为规范个人信息处理活动,促进个人信息合理利用,近日,国家市场监督管理总局、国家互联网信息办公室发布《个人信息保护认证实施规则》(以下简称《规则》),鼓励个人信息处理者通过认证方式提升个人信息保护能力。《规则》规定了对个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证的基本原则和要求。
所谓认证,是指由具备专业能力的第三方机构,依据相关标准或技术规范对企业的产品、服务和管理体系等进行评定。为了规范个人信息处理活动,2021年我国出台了《个人信息保护法》,其中明确规定,推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务。此次《规则》的发布,既是对《个人信息保护法》的贯彻落实,也是引入第三方专业力量加强个人信息保护的有益尝试。
根据《规则》,个人信息保护认证的认证模式为:技术验证﹢现场审核﹢获证后监督。认证证书有效期为3年。在有效期内,通过认证机构的获证后监督,保持认证证书的有效性。当获得认证的个人信息处理者不再符合认证要求时,认证机构应当及时对认证证书予以暂停直至撤销。认证委托人在认证证书有效期内可申请认证证书暂停、注销。对企业来说,主动就自身个人信息保护工作进行认证,不仅可以增强自身相关工作的合规性,而且可以让相关各方直观了解自身个人信息保护水平,增加对企业的信任,从而在市场竞争中赢得更多机会。当然,获得认证证书并不意味着一劳永逸,《规则》特别明确,认证机构应采取合理频次、适当方式实施监督,确保获得认证者持续符合认证要求,这就相当于给企业个人信息保护工作加了道“安全锁”。对老百姓来说,通过查看企业有无个人信息保护认证证书,也能给自己的消费决策提供重要参考。
来源:人民邮电报