为贯彻落实《中华人民共和国个人信息保护法》有关规定,规范个人信息处理活动,促进个人信息合理利用,根据《中华人民共和国认证认可条例》,国家市场监督管理总局、国家互联网信息办公室决定实施个人信息保护认证,鼓励个人信息处理者通过认证方式提升个人信息保护能力。从事个人信息保护认证工作的认证机构应当经批准后开展有关认证活动,并按照《个人信息保护认证实施规则》实施认证。
近年来,随着数字经济的快速发展,个人信息的价值日益凸显,对个人信息的收集处理无时无刻不在进行。但一些企业因为各种原因,致使个人信息违法获取、过度使用、非法买卖等问题不时发生。对于这些问题,如果完全依靠政府监管,不仅会让有限的监管资源不堪重负,而且会大幅增加监管成本。这就需要引入第三方专业力量,认证恰恰是以专业力量助力现代市场治理的重要手段。
《个人信息保护认证实施规则》规定了对个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证的基本原则和要求。根据《个人信息保护认证实施规则》,个人信息保护认证的认证模式为:技术验证+现场审核+获证后监督。认证证书有效期为3年。在有效期内,通过认证机构的获证后监督,保持认证证书的有效性。当获得认证的个人信息处理者不再符合认证要求时,认证机构应当及时对认证证书予以暂停直至撤销。认证委托人在认证证书有效期内可申请认证证书暂停、注销。
对企业来说,主动就自身个人信息保护工作进行认证,不仅可以增强自身相关工作的合规性,而且可以让相关各方直观了解自身个人信息保护水平,增加对自己的信任,从而在市场竞争中赢得更多机会。当然,获得认证证书并不意味着一劳永逸,《规则》特别明确,认证机构应采取合理频次、适当方式实施监督,确保获得认证者持续符合认证要求,这就相当于给企业个人信息保护工作加了道“安全锁”。对老百姓来说,通过查看企业有无个人信息保护认证证书,也能给自己的消费决策提供重要参考。
加强个人信息保护是一项系统工程。认证机构是构建个人信息保护综合治理体系的重要力量。相信随着《规则》的施行,我国个人信息保护治理的维度会更加多元,力量更加专业,这也将有力促进个人信息依法合理有效利用,对个人信息出境制度的完善为产业界提供更明确的合规指导,增强了我国企业在全球数字经济发展中的竞争力,也可能催生大量的个人信息安全咨询需求和合规工具需求,推动相关行业发展。