个人信息保护认证定位为自愿性认证,鼓励符合条件的个人信息处理者对开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动自愿申请个人信息保护认证。
就“自愿认证”而言,涉及个人信息跨境传输活动的个人信息处理者,是否选择认证完全出于自愿。如果选择认证,也需要判断是否符合需申报数据出境安全评估的情形。若符合,个人信息处理者则必须进行数据出境安全评估申报。
根据《认证规则》,个人信息保护认证依据为 GB/T 35273-2020《信息安全技术 个人信息安全规范》,对于开展跨境处理活动的个人信息处理者,还应当符合《认证规范 V2.0》的要求。上述标准、规范原则上应当执行最新版本。
注册于(适用于组织)/位于(适用于个人)粤港澳大湾区内的个人信息处理者,即广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市及香港特别行政区的个人信息处理者跨境处理个人信息则应当符合《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求(征求意见稿)》的相关要求。该指南共包含六部分内容,即范围、术语定义、个人信息处理要求、基本原则、个人信息权益保障要求以及个人信息安全要求。指南在强调重述《个人信息保护法》各项要求的同时,还融入了香港《个人资料(私隐)条例》的相关规定,例如使用个人信息进行商业营销需征得个人信息主体的同意等。
GB/T 35273-2020《信息安全技术 个人信息安全规范》从个人信息收集、个人信息存储、个人信息使用、个人信息主体的权利、个人信息的委托处理、共享、转让、公开披露、个人信息安全事件处置以及组织的个人信息安全管理要求等七个方面规定了开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动应遵循的原则和安全要求。
此外,对于开展个人信息跨境处理活动,《跨境认证要求(征)》从具有法律约束力的文件、组织管理、个人信息跨境处理规则、个人信息保护影响评估、个人信息主体权利、个人信息处理者以及境外接收方的责任义务等六个方面对个人信息处理者提出了基本要求,包括:
1. 个人信息处理者与境外接收方签署具有法律约束力和可执行的文件,确保个人信息主体权益得到充分保障;
2. 开展个人信息跨境处理活动的个人信息处理者和境外接收方均需要指定个人信息保护负责人,并设立个人信息保护机构;
3. 开展个人信息跨境处理活动的个人信息处理者和境外接收方约定并共同遵守同一个人信息跨境处理规则;
4. 个人信息处理者对拟向境外接收方提供个人信息的活动开展个人信息保护影响评估,并形成个人信息保护影响评估报告;
5. 个人信息处理者和境外接收方应响应个人信息主体的有关权益;
6. 个人信息处理者和境外接收方应履行相应的责任义务。
这些要求不仅可以作为认证机构实施个人信息跨境处理活动认证的相关依据,也可以为个人信息处理者规范其个人信息跨境处理活动提供参考。
来源:环球律师事务所等团队
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
