不一致等不再符合认证要求的,应当及时暂停、撤销相关认证证书,并予以公布。 | 个人信息处理者 | 暂停、撤销认证证书,并予以公布。 | |
| 监管监督 | 第十四条 | 国家市场监督管理部门会同国家网信部门对个人信息出境个人信息保护认证活动进行监督,对认证过程和认证结果进行抽查,对专业认证机构进行评价。 | 认证机构 | 视情节予以警告、责令限期改正、停业整顿;拒不整改或规定期限内未完成整改的,以及存在弄虚作假的,撤销其认证机构资质,并予以公布。 |
| 专业认证机构通过隐瞒有关情况、提供虚假材料等不正当手段取得备案的。 | 认证机构、个人信息处理者 | 由国家网信部门予以撤销备案;发生严重违法情形受到停业整顿、撤销认证机构资质等行政处罚的,由国家网信部门予以注销备案。 | ||
| 第十六条 | 省级以上网信部门和有关部门发现获证个人信息处理者存在较大风险或者发生个人信息安全事件的,可以依法对获证个人信息处理者进行约谈。获证个人信息处理者应当按要求整改,消除隐患。 | 个人信息处理者 | 约谈个人信息处理者,并要求整改。 | |
| 社会监督 | 第十五条 | 任何组织和个人发现获证个人信息处理者违反本办法向境外提供个人信息的,可以向省级以上网信部门和有关部门举报。 | 个人信息处理者 | 向省级以上网信部门和有关部门举报。 |
问题八:其他国家、地区、国际组织有哪些认证机制?
根据国际通行做法,认证是一种自愿的合规工具,旨在鼓励组织展示其符合数据保护法律规定的情况。认证机制允许组织证明其在个人数据处理过程中实施适当的技术和组织措施,以满足适用法律法规的要求。认证由获得认可(accredited)的认证机构(Certification Bodies,CB)进行,这些机构常常需遵循ISO/IEC 17065:2012国际标准以及数据保护监管机关设定的额外要求。
认证过程包括申请、评估、认证决定以及获证后的监督等环节。认证机构会对申请组织的个人信息处理活动进行全面评估,确保其符合法律规定的认证标准。一旦获得认证,组织需持续遵守认证标准,并接受认证机构的定期监督,以确保其处理活动的合规性。
在欧盟,根据EDPB发布的认证机制名录,目前有以下六项认证机制获得了批准:
.png "点击查看大图")
Europrivacy:由欧洲认证与隐私中心(ECCP)拥有,卢森堡为负责的监管机构,属于欧盟数据保护印章(EU Data Protection Seal)。
GDPR-CARPA:由卢森堡拥有,属于国家认证标准。
EuroPriSe:由EuroPriSe Cert GmbH拥有,德国/北莱茵-威斯特法伦州为负责的监管机构,属于国家认证标准。
BC5701:2023:由Brand Compliance B.V.拥有,荷兰为负责的监管机构,属于国家认证标准。
AUDITOR conformity assessment:由Competence Centre Trusted Cloud e.V.拥有,德国/北莱茵-威斯特法伦州为负责的监管机构,属于国家认证标准。
EuroPriSe European Privacy Seal:由EuroPriSe Cert GmbH拥有,德国/北莱茵-威斯特法伦州为负责的监管机构,属于欧盟数据保护印章(EU Data Protection Seal)。
值得注意的是,上述认证中,目前没有一项认证机制可被用作从欧盟跨境传输个人数据的工具。
在新加坡,政府通过认可APEC跨境隐私规则(CBPR)和隐私认可计划(PRP)认证,为数据跨境传输提供了一种机制。企业无需针对每个跨境数据传输目的地国家的隐私法律进行单独合规,只需符合APEC CBPR或PRP要求,即可在APEC经济体之间自由传输数据,减少了合规成本和复杂性。获得认证的企业可以展示其在数据隐私和安全方面的高标准和责任感,增强消费者、商业伙伴和监管机构对其的信任,有助于提升企业声誉和竞争力。通过认证,新加坡企业可以更容易地与APEC经济体中的认证组织进行数据交换,而无需满足额外的合规要求。
