圖片來源：攝圖網(wǎng)

中國(guó)首次針對(duì)企業(yè)的“個(gè)人信息安全管理體系認(rèn)證”近日公布結(jié)果，券商中國(guó)記者獲悉，支付寶、騰訊云、百度云等成為首批獲得國(guó)家認(rèn)證的企業(yè)。

據(jù)了解，這是《網(wǎng)絡(luò)安全法》頒布后，有關(guān)管理部門首次對(duì)國(guó)內(nèi)企業(yè)進(jìn)行的個(gè)人信息保護(hù)認(rèn)證，通過認(rèn)證的企業(yè)將會(huì)獲得個(gè)人信息安全管理體系認(rèn)證證書。

首批個(gè)人信息安全管理體系認(rèn)證名單出爐

據(jù)券商中國(guó)記者了解，2月2日，至少有支付寶（中國(guó)）網(wǎng)絡(luò)技術(shù)有限公司，騰訊云計(jì)算（北京）有限責(zé)任公司，北京百度網(wǎng)訊科技有限公司云計(jì)算事業(yè)部等，因建立的個(gè)人信息安全管理體系符合國(guó)家標(biāo)準(zhǔn)及隱私政策要求，成為國(guó)內(nèi)首批通過個(gè)人信息安全管理體系認(rèn)證的試點(diǎn)單位。

從證書看，上述支付寶主體獲得認(rèn)證的業(yè)務(wù)范圍包括掃碼支付/線上支付等網(wǎng)絡(luò)支付業(yè)務(wù)服務(wù)。

而百度旗下公司和騰訊旗下公司獲得認(rèn)證的業(yè)務(wù)范圍，則均為云計(jì)算領(lǐng)域。具體來看，百度云的業(yè)務(wù)范圍是：百度云計(jì)算事業(yè)部向外部客戶提供的百度云計(jì)算服務(wù)；騰訊云計(jì)算獲得認(rèn)證的也是云計(jì)算服務(wù)。

據(jù)了解，此次針對(duì)個(gè)人信息安全的認(rèn)證由“中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心”（CRCC）組織進(jìn)行，測(cè)評(píng)對(duì)象涵蓋了阿里、騰訊、百度、京東等10家與老百姓生活息息相關(guān)的企業(yè)；個(gè)人信息安全管理體系認(rèn)證采用一次認(rèn)證兩張證書的方式進(jìn)行，即通過個(gè)人信息安全管理體系認(rèn)證的組織將獲得信息安全管理體系認(rèn)證證書和個(gè)人信息安全管理體系認(rèn)證證書。

券商中國(guó)記者從北京某征信評(píng)級(jí)機(jī)構(gòu)從業(yè)人士了解到，上述認(rèn)證依據(jù)的國(guó)家標(biāo)準(zhǔn)GB/T 35273-2017《信息安全技術(shù)個(gè)人信息安全規(guī)范》，于2017年12月29日正式發(fā)布。該國(guó)家標(biāo)準(zhǔn)緊緊圍繞“保護(hù)個(gè)人權(quán)益”為核心，在《網(wǎng)絡(luò)安全法》的框架下，結(jié)合國(guó)際通用保護(hù)理念，提出了權(quán)責(zé)一致、目的明確、選擇同意、最少夠用、公開透明、確保安全、主體參與七大原則以及個(gè)人信息處理生命周期的控制和管理要求，為組織全面提升個(gè)人信息保護(hù)水平提供了詳盡、完備和體系化的指導(dǎo)。

這也就意味著，在上述企業(yè)的被測(cè)評(píng)認(rèn)證過程中，“企業(yè)的信息安全/數(shù)據(jù)保護(hù)，以及落實(shí)文化、組織、制度、流程到技術(shù)的全方位的數(shù)據(jù)保護(hù)能力和意識(shí)，能得到認(rèn)證機(jī)構(gòu)的高度認(rèn)可。”上述人士說。

螞蟻金服方面人士的說法也印證了上述分析，據(jù)其評(píng)價(jià)，支付寶成為首批獲得國(guó)家標(biāo)準(zhǔn)認(rèn)證的企業(yè)意味著，“針對(duì)用戶個(gè)人信息安全和隱私保護(hù)的體系已達(dá)到國(guó)家最嚴(yán)格的標(biāo)準(zhǔn)。”“這些信息安全的相關(guān)認(rèn)證，標(biāo)志著支付寶的信息安全和數(shù)據(jù)保護(hù)，已在安全策略、信息安全組織、人力資源安全、合規(guī)性等多個(gè)領(lǐng)域有一套科學(xué)有效的管理體系。”

