劉 權(quán)
作為第三方規(guī)制的數(shù)據(jù)安全認證,可以有效克服市場與政府的“雙重失靈”,實現(xiàn)數(shù)據(jù)安全保障和數(shù)字經(jīng)濟發(fā)展的平衡。數(shù)據(jù)安全認證已逐漸成為全球數(shù)據(jù)治理的重要手段?!毒W(wǎng)絡(luò)安全法》第17條明確要求“開展網(wǎng)絡(luò)安全認證、檢測、風(fēng)險評估等安全服務(wù)”?!稊?shù)據(jù)安全法》第18條第1款原則性的規(guī)定了數(shù)據(jù)安全認證:“國家促進數(shù)據(jù)安全檢測評估、認證等服務(wù)的發(fā)展,支持數(shù)據(jù)安全檢測評估、認證等專業(yè)機構(gòu)依法開展服務(wù)活動?!薄秱€人信息保護法》第38條將個人信息保護認證作為向境外提供個人信息的合法性條件之一,第62條要求“推進個人信息保護社會化服務(wù)體系建設(shè),支持有關(guān)機構(gòu)開展個人信息保護評估、認證服務(wù)”。實踐中,2019年國家市場監(jiān)管總局、中央網(wǎng)信辦發(fā)布《關(guān)于開展App安全認證工作的公告》,旨在規(guī)范移動互聯(lián)網(wǎng)應(yīng)用程序收集、使用用戶信息特別是個人信息的行為。歐盟《通用數(shù)據(jù)保護條例》專門規(guī)定了數(shù)據(jù)保護認證??梢灶A(yù)見,隨著數(shù)字經(jīng)濟的不斷發(fā)展壯大,數(shù)據(jù)安全認證必將在中國得到全面推行。
當前對于新興的數(shù)據(jù)安全認證的研究相對不足。中國建立了產(chǎn)品、服務(wù)、管理體系等認證制度,如強制性產(chǎn)品CCC認證、藥品GMP認證、商品售后服務(wù)認證、食品安全管理體系認證。學(xué)者們從產(chǎn)品質(zhì)量認證、藥品認證、認證機構(gòu)責(zé)任等方面進行了較多研究。(1)參見高國鈞:《強制性產(chǎn)品認證的經(jīng)濟法規(guī)制》,法律出版社2019年版;宋華琳:《行政法學(xué)視角下的認證制度及其改革——以藥品GMP認證為例》,載《浙江學(xué)刊》2018年第1期。另有一些學(xué)者探討了第三方規(guī)制、第三方審核、私人規(guī)制的基本原理,涉及認證的相關(guān)內(nèi)容。(2)See Timothy D. Lytton, Competitive Third-Party Regulation: How Private Certification Can Overcome Constraints That Frustrate Government Regulation, 15 Theoretical Inq. L. 539 (2014). Lesley K. McAllister, Regulation by Third-Party Verification, 53 B.C. L. Rev. 1 (2012). 劉亞平、游海疆:《“第三方規(guī)制”:現(xiàn)在與未來》,載《宏觀質(zhì)量研究》2017年第4期;高秦偉:《論政府規(guī)制中的第三方審核》,載《法商研究》2016年第6期;胡斌:《私人規(guī)制的行政法治邏輯:理念與路徑》,載《法制與社會發(fā)展》2017年第1期。在網(wǎng)絡(luò)法領(lǐng)域,少數(shù)學(xué)者探討了個人信息安全認證、人工智能安全認證、網(wǎng)絡(luò)安全認證等內(nèi)容。(3)See Shlomit Yanisky-Ravid & Sean K. Hallisey, Equality and Privacy by Design: A New Model of Artificial Intelligence Data Transparency via Auditing, Certification, and Safe Harbor Regimes, 46 Fordham Urb. L.J. 428 (2019). 陳星:《大數(shù)據(jù)時代軟件產(chǎn)品個人信息安全認證機制構(gòu)建》,載《重慶郵電大學(xué)學(xué)報(社會科學(xué)版)》2016年第2期;申永波:《關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全認證體系研究》,載《信息安全研究》2019年第9期。盡管同屬于認證,但傳統(tǒng)認證的一些理念與法律制度無法完全直接適用于數(shù)據(jù)安全認證。在數(shù)據(jù)成為新的生產(chǎn)要素的背景下,為了使數(shù)據(jù)安全認證真正能夠客觀、公正地發(fā)揮第三方評定職能,防止認證機構(gòu)被互聯(lián)網(wǎng)企業(yè)“俘獲”或成為政府的“附庸”,需要對數(shù)據(jù)安全認證體制機制進行整體的法治構(gòu)建。個人信息是數(shù)字時代涉及面最為廣泛的數(shù)據(jù),本文將主要以個人信息保護為視角,對數(shù)據(jù)安全認證的必要性、認證機構(gòu)資質(zhì)、認證機制運行、認證與政府規(guī)制的關(guān)系等問題進行系統(tǒng)研究,以期探索數(shù)據(jù)安全認證的法治之道。
數(shù)字時代日益得到廣泛適用的數(shù)據(jù)安全認證,既不屬于企業(yè)實施的自我規(guī)制,也不屬于傳統(tǒng)的政府規(guī)制。數(shù)據(jù)安全認證本質(zhì)上為第三方提供的社會化服務(wù),承擔(dān)著第三方規(guī)制的角色。構(gòu)建法治化的數(shù)據(jù)安全認證體制機制,不僅有利于保障數(shù)據(jù)安全,而且可以有效促進數(shù)字經(jīng)濟的規(guī)范健康發(fā)展。
數(shù)據(jù)安全認證,是指由認證機構(gòu)證明網(wǎng)絡(luò)服務(wù)、數(shù)據(jù)產(chǎn)品、管理體系等符合相關(guān)法律規(guī)范、技術(shù)標準、行業(yè)準則的評定活動,也稱為信息安全認證。數(shù)據(jù)安全認證主要面向數(shù)字經(jīng)濟產(chǎn)業(yè),通過第三方機構(gòu)客觀評定互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)處理行為的安全性,以提升互聯(lián)網(wǎng)企業(yè)的數(shù)據(jù)安全保障水平。相比于企業(yè)的自我規(guī)制和政府的行政規(guī)制而言,數(shù)據(jù)安全認證屬于第三方規(guī)制,可以有效克服市場與政府的“雙重失靈”。不同于傳統(tǒng)認證,數(shù)據(jù)安全認證的對象主要是網(wǎng)絡(luò)服務(wù)或數(shù)據(jù)產(chǎn)品,具有虛擬性和動態(tài)易變性的特征,認證難度更大。在認證標準上,數(shù)據(jù)安全認證側(cè)重于對互聯(lián)網(wǎng)企業(yè)現(xiàn)有的數(shù)據(jù)安全保障制度能力和過去的數(shù)據(jù)處理守法合規(guī)情況的評定。
數(shù)據(jù)安全認證不同于互聯(lián)網(wǎng)企業(yè)實施的數(shù)據(jù)保護活動,如個人信息風(fēng)險評估或個人信息保護影響評估。《個人信息保護法》第55條要求個人信息處理者在處理敏感個人信息、利用個人信息進行自動化決策、委托處理、向第三方提供或公開個人信息、向境外提供個人信息等情形下,均應(yīng)進行個人信息保護影響評估?!缎畔踩夹g(shù) 個人信息安全影響評估指南》對各類組織自行開展個人信息安全影響評估提供了標準指南。區(qū)別于企業(yè)的自身行為,數(shù)據(jù)安全認證最重要的特點是第三方機構(gòu)評價。
數(shù)據(jù)安全認證不屬于政府行為,同公權(quán)力機關(guān)實施的數(shù)據(jù)安全檢查、數(shù)據(jù)安全審查、網(wǎng)絡(luò)安全審查、行政許可等行為存在區(qū)別。首先,數(shù)據(jù)安全認證不同于數(shù)據(jù)安全檢查。政府職能部門可以對互聯(lián)網(wǎng)企業(yè)進行數(shù)據(jù)安全檢查,如開展數(shù)據(jù)安全專項整治活動。(4)參見黃鑫:《10月底前完成數(shù)據(jù)安全檢查,違法違規(guī)APP將無處藏身》,載《經(jīng)濟日報》2019年7月9日,第7版。2020年在工業(yè)和信息化部的統(tǒng)籌指導(dǎo)下,中國信息通信研究院組織建設(shè)了全國APP技術(shù)檢測平臺(https://app.caict.ac.cn/)。雖然在檢查過程中可以委托第三方機構(gòu)進行檢測,但數(shù)據(jù)安全檢查的性質(zhì)為行政檢查行為,而數(shù)據(jù)安全認證則屬于第三方評定行為,不屬于行政行為。數(shù)據(jù)安全認證以頒發(fā)認證標志為最終結(jié)果,而數(shù)據(jù)安全檢查后可能實施行政強制、行政處罰等措施。(5)參見《工信部通報下架67款侵害用戶權(quán)益App因未按時限要求完成整改》,載《互聯(lián)網(wǎng)天地》2021年第9期。其次,數(shù)據(jù)安全認證不同于數(shù)據(jù)安全審查。《數(shù)據(jù)安全法》第23條規(guī)定:“國家建立數(shù)據(jù)安全審查制度,對影響或者可能影響國家安全的數(shù)據(jù)處理活動進行國家安全審查。依法作出的安全審查決定為最終決定。”數(shù)據(jù)安全審查屬于政府行為,數(shù)據(jù)安全認證由第三方認證機構(gòu)實施。再次,數(shù)據(jù)安全認證不同于網(wǎng)絡(luò)安全審查。網(wǎng)絡(luò)安全審查側(cè)重于保護國家安全,由國家互聯(lián)網(wǎng)信息辦公室下設(shè)的網(wǎng)絡(luò)安全審查辦公室負責(zé)實施。網(wǎng)絡(luò)安全審查的條件為,關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),數(shù)據(jù)處理者開展數(shù)據(jù)處理活動,影響或可能影響國家安全。比如,2021年6月30日“滴滴出行”在美國上市,7月2日國家網(wǎng)信辦發(fā)布公告稱,為防范國家數(shù)據(jù)安全風(fēng)險,維護國家安全,依法對“滴滴出行”實施網(wǎng)絡(luò)安全審查。(6)參見曹彥君、楊松:《審查滴滴》,載《21世紀商業(yè)評論》2021年第8期。當前的數(shù)據(jù)安全審查、網(wǎng)絡(luò)安全審查等制度,都側(cè)重于維護國家安全。數(shù)據(jù)安全認證側(cè)重于評定企業(yè)的數(shù)據(jù)處理行為,對用戶造成的數(shù)據(jù)安全風(fēng)險。最后,數(shù)據(jù)安全認證不同于頒發(fā)資格證、資質(zhì)證等行政許可行為,也不同于對有關(guān)事實進行甄別而給予確定或證明的行政確認行為,而屬于第三方規(guī)制行為。