但与欧盟类似,获得认证,并不能等同于合规。虽然CBPR和PRP在一定程度上弥合了APEC经济体之间的隐私法律差异,但不同国家的隐私法律仍有其独特之处,企业在跨境数据传输时仍需关注目的地国家的具体法律要求。
内容来源:十问十答《个人信息出境个人信息保护认证办法(征求意见稿)》
个人信息保护认证 VS 个人信息保护标准合同
根据《个人信息保护法》《网络数据安全管理条例》《规范和促进数据跨境流动规定》等要求,在豁免情形和依法应当申报数据出境安全评估以外,个人信息处理者开展数据出境活动的,满足“订立个人信息出境标准合同”或“通过个人信息保护认证”的条件之一即可。根据《征求意见稿》和《个人信息出境标准合同办法》的规定,两种方式的要求基本一致但有所区别。
.png)
从保护认证和标准合同的条件来看,都聚焦处理活动、同等保护、协议约定等方面,但其侧重点和细节部分还是体现出了差异。
第一,处理活动。两者均要求处理个人信息的目的、范围、方式等合法、正当、必要。相较而言,标准合同要求评估个人信息处理者和境外接收方处理个人信息的目的、范围、方式等,而保护认证则是评定个人信息出境的目的、范围、方式等,保护认证并未对境外接收方的处理目的、范围、方式提出评定要求。对此,有两种理解,一种是境外接收方的处理目的、范围、方式被“个人信息出境的目的、范围、方式”所覆盖,境外接收方的处理目的、范围、方式不能超出个人信息出境的目的、范围、方式;另一种是保护认证的方式更适用于委托处理等特定场景,个人信息处理者与境外接收方具有相同或一致的个人信息处理目的、范围、方式,如TC260-PG-20222A《个人信息跨境处理活动安全认证规范》中指出,其适用于“跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动”。
第二,同等保护。两者均要求境外具有保护同等水平,包括境外接收方自身的个人信息保护能力,以及所在国家或者地区的个人信息保护政策和法规。略微有所差异的是,标准合同稍侧重于主观性,其要求包括“境外接收方承诺的义务”,而保护认证则强调客观性,要求“境外个人信息处理者、境外接收方的个人信息保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求”。而在消极影响方面,两者都关注境外接收方所在国家或者地区的个人信息保护政策和法规的影响,不过保护认证中增加了“网络和数据安全环境”的因素。
第三,协议约定。保护认证要求个人信息处理者与境外接收方订立的有法律约束力的协议是否约定了个人信息保护的义务,而标准合同本身即可以作为个人信息处理者与境外接收方订立的有法律约束力的协议的一种。因此,两种方式均以协议作为一种控制手段,以保证境外接收方履行个人信息保护相关义务。值得注意的是,《征求意见稿》第十条第四项中关于协议约定的义务,仅适用于“境外接收方”,而不适用于“境外个人信息处理者”。这是考虑了境外直接处理的场景,虽然境外个人信息处理者应当在境内设立专门机构或者指定代表,但再要求其与其自己设立的专门机构或者指定代表签署协议,似乎并无必要。就此细节而言,也在一定程度上表明了保护认证更为适用的主体类型。
对比而言,保护认证明显增加了一个条件,即个人信息处理者、境外接收方的组织架构、管理体系、技术措施能否充分有效保障数据安全和个人信息权益。标准合同中的要求则属于结果导向,即个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等。
结合保护认证和标准合同的异同,我们总结以下几点作为具体选择策略的参考:
1. 主体类型
正如TC260-PG-20222A《个人信息跨境处理活动安全认证规范》中所指, 跨国公司或者同一经济、事业实体下属子公司或关联公司之间的跨境,首选保护认证的方式。《征求意见稿》第十条第四项亦一定程度豁免了该类主体类型签署协议的要求,对于实践中通过标准合同方式出境的企业来说,可以作为未来的替代方式。特别是对于境外直接处理的场景,如前述广州互联网法院判例中的某高公司,从境外直接处理境内个人信息,就可以考虑用保护认证的方式满足个人信息跨境合规要求。
2. 出境事项
从保护认证和标准合同的条件来看,企业整体合规的要求基本一致,但在具体条件中有所不同,特别是前述关于保护认证的特有要求,即“个人信息处理者、境外接收方的组织架构、管理体系、技术措施能否充分有效保障数据安全和个人信息权益”(《征求意见稿》第十条第五项)。标准合同更倾向于“一事一议”,关注某一项个人信息出境活动是否满足合规要求;保护认证则更倾向于“一司一议”,关注个人信息处理者和境外接收方的保护能力是否满足合规要求。因此,保护认证更适合长期、频繁的个人信息处理活动,而标准合同则相对适合于短期、偶发的个人信息处理活动。
3. 监督能力
标准合同属于民事范畴,双方通过协议方式达成一致,通过协议约束权利义务关系。而保护认证则以第三方监督为视角,以专业认证机构的能力作为支撑。因此,对于个人信息出境方和接收方而言,如果双方谈判能力相当,则标准合同的方式较为合适;如果双方谈判能力差距较大,则可考虑保护认证的方式,借助专业认证机构来满足个人信息出境合规要求。
4. 信用评价
标准合同生效且备案后,个人信息处理者就可以开展个人信息出境活动,标准合同本身属于商业合同的范畴或商业合同的一部分,实践中并无公开的要求,社会公众无法对其评价。而保护认证则具有一定的公权力属性,在一定程度上代表了行政机关对个人信息跨境活动的认可以及对企业个人信息保护水平的认可(前述所分析的第十条第五项)。因此,对于个人信息保护商誉等有较高需求的企业,如商业模式以ToC为主的企业,需要提升消费者对其个人信息保护水平满意度的企业,都可以通过保护认证的方式获得外部的信用评价。
内容来源:个人信息出境选择保护认证还是标准合同?——解读《个人信息出境个人信息保护认证办法(征求意见稿)》
总结以及企业下一步的措施
《征求意见稿》的出台是我国在个人信息保护领域的又一重要举措,对于规范个人信息的跨境传输和确保其安全具有重大意义。同时也期待相关部门能够根据实际情况不断完善认证办法及相关配套标准,在保障个人信息安全的同时,促进数据跨境自由流动。
考虑到《征求意见稿》对既有的数据出境合规机制将产生的影响,我们建议企业密切关注《征求意见稿》的发布,并结合《征求意见稿》现有文本整体评估对目前正在进行的数据出境合规工作的影响。具体而言,境外个人信息处理者若有处理境内个人信息并出境的需求,应尽快了解认证流程和要求,委托境内专门机构或指定代表,按照规定准备申请材料,积极申请认证。应根据其业务需求、风险承受能力以及对个人信息保护的重视程度,自行决定是否申请认证。若决定申请认证,应关注认证机构的资质和市场声誉,选择服务质量和专业性较高的机构。密切关注相关部门发布的标准、法规、程序和规则,及时掌握政策动态,确保自身行为与最新要求相符。在申请认证前,应依据评定内容进行自我评估。对于出境目的、范围和方式,需准备详尽的说明文档,说明其合法性、正当性和必要性;对境外接收方所在国家或地区的信息保护政策、法律和安全环境进行深入研究,形成风险评估报告;确保与境外接收方签订的协议明确、具体地规定了个人信息保护义务;审视自身及境外接收方的组织架构、管理体系和技术措施,并进行必要的改进和优化。
内容来源:数据合法出境的开年帷幕——速评《个人信息出境个人信息保护认证办法(征求意见稿)》
附《征求意见稿》逐条解读
1、为了便利个人信息出境活动,规范个人信息出境个人信息保护认证工作,保护个人信息权益,促进个人信息高效便利安全跨境流动,根据《中华人民共和国个人信息保护法》、《网络数据安全管理条例》、《中华人民共和国认证认可条例》等法律法规,制定本办法。
条款解读 [ 目的 ]
