(原标题:个人信息保护认证,这5家企业获首批证书!)
5家企业获颁首批个人信息保护认证证书!
我国对于个人信息保护的法律制度与监管措施正在持续完善中。
据中国网络安全审查技术与认证中心(CCRC)官网披露,近期,中国网络安全审查技术与认证中心向珠海澳科大科技研究院、支付宝(中国)网络技术有限公司、北京华品博睿网络技术有限公司、京东科技信息技术有限公司等5家企业颁发了我国首批个人信息保护认证证书。
首批认证证书的颁发,标志着我国个人信息保护认证实施工作迈出了重要一步。
首批认证证书下发
中国网络安全审查技术与认证中心发布信息显示,近段时间,中国网络安全审查技术与认证中心向珠海澳科大科技研究院、支付宝(中国)网络技术有限公司、北京华品博睿网络技术有限公司、京东科技信息技术有限公司等5家企业颁发了我国首批个人信息保护认证证书。
据了解,个人信息保护认证,是依据GB/T35273-2020《信息安全技术个人信息安全规范》等有关国家标准,证明个人信息处理者在认证范围内开展的个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动符合认证依据标准要求。
个人信息保护认证是支撑政府个人信息保护监管的有效手段,也是适应市场经济体制下企业合规发展的需要。
早在2022年11月,国家市场监督管理总局、国家互联网信息办公室联合发布关于实施个人信息保护认证的公告明确,为贯彻落实《中华人民共和国个人信息保护法》有关规定,规范个人信息处理活动,促进个人信息合理利用,根据《中华人民共和国认证认可条例》,国家市场监督管理总局、国家互联网信息办公室决定实施个人信息保护认证,鼓励个人信息处理者通过认证方式提升个人信息保护能力。
彼时公告指出,从事个人信息保护认证工作的认证机构应当经批准后开展有关认证活动,并按照《个人信息保护认证实施规则》实施认证。
北京师范大学法学院博士生导师吴沈括曾撰文指出,这由此确立了我国首个关于个人信息保护认证的专项制度。一方面,丰富完善了我国的数据认证认可体系,有助于推动建立更加科学合理的数据治理生态;另一方面也将《个人信息保护法》有关个人信息出境的制度规定予以细化和落实,有助于构建与国际接轨的数据跨境流动认证制度,为相关认证未来的国际互认奠定了基础。
推进认证实施工作
官方信息显示,认证实施是对个人信息处理者的个人信息处理活动进行的综合“体检”,对促进个人信息处理者增强个人信息保护管理主体责任意识,及时发现并整改个人信息处理存在的问题,完善个人信息保护管理机制,持续保持个人信息处理符合国家法律法规和标准规范要求,提高产品和服务的市场竞争力等方面具有重要的作用。
同时,基于质量认证“传递信任、服务发展”的本质属性,通过认证使个人信息处理者更易于与消费者建立信任关系,便于消费者从获得认证的个人信息处理者中选择安全可靠、放心透明的产品和服务。
中国网络安全审查技术与认证中心方面表示,将以此次发证为新的起点,继续推进个人信息保护认证实施工作,不断优化认证实施流程,持续完善认证评价指标和方法,加强认证业务的宣传推广,推动认证结果采信,不断提高认证的有效性,为保障个人信息权益、促进个人信息合理利用作出新的更大的贡献。
据官网2023年12月25日信息公开,中国网络安全审查技术与认证中心更名为“中国网络安全审查认证和市场监管大数据中心”(英文缩写为:CCRC)为国家市场监督管理总局直属正司局级事业单位,依据《网络安全法》《数据安全法》《个人信息保护法》《网络安全审查办法》及国家有关强制性产品认证法律法规,承担网络安全审查技术与方法研究、网络安全审查技术支撑工作;
在批准范围内开展与网络安全相关的产品、管理体系、服务、人员认证和培训、检验检测等工作;参与研究拟订市场监管信息化发展规划,协助指导全国市场监管系统信息化建设、管理和应用推广工作;承担市场监管业务应用系统和总局政务信息系统建设、运维及技术保障工作;承担市场监管行业标准组织协调工作,承担全国统一的市场监管信息化标准体系的建立完善工作;
负责市场监管大数据中心建设、管理和运行维护工作,支撑智慧监管建设;受委托承担市场监测技术支撑工作;开展网络安全认证、市场监管信息化与大数据分析应用、智慧监管等领域的国际合作与交流。同时设有国家信息安全产品质量检验检测中心(北京)。
配套监管逐步落地
从立法层面来看,我国当前已经形成了以《民法典》为基础,以《个人信息保护法》为核心,以《消费者权益保护法》《网络安全法》《电子商务法》《数据安全法》为重要组成部分的个人信息保护法律体系。
回顾来看,有关个人信息保护的配套监管手段近年来逐步落地。
2023年8月3日,国家网信办发布《个人信息保护合规审计管理办法(征求意见稿)》(下称《办法》)以及配套的《个人信息保护合规审计参考要点》(下称《要点》),在一个月的时间内向社会公开征求意见。
具体来看,上述《办法》是对《个人信息保护法》第五十四条“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计”的细化。《要点》则直接列明个人信息保护法中各情形下的合规审计要点,为企业提供了实操性指引,并首次明确外部独立监督机构、个人信息保护社会责任报告的具体要求。