一、相关法规
(一)《个人信息保护法》
第三十八条 个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:……
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;……
第六十二条 国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作:……
(四)推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务;……
个人信息处理者应当符合GB/T 35273《信息安全技术 个人信息安全规范》的要求。
对于开展跨境处理活动的个人信息处理者,还应当符合TC260-PG-20222A《个人信息跨境处理活动安全认证规范》的要求。
《个人信息保护认证实施规则》
(四)《个人信息跨境处理活动安全认证规范》(TC260-PG-20222A)
二、已通过案例
根据CCRC消息,截至目前,共收到个人信息保护认证申请意向104个,颁发个人信息保护认证证书7张。
11月27日,CCRC向中国平安人寿保险股份有限公司、北京度友科技有限公司颁发个人信息保护认证证书。
2023年12月15日,CCRC向珠海澳科大科技研究院、支付宝(中国)网络技术有限公司、北京华品博睿网络技术有限公司、京东科技信息技术有限公司及某跨境电商等5家企业颁发了我国首批个人信息保护认证证书。
根据相关机构自愿公开的个人信息保护认证证书,都是按照场景或者系统维度来做的,个人信息处理活动有涉及跨境的,也有纯境内的。
相关报道:
1、支付宝首批获颁“个人信息保护认证”证书:https://www.antgroup.com/news-media/press-releases/1703470442000
2、全国首张“个人信息保护认证”证书正式发出:https://www.cnii.com.cn/rmydb/202312/t20231225_532719.html
三、认证流程及费用
根据《个人信息保护认证实施要点》(https://www.isccc.gov.cn/xwdt/xwkx/01/908873.shtml)个人信息保护认证流程包括认证申请、技术验证、现场审核、认证决定、获证后监督5个主要环节。
四、结语
在个人信息出境领域,个人信息认证的有效期只有三年,而个人信息标准合同备案的期限可以在合同协议中自由约定,如果只是从费用角度考虑,肯定是备案更有性价比。
如果预算充足,个人信息保护认证作为我国个人信息保护领域内唯一一个国家级认证,肯定是对企业个人信息保护水平的有力证明。