無論是對于個人信息的安全保障,還是對于數(shù)字經(jīng)濟的規(guī)范健康發(fā)展,數(shù)據(jù)安全認證都有著日益重要的時代價值。數(shù)據(jù)安全認證通過聲譽評價機制,可以引導(dǎo)、激勵互聯(lián)網(wǎng)企業(yè)守法合規(guī)經(jīng)營,可以增強用戶對中小微互聯(lián)網(wǎng)企業(yè)和新興數(shù)字產(chǎn)業(yè)的信任感,可以避免政府為保障數(shù)據(jù)安全而實施“一刀切”的規(guī)制,可以滿足社會公眾多元的數(shù)據(jù)安全需求。
其一,數(shù)據(jù)安全認證有利于引導(dǎo)、激勵數(shù)據(jù)處理者不斷提高數(shù)據(jù)安全保障水平。數(shù)據(jù)安全認證可以為互聯(lián)網(wǎng)企業(yè)套上“緊箍咒”。為了防止得不到認證或被撤銷認證,互聯(lián)網(wǎng)企業(yè)在外在壓力下會不斷提高自身的數(shù)據(jù)安全保障水平,以便不失去并不斷獲取更多的網(wǎng)絡(luò)用戶。通過第三方評定,數(shù)據(jù)安全認證可以起到對互聯(lián)網(wǎng)企業(yè)守法合規(guī)情況的規(guī)制功能,激勵其提高數(shù)據(jù)安全風(fēng)險管理水平,實現(xiàn)“超越合規(guī)遵從”。(7)See Andrew Hopkins, Beyond Compliance Monitoring: New Strategies for Safety Regulators, 29 Law & Pol'y 210, 222 (2007).通過第三方認證機構(gòu)對互聯(lián)網(wǎng)企業(yè)的數(shù)據(jù)安全進行評定,并頒發(fā)相關(guān)認證標志,有利于助推互聯(lián)網(wǎng)企業(yè)的數(shù)據(jù)處理自律。
其二,數(shù)據(jù)安全認證可以增強用戶對中小微互聯(lián)網(wǎng)企業(yè)和新興數(shù)字產(chǎn)業(yè)的信任感。在缺乏數(shù)據(jù)安全的網(wǎng)絡(luò)市場中,用戶更愿意相信知名、大型互聯(lián)網(wǎng)企業(yè),因為其數(shù)據(jù)安全保障水平相對較高,發(fā)生損害時也更有能力承擔(dān)賠償責(zé)任。但對于無數(shù)中小微互聯(lián)網(wǎng)企業(yè)提供的網(wǎng)絡(luò)產(chǎn)品或服務(wù),對于大量新興數(shù)字產(chǎn)業(yè),由于不被普通公眾所熟知而導(dǎo)致不被信任。獲得了數(shù)據(jù)安全認證,相當于獲得了商業(yè)信譽擔(dān)保,意味著更多的交易機會。(8)2019年公布的《數(shù)據(jù)安全管理辦法(征求意見稿)》第34條明確規(guī)定:“鼓勵搜索引擎、應(yīng)用商店等明確標識并優(yōu)先推薦通過認證的應(yīng)用程序”。比如,由于“算法黑箱”導(dǎo)致對人工智能產(chǎn)品存在莫名的恐懼,第三方認證機制可以增加公眾對使用人工智能系統(tǒng)的信任。(9)Shlomit Yanisky-Ravid & Sean K. Hallisey, Equality and Privacy by Design: A New Model of Artificial Intelligence Data Transparency via Auditing, Certification, and Safe Harbor Regimes, 46 Fordham Urb. L.J. 428, 486 (2019).通過數(shù)據(jù)安全認證,“企業(yè)不必再以低端的價格競爭策略占領(lǐng)市場”,(10)劉亞平、游海疆:《“第三方規(guī)制”:現(xiàn)在與未來》,載《宏觀質(zhì)量研究》2017年第4期。富有特色并得到良好認證標志聲譽保障的網(wǎng)絡(luò)服務(wù)或數(shù)據(jù)產(chǎn)品越來越多。
其三,數(shù)據(jù)安全認證可以避免政府嚴格的檢查監(jiān)控,可以緩解政府設(shè)定更嚴厲的法律義務(wù)與責(zé)任的壓力,防止政府出于保障數(shù)據(jù)安全實施“一刀切”的規(guī)制而阻礙數(shù)字科技的創(chuàng)新。(11)See Sarah Saadoun, Private and Voluntary: Are Social Certification Standards a Form of Backdoor Self-Regulation, 45 Colum. Hum. Rts. L. Rev. 281, 283 (2013).過多的義務(wù)與責(zé)任設(shè)置,尤其不利于中小微互聯(lián)網(wǎng)企業(yè)和新興數(shù)字產(chǎn)業(yè)的發(fā)展。因為這會對其帶來過大的數(shù)據(jù)合規(guī)成本與運營壓力,會導(dǎo)致少數(shù)互聯(lián)網(wǎng)寡頭企業(yè)的支配力與控制力進一步增強,從而不利于數(shù)字經(jīng)濟的良性健康發(fā)展。數(shù)據(jù)安全認證機制的建立,可以使更多的中小微互聯(lián)網(wǎng)企業(yè)有更多的機會公平地參與數(shù)據(jù)要素市場競爭,可以讓數(shù)據(jù)得到更加多元的高效流通利用,最終有利于促進數(shù)字經(jīng)濟的整體協(xié)調(diào)發(fā)展。
其四,數(shù)據(jù)安全認證發(fā)揮著聲譽評價的功能,可以運用專業(yè)知識幫助用戶作出更好的選擇,有利于滿足社會公眾多元的數(shù)據(jù)安全需求。當前數(shù)據(jù)處理中的告知同意機制日益流于形式。企業(yè)的隱私政策與協(xié)議大多冗長晦澀,數(shù)據(jù)主體往往沒有足夠的時間與耐心仔細閱讀所要同意的內(nèi)容,而且“就像處在計算機時代初期一樣”(12)Alessandro Mantelero, The future of consumer data protection in the E.U. Re-thinking the “notice and consent” paradigm in the new era of predictive analytics, 30 Computer Law & Security Review 643, 653 (2014).難以完全理解相關(guān)條款。信息分布不均妨害同意的認識基礎(chǔ),多環(huán)節(jié)的數(shù)據(jù)流通則進一步削弱了同意的有效性,同意決策容易陷入非理性。(13)參見丁曉強:《個人數(shù)據(jù)保護中同意規(guī)則的“揚”與“抑”——卡-梅框架視域下的規(guī)則配置研究》,載《法學(xué)評論》2020年第4期。個人自決的作用需要被重新考慮?!案嬷鈾C制步入困境,逐漸降低了數(shù)據(jù)保護的功能?!?14)劉權(quán):《論個人信息處理的合法、正當、必要原則》,載《法學(xué)家》2021年第5期。
數(shù)據(jù)安全認證通過事先的第三方專業(yè)評定,有助于解決信息不對稱問題,可以讓用戶更高效、更準確地作出選擇決定。根據(jù)數(shù)據(jù)安全認證機構(gòu)頒發(fā)的認證標志,網(wǎng)絡(luò)用戶可以快速識別相關(guān)服務(wù)或產(chǎn)品的數(shù)據(jù)保護安全水平。(15)See Rowena Rodrigues, David Barnard-Wills, Paul De Hert & Vagelis Papakonstantinou, The Future of Privacy Certification in Europe: An Exploration of Options under Article 42 of the GDPR, 30 Int'l Rev. L. Computers & Tech. 248 (2016).并且,相比于政府設(shè)定的單一性數(shù)據(jù)安全強制標準,認證機構(gòu)可以設(shè)定多元的靈活標準,可以單獨或聯(lián)合其他認證機構(gòu)制定數(shù)據(jù)安全多元標準,更好地利用“軟法”滿足不同群體的數(shù)據(jù)安全多元需求與偏好。“數(shù)據(jù)治理的普遍性、技術(shù)性、復(fù)雜性、應(yīng)時性,都在呼喚硬法與軟法的共同構(gòu)建?!?16)沈巋:《數(shù)據(jù)治理與軟法》,載《財經(jīng)法學(xué)》2020年第1期。不同群體對數(shù)據(jù)安全的敏感程度往往不同,愿意以更多個人信息換取便利的群體,可以選擇認證標準較低但符合現(xiàn)行法律規(guī)范的數(shù)據(jù)產(chǎn)品或網(wǎng)絡(luò)服務(wù)。反之,對數(shù)據(jù)安全更為敏感的群體,則可以選擇認證標準較高的數(shù)據(jù)產(chǎn)品或網(wǎng)絡(luò)服務(wù)。
數(shù)據(jù)安全認證行為具有公共性,不僅直接關(guān)系到個人信息安全,而且對整個數(shù)據(jù)要素市場的安全性與誠信度會產(chǎn)生直接影響。為了有效保障數(shù)據(jù)安全認證的客觀性與公正性,更好地實現(xiàn)其第三方規(guī)制功能,需要科學(xué)合理確定認證機構(gòu)的資質(zhì)。《數(shù)據(jù)安全法》第18條規(guī)定:“支持數(shù)據(jù)安全檢測評估、認證等專業(yè)機構(gòu)依法開展服務(wù)活動?!薄秱€人信息保護法》第62條提出“支持有關(guān)機構(gòu)”開展個人信息保護認證服務(wù)。那么,究竟具備什么條件的專業(yè)機構(gòu)或有關(guān)機構(gòu)才可以更好地開展數(shù)據(jù)安全認證呢?
