個人信息及隱私保護體系國家認證來了，支付寶、騰訊雲和百度雲等獲首批認證

個人信息安全和隱私保護體系的“國家認證”來了，涵蓋與公眾公共生活及經濟行為密切相關的掃碼支付及線上支付這些網絡支付業務及雲計算業務。

中國首次針對企業的“個人信息安全管理體系認證”近日公布結果，券商中國記者獲悉，支付寶、騰訊雲、百度雲等成為首批獲得國家認證的企業。

據了解，這是《網絡安全法》頒布後，有關管理部門首次對國內企業進行的個人信息保護認證，通過認證的企業將會獲得個人信息安全管理體系認證證書。

首批個人信息安全管理體系認證名單出爐
據券商中國記者了解，2月2日，至少有支付寶（中國）網絡技術有限公司，騰訊雲計算（北京）有限責任公司，北京百度網訊科技有限公司雲計算事業部等，因建立的個人信息安全管理體系符合國家標準及隱私政策要求，成為國內首批通過個人信息安全管理體系認證的試點單位。

從證書看，上述支付寶主體獲得認證的業務範圍包括掃碼支付/線上支付等網絡支付業務服務。

而百度旗下公司和騰訊旗下公司獲得認證的業務範圍，則均為雲計算領域。具體來看，百度雲的業務範圍是：百度雲計算事業部向外部客戶提供的百度雲計算服務；騰訊雲計算獲得認證的也是雲計算服務。

據了解，此次針對個人信息安全的認證由“中國網絡安全審查技術與認證中心”（CRCC）組織進行，測評對象涵蓋了阿裏、騰訊、百度、京東等10家與老百姓生活息息相關的企業；個人信息安全管理體系認證采用一次認證兩張證書的方式進行，即通過個人信息安全管理體系認證的組織將獲得信息安全管理體系認證證書和個人信息安全管理體系認證證書。

券商中國記者從北京某征信評級機構從業人士了解到，上述認證依據的國家標準GB/T 35273-2017《信息安全技術個人信息安全規範》，於2017年12月29日正式發布。該國家標準緊緊圍繞“保護個人權益”為核心，在《網絡安全法》的框架下，結合國際通用保護理念，提出了權責一致、目的明確、選擇同意、最少夠用、公開透明、確保安全、主體參與七大原則以及個人信息處理生命周期的控制和管理要求，為組織全面提升個人信息保護水平提供了詳盡、完備和體系化的指導。

這也就意味著，在上述企業的被測評認證過程中，“企業的信息安全/數據保護，以及落實文化、組織、制度、流程到技術的全方位的數據保護能力和意識，能得到認證機構的高度認可。”上述人士說。

螞蟻金服方面人士的說法也印證了上述分析，據其評價，支付寶成為首批獲得國家標準認證的企業意味著，“針對用戶個人信息安全和隱私保護的體系已達到國家最嚴格的標準。”“這些信息安全的相關認證，標志著支付寶的信息安全和數據保護，已在安全策略、信息安全組織、人力資源安全、合規性等多個領域有一套科學有效的管理體系。”

而騰訊雲方面，據了解，從開始落地踐行國家標準，到最終通過國家檢測認證機構的現場審核，並以雲計算服務的認證範圍，獲得全國首批雲服務商認證證書，歷時近一年時間。

個人信息安全和網絡數據安全受國家重視
個人信息安全管理體系從個人信息的收集、保存、使用、共享、轉讓、公開披露等多個方面提高和完善組織的個人信息安全管理能力。

隨著《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）的出台，個人信息安全有了法律依據。隨著其正式實施以來，監管和執法層面在全國各地開展了一系列個人信息專項檢查和隱私條款評審專項工作，許多企業和APP因未落實好個人信息安全和隱私保護義務被“約談”或受處罰。

如何應對個人信息專項檢查和提升個人信息安全能力與合規性，成為了許多企業和APP產品面臨的難題。

今年4月，有知名第三方支付機構就因個人信息保護問題而被查。這也是涉及第三方支付規範上，首提“個人金融信息收集最少、必需原則”。

券商中國記者查閱2017年6月1日正式施行的《網絡安全法》中有明確禁止收集與其提供服務無關的個人信息，且需遵循“合法、正當、必要的原則”，而於2018年5月1日開始施行的國家標準《信息安全技術/個人信息安全規範》解釋，個人信息保存時間最小化、個人信息收集最小化，為如果“沒有這些信息，產品或服務的功能無法實現”，且自動采集個人信息為最低頻率、間接獲取個人信息應為最少數量。

▲國家標準個人信息安全規範解釋

上述規定也引起了企業重視。2018年的支付寶賬單查詢過程中，會彈出一頁“芝麻信用的守約信息”，需用戶“需要我親自批準才會呈上來”才可以顯示，以從查詢入口上做實用戶的隱私保護權限許可。

從這次獲得認證的企業機構和業務範圍來看，都是和社會公眾的社會經濟密切/產生高頻交易行為的領域。

也因此，有熟悉情況的業內人士分析，“個人信息安全管理體系認證要求緊扣我國個人信息保護相關的要求和執法檢查經驗，從個人信息分類、隱私政策書寫合規性、隱私政策技術性檢測、服務運營者組織管理等四個方面提出了細致要求。”

這之中，像支付寶這類活躍用戶數達到10億以上的綜合國民服務類app，將在個人信息安全及隱私政策上嚴格合規；而面向各類機構提供雲計算服務的互聯網技術公司，將尤其註重全流程數據保護，比如騰訊雲“數盾”通過數據安全網關（堡壘機）、敏感數據處理、數據審計三大模塊，保護雲用戶數據安全及應用抗量子密碼算法安全加固。

來源：券商中國  
文/段久惠