劉 權
作為第三方規(guī)制的數據安全認證,可以有效克服市場與政府的“雙重失靈”,實現數據安全保障和數字經濟發(fā)展的平衡。數據安全認證已逐漸成為全球數據治理的重要手段。《網絡安全法》第17條明確要求“開展網絡安全認證、檢測、風險評估等安全服務”。《數據安全法》第18條第1款原則性的規(guī)定了數據安全認證:“國家促進數據安全檢測評估、認證等服務的發(fā)展,支持數據安全檢測評估、認證等專業(yè)機構依法開展服務活動?!薄秱€人信息保護法》第38條將個人信息保護認證作為向境外提供個人信息的合法性條件之一,第62條要求“推進個人信息保護社會化服務體系建設,支持有關機構開展個人信息保護評估、認證服務”。實踐中,2019年國家市場監(jiān)管總局、中央網信辦發(fā)布《關于開展App安全認證工作的公告》,旨在規(guī)范移動互聯網應用程序收集、使用用戶信息特別是個人信息的行為。歐盟《通用數據保護條例》專門規(guī)定了數據保護認證??梢灶A見,隨著數字經濟的不斷發(fā)展壯大,數據安全認證必將在中國得到全面推行。
當前對于新興的數據安全認證的研究相對不足。中國建立了產品、服務、管理體系等認證制度,如強制性產品CCC認證、藥品GMP認證、商品售后服務認證、食品安全管理體系認證。學者們從產品質量認證、藥品認證、認證機構責任等方面進行了較多研究。(1)參見高國鈞:《強制性產品認證的經濟法規(guī)制》,法律出版社2019年版;宋華琳:《行政法學視角下的認證制度及其改革——以藥品GMP認證為例》,載《浙江學刊》2018年第1期。另有一些學者探討了第三方規(guī)制、第三方審核、私人規(guī)制的基本原理,涉及認證的相關內容。(2)See Timothy D. Lytton, Competitive Third-Party Regulation: How Private Certification Can Overcome Constraints That Frustrate Government Regulation, 15 Theoretical Inq. L. 539 (2014). Lesley K. McAllister, Regulation by Third-Party Verification, 53 B.C. L. Rev. 1 (2012). 劉亞平、游海疆:《“第三方規(guī)制”:現在與未來》,載《宏觀質量研究》2017年第4期;高秦偉:《論政府規(guī)制中的第三方審核》,載《法商研究》2016年第6期;胡斌:《私人規(guī)制的行政法治邏輯:理念與路徑》,載《法制與社會發(fā)展》2017年第1期。在網絡法領域,少數學者探討了個人信息安全認證、人工智能安全認證、網絡安全認證等內容。(3)See Shlomit Yanisky-Ravid & Sean K. Hallisey, Equality and Privacy by Design: A New Model of Artificial Intelligence Data Transparency via Auditing, Certification, and Safe Harbor Regimes, 46 Fordham Urb. L.J. 428 (2019). 陳星:《大數據時代軟件產品個人信息安全認證機制構建》,載《重慶郵電大學學報(社會科學版)》2016年第2期;申永波:《關鍵信息基礎設施網絡安全認證體系研究》,載《信息安全研究》2019年第9期。盡管同屬于認證,但傳統(tǒng)認證的一些理念與法律制度無法完全直接適用于數據安全認證。在數據成為新的生產要素的背景下,為了使數據安全認證真正能夠客觀、公正地發(fā)揮第三方評定職能,防止認證機構被互聯網企業(yè)“俘獲”或成為政府的“附庸”,需要對數據安全認證體制機制進行整體的法治構建。個人信息是數字時代涉及面最為廣泛的數據,本文將主要以個人信息保護為視角,對數據安全認證的必要性、認證機構資質、認證機制運行、認證與政府規(guī)制的關系等問題進行系統(tǒng)研究,以期探索數據安全認證的法治之道。
數字時代日益得到廣泛適用的數據安全認證,既不屬于企業(yè)實施的自我規(guī)制,也不屬于傳統(tǒng)的政府規(guī)制。數據安全認證本質上為第三方提供的社會化服務,承擔著第三方規(guī)制的角色。構建法治化的數據安全認證體制機制,不僅有利于保障數據安全,而且可以有效促進數字經濟的規(guī)范健康發(fā)展。
數據安全認證,是指由認證機構證明網絡服務、數據產品、管理體系等符合相關法律規(guī)范、技術標準、行業(yè)準則的評定活動,也稱為信息安全認證。數據安全認證主要面向數字經濟產業(yè),通過第三方機構客觀評定互聯網企業(yè)數據處理行為的安全性,以提升互聯網企業(yè)的數據安全保障水平。相比于企業(yè)的自我規(guī)制和政府的行政規(guī)制而言,數據安全認證屬于第三方規(guī)制,可以有效克服市場與政府的“雙重失靈”。不同于傳統(tǒng)認證,數據安全認證的對象主要是網絡服務或數據產品,具有虛擬性和動態(tài)易變性的特征,認證難度更大。在認證標準上,數據安全認證側重于對互聯網企業(yè)現有的數據安全保障制度能力和過去的數據處理守法合規(guī)情況的評定。
數據安全認證不同于互聯網企業(yè)實施的數據保護活動,如個人信息風險評估或個人信息保護影響評估?!秱€人信息保護法》第55條要求個人信息處理者在處理敏感個人信息、利用個人信息進行自動化決策、委托處理、向第三方提供或公開個人信息、向境外提供個人信息等情形下,均應進行個人信息保護影響評估?!缎畔踩夹g 個人信息安全影響評估指南》對各類組織自行開展個人信息安全影響評估提供了標準指南。區(qū)別于企業(yè)的自身行為,數據安全認證最重要的特點是第三方機構評價。
數據安全認證不屬于政府行為,同公權力機關實施的數據安全檢查、數據安全審查、網絡安全審查、行政許可等行為存在區(qū)別。首先,數據安全認證不同于數據安全檢查。政府職能部門可以對互聯網企業(yè)進行數據安全檢查,如開展數據安全專項整治活動。(4)參見黃鑫:《10月底前完成數據安全檢查,違法違規(guī)APP將無處藏身》,載《經濟日報》2019年7月9日,第7版。2020年在工業(yè)和信息化部的統(tǒng)籌指導下,中國信息通信研究院組織建設了全國APP技術檢測平臺(https://app.caict.ac.cn/)。雖然在檢查過程中可以委托第三方機構進行檢測,但數據安全檢查的性質為行政檢查行為,而數據安全認證則屬于第三方評定行為,不屬于行政行為。數據安全認證以頒發(fā)認證標志為最終結果,而數據安全檢查后可能實施行政強制、行政處罰等措施。(5)參見《工信部通報下架67款侵害用戶權益App因未按時限要求完成整改》,載《互聯網天地》2021年第9期。其次,數據安全認證不同于數據安全審查?!稊祿踩ā返?3條規(guī)定:“國家建立數據安全審查制度,對影響或者可能影響國家安全的數據處理活動進行國家安全審查。依法作出的安全審查決定為最終決定?!睌祿踩珜彶閷儆谡袨椋瑪祿踩J證由第三方認證機構實施。再次,數據安全認證不同于網絡安全審查。網絡安全審查側重于保護國家安全,由國家互聯網信息辦公室下設的網絡安全審查辦公室負責實施。網絡安全審查的條件為,關鍵信息基礎設施運營者采購網絡產品和服務,數據處理者開展數據處理活動,影響或可能影響國家安全。比如,2021年6月30日“滴滴出行”在美國上市,7月2日國家網信辦發(fā)布公告稱,為防范國家數據安全風險,維護國家安全,依法對“滴滴出行”實施網絡安全審查。(6)參見曹彥君、楊松:《審查滴滴》,載《21世紀商業(yè)評論》2021年第8期。當前的數據安全審查、網絡安全審查等制度,都側重于維護國家安全。數據安全認證側重于評定企業(yè)的數據處理行為,對用戶造成的數據安全風險。最后,數據安全認證不同于頒發(fā)資格證、資質證等行政許可行為,也不同于對有關事實進行甄別而給予確定或證明的行政確認行為,而屬于第三方規(guī)制行為。
