《個人信息保護認證實施規(guī)則》背景下的認證制度實施*

劉懿陽

(中山大學法學院 人權法研究中心，廣東 廣州 510006)

0 引言

隨著《個人信息保護認證實施規(guī)則》(以下簡稱《實施規(guī)則》)出臺，我國數(shù)據(jù)跨境認證制度實現(xiàn)了規(guī)則落地。“認證”是《個人信息保護法》第38 條規(guī)定數(shù)據(jù)跨境流動的三種合規(guī)路徑之一，除認證外，數(shù)據(jù)出境的合規(guī)路徑還包括“安全評估”和“標準合同”。數(shù)據(jù)出境安全評估是一種具體行政行為[1]，標準合同簽訂是一種私主體商事行為[2]，專業(yè)機構認證則是一種第三方規(guī)制行為[3]。數(shù)據(jù)跨境認證是合作規(guī)制理論在數(shù)字時代的生動實踐，體現(xiàn)出數(shù)字社會背景下數(shù)據(jù)治理的公私合作特征，《實施規(guī)則》為數(shù)據(jù)跨境認證的實施提供了現(xiàn)實方案。

除數(shù)據(jù)跨境處理外，《實施規(guī)則》同樣適用于其他類型的個人信息處理活動?！秾嵤┮?guī)則》從認證范圍、認證依據(jù)、認證程序、認證標識和認證責任等方面對個人信息保護認證規(guī)則進行了整體構建，在擴展認證范圍、促進數(shù)據(jù)出境、明確侵權責任、推動國際互認等方面具有重要的實踐意義。下面，本文將從規(guī)則要點、制度設計、實踐意義三方面，對《實施規(guī)則》所規(guī)定的中國個人信息保護認證規(guī)則展開解讀、評介與反思。

1 《實施規(guī)則》的要點解析

《實施規(guī)則》從認證適用范圍、認證依據(jù)、認證模式、認證程序、認證標識、認證細則和認證責任七個方面對個人信息保護認證規(guī)則進行了整體構建，明確了認證的主體、對象、依據(jù)、流程等問題。下面，本文將從《實施規(guī)則》的重點內(nèi)容展開分析。

1.1 認證范圍

《實施規(guī)則》規(guī)定了對個人信息處理者開展個人信息收集、存儲、使用、加工、傳輸、提供、公開、刪除以及跨境等處理活動進行認證的基本原則和要求。從認證主體來看，凡是個人信息處理者皆可申請該項認證。從認證對象來看，認證涉及個人信息處理活動過程的產(chǎn)品、服務、管理體系。從認證內(nèi)容來看，認證僅僅涉及個人信息，而不包括其他數(shù)據(jù)——例如《數(shù)據(jù)安全法》規(guī)定的核心數(shù)據(jù)和重要數(shù)據(jù)、《數(shù)據(jù)出境安全評估辦法》規(guī)定的重要數(shù)據(jù)、《關鍵信息基礎設施安全保護條例》規(guī)定的關鍵信息基礎設施相關數(shù)據(jù)以及《個人信息保護法》規(guī)定的匿名化處理后的信息，此類非個人信息均不屬于《實施規(guī)則》的認證內(nèi)容。另一方面，認證是對個人信息處理的認證，個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等，同時也包括了數(shù)據(jù)跨境傳輸?shù)奶幚砘顒??？傮w來看，《實施規(guī)則》規(guī)定的認證主體范圍更明確，適用對象范圍更廣闊(包括產(chǎn)品、服務、管理)，內(nèi)容界定范圍更有針對性(僅限于個人信息)。

1.2 認證依據(jù)

《認證認可條例》是實施個人信息保護認證的根據(jù)之一，條例第2 條規(guī)定了認證“是指由認證機構證明產(chǎn)品、服務、管理體系符合相關技術規(guī)范、相關技術規(guī)范的強制性要求或者標準的合格評定活動”。最新版本的GB/T 35273《信息安全技術 個人信息安全規(guī)范》和TC260-PG-20222A《個人信息跨境處理活動安全認證規(guī)范》是《實施規(guī)則》所規(guī)定的認證依據(jù)。前者是由市場監(jiān)管總局與國家標準化管理委員會聯(lián)合發(fā)布的國家標準，在《個人信息保護法》實施以前就對企業(yè)數(shù)據(jù)合規(guī)建設提供重要依據(jù)和規(guī)范指南；后者是由全國信息安全標準化技術委員會組織制定和發(fā)布的技術規(guī)范，同樣可以作為認證依據(jù)。根據(jù)規(guī)定，凡個人信息處理者均需要滿足前一種規(guī)范的要求，而開展跨境數(shù)據(jù)傳輸?shù)膫€人信息處理者還應當符合后一種規(guī)范的要求。

