解彥曦 張 弛

1(工業(yè)和信息化部威海電子信息技術(shù)綜合研究中心 北京 100846)

2(中電數(shù)據(jù)服務(wù)有限公司研究中心 北京 100191)(13671300662@163.com)

當(dāng)前，個(gè)人信息保護(hù)成為全球熱點(diǎn)，各國(guó)都在大力推進(jìn)相關(guān)制度建設(shè).在各種治理和監(jiān)管手段中認(rèn)證是重點(diǎn)方向之一.但個(gè)人信息保護(hù)認(rèn)證制度如何建立，是針對(duì)企業(yè)、產(chǎn)品、人員還是軟件開發(fā)過程、服務(wù)提供過程，認(rèn)證標(biāo)準(zhǔn)如何制定、誰來審批，這些都還在探討之中.

歐盟的《通用數(shù)據(jù)保護(hù)條例》(GDPR)是公認(rèn)的全球個(gè)人信息保護(hù)標(biāo)桿，我國(guó)在制定個(gè)人信息保護(hù)標(biāo)準(zhǔn)規(guī)范時(shí)也大量參考了GDPR.自實(shí)施以來，歐盟委員會(huì)、歐盟數(shù)據(jù)保護(hù)委員會(huì)(EDPB)持續(xù)推動(dòng)建立GDPR認(rèn)證制度，這無論對(duì)于我國(guó)企業(yè)出海拓展國(guó)際業(yè)務(wù)還是研究建立我國(guó)的個(gè)人信息保護(hù)認(rèn)證制度，都具有十分重要的參考意義.

1 背 景

1.1 GDPR制度

歐盟擁有較為完善的數(shù)據(jù)保護(hù)框架，早在1995年便通過了《數(shù)據(jù)保護(hù)指令》(95/46/EC)(以下簡(jiǎn)稱《95指令》)，為歐盟成員國(guó)立法保護(hù)個(gè)人數(shù)據(jù)設(shè)立了最低標(biāo)準(zhǔn).隨著信息技術(shù)應(yīng)用深入推進(jìn)特別是移動(dòng)互聯(lián)網(wǎng)的興起，《95指令》逐漸顯示出不適應(yīng)性.為此，歐盟制定了GDPR，于2018年5月25日正式實(shí)施.相較于《95指令》，GDPR對(duì)于數(shù)據(jù)治理和個(gè)人隱私保護(hù)的認(rèn)知更加深入，相關(guān)模型和規(guī)定更為明確和嚴(yán)格.目前，GDPR是世界上最為全面的數(shù)據(jù)保護(hù)法律之一，同時(shí)也成為了謀求數(shù)據(jù)保護(hù)法律改革國(guó)家和地區(qū)的最好借鑒范本[1-2].

1.2 我國(guó)個(gè)人信息保護(hù)現(xiàn)狀

目前，我國(guó)個(gè)人信息保護(hù)相關(guān)法律規(guī)定分散在憲法、民法、刑法、網(wǎng)絡(luò)安全法等不同法律中，對(duì)侵犯?jìng)€(gè)人信息的行為難以進(jìn)行有效打擊.2021年4月29日，全國(guó)人大常委會(huì)公布了《個(gè)人信息保護(hù)法(草案二審審議稿)》并公開征求意見.該草案明確了個(gè)人信息處理規(guī)則、個(gè)人信息主體和個(gè)人信息處理者的權(quán)利與義務(wù)，并對(duì)法律責(zé)任進(jìn)行了嚴(yán)格規(guī)定，表明我國(guó)個(gè)人信息保護(hù)立法工作邁出重要一步.

在標(biāo)準(zhǔn)規(guī)范方面，我國(guó)個(gè)人信息保護(hù)標(biāo)準(zhǔn)體系逐步完善，目前已經(jīng)發(fā)布和正在制定的個(gè)人信息保護(hù)相關(guān)國(guó)家標(biāo)準(zhǔn)超過20部，基于國(guó)家標(biāo)準(zhǔn)的認(rèn)證需求日益凸顯.《個(gè)人信息保護(hù)法(草案二審審議稿)》提出：“國(guó)家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關(guān)部門依據(jù)本法……推進(jìn)個(gè)人信息保護(hù)社會(huì)化服務(wù)體系建設(shè)，支持有關(guān)機(jī)構(gòu)開展個(gè)人信息保護(hù)評(píng)估、認(rèn)證服務(wù).”中央網(wǎng)信辦組織制定的《數(shù)據(jù)安全管理辦法(征求意見稿)》指出，國(guó)家鼓勵(lì)網(wǎng)絡(luò)運(yùn)營(yíng)者自愿通過數(shù)據(jù)安全管理認(rèn)證和應(yīng)用程序安全認(rèn)證，鼓勵(lì)搜索引擎、應(yīng)用商店等明確標(biāo)識(shí)并優(yōu)先推薦通過認(rèn)證的應(yīng)用程序.為此，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員于2019年曾立項(xiàng)制定數(shù)據(jù)安全管理認(rèn)證國(guó)家標(biāo)準(zhǔn)；中國(guó)網(wǎng)絡(luò)安全審查與認(rèn)證中心于2020年啟動(dòng)了對(duì)移動(dòng)App的個(gè)人信息保護(hù)認(rèn)證.但這些工作都是探索性的，目前仍處于起步階段.