首先,數(shù)據(jù)安全認證機構(gòu)應(yīng)具有獨立性,同互聯(lián)網(wǎng)企業(yè)間不應(yīng)存在利益關(guān)聯(lián)。在傳統(tǒng)認證的一些領(lǐng)域,認證亂象橫生,認證變成了利益交換。企業(yè)花錢提升自己的形象,認證機構(gòu)收錢牟利?!罢J證變認錢”并不少見,“給錢就能過,不給就刁難”。據(jù)相關(guān)調(diào)查發(fā)現(xiàn),在企業(yè)質(zhì)量管理體系認證、玩具產(chǎn)品認證、農(nóng)產(chǎn)品有機認證領(lǐng)域,“弄虛作假走過場司空見慣”,只要交錢“配合”就“包過”。(17)汕頭某玩具公司告訴記者,對于認證人員,“每人要給1000至1200元紅包,報銷路費沒有收據(jù),用信封裝給他們,這是多年的潛規(guī)則了。不給錢的話,就只能等著‘小卡卡’嘍?!眳⒁娒珎ズ?、劉宏宇、周琳、王海洋:《認證,還是認錢?——新華社記者調(diào)查暗訪認證市場》,載《質(zhì)量與認證》2014年第7期;吳學(xué)安:《認證不能變“認錢”》,載《中國消費者報》2020年4月9日,第1版。在2020年全球新冠肺炎疫情防控過程中,一些認證機構(gòu)“肆意牟利、虛假認證甚至買證賣證”,不僅破壞了認證市場秩序,而且還影響了口罩、防護服等防疫用品的順利出口,引發(fā)了市場監(jiān)管部門對防疫用品認證的專項整治。(18)《市場監(jiān)管部門專項整治防疫用品領(lǐng)域認證》,載《法治日報》2020年4月7日,第8版。認證機構(gòu)本應(yīng)作為獨立的第三方,為消費者提供客觀公正的評定信息幫助其作出更好的選擇,但卻同被認證對象串通損害消費者利益,認證行為變成了商業(yè)交易活動。這或許同認證機構(gòu)的組織形態(tài)有一定的關(guān)系。
對于數(shù)據(jù)安全認證機構(gòu)資質(zhì)的規(guī)定,應(yīng)特別注意消除企業(yè)型認證機構(gòu)可能存在的弊端。在自由競爭的成熟認證市場尚未形成之前,企業(yè)型認證機構(gòu)很難以獨立于被認證對象。為了緩解生存壓力,追求利潤最大化,企業(yè)型認證機構(gòu)很容易將認證變?yōu)橘嶅X的工具。企業(yè)型認證機構(gòu)很容易被“俘獲”,可能故意不遵守認證基本標準、違反認證程序、出具虛假認證結(jié)論,以獲取更多的客戶。嚴格按規(guī)則依法作出認證的認證機構(gòu)反而獲得的認證申請數(shù)量可能更少,最終要么被迫退出認證市場,要么退變?yōu)檫`法認證機構(gòu),“劣幣驅(qū)逐良幣”的檸檬認證市場由此形成。中國實行強制性產(chǎn)品認證統(tǒng)一收費制度,對于認證申請費、產(chǎn)品檢測費、工廠審查費、批準與注冊費、監(jiān)督復(fù)查費、年金、認證標志費等都作了明確的限定,企業(yè)型認證機構(gòu)尤其是民營企業(yè)型認證機構(gòu),面臨的生存壓力或許更大。(19)《國家發(fā)展改革委關(guān)于重新制定強制性產(chǎn)品認證收費標準的通知》(發(fā)改價格[2009]1034號)。由于違法認證而被處罰的,大量都為民營企業(yè)型認證機構(gòu)。(20)參見《國家認監(jiān)委對深圳中大國際認證有限公司作出撤銷認證機構(gòu)批準書的行政處罰》(國認罰〔2018〕第037號)、《國家認監(jiān)委對新標通檢驗認證(北京)有限公司作出撤銷認證機構(gòu)批準書的行政處罰》(國認罰〔2018〕第007號)、《國家認監(jiān)委對上海埃摩森認證有限公司作出責(zé)令停業(yè)整頓6個月的行政處罰》(國認罰〔2017〕第001號)等。因此應(yīng)當放寬認證機構(gòu)的準入門檻,強化自由競爭,充分發(fā)揮認證市場優(yōu)勝劣汰機制的調(diào)節(jié)功能。
其次,數(shù)據(jù)安全認證機構(gòu)應(yīng)獨立于政府。認證的本質(zhì)屬于第三方評價,是認證機構(gòu)在市場與消費者之間從事的居間活動。認證有利于引導(dǎo)市場資源配置,不同于行政確認、行政檢查等政府行為。如果認證機構(gòu)同政府有關(guān)聯(lián),會產(chǎn)生諸多消極后果。其一,認證機構(gòu)不獨立于政府會使得認證無法完全擺脫行政管理色彩和官僚主義弊端,導(dǎo)致“認證變管理”,甚至導(dǎo)致“認證異化為審批”。其二,如果由同政府有關(guān)聯(lián)的機構(gòu)實施認證,可能導(dǎo)致政府不當干預(yù)市場,引發(fā)利益輸送、權(quán)錢交易等腐敗行為,使得認證成為財政創(chuàng)收的新途徑,或成為少數(shù)公職人員中飽私囊的工具。其三,認證機構(gòu)同政府有關(guān)聯(lián)不利于提高認證服務(wù)效率與質(zhì)量。政府通過權(quán)力為其有關(guān)聯(lián)的認證機構(gòu)獲取認證資源,縱容甚至包庇違法認證行為,導(dǎo)致關(guān)聯(lián)性認證機構(gòu)不思進取,業(yè)務(wù)水平得不到提升,使得自由競爭的認證市場秩序被破壞,最終損害認證服務(wù)效率與質(zhì)量。
中國目前存在大量同政府有關(guān)聯(lián)的事業(yè)單位、國有企業(yè)型認證機構(gòu)。通過在全國認證認可信息公共服務(wù)平臺查詢可知,目前有效的認證機構(gòu)有904個,既包括事業(yè)單位,也包括國有企業(yè)和民營企業(yè),還包括社會組織。(21)認證機構(gòu)為事業(yè)單位的,如中國質(zhì)量認證中心、中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心、公安部第一研究所(中國安全技術(shù)防范認證中心)、中國綠色食品發(fā)展中心、應(yīng)急管理部消防產(chǎn)品合格評定中心、浙江清華長三角研究院,企業(yè)如北京賽迪認證中心有限公司、北京聚慧融智城市信息技術(shù)研究院有限公司、北京創(chuàng)源信誠管理體系認證有限公司、上海環(huán)科環(huán)境認證有限公司、廣州檢驗檢測認證集團,社會組織如世界中醫(yī)藥學(xué)會聯(lián)合會、中國教育國際交流協(xié)會等。參見全國認證認可信息公共服務(wù)平臺:http://cx.cnca.cn/CertECloud/institutionBody/authenticetionList,2021年11月8日最后訪問。其中,認證機構(gòu)數(shù)量最少的為社會組織,事業(yè)單位、國有企業(yè)和民營企業(yè)數(shù)量占絕大部分。同域外強調(diào)以政府為輔而實現(xiàn)法律遵從的第三方審核不同,在市場、社會發(fā)展不充分的情況下,中國的認證體制是在政府主導(dǎo)下自上而下確立的,同從市場出發(fā)的認證有著重要差別。(22)參見高秦偉:《論政府規(guī)制中的第三方審核》,載《法商研究》2016年第6期。在市場發(fā)展和政府職能轉(zhuǎn)變過程中,事業(yè)單位、國有企業(yè)型認證機構(gòu)在中國大量存在有一定的現(xiàn)實基礎(chǔ)。
盡管事業(yè)單位、國有企業(yè)型認證機構(gòu)由黨組織領(lǐng)導(dǎo)和行政機關(guān)管理,有一定的公共財政資金作為物質(zhì)保障,為了生存與牟利而進行違法認證的可能性會小很多,但卻無法完全消除認證機構(gòu)不獨立而存在的諸多弊端?!墩J證認可條例》第13條第1款規(guī)定:“認證機構(gòu)不得與行政機關(guān)存在利益關(guān)系?!薄懂a(chǎn)品質(zhì)量法》第20條要求,從事認證的社會中介機構(gòu),“不得與行政機關(guān)和其他國家機關(guān)存在隸屬關(guān)系或者其他利益關(guān)系?!薄蛾P(guān)于促進市場公平競爭維護市場正常秩序的若干意見》提出,“推進檢驗檢測認證機構(gòu)與政府脫鉤、轉(zhuǎn)制為企業(yè)或社會組織的改革”??梢姡嚓P(guān)法律特別重視認證機構(gòu)的獨立性。中國未來數(shù)據(jù)安全認證機構(gòu)的確立,應(yīng)獨立于政府,逐步減少同政府有關(guān)聯(lián)的認證機構(gòu)。
為了充分實現(xiàn)認證機構(gòu)的獨立性,應(yīng)加快培育社會組織型數(shù)據(jù)安全認證機構(gòu)。因為無論認證規(guī)則如何設(shè)計,不管認證市場如何完善,都無法完全消除企業(yè)型認證機構(gòu)為追求利潤最大化而作出的不客觀公正的認證,也無法總能保障與政府有關(guān)聯(lián)的事業(yè)單位型認證機構(gòu)獨立作出客觀、公正的認證。在國際上,很多有影響力的數(shù)據(jù)安全認證都是由非政府組織實施的。比如,在美國,為微軟、蘋果、雅虎等眾多網(wǎng)站提供隱私認證服務(wù)的TRUSTe,屬于美國商務(wù)網(wǎng)絡(luò)財團和電子前線基金會共同發(fā)起設(shè)立的獨立非盈利性組織。在日本,情報處理開發(fā)協(xié)會建立了P-MARK認證制度,通過認證授予隱私標識促使企業(yè)采取適當?shù)膫€人信息保護措施。(23)參見陳星:《大數(shù)據(jù)時代軟件產(chǎn)品個人信息安全認證機制構(gòu)建》,載《重慶郵電大學(xué)學(xué)報(社會科學(xué)版)》2016年第2期。致力于提升隱私保護從業(yè)人員職業(yè)技能的國際隱私保護專業(yè)人士協(xié)會(IAPP),設(shè)計了隱私保護專業(yè)人員認證(CIPP)、隱私保護經(jīng)理認證(CIPM)、隱私保護技術(shù)專家認證(CIPT)等獲得全球認可的隱私保護執(zhí)業(yè)資格認證制度。(24)參見白麗芳、崔占華:《國際IAPP認證對我國個人信息保護認證制度的啟示》,載《網(wǎng)絡(luò)空間安全》2019年第3期。
數(shù)據(jù)保護的國際實踐表明,社會組織型認證機構(gòu)可以克服企業(yè)型、事業(yè)單位型認證機構(gòu)的諸多弊端,能夠較為獨立地開展認證工作。然而,中國公民社會并不發(fā)達,大量社會組織存在“信任危機”?!皣覍τ谛袠I(yè)協(xié)會等社會組織的控制一直較為嚴苛,自始缺乏社會自治的歷史傳統(tǒng)?!?25)盧超:《事中事后監(jiān)管改革:理論、實踐及反思》,載《中外法學(xué)》2020年第3期。由于依附型的“臣民文化”,以及政府擔(dān)心社會組織發(fā)展失控而采取的“控制型管理取向”,(26)參見王湘軍:《國家治理現(xiàn)代化視域下“放管服”改革研究——基于5省區(qū)6地的實地調(diào)研》,載《行政法學(xué)研究》2018年第4期。使得中國當前真正獨立的社會組織并不多。一些社會組織甚至淪為“衙門”,沾染了行政機關(guān)的各種習(xí)氣,無法真正發(fā)揮第三方規(guī)制的獨特功能。(27)參見胡斌:《私人規(guī)制的行政法治邏輯:理念與路徑》,載《法制與社會發(fā)展》2017年第1期?!毒W(wǎng)絡(luò)安全法》第17條規(guī)定,“國家推進網(wǎng)絡(luò)安全社會化服務(wù)體系建設(shè),鼓勵有關(guān)企業(yè)、機構(gòu)開展網(wǎng)絡(luò)安全認證、檢測和風(fēng)險評估等安全服務(wù)。”《個人信息保護法》第62條明確將認證作為“個人信息保護社會化服務(wù)體系建設(shè)”的重要組成部分。未來數(shù)據(jù)安全認證體制的構(gòu)建,需要特別重視培育具有獨立性的社會組織型數(shù)據(jù)安全認證機構(gòu)。
數(shù)據(jù)安全認證是一項專業(yè)性極強的工作,只有符合相應(yīng)專業(yè)資質(zhì)并得到政府認可的機構(gòu),才能從事認證工作。當前數(shù)據(jù)濫用違法犯罪行為種類多樣且日新月異,具有極強的隱蔽性與復(fù)雜性。數(shù)據(jù)安全認證不同于對普通產(chǎn)品、服務(wù)或管理體系的認證,認證人員既須精通法律又須熟知數(shù)字科技。沒有高度專業(yè)性的認證機構(gòu),難以作出權(quán)威客觀的認證。中國目前對于數(shù)據(jù)安全認證,并沒有專門的法律,《數(shù)據(jù)安全法》《個人信息保護法》中的相關(guān)條款極為簡單,或許只能適用《認證認可條例》《認證機構(gòu)管理辦法》等規(guī)定。當前成為認證機構(gòu)須經(jīng)國務(wù)院認證認可監(jiān)督管理部門批準,主管全國認證工作的機構(gòu)為中國國家認證認可監(jiān)督管理委員會?!墩J證認可條例》第10條對認證機構(gòu)的資質(zhì)作了五項規(guī)定,要求取得法人資格、有固定的場所和必要的設(shè)施、有符合認證要求的管理制度、注冊資本不少于300萬元和有相關(guān)專職認證人員10名以上。
在歐盟,《通用數(shù)據(jù)保護條例》第43條要求數(shù)據(jù)保護認證機構(gòu)得到成員國的官方認可,并同時規(guī)定了成為認證機構(gòu)的五項條件:(a)證明其對認證事項的獨立性和專業(yè)性符合監(jiān)管機構(gòu)的要求;(b)承諾遵守相關(guān)準則;(c)建立了簽發(fā)、定期檢查和撤回數(shù)據(jù)保護認證、印章、標志的程序;(d)建立了公開透明的處理投訴機制;(e)證明其任務(wù)與職責(zé)不會導(dǎo)致利益沖突,并且符合監(jiān)管機構(gòu)的要求。相比歐盟對數(shù)據(jù)保護認證機構(gòu)的資質(zhì)更注重軟性制度條件而言,中國更加強調(diào)認證機構(gòu)的人、財、物等硬性條件。在認證市場不夠成熟的情境下,一定人員數(shù)量和相應(yīng)物質(zhì)基礎(chǔ)的要求,在某種程度上有利于保障認證的質(zhì)量,但不宜過度強調(diào)。為了保障數(shù)據(jù)安全認證機構(gòu)的專業(yè)性,需要結(jié)合數(shù)字時代新的生產(chǎn)要素數(shù)據(jù)和數(shù)據(jù)處理行為的特點,對其設(shè)立條件、人員構(gòu)成、程序機制、物質(zhì)要求等事項作出特殊的具體規(guī)定。
數(shù)據(jù)安全認證機構(gòu)可以通過同檢測機構(gòu)合作,彌補自身專業(yè)性不足。認證機構(gòu)具有相關(guān)專業(yè)知識可以做出合規(guī)判斷,但不一定具備相關(guān)技術(shù)檢測能力。專業(yè)檢測機構(gòu)可以承擔(dān)具體檢測技術(shù)工作,但安全認證證書應(yīng)由認證機構(gòu)頒發(fā)。比如,2018年國家認監(jiān)委和國家網(wǎng)信辦發(fā)布《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認證實施規(guī)則》,要求相關(guān)產(chǎn)品生產(chǎn)企業(yè)向經(jīng)確認的認證機構(gòu)提出安全認證申請,并規(guī)定由信息產(chǎn)業(yè)信息安全測評中心、國家保密科技測評中心、公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心等8家檢測機構(gòu)為認證機構(gòu)提供檢測服務(wù)。再如,2019年市場監(jiān)管總局、中央網(wǎng)信辦發(fā)布《關(guān)于開展App安全認證的公告》,確定中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心為App的安全認證機構(gòu),其根據(jù)認證業(yè)務(wù)需要和技術(shù)能力確立檢測機構(gòu),防止數(shù)據(jù)安全認證機構(gòu)“有名無實”不承擔(dān)實質(zhì)認證工作,變相將認證業(yè)務(wù)“轉(zhuǎn)包”“分包”給相關(guān)檢測機構(gòu)。為了更高效、更負責(zé)任地開展數(shù)據(jù)安全認證工作,應(yīng)不斷提高認證機構(gòu)的專業(yè)知識與技術(shù)能力,逐漸實現(xiàn)認證機構(gòu)與檢測機構(gòu)的合一。
客觀公正的數(shù)據(jù)安全認證不僅有賴于獨立、專業(yè)的認證機構(gòu),而且需要科學(xué)合理的認證機制。相比于對普通的實體產(chǎn)品、線下服務(wù)、管理體系的認證,數(shù)據(jù)安全認證往往面對的是網(wǎng)絡(luò)服務(wù)、數(shù)據(jù)產(chǎn)品,其認證機制具有較大的特殊性。對于數(shù)據(jù)安全認證啟動、實施程序、認證標準、認證跟蹤監(jiān)督、認證責(zé)任分配,需要進行有效的法律制度設(shè)計。
啟動程序是開展數(shù)據(jù)安全認證的首要環(huán)節(jié)。究竟是實行自愿申請認證還是強制認證,還存在分歧。2019年公布的《數(shù)據(jù)安全管理辦法(征求意見稿)》第34條規(guī)定“國家鼓勵網(wǎng)絡(luò)運營者自愿通過數(shù)據(jù)安全管理認證和應(yīng)用程序安全認證”,擬確立自愿認證模式。在實踐中,2019年中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場監(jiān)管總局發(fā)布《關(guān)于開展App違法違規(guī)收集使用個人信息專項治理的公告》,第5條要求“開展App個人信息安全認證,鼓勵A(yù)pp運營者自愿通過App個人信息安全認證”。此種個人信息安全認證名義上是自愿的,但實際上帶有一定的單方強制性,屬于政府組織實施的個人信息專項治理行動的一個環(huán)節(jié)。歐盟確立了數(shù)據(jù)保護認證的自愿機制?!锻ㄓ脭?shù)據(jù)保護條例》序言第100項規(guī)定,鼓勵建立認證機制和使用數(shù)據(jù)保護印章、標記,以使數(shù)據(jù)主體能夠快速評估相關(guān)產(chǎn)品和服務(wù)的數(shù)據(jù)保護水平。其第42條第3項明確規(guī)定:“認證應(yīng)當是自愿的,并且可通過透明的程序獲得”。
