全球化与数字化的合流带来了数据的价值利用和自由流动需求,使得个人信息与隐私合规亦处在动态、跨辖区的监管环境中。在如此复杂的法律和监管背景下,如何履行各国个人信息和隐私保护的合规义务并提供适当证明以促进业务发展,已成为企业和组织,特别是跨国企业和组织,数据合规工作的重要课题和目标。国际标准化组织(International Organization for Standardization,ISO)与国际电工委员会(International Electrotechnical Commission,IEC)发布的《ISO/IEC 27701安全技术—对用于隐私管理的ISO/IEC 27001和ISO/IEC 27002的扩展—要求和指南》(以下简称“ISO/IEC 27701”)已成为企业,特别是跨国企业衡量内部个人信息和隐私保护的合规情况的重要参考。另外,以确保跨大西洋数据传输稳定与合规为目的的《欧盟-美国数据隐私框架原则》,在欧盟与美国政府的二十余年的博弈之中最终逐步确立;该框架原则以自我认证为核心,将为世界上最为庞大的跨境数据传输场景之一的合规与稳定运行提供支持。最后,以TRUSTe为代表的美国第三方隐私安全认证机制,在参考ISO/IEC 27001与ISO/IEC 27701的基础上,基于多年的认证经验,自行制定了广泛适用于多种隐私与数据安全框架合规的隐私认证规则,凭借广泛的适用性与较高的行业认可度,在隐私安全与隐私管理体系认证领域的业务市场中占据了重要的地位。
在上篇中,我们对我国数据合规认证体系进行了梳理;中篇则对各国和地区数据合规认证制度进行了介绍;而本篇作为系列文章的下篇,将因循上述路径继续深入,分析前述三项国际隐私安全与管理体系认证规则,以期为企业在跨国家、跨地区的全球范围内开展隐私保护合规工作提供参考。概括来说,这三项认证的典型特征分别为:国际标准化协会与电工委员会提供的隐私信息管理体系认证,欧盟与美国政府提供官方背书的隐私保护与数据跨境传输认证,以及民间私营机构开展的适用于多项隐私合规体系的认证。以下,我们将分别进行具体介绍。
一、ISO27701与我国隐私管理体系的合规要求
如前言所述,伴随着全球化进程的不断加深,以及数据高价值利用和自由流动需求的爆发性增长,尽管不同法域之间,甚至同一法域内制定了多项针对数据处理活动的认证制度,但是对于企业和组织,特别是跨国企业和组织而言,如何利用一套认证制度来使其达到“全球通行”,或者至少在最大范围内证明其数据处理活动的合规性?这就需要有一套能够起到全球统一协调作用的个人隐私保护体系或法律规则,为企业在不同法域的数据合规工作进行方向性的指导。
2019年8月,国际标准化组织(ISO)与国际电工委员会(IEC)正式发布《ISO/IEC 27701》,首次提出隐私信息管理体系(PIMS)的理念,为在组织内启动、实施、保持和改进信息安全管理措施提供了实施指南。值得注意的是,欧盟数据保护委员会(European Data Protection Board, “EDPB”)积极参与了《ISO/IEC 27701》的落地,在《ISO/IEC 27701》附录D中提供了《ISO/IEC 27701》与欧盟《通用数据保护条例》(General Data Protection Regulation, “GDPR”)的条文比对,展示了《ISO/IEC 27701》与GDPR在合规措施方面的总体相似性和细节差异。国际上普遍认为,《ISO/IEC 27701》与GDPR合规思路最为接近,在满足GDPR合规基础上落地《ISO/IEC 27701》是易于实践的。
鉴于国内外法规及标准的不断丰富,我们和微软公司合作曾于GitHub上公开推出过开源数据保护映射项目(https://www.dpmap.org),将ISO/IEC 27701、GB/T 35273-2020等个人信息保护法律法规、标准政策进行条文对比,旨在促进和构建全球隐私社区协作和共识,以便详细分析各种隐私监管要求之间的联系。从宏观来看,ISO/IEC 27701、GB/T 35273-2020和《个保法》对于隐私信息管理体系的构建主要可以划分为“个人信息全生命周期控制措施”和“企业内部隐私和信息合规体系”两个维度。
