数据安全管理认证落地实施｜MHP君悦评论

《网络安全法》强制要求对网络关键设备和网络安全专用产品进行安全认证或者安全检测，同时鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。《数据安全法》第十八条规定，国家促进数据安全检测评估、认证等服务的发展，支持数据安全检测评估、认证等专业机构依法开展服务活动。而《个人信息保护法》第六十二条要求网信部门推进个人信息保护社会化服务体系建设，支持有关机构开展个人信息保护评估、认证服务。同时，根据《个人信息保护法》第三十八条规定，当个人信息处理者向中华人民共和国境外提供个人信息，其需要通过国家网信部门组织的安全评估或按照国家网信部门的规定经专业机构进行个人信息保护认证或按照国家网信部门制定的标准合同与境外接收方订立合同，个人信息保护认证是个人信息跨境传输的合法基础之一。

为了更好执行《网络安全法》、《数据安全法》和《个人信息保护法》有关认证的规定和要求，近日，国家市场监督管理总局与国家互联网信息办公室发布了《关于开展数据安全管理认证工作的公告》（“《公告》”），决定自2022年6月5日起开展数据安全管理认证工作，鼓励网络运营者通过认证方式规范网络数据处理活动，加强网络数据安全保护；同时要求依法设立的认证机构按照同时发布的《数据安全管理认证实施规则》（“《认证规则》”）实施认证。

一、认证数据安全管理体系

根据《认证认可条例》规定，认证是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。根据《公告》，国家鼓励网络运营者通过认证方式规范网络数据处理活动，加强网络数据安全保护，而且《认证规则》规定了对网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等处理活动进行认证的基本原则和要求，因此，我们可以判断，数据安全管理认证是一种对数据安全管理体系的认证。当网络运营者通过数据安全管理体系的认证，则授予相应的DSM认证证书。

同时，根据《认证认可条例》，认证机构应当按照认证基本规范、认证规则从事认证活动；认证基本规范、认证规则由国务院认证认可监督管理部门制定；涉及国务院有关部门职责的，国务院认证认可监督管理部门应当会同国务院有关部门制定。相应的，《认证规则》就是开展数据安全管理认证所依据的认证规则。

二、认证的依据和模式

《认证规则》明确，数据安全管理认证应依据GB/T 41479《信息安全技术 网络数据处理安全要求》以及相关标准规范。GB/T 41479《信息安全技术 网络数据处理安全要求》于2022年4月15日正式发布，于2022年11月1起实施。

数据安全管理认证的认证模式为：技术验证+现场审核+获证后监督。

认证证书有效期为3年。证书到期需延续适用的，需在有效期届满前6个月内提出认证申请。

三、简评

1、《网络安全法》和《数据安全法》提及了网络安全认证和数据安全认证，但并未明确是数据安全管理认证。而2019年5月国家网信办发布的《数据安全管理办法（征求意见稿）》提出：“国家鼓励网络运营者自愿通过数据安全管理认证和应用程序安全认证，鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的应用程序。国家网信部门会同国务院市场监督管理部门，指导国家网络安全审查与认证机构，组织数据安全管理认证和应用程序安全认证工作。”尽管该文件并未正式出台，但现在有关数据安全的认证似乎均来自于该草案，即数据安全管理认证和APP安全认证。其中的APP安全认证，是依据中央网信办、工业和信息化部、公安部、市场监管总局《关于开展App违法违规收集使用个人信息专项治理的公告》和市场监管总局、中央网信办《关于开展App安全认证工作的公告》开展的移动互联网应用程序（App）安全认证（可访问中国网络安全审查技术与认证中心官网https://www.isccc.gov.cn/zxyw/cprz/ydhlwrz/index.shtml，了解有关APP安全认证的更多信息）。除了已有的上述两项认证，我们认为不排除将来有更多的数据安全认证类型。

2、尽管《公告》已经明确，开展数据安全管理认证的依据之一为《个人信息保护法》。但《个人信息保护法》始终提及的是个人信息保护认证。数据安全管理认证是否能等同于或者涵盖《个人信息保护法》下的个人信息保护认证，目前尚未明确，还有待于网信部门进一步明确。