南都讯 记者孙朝 6月9日，据国家网信办官网消息，国家市场监管总局、国家网信办发布《关于开展数据安全管理认证工作的公告》（下称“公告”）。

国家网信办官网截图。

南都记者注意到，这不是两部门首次联合开展数据安全相关的认证工作——2019年3月，两部门曾联合发布《关于开展App认证工作的公告》，正式建立国内第一个由国家推行的App安全认证制度，并由中国网络安全审查技术与认证中心（CCRC）开展认证工作。

公告显示，国家市场监管总局、国家网信办决定开展数据安全管理认证工作，鼓励网络运营者通过认证方式规范网络数据处理活动，加强网络数据安全保护。从事数据安全管理认证活动的认证机构应当依法设立，并按照《数据安全管理认证实施规则》（下称“《实施规则》”）实施认证。

《实施规则》以GB/T 41479《信息安全技术 网络数据处理安全要求》及相关标准规范为认证依据，规定了对网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等处理活动进行认证的基本原则和要求。

此外，《实施规则》明确，认证模式为“技术验证+现场审核+获证后监督“。认证证书有效期为3年。证书到期需延续使用的，认证委托人应当在有效期届满前6个月内提出认证委托。

南都记者梳理发现，数据安全管理认证是国内第二个数据安全相关的认证制度。2019年3月，国家市场监管总局、国家网信办联合发布《关于开展App认证工作的公告》，建立了App安全认证制度。

CCRC主任魏昊曾在2020年国家网络安全宣传周透露，除了聚焦前端个人信息的收集环节以外，CCRC还将针对后续的传输和使用环节开展数据安全管理认证。“后台的数据安全管理，覆盖的不仅是个人信息，还包括重要数据和企业数据”。

中国科学技术大学公共事务学院、网络空间安全学院教授左晓栋于6月9日公开撰文表示，除了上述两个认证，未来不排除还会开展针对其他产品的数据安全认证，以及针对服务的数据安全认证。

“作为网络安全企业，建议你首先去申请数据安全管理体系认证。你给别人提供网络安全和数据安全服务，那么你自己得先做好。”他还表示，数据安全管理体系认证不是强制的，但要收取一定费用。

左晓栋还提醒，“认证不可能完全取代测评。而且，即使是认证，就数据安全管理体系认证而言，其也只能证明某机构的管理体系可以有效保护数据安全，不能证明其他的。”

编辑：蒋琳