就个人信息处理的整个生命周期控制措施而言,ISO/IEC 27701、GB/T 35273-2020和《个保法》均针对个人信息的收集、存储、使用、委托处理、对外提供、公开披露、跨境传输作出了规定;就个人信息主体权利实现、个人信息安全事件处置措施,前述法律和标准的整体思路一致,但颗粒度和侧重点并不完全相同。
就企业内部隐私和信息合规体系而言,ISO/IEC 27701相较GB/T 35273-2020提出了更加细致的组织管理要求,建立了完整的事前、事中、事后合规闭环机制,即PIMS要求组织进行前期规划,明确信息安全管理体系的目的、理解相关方的需求与期待,以及确定信息安全管理体系的范围。在确定规划后,PIMS对如何运行、控制、管理个人信息、应对安全风险,提供了一套战略性建议。执行过后,PIMS还总结了如何监控、度量隐私信息管理体系的有效性、合规性等方法,并提出了相应的纠正和改进措施。
以下,我们将从内部合规管理体系构建的重点方面出发,对ISO/IEC 27701、GB/T 35273-2020和《个保法》的合规要求进行对比,以期为企业进行数据合规工作提供更加全面、完备、具有可实践的操作指引。
(一)明确组织部门与人员
ISO/IEC 27701、GB/T 35273-2020和《个保法》均对个人信息保护负责人设置做出了规定。但《个保法》仅作出了原则性规定,要求处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,其主要职责为对个人信息处理活动以及采取的保护措施等进行监督。相比于《个保法》,GB/T 35273-2020作出了更加细致、具体的规定:对于个人信息安全组织架构进行了规定,主要包括以下四个方面内容:1)明确法定代表人或主要负责人对个人信息安全负全面领导责任,包括为个人信息安全工作提供人力、财力、物力保障等;2)任命个人信息保护负责人和个人信息保护工作机构;3)在满足一定条件时,设立专职个人信息保护负责人和个人信息保护工作机构;4)个人信息保护负责人和个人信息保护工作机构的职责要求。此外,GB/T 35273-2020还要求为个人信息保护负责人和个人信息保护工作机构提供必要的资源,保障其独立履行职责。
类似地,ISO/IEC 27701要求任命一名或多名负责制定、实施、维护和监督组织进行数据治理和开展隐私合规项目的人员,以确保组织能够遵守有关处理PII所适用的法律和法规。ISO/IEC 27701还要求组织指定一位联系人专门为客户提供PII处理服务。当组织是PII控制者时,应当为PII主体指定一位联系人专门负责处理其PII事宜。从职责来看,尽管采用了不同的表述,ISO/IEC 27701与GB/T 35273-2020第11.1条d)款规定的第1、2、5、6、10项职责基本一致。ISO/IEC 27701还特别要求负责人独立并直接向组织的适当管理层报告,以确保有效管理隐私风险;并要求负责人成为数据保护法律、法规和实践方面的专家。此外,ISO/IEC 27701还提及,数据保护官既可由内部工作人员担任,也可选聘外部专家来担任。
(二)个人信息安全工程
ISO/IEC 27701、GB/T 35273-2020和《个保法》均对建立个人信息安全工程做出了规定。GB/T 35273-2020要求个人信息控制者[1]在开发具有处理个人信息功能的产品和服务时,应当根据国家有关标准,在需求、设计、开发、测试、发布等系统工程阶段考虑个人信息保护要求,以保证在系统建设时对个人信息保护措施同步规划、同步建设和同步使用。《个保法》主要通过第一章总则,对于个人信息处理者的基本安全要求提出原则性规定,并且在第九条中明确规定个人信息处理者对其个人信息处理活动负责,并且应当采取必要措施保证个人信息的安全;对于企业内部制定个人信息保护管理制度和操作规程的要求,则在第五十一条进行了规定。
ISO/IEC 27701则从实施的具体层面切入,同样提出了对于建立个人信息安全工程的要求,但相比而言要求更高。组织首先应当将PII的收集控制在最小必要程度、将PII的处理活动控制在充分必要程度;其次,组织应当确保并记录准确、完整及最新的PII,以及确定数据最小化的目标及规定为达成目标所计划采取的手段和措施;组织还应当在数据处理活动结束时,及时对PII及处理活动中产生的临时文件进行去标识化和删除处理;组织应当将处理的政策、程序及机制文档化并遵循相关的制度规范;此外,在PII传输方面,组织应当合理控制并确保通过数据传输网络输送的PII到达指定的目标处。