1.3 認證程序

“技術驗證+現(xiàn)場審核+獲證后監(jiān)督”是 《實施規(guī)則》提出的個人信息保護認證模式。按此模式，認證機構在對認證委托人提交的認證委托資料進行審查過后，決定是否受理并向委托人及時反饋，受理后將確定認證方案并告知委托人。具體認證程序如下：

(1)技術驗證：據(jù)此方案，技術驗證機構實施技術驗證，并向認證機構和認證委托人出具技術驗證報告。

(2)現(xiàn)場審核：在收到技術驗證報告之后，認證機構將對個人信息處理者實施現(xiàn)場審核，并向認證委托人出具現(xiàn)場審核報告。

(3)獲證后監(jiān)督：根據(jù)認證委托人提交的委托資料、技術驗證機構出具的技術驗證報告、認證機構掌握的現(xiàn)場審核報告和其他相關資料信息，認證機構將進行綜合評價，最終決定認證申請是否通過。對符合認證要求的個人信息處理者頒發(fā)認證證書。在有效期內(nèi)，認證機構將采取適當方式、以合理監(jiān)督頻次，對已獲認證的個人信息處理者進行持續(xù)監(jiān)督。

綜上所述，《實施規(guī)則》以認證前資料審查、認證中能力審核、認證后持續(xù)監(jiān)督的事前、事中、事后全過程規(guī)制模式對認證程序作出了具體規(guī)定，其流程如圖1 所示。

圖1 個人信息保護認證流程圖

1.4 認證證書

認證機構將對符合認證要求的認證委托人頒發(fā)認證證書，有效期為3 年。在此期間，認證委托人可向認證機構提出變更委托，對已獲認證的個人信息處理者相關資料進行變更，也可申請將認證證書暫停、注銷；到期后，認證委托人需要延續(xù)使用的，應在有效期屆滿前6 個月內(nèi)提交申請。獲證后，認證委托人將受認證機構的持續(xù)監(jiān)督，監(jiān)督過程中若已獲證的個人信息處理者不再符合認證要求，認證機構應當及時對認證證書予以暫停直至撤銷。認證證書既不是行業(yè)許可證，也不是營業(yè)執(zhí)照，而是一種資質(zhì)認證，體現(xiàn)出認證機構對于認證委托人個人信息保護能力的肯定評價。

1.5 認證責任

《實施規(guī)則》規(guī)定，認證機構、技術驗證機構、認證委托人分別對各自的認證和驗證結論、認證委托資料的真實性和合法性負責。針對認證機構的責任，《認證認可條例》第73 條規(guī)定了“認證機構未對其認證的產(chǎn)品實施有效的跟蹤調(diào)查，或者發(fā)現(xiàn)其認證的產(chǎn)品不能持續(xù)符合認證要求，不及時暫?；蛘叱蜂N認證證書和要求其停止使用認證標志給消費者造成損失的，與生產(chǎn)者、銷售者承擔連帶責任?！币簿褪钦f，若認證機構對個人信息主體造成損失則需承擔連帶責任，這意味著認證機構在個人信息保護認證工作實施過程中擔負著持續(xù)的監(jiān)督和審查義務，面臨著重要的認證責任。

總體來看，《實施規(guī)則》將認證實施的適用范圍界定在“個人信息”內(nèi)容，依據(jù)國家標準和相關技術規(guī)范開展認證工作，提出了事前事中事后全過程規(guī)制的認證程序，公布了認證證書和認證標志，明確了認證的主體、對象及其責任。但《實施規(guī)則》的具體落實仍待認證機構對認證實施程序進行進一步的細化，認證機構在實踐過程中所制定的科學、合理、可操作的認證實施細則才是《實施規(guī)則》方案真正落地的“最后一公里”。

2 《實施規(guī)則》的制度設計

個人信息保護認證制度的上位法依據(jù)是《個人信息保護法》和《認證認可條例》。

《個人信息保護法》對認證制度的規(guī)定在第38條和第62 條均有體現(xiàn)。第38 條對于跨境流動的個人信息提供了出境認證的合規(guī)路徑；第62 條第(四)項對個人信息開展認證服務，推進個人信息保護社會化服務體系建設作了規(guī)定。此次《實施規(guī)則》的出臺標志著《個人信息保護法》中認證工作的具體實施有了明確依據(jù)，為數(shù)據(jù)出境中的“認證”路徑提供了有力支撐，同時也對個人信息保護社會化服務體系建設提供了有效保障與落地方案。

