个人信息及隐私保护体系国家认证来了，支付宝、腾讯云和百度云等获首批认证

个人信息安全和隐私保护体系的“国家认证”来了，涵盖与公众公共生活及经济行为密切相关的扫码支付及线上支付这些网络支付业务及云计算业务。

中国首次针对企业的“个人信息安全管理体系认证”近日公布结果，券商中国记者获悉，支付宝、腾讯云、百度云等成为首批获得国家认证的企业。

据了解，这是《网络安全法》颁布后，有关管理部门首次对国內企业进行的个人信息保护认证，通过认证的企业将会获得个人信息安全管理体系认证证书。

首批个人信息安全管理体系认证名单出炉
据券商中国记者了解，2月2日，至少有支付宝（中国）网络技术有限公司，腾讯云计算（北京）有限责任公司，北京百度网讯科技有限公司云计算事业部等，因建立的个人信息安全管理体系符合国家标准及隐私政策要求，成为国內首批通过个人信息安全管理体系认证的试点单位。

从证书看，上述支付宝主体获得认证的业务范围包括扫码支付/线上支付等网络支付业务服务。

而百度旗下公司和腾讯旗下公司获得认证的业务范围，则均为云计算领域。具体来看，百度云的业务范围是：百度云计算事业部向外部客户提供的百度云计算服务；腾讯云计算获得认证的也是云计算服务。

据了解，此次针对个人信息安全的认证由“中国网络安全审查技术与认证中心”（CRCC）组织进行，测评对象涵盖了阿裏、腾讯、百度、京东等10家与老百姓生活息息相关的企业；个人信息安全管理体系认证采用一次认证两张证书的方式进行，即通过个人信息安全管理体系认证的组织将获得信息安全管理体系认证证书和个人信息安全管理体系认证证书。

券商中国记者从北京某征信评级机构从业人士了解到，上述认证依据的国家标准GB/T 35273-2017《信息安全技术个人信息安全规范》，于2017年12月29日正式发布。该国家标准紧紧围绕“保护个人权益”为核心，在《网络安全法》的框架下，结合国际通用保护理念，提出了权责一致、目的明确、选择同意、最少够用、公开透明、确保安全、主体参与七大原则以及个人信息处理生命周期的控制和管理要求，为组织全面提升个人信息保护水平提供了详尽、完备和体系化的指导。

这也就意味着，在上述企业的被测评认证过程中，“企业的信息安全/数据保护，以及落实文化、组织、制度、流程到技术的全方位的数据保护能力和意识，能得到认证机构的高度认可。”上述人士说。

蚂蚁金服方面人士的说法也印证了上述分析，据其评价，支付宝成为首批获得国家标准认证的企业意味着，“针对用户个人信息安全和隐私保护的体系已达到国家最严格的标准。”“这些信息安全的相关认证，标志着支付宝的信息安全和数据保护，已在安全策略、信息安全组织、人力资源安全、合规性等多个领域有一套科学有效的管理体系。”

而腾讯云方面，据了解，从开始落地践行国家标准，到最终通过国家检测认证机构的现场审核，并以云计算服务的认证范围，获得全国首批云服务商认证证书，历时近一年时间。

个人信息安全和网络数据安全受国家重视
个人信息安全管理体系从个人信息的收集、保存、使用、共享、转让、公开披露等多个方面提高和完善组织的个人信息安全管理能力。

随着《中华人民共和国网络安全法》（以下简称《网络安全法》）的出台，个人信息安全有了法律依据。随着其正式实施以来，监管和执法层面在全国各地开展了一系列个人信息专项检查和隐私条款评审专项工作，许多企业和APP因未落实好个人信息安全和隐私保护义务被“约谈”或受处罚。

如何应对个人信息专项检查和提升个人信息安全能力与合规性，成为了许多企业和APP产品面临的难题。

今年4月，有知名第三方支付机构就因个人信息保护问题而被查。这也是涉及第三方支付规范上，首提“个人金融信息收集最少、必需原则”。

券商中国记者查阅2017年6月1日正式施行的《网络安全法》中有明确禁止收集与其提供服务无关的个人信息，且需遵循“合法、正当、必要的原则”，而于2018年5月1日开始施行的国家标准《信息安全技术/个人信息安全规范》解释，个人信息保存时间最小化、个人信息收集最小化，为如果“没有这些信息，产品或服务的功能无法实现”，且自动采集个人信息为最低频率、间接获取个人信息应为最少数量。

▲国家标准个人信息安全规范解释

上述规定也引起了企业重视。2018年的支付宝账单查询过程中，会弹出一页“芝麻信用的守约信息”，需用户“需要我亲自批准才会呈上来”才可以显示，以从查询入口上做实用户的隐私保护权限许可。

从这次获得认证的企业机构和业务范围来看，都是和社会公众的社会经济密切/产生高频交易行为的领域。

也因此，有熟悉情况的业內人士分析，“个人信息安全管理体系认证要求紧扣我国个人信息保护相关的要求和执法检查经验，从个人信息分类、隐私政策书写合规性、隐私政策技术性检测、服务运营者组织管理等四个方面提出了细致要求。”

这之中，像支付宝这类活跃用户数达到10亿以上的综合国民服务类app，将在个人信息安全及隐私政策上严格合规；而面向各类机构提供云计算服务的互联网技术公司，将尤其注重全流程数据保护，比如腾讯云“数盾”通过数据安全网关（堡垒机）、敏感数据处理、数据审计三大模块，保护云用户数据安全及应用抗量子密码算法安全加固。

来源：券商中国  
文/段久惠