而騰訊云方面，據(jù)了解，從開始落地踐行國(guó)家標(biāo)準(zhǔn)，到最終通過國(guó)家檢測(cè)認(rèn)證機(jī)構(gòu)的現(xiàn)場(chǎng)審核，并以云計(jì)算服務(wù)的認(rèn)證范圍，獲得全國(guó)首批云服務(wù)商認(rèn)證證書，歷時(shí)近一年時(shí)間。

個(gè)人信息安全和網(wǎng)絡(luò)數(shù)據(jù)安全受國(guó)家重視

個(gè)人信息安全管理體系從個(gè)人信息的收集、保存、使用、共享、轉(zhuǎn)讓、公開披露等多個(gè)方面提高和完善組織的個(gè)人信息安全管理能力。

隨著《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱《網(wǎng)絡(luò)安全法》）的出臺(tái)，個(gè)人信息安全有了法律依據(jù)。隨著其正式實(shí)施以來，監(jiān)管和執(zhí)法層面在全國(guó)各地開展了一系列個(gè)人信息專項(xiàng)檢查和隱私條款評(píng)審專項(xiàng)工作，許多企業(yè)和APP因未落實(shí)好個(gè)人信息安全和隱私保護(hù)義務(wù)被“約談”或受處罰。

如何應(yīng)對(duì)個(gè)人信息專項(xiàng)檢查和提升個(gè)人信息安全能力與合規(guī)性，成為了許多企業(yè)和APP產(chǎn)品面臨的難題。

今年4月，有知名第三方支付機(jī)構(gòu)就因個(gè)人信息保護(hù)問題而被查。這也是涉及第三方支付規(guī)范上，首提“個(gè)人金融信息收集最少、必需原則”。

券商中國(guó)記者查閱2017年6月1日正式施行的《網(wǎng)絡(luò)安全法》中有明確禁止收集與其提供服務(wù)無關(guān)的個(gè)人信息，且需遵循“合法、正當(dāng)、必要的原則”，而于2018年5月1日開始施行的國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)/個(gè)人信息安全規(guī)范》解釋，個(gè)人信息保存時(shí)間最小化、個(gè)人信息收集最小化，為如果“沒有這些信息，產(chǎn)品或服務(wù)的功能無法實(shí)現(xiàn)”，且自動(dòng)采集個(gè)人信息為最低頻率、間接獲取個(gè)人信息應(yīng)為最少數(shù)量。

▲國(guó)家標(biāo)準(zhǔn)個(gè)人信息安全規(guī)范解釋

上述規(guī)定也引起了企業(yè)重視。2018年的支付寶賬單查詢過程中，會(huì)彈出一頁“芝麻信用的守約信息”，需用戶“需要我親自批準(zhǔn)才會(huì)呈上來”才可以顯示，以從查詢?nèi)肟谏献鰧?shí)用戶的隱私保護(hù)權(quán)限許可。

從這次獲得認(rèn)證的企業(yè)機(jī)構(gòu)和業(yè)務(wù)范圍來看，都是和社會(huì)公眾的社會(huì)經(jīng)濟(jì)密切/產(chǎn)生高頻交易行為的領(lǐng)域。

也因此，有熟悉情況的業(yè)內(nèi)人士分析，“個(gè)人信息安全管理體系認(rèn)證要求緊扣我國(guó)個(gè)人信息保護(hù)相關(guān)的要求和執(zhí)法檢查經(jīng)驗(yàn)，從個(gè)人信息分類、隱私政策書寫合規(guī)性、隱私政策技術(shù)性檢測(cè)、服務(wù)運(yùn)營(yíng)者組織管理等四個(gè)方面提出了細(xì)致要求。”

這之中，像支付寶這類活躍用戶數(shù)達(dá)到10億以上的綜合國(guó)民服務(wù)類app，將在個(gè)人信息安全及隱私政策上嚴(yán)格合規(guī)；而面向各類機(jī)構(gòu)提供云計(jì)算服務(wù)的互聯(lián)網(wǎng)技術(shù)公司，將尤其注重全流程數(shù)據(jù)保護(hù)，比如騰訊云“數(shù)盾”通過數(shù)據(jù)安全網(wǎng)關(guān)（堡壘機(jī)）、敏感數(shù)據(jù)處理、數(shù)據(jù)審計(jì)三大模塊，保護(hù)云用戶數(shù)據(jù)安全及應(yīng)用抗量子密碼算法安全加固。

來源：券商中國(guó)（ID：quanshangcn）記者：段久惠