如前所述，《實施規(guī)則》明確了認證的依據(jù)為GB/T 35273《信息安全技術 個人信息安全規(guī)范》與TC260-PG-20222A《個人信息跨境處理活動安全認證規(guī)范》，前者面向一般情況下的個人信息保護認證，后者則應對于特殊情景中的個人信息跨境認證。也就是說，《實施規(guī)則》是將個人信息保護認證和個人信息跨境認證“合二為一”。兩者區(qū)別在于，個人信息保護認證針對的是認證委托人對于個人信息保護的水平，認證結果是對委托人個人信息保護能力和資格的評價；而個人信息跨境認證針對的是委托人在個人信息跨境傳輸場景下的數(shù)據(jù)處理行為，認證結果是認證機構對于委托人具體數(shù)據(jù)處理活動的特殊認證。

《認證認可條例》第2 條明確了認證的對象為“產(chǎn)品、服務、管理體系”，認可的對象則是“認證機構、檢查機構、實驗室以及從事評審、審核等認證活動人員的能力和執(zhí)業(yè)資格”，認證制度主要適用于企業(yè)，認可制度則是對認證機構及其人員的監(jiān)督機制。根據(jù)《認證認可條例》，認證是要證明產(chǎn)品、服務、管理體系符合“相關技術規(guī)范、相關技術規(guī)范的強制性要求或者標準”。申請個人信息保護認證的個人信息處理者應當符合GB/T 35273《信息安全技術 個人信息安全規(guī)范》的要求；但如果要在個人信息出境時采信認證結論，還需針對個人信息出境場景增加認證要求，即還必須符合《個人信息跨境處理活動安全認證規(guī)范》的要求。這相當于，我國既建立了通用的個人信息保護認證制度，又建立了針對數(shù)據(jù)出境場景的個人信息出境認證制度。后者是前者的補充，前者是后者的基礎(如表1 所示)[1]。

表1 《實施規(guī)則》的制度設計

《認證認可條例》第十七條指出，“認證機構應當按照認證基本規(guī)范、認證規(guī)則從事認證活動。認證基本規(guī)范、認證規(guī)則由國務院認證認可監(jiān)督管理部門制定；涉及國務院有關部門職責的，國務院認證認可監(jiān)督管理部門應當會同國務院有關部門制定。”這實際上指出了認證認可監(jiān)管思路——在專業(yè)領域涉及到國務院有關部門職責的，由國務院認證認可監(jiān)督管理部門會同國務院有關部門共同管理。因此，這項工作既涉及認證認可監(jiān)管部門，也涉及數(shù)據(jù)安全監(jiān)管部門。上一輪機構改革中，國家認證認可監(jiān)督管理委員會職責已劃入國家市場監(jiān)督管理總局。因此，數(shù)據(jù)安全認證這項工作，由國家市場監(jiān)管總局和國家互聯(lián)網(wǎng)信息辦公室共同負責[4]。

認證制度是目前國際通用的一種的第三方審核制度，由獨立于被規(guī)制對象的專業(yè)機構依據(jù)標準和技術規(guī)范，通過調(diào)查取證、審核檢驗，對產(chǎn)品、服務或企業(yè)的管理體系、人員能力等合規(guī)情況進行評價與認定，是國家質(zhì)量基礎建設工程的基礎項目之一。

從制度設計之初來看，在市場規(guī)模較大、需要開展專業(yè)化的檢測檢驗工作的領域，行政監(jiān)管通常難以實現(xiàn)全面、有效的覆蓋[5]。在此背景之下，政府可以利用市場的力量，借助第三方機構的私人資源和專業(yè)優(yōu)勢開展認證工作，這樣不僅可以彌補傳統(tǒng)規(guī)制的不足，還可以提高專業(yè)水平、降低政府成本，同時也符合社會多元主體的利益期待[6]。

從歷史發(fā)展過程來看，認證機制的制度演進體現(xiàn)出“自下而上”的社會共治理念。歐盟數(shù)據(jù)認證制度就經(jīng)歷了“自我聲明—第三方認證—政府監(jiān)管下數(shù)據(jù)認證”的演進過程。GDPR 第42 條確立了“經(jīng)批準的數(shù)據(jù)認證制度”，強調(diào)了公私合作的治理理念。數(shù)據(jù)監(jiān)管當局全程監(jiān)督并有權“干預”整個認證過程和認證結果，能夠有效克服第三方認證的機制缺陷[7-8]。