本条明确了《征求意见稿》制定的目的,即在方便个人信息跨境流转的同时,确保个人信息权益权益得到保护。此外,该条也明确了《征求意见稿》的制定依据,除《个人信息保护法》外,刚刚生效的《网络数据安全管理条例》以及2023年修订的《认证认可条例》均为上位规定。
2、在中华人民共和国境内开展个人信息出境个人信息保护认证活动,适用本办法。法律、行政法规另有规定的,依照其规定。
条款解读 [ 适用范围 ]
本条明确了《征求意见稿》的适用范围,即在中华人民共和国境内开展的个人信息出境个人信息保护认证活动,适用本《征求意见稿》约束。
3、本办法所称个人信息出境个人信息保护认证,是指依法设立并经国家市场监督管理部门批准取得个人信息保护认证资质的专业认证机构,对个人信息处理者个人信息出境活动开展的个人信息保护认证。
本办法所称个人信息出境活动,是指个人信息处理者因业务等需要确需向中华人民共和国境外提供个人信息的行为。包括但不限于以下情形:
(一)个人信息处理者将在境内运营中收集和产生的个人信息传输至境外;
(二)个人信息处理者收集和产生的个人信息存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;
(三)符合《中华人民共和国个人信息保护法》第三条第二款情形,在境外处理境内自然人个人信息等其他个人信息处理活动。
条款解读 [ 定义内容 ]
本条对“个人信息出境个人信息保护认证”进行了定义,强调了只有经国家市场监督管理部门批准取得个人信息保护认证资质的专业认证机构,才进行个人信息出境个人信息保护认证。
目前我国已有的个人信息保护认证机构仅有中国网络安全审查认证和市场监管大数据中心,预计随着《征求意见稿》的正式发布和实施,未来可开展认证工作的机构会逐步增加。
此外,在“个人信息出境活动”的定义方面,本条定义与《个人信息出境标准合同备案指南(第二版)》的定义内容相一致。涵盖了境内数据出境、以及境外主体对境内数据查询、调取、下载等情况。
4、中华人民共和国境内的个人信息处理者通过个人信息出境个人信息保护认证方式向境外提供个人信息的,应当同时符合下列情形:
(一)非关键信息基础设施运营者;
(二)自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息。
前款所称向境外提供的个人信息,不包括重要数据。
条款解读 [ 适用对象 ]
本条明确了个人信息出境个人信息保护认证的适用对象。
从主体上看,排除了关键信息基础设施运营者;从数据规模上看,以数据是否属于敏感个人信息为标准,进行了量级区分,明确了认证了具体适用范围。
5、符合《中华人民共和国个人信息保护法》第三条第二款规定,在中华人民共和国境外处理中华人民共和国境内个人信息的个人信息处理者,获得个人信息出境个人信息保护认证,可以进行个人信息出境活动。
条款解读
本条与《征求意见稿》的第三条第(三)款相对应,再次强调,符合《个人信息保护法》第三条第二款规定的境外个人信息处理者,可以通过个人信息出境个人信息保护认证合规出境。
此前实务中,符合《个人信息保护法》第三条第二款规定的境外个人信息处理者,存在合规困难的问题。本条规定完善了跨境个人信息处理场景下的规则适用,解决了这一困境。
6、个人信息保护认证遵循自愿性、市场化、社会化服务原则。由具备资质的专业认证机构按照统一标准、统一规则、统一标识开展个人信息出境个人信息保护认证活动。
条款解读 [ 基本原则 ]
本条明确了认证活动应遵循的基本原则,认证工作应具备“一致性”,按照统一标准、统一规则、统一标识的方式进行。
7、国家网信部门会同有关部门组织制定个人信息出境个人信息保护认证相关标准、技术法规和合格评定程序,对个人信息出境活动进行监督管理。国家市场监督管理部门会同国家网信部门组织制定个人信息出境个人信息保护认证实施规则、统一认证证书及标志。
条款解读 [ 部门职责 ]
本条分别明确了国家网信部门和国家市场监督管理总局在个人信息出境个人信息保护工作中的职责。