無論是對于個人信息的安全保障,還是對于數字經濟的規(guī)范健康發(fā)展,數據安全認證都有著日益重要的時代價值。數據安全認證通過聲譽評價機制,可以引導、激勵互聯網企業(yè)守法合規(guī)經營,可以增強用戶對中小微互聯網企業(yè)和新興數字產業(yè)的信任感,可以避免政府為保障數據安全而實施“一刀切”的規(guī)制,可以滿足社會公眾多元的數據安全需求。
其一,數據安全認證有利于引導、激勵數據處理者不斷提高數據安全保障水平。數據安全認證可以為互聯網企業(yè)套上“緊箍咒”。為了防止得不到認證或被撤銷認證,互聯網企業(yè)在外在壓力下會不斷提高自身的數據安全保障水平,以便不失去并不斷獲取更多的網絡用戶。通過第三方評定,數據安全認證可以起到對互聯網企業(yè)守法合規(guī)情況的規(guī)制功能,激勵其提高數據安全風險管理水平,實現“超越合規(guī)遵從”。(7)See Andrew Hopkins, Beyond Compliance Monitoring: New Strategies for Safety Regulators, 29 Law & Pol'y 210, 222 (2007).通過第三方認證機構對互聯網企業(yè)的數據安全進行評定,并頒發(fā)相關認證標志,有利于助推互聯網企業(yè)的數據處理自律。
其二,數據安全認證可以增強用戶對中小微互聯網企業(yè)和新興數字產業(yè)的信任感。在缺乏數據安全的網絡市場中,用戶更愿意相信知名、大型互聯網企業(yè),因為其數據安全保障水平相對較高,發(fā)生損害時也更有能力承擔賠償責任。但對于無數中小微互聯網企業(yè)提供的網絡產品或服務,對于大量新興數字產業(yè),由于不被普通公眾所熟知而導致不被信任。獲得了數據安全認證,相當于獲得了商業(yè)信譽擔保,意味著更多的交易機會。(8)2019年公布的《數據安全管理辦法(征求意見稿)》第34條明確規(guī)定:“鼓勵搜索引擎、應用商店等明確標識并優(yōu)先推薦通過認證的應用程序”。比如,由于“算法黑箱”導致對人工智能產品存在莫名的恐懼,第三方認證機制可以增加公眾對使用人工智能系統(tǒng)的信任。(9)Shlomit Yanisky-Ravid & Sean K. Hallisey, Equality and Privacy by Design: A New Model of Artificial Intelligence Data Transparency via Auditing, Certification, and Safe Harbor Regimes, 46 Fordham Urb. L.J. 428, 486 (2019).通過數據安全認證,“企業(yè)不必再以低端的價格競爭策略占領市場”,(10)劉亞平、游海疆:《“第三方規(guī)制”:現在與未來》,載《宏觀質量研究》2017年第4期。富有特色并得到良好認證標志聲譽保障的網絡服務或數據產品越來越多。
其三,數據安全認證可以避免政府嚴格的檢查監(jiān)控,可以緩解政府設定更嚴厲的法律義務與責任的壓力,防止政府出于保障數據安全實施“一刀切”的規(guī)制而阻礙數字科技的創(chuàng)新。(11)See Sarah Saadoun, Private and Voluntary: Are Social Certification Standards a Form of Backdoor Self-Regulation, 45 Colum. Hum. Rts. L. Rev. 281, 283 (2013).過多的義務與責任設置,尤其不利于中小微互聯網企業(yè)和新興數字產業(yè)的發(fā)展。因為這會對其帶來過大的數據合規(guī)成本與運營壓力,會導致少數互聯網寡頭企業(yè)的支配力與控制力進一步增強,從而不利于數字經濟的良性健康發(fā)展。數據安全認證機制的建立,可以使更多的中小微互聯網企業(yè)有更多的機會公平地參與數據要素市場競爭,可以讓數據得到更加多元的高效流通利用,最終有利于促進數字經濟的整體協(xié)調發(fā)展。
其四,數據安全認證發(fā)揮著聲譽評價的功能,可以運用專業(yè)知識幫助用戶作出更好的選擇,有利于滿足社會公眾多元的數據安全需求。當前數據處理中的告知同意機制日益流于形式。企業(yè)的隱私政策與協(xié)議大多冗長晦澀,數據主體往往沒有足夠的時間與耐心仔細閱讀所要同意的內容,而且“就像處在計算機時代初期一樣”(12)Alessandro Mantelero, The future of consumer data protection in the E.U. Re-thinking the “notice and consent” paradigm in the new era of predictive analytics, 30 Computer Law & Security Review 643, 653 (2014).難以完全理解相關條款。信息分布不均妨害同意的認識基礎,多環(huán)節(jié)的數據流通則進一步削弱了同意的有效性,同意決策容易陷入非理性。(13)參見丁曉強:《個人數據保護中同意規(guī)則的“揚”與“抑”——卡-梅框架視域下的規(guī)則配置研究》,載《法學評論》2020年第4期。個人自決的作用需要被重新考慮。“告知同意機制步入困境,逐漸降低了數據保護的功能?!?14)劉權:《論個人信息處理的合法、正當、必要原則》,載《法學家》2021年第5期。
數據安全認證通過事先的第三方專業(yè)評定,有助于解決信息不對稱問題,可以讓用戶更高效、更準確地作出選擇決定。根據數據安全認證機構頒發(fā)的認證標志,網絡用戶可以快速識別相關服務或產品的數據保護安全水平。(15)See Rowena Rodrigues, David Barnard-Wills, Paul De Hert & Vagelis Papakonstantinou, The Future of Privacy Certification in Europe: An Exploration of Options under Article 42 of the GDPR, 30 Int'l Rev. L. Computers & Tech. 248 (2016).并且,相比于政府設定的單一性數據安全強制標準,認證機構可以設定多元的靈活標準,可以單獨或聯合其他認證機構制定數據安全多元標準,更好地利用“軟法”滿足不同群體的數據安全多元需求與偏好?!皵祿卫淼钠毡樾?、技術性、復雜性、應時性,都在呼喚硬法與軟法的共同構建?!?16)沈巋:《數據治理與軟法》,載《財經法學》2020年第1期。不同群體對數據安全的敏感程度往往不同,愿意以更多個人信息換取便利的群體,可以選擇認證標準較低但符合現行法律規(guī)范的數據產品或網絡服務。反之,對數據安全更為敏感的群體,則可以選擇認證標準較高的數據產品或網絡服務。
數據安全認證行為具有公共性,不僅直接關系到個人信息安全,而且對整個數據要素市場的安全性與誠信度會產生直接影響。為了有效保障數據安全認證的客觀性與公正性,更好地實現其第三方規(guī)制功能,需要科學合理確定認證機構的資質?!稊祿踩ā返?8條規(guī)定:“支持數據安全檢測評估、認證等專業(yè)機構依法開展服務活動?!薄秱€人信息保護法》第62條提出“支持有關機構”開展個人信息保護認證服務。那么,究竟具備什么條件的專業(yè)機構或有關機構才可以更好地開展數據安全認證呢?