2 認(rèn)證制度框架

2.1 概 況

GDPR第42條和第43條規(guī)定了對(duì)數(shù)據(jù)控制者和處理者的數(shù)據(jù)處理操作進(jìn)行合規(guī)性認(rèn)證的制度，提出了認(rèn)證框架、明確了相關(guān)角色.第42(1)款規(guī)定：“成員國(guó)、監(jiān)管機(jī)構(gòu)、歐盟數(shù)據(jù)保護(hù)委員會(huì)和歐盟委員會(huì)應(yīng)鼓勵(lì)建立數(shù)據(jù)保護(hù)認(rèn)證機(jī)制，設(shè)立數(shù)據(jù)保護(hù)印章、標(biāo)識(shí)，特別是歐盟級(jí)別的印章和標(biāo)識(shí)，以便證明數(shù)據(jù)控制者和處理者的數(shù)據(jù)處理操作符合本條例要求.應(yīng)考慮中小微型企業(yè)的特定需求.”第43(1)款規(guī)定：“在不減損第57,58條所述監(jiān)管機(jī)構(gòu)的任務(wù)和權(quán)力的情況下，在數(shù)據(jù)保護(hù)方面具有相應(yīng)專業(yè)水平的認(rèn)證組織可在告知有權(quán)限的監(jiān)管機(jī)構(gòu)后(以便其根據(jù)第58條(2)(h)項(xiàng)行使自身權(quán)力)簽發(fā)和續(xù)期認(rèn)證.成員國(guó)應(yīng)確保這些認(rèn)證組織獲得以下機(jī)構(gòu)(至少其中一類)的認(rèn)可：(a)第55,56條所述，有權(quán)限的監(jiān)管機(jī)構(gòu)；(b)根據(jù)歐盟議會(huì)、歐盟委員會(huì)第765/2008號(hào)條例指定的國(guó)家認(rèn)可機(jī)構(gòu)，依據(jù)EN-ISO/IEC 17065/2012標(biāo)準(zhǔn)規(guī)定和本條例第55,56條所述有權(quán)限的監(jiān)管機(jī)構(gòu)所提附加要求.”

GDPR認(rèn)證機(jī)制的總體框架如圖1所示.

圖1 GDPR數(shù)據(jù)保護(hù)認(rèn)證機(jī)制框架

GDPR數(shù)據(jù)保護(hù)認(rèn)證機(jī)制與當(dāng)前已有的大部分認(rèn)證有所區(qū)別，現(xiàn)有認(rèn)證大多是對(duì)人員或企業(yè)的產(chǎn)品、服務(wù)、管理體系進(jìn)行認(rèn)證，但GDPR認(rèn)證主要針對(duì)數(shù)據(jù)控制者或處理者進(jìn)行的1項(xiàng)或多項(xiàng)數(shù)據(jù)處理操作，證明其滿足GDPR規(guī)定要求.該機(jī)制十分靈活，在認(rèn)證主體上，可以是數(shù)據(jù)控制者或處理者的1項(xiàng)操作或多項(xiàng)操作；在認(rèn)證目標(biāo)上，可證明其滿足GDPR對(duì)數(shù)據(jù)控制者或處理者提出的某項(xiàng)、某幾項(xiàng)乃至全部要求；在認(rèn)證層級(jí)上，該機(jī)制提出了成員國(guó)內(nèi)部、成員國(guó)間以及歐盟范圍內(nèi)的通用認(rèn)證；在認(rèn)證的簽發(fā)上，可由成員國(guó)的數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)(DPA)簽發(fā)，也可由獲得認(rèn)可的認(rèn)證機(jī)構(gòu)簽發(fā)；在認(rèn)可模式上，可由DPA認(rèn)可、由國(guó)家認(rèn)可機(jī)構(gòu)(NAB)認(rèn)可，也可由DPA和NAB聯(lián)合認(rèn)可[3-4].