(三)进行个人信息处理活动的记录
针对个人信息处理活动的记录要求,《个保法》中明没有明确规定,仅在个人信息保护影响评估条款中涉及了明确的记录要求,而ISO/IEC 27701、GB/T 35273-2020均规定要记录个人信息处理活动。其中,GB/T 35273-2020作仅将记录行为作为企业自愿实践,而ISO/IEC 27701则作出了硬性要求:ISO/IEC 27701规定组织应明确并安全保留必要的记录,记录的内容至少包括处理的类型、处理的目的、对PII和PII主体类别的描述(如儿童)、已经或者将要披露的PII接收方类别,包括第三国接收方或国际组织、技术和组织安全措施的一般性说明、以及隐私影响评估报告。PII处理记录应当确定一个对其准确性和完整性能够负责的人。
(四)开展个人信息安全评估
ISO/IEC 27701、GB/T 35273-2020和《个保法》均对个人信息安全评估做出规定,虽然《个保法》对评估的具体命名较GB/T 35273-2020略有调整[2],但两者对评估的要求基本一致。而ISO/IEC 27701则区分了信息安全风险评估流程和隐私风险评估流程:前者主要用于识别因丧失保密性、完整性和可用性而产生的相关风险;后者则用于识别与PII处理相关的风险。同时,ISO/IEC 27701还提及,在整个风险评估过程中,组织应当妥善管理信息安全与PII保护的关系,既可以将二者合并评估,也可以将二者分开评估,但二者均需限定在隐私信息管理体系(PIMS)的范围内。
(五)数据安全能力
对数据安全能力的要求,主要在于防止个人信息的泄露、损毁、丢失、篡改及其带来的不利影响,故ISO/IEC 27701、GB/T 35273-2020和《个保法》均进行了具体要求。
ISO/IEC 27701从物理和环境安全方面、操作安全方面、通信安全方面以及信息安全方面的业务连续性管理提出了更详细的规定与实施建议。为了便于企业在实施基于ISO/IEC 27001信息安全管理体系时对控制项进行选择,ISO和IEC进一步发布了ISO/IEC 27002作为指导文件,同时也是企业实施普遍接受的信息安全控制项的指南。GB/T 35273-2020要求组织根据有关国家标准的要求,建立适当的数据安全能力,落实必要的管理和技术措施。《个保法》则从内部管理制度和操作规程;信息实行分类管理;安全技术措施;权限管理;人员教育和培训;安全事件应急预案等六个维度进行了规定。对于各维度更加细化的规定,企业一般也会依据下位法规定,并进而参考有关国家标准实施与执行。
(六)人员的管理与培训
ISO/IEC 27701、GB/T 35273-2020和《个保法》同样要求组织对涉及个人信息的相关人员进行管理与培训。其中,《个保法》仅将其作为提高数据安全能力的一种措施在第五十一条进行了原则性规定;GB/T 35273-2020则提出了六点具体的实施要求;而ISO/IEC 27701则从宏观的人力资源安全管理方面入手,在ISO/IEC 27002的基础上,从聘用前、劳务合同履行过程中、劳务关系结束时三个阶段出发,具体介绍了在不同时期,组织应当承当的责任以及相关人员须承担的具体义务,并且在第6.4.2.2条中对于聘用中应当对相关人员进行培训的主要维度进行了提示。
(七)安全审计
作为个人信息安全管理的重要环节,ISO/IEC 27701、GB/T 35273-2020和《个保法》均对信息活动中的安全审计做出了明确的要求。《个保法》在第五十四条中对于个人信息处理者的合规审计义务进行了原则性规定;GB/T 35273-2020则主要从业务实施角度出发,向组织提出了以下六点具体操作要求;ISO/IEC 27701与GB/T 35273-2020的操作要求相似,但其除了将审计要求涵盖到具体领域内(如在供应商关系安全管理中同时要求进行安全审计),ISO/IEC 27701专门将安全审计的规定列为“合规”领域并详细地进行了介绍和规定。