首先,數據安全認證機構應具有獨立性,同互聯網企業(yè)間不應存在利益關聯。在傳統(tǒng)認證的一些領域,認證亂象橫生,認證變成了利益交換。企業(yè)花錢提升自己的形象,認證機構收錢牟利?!罢J證變認錢”并不少見,“給錢就能過,不給就刁難”。據相關調查發(fā)現,在企業(yè)質量管理體系認證、玩具產品認證、農產品有機認證領域,“弄虛作假走過場司空見慣”,只要交錢“配合”就“包過”。(17)汕頭某玩具公司告訴記者,對于認證人員,“每人要給1000至1200元紅包,報銷路費沒有收據,用信封裝給他們,這是多年的潛規(guī)則了。不給錢的話,就只能等著‘小卡卡’嘍。”參見毛偉豪、劉宏宇、周琳、王海洋:《認證,還是認錢?——新華社記者調查暗訪認證市場》,載《質量與認證》2014年第7期;吳學安:《認證不能變“認錢”》,載《中國消費者報》2020年4月9日,第1版。在2020年全球新冠肺炎疫情防控過程中,一些認證機構“肆意牟利、虛假認證甚至買證賣證”,不僅破壞了認證市場秩序,而且還影響了口罩、防護服等防疫用品的順利出口,引發(fā)了市場監(jiān)管部門對防疫用品認證的專項整治。(18)《市場監(jiān)管部門專項整治防疫用品領域認證》,載《法治日報》2020年4月7日,第8版。認證機構本應作為獨立的第三方,為消費者提供客觀公正的評定信息幫助其作出更好的選擇,但卻同被認證對象串通損害消費者利益,認證行為變成了商業(yè)交易活動。這或許同認證機構的組織形態(tài)有一定的關系。
對于數據安全認證機構資質的規(guī)定,應特別注意消除企業(yè)型認證機構可能存在的弊端。在自由競爭的成熟認證市場尚未形成之前,企業(yè)型認證機構很難以獨立于被認證對象。為了緩解生存壓力,追求利潤最大化,企業(yè)型認證機構很容易將認證變?yōu)橘嶅X的工具。企業(yè)型認證機構很容易被“俘獲”,可能故意不遵守認證基本標準、違反認證程序、出具虛假認證結論,以獲取更多的客戶。嚴格按規(guī)則依法作出認證的認證機構反而獲得的認證申請數量可能更少,最終要么被迫退出認證市場,要么退變?yōu)檫`法認證機構,“劣幣驅逐良幣”的檸檬認證市場由此形成。中國實行強制性產品認證統(tǒng)一收費制度,對于認證申請費、產品檢測費、工廠審查費、批準與注冊費、監(jiān)督復查費、年金、認證標志費等都作了明確的限定,企業(yè)型認證機構尤其是民營企業(yè)型認證機構,面臨的生存壓力或許更大。(19)《國家發(fā)展改革委關于重新制定強制性產品認證收費標準的通知》(發(fā)改價格[2009]1034號)。由于違法認證而被處罰的,大量都為民營企業(yè)型認證機構。(20)參見《國家認監(jiān)委對深圳中大國際認證有限公司作出撤銷認證機構批準書的行政處罰》(國認罰〔2018〕第037號)、《國家認監(jiān)委對新標通檢驗認證(北京)有限公司作出撤銷認證機構批準書的行政處罰》(國認罰〔2018〕第007號)、《國家認監(jiān)委對上海埃摩森認證有限公司作出責令停業(yè)整頓6個月的行政處罰》(國認罰〔2017〕第001號)等。因此應當放寬認證機構的準入門檻,強化自由競爭,充分發(fā)揮認證市場優(yōu)勝劣汰機制的調節(jié)功能。
其次,數據安全認證機構應獨立于政府。認證的本質屬于第三方評價,是認證機構在市場與消費者之間從事的居間活動。認證有利于引導市場資源配置,不同于行政確認、行政檢查等政府行為。如果認證機構同政府有關聯,會產生諸多消極后果。其一,認證機構不獨立于政府會使得認證無法完全擺脫行政管理色彩和官僚主義弊端,導致“認證變管理”,甚至導致“認證異化為審批”。其二,如果由同政府有關聯的機構實施認證,可能導致政府不當干預市場,引發(fā)利益輸送、權錢交易等腐敗行為,使得認證成為財政創(chuàng)收的新途徑,或成為少數公職人員中飽私囊的工具。其三,認證機構同政府有關聯不利于提高認證服務效率與質量。政府通過權力為其有關聯的認證機構獲取認證資源,縱容甚至包庇違法認證行為,導致關聯性認證機構不思進取,業(yè)務水平得不到提升,使得自由競爭的認證市場秩序被破壞,最終損害認證服務效率與質量。
中國目前存在大量同政府有關聯的事業(yè)單位、國有企業(yè)型認證機構。通過在全國認證認可信息公共服務平臺查詢可知,目前有效的認證機構有904個,既包括事業(yè)單位,也包括國有企業(yè)和民營企業(yè),還包括社會組織。(21)認證機構為事業(yè)單位的,如中國質量認證中心、中國網絡安全審查技術與認證中心、公安部第一研究所(中國安全技術防范認證中心)、中國綠色食品發(fā)展中心、應急管理部消防產品合格評定中心、浙江清華長三角研究院,企業(yè)如北京賽迪認證中心有限公司、北京聚慧融智城市信息技術研究院有限公司、北京創(chuàng)源信誠管理體系認證有限公司、上海環(huán)科環(huán)境認證有限公司、廣州檢驗檢測認證集團,社會組織如世界中醫(yī)藥學會聯合會、中國教育國際交流協(xié)會等。參見全國認證認可信息公共服務平臺:http://cx.cnca.cn/CertECloud/institutionBody/authenticetionList,2021年11月8日最后訪問。其中,認證機構數量最少的為社會組織,事業(yè)單位、國有企業(yè)和民營企業(yè)數量占絕大部分。同域外強調以政府為輔而實現法律遵從的第三方審核不同,在市場、社會發(fā)展不充分的情況下,中國的認證體制是在政府主導下自上而下確立的,同從市場出發(fā)的認證有著重要差別。(22)參見高秦偉:《論政府規(guī)制中的第三方審核》,載《法商研究》2016年第6期。在市場發(fā)展和政府職能轉變過程中,事業(yè)單位、國有企業(yè)型認證機構在中國大量存在有一定的現實基礎。
盡管事業(yè)單位、國有企業(yè)型認證機構由黨組織領導和行政機關管理,有一定的公共財政資金作為物質保障,為了生存與牟利而進行違法認證的可能性會小很多,但卻無法完全消除認證機構不獨立而存在的諸多弊端?!墩J證認可條例》第13條第1款規(guī)定:“認證機構不得與行政機關存在利益關系?!薄懂a品質量法》第20條要求,從事認證的社會中介機構,“不得與行政機關和其他國家機關存在隸屬關系或者其他利益關系?!薄蛾P于促進市場公平競爭維護市場正常秩序的若干意見》提出,“推進檢驗檢測認證機構與政府脫鉤、轉制為企業(yè)或社會組織的改革”??梢?,相關法律特別重視認證機構的獨立性。中國未來數據安全認證機構的確立,應獨立于政府,逐步減少同政府有關聯的認證機構。