認(rèn)證機(jī)制一方面可以提高數(shù)據(jù)處理行為的透明度，便于控制者和處理者展示其處理過程的合規(guī)性，使相關(guān)方能便捷地了解處理操作的數(shù)據(jù)保護(hù)水平；另一方面，根據(jù)條例第42(2)款、第46(2)款規(guī)定，認(rèn)證機(jī)制還可以作為數(shù)據(jù)跨境傳輸(轉(zhuǎn)移至第三國(guó)或國(guó)際組織)的合法途徑；此外，是否已獲得認(rèn)證且遵從認(rèn)證要求也可作為監(jiān)管當(dāng)局在決定施加行政罰款或決定罰款金額時(shí)的考量因素.

2.2 相關(guān)角色

GDPR數(shù)據(jù)保護(hù)認(rèn)證機(jī)制涉及的角色主要包括：數(shù)據(jù)控制者或處理者、認(rèn)證機(jī)構(gòu)、國(guó)家認(rèn)可機(jī)構(gòu)(NAB)、數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)(DPA)、歐盟數(shù)據(jù)保護(hù)委員會(huì)(EDPB)和歐盟委員會(huì)[3].

1) 數(shù)據(jù)控制者或處理者.自愿申請(qǐng)對(duì)其數(shù)據(jù)處理操作進(jìn)行認(rèn)證，向認(rèn)證機(jī)構(gòu)提供必要信息和對(duì)其數(shù)據(jù)處理活動(dòng)的訪問權(quán).

2) 認(rèn)證機(jī)構(gòu).基于認(rèn)證方案和通過審批的認(rèn)證標(biāo)準(zhǔn)頒發(fā)、審查、更新和撤銷認(rèn)證；有權(quán)制定認(rèn)證標(biāo)準(zhǔn)草案，提請(qǐng)DPA(如為國(guó)家級(jí)認(rèn)證標(biāo)準(zhǔn))或EDPB(如為歐盟通用認(rèn)證標(biāo)準(zhǔn))批準(zhǔn).在發(fā)證、續(xù)期或撤銷認(rèn)證前，認(rèn)證機(jī)構(gòu)應(yīng)通知監(jiān)管機(jī)構(gòu)，并附依據(jù)，以便監(jiān)管機(jī)構(gòu)行使相應(yīng)職權(quán).認(rèn)證機(jī)構(gòu)對(duì)其進(jìn)行的合格評(píng)定及出具的評(píng)定意見負(fù)責(zé)，這不影響數(shù)據(jù)控制者和處理者應(yīng)當(dāng)承擔(dān)的合規(guī)義務(wù)，也不減損GDPR第55,56條賦予監(jiān)管機(jī)構(gòu)的任務(wù)和權(quán)力.條例在對(duì)認(rèn)證機(jī)構(gòu)的認(rèn)可要求(第43(2)款)中規(guī)定，認(rèn)證機(jī)構(gòu)應(yīng)有“相應(yīng)程序來發(fā)放、定期審核和撤銷數(shù)據(jù)保護(hù)認(rèn)證、印章和標(biāo)識(shí)”，還應(yīng)制定申訴機(jī)制.

3) 國(guó)家認(rèn)可機(jī)構(gòu).在成員國(guó)指定由NAB進(jìn)行認(rèn)可/聯(lián)合認(rèn)可的模式下，負(fù)責(zé)根據(jù)EN-ISO/IEC 17065/2012標(biāo)準(zhǔn)和監(jiān)管機(jī)構(gòu)提出的附加要求對(duì)認(rèn)證機(jī)構(gòu)進(jìn)行認(rèn)可或撤銷認(rèn)可.各成員國(guó)根據(jù)歐盟第765/2008號(hào)條例(認(rèn)可條例)指定本國(guó)的國(guó)家認(rèn)可機(jī)構(gòu).

