个人信息保护认证落地实施｜MHP君悦评论

继国家市场监督管理总局与国家互联网信息办公室于2022年6月5日开始实施数据安全管理认证，两部门于2022年11月4日开始实施个人信息保护认证，发布了《个人信息保护认证实施规则》（“《认证规则》”），鼓励个人信息处理者通过认证方式提升个人信息保护能力。

一、缘起

《个人信息保护法》第六十二条要求网信部门推进个人信息保护社会化服务体系建设，支持有关机构开展个人信息保护评估、认证服务。同时，根据《个人信息保护法》第三十八条规定，当个人信息处理者向中华人民共和国境外提供个人信息，其需要通过国家网信部门组织的安全评估或按照国家网信部门的规定经专业机构进行个人信息保护认证或按照国家网信部门制定的标准合同与境外接收方订立合同，个人信息保护认证是个人信息跨境传输的合法基础之一。

二、认证个人信息保护管理体系

根据《认证认可条例》规定，认证是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。《认证规则》规定了对个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证的基本原则和要求。我们可以判断，个人信息保护认证是一种对个人信息保护管理体系的认证。当个人信息处理者通过个人信息保护管理体系的认证，则授予相应的PIP认证证书。

同时，根据《认证认可条例》，认证机构应当按照认证基本规范、认证规则从事认证活动；认证基本规范、认证规则由国务院认证认可监督管理部门制定；涉及国务院有关部门职责的，国务院认证认可监督管理部门应当会同国务院有关部门制定。在个人信息保护认证中，《认证规则》就是开展个人信息保护认证所依据的认证规则。

三、认证的依据和模式

《认证规则》明确，个人信息保护认证应依据GB/T 35273《信息安全技术 个人信息安全规范》。而对于开展跨境处理活动的个人信息处理者，还应符合TC260-PG-20222A《个人信息跨境处理活动安全认证规范》（“《跨境处理认证规范》”）（全国信息安全标准化技术委员会发布）（请注意，上述标准和规范应当执行最新版本。全国信息安全标准化技术委员会于2022年11月发布了《个人信息跨境处理活动安全认证规范》最新修改的征求意见稿（“征求意见稿”））。

个人信息保护认证的认证模式为：技术验证+现场审核+获证后监督。

认证证书有效期为3年。证书到期需延续适用的，需在有效期届满前6个月内提出认证申请。

四、个人信息跨境传输的认证

《跨境处理认证规范》是个人信息保护认证的认证依据之一。申请个人信息保护认证的个人信息处理者应当符合GB/T 35273《信息安全技术 个人信息安全规范》的要求，而开展跨境处理活动的个人信息处理者，还需要满足《跨境处理认证规范》的要求。从《认证规则》来看，对于开展跨境处理活动的个人信息处理者，需要同时满足《信息安全技术 个人信息安全规范》和《跨境处理认证规范》的要求。

1、适用情形

《跨境处理认证规范》适用于以下两种情形：

• 跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动；

• 《个人信息保护法》第三条第二款规定的境外处理活动。

《征求意见稿》不再区分上述两种情形，而是概括说明认证规范将适用于个人信息处理者开展个人信息跨境处理活动。

2、认证主体

因为《跨境处理认证规范》的适用情形有限，因此认证主体也相应局限于与两种情形相关的主体：

• 跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动，可以由境内一方申请认证；

• 对于境外处理活动，可以由境外个人信息处理者的境内专门机构或指定代表申请认证。

因为《征求意见稿》不再区分认证适用的两种情形，《征求意见稿》下的认证主体可以是具有合法法人资格的个人信息处理者，而不局限于上述主体。

3、境外接收方

同时，《征求意见稿》对个人信息跨境处理活动中的“境外接收者”[1]作出了定义，“境外接收方”是指位于中国境外并自个人信息处理者处接收个人信息的组织或个人。

《跨境处理认证规范》以及《征求意见稿》均要求，为了保证个人信息主体权益，个人信息处理者和境外接收方应指定境内一方、多方或境外接收方在境内设置的机构对境外接收方的个人信息违规处理活动承担法律责任。

4、认证基本要求

《跨境处理认证规范》以及《征求意见稿》均规定了个人信息跨境处理活动认证的基本要求：

《征求意见稿》在《跨境处理认证规范》基础上细化了各项基本要求的具体内容，意味着个人信息保护认证中个人信息处理者与境外接收方需要完成更多准备工作方能满足认证要求。

五、个人信息跨境传输中的个人信息保护认证与订立标准合同

从《个人信息保护法》第三十八条来看，除因为满足法定条件而需要通过国家网信部门组织的安全评估，个人信息处理者在向境外提供个人信息时，可以选择适用个人信息保护认证或按照国家网信部门指定的标准合同与境外接收方订立合同。

下表简要比较了在个人信息跨境传输中个人信息保护认证[2]与订立标准合同[3]的异同：

两者相比较，个人信息保护认证需要满足《跨境处理认证规范》中列明的各项要求（其中包括签订法律约束力和可执行的文件）、取得认证后还需接受认证机构的日常监督、认证证书每三年更新、向认证机构支付认证费用，在实践中似乎并不具有优势。那么，在个人信息保护认证落地实施之后，除非在某些特定场景下要求个人信息处理者提供个人信息保护认证证书，个人信息处理者会否有动力主动申请认证值得观察。

[1] 《征求意见稿》在第3条“术语定义”部分给“境外接收者”作出了定义，但全文却使用了“境外接收方”，似乎为笔误。

[2] 比较基于《征求意见稿》。

[3] 比较基于网信办于2022年6月30日发布的《个人信息出境标准合同规定》（征求意见稿）。

[4] 中国网络安全审查技术与认证中心已开展数据安全管理认证和APP安全认证。该中心很可能为个人信息保护认证的认证机构。