通过上述分析可以看出,ISO/IEC 27701、GB/T 35273-2020和《个保法》虽然在规范要求的细致程度上有所区别,但其总体个人信息保护原则和标准是基本一致的。此外,《个保法》中大多仅涉及原则性规定,具体的落地执行还需要进一步参考GB/T 35273-2020和其他国家标准、团体标准等。对于企业和组织而言,如何以《个保法》和GB/T 35273为起点,进一步融合ISO/IEC 27701的要求,在做好个人信息保护工作的基础上,进一步加强对企业内部隐私信息管理体系的建设?我们认为,这不仅需要在产品安全、业务流程上满足法律法规的要求,更要从宏观角度对内部进行整体优化,形成普适通用的数据合规管理体系和数据治理架构,以更好地赋能企业发展,这将成为摆在企业数据合规工作者面前的新的挑战。
二、《欧盟-美国数据隐私框架原则》的合规要求与认证机制
美国与欧盟之间所涉及的数据传输相关产业众多、数量巨大。根据美国经济分析局的数据,2020年欧盟与美国之间的信息与通信技术(Information and Communications Technology, “ICT”)和潜在的、由ICT支持的服务贸易总额超过2,600亿美元。如何在遵守双方数据保护法规的基础上维持稳定的数据传输,便成为双方政府关注的重要命题。由于欧盟出台了相对更为严格的数据保护法规,以及美国联邦信息情报机构基于国家安全进行的广泛的监控与监管,二者之间冲突的利益考量使得双方政府的相关努力在数十年间不断经历波折。
根据GDPR第V章的规定,个人数据自欧盟境内向第三国或国际组织进行跨境传输存在3类路径:(1)欧盟委员会的充分性决定(GDPR第45条);(2)数据控制者或处理者的适当保障措施(其中,重要的保障措施包括标准合同条款、有约束力的公司规则、行为准则,以及认证)(GDPR第46条);或(3)义务克减情形(GDPR第49条)。考虑到美国与欧盟成员国之间频繁且大量的数据传输,以及所涉及的诸多重要互联网公司的利益,无论在《数据保护指令》(Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data)下还是在GDPR颁布施行后,欧盟委员会与美国政府一直致力于通过充分性决定的方式在二者之间建立政府层面的数据传输框架。
2000年7月26日,欧盟委员会通过了《关于安全港隐私原则与常见问题所提供保护的充分性决定》[3],承认美国商务部发布的《安全港隐私原则与常见问题》为从欧盟向美国传输相关个人数据提供了《数据保护指令》下的充分保护。随后的十五年间,安全港隐私原则帮助包括Google与Facebook(后更名为Meta)在内的诸多重要互联网公司将其在欧盟境内获取的数据传输到美国境内进行处理。但随着2013年棱镜计划曝光,以及后续细节的不断披露,全世界范围内对于美国政府隐私与数据保护领域的不信任与日俱增。欧洲法院在2015年10月6日对Maximillian Schrems v Data Protection Commissioner (Case C‑362/14) (“Schrems I”)一案作出判决,上述充分性决定被宣告无效。随后,经过欧盟委员会与美国政府之间的多轮激烈磋商,双方于2016年2月2日就一项新的框架——即美国商务部发布的《欧盟-美国隐私盾原则》——达成协议。2016年7月12日,欧盟委员会通过了《关于欧盟-美国隐私盾所提供保护的充分性决定》[4],承认《欧盟-美国隐私盾原则》为从欧盟向美国传输个人数据提供了《数据保护指令》下的充分保护。而这一次,仅仅4年后,欧洲法院便于2020年7月16日在Data Protection Commissioner v Facebook Ireland and Maximillian Schrems (Case C-311/18) (“Schrems II”)一案的判决中再次宣布该充分性决定无效。而在这期间,随着GDPR在2016年4月14日制定颁布,并于2018年5月25日正式施行,欧盟个人数据保护标准不断提高,迫使美国政府进一步做出了重要的让步。
