更新时间:2025-05-16 02:01作者:佚名
文字|国家计算机网络紧急技术协调中心高级工程师Wang Hui
跨境数据流加速了各个国家行业和经济的数字化转型过程。促进全球跨境数据流合作已成为国际社会的共同意愿和选择。目前,在全球数字领域探索规则和秩序是新情况。《个人信息出境个人信息保护认证办法(征求意见稿)》的配方(以下称为《办法》)是要实施《中华人民共和国个人信息保护法》(以下简称《个保法》)的要求数字经济与贸易与国际合作。
1。总体考虑
《办法》有效地实施了《个保法》的要求,全面整理相关的法规,建立良好的联系,协调高质量的开发和高级安全,并根据市场需求促进个人信息保护和认证的标准化,制度化和市场化,以基于市场需求进行个人信息保护和认证。
(i)处理《办法》与当前法律和法规之间的关系
《办法》的公式是实施《个保法》的第38条。阐明了《办法》的“国家互联网信息部的规定”;阐明了《个保法》的“国家互联网信息部的规定”;个人信息保护和个人信息的认证是针对个人信息处理者的个人信息保护和认证活动,以便在国外提供个人信息,即《个保法》的“个人信息保护和认证”适用于离开该国的个人信息情况。这《办法》和《数据出境安全评估办法》 《个人信息出境标准合同办法》共同构建了我国家跨境数据管理系统设计的三条途径,并且在《促进和规范数据跨境流动规定》中清楚地规定了它们的应用程序范围。
(ii)在个人信息的出站状况下处理安全与发展之间的关系
《办法》在为个人信息处理器提供高效且方便的个人信息的基础上,还必须考虑个人信息出站活动的安全监督。监督主要反映在认证机构的规范和约束中。系统设计还充分考虑避免了个人信息处理器的压力传输。通过认证机构的规范,并有效保证个人信息的安全跨境传输,而不会承担企业的额外负担。
(iii)遵守面向问题的方法并完全考虑市场发展需求
《办法》 Focusing on personal information outbound activities, clarify the relationship between personal information protection and personal information protection and certification, effectively solve practical problems such as how to reduce compliance costs, how to assess certification, how to manage certification institutions, and how to apply overseas organizations, better serve personal information processors, fully meet the personal information outbound needs of relevant organizations under the premise of legality and compliance, and guide and standardize personal information outbound 活动。
2。重要意义
《办法》 The positioning department regulations, a total of 20 articles, clarify the overall design of personal information protection certification for personal information outbound, stipulate the filing system of personal information protection certification agencies for personal information outbound, refine the specific requirements for the implementation and supervision and management of personal information protection certification for personal information outbound, standardize certification agencies and guide industry self-discipline, promote the digital economy and promote international cooperation,这对于护送数字贸易的发展至关重要。