4) 數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu).承擔(dān)以下幾方面職能：一是認(rèn)證職能，DPA自身有權(quán)頒發(fā)、審查、更新和撤銷認(rèn)證；二是監(jiān)管職能，負(fù)責(zé)批準(zhǔn)認(rèn)證標(biāo)準(zhǔn)(不包括歐盟通用認(rèn)證標(biāo)準(zhǔn))、了解認(rèn)證機(jī)構(gòu)簽發(fā)的認(rèn)證、定期對(duì)本機(jī)構(gòu)簽發(fā)的認(rèn)證進(jìn)行復(fù)查、有權(quán)要求認(rèn)證機(jī)構(gòu)不得頒發(fā)某個(gè)認(rèn)證或撤銷其已頒發(fā)的認(rèn)證；三是認(rèn)可職能，起草和發(fā)布認(rèn)可要求、在成員國(guó)指定DPA承擔(dān)該國(guó)認(rèn)可職能的情況下對(duì)其轄區(qū)內(nèi)的認(rèn)證機(jī)構(gòu)進(jìn)行認(rèn)可或撤銷認(rèn)可.總體而言，GDPR賦予了監(jiān)管機(jī)構(gòu)的相應(yīng)權(quán)力和義務(wù)，以規(guī)范認(rèn)證機(jī)構(gòu)的活動(dòng)，保障認(rèn)證水平.

5) 歐盟數(shù)據(jù)保護(hù)委員會(huì).負(fù)責(zé)批準(zhǔn)歐盟通用認(rèn)證的標(biāo)準(zhǔn)；負(fù)責(zé)核對(duì)、登記歐盟所有的數(shù)據(jù)保護(hù)認(rèn)證機(jī)制、印章和標(biāo)識(shí)，并以適當(dāng)方式向公眾公開；根據(jù)條例第70(1)(q)項(xiàng)和第43(8)款，就認(rèn)證要求向歐盟委員會(huì)提出意見建議.

6) 歐盟委員會(huì).條例第42,43條以及其他相關(guān)要求解決了GDPR認(rèn)證機(jī)制的一些重點(diǎn)問題，但并不全面.為確保認(rèn)證認(rèn)可機(jī)制的順利推行和統(tǒng)一實(shí)施，條例為歐盟委員會(huì)預(yù)留了相關(guān)權(quán)限.歐盟委員會(huì)應(yīng)鼓勵(lì)建立認(rèn)證機(jī)制，特別是歐盟通用認(rèn)證；有權(quán)采用規(guī)章條例來明確GDPR認(rèn)證機(jī)制的相關(guān)要求，即對(duì)認(rèn)證機(jī)制進(jìn)行補(bǔ)充；有權(quán)采用實(shí)施細(xì)則來明確技術(shù)標(biāo)準(zhǔn)，包括認(rèn)證機(jī)制、數(shù)據(jù)保護(hù)印章和標(biāo)識(shí)使用的技術(shù)標(biāo)準(zhǔn)，以及用于認(rèn)證機(jī)制、印章與標(biāo)識(shí)推廣和互認(rèn)的技術(shù)標(biāo)準(zhǔn).

2.3 認(rèn)證機(jī)制

2.3.1 認(rèn)證類型

1) 根據(jù)認(rèn)證適用的地域范圍分類.GDPR提出了國(guó)家級(jí)認(rèn)證、區(qū)域級(jí)認(rèn)證以及歐盟通用級(jí)認(rèn)證(又稱歐盟數(shù)據(jù)保護(hù)章).主要區(qū)別在于認(rèn)證標(biāo)準(zhǔn)的審批.成員國(guó)內(nèi)部的國(guó)家級(jí)認(rèn)證標(biāo)準(zhǔn)由該國(guó)DPA批準(zhǔn)，報(bào)EDPB匯總登記；歐盟內(nèi)某幾個(gè)成員國(guó)間的區(qū)域級(jí)認(rèn)證標(biāo)準(zhǔn)由認(rèn)證方案所有者的主監(jiān)管機(jī)構(gòu)與相關(guān)監(jiān)管機(jī)構(gòu)協(xié)商審批(其主監(jiān)管機(jī)構(gòu)根據(jù)GDPR第56條確定)，報(bào)EDPB匯總登記；歐盟通用認(rèn)證標(biāo)準(zhǔn)僅可由EDPB審批.

2) 根據(jù)認(rèn)證目的分類.可分為符合性認(rèn)證(條例第42(1)條所述)，旨在證明對(duì)GDPR的符合性.跨境傳輸認(rèn)證(條例第42(2)條所述)，旨在證明已實(shí)施了在未獲得充分性認(rèn)證的第三國(guó)接收歐盟個(gè)人數(shù)據(jù)所需的適當(dāng)保障措施.

3) 根據(jù)認(rèn)證主題分類.GDPR第42條、第43條并未將認(rèn)證主題限制到某個(gè)特定的話題，認(rèn)證主題可能涵蓋諸如數(shù)據(jù)安全之類的某一項(xiàng)法律義務(wù)，也可能涵蓋數(shù)據(jù)控制者或處理者在GDPR下的全部義務(wù).因此，認(rèn)證也可分為單項(xiàng)認(rèn)證(僅針對(duì)條例的某項(xiàng)要求，如基于設(shè)計(jì)實(shí)現(xiàn)隱私保護(hù)的認(rèn)證等)和綜合性認(rèn)證.

4) 根據(jù)認(rèn)證模式分類.GDPR所采用的認(rèn)證體系允許獲得認(rèn)可的認(rèn)證機(jī)構(gòu)或有權(quán)限的監(jiān)管機(jī)構(gòu)簽發(fā)認(rèn)證，且無明顯傾向性.可能的模式包括：監(jiān)管機(jī)構(gòu)就其自身認(rèn)證方案開展認(rèn)證；監(jiān)管機(jī)構(gòu)就其自身認(rèn)證方案簽發(fā)認(rèn)證證書，指定第三方機(jī)構(gòu)執(zhí)行全部或部分合格評(píng)定；監(jiān)管機(jī)構(gòu)制定認(rèn)證方案，委托認(rèn)證機(jī)構(gòu)執(zhí)行認(rèn)證過程并簽發(fā)證書；鼓勵(lì)市場(chǎng)發(fā)展認(rèn)證機(jī)制.

2.3.2 認(rèn)證標(biāo)準(zhǔn)

GDPR從法律層面提出了個(gè)人數(shù)據(jù)保護(hù)要求，是認(rèn)證依據(jù)的基礎(chǔ)，但難以直接用于認(rèn)證.需要對(duì)GDPR的規(guī)定進(jìn)一步細(xì)化，制定清晰、可落地的要求，即認(rèn)證標(biāo)準(zhǔn).認(rèn)證標(biāo)準(zhǔn)應(yīng)包括實(shí)質(zhì)性要求和程序性要求2個(gè)方面：實(shí)質(zhì)性要求是依據(jù)GDPR規(guī)定，對(duì)數(shù)據(jù)處理者或控制者法定義務(wù)的細(xì)化明確，如數(shù)據(jù)主體權(quán)利、數(shù)據(jù)安全、通過設(shè)計(jì)和默認(rèn)實(shí)現(xiàn)數(shù)據(jù)保護(hù)等；程序性要求用于明確認(rèn)證的具體過程，GDPR中也提出了部分程序性要求，如認(rèn)證證書有效期最長(zhǎng)為3年等.制定認(rèn)證標(biāo)準(zhǔn)應(yīng)側(cè)重其可驗(yàn)證性、重要性和適用性，以證明被測(cè)的數(shù)據(jù)處理操作符合GDPR相關(guān)項(xiàng)的要求.認(rèn)證標(biāo)準(zhǔn)應(yīng)明確易懂，并具有可操作性.

GDPR未對(duì)標(biāo)準(zhǔn)制定者提出要求，這意味著任何實(shí)體都可以提交標(biāo)準(zhǔn)以供批準(zhǔn)，主要包括認(rèn)證機(jī)構(gòu)、標(biāo)準(zhǔn)化機(jī)構(gòu)、行業(yè)或行業(yè)協(xié)會(huì)，以及監(jiān)管機(jī)構(gòu)等.歐盟委員會(huì)還可以向歐洲標(biāo)準(zhǔn)化組織(如歐洲標(biāo)準(zhǔn)化委員會(huì)、歐洲電工標(biāo)準(zhǔn)化委員會(huì)、歐洲電信標(biāo)準(zhǔn)協(xié)會(huì))提出標(biāo)準(zhǔn)化請(qǐng)求.

認(rèn)證方案所有者編制標(biāo)準(zhǔn)草案后，根據(jù)該認(rèn)證方案的擬適用區(qū)域報(bào)相關(guān)監(jiān)管機(jī)構(gòu)(DPA或EDPB)審批，獲得批準(zhǔn)后方可正式應(yīng)用.

2.3.3 認(rèn)證過程

GDPR規(guī)定了認(rèn)證過程的必要階段(主要包括制定認(rèn)證標(biāo)準(zhǔn)、審批認(rèn)證標(biāo)準(zhǔn)、進(jìn)行合格評(píng)定、簽發(fā)/續(xù)簽/撤銷認(rèn)證、持續(xù)監(jiān)督、爭(zhēng)議和糾紛處理等)，具體流程由認(rèn)證方案所有者確定.此外，GDPR提出ISO / IEC 17065《合格評(píng)定 產(chǎn)品、過程和服務(wù)認(rèn)證機(jī)構(gòu)的要求》中確定的階段(包括申請(qǐng)，申請(qǐng)的評(píng)審、評(píng)價(jià)、復(fù)核，認(rèn)證決定，認(rèn)證文件，獲證產(chǎn)品的名錄，監(jiān)督，影響認(rèn)證的變更，認(rèn)證的終止、縮小、暫停和撤銷，認(rèn)證記錄，以及投訴和申訴等)可對(duì)其進(jìn)行補(bǔ)充.