對于中國的數(shù)據(jù)安全認證,宜實行自愿認證和強制認證相結(jié)合。其一,盡管數(shù)據(jù)安全認證對于個人、互聯(lián)網(wǎng)企業(yè)、政府等都有諸多價值,但如果一律實行強制認證,不但會違背認證的第三方評定本質(zhì),使得認證異化為另一種形式的審批,而且還會給認證對象造成一定的負擔(dān)。是否申請認證,一般情況下應(yīng)交由互聯(lián)網(wǎng)企業(yè)自主選擇。其二,限定條件實行數(shù)據(jù)安全強制認證,更有利于保障數(shù)據(jù)安全。中國目前數(shù)據(jù)濫用現(xiàn)象還比較突出,數(shù)據(jù)安全法律體系并不健全,部分領(lǐng)域?qū)嵭袕娭菩哉J證,可以為網(wǎng)絡(luò)用戶提供必要的辨明信息,減少重要數(shù)據(jù)的安全風(fēng)險。歐盟之所以實行數(shù)據(jù)保護自愿認證,原因可能主要在于《通用數(shù)據(jù)保護條例》為數(shù)據(jù)主體賦予了強大的權(quán)利,對數(shù)據(jù)處理設(shè)定了嚴格的條件與程序,而且設(shè)定了重罰機制,可以較好地保障數(shù)據(jù)安全。其三,數(shù)據(jù)安全自愿認證和強制認證相結(jié)合,更符合中國認證的法治實踐。在中國傳統(tǒng)認證領(lǐng)域,認證實行自愿和強制相結(jié)合?!墩J證認可條例》第18條規(guī)定“任何法人、組織和個人可以自愿委托依法設(shè)立的認證機構(gòu)進行產(chǎn)品、服務(wù)、管理體系認證”,但同時第27條規(guī)定“為了保護國家安全、防止欺詐行為、保護人體健康或者安全、保護動植物生命或者健康、保護環(huán)境”,對相關(guān)產(chǎn)品實施強制認證。在網(wǎng)絡(luò)安全領(lǐng)域,《網(wǎng)絡(luò)安全法》第23條規(guī)定,對于網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品,“由具備資格的機構(gòu)安全認證合格或者安全檢測符合要求后,方可銷售或者提供?!?018年,國家認監(jiān)委、國家網(wǎng)信辦發(fā)布《關(guān)于網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認證實施要求的公告》,專門組織安全認證,認證對象包括路由器、交換機、服務(wù)器等網(wǎng)絡(luò)關(guān)鍵設(shè)備,以及數(shù)據(jù)備份一體機、防火墻(硬件)、安全數(shù)據(jù)庫系統(tǒng)等網(wǎng)絡(luò)安全專用產(chǎn)品。此種網(wǎng)絡(luò)安全認證主要是對同網(wǎng)絡(luò)有關(guān)的實體產(chǎn)品的認證,可受傳統(tǒng)強制性產(chǎn)品認證制度的調(diào)整,但實際上也可納入數(shù)據(jù)安全強制認證的范疇。
實證研究表明,強制認證可以增強創(chuàng)新能力、提升管理能力和增加自愿認證,“對企業(yè)生產(chǎn)率具有顯著正效應(yīng)”。(28)羅連發(fā):《政府規(guī)制對企業(yè)生產(chǎn)率的影響——基于我國強制認證制度的一個實證分析》,載《西北師大學(xué)報(社會科學(xué)版)》2020年第4期?!秱€人信息保護法》對某些信息處理行為,實際上已經(jīng)確立了強制認證制度。其第38條規(guī)定,個人信息處理者因業(yè)務(wù)等需要向境外提供個人信息的,應(yīng)當“經(jīng)專業(yè)機構(gòu)進行個人信息保護認證”。為了更符合中國國情,為了更好地保障數(shù)據(jù)安全并促進數(shù)字經(jīng)濟的規(guī)范健康發(fā)展,宜實行自愿為主、強制為輔的數(shù)據(jù)安全認證制度??梢愿鶕?jù)新經(jīng)濟的不同業(yè)態(tài)和不同的數(shù)據(jù)處理行為,區(qū)分場景確立是否應(yīng)當強制認證。對于事關(guān)個人、組織重要權(quán)利的一些重要數(shù)據(jù)或敏感數(shù)據(jù)的處理,或許需要進行強制認證。國家對于數(shù)據(jù)安全強制認證,應(yīng)定期發(fā)布統(tǒng)一目錄,統(tǒng)一相關(guān)技術(shù)標準和合格評定程序,統(tǒng)一認證標志,統(tǒng)一收費標準。強制認證可以彌補自愿認證的不足,有助于防范重大風(fēng)險,防止造成難以挽回的損害。然而,強制認證只應(yīng)當是特定階段的產(chǎn)物。隨著“放管服”改革的不斷推進和認證制度的不斷發(fā)展成熟,數(shù)據(jù)安全強制認證的范圍應(yīng)當不斷縮小。
對于申請數(shù)據(jù)安全認證的條件,需要做一些否定性的排除規(guī)定。如果在過去合理期間內(nèi)發(fā)生過數(shù)據(jù)安全違法違規(guī)事件,或存在相關(guān)認證標志被撤銷等情形,應(yīng)禁止在特定時期內(nèi)申請認證。因為除了評估當前的數(shù)據(jù)安全保障水平,互聯(lián)網(wǎng)企業(yè)過去守法合規(guī)的情況,也是認證機構(gòu)考察的重要內(nèi)容。認證具有信譽擔(dān)保的色彩,評價過去的行為可以有效預(yù)測未來。通過評價過去合理期間的行為,可以倒逼認證對象持續(xù)積累守法合規(guī)的商業(yè)信譽?!兑苿踊ヂ?lián)網(wǎng)應(yīng)用程序(App)安全認證實施規(guī)則》規(guī)定,在12個月內(nèi)發(fā)生重大信息安全事件、所持同類證書在撤銷認證影響期內(nèi)等情形存在時,App運營者不得申請認證。由于互聯(lián)網(wǎng)行業(yè)變化極快,所以認證申請條件所涉及的過去期間應(yīng)合理設(shè)置。
科學(xué)合理的數(shù)據(jù)安全認證程序,不僅可以提高認證效率,而且有利于保障認證結(jié)果的準確性與公正性。由于大多涉及無形的網(wǎng)絡(luò)服務(wù)或數(shù)據(jù)產(chǎn)品,數(shù)據(jù)安全認證程序同普通認證程序存在一定的差別,更注重對網(wǎng)絡(luò)科技和數(shù)據(jù)安全保障制度的評定。相比于行政程序,數(shù)據(jù)安全認證實施程序更為靈活高效,但也更容易出現(xiàn)問題。作為第三方規(guī)制的數(shù)據(jù)安全認證具有公共性,應(yīng)當保障認證過程具有充分的透明性和公眾參與度。認證的實施程序應(yīng)當吸收“正當法律程序”的精神,滿足自然正義的基本要求,重視說明理由,聽取陳述、辯解,建立健全完善的認證信息披露機制。(29)同前注,胡斌文。應(yīng)防止認證程序流于形式,認證也不能僅限于審核書面材料,必須通過軟件檢測等多種技術(shù)進行驗證。(30)參見易斌、潘亞南:《網(wǎng)絡(luò)個人信息隱私認證機制探討》,載《情報理論與實踐》2012年第5期。
在應(yīng)用程序安全認證的實踐中,《移動互聯(lián)網(wǎng)應(yīng)用程序(App)安全認證實施規(guī)則》規(guī)定的主要認證環(huán)節(jié)分為三部分:技術(shù)驗證+現(xiàn)場核查+獲證后監(jiān)督。對于網(wǎng)絡(luò)服務(wù)或數(shù)據(jù)產(chǎn)品,數(shù)據(jù)安全認證的一般實施程序可以從以下幾個方面展開:(1)受理。認證機構(gòu)對申請資料進行審核后作出是否受理的決定。(2)技術(shù)驗證。通過實驗室檢測和現(xiàn)場核查等方式進行。檢測機構(gòu)按照技術(shù)驗證規(guī)范實施技術(shù)驗證,并出具技術(shù)驗證報告。(3)現(xiàn)場審核。認證機構(gòu)對互聯(lián)網(wǎng)企業(yè)進行現(xiàn)場審核,對相關(guān)問題進行實地調(diào)查核實,出具現(xiàn)場審核報告。(4)認證決定。根據(jù)申請材料、技術(shù)驗證結(jié)論、現(xiàn)場審核結(jié)論等進行綜合評定,決定是否通過認證。(5)頒發(fā)認證證書。對于有形網(wǎng)絡(luò)產(chǎn)品的認證程序略有不同,需要線下隨機抽取樣本進行客觀評定。比如,《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認證實施規(guī)則》規(guī)定,對網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認證的認證模式為:型式試驗+工廠檢查+獲證后監(jiān)督。型式試驗程序要求認證機構(gòu)從生產(chǎn)線、倉庫、市場等地隨機抽取產(chǎn)品,按相應(yīng)產(chǎn)品有關(guān)國家標準進行型式試驗并提交報告。工廠檢查要求認證機構(gòu)到工廠,對信息安全保障能力、質(zhì)量保證能力、產(chǎn)品一致性進行檢查。
對于數(shù)據(jù)安全的認證標準,除了包括具有強制力的國家法律規(guī)范,還應(yīng)包括國家推薦性標準、行業(yè)標準、國際通用標準、認證機構(gòu)制定的標準等。比如,對應(yīng)用程序進行技術(shù)驗證和現(xiàn)場審核的依據(jù)均為GB/T 35273《信息安全技術(shù) 個人信息安全規(guī)范》,屬于全國信息安全標準化技術(shù)委員會發(fā)布的推薦性國家標準。國際著名標準也可以成為數(shù)據(jù)安全的認證標準。比如,信息安全管理ISO27001國際標準,采用PDCA過程方法,基于風(fēng)險評估的風(fēng)險管理理念,對企業(yè)是否建立科學(xué)有效的信息安全管理體系進行認證。此外,數(shù)據(jù)安全認證機構(gòu)可以結(jié)合數(shù)字產(chǎn)業(yè)實際,建立健全自己的認證標準體系,彌補標準空白、滯后或提高標準,以引導(dǎo)數(shù)據(jù)安全保障。
在數(shù)據(jù)安全認證的時間跨度上,既應(yīng)對互聯(lián)網(wǎng)企業(yè)過去合理期間內(nèi)的守法合規(guī)情況進行審查,也應(yīng)對認證當時的組織機構(gòu)設(shè)置、人員配備、隱私政策、技術(shù)措施等數(shù)據(jù)安全保障制度作出評估。一旦經(jīng)過全面評估認定符合認證標準,就應(yīng)當作出認證決定,及時頒發(fā)認證證書。對于認證標志的使用期限,《通用數(shù)據(jù)保護條例》規(guī)定認證的有效期最長為3年。如果相關(guān)要求繼續(xù)滿足,在相同條件下可以續(xù)期。對于中國數(shù)據(jù)安全認證的有效期,需要區(qū)分不同的認證領(lǐng)域與事項,結(jié)合數(shù)字科技易變的特點,根據(jù)具體情況合理確立認證標志的有效期。另外,應(yīng)推動建立健全數(shù)據(jù)安全認證國際互認體系,促進數(shù)字經(jīng)濟更好地在海外發(fā)展。
應(yīng)確立完善的認證程序和結(jié)果異議機制。如果數(shù)據(jù)安全認證機構(gòu)違反認證規(guī)則規(guī)定的程序,隨意增加、減少、遺漏認證程序,認證申請人可以要求重新認證,并可以向相關(guān)部門舉報投訴。即使認證程序合法,但認證結(jié)果也可能不夠客觀、公正,所以公開透明的認證異議處理機制十分必要。如果對認證決定有異議,應(yīng)當允許認證申請人提出申訴。認證機構(gòu)應(yīng)及時公正處理申請人對認證程序和決定的異議,并書面告知其最終處理結(jié)果。
跟蹤監(jiān)督對于數(shù)據(jù)安全認證尤其重要,因為數(shù)字科技瞬息萬變,網(wǎng)絡(luò)安全新隱患不斷出現(xiàn)?!罢J證即過時”可能是常態(tài)。并且,網(wǎng)絡(luò)服務(wù)、數(shù)字產(chǎn)品更新?lián)Q代很快,被認證對象在獲得認證后會有很多新辦法濫用數(shù)據(jù)。既然認證機構(gòu)頒發(fā)了認證標志,就應(yīng)當對其使用負有跟蹤監(jiān)督的義務(wù)。一旦不符合認證標志使用條件就應(yīng)當及時作出相應(yīng)處理,否則就可能面臨相應(yīng)的制裁。如北京中大華遠認證中心訴鹽城市亭湖區(qū)市場監(jiān)督管理局案,法院認為,認證機構(gòu)“未進行有效跟蹤”,導(dǎo)致其發(fā)放的認證證書已過期但仍在持續(xù)被使用,所以監(jiān)管機構(gòu)的處罰并無不當。(31)參見鹽城市中級人民法院(2017)蘇09行終134號行政判決書。李星星:《認證機構(gòu)具有對其認證進行監(jiān)督的責(zé)任》,載《人民司法》(案例)2018年第20期。對于跟蹤監(jiān)督的方式,可采取日常監(jiān)督與專項監(jiān)督相結(jié)合的方式。比如,《移動互聯(lián)網(wǎng)應(yīng)用程序(App)安全認證實施規(guī)則》要求,認證機構(gòu)對獲證App和App運營者,從獲證App一致性檢查、更新情況、標志使用情況、企業(yè)自評估情況、被舉報投訴和社會媒體曝光情況等方面進行持續(xù)的日常監(jiān)督,并形成日常監(jiān)督報告。如果出現(xiàn)獲證App存在個人信息安全問題并經(jīng)查實獲證App運營者負有責(zé)任時,或組織架構(gòu)、服務(wù)模式等發(fā)生重大變更時,或發(fā)生破產(chǎn)并購等可能影響App認證特性符合性時,認證機構(gòu)應(yīng)啟動專項監(jiān)督。
認證機構(gòu)屬于第三方評定機構(gòu),發(fā)現(xiàn)被認證對象存在不符合法律、相關(guān)標準時,無權(quán)直接命令認證對象采取相關(guān)措施,但可以及時向有關(guān)主管部門報告。當前數(shù)據(jù)安全認證實踐的一些做法可能并不是特別妥當,例如《移動互聯(lián)網(wǎng)應(yīng)用程序(App)安全認證實施規(guī)則》規(guī)定:“發(fā)現(xiàn)不符合時,認證機構(gòu)向認證申請方出具不符合報告,并要求限期整改;逾期未完成整改的,中止認證過程。”不管是認證機構(gòu)還是檢測機構(gòu),都無權(quán)要求認證對象限期整改或發(fā)布其他命令,因為認證不屬于行政檢查或行政審批行為,一般只能按照認證合同約定進行處理。但認證機構(gòu)要求改正應(yīng)當注意一定的度,該撤銷認證的就應(yīng)撤銷,否則可能導(dǎo)致更多的違法違規(guī)行為。
由于認證機構(gòu)獲取信息有限,而且數(shù)字科技變化極快,可嘗試建立網(wǎng)絡(luò)用戶投訴舉報機制,以彌補跟蹤監(jiān)督信息的匱乏。美國TRUSTe認證機構(gòu)建立了看門狗爭端解決程序,在線接受投訴對被認證網(wǎng)站不能適當處理的隱私糾紛進行解決。如果被認證網(wǎng)站不接受最終決定有效保障隱私,就會被撤銷認證標志,并被列入“不守規(guī)矩的網(wǎng)站”名單。(32)參見陳星:《大數(shù)據(jù)時代軟件產(chǎn)品個人信息安全認證機制構(gòu)建》,載《重慶郵電大學(xué)學(xué)報(社會科學(xué)版)》2016年第2期。對于用戶就數(shù)據(jù)安全問題的投訴舉報,認證機構(gòu)有義務(wù)予以深入調(diào)查核實,以準確判斷認證標志是否符合繼續(xù)使用的條件。對于數(shù)據(jù)安全認證跟蹤監(jiān)督的最終處理,可以作出繼續(xù)使用認證標志、限期糾正、暫停使用認證標志、撤銷認證標志等決定。
數(shù)據(jù)安全認證有一定的特殊性,應(yīng)科學(xué)合理確立數(shù)據(jù)安全認證機構(gòu)的法律責(zé)任。在傳統(tǒng)認證領(lǐng)域,認證機構(gòu)的民事責(zé)任主要可以分為相應(yīng)的賠償責(zé)任和連帶責(zé)任。首先,對于虛假認證或認證結(jié)論嚴重失實造成損害的,法律一般規(guī)定認證機構(gòu)應(yīng)承擔(dān)相應(yīng)的賠償責(zé)任?!墩J證認可條例》第61條規(guī)定,對于出具虛假的認證結(jié)論,或者出具的認證結(jié)論嚴重失實的,造成損害的,“認證機構(gòu)應(yīng)當承擔(dān)相應(yīng)的賠償責(zé)任”?!懂a(chǎn)品質(zhì)量法》第57條第2款同樣規(guī)定,對于不實認證“應(yīng)當承擔(dān)相應(yīng)的賠償責(zé)任”。然而,由于法律規(guī)定寬泛模糊,對于如何讓認證機構(gòu)承擔(dān)“相應(yīng)的賠償責(zé)任”,判斷標準并不明確。其次,對于違反認證的跟蹤監(jiān)督義務(wù),法律一般規(guī)定承擔(dān)連帶責(zé)任?!墩J證認可條例》第73條規(guī)定,認證機構(gòu)沒有進行有效的跟蹤調(diào)查,或者發(fā)現(xiàn)不再符合認證要求而沒有及時采取措施造成損失的,“與生產(chǎn)者、銷售者承擔(dān)連帶責(zé)任”?!懂a(chǎn)品質(zhì)量法》第57條第3款作了同樣的連帶責(zé)任規(guī)定。
從認證環(huán)節(jié)上分,可以將數(shù)據(jù)安全認證機構(gòu)的責(zé)任,主要分為數(shù)據(jù)安全認證責(zé)任和認證后的跟蹤監(jiān)督責(zé)任,分別對應(yīng)相應(yīng)的賠償責(zé)任和連帶責(zé)任。對于數(shù)據(jù)安全認證的歸責(zé)原則,應(yīng)確立過錯責(zé)任原則,而非嚴格責(zé)任原則,因為認證只是第三方評價,損害的發(fā)生主要源于認證對象的數(shù)據(jù)違法行為,如果認證機構(gòu)不存在過錯就不應(yīng)承擔(dān)民事責(zé)任。由認證機構(gòu)承擔(dān)無過錯責(zé)任,不僅有失公平,在事實上也難以完全實現(xiàn),因為認證機構(gòu)無力承擔(dān)普遍累計而形成的巨額賠償費用,而且無過錯責(zé)任還可能阻礙認證市場的健康發(fā)展。如果數(shù)據(jù)安全認證機構(gòu)故意進行虛假認證,屬于特殊的幫助侵權(quán)行為,相應(yīng)的賠償責(zé)任應(yīng)界定為連帶責(zé)任。如果由于沒有盡到合理的審核義務(wù)等過失導(dǎo)致認證結(jié)果失實的,數(shù)據(jù)安全認證機構(gòu)應(yīng)承擔(dān)補充責(zé)任。如果數(shù)據(jù)安全認證機沒有及時履行跟蹤監(jiān)督的法定作為義務(wù),應(yīng)承擔(dān)連帶責(zé)任,此種責(zé)任屬于“特殊不作為義務(wù)連帶責(zé)任類型”。(33)王竹、鐘琴:《論產(chǎn)品質(zhì)量檢驗、認證機構(gòu)侵權(quán)責(zé)任——以本次〈消費者權(quán)益保護法〉的修改為中心》,載《東方法學(xué)》2013年第5期。