為了充分實現認證機構的獨立性,應加快培育社會組織型數據安全認證機構。因為無論認證規(guī)則如何設計,不管認證市場如何完善,都無法完全消除企業(yè)型認證機構為追求利潤最大化而作出的不客觀公正的認證,也無法總能保障與政府有關聯的事業(yè)單位型認證機構獨立作出客觀、公正的認證。在國際上,很多有影響力的數據安全認證都是由非政府組織實施的。比如,在美國,為微軟、蘋果、雅虎等眾多網站提供隱私認證服務的TRUSTe,屬于美國商務網絡財團和電子前線基金會共同發(fā)起設立的獨立非盈利性組織。在日本,情報處理開發(fā)協(xié)會建立了P-MARK認證制度,通過認證授予隱私標識促使企業(yè)采取適當的個人信息保護措施。(23)參見陳星:《大數據時代軟件產品個人信息安全認證機制構建》,載《重慶郵電大學學報(社會科學版)》2016年第2期。致力于提升隱私保護從業(yè)人員職業(yè)技能的國際隱私保護專業(yè)人士協(xié)會(IAPP),設計了隱私保護專業(yè)人員認證(CIPP)、隱私保護經理認證(CIPM)、隱私保護技術專家認證(CIPT)等獲得全球認可的隱私保護執(zhí)業(yè)資格認證制度。(24)參見白麗芳、崔占華:《國際IAPP認證對我國個人信息保護認證制度的啟示》,載《網絡空間安全》2019年第3期。
數據保護的國際實踐表明,社會組織型認證機構可以克服企業(yè)型、事業(yè)單位型認證機構的諸多弊端,能夠較為獨立地開展認證工作。然而,中國公民社會并不發(fā)達,大量社會組織存在“信任危機”。“國家對于行業(yè)協(xié)會等社會組織的控制一直較為嚴苛,自始缺乏社會自治的歷史傳統(tǒng)?!?25)盧超:《事中事后監(jiān)管改革:理論、實踐及反思》,載《中外法學》2020年第3期。由于依附型的“臣民文化”,以及政府擔心社會組織發(fā)展失控而采取的“控制型管理取向”,(26)參見王湘軍:《國家治理現代化視域下“放管服”改革研究——基于5省區(qū)6地的實地調研》,載《行政法學研究》2018年第4期。使得中國當前真正獨立的社會組織并不多。一些社會組織甚至淪為“衙門”,沾染了行政機關的各種習氣,無法真正發(fā)揮第三方規(guī)制的獨特功能。(27)參見胡斌:《私人規(guī)制的行政法治邏輯:理念與路徑》,載《法制與社會發(fā)展》2017年第1期?!毒W絡安全法》第17條規(guī)定,“國家推進網絡安全社會化服務體系建設,鼓勵有關企業(yè)、機構開展網絡安全認證、檢測和風險評估等安全服務?!薄秱€人信息保護法》第62條明確將認證作為“個人信息保護社會化服務體系建設”的重要組成部分。未來數據安全認證體制的構建,需要特別重視培育具有獨立性的社會組織型數據安全認證機構。
數據安全認證是一項專業(yè)性極強的工作,只有符合相應專業(yè)資質并得到政府認可的機構,才能從事認證工作。當前數據濫用違法犯罪行為種類多樣且日新月異,具有極強的隱蔽性與復雜性。數據安全認證不同于對普通產品、服務或管理體系的認證,認證人員既須精通法律又須熟知數字科技。沒有高度專業(yè)性的認證機構,難以作出權威客觀的認證。中國目前對于數據安全認證,并沒有專門的法律,《數據安全法》《個人信息保護法》中的相關條款極為簡單,或許只能適用《認證認可條例》《認證機構管理辦法》等規(guī)定。當前成為認證機構須經國務院認證認可監(jiān)督管理部門批準,主管全國認證工作的機構為中國國家認證認可監(jiān)督管理委員會。《認證認可條例》第10條對認證機構的資質作了五項規(guī)定,要求取得法人資格、有固定的場所和必要的設施、有符合認證要求的管理制度、注冊資本不少于300萬元和有相關專職認證人員10名以上。
在歐盟,《通用數據保護條例》第43條要求數據保護認證機構得到成員國的官方認可,并同時規(guī)定了成為認證機構的五項條件:(a)證明其對認證事項的獨立性和專業(yè)性符合監(jiān)管機構的要求;(b)承諾遵守相關準則;(c)建立了簽發(fā)、定期檢查和撤回數據保護認證、印章、標志的程序;(d)建立了公開透明的處理投訴機制;(e)證明其任務與職責不會導致利益沖突,并且符合監(jiān)管機構的要求。相比歐盟對數據保護認證機構的資質更注重軟性制度條件而言,中國更加強調認證機構的人、財、物等硬性條件。在認證市場不夠成熟的情境下,一定人員數量和相應物質基礎的要求,在某種程度上有利于保障認證的質量,但不宜過度強調。為了保障數據安全認證機構的專業(yè)性,需要結合數字時代新的生產要素數據和數據處理行為的特點,對其設立條件、人員構成、程序機制、物質要求等事項作出特殊的具體規(guī)定。
數據安全認證機構可以通過同檢測機構合作,彌補自身專業(yè)性不足。認證機構具有相關專業(yè)知識可以做出合規(guī)判斷,但不一定具備相關技術檢測能力。專業(yè)檢測機構可以承擔具體檢測技術工作,但安全認證證書應由認證機構頒發(fā)。比如,2018年國家認監(jiān)委和國家網信辦發(fā)布《網絡關鍵設備和網絡安全專用產品安全認證實施規(guī)則》,要求相關產品生產企業(yè)向經確認的認證機構提出安全認證申請,并規(guī)定由信息產業(yè)信息安全測評中心、國家保密科技測評中心、公安部計算機信息系統(tǒng)安全產品質量監(jiān)督檢驗中心等8家檢測機構為認證機構提供檢測服務。再如,2019年市場監(jiān)管總局、中央網信辦發(fā)布《關于開展App安全認證的公告》,確定中國網絡安全審查技術與認證中心為App的安全認證機構,其根據認證業(yè)務需要和技術能力確立檢測機構,防止數據安全認證機構“有名無實”不承擔實質認證工作,變相將認證業(yè)務“轉包”“分包”給相關檢測機構。為了更高效、更負責任地開展數據安全認證工作,應不斷提高認證機構的專業(yè)知識與技術能力,逐漸實現認證機構與檢測機構的合一。
客觀公正的數據安全認證不僅有賴于獨立、專業(yè)的認證機構,而且需要科學合理的認證機制。相比于對普通的實體產品、線下服務、管理體系的認證,數據安全認證往往面對的是網絡服務、數據產品,其認證機制具有較大的特殊性。對于數據安全認證啟動、實施程序、認證標準、認證跟蹤監(jiān)督、認證責任分配,需要進行有效的法律制度設計。
啟動程序是開展數據安全認證的首要環(huán)節(jié)。究竟是實行自愿申請認證還是強制認證,還存在分歧。2019年公布的《數據安全管理辦法(征求意見稿)》第34條規(guī)定“國家鼓勵網絡運營者自愿通過數據安全管理認證和應用程序安全認證”,擬確立自愿認證模式。在實踐中,2019年中央網信辦、工業(yè)和信息化部、公安部、市場監(jiān)管總局發(fā)布《關于開展App違法違規(guī)收集使用個人信息專項治理的公告》,第5條要求“開展App個人信息安全認證,鼓勵App運營者自愿通過App個人信息安全認證”。此種個人信息安全認證名義上是自愿的,但實際上帶有一定的單方強制性,屬于政府組織實施的個人信息專項治理行動的一個環(huán)節(jié)。歐盟確立了數據保護認證的自愿機制?!锻ㄓ脭祿Wo條例》序言第100項規(guī)定,鼓勵建立認證機制和使用數據保護印章、標記,以使數據主體能夠快速評估相關產品和服務的數據保護水平。其第42條第3項明確規(guī)定:“認證應當是自愿的,并且可通過透明的程序獲得”。
