个人信息出境个人信息保护认证(以下简称:“
出境认证
”)其实有上位法依据、实践指南和落地案例。
《认证办法》的出台,无非拼齐网信办数据出境部门规章体系,确保安全评估、标准合同和跨境认证都有一个对应的“办法”。
目前,
中国网络安全审查认证和市场监管大数据中心(以下简称“CCRC”)是
可以做个人信息保护认证的唯一机构,
咨询电话是:010-88261100。预计在《
认证办法》正式出台后,会有其他的专业机构。
根据CCRC消息,截至目前,共收到个人信息保护认证申请意向104个,颁发个人信息保护认证证书7张(详见:
个人信息保护认证到底是啥?
),其中
珠海澳科大科技研究院
的
是出境认证。证书有效期均为
3
年。
根据《
个人信息保护认证实施要点
》
,
自认证受理之日起至作出认证决定所实际发生的工作日,一般为70个工作日。
根据官网公示估算,整体费用可能要数十万元。请注意,其中的审核/验证费是6k/人天,涉及出境时间肯定会长一些,费用也就更高。
(一)适用范围
与《促进和规范数据跨境流动规定》一致,能做出境认证的前提是:(1)非CIIO;(2)所出境个人信息不是重要数据;(3)一年内个人信息出境在10万人至100万人之间,敏感个人信息在1万人以下。
上述同样也是订立个人信息出境标准合同的条件,只是出境认证还可以适用于境外直采的情形,而该情形由于无境内个人信息处理者,因此无法签标准合同。
符合《中华人民共和国个人信息保护法》第三条第二款规定,在中华人民共和国境外处理中华人民共和国境内个人信息的个人信息处理者,获得个人信息出境个人信息保护认证,可以进行个人信息出境活动。
在该种场景下,境外处理者须通过境内代表提交材料,并接受境内认证机构的持续监督。
中华人民共和国境外的个人信息处理者申请个人信息出境个人信息保护认证的,应当由其在境内设立的专门机构或者指定代表协助进行申请,并承担相应的法律责任,承诺遵守中华人民共和国个人信息保护有关法律法规并接受监督管理,在认证有效期内接受专业认证机构的持续监督。
(二)专业认证机构备案
此前,专业认证机构只有CCRC一家,在《认证办法》出台后,专业认证机构需要向网信办备案。
与此前的很多备案一样,肯定不是谁去都行的,毕竟这里面涉及不少利益。
希望能够引入足够多的机构,形成良性竞争,让企业有更多选择。
(三)网信和市监分工
此前的《关于实施个人信息保护认证的公告》就是网信办和市监总局一起发的,毕竟认证还是市监局的业务领域。
具体而言,网信管认证的相关标准、技术法规和合格评定程序并监管个人信息出境活动,而市监总局管认证的实施规则、统一认证证书及标志并管理认证机构。
(四)认证内容
此前的《个人信息跨境处理活动安全认证规范》,关注的内容如下:
