劉懿陽(yáng)

(中山大學(xué)法學(xué)院 人權(quán)法研究中心，廣東 廣州 510006)

0 引言

隨著《個(gè)人信息保護(hù)認(rèn)證實(shí)施規(guī)則》(以下簡(jiǎn)稱《實(shí)施規(guī)則》)出臺(tái)，我國(guó)數(shù)據(jù)跨境認(rèn)證制度實(shí)現(xiàn)了規(guī)則落地?！罢J(rèn)證”是《個(gè)人信息保護(hù)法》第38 條規(guī)定數(shù)據(jù)跨境流動(dòng)的三種合規(guī)路徑之一，除認(rèn)證外，數(shù)據(jù)出境的合規(guī)路徑還包括“安全評(píng)估”和“標(biāo)準(zhǔn)合同”。數(shù)據(jù)出境安全評(píng)估是一種具體行政行為[1]，標(biāo)準(zhǔn)合同簽訂是一種私主體商事行為[2]，專業(yè)機(jī)構(gòu)認(rèn)證則是一種第三方規(guī)制行為[3]。數(shù)據(jù)跨境認(rèn)證是合作規(guī)制理論在數(shù)字時(shí)代的生動(dòng)實(shí)踐，體現(xiàn)出數(shù)字社會(huì)背景下數(shù)據(jù)治理的公私合作特征，《實(shí)施規(guī)則》為數(shù)據(jù)跨境認(rèn)證的實(shí)施提供了現(xiàn)實(shí)方案。

除數(shù)據(jù)跨境處理外，《實(shí)施規(guī)則》同樣適用于其他類型的個(gè)人信息處理活動(dòng)?！秾?shí)施規(guī)則》從認(rèn)證范圍、認(rèn)證依據(jù)、認(rèn)證程序、認(rèn)證標(biāo)識(shí)和認(rèn)證責(zé)任等方面對(duì)個(gè)人信息保護(hù)認(rèn)證規(guī)則進(jìn)行了整體構(gòu)建，在擴(kuò)展認(rèn)證范圍、促進(jìn)數(shù)據(jù)出境、明確侵權(quán)責(zé)任、推動(dòng)國(guó)際互認(rèn)等方面具有重要的實(shí)踐意義。下面，本文將從規(guī)則要點(diǎn)、制度設(shè)計(jì)、實(shí)踐意義三方面，對(duì)《實(shí)施規(guī)則》所規(guī)定的中國(guó)個(gè)人信息保護(hù)認(rèn)證規(guī)則展開(kāi)解讀、評(píng)介與反思。

1 《實(shí)施規(guī)則》的要點(diǎn)解析

《實(shí)施規(guī)則》從認(rèn)證適用范圍、認(rèn)證依據(jù)、認(rèn)證模式、認(rèn)證程序、認(rèn)證標(biāo)識(shí)、認(rèn)證細(xì)則和認(rèn)證責(zé)任七個(gè)方面對(duì)個(gè)人信息保護(hù)認(rèn)證規(guī)則進(jìn)行了整體構(gòu)建，明確了認(rèn)證的主體、對(duì)象、依據(jù)、流程等問(wèn)題。下面，本文將從《實(shí)施規(guī)則》的重點(diǎn)內(nèi)容展開(kāi)分析。

1.1 認(rèn)證范圍

《實(shí)施規(guī)則》規(guī)定了對(duì)個(gè)人信息處理者開(kāi)展個(gè)人信息收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)、刪除以及跨境等處理活動(dòng)進(jìn)行認(rèn)證的基本原則和要求。從認(rèn)證主體來(lái)看，凡是個(gè)人信息處理者皆可申請(qǐng)?jiān)擁?xiàng)認(rèn)證。從認(rèn)證對(duì)象來(lái)看，認(rèn)證涉及個(gè)人信息處理活動(dòng)過(guò)程的產(chǎn)品、服務(wù)、管理體系。從認(rèn)證內(nèi)容來(lái)看，認(rèn)證僅僅涉及個(gè)人信息，而不包括其他數(shù)據(jù)——例如《數(shù)據(jù)安全法》規(guī)定的核心數(shù)據(jù)和重要數(shù)據(jù)、《數(shù)據(jù)出境安全評(píng)估辦法》規(guī)定的重要數(shù)據(jù)、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》規(guī)定的關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)數(shù)據(jù)以及《個(gè)人信息保護(hù)法》規(guī)定的匿名化處理后的信息，此類非個(gè)人信息均不屬于《實(shí)施規(guī)則》的認(rèn)證內(nèi)容。另一方面，認(rèn)證是對(duì)個(gè)人信息處理的認(rèn)證，個(gè)人信息的處理包括個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)、刪除等，同時(shí)也包括了數(shù)據(jù)跨境傳輸?shù)奶幚砘顒?dòng)?？傮w來(lái)看，《實(shí)施規(guī)則》規(guī)定的認(rèn)證主體范圍更明確，適用對(duì)象范圍更廣闊(包括產(chǎn)品、服務(wù)、管理)，內(nèi)容界定范圍更有針對(duì)性(僅限于個(gè)人信息)。

1.2 認(rèn)證依據(jù)

《認(rèn)證認(rèn)可條例》是實(shí)施個(gè)人信息保護(hù)認(rèn)證的根據(jù)之一，條例第2 條規(guī)定了認(rèn)證“是指由認(rèn)證機(jī)構(gòu)證明產(chǎn)品、服務(wù)、管理體系符合相關(guān)技術(shù)規(guī)范、相關(guān)技術(shù)規(guī)范的強(qiáng)制性要求或者標(biāo)準(zhǔn)的合格評(píng)定活動(dòng)”。最新版本的GB/T 35273《信息安全技術(shù) 個(gè)人信息安全規(guī)范》和TC260-PG-20222A《個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范》是《實(shí)施規(guī)則》所規(guī)定的認(rèn)證依據(jù)。前者是由市場(chǎng)監(jiān)管總局與國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)聯(lián)合發(fā)布的國(guó)家標(biāo)準(zhǔn)，在《個(gè)人信息保護(hù)法》實(shí)施以前就對(duì)企業(yè)數(shù)據(jù)合規(guī)建設(shè)提供重要依據(jù)和規(guī)范指南；后者是由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)組織制定和發(fā)布的技術(shù)規(guī)范，同樣可以作為認(rèn)證依據(jù)。根據(jù)規(guī)定，凡個(gè)人信息處理者均需要滿足前一種規(guī)范的要求，而開(kāi)展跨境數(shù)據(jù)傳輸?shù)膫€(gè)人信息處理者還應(yīng)當(dāng)符合后一種規(guī)范的要求。

1.3 認(rèn)證程序

“技術(shù)驗(yàn)證+現(xiàn)場(chǎng)審核+獲證后監(jiān)督”是 《實(shí)施規(guī)則》提出的個(gè)人信息保護(hù)認(rèn)證模式。按此模式，認(rèn)證機(jī)構(gòu)在對(duì)認(rèn)證委托人提交的認(rèn)證委托資料進(jìn)行審查過(guò)后，決定是否受理并向委托人及時(shí)反饋，受理后將確定認(rèn)證方案并告知委托人。具體認(rèn)證程序如下：

(1)技術(shù)驗(yàn)證：據(jù)此方案，技術(shù)驗(yàn)證機(jī)構(gòu)實(shí)施技術(shù)驗(yàn)證，并向認(rèn)證機(jī)構(gòu)和認(rèn)證委托人出具技術(shù)驗(yàn)證報(bào)告。

(2)現(xiàn)場(chǎng)審核：在收到技術(shù)驗(yàn)證報(bào)告之后，認(rèn)證機(jī)構(gòu)將對(duì)個(gè)人信息處理者實(shí)施現(xiàn)場(chǎng)審核，并向認(rèn)證委托人出具現(xiàn)場(chǎng)審核報(bào)告。

(3)獲證后監(jiān)督：根據(jù)認(rèn)證委托人提交的委托資料、技術(shù)驗(yàn)證機(jī)構(gòu)出具的技術(shù)驗(yàn)證報(bào)告、認(rèn)證機(jī)構(gòu)掌握的現(xiàn)場(chǎng)審核報(bào)告和其他相關(guān)資料信息，認(rèn)證機(jī)構(gòu)將進(jìn)行綜合評(píng)價(jià)，最終決定認(rèn)證申請(qǐng)是否通過(guò)。對(duì)符合認(rèn)證要求的個(gè)人信息處理者頒發(fā)認(rèn)證證書(shū)。在有效期內(nèi)，認(rèn)證機(jī)構(gòu)將采取適當(dāng)方式、以合理監(jiān)督頻次，對(duì)已獲認(rèn)證的個(gè)人信息處理者進(jìn)行持續(xù)監(jiān)督。

綜上所述，《實(shí)施規(guī)則》以認(rèn)證前資料審查、認(rèn)證中能力審核、認(rèn)證后持續(xù)監(jiān)督的事前、事中、事后全過(guò)程規(guī)制模式對(duì)認(rèn)證程序作出了具體規(guī)定，其流程如圖1 所示。

圖1 個(gè)人信息保護(hù)認(rèn)證流程圖

1.4 認(rèn)證證書(shū)

認(rèn)證機(jī)構(gòu)將對(duì)符合認(rèn)證要求的認(rèn)證委托人頒發(fā)認(rèn)證證書(shū)，有效期為3 年。在此期間，認(rèn)證委托人可向認(rèn)證機(jī)構(gòu)提出變更委托，對(duì)已獲認(rèn)證的個(gè)人信息處理者相關(guān)資料進(jìn)行變更，也可申請(qǐng)將認(rèn)證證書(shū)暫停、注銷；到期后，認(rèn)證委托人需要延續(xù)使用的，應(yīng)在有效期屆滿前6 個(gè)月內(nèi)提交申請(qǐng)。獲證后，認(rèn)證委托人將受認(rèn)證機(jī)構(gòu)的持續(xù)監(jiān)督，監(jiān)督過(guò)程中若已獲證的個(gè)人信息處理者不再符合認(rèn)證要求，認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)及時(shí)對(duì)認(rèn)證證書(shū)予以暫停直至撤銷。認(rèn)證證書(shū)既不是行業(yè)許可證，也不是營(yíng)業(yè)執(zhí)照，而是一種資質(zhì)認(rèn)證，體現(xiàn)出認(rèn)證機(jī)構(gòu)對(duì)于認(rèn)證委托人個(gè)人信息保護(hù)能力的肯定評(píng)價(jià)。

1.5 認(rèn)證責(zé)任

《實(shí)施規(guī)則》規(guī)定，認(rèn)證機(jī)構(gòu)、技術(shù)驗(yàn)證機(jī)構(gòu)、認(rèn)證委托人分別對(duì)各自的認(rèn)證和驗(yàn)證結(jié)論、認(rèn)證委托資料的真實(shí)性和合法性負(fù)責(zé)。針對(duì)認(rèn)證機(jī)構(gòu)的責(zé)任，《認(rèn)證認(rèn)可條例》第73 條規(guī)定了“認(rèn)證機(jī)構(gòu)未對(duì)其認(rèn)證的產(chǎn)品實(shí)施有效的跟蹤調(diào)查，或者發(fā)現(xiàn)其認(rèn)證的產(chǎn)品不能持續(xù)符合認(rèn)證要求，不及時(shí)暫?；蛘叱蜂N認(rèn)證證書(shū)和要求其停止使用認(rèn)證標(biāo)志給消費(fèi)者造成損失的，與生產(chǎn)者、銷售者承擔(dān)連帶責(zé)任。”也就是說(shuō)，若認(rèn)證機(jī)構(gòu)對(duì)個(gè)人信息主體造成損失則需承擔(dān)連帶責(zé)任，這意味著認(rèn)證機(jī)構(gòu)在個(gè)人信息保護(hù)認(rèn)證工作實(shí)施過(guò)程中擔(dān)負(fù)著持續(xù)的監(jiān)督和審查義務(wù)，面臨著重要的認(rèn)證責(zé)任。

總體來(lái)看，《實(shí)施規(guī)則》將認(rèn)證實(shí)施的適用范圍界定在“個(gè)人信息”內(nèi)容，依據(jù)國(guó)家標(biāo)準(zhǔn)和相關(guān)技術(shù)規(guī)范開(kāi)展認(rèn)證工作，提出了事前事中事后全過(guò)程規(guī)制的認(rèn)證程序，公布了認(rèn)證證書(shū)和認(rèn)證標(biāo)志，明確了認(rèn)證的主體、對(duì)象及其責(zé)任。但《實(shí)施規(guī)則》的具體落實(shí)仍待認(rèn)證機(jī)構(gòu)對(duì)認(rèn)證實(shí)施程序進(jìn)行進(jìn)一步的細(xì)化，認(rèn)證機(jī)構(gòu)在實(shí)踐過(guò)程中所制定的科學(xué)、合理、可操作的認(rèn)證實(shí)施細(xì)則才是《實(shí)施規(guī)則》方案真正落地的“最后一公里”。

2 《實(shí)施規(guī)則》的制度設(shè)計(jì)

個(gè)人信息保護(hù)認(rèn)證制度的上位法依據(jù)是《個(gè)人信息保護(hù)法》和《認(rèn)證認(rèn)可條例》。

《個(gè)人信息保護(hù)法》對(duì)認(rèn)證制度的規(guī)定在第38條和第62 條均有體現(xiàn)。第38 條對(duì)于跨境流動(dòng)的個(gè)人信息提供了出境認(rèn)證的合規(guī)路徑；第62 條第(四)項(xiàng)對(duì)個(gè)人信息開(kāi)展認(rèn)證服務(wù)，推進(jìn)個(gè)人信息保護(hù)社會(huì)化服務(wù)體系建設(shè)作了規(guī)定。此次《實(shí)施規(guī)則》的出臺(tái)標(biāo)志著《個(gè)人信息保護(hù)法》中認(rèn)證工作的具體實(shí)施有了明確依據(jù)，為數(shù)據(jù)出境中的“認(rèn)證”路徑提供了有力支撐，同時(shí)也對(duì)個(gè)人信息保護(hù)社會(huì)化服務(wù)體系建設(shè)提供了有效保障與落地方案。

如前所述，《實(shí)施規(guī)則》明確了認(rèn)證的依據(jù)為GB/T 35273《信息安全技術(shù) 個(gè)人信息安全規(guī)范》與TC260-PG-20222A《個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范》，前者面向一般情況下的個(gè)人信息保護(hù)認(rèn)證，后者則應(yīng)對(duì)于特殊情景中的個(gè)人信息跨境認(rèn)證。也就是說(shuō)，《實(shí)施規(guī)則》是將個(gè)人信息保護(hù)認(rèn)證和個(gè)人信息跨境認(rèn)證“合二為一”。兩者區(qū)別在于，個(gè)人信息保護(hù)認(rèn)證針對(duì)的是認(rèn)證委托人對(duì)于個(gè)人信息保護(hù)的水平，認(rèn)證結(jié)果是對(duì)委托人個(gè)人信息保護(hù)能力和資格的評(píng)價(jià)；而個(gè)人信息跨境認(rèn)證針對(duì)的是委托人在個(gè)人信息跨境傳輸場(chǎng)景下的數(shù)據(jù)處理行為，認(rèn)證結(jié)果是認(rèn)證機(jī)構(gòu)對(duì)于委托人具體數(shù)據(jù)處理活動(dòng)的特殊認(rèn)證。

《認(rèn)證認(rèn)可條例》第2 條明確了認(rèn)證的對(duì)象為“產(chǎn)品、服務(wù)、管理體系”，認(rèn)可的對(duì)象則是“認(rèn)證機(jī)構(gòu)、檢查機(jī)構(gòu)、實(shí)驗(yàn)室以及從事評(píng)審、審核等認(rèn)證活動(dòng)人員的能力和執(zhí)業(yè)資格”，認(rèn)證制度主要適用于企業(yè)，認(rèn)可制度則是對(duì)認(rèn)證機(jī)構(gòu)及其人員的監(jiān)督機(jī)制。根據(jù)《認(rèn)證認(rèn)可條例》，認(rèn)證是要證明產(chǎn)品、服務(wù)、管理體系符合“相關(guān)技術(shù)規(guī)范、相關(guān)技術(shù)規(guī)范的強(qiáng)制性要求或者標(biāo)準(zhǔn)”。申請(qǐng)個(gè)人信息保護(hù)認(rèn)證的個(gè)人信息處理者應(yīng)當(dāng)符合GB/T 35273《信息安全技術(shù) 個(gè)人信息安全規(guī)范》的要求；但如果要在個(gè)人信息出境時(shí)采信認(rèn)證結(jié)論，還需針對(duì)個(gè)人信息出境場(chǎng)景增加認(rèn)證要求，即還必須符合《個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范》的要求。這相當(dāng)于，我國(guó)既建立了通用的個(gè)人信息保護(hù)認(rèn)證制度，又建立了針對(duì)數(shù)據(jù)出境場(chǎng)景的個(gè)人信息出境認(rèn)證制度。后者是前者的補(bǔ)充，前者是后者的基礎(chǔ)(如表1 所示)[1]。

表1 《實(shí)施規(guī)則》的制度設(shè)計(jì)

《認(rèn)證認(rèn)可條例》第十七條指出，“認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)按照認(rèn)證基本規(guī)范、認(rèn)證規(guī)則從事認(rèn)證活動(dòng)。認(rèn)證基本規(guī)范、認(rèn)證規(guī)則由國(guó)務(wù)院認(rèn)證認(rèn)可監(jiān)督管理部門(mén)制定；涉及國(guó)務(wù)院有關(guān)部門(mén)職責(zé)的，國(guó)務(wù)院認(rèn)證認(rèn)可監(jiān)督管理部門(mén)應(yīng)當(dāng)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)制定?！边@實(shí)際上指出了認(rèn)證認(rèn)可監(jiān)管思路——在專業(yè)領(lǐng)域涉及到國(guó)務(wù)院有關(guān)部門(mén)職責(zé)的，由國(guó)務(wù)院認(rèn)證認(rèn)可監(jiān)督管理部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)共同管理。因此，這項(xiàng)工作既涉及認(rèn)證認(rèn)可監(jiān)管部門(mén)，也涉及數(shù)據(jù)安全監(jiān)管部門(mén)。上一輪機(jī)構(gòu)改革中，國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)職責(zé)已劃入國(guó)家市場(chǎng)監(jiān)督管理總局。因此，數(shù)據(jù)安全認(rèn)證這項(xiàng)工作，由國(guó)家市場(chǎng)監(jiān)管總局和國(guó)家互聯(lián)網(wǎng)信息辦公室共同負(fù)責(zé)[4]。

認(rèn)證制度是目前國(guó)際通用的一種的第三方審核制度，由獨(dú)立于被規(guī)制對(duì)象的專業(yè)機(jī)構(gòu)依據(jù)標(biāo)準(zhǔn)和技術(shù)規(guī)范，通過(guò)調(diào)查取證、審核檢驗(yàn)，對(duì)產(chǎn)品、服務(wù)或企業(yè)的管理體系、人員能力等合規(guī)情況進(jìn)行評(píng)價(jià)與認(rèn)定，是國(guó)家質(zhì)量基礎(chǔ)建設(shè)工程的基礎(chǔ)項(xiàng)目之一。

從制度設(shè)計(jì)之初來(lái)看，在市場(chǎng)規(guī)模較大、需要開(kāi)展專業(yè)化的檢測(cè)檢驗(yàn)工作的領(lǐng)域，行政監(jiān)管通常難以實(shí)現(xiàn)全面、有效的覆蓋[5]。在此背景之下，政府可以利用市場(chǎng)的力量，借助第三方機(jī)構(gòu)的私人資源和專業(yè)優(yōu)勢(shì)開(kāi)展認(rèn)證工作，這樣不僅可以彌補(bǔ)傳統(tǒng)規(guī)制的不足，還可以提高專業(yè)水平、降低政府成本，同時(shí)也符合社會(huì)多元主體的利益期待[6]。

從歷史發(fā)展過(guò)程來(lái)看，認(rèn)證機(jī)制的制度演進(jìn)體現(xiàn)出“自下而上”的社會(huì)共治理念。歐盟數(shù)據(jù)認(rèn)證制度就經(jīng)歷了“自我聲明—第三方認(rèn)證—政府監(jiān)管下數(shù)據(jù)認(rèn)證”的演進(jìn)過(guò)程。GDPR 第42 條確立了“經(jīng)批準(zhǔn)的數(shù)據(jù)認(rèn)證制度”，強(qiáng)調(diào)了公私合作的治理理念。數(shù)據(jù)監(jiān)管當(dāng)局全程監(jiān)督并有權(quán)“干預(yù)”整個(gè)認(rèn)證過(guò)程和認(rèn)證結(jié)果，能夠有效克服第三方認(rèn)證的機(jī)制缺陷[7-8]。

從我國(guó)實(shí)踐歷程來(lái)看，認(rèn)證制度首次出現(xiàn)在我國(guó)網(wǎng)絡(luò)安全工作領(lǐng)域，源于2004 年10 月的《關(guān)于建立國(guó)家信息安全產(chǎn)品認(rèn)證認(rèn)可體系的通知》。在此之前，政府對(duì)社會(huì)的治理，更多地采用行政許可手段。而在規(guī)劃國(guó)家信息安全產(chǎn)品認(rèn)證認(rèn)可體系建設(shè)時(shí)，我國(guó)便明確了政事分開(kāi)、發(fā)揮認(rèn)證認(rèn)可制度作用的原則，凡可以通過(guò)認(rèn)證認(rèn)可解決的檢測(cè)、評(píng)審，原則上不再設(shè)立行政許可?！稊?shù)據(jù)安全法》《個(gè)人信息保護(hù)法》發(fā)布施行后，建立科學(xué)高效的數(shù)據(jù)安全治理體系的任務(wù)便被提上議事日程，認(rèn)證認(rèn)可制度成為重要的數(shù)據(jù)治理手段[4]。

《實(shí)施規(guī)則》的出臺(tái)進(jìn)一步完善了我國(guó)的數(shù)據(jù)安全治理體系，明確了數(shù)據(jù)安全認(rèn)證的制度安排和規(guī)范依據(jù)。不過(guò)，認(rèn)證工作的開(kāi)展是一個(gè)動(dòng)態(tài)治理的過(guò)程，需要多方主體的共同參與，既依靠國(guó)家網(wǎng)信部門(mén)的統(tǒng)籌協(xié)調(diào)，也有賴于社會(huì)認(rèn)證機(jī)構(gòu)的持續(xù)監(jiān)督。將來(lái)，依據(jù)《個(gè)人信息保護(hù)法》和《認(rèn)證認(rèn)可條例》，我國(guó)的認(rèn)證工作沿著《實(shí)施規(guī)則》的制度設(shè)計(jì)徐徐展開(kāi)，在社會(huì)多元主體的協(xié)同共治下，個(gè)人信息保護(hù)格局也將朝著共建共治共享的治理樣態(tài)發(fā)展。

3 《實(shí)施規(guī)則》的實(shí)踐意義

本次《實(shí)施規(guī)則》的頒布及時(shí)回應(yīng)了個(gè)人信息保護(hù)和數(shù)據(jù)跨境流動(dòng)的需要，對(duì)于數(shù)字時(shí)代的網(wǎng)絡(luò)強(qiáng)國(guó)建設(shè)具有重大意義，體現(xiàn)出我國(guó)構(gòu)筑數(shù)據(jù)法治體系以及推進(jìn)國(guó)家治理能力現(xiàn)代化所作出的努力?！秾?shí)施規(guī)則》在擴(kuò)展認(rèn)證范圍、促進(jìn)數(shù)據(jù)出境、明晰侵權(quán)責(zé)任和推動(dòng)國(guó)際互認(rèn)方面具有重要的實(shí)踐意義。

3.1 擴(kuò)展認(rèn)證范圍

《實(shí)施規(guī)則》是我國(guó)首個(gè)關(guān)于個(gè)人信息保護(hù)認(rèn)證的專項(xiàng)制度，也是我國(guó)建立的第三種數(shù)據(jù)安全認(rèn)證制度。此前建立的兩種數(shù)據(jù)安全認(rèn)證制度分別是App 安全認(rèn)證以及數(shù)據(jù)安全管理認(rèn)證。其中，2019年3 月發(fā)布的《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(App)安全認(rèn)證實(shí)施規(guī)則》 屬于產(chǎn)品認(rèn)證；2022 年6 月份發(fā)布的《數(shù)據(jù)安全管理認(rèn)證實(shí)施規(guī)則》 側(cè)重于數(shù)據(jù)安全管理能力。本次建立的個(gè)人信息保護(hù)認(rèn)證制度是以認(rèn)證認(rèn)可為手段證明個(gè)人信息保護(hù)能力的一種認(rèn)證方式，適用范圍最廣。比如某機(jī)構(gòu)提供數(shù)據(jù)脫敏服務(wù)，可以為這種服務(wù)申請(qǐng)一張個(gè)人信息保護(hù)證書(shū)，從而表明具備服務(wù)能力；某機(jī)構(gòu)是產(chǎn)品供應(yīng)方，則可以為其產(chǎn)品申請(qǐng)一張個(gè)人信息處理過(guò)程符合有關(guān)標(biāo)準(zhǔn)的證書(shū)；各機(jī)構(gòu)也可以為自身管理體系申請(qǐng)個(gè)人信息保護(hù)證書(shū)，當(dāng)前很有影響力的 ISO 27701隱私信息管理體系認(rèn)證便屬于此類[4]。

3.2 促進(jìn)數(shù)據(jù)出境

個(gè)人信息保護(hù)認(rèn)證是《個(gè)人信息保護(hù)法》第三十八條規(guī)定的數(shù)據(jù)出境合規(guī)體系的三條路徑之一?！秾?shí)施規(guī)則》的出臺(tái)是落實(shí)《個(gè)人信息保護(hù)法》跨境數(shù)據(jù)流動(dòng)認(rèn)證路徑的重要舉措，及時(shí)填補(bǔ)了我國(guó)數(shù)據(jù)出境制度的實(shí)施細(xì)則空白。經(jīng)過(guò)安全評(píng)估后出境和利用標(biāo)準(zhǔn)合同出境有著各自特殊的適用條件和應(yīng)用場(chǎng)景，而個(gè)人信息保護(hù)認(rèn)證作為并列的法定出境機(jī)制之一，能夠和前兩者產(chǎn)生有效的機(jī)制協(xié)調(diào)和銜接，共同助力數(shù)據(jù)跨境安全、自由流動(dòng)，促進(jìn)數(shù)據(jù)出境[9]。

3.3 明晰侵權(quán)責(zé)任

認(rèn)證機(jī)構(gòu)為認(rèn)證申請(qǐng)人頒發(fā)的認(rèn)證證書(shū)將給企業(yè)提供履行個(gè)人信息保護(hù)義務(wù)的合規(guī)證明，有助于明晰個(gè)人信息侵權(quán)責(zé)任。根據(jù)《個(gè)人信息保護(hù)法》第69 條規(guī)定，“處理個(gè)人信息侵害個(gè)人信息權(quán)益造成損害，個(gè)人信息處理者不能證明自己沒(méi)有過(guò)錯(cuò)的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任”。也就是說(shuō)，若個(gè)人信息處理者能夠證明自身已履行個(gè)人信息保護(hù)義務(wù)，對(duì)于個(gè)人信息損害不存在過(guò)錯(cuò)，就能夠降低個(gè)人信息侵權(quán)損害賠償?shù)姆韶?zé)任，減少企業(yè)數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)。更為清晰的權(quán)責(zé)邊界也將為個(gè)人信息侵權(quán)訴訟的展開(kāi)奠定基礎(chǔ)，為數(shù)字時(shí)代的個(gè)人信息權(quán)益提供更好的保護(hù)。

3.4 推動(dòng)國(guó)際互認(rèn)

《實(shí)施規(guī)則》將《個(gè)人信息保護(hù)法》個(gè)人信息出境的相關(guān)規(guī)定具體化和可操作化，有利于和國(guó)際數(shù)據(jù)跨境流動(dòng)認(rèn)證制度相接軌，為未來(lái)相關(guān)認(rèn)證的國(guó)際互認(rèn)奠定基礎(chǔ)。認(rèn)證是全球個(gè)人信息保護(hù)實(shí)踐當(dāng)中的通行做法，國(guó)際上常見(jiàn)的個(gè)人信息保護(hù)相關(guān)認(rèn)證包括以歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR_ 為基礎(chǔ)確立的個(gè)人數(shù)據(jù)跨境傳輸認(rèn)證，與GDPR 相關(guān)的ePrivacy 認(rèn)證，美國(guó)的TRUSTe 認(rèn)證機(jī)制和亞太經(jīng)濟(jì)合作組織APEC 框架下的CBPR 認(rèn)證，以及盧森堡數(shù)據(jù)保護(hù)機(jī)關(guān)新近推出包含個(gè)人數(shù)據(jù)跨境傳輸場(chǎng)景的GDPR-CARPA 認(rèn)證機(jī)制[9]。

目前，認(rèn)證機(jī)制應(yīng)用于數(shù)據(jù)出境管理仍缺少足夠?qū)嵺`，國(guó)際上認(rèn)證認(rèn)可結(jié)果的互認(rèn)存在困難[10]。嚴(yán)格意義上，歐盟尚未建立專用于數(shù)據(jù)出境的認(rèn)證制度。鑒于數(shù)據(jù)安全的敏感性，我國(guó)當(dāng)前對(duì)國(guó)際互認(rèn)秉持審慎態(tài)度[11]。以我國(guó)現(xiàn)行法律法規(guī)為依據(jù)，比較借鑒域外權(quán)威認(rèn)證機(jī)制建立個(gè)人信息保護(hù)認(rèn)證，一方面有利于全面、及時(shí)回應(yīng)跨境數(shù)據(jù)治理的全球態(tài)勢(shì)；另一方面也有利于務(wù)實(shí)推動(dòng)中國(guó)數(shù)據(jù)治理規(guī)則的國(guó)際化實(shí)現(xiàn)[9]?！秾?shí)施規(guī)則》構(gòu)建的中國(guó)個(gè)人信息保護(hù)認(rèn)證規(guī)則同時(shí)助力中國(guó)企業(yè)跨越數(shù)字鴻溝，共同構(gòu)建可信任的國(guó)際數(shù)據(jù)跨境流動(dòng)體系，為企業(yè)更好地融入全球商貿(mào)環(huán)境、開(kāi)展國(guó)際貿(mào)易保駕護(hù)航。

4 結(jié)論

《中共中央 國(guó)務(wù)院關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見(jiàn)》(簡(jiǎn)稱“數(shù)據(jù)二十條”)指出，要推動(dòng)個(gè)人信息保護(hù)認(rèn)證制度的建立，加強(qiáng)企業(yè)數(shù)據(jù)合規(guī)體系建設(shè)，引導(dǎo)企業(yè)通過(guò)認(rèn)證提升數(shù)據(jù)安全管理水平，有序培育合規(guī)認(rèn)證的第三方專業(yè)服務(wù)機(jī)構(gòu)，積極參與認(rèn)證評(píng)估相關(guān)國(guó)際規(guī)則和數(shù)字技術(shù)標(biāo)準(zhǔn)制定，促進(jìn)數(shù)據(jù)合規(guī)安全有序流通利用。此次《實(shí)施規(guī)則》的頒布，標(biāo)志著中國(guó)個(gè)人信息保護(hù)規(guī)則體系與數(shù)據(jù)合規(guī)制度建設(shè)又向前邁出了一步，數(shù)據(jù)跨境的第三條路也被緩緩打通。在《個(gè)人信息保護(hù)法》和《認(rèn)證認(rèn)可條例》制度支撐下，《實(shí)施規(guī)則》從認(rèn)證范圍、認(rèn)證依據(jù)、認(rèn)證程序、認(rèn)證標(biāo)識(shí)和認(rèn)證責(zé)任等方面對(duì)個(gè)人信息保護(hù)認(rèn)證規(guī)則進(jìn)行了整體構(gòu)建，在擴(kuò)展認(rèn)證范圍、促進(jìn)數(shù)據(jù)出境、明確侵權(quán)責(zé)任、推動(dòng)國(guó)際互認(rèn)等方面具有重要的實(shí)踐意義。

個(gè)人信息保護(hù)體系與數(shù)據(jù)跨境流動(dòng)機(jī)制下的認(rèn)證制度仍有諸多問(wèn)題亟待澄清，認(rèn)證制度的真正落地仍待合理可行的實(shí)施細(xì)則的制定與公布。比如，正在編制中的國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)個(gè)人信息跨境傳輸認(rèn)證要求》擬明確個(gè)人信息跨境提供的安全原則、安全要求和認(rèn)證規(guī)則，該標(biāo)準(zhǔn)是否能夠成為個(gè)人信息保護(hù)認(rèn)證的第三個(gè)依據(jù)，暫未有定論。又如，作為數(shù)據(jù)跨境傳輸機(jī)制適用的個(gè)人信息保護(hù)認(rèn)證制度對(duì)于全球數(shù)據(jù)治理而言仍是一個(gè)新問(wèn)題——即便各國(guó)已相繼構(gòu)建與之適應(yīng)的法律體系。這意味著，《實(shí)施規(guī)則》的頒布僅是一個(gè)開(kāi)始，在如何發(fā)揮認(rèn)證的實(shí)際作用方面，仍需對(duì)實(shí)施細(xì)則展開(kāi)深入研究[4]。

就個(gè)人信息出境認(rèn)證而言，《實(shí)施規(guī)則》《數(shù)據(jù)出境安全評(píng)估辦法》《個(gè)人信息出境標(biāo)準(zhǔn)合同規(guī)定(征求意見(jiàn)稿)》共同構(gòu)成了《個(gè)人信息保護(hù)法》第三十八條規(guī)定的個(gè)人信息跨境傳輸?shù)木唧w落地規(guī)則。三條合規(guī)路徑原本在法律設(shè)計(jì)上是擇其一即可使個(gè)人信息出境，但實(shí)踐中考慮到某些重要個(gè)人信息的公共屬性等，有可能使得這三種路徑需重復(fù)適用才能滿足合規(guī)要求。就個(gè)人信息保護(hù)認(rèn)證制度體系化和實(shí)施合規(guī)性而言，認(rèn)證機(jī)制的有效推行不僅需要滿足《實(shí)施規(guī)則》的要求，還需要協(xié)調(diào)《實(shí)施規(guī)則》與其上位法《個(gè)人信息保護(hù)法》和《認(rèn)證認(rèn)可條例》之間的關(guān)系，同時(shí)需要滿足《實(shí)施規(guī)則》所規(guī)定的相關(guān)技術(shù)規(guī)范、國(guó)家標(biāo)準(zhǔn)以及認(rèn)證機(jī)構(gòu)制定的實(shí)施細(xì)則的要求，實(shí)踐層面的法律合規(guī)面臨著相當(dāng)大的挑戰(zhàn)，個(gè)人信息保護(hù)認(rèn)證規(guī)則體系化仍任重道遠(yuǎn)。

從合作規(guī)制理論視角來(lái)看，構(gòu)建法治化的個(gè)人信息保護(hù)認(rèn)證體制機(jī)制，不僅是保障數(shù)據(jù)安全的現(xiàn)實(shí)需要，而且是彌補(bǔ)數(shù)字時(shí)代政府規(guī)制缺陷的迫切需求。作為去中心化的第三方規(guī)制，數(shù)據(jù)安全認(rèn)證是一種全新理念。第三方規(guī)制同政府規(guī)制、自我規(guī)制一道共同構(gòu)成了完善的規(guī)制法體系。在“放管服”改革深入推進(jìn)和國(guó)家治理能力現(xiàn)代化的背景下，需要政府、互聯(lián)網(wǎng)企業(yè)、數(shù)據(jù)安全認(rèn)證機(jī)構(gòu)、網(wǎng)絡(luò)用戶、社會(huì)公眾等多方主體開(kāi)展公私合作治理，相互取長(zhǎng)補(bǔ)短，協(xié)同完成保障數(shù)據(jù)安全并促進(jìn)數(shù)據(jù)高效流通利用的公共任務(wù)[3]。作為共同治理的方案之一，個(gè)人信息保護(hù)認(rèn)證規(guī)則在推動(dòng)創(chuàng)新的同時(shí)，也向市場(chǎng)主體提供相應(yīng)信息，使得企業(yè)根據(jù)認(rèn)證規(guī)則錨定的基準(zhǔn)向消費(fèi)者展示其個(gè)人信息保護(hù)水平[12]，從而促進(jìn)數(shù)據(jù)可信流通利用體系建設(shè)，為市場(chǎng)交易提供低成本、高效率、可信賴的流通環(huán)境，在安全可信、包容創(chuàng)新、公平開(kāi)放、監(jiān)管有效的多方主體合作共治環(huán)境下推動(dòng)數(shù)據(jù)要素更好地發(fā)揮價(jià)值。