8、开展个人信息出境个人信息保护认证的专业认证机构应当向国家网信部门办理备案手续。办理备案时,应当提交下列材料:
(一)取得的个人信息保护领域的认证资质情况;
(二)近3年从事数据安全领域、个人信息保护领域专业工作情况;
(三)个人信息保护认证实施细则及工作计划;
(四)数据安全风险防范机制;
(五)对获证个人信息处理者进行的个人信息出境活动符合认证标准情况的持续监督机制;
(六)争议受理机制和投诉处理机制;
(七)其他需要提交的材料。
条款解读 [ 备案材料 ]
本条确认,开展认证工作的专业机构应当报向国家网信部门办理备案,并明确了备案的相应材料要求。
9、中华人民共和国境内的个人信息处理者自愿向专业认证机构申请个人信息出境个人信息保护认证。中华人民共和国境外的个人信息处理者申请个人信息出境个人信息保护认证的,应当由其在境内设立的专门机构或者指定代表协助进行申请,并承担相应的法律责任,承诺遵守中华人民共和国个人信息保护有关法律法规并接受监督管理,在认证有效期内接受专业认证机构的持续监督。
条款解读 [ 境内、外主体的申请方式 ]
本条对分别对中华人民共和国境内、外不同个人信息处理者的申请程序进行了规定。对于境外个人信息处理者而言,应尽快在境内设立专门机构或指定代表协助其办理申请事宜,并在认证有效期内接受专业认证机构的持续监督。
10、个人信息出境个人信息保护认证重点评定以下内容:
(一)个人信息出境的目的、范围、方式等的合法性、正当性、必要性;
(二)境外个人信息处理者、境外接收方所在国家或者地区的个人信息保护政策法律和网络和数据安全环境对出境个人信息安全的影响;
(三)境外个人信息处理者、境外接收方的个人信息保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求;
(四)个人信息处理者与境外接收方订立的有法律约束力的协议是否约定了个人信息保护的义务;
(五)个人信息处理者、境外接收方的组织架构、管理体系、技术措施能否充分有效保障数据安全和个人信息权益;
(六)专业认证机构根据个人信息保护认证相关标准认为需要评定的其他事项。
条款解读 [ 重点评定内容 ]
本条规定了个人信息出境个人信息认证的重点评定内容,涵盖了“个人信息的出境目的、范围、以及出境后境外接收主体的法律环境、组织架构、管理体系、双方是否签署了相关协议”等内容,以实现全面保护个人信息合法合规出境的目的。
11、专业认证机构在开展认证活动中,发现个人信息出境活动危害国家安全、公共利益或者严重影响个人信息权益的,应当及时向国家网信部门及有关部门报告。
条款解读 [ 及时报告 ]
本条规定,专业机构应对认证情况进行监督,如在认证过程中发现存在个人信息出境行为会对国家安全、公共利益以及个人利益造成损害的,应及时相关部门报告。
12、专业认证机构应当在颁发认证证书或者认证证书状态发生变化后5个工作日内,向全国认证认可公共信息平台报送个人信息出境个人信息保护认证证书相关信息,包括认证证书编号、获证个人信息处理者名称、认证范围以及证书状态变化信息等。国家市场监督管理部门与国家网信部门建立认证信息共享机制。
条款解读 [ 建立信息报送和认证信息的共享机制 ]
一方面,规定了专业认证机构的报送义务,在认证证书颁发或认证状态发生变化后,应及时向公共信息平台报告认证情况;
另一方面,明确国家市场监督管理部门和国家网信部门要建立信息共享机制,提高两部门的监管效率。
13、专业认证机构发现获证个人信息处理者存在个人信息出境情况与认证范围不一致等不再符合认证要求的,应当及时暂停、撤销相关认证证书,并予以公布。
国家网信部门和有关部门在个人信息保护监督管理工作中发现获证个人信息处理者存在前款情形的,专业认证机构应当配合及时暂停、撤销相关认证证书,并予以公布。
条款解读 [ 认证证书的暂停和撤销 ]