為了更好地保障數(shù)據(jù)安全認證的客觀準確性,應(yīng)加強對數(shù)據(jù)安全認證違法行為的公法責(zé)任的設(shè)置與追究。盡管通過民事賠償可以彌補數(shù)據(jù)認證造成的損害,但數(shù)據(jù)安全認證的私法責(zé)任存在一定限度。首先,數(shù)據(jù)安全認證違法行為具有極強的隱蔽性與專業(yè)性,受害者很多時候可能并不知情,即使知道也難以進行有效舉證。其次,難以證明數(shù)據(jù)認證違法行為同損害存在因果關(guān)系。由于數(shù)據(jù)具有非獨占性和可無限復(fù)制性的特點,損害可能是由其他眾多主體通過多種途徑違法獲取數(shù)據(jù)造成的,所以要證明損害同違法認證、互聯(lián)網(wǎng)企業(yè)濫用數(shù)據(jù)存在因果關(guān)系往往比較困難。最后,損害難以確定。對于數(shù)據(jù)違法造成的損害,往往難以量化,如對具有人格權(quán)特性的個人信息的侵犯,而且即使可以量化,損害可能并不大,數(shù)據(jù)認證機構(gòu)、互聯(lián)網(wǎng)企業(yè)的賠償數(shù)額十分有限,違法成本可能很低。
因此,需要對數(shù)據(jù)安全認證機構(gòu)設(shè)定較重的公法責(zé)任,以彌補數(shù)據(jù)安全私法責(zé)任的限度。通過設(shè)定大額行政罰款,可以提高違法成本,形成威懾效應(yīng),從而有利于減少數(shù)據(jù)安全認證違法行為?!锻ㄓ脭?shù)據(jù)保護條例》設(shè)定了重罰機制,其第83條規(guī)定,如果數(shù)據(jù)保護認證機構(gòu)違反法定義務(wù),可能被處以1000萬歐元或上一財政年度全球營業(yè)總額2%的巨額行政處罰。《個人信息保護法》雖然對于違法處理個人信息的行為,設(shè)定了高達5000萬元或者上一年度5%的罰款,但并沒有專門對違法認證作出責(zé)任規(guī)定?;诔杀臼找嬖砗拓惾~斯納什均衡,罰款金額越高,即便在被處罰的概率下降的情況下,也越能有效遏制違法行為。(34)參見孫瑩:《大規(guī)模侵害個人信息高額罰款研究》,載《中國法學(xué)》2020年第5期。除了可以借鑒域外數(shù)據(jù)保護經(jīng)驗加重行政責(zé)任外,還需要合理設(shè)定數(shù)據(jù)安全認證機構(gòu)的刑事責(zé)任,但應(yīng)保持刑罰的謙抑性,防止對數(shù)據(jù)安全認證市場發(fā)展和數(shù)字科技創(chuàng)新造成毀滅性破壞。
數(shù)據(jù)安全認證體制機制的法治構(gòu)建,實際上體現(xiàn)了數(shù)字時代個人信息保護的新探索,反映了傳統(tǒng)政府職能與規(guī)制方式的深刻轉(zhuǎn)變。在數(shù)字時代,數(shù)據(jù)的價值得到空前凸顯,數(shù)據(jù)已經(jīng)成為了新的關(guān)鍵生產(chǎn)要素而具有重要的商業(yè)價值。(35)參見劉權(quán):《論網(wǎng)絡(luò)平臺的數(shù)據(jù)報送義務(wù)》,載《當代法學(xué)》2019年第5期;劉權(quán):《政府數(shù)據(jù)開放的立法路徑》,載《暨南學(xué)報(哲學(xué)社會科學(xué)版)》2021年第1期。“得數(shù)據(jù)者得天下”。(36)[美]伊恩·艾瑞斯:《大數(shù)據(jù):思維與決策》,宮相真譯,人民郵電出版社2014年版,第63頁。然而,當前法治化的數(shù)據(jù)要素市場并未完全形成,過度收集、利用數(shù)據(jù)的違法甚至犯罪現(xiàn)象還比較常見,但傳統(tǒng)的政府規(guī)制弊端凸顯。作為第三方規(guī)制的數(shù)據(jù)安全認證,不僅對個人信息保護和數(shù)字經(jīng)濟發(fā)展具有重要價值,而且實際上是彌補數(shù)字時代政府規(guī)制缺陷的現(xiàn)實需要,是深化“放管服”改革的必然要求。
在數(shù)字時代,面對新經(jīng)濟日新月異的新業(yè)態(tài)、新科技,傳統(tǒng)的政府規(guī)則往往“捉襟見肘、力不從心”?;ヂ?lián)網(wǎng)、大數(shù)據(jù)、人工智能、信息技術(shù)等對傳統(tǒng)的行政管理方式及其理論形成了挑戰(zhàn)。(37)參見姜明安:《新時代中國行政法學(xué)的轉(zhuǎn)型與使命》,載《財經(jīng)法學(xué)》2019年第1期。對于個人信息保護而言,當然離不開公正、高效的政府規(guī)制,但卻存在現(xiàn)實困境。
首先,由于政府獲取違法信息的有限性與滯后性,個人信息保護的政府規(guī)制實效性不高。面對各行業(yè)、各領(lǐng)域日益增多的數(shù)據(jù)處理行為,如大量移動應(yīng)用程序App超范圍收集個人信息,政府實際上無法及時獲取相關(guān)信息進行“無縫隙、無死角”的規(guī)制。政府往往難以全面掌握個人信息處理守法合規(guī)的真實狀況。政府規(guī)制部門缺乏充足的信息掌控,“無從獲知市場主體違規(guī)行為的比重,也很難調(diào)查確認合規(guī)信息真實與否”。(38)盧超:《事中事后監(jiān)管改革:理論、實踐及反思》,載《中外法學(xué)》2020年第3期。
其次,個人信息保護的政府規(guī)制存在“知識供給不足”的專業(yè)性缺陷。在數(shù)字科技高速發(fā)展的當代,良好的政府規(guī)制更加需要與時俱進的新知識。侵犯個人信息的數(shù)字科技日益先進,但政府職能部門雖然具有專業(yè)機構(gòu)的色彩,但“行政技能的要求往往超過了其專業(yè)性”。(39)劉亞平、游海疆:《“第三方規(guī)制”:現(xiàn)在與未來》,載《宏觀質(zhì)量研究》2017年第4期。政府運用傳統(tǒng)手段通過行政檢查、行政處罰等方式,無法全面預(yù)防與糾正個人信息處理違法行為,法律實施效果不佳。再次,受人員不足、財政縮緊等現(xiàn)實條件的制約,個人信息保護的政府規(guī)制作用有限。人類已進入數(shù)字時代,無論是企業(yè)的經(jīng)濟活動,還是普通公民的社會生活,都存在大量的個人信息處理行為。僅僅依靠有限的人財物實施政府規(guī)制,無法有效保障個人信息安全。
最后,政府規(guī)制存在“運動式執(zhí)法”“選擇性執(zhí)法”“規(guī)制俘獲”“權(quán)力尋租”等難以完全根除的反法治現(xiàn)象,導(dǎo)致大量侵犯個人信息的違法行為得不到及時有效的責(zé)任追究。比如,對APP侵害用戶權(quán)益的專項整治行動雖然取得了很大成效,但卻存在執(zhí)法的不確定性、不平等性、短期性等弊端。傳統(tǒng)政府規(guī)制以命令與控制為主,強調(diào)對抗、通過威懾實現(xiàn)法律遵從,導(dǎo)致出現(xiàn)對立的僵局影響治理效果,而且因行政任務(wù)擴張無力應(yīng)對,“各部門行政法領(lǐng)域紛紛出現(xiàn)‘規(guī)制失靈’現(xiàn)象”。(40)高秦偉:《社會自我規(guī)制與行政法的任務(wù)》,載《中國法學(xué)》2015年第5期。
作為第三方規(guī)制的數(shù)據(jù)安全認證,可以彌補數(shù)字時代政府規(guī)制的缺陷,減輕政府保障數(shù)據(jù)安全的公共任務(wù)負擔(dān)。其一,數(shù)據(jù)安全認證可以填補政府規(guī)制的“盲區(qū)”。通過采取同行評審的合作方式,而非單方命令與強制的管理手段,數(shù)據(jù)安全認證機構(gòu)能夠獲取更為準確、充分的信息,“更容易發(fā)現(xiàn)和糾正被規(guī)制者的不遵從行為”。(41)參見高秦偉:《論政府規(guī)制中的第三方審核》,載《法商研究》2016年第6期。其二,數(shù)據(jù)安全認證比政府規(guī)制更具有回應(yīng)性。認證機構(gòu)可能更熟知產(chǎn)業(yè)界和數(shù)據(jù)主體的需求,有更強的行動能力,能夠“更為快捷地制定出更具回應(yīng)性、可行性的認證標準”。(42)宋華琳:《行政法學(xué)視角下的認證制度及其改革——以藥品GMP認證為例》,載《浙江學(xué)刊》2018年第1期。在個人信息保護的國家法律規(guī)范匱乏或滯后時,認證機構(gòu)還可以制定個人信息安全保護規(guī)則或標準,及時填補國家立法空白。通過制定相關(guān)標準,可以有效發(fā)揮軟法的實驗、學(xué)習(xí)和漸進改進的優(yōu)勢,(43)See Gary E. Marchant, Douglas J. Sylvester & Kenneth W. Abbott, A New Soft Law Approach to Nanotechnology Oversight: A Voluntary Product Certification Scheme, 28 UCLA J. Envtl. L. & Pol'y 123,132 (2010).從而可以更切實際地實施更加高效的第三方規(guī)制。其三,數(shù)據(jù)安全認證可以有效彌補政府規(guī)制資源的匱乏。通過充分發(fā)揮第三方機構(gòu)的力量,數(shù)據(jù)安全認證可以將成本費用轉(zhuǎn)移到產(chǎn)業(yè)界,緩解政府規(guī)制的壓力。數(shù)據(jù)安全認證機構(gòu)可以有效分擔(dān)政府的數(shù)據(jù)安全保障任務(wù)。認證適合于“規(guī)制需求日益增長但政府資源不斷減少的時代”。(44)Lesley K. McAllister, Regulation by Third-Party Verification, 53 B.C. L. Rev. 1, 2(2012).而且,認證機構(gòu)能夠隨時較為靈活地配置所需的人才和設(shè)施,“撤銷不合格的認證機構(gòu)的資格,可能比解雇不稱職的政府檢查員要容易得多?!?45)Lesley K. McAllister, Regulation by Third-Party Verification, 53 B.C. L. Rev. 1, 42(2012).在認證市場競爭壓力下,數(shù)據(jù)安全認證機構(gòu)的專業(yè)性會不斷提高。