2022年3月25日,为了应对《欧盟-美国隐私盾原则》的失效,欧盟委员会与美国政府针对“跨大西洋数据隐私框架(Trans-Atlantic Data Privacy Framework)”的跨境数据传输框架达成了协议(后更名为“欧盟-美国数据隐私框架(European Union-U.S. Data Privacy Framework)”)。根据协议,美国政府承诺将针对信息情报活动进行限制,对个人权利作出进一步保障,并将建立独立且有法律约束力的救济机制。2022年10月7日,拜登政府发布了第14086号行政命令《加强对美国信号情报活动的保障措施》,对于信息情报活动施加了“国家安全目标”与“优先情报事项”两项要求,并对于情报活动的范围和方式施加比例原则和必要性的限制。针对此前设置的“隐私保护监察员”(Privacy Shield Ombudsman)由于缺乏独立性与实质性权力而受到来自欧盟法院质疑的情况,行政命令此次设立了公民自由保护官(Civil Liberties Protection Officer, “CLPO”)与数据保护审查法庭(Data Protection Review Court, “DPRC”)的双层救济与审查机制,在审查情报机构情报活动的同时为隐私与数据权利遭到侵犯的个人提供救济。作为第一层救济机制,CLPO负责受理投诉并展开调查,情报机关有义务进行配合;如果CLPO认为违法行为存在,其有义务采取措施;调查结束后,CLPO需形成报告上报给负责国家安全的司法总长,再由该总长向外国情报监视法庭(Foreign Intelligence Surveillance Court)进行汇报,并告知投诉主体处理结果。作为第二层救济机制,投诉主体可以向DPRC申请就CLPO的调查结果及义务遵守情况进行评估;如果法院对调查结果表示异议,可以发布独立的评估结果,情报机关有义务遵守。在上述行政命令发布后,2022年10月13日,欧盟委员会基于对《欧盟-美国数据隐私框架原则》和行政命令所提供的保护水平的评估,公布了《欧盟-美国数据隐私框架保护充分性决定》草案[5]。
对于目前的《欧盟-美国数据隐私框架原则》而言,在充分性决定正式由欧盟委员会通过前,委员会还需要针对充分性决定:(1)向EDPB征求意见;(2)向根据GDPR第93条组成的委员会提交批准;以及(3)经过欧洲议会审查。而考虑到前序2份充分性决定接连失败,欧盟成员国代表是否会对于这份充分性决定给出积极意见尚属未知。另外,虽然根据欧盟委员会的表述,更新后的《欧盟-美国数据隐私框架原则》(以及相关的美国总统行政命令)所提供的保护将能够满足欧洲法院在Schrems I与Schrems II判决中所提出的要求,但考虑到上述判决均针对的是《数据保护指令》下的充分性决定,而GDPR比《数据保护指令》规定了更高的个人数据保护标准,并不能排除欧洲法院在后续案件的判决中判定这份GDPR下的充分性决定无效的可能性。因此,《欧盟-美国数据隐私框架原则》及其认证机制目前仍存在较强的不确定性。
但值得注意的是,除了前述第14086号行政命令中提供的进一步保障举措外,《欧盟-美国数据隐私框架原则》与《欧盟-美国隐私盾原则》的实质内容几乎完全一致,均包含7项个人数据保护基本原则[6]、16项补充原则[7]以及附件I中对于救济与执行的规定。此外,两者关于认证的机制也相同。需要进行跨境数据传输的公司或组织需要每年通过美国商务部的自我认证(第6项)及核准程序(第7项),向美国商务部提交相关文件及信息,并提供针对自我认证的核准及追索,以确保落实框架确立的原则以及仲裁机制;而企业即便在主动退出后也需要每年填写并提交问卷,以便于美国商务部持续追踪其数据跨境实践。我们将相关的通用程序与要求整理并总结如下表:
美国商务部国际贸易管理局(International Trade Administration)负责该框架的行政管理,并负责公布正面清单(顺利完成年度认证的企业)和负面清单(因持续违规而从清单中被移除的企业)。针对通过认证的企业,美国商务部将依据职权进行例行实地检查(routine spot check);如果发现了违规情况,还会进行临时实地检查(ad hoc spot check)。针对启动加入框架的程序但并未完成初始自认证的企业,美国商务部将依据职权对其隐私政策进行审查。针对未参与框架的企业,美国商务部则通过网络主动搜索和识别其是否存在虚假陈述的情形。另外,欧盟成员国的数据保护当局(Data Protection Agency, “DPA”)在发现企业违反框架要求的情况下,可以要求美国商务部展开进一步调查。美国商务部会与欧盟委员会、EDPB代表、DPA定期召开会议,针对执行情况及美国法律变动及时沟通。
三、TRUSTe企业隐私认证的机制与合规要求