(i)标准化认证机构
《办法》个人信息保护机构的个人信息保护机构的责任清楚而精致,并且认证机构受到指导和监管,以根据法律和法规提供高质量的认证服务,并根据法律和法规提供更有效,方便和安全的路径,以提供个人信息处理器,以便进行个人信息处理人员进行个人信息信息,以进行个人信息。首先,澄清说,《个保法》的“专业机构”是根据法律建立的专业机构,并得到国家市场监督和管理部门的批准,以获得个人信息保护认证资格;其次,澄清说,认证机构需要向国家互联网信息部提交个人信息保护和认证活动,以进行个人信息保护和认证;最后,可以澄清说,认证机构的职责和义务,包括报告重大事件的义务,报告信息并与监督合作,包括确保服务质量和监督认证组织以及当然的个人信息出站活动的义务,当然还有对机密性的责任。
(ii)指南行业自律
《办法》很明显,个人信息保护和认证遵循自愿,面向市场的和社会化的服务原则,认证活动基于统一标准,统一规则和统一标签。《办法》清楚地确认了认证内容的关键点,评估内容旨在确保海外个人信息处理器处理个人信息,以满足与家庭个人信息处理者相同的个人信息保护标准。鼓励指导个人信息处理器通过市场方法自愿申请认证,通过合规评估,获得认证证书并保持证书的有效性。认证活动的整个过程要求个人信息处理器积极发挥主观倡议,自愿选择是否通过认证离开国家,独立制定了哪些场景和范围申请和验证,并有意识地使用技术含义来满足标准要求。这是一种积极的合规行为,因此形成了行业自律的机制。
(iii)促进数字经济
《办法》协调开发和安全性,专注于市场需求和取向以促进发展,加深“放松管制,监督和服务改革”的精神,而机构设计为个人信息保护和认证活动创造了三个方面:首先,国内或海外的个人信息处理者可以适用认证,并且在这些方面适用于机构的自由度和开放性,并且是开放性的。其次,任何国内或海外的个人信息处理器都可以获得认证并进行个人信息出站活动,这更方便,效率更高;第三,与个人信息保护和认证联系,简化认证程序,并节省重复验证某些评估指标的时间和成本。它既是“放松”和“受控”,它有利于建立“提供,流动,充分利用它们并确保安全性”的数据生态系统,并为数字经济的发展提供活力。
(iv)促进国际合作
《办法》完全考虑到需要制定国际跨境数据规则以及国际市场对数据流通和共享的需求,它对稳定外贸,稳定外国投资,扩大向外界的高级开放以及积极发展数字贸易具有积极影响。首先,在国际跨境个人信息规则系统中,认证系统的选择是一种相对成熟的共同做法,例如根据《通用数据保护条例》(GDPR)框架下的跨境数据传输认证,以及在APEC框架下的跨境隐私规则(CBPR)认证系统。《办法》的制定是我国试图促进跨境国际对个人信息的互惠认可并促进国际数字贸易合作的坚实步骤。其次,国际社会正在探索全球数字现场规则顺序的形成。联合国为《全球数字契约》(GDC),WTO电子商务谈判和《全面与进步跨太平洋伙伴关系协定》(CPTPP)(:01《数字经济伙伴关系协定》(DEPA)(DEPA)制定并发布了多边和双边实践。《办法》的表述是需要与国际高标准的经济和贸易规则进行积极联系,这也是探索连接数据跨境流量治理和国际规则的机制的努力。
3。创新措施
《办法》充分从国外实践中的常见实践和有用的经验中学*,系统设计明显具有系统性,开放性和创新性,尤其是在降低企业的合规成本方面。
(i)所有国内外个人信息处理器都可以申请认证
《办法》很明显,海外个人信息处理器也可以申请基于GDPR实践的认证。这种机构安排为个人信息处理活动提供了良好的便利和开放性,并符合国际经济和贸易规则的平等要求。
(ii)任何处理国内外个人信息的当事方都可以通过认证
在由《办法》设计的认证系统下,在任何家庭和海外个人信息处理器各方都应用和通过认证之后,个人信息都可以在认证范围内以及在认证的有效期内合法移出该国,无论是由国内海外党还是由国内海外派对发起的,无论是由国内外还是需要个人信息处理器来清楚地定义认证的范围。这种系统设计特别有利于一对多或多一对一的出站传输方案,例如跨国公司,这将*节省合规成本。
(iii)认证机构申请机制
《办法》很明显,对个人信息进行个人信息保护认证的专业认证机构应与国家互联网信息部门进行申请程序,主要是提交资格证书,经验案件,实施规则和其他材料,并需要建立诸如数据安全风险预防,持续的确认,认证和解决方案和解决方案,并要求建立机制。应该特别指出的是,备案机制不是许可批准,而是对认证机构的监督和管理要求,并且需要对认证结果负责,并且需要对社会负责。
(来源:中国互联网信息网络)
资料来源:中国信息安全