數(shù)據(jù)安全認證對于個人信息保護尤為重要。數(shù)據(jù)處理主要會對國家、企業(yè)或個人造成安全威脅。數(shù)據(jù)安全審查、網(wǎng)絡(luò)安全審查可以有效解決數(shù)據(jù)處理對國家造成的安全威脅,企業(yè)的風(fēng)險內(nèi)控制度可以有力保障企業(yè)的數(shù)據(jù)安全,而對于作為數(shù)據(jù)主體的個人而言則處于弱勢地位。大量個人信息并不被個人控制,經(jīng)常處于被單方處理的狀態(tài),個人信息安全問題隨時可能爆發(fā)。作為專業(yè)的第三方評定機制,數(shù)據(jù)安全認證可以很好地逼迫互聯(lián)網(wǎng)企業(yè)提升個人信息保護水平,能夠有效彌補政府個人信息保護的政府規(guī)制缺陷,從而有利于保障個人信息安全。
構(gòu)建法治化的數(shù)據(jù)安全認證機制,不僅是彌補數(shù)字時代政府規(guī)制缺陷的現(xiàn)實需要,更是深化“放管服”改革的必然要求,有利于優(yōu)化數(shù)字經(jīng)濟的營商環(huán)境。2015年5月,“放管服”改革即“簡政放權(quán)、放管結(jié)合、優(yōu)化服務(wù)”的概念,在國務(wù)院召開的全國推進簡政放權(quán)放管結(jié)合職能轉(zhuǎn)變工作電視電話會議首次被提出。2020年5月,李克強總理在政府工作報告中提出,“深化‘放管服’改革”?!胺殴芊备母锸钱斚轮袊顬橹匾牡度邢騼?nèi)的政府自我變革,旨在推進政府職能的深刻轉(zhuǎn)變,從根本上解放和發(fā)展生產(chǎn)力?,F(xiàn)代國家權(quán)力呈現(xiàn)多元化與社會化的趨勢,“政府職能將不斷弱化、轉(zhuǎn)移,社會將承擔(dān)越來越多的管理職能?!?46)劉權(quán):《網(wǎng)絡(luò)平臺的公共性及其實現(xiàn)——以電商平臺的法律規(guī)制為視角》,載《法學(xué)研究》2020年第2期。個人信息保護屬于政府不可推卸的職責(zé),但這并不表明政府應(yīng)當包攬一切。
目前中國存在的大量事業(yè)單位型、國有企業(yè)型認證機構(gòu),實際上是政府職能轉(zhuǎn)變不徹底的結(jié)果。“放管服”改革迫切要求更多的民營企業(yè)型和社會組織型認證機構(gòu),承擔(dān)數(shù)據(jù)安全評定的公共任務(wù)。在公共性事項上,“優(yōu)先考慮市場或社會的自我調(diào)節(jié)、自我管理、自我服務(wù)的有效性”。(47)沈巋:《論行政法上的效能原則》,載《清華法學(xué)》2019年第4期?!昂喺艡?quán)就是要把該放的權(quán)放給市場和社會,這樣政府可以騰出更多力量來加強事中事后監(jiān)管、提供公共服務(wù)?!?48)李克強:《在全國深化“放管服”改革優(yōu)化營商環(huán)境電視電話會議上的講話》,載《中國行政管理》2019年第7期。在大力推進“放管服”改革的新背景下,政府應(yīng)摒棄“單向度低效率的管理”,不斷通過“放權(quán)減權(quán)來激活市場的活力和社會的創(chuàng)造力”,(49)張占斌、孫飛:《改革開放40年:中國“放管服”改革的理論邏輯與實踐探索》,載《中國行政管理》2019年第8期。充分發(fā)揮數(shù)據(jù)安全認證機構(gòu)的第三方規(guī)制功能。在數(shù)據(jù)安全認證機制中,政府通過直接管理少數(shù)認證機構(gòu)的資質(zhì)與行為,保障其公平競爭,可以從個人信息保護中的大量具體事務(wù)中解脫出來,不必投入大量成本對所有互聯(lián)網(wǎng)企業(yè)進行直接微觀干預(yù)。政府退居幕后管理認證機構(gòu),認證機構(gòu)身處前線提供數(shù)據(jù)安全評定信息。不僅就事物的本質(zhì)與責(zé)任而言,安全性屬于經(jīng)濟活動參與者的責(zé)任,而且從權(quán)限上來看,安全性也應(yīng)交給市場參與者來做。(50)參見[德]施密特·阿斯曼:《秩序理念下行政法體系構(gòu)建》,林明鏗等譯,北京大學(xué)出版社2012年版,第137頁。數(shù)據(jù)安全認證更加契合“放管服”改革的理念,有利于實現(xiàn)以政府為中心的規(guī)制國向市場與社會放權(quán),必將成為數(shù)字時代個人信息保護的重要制度。
作為風(fēng)險規(guī)制和質(zhì)量保證的重要手段,第三方規(guī)制相比于政府規(guī)制具有諸多獨特的優(yōu)勢,而且是深入推進“放管服”改革的必然要求。然而,中國第三方規(guī)制的力量并未能充分激活,政府規(guī)制一直占據(jù)絕對的主導(dǎo)地位。政府既當“運動員”又當“裁判員”、既“掌舵”又“劃槳”的雙重角色經(jīng)常同時并存。強調(diào)市場競爭與社會自治的第三方規(guī)制,是公共行政變革的重要推動力量,在整個規(guī)制法體系中占有日益重要的地位?!暗谌揭?guī)制有潛力基于技術(shù)和價值引導(dǎo)而非公私主體固有的權(quán)限認識和職責(zé)分配,創(chuàng)造出一個新型的治理模式?!?51)劉亞平、游海疆:《“第三方規(guī)制”:現(xiàn)在與未來》,載《宏觀質(zhì)量研究》2017年第4期。
在深入推進“放管服”改革和國家治理能力現(xiàn)代化的背景下,構(gòu)建法治化的數(shù)據(jù)安全認證體制機制,不僅是保障數(shù)據(jù)安全的現(xiàn)實需要,而且是彌補數(shù)字時代政府規(guī)制缺陷的迫切需求。作為去中心化的第三方規(guī)制,數(shù)據(jù)安全認證是一種全新理念。(52)See Samuel J. Dayton, Rethinking Health App Regulation: The Case for Centralized FDA Voluntary Certification of Unregulated Non-Device Mobile Health Apps, 11 Ind. Health L. Rev. 713, 740 (2014).第三方規(guī)制同政府規(guī)制、自我規(guī)制一道共同構(gòu)成了完善的規(guī)制法體系。然而,也不宜過度夸大數(shù)據(jù)安全認證的價值。盡管第三方規(guī)制可以克服市場競爭與政府規(guī)制的“雙重失靈”,但其本身卻存在缺乏足夠的公眾參與、程序不夠透明、缺乏民主問責(zé)監(jiān)督等合法性質(zhì)疑,認證也可能“失靈”。(53)See Timothy D. Lytton, Competitive Third-Party Regulation: How Private Certification Can Overcome Constraints That Frustrate Government Regulation, 15 Theoretical Inq. L. 539, 568(2014).數(shù)據(jù)安全認證機制確立之初,必然會產(chǎn)生“認證成管理”“認證變認錢”等一些亂象。一方面,發(fā)展初期的認證機制本來就不健全,私人規(guī)制逐利的固有缺陷難以立即完全消除;另一方面,長期以來政企不分、政事不分,認證機構(gòu)短期內(nèi)可能難以做到真正完全獨立。但不能因噎廢食,良好的第三方規(guī)制需要持續(xù)的社會文化熏陶與法治體系建設(shè)。數(shù)據(jù)安全認證具有不可替代的數(shù)據(jù)安全保障功能。無論是政府規(guī)制,還是企業(yè)的自我規(guī)制,抑或是第三方規(guī)制,都各自存在難以克服的內(nèi)在缺陷。在數(shù)據(jù)成為新生產(chǎn)要素的數(shù)字時代,需要政府、互聯(lián)網(wǎng)企業(yè)、數(shù)據(jù)安全認證機構(gòu)、網(wǎng)絡(luò)用戶、社會公眾等多方主體開展公私合作治理,相互取長補短,協(xié)同完成保障數(shù)據(jù)安全并促進數(shù)據(jù)高效流通利用的公共任務(wù),以最終實現(xiàn)數(shù)據(jù)強國。