TRUSTe(2017年更名为TrustArc,将TRUSTe作为其商标与产品名,以下统称“TRUSTe”)创立于1997年。与上述《欧盟-美国数据隐私框架原则》不同,TRUSTe最初是作为一家民间的非营利性协会而创立,业务是协助企业进行隐私保护领域的自我管理与制度搭建。TRUSTe作为隐私保护认证领域的先驱,于2000年成为首个尝试在认证中涵盖欧共体与美国隐私保护标准的认证机构。随后,其于2001年率先推出了儿童隐私保护项目,并成为了美国联邦贸易委员会(Federal Trade Commission, “FTC”)在儿童在线隐私保护法案(Children’s Online Privacy Protection Act, COPPA)的安全港组织。在开展认证服务的20余年中,TRUSTe逐步成为世界范围内最受行业认可的隐私保护认证机构之一,其客户遍布各行各业,为包括AT&T、雅马哈、摩根大通、CISCO、IBM、甲骨文、自动资料处理公司(ADP)、电子艺界(EA)、Zoom、福布斯、家乐氏(Kellogg's)等诸多行业巨头在内的全球上千家企业提供隐私保护合规认证。同时,TRUSTe的认证业务覆盖范围全面,为企业客户提供针对欧盟《通用数据保护规则》(General Data Protection Regulation, “GDPR”)、《经济合作发展组织组织隐私指南》(OECD Privacy Guidelines)、《亚太经合组织隐私框架》(APEC Privacy Framework)、《美国健康保险可携带性与责任法案》(Health Insurance Portability and Accountability Act, HIPAA)、ISO/IEC 27001、《欧盟-美国隐私盾原则》(EU-U.S. Privacy Shield Principles)(如前所述,更新后称为《欧盟-美国数据隐私框架原则》)、《加利福尼亚州消费者隐私法案》(California Consumer Privacy Act, CCPA)、欧盟互动数字广告联盟(European Interactive Digital Advertising Alliance, EDAA)行为定向广告认证要求等在内的多种认证服务;近年来,TrustArc也在推动适用于我国《个保法》的合规服务产品。
在TRUSTe的所有合规及认证产品中,最为知名、影响最大、适用范围最广的,是其企业隐私认证(TRUSTe Enterprise Privacy Certification)。根据TRUSTe的声明,该认证依照TRUSTe隐私与数据治理框架(Privacy & Data Governance Framework, “P&DG”),并同时参照了OECD与APEC两大国际组织的隐私保护要求、GDPR个人数据保护规则、HIPAA健康信息保护规则以及ISO/IEC 27001信息安全管理体系规则[8]。
TRUSTe企业隐私认证项目(在实体上)分为三个阶段:制度建设(Build)、标准实施(Implement)与合规论证(Demonstrate)。其中,制度建设阶段主要涉及企业内部隐私合规体系的建设,标准实施阶段则侧重于个人信息全生命周期控制措施的实施,而最终的合规论证阶段则主要面向外部监管机关与公众进行流程性工作。
图1 TRUSTe企业隐私认证阶段
另外,TRUSTe企业隐私认证项目(在程序上)分为10个步骤:隐私审核(Privacy Review)、政策与程序审核(Policy and Procedure Review)、出具调查报告(Finding Report)、提供可检索审核记录(Searchable Audit Trail)、持续监控与指导(Ongoing Monitoring and Guidance)、争议解决应对服务(Dispute Resolution Service)、授予TRUSTe隐私反馈按钮(TRUSTe Privacy Feedback Button)、补救/验证(Remediation / Validation)、出具证明书(Letter of Attestation)、使用TRUSTe隐私认证印章(TRUSTe Certified Privacy Seal)。在完成全部流程后,企业将获得认证证明书并有权使用TRUSTe隐私认证印章及隐私反馈按钮,以向顾客及其他利益相关方证明其隐私保护合规状况。