2.3.4 認(rèn)證結(jié)果互認(rèn)

GDPR以及歐盟委員會(huì)、歐盟數(shù)據(jù)保護(hù)委員會(huì)發(fā)布的指南和研究報(bào)告等文件中尚未對(duì)GDPR國(guó)家級(jí)認(rèn)證在成員國(guó)之間的互認(rèn)提出指導(dǎo)，但提出了歐盟數(shù)據(jù)保護(hù)章這一通用認(rèn)證機(jī)制.歐盟委員會(huì)在其研究報(bào)告中提出，成員國(guó)可能采用不同的認(rèn)證模式，這會(huì)帶來諸多問題，如成員國(guó)之間認(rèn)證的互認(rèn)、審計(jì)技術(shù)的協(xié)調(diào)統(tǒng)一、同行評(píng)審和推廣等[3].

2.4 認(rèn)可機(jī)制

2.4.1 認(rèn)可模式和過程

在GDPR框架下，認(rèn)可這一階段是強(qiáng)制的，但成員國(guó)可以靈活選擇符合GDPR第43條要求的認(rèn)可模式，并自行確定認(rèn)可過程.可選模式包括：由DPA進(jìn)行認(rèn)可；由NAB進(jìn)行認(rèn)可；NAB和DPA聯(lián)合進(jìn)行認(rèn)可，例如，可由NAB負(fù)責(zé)根據(jù)認(rèn)可條例和ISO/IEC 17065:2012標(biāo)準(zhǔn)開展流程、組織架構(gòu)、完整性等方面的評(píng)估，DPA進(jìn)行數(shù)據(jù)保護(hù)能力和專業(yè)水平的評(píng)估.

2.4.2 認(rèn)可要求

認(rèn)可要求主要包括2方面：一是ISO/IEC 17065/2012和其他相關(guān)標(biāo)準(zhǔn)；二是GDPR第55，56條所述有權(quán)限的監(jiān)管機(jī)構(gòu)所提附加要求.其中，“監(jiān)管機(jī)構(gòu)所提附加要求”主要針對(duì)以下方面：認(rèn)證機(jī)構(gòu)及審核員在數(shù)據(jù)保護(hù)領(lǐng)域的專業(yè)水平；認(rèn)證機(jī)構(gòu)及審核員執(zhí)行審查活動(dòng)的能力；認(rèn)證機(jī)構(gòu)及審核員的完整性、誠(chéng)信等.

2.4.3 認(rèn)可結(jié)果互認(rèn)

GDPR未提出明確的認(rèn)可結(jié)果互認(rèn)機(jī)制.根據(jù)各成員國(guó)認(rèn)可模式不同，對(duì)認(rèn)可互認(rèn)的義務(wù)也有區(qū)別.在NAB執(zhí)行認(rèn)可模式下，由于適用認(rèn)可條例，各國(guó)NAB之間有可能實(shí)現(xiàn)認(rèn)可互認(rèn).但互認(rèn)的前提是認(rèn)可要求的一致性，而各國(guó)數(shù)據(jù)保護(hù)當(dāng)局提出的“附加要求”可能不同，需要NAB進(jìn)行額外的評(píng)估來確?；ハ酀M足要求；在DPA執(zhí)行認(rèn)可的情況下，根據(jù)GDPR第63條(一致性機(jī)制)、64(1)(c)(EDPB意見)，DPA應(yīng)承認(rèn)他國(guó)DPA的認(rèn)可，但DPA沒有義務(wù)承認(rèn)他國(guó)NAB的認(rèn)可；對(duì)于聯(lián)合認(rèn)可模式或多國(guó)間采用不同模式的情況，目前尚無明確的法規(guī)要求各國(guó)承認(rèn)他國(guó)的認(rèn)可結(jié)果.仍需進(jìn)一步研究并制定統(tǒng)一的機(jī)制來確保GDPR實(shí)施的一致性.

