文 | 中国网络安全审查认证和市场监管大数据中心网络安全审查五处处长 陈世翔

　　2022年11月4日，国家市场监督管理总局、国家互联网信息办公室联合发布《关于实施个人信息保护认证的公告》，标志着我国个人信息保护认证制度正式建立。近日，国家互联网信息办公室就《个人信息出境个人信息保护认证办法（征求意见稿）》公开征求意见，对个人信息出境个人信息保护认证制度的适用情形和对象、认证评价内容、实施过程、认证结果的使用等关键环节做出了细化完善。落实《个人信息保护法》要求，认证是我国个人信息向境外提供管理制度体系的组成部分。作为国际通行的市场监督管理的重要制度手段，个人信息出境个人信息保护认证将在便利个人信息出境活动、保护个人信息权益、促进个人信息高效便利安全跨境流动等方面发挥重要作用。

　　一、认证适用情形和对象

　　个人信息出境个人信息保护认证适用于以下三种情形：一是个人信息处理者将在境内运营中收集和产生的个人信息传输至境外；二是个人信息处理者收集和产生的个人信息存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；三是符合《个人信息保护法》第三条第二款情形，在境外处理境内自然人个人信息等其他个人信息处理活动。前两种情形下的认证委托人为开展个人信息出境处理活动的个人信息处理者，第三种情形下的认证委托人为境外个人信息处理者，由其在境内设立的专门机构或指定代表具体办理。

　　个人信息出境个人信息保护认证的对象是个人信息出境处理活动。认证范围涵盖个人信息出境处理活动涉及的组织范围、业务范围、系统范围等，涉及个人信息出境处理活动的组织管理、制度措施、技术处理等方面。认证委托人申请认证应根据自身个人信息拟出境情况，梳理清楚出境涉及的个人信息、业务范围、组织范围、系统范围等情况，明确认证范围。

　　二、认证评价内容

　　认证评价内容主要落实个人信息保护法等相关法律法规要求。评价主要内容包括个人信息出境合法性、正当性、必要性，境外处理个人信息的政策法律和网络和数据安全环境、个人信息保护水平、个人信息处理者和境外接收方订立的有法律约束力的协议情况及其组织架构、管理体系、技术措施情况等方面。从认证评价依据标准看，一方面要落实个人信息处理活动的通用要求，认证评价标准为GB/T 35273《信息安全技术 个人信息安全规范》，该标准从个人信息安全基本原则、个人信息的收集、存储、使用、委托处理、共享、转让、公开披露，以及个人信息主体的权利、个人信息安全事件处理、组织的个人信息安全管理要求等诸方面做出了相关要求。另一方面还应满足个人信息出境处理活动相关要求，认证评价标准为TC260-PG-20222A《个人信息跨境处理活动安全认证规范》的要求，该规范主要针对个人信息出境处理活动从基本原则、个人信息处理者和境外接收方的基本要求、个人信息主体权益保障等方面提出了要求。

　　三、认证实施流程

　　个人信息出境个人信息保护认证流程包括认证申请、技术验证、现场审核、认证决定、获证后监督5个主要环节。认证委托人向认证机构提交认证申请资料，认证机构对申请资料进行评审后作出受理决定并确定认证方案，采用技术检测、现场核查、人员访谈等方式进行技术验证和现场审核，认证机构根据申请资料、技术验证报告和现场审核报告等进行综合评价，作出认证决定。认证决定通过后，认证机构向认证委托人颁发认证证书，并授权获证组织使用规定的认证标志。获证后监督是为确保个人信息处理者在获得证书后持续满足认证标准的要求，维持认证证书有效性。

　　四、认证时限及认证证书

　　认证时限是指自认证受理之日起至作出认证决定所实际发生的工作日，包括认证申请资料审核时间、技术验证时间、现场审核时间、认证决定和证书批准以及制作时间，一般为70个工作日（不包含整改时间）。

　　认证证书有效期为3年。在有效期内，通过认证机构的获证后监督，保持认证证书的有效性。证书到期还需延续使用的，认证委托人应在有效期届满前6个月内向认证机构提出认证申请。认证机构采用获证后监督的方式，对符合认证要求的认证委托人换发新证书。当发生认证证书签发、暂停、注销等情形时，认证机构在5个工作日内及时向主管部门报送相关情况。

　　五、如何申请个人信息保护认证

　　个人信息处理者在认证申请时，应提交认证申请书、自评价表以及相关附件证明材料。为便于认证顺利开展，提高认证工作效率，申请个人信息出境个人信息保护认证的委托人可提前了解标准要求和认证流程、下载相应模板，如实、准确填报认证申请书、自评价表，准备好附件证明材料。个人信息出境个人信息保护认证范围与个人信息种类、数量、敏感程度以及个人信息出境处理情况、个人信息处理者组织管理、境外接收方个人信息保护水平和法律环境等密切相关，不同业务场景的评价方法和适用指标需要根据实际情况进行对照分析，需要企业的密切配合和充分沟通。

　　中国网络安全审查认证和市场监管大数据中心作为开展个人信息保护认证、数据安全管理认证和App安全认证的专业认证机构，为个人信息出境个人信息保护认证制度实施提供支撑。当收到个人信息处理者申请多项个人信息保护相关认证时，将根据实际情况尽可能采取证据重用，满足认证要求的同时尽可能降低企业负担。

　　（来源：中国网信网）