图2 TRUSTe隐私认证印章
结语
所谓“合规为体,认证为用”,认证制度的作用不仅在于通过第三方认可的方式对公司合规情况进行证明和背书,最重要和最核心的目的还是在于帮助企业通过推进认证流程来促进内部数据合规制度的建设和落地。在全球化和数字经济高速发展的背景下,当企业在进行个人信息与隐私合规实践操作时,不仅需要密切关注所在国家、地区的数据合规法律法规、国家标准、认证制度,以及执法监管的最新动态,更需要结合普适性的标准(如ISO/IEC 27701、P&DG框架)来搭建整体合规框架和控制措施的实践指南,以了解组织安全管理的底线与需求,最终指导企业对个人信息安全落地的软着陆。
通过上中下三篇文章的初步解读,我们力图协助读者在了解认证制度起源与目标的基础上,对国内外数据合规认证制度及具体要求有一个整体的把握,所谓“借古鉴今、推己及人、察微知著”,在了解认证制度的前世今生、发展现状的前提下,结合企业的实际情况作出最适当的选择。特别是对于中国企业而言,通过对比国内外各类数据合规认证制度,不仅有助于企业完成在中国(大陆地区)的个人信息与隐私合规工作,也能够为未来产品/服务出海适用其他法域相关规定打下良好的基础,更有助于进一步切实落地各国的具体要求,构建更加完备的一体化个人信息和隐私安全保护体系。
注释:
[1] 根据GB/T 35273-2020的定义,“个人信息控制者”是指有能力决定个人信息处理目的、方式等的组织或个人,对应《个保法》的“个人信息处理者”概念,即在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。
[2] GB/T 35273-2020中的“个人信息安全影响评估”已经在《个保法》中更名为“个人信息保护影响评估”。
[3] Commission Decision of 26 July 2000 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the safe harbour privacy principles and related frequently asked questions issued by the US Department of Commerce, see https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32000D0520.
[4] Commission Implementing Decision (EU) 2016/1250 of 12 July 2016 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the EU-U.S. Privacy Shield, see https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv%3AOJ.L_.2016.207.01.0001.01.ENG.
[5] Draft Adequacy decision for the EU-US Data Privacy Framework, see https://commission.europa.eu/system/files/2022-12/Draft%20adequacy%20decision%20on%20EU-US%20Data%20Privacy%20Framework_0.pdf.
[6] 7项基本原则包括:告知、选择权、传输的责任、安全、数据完整性与目的限制、访问权,以及追索、执行与赔偿责任。
[7] 16项补充原则包括:敏感个人信息授权同意的例外、新闻业例外、补充责任的排除、尽职调查与审计的允许、数据保护当局的职责、自我认证、声明的核准、访问权的具体规定、人力资源数据的适用、数据传输的强制性合同、争议解决与强制执行、选择退出权、出行信息、药物与医疗中的数据处理、公共记录与公开信息、公权力当局的访问请求。
[8] TRUSTe Enterprise Privacy Certification, see https://trustarc.com/truste-certifications/enterprise-privacy-certification/.