2022 年 11 月 18 日,国家市场监督管理总局和国家网信办发布的《认证公告》以及附件《认证规则》,对开展个人信息保护认证的流程进行了细节说明,包括认证委托、技术验证、现场审核、认证结果评价和批准等环节。《认证公告》指出“从事个人信息保护认证工作的认证机构应当经批准后开展有关认证活动”。虽然,相关法律法规并未明确公布依法取得认证机构资质的企业名录,但根据向中国网络安全审查认证和市场监管大数据中心(下称网安审认证和市监大数据中心)咨询的结果以及国家网信办于 2024 年 3 月 22 日发布的《<促进和规范数据跨境流动规定>答记者问》,企业可以通过个人信息保护认证管理系统(具体网址为 https://data.isccc.gov.cn)向网安审认证和市监大数据中心进行申请。
同时,《跨境认证要求(征)》具体规定了在个人信息跨境传输场景下开展个人信息保护认证的适用情形、基本原则以及基本要求,为认证机构对个人信息跨境处理活动开展个人信息保护认证提供了认证依据,同时也为企业作为个人信息处理者合规开展个人信息跨境处理活动提供了参考。
开展个人信息保护认证包括“认证委托、技术验证、现场审核、认证结果评价和批准、获证后监督”五个环节,具体流程如图所示:
首先,个人信息处理者(即认证委托人)应当按认证机构的要求提交认证委托资料,包括但不限于认证委托人基本材料、认证委托书、相关证明文档等。认证委托人在申请个人信息保护认证前可以按照认证依据的要求开展自评估以及合规整改,以符合认证依据的有关要求。
认证机构在对认证委托资料审查后及时反馈是否受理。认证机构会根据认证委托资料确定认证方案,包括个人信息类型和数量、涉及的个人信息处理活动范围、技术验证机构信息等,并通知认证委托人。
通过后,技术验证机构会按照认证方案实施技术验证,并向认证机构和认证委托人出具技术验证报告8。认证机构会进行现场审核,并向认证委托人出具现场审核报告。
认证机构根据认证委托资料、技术验证报告、现场审核报告和其他相关资料信息进行综合评价,作出认证决定。对符合认证要求的,认证机构会颁发认证证书;对暂不符合认证要求的,认证机构有权要求认证委托人限期整改;对于整改后仍不符合的,认证机构有权以书面形式通知认证委托人终止认证。认证机构如发现认证委托人、个人信息处理者存在欺骗、隐瞒信息、故意违反认证要求等严重影响认证实施的行为时,认证不予通过。
认证机构在认证有效期内,会对获得认证的个人信息处理者进行持续监督,确保获得认证的个人信息处理者持续符合认证要求。认证机构对获证后监督结论和其他相关资料信息进行综合评价,评价通过的,可继续保持认证证书;不通过的,认证机构应当根据相应情形作出暂停直至撤销认证证书的处理。
来源:环球律师事务所等团队