3 進(jìn)展和問題

3.1 當(dāng)前進(jìn)展

GDPR在法律層面提出了認(rèn)證認(rèn)可機(jī)制，但要在歐盟范圍內(nèi)推進(jìn)該機(jī)制的落地實(shí)施，仍有諸多問題需要探索明確.為此，歐盟委員會(huì)和歐盟數(shù)據(jù)保護(hù)委員會(huì)組織開展了大量研究，發(fā)布指南和研究報(bào)告為實(shí)際操作中的重點(diǎn)問題提供指導(dǎo)和參考.

2018年5月，EDPB發(fā)布了《對(duì)GDPR第42，43條所述認(rèn)證標(biāo)準(zhǔn)進(jìn)行認(rèn)證和識(shí)別的指南》，并于2019年6月發(fā)布第3版，對(duì)認(rèn)證制度的作用、關(guān)鍵概念和認(rèn)證范圍、認(rèn)證標(biāo)準(zhǔn)的評(píng)估要求等進(jìn)行了更加詳細(xì)的闡釋.該指南附錄《認(rèn)證標(biāo)準(zhǔn)評(píng)估指南》經(jīng)修改于2021年4月14日至5月26日公開征求意見[5].

2018年12月，EDPB發(fā)布了《依據(jù)GDPR第43條要求對(duì)認(rèn)證機(jī)構(gòu)進(jìn)行認(rèn)可的指南》，對(duì)認(rèn)可過程中相關(guān)方(成員國(guó)DPA,NAB等)職責(zé)、認(rèn)證機(jī)構(gòu)的認(rèn)可要求等提出指導(dǎo)[6].

2019年5月，歐盟委員會(huì)發(fā)布了《數(shù)據(jù)保護(hù)認(rèn)證機(jī)制——對(duì)歐盟第2016/679號(hào)條例(GDPR)第42,43條的研究》報(bào)告，旨在對(duì)認(rèn)證機(jī)制尚未明確的問題加以探討，為歐盟委員會(huì)進(jìn)一步補(bǔ)充完善GDPR認(rèn)證制度提出建議.

對(duì)于根據(jù)第42(2)款要求，將認(rèn)證機(jī)制作為數(shù)據(jù)跨境傳輸(包括轉(zhuǎn)移至第三國(guó)或國(guó)際組織)的合法途徑相關(guān)事宜，EDPB將另行發(fā)布指南.

3.2 仍需明確的問題

GDPR認(rèn)證機(jī)制的創(chuàng)新性和靈活性在為相關(guān)方帶來便利的同時(shí)，也為認(rèn)證的落地實(shí)施帶來了諸多尚待解決的問題：

一是上文提到的成員國(guó)間認(rèn)證、認(rèn)可結(jié)果的互認(rèn)問題.

二是認(rèn)證標(biāo)準(zhǔn)的制定與審批.由于GDPR認(rèn)證主體是數(shù)據(jù)處理操作、認(rèn)證主題是條例提出的相關(guān)要求，根據(jù)歐盟委員會(huì)調(diào)研，當(dāng)前已有的技術(shù)標(biāo)準(zhǔn)直接提供有效支撐，現(xiàn)有的數(shù)據(jù)安全相關(guān)認(rèn)證機(jī)制也僅能在某些方面予以參考[3].盡管EDPB發(fā)布了認(rèn)證標(biāo)準(zhǔn)評(píng)估指南，一定程度上明確了審批時(shí)應(yīng)關(guān)注的重點(diǎn)問題，但認(rèn)證標(biāo)準(zhǔn)及其審批要求仍缺乏可供參照的基準(zhǔn)和具體實(shí)例.此外，認(rèn)證主題的靈活性、認(rèn)證方案的多樣性進(jìn)一步給監(jiān)管機(jī)構(gòu)審批認(rèn)證標(biāo)準(zhǔn)、對(duì)授予的認(rèn)證進(jìn)行監(jiān)督帶來挑戰(zhàn).如何保證認(rèn)證標(biāo)準(zhǔn)的要求滿足GDPR規(guī)定水平、如何確保針對(duì)同一主題的不同認(rèn)證方案達(dá)到同等質(zhì)量、國(guó)家級(jí)認(rèn)證標(biāo)準(zhǔn)與歐盟通用認(rèn)證標(biāo)準(zhǔn)如何協(xié)調(diào)等問題仍需進(jìn)一步研究.