對于中國的數據安全認證,宜實行自愿認證和強制認證相結合。其一,盡管數據安全認證對于個人、互聯網企業(yè)、政府等都有諸多價值,但如果一律實行強制認證,不但會違背認證的第三方評定本質,使得認證異化為另一種形式的審批,而且還會給認證對象造成一定的負擔。是否申請認證,一般情況下應交由互聯網企業(yè)自主選擇。其二,限定條件實行數據安全強制認證,更有利于保障數據安全。中國目前數據濫用現象還比較突出,數據安全法律體系并不健全,部分領域實行強制性認證,可以為網絡用戶提供必要的辨明信息,減少重要數據的安全風險。歐盟之所以實行數據保護自愿認證,原因可能主要在于《通用數據保護條例》為數據主體賦予了強大的權利,對數據處理設定了嚴格的條件與程序,而且設定了重罰機制,可以較好地保障數據安全。其三,數據安全自愿認證和強制認證相結合,更符合中國認證的法治實踐。在中國傳統(tǒng)認證領域,認證實行自愿和強制相結合?!墩J證認可條例》第18條規(guī)定“任何法人、組織和個人可以自愿委托依法設立的認證機構進行產品、服務、管理體系認證”,但同時第27條規(guī)定“為了保護國家安全、防止欺詐行為、保護人體健康或者安全、保護動植物生命或者健康、保護環(huán)境”,對相關產品實施強制認證。在網絡安全領域,《網絡安全法》第23條規(guī)定,對于網絡關鍵設備和網絡安全專用產品,“由具備資格的機構安全認證合格或者安全檢測符合要求后,方可銷售或者提供?!?018年,國家認監(jiān)委、國家網信辦發(fā)布《關于網絡關鍵設備和網絡安全專用產品安全認證實施要求的公告》,專門組織安全認證,認證對象包括路由器、交換機、服務器等網絡關鍵設備,以及數據備份一體機、防火墻(硬件)、安全數據庫系統(tǒng)等網絡安全專用產品。此種網絡安全認證主要是對同網絡有關的實體產品的認證,可受傳統(tǒng)強制性產品認證制度的調整,但實際上也可納入數據安全強制認證的范疇。
實證研究表明,強制認證可以增強創(chuàng)新能力、提升管理能力和增加自愿認證,“對企業(yè)生產率具有顯著正效應”。(28)羅連發(fā):《政府規(guī)制對企業(yè)生產率的影響——基于我國強制認證制度的一個實證分析》,載《西北師大學報(社會科學版)》2020年第4期?!秱€人信息保護法》對某些信息處理行為,實際上已經確立了強制認證制度。其第38條規(guī)定,個人信息處理者因業(yè)務等需要向境外提供個人信息的,應當“經專業(yè)機構進行個人信息保護認證”。為了更符合中國國情,為了更好地保障數據安全并促進數字經濟的規(guī)范健康發(fā)展,宜實行自愿為主、強制為輔的數據安全認證制度。可以根據新經濟的不同業(yè)態(tài)和不同的數據處理行為,區(qū)分場景確立是否應當強制認證。對于事關個人、組織重要權利的一些重要數據或敏感數據的處理,或許需要進行強制認證。國家對于數據安全強制認證,應定期發(fā)布統(tǒng)一目錄,統(tǒng)一相關技術標準和合格評定程序,統(tǒng)一認證標志,統(tǒng)一收費標準。強制認證可以彌補自愿認證的不足,有助于防范重大風險,防止造成難以挽回的損害。然而,強制認證只應當是特定階段的產物。隨著“放管服”改革的不斷推進和認證制度的不斷發(fā)展成熟,數據安全強制認證的范圍應當不斷縮小。
對于申請數據安全認證的條件,需要做一些否定性的排除規(guī)定。如果在過去合理期間內發(fā)生過數據安全違法違規(guī)事件,或存在相關認證標志被撤銷等情形,應禁止在特定時期內申請認證。因為除了評估當前的數據安全保障水平,互聯網企業(yè)過去守法合規(guī)的情況,也是認證機構考察的重要內容。認證具有信譽擔保的色彩,評價過去的行為可以有效預測未來。通過評價過去合理期間的行為,可以倒逼認證對象持續(xù)積累守法合規(guī)的商業(yè)信譽?!兑苿踊ヂ摼W應用程序(App)安全認證實施規(guī)則》規(guī)定,在12個月內發(fā)生重大信息安全事件、所持同類證書在撤銷認證影響期內等情形存在時,App運營者不得申請認證。由于互聯網行業(yè)變化極快,所以認證申請條件所涉及的過去期間應合理設置。
科學合理的數據安全認證程序,不僅可以提高認證效率,而且有利于保障認證結果的準確性與公正性。由于大多涉及無形的網絡服務或數據產品,數據安全認證程序同普通認證程序存在一定的差別,更注重對網絡科技和數據安全保障制度的評定。相比于行政程序,數據安全認證實施程序更為靈活高效,但也更容易出現問題。作為第三方規(guī)制的數據安全認證具有公共性,應當保障認證過程具有充分的透明性和公眾參與度。認證的實施程序應當吸收“正當法律程序”的精神,滿足自然正義的基本要求,重視說明理由,聽取陳述、辯解,建立健全完善的認證信息披露機制。(29)同前注,胡斌文。應防止認證程序流于形式,認證也不能僅限于審核書面材料,必須通過軟件檢測等多種技術進行驗證。(30)參見易斌、潘亞南:《網絡個人信息隱私認證機制探討》,載《情報理論與實踐》2012年第5期。
在應用程序安全認證的實踐中,《移動互聯網應用程序(App)安全認證實施規(guī)則》規(guī)定的主要認證環(huán)節(jié)分為三部分:技術驗證+現場核查+獲證后監(jiān)督。對于網絡服務或數據產品,數據安全認證的一般實施程序可以從以下幾個方面展開:(1)受理。認證機構對申請資料進行審核后作出是否受理的決定。(2)技術驗證。通過實驗室檢測和現場核查等方式進行。檢測機構按照技術驗證規(guī)范實施技術驗證,并出具技術驗證報告。(3)現場審核。認證機構對互聯網企業(yè)進行現場審核,對相關問題進行實地調查核實,出具現場審核報告。(4)認證決定。根據申請材料、技術驗證結論、現場審核結論等進行綜合評定,決定是否通過認證。(5)頒發(fā)認證證書。對于有形網絡產品的認證程序略有不同,需要線下隨機抽取樣本進行客觀評定。比如,《網絡關鍵設備和網絡安全專用產品安全認證實施規(guī)則》規(guī)定,對網絡關鍵設備和網絡安全專用產品安全認證的認證模式為:型式試驗+工廠檢查+獲證后監(jiān)督。型式試驗程序要求認證機構從生產線、倉庫、市場等地隨機抽取產品,按相應產品有關國家標準進行型式試驗并提交報告。工廠檢查要求認證機構到工廠,對信息安全保障能力、質量保證能力、產品一致性進行檢查。
對于數據安全的認證標準,除了包括具有強制力的國家法律規(guī)范,還應包括國家推薦性標準、行業(yè)標準、國際通用標準、認證機構制定的標準等。比如,對應用程序進行技術驗證和現場審核的依據均為GB/T 35273《信息安全技術 個人信息安全規(guī)范》,屬于全國信息安全標準化技術委員會發(fā)布的推薦性國家標準。國際著名標準也可以成為數據安全的認證標準。比如,信息安全管理ISO27001國際標準,采用PDCA過程方法,基于風險評估的風險管理理念,對企業(yè)是否建立科學有效的信息安全管理體系進行認證。此外,數據安全認證機構可以結合數字產業(yè)實際,建立健全自己的認證標準體系,彌補標準空白、滯后或提高標準,以引導數據安全保障。
