盘点个人信息保护方面的那些认证

二十大以来,个人信息保护相关政策推出速度加快,我们盘点了国家及行业的一些重要认证,供参照。

11月18日,多家媒体平台转发了《关于关于实施个人信息保护认证的公告》,“公告”由国家市场监督监管总局、国家互联网信息办公室联合发布,这也代表着在个人信息保护领域政策的加速。原点安全盘点了目前涉及个人信息保护相关的主要认证,供个人信息处理企业参照。

1.png


个人信息保护认证(PIP & PIPCB)

二十大报告第十一章推进国家安全体系和能力现代化章节中,明确提出加强个人信息保护。11月18日,两部门联合发布了《关于实施个人信息保护认证的公告》并同时公布《个人信息保护认证实施规则》,迈出我国建立个人信息保护认证制度的重要一步。

1、适用范围
规定了对个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证的基本原则和要求。
2、认证依据
个人信息处理者应当符合GB/T 35273《信息安全技术 个人信息安全规范》的要求。对于开展跨境处理活动的个人信息处理者,还应当符合TC260-PG-20222A《个人信息跨境处理活动安全认证规范》的要求。
3、短评:
二十大后关于个人信息保护的重量级举措,首个关于个人信息保护认证的专项制度,确立了个人信息保护认证在我国个人信息保护法律体系当中的正式地位,同时进一步完善了我国数据安全认证认可制度,推动建立更加科学高效的数据安全治理体系。
此外,个人信息出境的相关规定具体化和可操作化,《个人信息保护法》将第三十八条第二款中“按照国家网信部门的规定经专业机构进行个人信息保护认证”作为向境外提供个人信息的渠道之一落到实处。《个人信息保护认证实施规则》适用于对个人信息处理者开展个人信息跨境处理活动进行认证的情形,并明确对于开展跨境处理活动的个人信息处理者,还应当符合TC260-PG-20222A《个人信息跨境处理活动安全认证规范》的要求,为跨境场景下个人信息保护认证工作的开展提供了依据。
App个人信息保护认证(App认证)

App强制索取授权、过度索权、超范围收集个人信息等现象大量存在,违法违规使用个人信息问题十分突出的大背景下推出的。依据中央网信办、工业和信息化部、公安部、市场监管总局于2019年3月15日发出的《关于开展App违法违规收集使用个人信息专项治理的公告》,市场监管总局、中央网信办决定开展App安全认证工作,并指定CCRC为认证机构。

3.png

1、适用范围

适用于对移动互联网应用程序(以下称“App”)的数据安全认证。主要覆盖用户信息收集、应用敏感权限申请、账号管理等项目。

2、认证依据

App安全认证的认证依据为 GB/T 35273《信息安全技术个人信息安全规范》及相关标准、规范。

3、短评:

认证针对的范围是移动智能终端中运行的应用程序收集、存储、使用、加工、传输个人信息的活动。在民众感知最强烈的超范围收集个人信息、过度索取用户权限等。首次给予了明确的规定。App个人信息处理活动应当采用合法、正当的方式,遵循诚信原则,不得通过欺骗、误导等方式处理个人信息,切实保障用户同意权、知情权、选择权和个人信息安全,对个人信息处理活动负责。 

数据安全管理认证(DSM)

2022年6月9日,《关于开展数据安全管理认证工作的公告》正式宣告数据安全管理认证的启动,数据安全管理认证(DSM认证)是基于GB/T 41479等相关标准规范开展的,从数据处理全生命周期的安全技术要求(包括收集、存储、使用、传输、提供、删除、访问控制等),和安全管理要求(包括数据安全负责人、人力保障、事件应急处置)这两个维度来进行评估认证。

4.png

1、适用范围

对网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等处理活动进行认证的基本原则和要求。

2、认证依据

GB/T 41479《信息安全技术 网络数据处理安全要求》及相关标准规范。

3、短评:

综合来看,所有涉及网络数据服务的运营者均可申请此认证。与之前的APP安全认证不同,数据安全管理认证不是针对某个产品或服务的单独认证,而是对于企业管理体系的综合认证。

数据安全管理能力认证(DSMC)

数据安全管理能力认证(DSMC)是由中国信息通信研究院面向全行业发起的数据安全领域的权威国家级认证。自2021年底发布以来,已有国内数十家企业参与并获得认证。

1、适用范围

从数据安全制度落地要求、技术落地要求两大维度共计15项指标进行评估。

其中,制度落地要求包括组织建设、制度保障、数据资产、数据审批、管理审计、合作方管理、教育培训、举报投诉、应急响应、合规性评估;技术落地要求包括数据识别、操作审计、数据防泄漏、接口安全管理、敏感数据保护。

2、认证依据

《数据安全法》、《个人信息保护法》、《工业和信息化领域数据安全管理办法(试行)》、《《网络数据安全管理条例(征求意见稿)》等相关法律法规、政策、标准。证书样式如下:

ISO27701隐私信息管理体系(ISO)


2019年8月6日发布,国际通用的PII(Personally identifiable information,也译作个人身份信息)保护工具,满足GDPR要求,ISO/IEC 27701是对ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制的隐私扩展。它是ISO标准委员会以ISO 27001为基准,以ISO 27552为蓝本,建立发布的隐私信息管理体系标准,为保护个人隐私提供指导。

1、适用范围

标准设计的目的在于借助更多的要求增强现有 ISMS,以建立、实施、维护和持续改进隐私信息管理体系 (PIMS)。目标是所有类型和规模的组织,包括公共和私营公司、政府实体以及非盈利组织。

2、认证依据

《安全技术—扩展ISO/IEC 27001和ISO/IEC 27002的隐私信息管理—要求与指南》。证书样式如下:

6.png


以上是原点整理的目前几个重要的个人信息保护或隐私安全方面的认证。然而,认证并不是机构个人信息保护能力的护身符,仅能作为个人信息保护能力的证明材料。认证不是一次性的,要持续实现能力建设的监督。对于企业来说,还是要从源头重视数据安全、重视个人信息保护,从收集、存储、适用、加工、传输、提供、公开、删除,以及境外合作等多个环节,建立合法合规安全高效的数据安全体系。