三是認(rèn)可要求的確定和認(rèn)可的質(zhì)量.各成員國(guó)DPA可通過自行開展認(rèn)可或提出對(duì)認(rèn)可的附加要求來保障認(rèn)證機(jī)構(gòu)具備相應(yīng)的數(shù)據(jù)保護(hù)專業(yè)水平、認(rèn)證水平、具備獨(dú)立性且開展認(rèn)證活動(dòng)時(shí)不存在利益沖突.但由于GDPR未提出相關(guān)基準(zhǔn)，不同成員國(guó)采取的方法和要求的程度可能存在較大差異.在由NAB進(jìn)行認(rèn)可的模式下，可通過《認(rèn)可條例》(“同行評(píng)估”)中規(guī)定的既定程序保障同等質(zhì)量，但其他模式下如何實(shí)現(xiàn)認(rèn)可要求的一致性還需要探索；GDPR及其配套指南尚未對(duì)認(rèn)證程序、合格評(píng)定的方法(如其透明度、質(zhì)量、健全性等)提出基準(zhǔn)要求，給認(rèn)可工作及后續(xù)的監(jiān)督審查帶來挑戰(zhàn)；此外，對(duì)于是否可以認(rèn)可設(shè)立在非歐盟國(guó)家的認(rèn)證機(jī)構(gòu)、是否允許歐盟境內(nèi)的認(rèn)證機(jī)構(gòu)將認(rèn)證過程的一部分(例如預(yù)評(píng)估和文件收集等)外包給位于第三國(guó)的合作方等問題也尚無明確規(guī)定.

4 啟示和建議

在我國(guó)個(gè)人信息保護(hù)工作中引入認(rèn)證制度是一項(xiàng)有積極意義的舉措.GDPR針對(duì)數(shù)據(jù)控制者或處理者的數(shù)據(jù)處理操作提出了一個(gè)靈活的認(rèn)證認(rèn)可框架，其探索和實(shí)踐可為相關(guān)工作提供有益參考.結(jié)合對(duì)GDPR認(rèn)證制度的分析和我國(guó)目前個(gè)人信息保護(hù)現(xiàn)狀，對(duì)推進(jìn)我國(guó)個(gè)人信息保護(hù)工作和推動(dòng)建立數(shù)據(jù)保護(hù)認(rèn)證制度提出以下建議：

一是加快開展相關(guān)研究.借鑒國(guó)際已有的相關(guān)認(rèn)證經(jīng)驗(yàn)、結(jié)合我國(guó)數(shù)據(jù)安全保護(hù)工作實(shí)際，對(duì)產(chǎn)品認(rèn)證、管理體系認(rèn)證、人員認(rèn)證、數(shù)據(jù)處理操作認(rèn)證、服務(wù)認(rèn)證等方向進(jìn)行研究分析.特別是，可參考GDPR認(rèn)證機(jī)制，充分發(fā)揮數(shù)據(jù)保護(hù)監(jiān)管部門的監(jiān)督指導(dǎo)作用，通過認(rèn)可或制定認(rèn)可要求，審批認(rèn)證標(biāo)準(zhǔn)和認(rèn)證方案、掌握認(rèn)證開展情況，對(duì)已頒發(fā)認(rèn)證進(jìn)行監(jiān)督和審查等途徑提升認(rèn)證質(zhì)量.

二是盡快建立我國(guó)數(shù)據(jù)保護(hù)認(rèn)證體系.圍繞《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》要求，基于研究分析成果，盡快出臺(tái)認(rèn)證制度相關(guān)實(shí)施細(xì)則.同時(shí)，建議參考EDPB的任務(wù)和職責(zé)，指定相關(guān)機(jī)構(gòu)制定發(fā)布法規(guī)配套的指南和研究報(bào)告等支持文檔，對(duì)法規(guī)條款要求進(jìn)行解釋和細(xì)化，保障認(rèn)證機(jī)制的具體落實(shí)和統(tǒng)一實(shí)施.

三是積極推進(jìn)與其他國(guó)家在數(shù)據(jù)安全認(rèn)證認(rèn)可領(lǐng)域的合作，充分發(fā)揮認(rèn)證的國(guó)際貿(mào)易“通行證”作用.一方面，跟蹤了解當(dāng)前數(shù)據(jù)安全監(jiān)管、認(rèn)證方面的最新進(jìn)展和最佳實(shí)踐，健全完善我國(guó)數(shù)據(jù)安全認(rèn)證體系，也可為我國(guó)企業(yè)出海提供合規(guī)指導(dǎo)；另一方面，借助“一帶一路”等契機(jī)與戰(zhàn)略合作伙伴和密切的貿(mào)易伙伴加強(qiáng)溝通，積極推進(jìn)與國(guó)際主流數(shù)據(jù)安全認(rèn)證體系的結(jié)果互認(rèn).