在數據安全認證的時間跨度上,既應對互聯網企業(yè)過去合理期間內的守法合規(guī)情況進行審查,也應對認證當時的組織機構設置、人員配備、隱私政策、技術措施等數據安全保障制度作出評估。一旦經過全面評估認定符合認證標準,就應當作出認證決定,及時頒發(fā)認證證書。對于認證標志的使用期限,《通用數據保護條例》規(guī)定認證的有效期最長為3年。如果相關要求繼續(xù)滿足,在相同條件下可以續(xù)期。對于中國數據安全認證的有效期,需要區(qū)分不同的認證領域與事項,結合數字科技易變的特點,根據具體情況合理確立認證標志的有效期。另外,應推動建立健全數據安全認證國際互認體系,促進數字經濟更好地在海外發(fā)展。
應確立完善的認證程序和結果異議機制。如果數據安全認證機構違反認證規(guī)則規(guī)定的程序,隨意增加、減少、遺漏認證程序,認證申請人可以要求重新認證,并可以向相關部門舉報投訴。即使認證程序合法,但認證結果也可能不夠客觀、公正,所以公開透明的認證異議處理機制十分必要。如果對認證決定有異議,應當允許認證申請人提出申訴。認證機構應及時公正處理申請人對認證程序和決定的異議,并書面告知其最終處理結果。
跟蹤監(jiān)督對于數據安全認證尤其重要,因為數字科技瞬息萬變,網絡安全新隱患不斷出現?!罢J證即過時”可能是常態(tài)。并且,網絡服務、數字產品更新換代很快,被認證對象在獲得認證后會有很多新辦法濫用數據。既然認證機構頒發(fā)了認證標志,就應當對其使用負有跟蹤監(jiān)督的義務。一旦不符合認證標志使用條件就應當及時作出相應處理,否則就可能面臨相應的制裁。如北京中大華遠認證中心訴鹽城市亭湖區(qū)市場監(jiān)督管理局案,法院認為,認證機構“未進行有效跟蹤”,導致其發(fā)放的認證證書已過期但仍在持續(xù)被使用,所以監(jiān)管機構的處罰并無不當。(31)參見鹽城市中級人民法院(2017)蘇09行終134號行政判決書。李星星:《認證機構具有對其認證進行監(jiān)督的責任》,載《人民司法》(案例)2018年第20期。對于跟蹤監(jiān)督的方式,可采取日常監(jiān)督與專項監(jiān)督相結合的方式。比如,《移動互聯網應用程序(App)安全認證實施規(guī)則》要求,認證機構對獲證App和App運營者,從獲證App一致性檢查、更新情況、標志使用情況、企業(yè)自評估情況、被舉報投訴和社會媒體曝光情況等方面進行持續(xù)的日常監(jiān)督,并形成日常監(jiān)督報告。如果出現獲證App存在個人信息安全問題并經查實獲證App運營者負有責任時,或組織架構、服務模式等發(fā)生重大變更時,或發(fā)生破產并購等可能影響App認證特性符合性時,認證機構應啟動專項監(jiān)督。
認證機構屬于第三方評定機構,發(fā)現被認證對象存在不符合法律、相關標準時,無權直接命令認證對象采取相關措施,但可以及時向有關主管部門報告。當前數據安全認證實踐的一些做法可能并不是特別妥當,例如《移動互聯網應用程序(App)安全認證實施規(guī)則》規(guī)定:“發(fā)現不符合時,認證機構向認證申請方出具不符合報告,并要求限期整改;逾期未完成整改的,中止認證過程?!辈还苁钦J證機構還是檢測機構,都無權要求認證對象限期整改或發(fā)布其他命令,因為認證不屬于行政檢查或行政審批行為,一般只能按照認證合同約定進行處理。但認證機構要求改正應當注意一定的度,該撤銷認證的就應撤銷,否則可能導致更多的違法違規(guī)行為。
由于認證機構獲取信息有限,而且數字科技變化極快,可嘗試建立網絡用戶投訴舉報機制,以彌補跟蹤監(jiān)督信息的匱乏。美國TRUSTe認證機構建立了看門狗爭端解決程序,在線接受投訴對被認證網站不能適當處理的隱私糾紛進行解決。如果被認證網站不接受最終決定有效保障隱私,就會被撤銷認證標志,并被列入“不守規(guī)矩的網站”名單。(32)參見陳星:《大數據時代軟件產品個人信息安全認證機制構建》,載《重慶郵電大學學報(社會科學版)》2016年第2期。對于用戶就數據安全問題的投訴舉報,認證機構有義務予以深入調查核實,以準確判斷認證標志是否符合繼續(xù)使用的條件。對于數據安全認證跟蹤監(jiān)督的最終處理,可以作出繼續(xù)使用認證標志、限期糾正、暫停使用認證標志、撤銷認證標志等決定。
數據安全認證有一定的特殊性,應科學合理確立數據安全認證機構的法律責任。在傳統(tǒng)認證領域,認證機構的民事責任主要可以分為相應的賠償責任和連帶責任。首先,對于虛假認證或認證結論嚴重失實造成損害的,法律一般規(guī)定認證機構應承擔相應的賠償責任。《認證認可條例》第61條規(guī)定,對于出具虛假的認證結論,或者出具的認證結論嚴重失實的,造成損害的,“認證機構應當承擔相應的賠償責任”。《產品質量法》第57條第2款同樣規(guī)定,對于不實認證“應當承擔相應的賠償責任”。然而,由于法律規(guī)定寬泛模糊,對于如何讓認證機構承擔“相應的賠償責任”,判斷標準并不明確。其次,對于違反認證的跟蹤監(jiān)督義務,法律一般規(guī)定承擔連帶責任?!墩J證認可條例》第73條規(guī)定,認證機構沒有進行有效的跟蹤調查,或者發(fā)現不再符合認證要求而沒有及時采取措施造成損失的,“與生產者、銷售者承擔連帶責任”?!懂a品質量法》第57條第3款作了同樣的連帶責任規(guī)定。
從認證環(huán)節(jié)上分,可以將數據安全認證機構的責任,主要分為數據安全認證責任和認證后的跟蹤監(jiān)督責任,分別對應相應的賠償責任和連帶責任。對于數據安全認證的歸責原則,應確立過錯責任原則,而非嚴格責任原則,因為認證只是第三方評價,損害的發(fā)生主要源于認證對象的數據違法行為,如果認證機構不存在過錯就不應承擔民事責任。由認證機構承擔無過錯責任,不僅有失公平,在事實上也難以完全實現,因為認證機構無力承擔普遍累計而形成的巨額賠償費用,而且無過錯責任還可能阻礙認證市場的健康發(fā)展。如果數據安全認證機構故意進行虛假認證,屬于特殊的幫助侵權行為,相應的賠償責任應界定為連帶責任。如果由于沒有盡到合理的審核義務等過失導致認證結果失實的,數據安全認證機構應承擔補充責任。如果數據安全認證機沒有及時履行跟蹤監(jiān)督的法定作為義務,應承擔連帶責任,此種責任屬于“特殊不作為義務連帶責任類型”。(33)王竹、鐘琴:《論產品質量檢驗、認證機構侵權責任——以本次〈消費者權益保護法〉的修改為中心》,載《東方法學》2013年第5期。
為了更好地保障數據安全認證的客觀準確性,應加強對數據安全認證違法行為的公法責任的設置與追究。盡管通過民事賠償可以彌補數據認證造成的損害,但數據安全認證的私法責任存在一定限度。首先,數據安全認證違法行為具有極強的隱蔽性與專業(yè)性,受害者很多時候可能并不知情,即使知道也難以進行有效舉證。其次,難以證明數據認證違法行為同損害存在因果關系。由于數據具有非獨占性和可無限復制性的特點,損害可能是由其他眾多主體通過多種途徑違法獲取數據造成的,所以要證明損害同違法認證、互聯網企業(yè)濫用數據存在因果關系往往比較困難。最后,損害難以確定。對于數據違法造成的損害,往往難以量化,如對具有人格權特性的個人信息的侵犯,而且即使可以量化,損害可能并不大,數據認證機構、互聯網企業(yè)的賠償數額十分有限,違法成本可能很低。
