2022.12/43Feature网事焦点文│中国网络安全审查技术与认证中心陈世翔个人信息保护认证实施要点2022年11月4日,国家市场监督管理总局、国家互联网信息办公室联合发布《关于开展个人信息保护认证工作的公告》,标志着我国个人信息保护认证制度正式建立。当前,全球范围内个人信息保护立法力度空前,个人信息保护工作受到各方的热切关注。《中华人民共和国个人信息保护法》发布以来,落实法律要求的个人信息保护制度不断出台。认证作为国际通行的市场监督管理的重要制度手段,将在落实《个人信息保护法》要求、支撑个人信息保护工作、促进个人信息合法有序利用等方面发挥重要作用。由于个人信息特性及其处理活动的复杂性,个人信息保护认证具有相应的独特性和复杂性。为便于个人信息处理者做好认证准备工作并顺利通过认证,现将个人信息保护认证实施要点简介如下。一、认证对象和范围开展个人信息处理活动的个人信息处理者可申请个人信息保护认证。个人信息保护认证的对象是个人信息处理者开展的个人信息处理活动,认证申请主体应为个人信息处理者。个人信息处理活动包括个人信息收集、存储、使用、加工、传输、公开、跨境提供等,认证范围涵盖个人信息处理活动涉及的组织范围、业务范围、系统范围等,涉及个人信息处理活动的组织管理、制度措施、技术处理等方面。个人信息处理者申请认证应根据自身个人信息处理情况,梳理清楚涉及的个人信息情况、业务范围、组织范围、系统范围等,明确认证范围。个人信息处理者向境外提供个人信息时,应梳理对照个人信息向境外提供的管理要求,选择适合自身情况的管理方式。对不属于评估范围的情形,个人信息处理者通过认证后可直接向境外提供;对属于评估范围的情形,认证结果可作为个人信息出境安全评估输入。结合认证制度特点,适合采用认证方式满足向境外提供个人信息管理要求的个人信息处理者包括但不限于:一是向境外接收方持续提供个人信息的个人信息处理者;二是跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动;三是落实法规标准要求,亟需加强个人信息跨境提供安全制度措施、规范开展个人信息处理活动的个人信息处理者;四是为向个人信息主体、境外接收方等明示个人信息处理达到相关标准要求的个人信息处理者。二、认证依据个人信息处理者应当符合GB/T35273《信息安全技术个人信息安全规范》的要求,对于开展跨境处理活动的个人信息处理者,还应符合TC260-PG-20222A《个...