本条规定了专业认证机构暂停、撤销认证证书,以及监管部门督促专业认证机构暂停、撤销认证证书的程序。认证机构需对获证个人信息处理者的个人信息出境情况进行关注和监督,若发现认证范围不一致的,要及时暂停或撤销证书并公示;国家监管机构发现个人信息处理者存在异常活动,认证机构需及时配合。
14、国家市场监督管理部门会同国家网信部门对个人信息出境个人信息保护认证活动进行监督,对认证过程和认证结果进行抽查,对专业认证机构进行评价。
国家市场监督管理部门对个人信息出境安全认证活动存在服务质量等问题的,视情节予以警告、责令限期改正、停业整顿;拒不整改或规定期限内未完成整改的,以及存在弄虚作假的,撤销其认证机构资质,并予以公布。
专业认证机构通过隐瞒有关情况、提供虚假材料等不正当手段取得备案的,由国家网信部门予以撤销备案;发生严重违法情形受到停业整顿、撤销认证机构资质等行政处罚的,由国家网信部门予以注销备案。
条款解读 [ 监督与处罚 ]
《征求意见稿》规定国家相关部门将对个人信息保护认证工作进行监督,一方面对企业认证过程和认证结果进行抽查,另一方面对开展认证的专业机构进行认证情况监督。
15、任何组织和个人发现获证个人信息处理者违反本办法向境外提供个人信息的,可以向省级以上网信部门和有关部门举报。
条款解读 [ 举报机制 ]
本条规定了个人信息出境个人信息保护认证相关的举报机制。从表述上看,本条内容与《数据出境安全评估办法》第十六条、《个人信息出境标准合同办法》第十条内容基本保持了一致。
16、省级以上网信部门和有关部门发现获证个人信息处理者存在较大风险或者发生个人信息安全事件的,可以依法对获证个人信息处理者进行约谈。获证个人信息处理者应当按要求整改,消除隐患。
条款解读 [ 约谈 ]
本条规定了个人信息出境个人信息保护认证相关的约谈机制,对于经过认证但仍存在较大风险或者发生个人信息安全事件的企业,国家相关部门可依法对获证个人信息处理者进行约谈。
17、履行个人信息保护职责的相关部门、专业认证机构及其工作人员对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等应当依法予以保密,并采取相应的技术措施和其他必要措施,保障相关数据不得泄露或者非法向他人提供、非法使用。
条款解读 [ 保密义务 ]
本条强调了履行个人信息保护职责的相关部门(包括市场监督管理部门和网信部门)、专业认证机构及其工作人员的保密义务,防止信息泄露和非法使用,维护信息安全和社会稳定。
18、国家促进个人信息出境个人信息保护认证活动的国际交流与合作,推动个人信息出境个人信息保护认证与其他国家、地区、国际组织之间的互认。
条款解读 [ 加强国家交流与合作 ]
本条将个人信息出境个人信息保护认证活动的国际交流与合作纳入了参与个人信息保护国际治理的范畴之中。此外,推动各国之间的认证互认,可提高企业在国际间的沟通交流效率,降低重复认证成本,促进个人信息在国际间的的安全有效流动。
19、违反本办法规定的,依据《中华人民共和国个人信息保护法》、《中华人民共和国认证认可条例》等法律法规处理;构成犯罪的,依法追究刑事责任。
条款解读 [ 法律责任 ]
本条规定了违反本《征求意见稿》的法律责任,有助于进一步规范相应的认证活动。
20、本办法自 年 月 日起施行。
条款解读 [ 生效日期 ]
《征求意见稿》尚未正式生效,相关主体需密切关注正式生效时间,做好准备工作,确保正式生效后业务能够顺利进行。
内容来源
- 个人信息出境选择保护认证还是标准合同?——解读《个人信息出境个人信息保护认证办法(征求意见稿)》 [宁宣凤、吴涵、方禹,金杜律师事务所]
- 十问十答《个人信息出境个人信息保护认证办法(征求意见稿)》 [孟洁、林奕、董杰睿、王紫璇,环球律师事务所]
- 数据合法出境的开年帷幕——速评《个人信息出境个人信息保护认证办法(征求意见稿)》 [钱亚、葛乐言,高朋律师事务所]
- 《个人信息出境个人信息保护认证办法(征求意见稿)》解读 [韩笑、马楷阳,万商天勤律师事务所]