因此,需要對數據安全認證機構設定較重的公法責任,以彌補數據安全私法責任的限度。通過設定大額行政罰款,可以提高違法成本,形成威懾效應,從而有利于減少數據安全認證違法行為?!锻ㄓ脭祿Wo條例》設定了重罰機制,其第83條規(guī)定,如果數據保護認證機構違反法定義務,可能被處以1000萬歐元或上一財政年度全球營業(yè)總額2%的巨額行政處罰?!秱€人信息保護法》雖然對于違法處理個人信息的行為,設定了高達5000萬元或者上一年度5%的罰款,但并沒有專門對違法認證作出責任規(guī)定。基于成本收益原理和貝葉斯納什均衡,罰款金額越高,即便在被處罰的概率下降的情況下,也越能有效遏制違法行為。(34)參見孫瑩:《大規(guī)模侵害個人信息高額罰款研究》,載《中國法學》2020年第5期。除了可以借鑒域外數據保護經驗加重行政責任外,還需要合理設定數據安全認證機構的刑事責任,但應保持刑罰的謙抑性,防止對數據安全認證市場發(fā)展和數字科技創(chuàng)新造成毀滅性破壞。
數據安全認證體制機制的法治構建,實際上體現了數字時代個人信息保護的新探索,反映了傳統(tǒng)政府職能與規(guī)制方式的深刻轉變。在數字時代,數據的價值得到空前凸顯,數據已經成為了新的關鍵生產要素而具有重要的商業(yè)價值。(35)參見劉權:《論網絡平臺的數據報送義務》,載《當代法學》2019年第5期;劉權:《政府數據開放的立法路徑》,載《暨南學報(哲學社會科學版)》2021年第1期?!暗脭祿叩锰煜隆?。(36)[美]伊恩·艾瑞斯:《大數據:思維與決策》,宮相真譯,人民郵電出版社2014年版,第63頁。然而,當前法治化的數據要素市場并未完全形成,過度收集、利用數據的違法甚至犯罪現象還比較常見,但傳統(tǒng)的政府規(guī)制弊端凸顯。作為第三方規(guī)制的數據安全認證,不僅對個人信息保護和數字經濟發(fā)展具有重要價值,而且實際上是彌補數字時代政府規(guī)制缺陷的現實需要,是深化“放管服”改革的必然要求。
在數字時代,面對新經濟日新月異的新業(yè)態(tài)、新科技,傳統(tǒng)的政府規(guī)則往往“捉襟見肘、力不從心”?;ヂ摼W、大數據、人工智能、信息技術等對傳統(tǒng)的行政管理方式及其理論形成了挑戰(zhàn)。(37)參見姜明安:《新時代中國行政法學的轉型與使命》,載《財經法學》2019年第1期。對于個人信息保護而言,當然離不開公正、高效的政府規(guī)制,但卻存在現實困境。
首先,由于政府獲取違法信息的有限性與滯后性,個人信息保護的政府規(guī)制實效性不高。面對各行業(yè)、各領域日益增多的數據處理行為,如大量移動應用程序App超范圍收集個人信息,政府實際上無法及時獲取相關信息進行“無縫隙、無死角”的規(guī)制。政府往往難以全面掌握個人信息處理守法合規(guī)的真實狀況。政府規(guī)制部門缺乏充足的信息掌控,“無從獲知市場主體違規(guī)行為的比重,也很難調查確認合規(guī)信息真實與否”。(38)盧超:《事中事后監(jiān)管改革:理論、實踐及反思》,載《中外法學》2020年第3期。
其次,個人信息保護的政府規(guī)制存在“知識供給不足”的專業(yè)性缺陷。在數字科技高速發(fā)展的當代,良好的政府規(guī)制更加需要與時俱進的新知識。侵犯個人信息的數字科技日益先進,但政府職能部門雖然具有專業(yè)機構的色彩,但“行政技能的要求往往超過了其專業(yè)性”。(39)劉亞平、游海疆:《“第三方規(guī)制”:現在與未來》,載《宏觀質量研究》2017年第4期。政府運用傳統(tǒng)手段通過行政檢查、行政處罰等方式,無法全面預防與糾正個人信息處理違法行為,法律實施效果不佳。再次,受人員不足、財政縮緊等現實條件的制約,個人信息保護的政府規(guī)制作用有限。人類已進入數字時代,無論是企業(yè)的經濟活動,還是普通公民的社會生活,都存在大量的個人信息處理行為。僅僅依靠有限的人財物實施政府規(guī)制,無法有效保障個人信息安全。
最后,政府規(guī)制存在“運動式執(zhí)法”“選擇性執(zhí)法”“規(guī)制俘獲”“權力尋租”等難以完全根除的反法治現象,導致大量侵犯個人信息的違法行為得不到及時有效的責任追究。比如,對APP侵害用戶權益的專項整治行動雖然取得了很大成效,但卻存在執(zhí)法的不確定性、不平等性、短期性等弊端。傳統(tǒng)政府規(guī)制以命令與控制為主,強調對抗、通過威懾實現法律遵從,導致出現對立的僵局影響治理效果,而且因行政任務擴張無力應對,“各部門行政法領域紛紛出現‘規(guī)制失靈’現象”。(40)高秦偉:《社會自我規(guī)制與行政法的任務》,載《中國法學》2015年第5期。
作為第三方規(guī)制的數據安全認證,可以彌補數字時代政府規(guī)制的缺陷,減輕政府保障數據安全的公共任務負擔。其一,數據安全認證可以填補政府規(guī)制的“盲區(qū)”。通過采取同行評審的合作方式,而非單方命令與強制的管理手段,數據安全認證機構能夠獲取更為準確、充分的信息,“更容易發(fā)現和糾正被規(guī)制者的不遵從行為”。(41)參見高秦偉:《論政府規(guī)制中的第三方審核》,載《法商研究》2016年第6期。其二,數據安全認證比政府規(guī)制更具有回應性。認證機構可能更熟知產業(yè)界和數據主體的需求,有更強的行動能力,能夠“更為快捷地制定出更具回應性、可行性的認證標準”。(42)宋華琳:《行政法學視角下的認證制度及其改革——以藥品GMP認證為例》,載《浙江學刊》2018年第1期。在個人信息保護的國家法律規(guī)范匱乏或滯后時,認證機構還可以制定個人信息安全保護規(guī)則或標準,及時填補國家立法空白。通過制定相關標準,可以有效發(fā)揮軟法的實驗、學習和漸進改進的優(yōu)勢,(43)See Gary E. Marchant, Douglas J. Sylvester & Kenneth W. Abbott, A New Soft Law Approach to Nanotechnology Oversight: A Voluntary Product Certification Scheme, 28 UCLA J. Envtl. L. & Pol'y 123,132 (2010).從而可以更切實際地實施更加高效的第三方規(guī)制。其三,數據安全認證可以有效彌補政府規(guī)制資源的匱乏。通過充分發(fā)揮第三方機構的力量,數據安全認證可以將成本費用轉移到產業(yè)界,緩解政府規(guī)制的壓力。數據安全認證機構可以有效分擔政府的數據安全保障任務。認證適合于“規(guī)制需求日益增長但政府資源不斷減少的時代”。(44)Lesley K. McAllister, Regulation by Third-Party Verification, 53 B.C. L. Rev. 1, 2(2012).而且,認證機構能夠隨時較為靈活地配置所需的人才和設施,“撤銷不合格的認證機構的資格,可能比解雇不稱職的政府檢查員要容易得多?!?45)Lesley K. McAllister, Regulation by Third-Party Verification, 53 B.C. L. Rev. 1, 42(2012).在認證市場競爭壓力下,數據安全認證機構的專業(yè)性會不斷提高。
數據安全認證對于個人信息保護尤為重要。數據處理主要會對國家、企業(yè)或個人造成安全威脅。數據安全審查、網絡安全審查可以有效解決數據處理對國家造成的安全威脅,企業(yè)的風險內控制度可以有力保障企業(yè)的數據安全,而對于作為數據主體的個人而言則處于弱勢地位。大量個人信息并不被個人控制,經常處于被單方處理的狀態(tài),個人信息安全問題隨時可能爆發(fā)。作為專業(yè)的第三方評定機制,數據安全認證可以很好地逼迫互聯網企業(yè)提升個人信息保護水平,能夠有效彌補政府個人信息保護的政府規(guī)制缺陷,從而有利于保障個人信息安全。
構建法治化的數據安全認證機制,不僅是彌補數字時代政府規(guī)制缺陷的現實需要,更是深化“放管服”改革的必然要求,有利于優(yōu)化數字經濟的營商環(huán)境。2015年5月,“放管服”改革即“簡政放權、放管結合、優(yōu)化服務”的概念,在國務院召開的全國推進簡政放權放管結合職能轉變工作電視電話會議首次被提出。2020年5月,李克強總理在政府工作報告中提出,“深化‘放管服’改革”。“放管服”改革是當下中國最為重要的刀刃向內的政府自我變革,旨在推進政府職能的深刻轉變,從根本上解放和發(fā)展生產力?,F代國家權力呈現多元化與社會化的趨勢,“政府職能將不斷弱化、轉移,社會將承擔越來越多的管理職能。”(46)劉權:《網絡平臺的公共性及其實現——以電商平臺的法律規(guī)制為視角》,載《法學研究》2020年第2期。個人信息保護屬于政府不可推卸的職責,但這并不表明政府應當包攬一切。
目前中國存在的大量事業(yè)單位型、國有企業(yè)型認證機構,實際上是政府職能轉變不徹底的結果?!胺殴芊备母锲惹幸蟾嗟拿駹I企業(yè)型和社會組織型認證機構,承擔數據安全評定的公共任務。在公共性事項上,“優(yōu)先考慮市場或社會的自我調節(jié)、自我管理、自我服務的有效性”。(47)沈巋:《論行政法上的效能原則》,載《清華法學》2019年第4期?!昂喺艡嗑褪且言摲诺臋喾沤o市場和社會,這樣政府可以騰出更多力量來加強事中事后監(jiān)管、提供公共服務?!?48)李克強:《在全國深化“放管服”改革優(yōu)化營商環(huán)境電視電話會議上的講話》,載《中國行政管理》2019年第7期。在大力推進“放管服”改革的新背景下,政府應摒棄“單向度低效率的管理”,不斷通過“放權減權來激活市場的活力和社會的創(chuàng)造力”,(49)張占斌、孫飛:《改革開放40年:中國“放管服”改革的理論邏輯與實踐探索》,載《中國行政管理》2019年第8期。充分發(fā)揮數據安全認證機構的第三方規(guī)制功能。在數據安全認證機制中,政府通過直接管理少數認證機構的資質與行為,保障其公平競爭,可以從個人信息保護中的大量具體事務中解脫出來,不必投入大量成本對所有互聯網企業(yè)進行直接微觀干預。政府退居幕后管理認證機構,認證機構身處前線提供數據安全評定信息。不僅就事物的本質與責任而言,安全性屬于經濟活動參與者的責任,而且從權限上來看,安全性也應交給市場參與者來做。(50)參見[德]施密特·阿斯曼:《秩序理念下行政法體系構建》,林明鏗等譯,北京大學出版社2012年版,第137頁。數據安全認證更加契合“放管服”改革的理念,有利于實現以政府為中心的規(guī)制國向市場與社會放權,必將成為數字時代個人信息保護的重要制度。
作為風險規(guī)制和質量保證的重要手段,第三方規(guī)制相比于政府規(guī)制具有諸多獨特的優(yōu)勢,而且是深入推進“放管服”改革的必然要求。然而,中國第三方規(guī)制的力量并未能充分激活,政府規(guī)制一直占據絕對的主導地位。政府既當“運動員”又當“裁判員”、既“掌舵”又“劃槳”的雙重角色經常同時并存。強調市場競爭與社會自治的第三方規(guī)制,是公共行政變革的重要推動力量,在整個規(guī)制法體系中占有日益重要的地位。“第三方規(guī)制有潛力基于技術和價值引導而非公私主體固有的權限認識和職責分配,創(chuàng)造出一個新型的治理模式?!?51)劉亞平、游海疆:《“第三方規(guī)制”:現在與未來》,載《宏觀質量研究》2017年第4期。
在深入推進“放管服”改革和國家治理能力現代化的背景下,構建法治化的數據安全認證體制機制,不僅是保障數據安全的現實需要,而且是彌補數字時代政府規(guī)制缺陷的迫切需求。作為去中心化的第三方規(guī)制,數據安全認證是一種全新理念。(52)See Samuel J. Dayton, Rethinking Health App Regulation: The Case for Centralized FDA Voluntary Certification of Unregulated Non-Device Mobile Health Apps, 11 Ind. Health L. Rev. 713, 740 (2014).第三方規(guī)制同政府規(guī)制、自我規(guī)制一道共同構成了完善的規(guī)制法體系。然而,也不宜過度夸大數據安全認證的價值。盡管第三方規(guī)制可以克服市場競爭與政府規(guī)制的“雙重失靈”,但其本身卻存在缺乏足夠的公眾參與、程序不夠透明、缺乏民主問責監(jiān)督等合法性質疑,認證也可能“失靈”。(53)See Timothy D. Lytton, Competitive Third-Party Regulation: How Private Certification Can Overcome Constraints That Frustrate Government Regulation, 15 Theoretical Inq. L. 539, 568(2014).數據安全認證機制確立之初,必然會產生“認證成管理”“認證變認錢”等一些亂象。一方面,發(fā)展初期的認證機制本來就不健全,私人規(guī)制逐利的固有缺陷難以立即完全消除;另一方面,長期以來政企不分、政事不分,認證機構短期內可能難以做到真正完全獨立。但不能因噎廢食,良好的第三方規(guī)制需要持續(xù)的社會文化熏陶與法治體系建設。數據安全認證具有不可替代的數據安全保障功能。無論是政府規(guī)制,還是企業(yè)的自我規(guī)制,抑或是第三方規(guī)制,都各自存在難以克服的內在缺陷。在數據成為新生產要素的數字時代,需要政府、互聯網企業(yè)、數據安全認證機構、網絡用戶、社會公眾等多方主體開展公私合作治理,相互取長補短,協(xié)同完成保障數據安全并促進數據高效流通利用的公共任務,以最終實現數據強國。