從我國實踐歷程來看，認證制度首次出現(xiàn)在我國網(wǎng)絡安全工作領域，源于2004 年10 月的《關于建立國家信息安全產(chǎn)品認證認可體系的通知》。在此之前，政府對社會的治理，更多地采用行政許可手段。而在規(guī)劃國家信息安全產(chǎn)品認證認可體系建設時，我國便明確了政事分開、發(fā)揮認證認可制度作用的原則，凡可以通過認證認可解決的檢測、評審，原則上不再設立行政許可。《數(shù)據(jù)安全法》《個人信息保護法》發(fā)布施行后，建立科學高效的數(shù)據(jù)安全治理體系的任務便被提上議事日程，認證認可制度成為重要的數(shù)據(jù)治理手段[4]。

《實施規(guī)則》的出臺進一步完善了我國的數(shù)據(jù)安全治理體系，明確了數(shù)據(jù)安全認證的制度安排和規(guī)范依據(jù)。不過，認證工作的開展是一個動態(tài)治理的過程，需要多方主體的共同參與，既依靠國家網(wǎng)信部門的統(tǒng)籌協(xié)調(diào)，也有賴于社會認證機構的持續(xù)監(jiān)督。將來，依據(jù)《個人信息保護法》和《認證認可條例》，我國的認證工作沿著《實施規(guī)則》的制度設計徐徐展開，在社會多元主體的協(xié)同共治下，個人信息保護格局也將朝著共建共治共享的治理樣態(tài)發(fā)展。

3 《實施規(guī)則》的實踐意義

本次《實施規(guī)則》的頒布及時回應了個人信息保護和數(shù)據(jù)跨境流動的需要，對于數(shù)字時代的網(wǎng)絡強國建設具有重大意義，體現(xiàn)出我國構筑數(shù)據(jù)法治體系以及推進國家治理能力現(xiàn)代化所作出的努力?！秾嵤┮?guī)則》在擴展認證范圍、促進數(shù)據(jù)出境、明晰侵權責任和推動國際互認方面具有重要的實踐意義。

3.1 擴展認證范圍

《實施規(guī)則》是我國首個關于個人信息保護認證的專項制度，也是我國建立的第三種數(shù)據(jù)安全認證制度。此前建立的兩種數(shù)據(jù)安全認證制度分別是App 安全認證以及數(shù)據(jù)安全管理認證。其中，2019年3 月發(fā)布的《移動互聯(lián)網(wǎng)應用程序(App)安全認證實施規(guī)則》 屬于產(chǎn)品認證；2022 年6 月份發(fā)布的《數(shù)據(jù)安全管理認證實施規(guī)則》 側重于數(shù)據(jù)安全管理能力。本次建立的個人信息保護認證制度是以認證認可為手段證明個人信息保護能力的一種認證方式，適用范圍最廣。比如某機構提供數(shù)據(jù)脫敏服務，可以為這種服務申請一張個人信息保護證書，從而表明具備服務能力；某機構是產(chǎn)品供應方，則可以為其產(chǎn)品申請一張個人信息處理過程符合有關標準的證書；各機構也可以為自身管理體系申請個人信息保護證書，當前很有影響力的 ISO 27701隱私信息管理體系認證便屬于此類[4]。

3.2 促進數(shù)據(jù)出境

個人信息保護認證是《個人信息保護法》第三十八條規(guī)定的數(shù)據(jù)出境合規(guī)體系的三條路徑之一?！秾嵤┮?guī)則》的出臺是落實《個人信息保護法》跨境數(shù)據(jù)流動認證路徑的重要舉措，及時填補了我國數(shù)據(jù)出境制度的實施細則空白。經(jīng)過安全評估后出境和利用標準合同出境有著各自特殊的適用條件和應用場景，而個人信息保護認證作為并列的法定出境機制之一，能夠和前兩者產(chǎn)生有效的機制協(xié)調(diào)和銜接，共同助力數(shù)據(jù)跨境安全、自由流動，促進數(shù)據(jù)出境[9]。

3.3 明晰侵權責任

認證機構為認證申請人頒發(fā)的認證證書將給企業(yè)提供履行個人信息保護義務的合規(guī)證明，有助于明晰個人信息侵權責任。根據(jù)《個人信息保護法》第69 條規(guī)定，“處理個人信息侵害個人信息權益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償?shù)惹謾嘭熑巍?。也就是說，若個人信息處理者能夠證明自身已履行個人信息保護義務，對于個人信息損害不存在過錯，就能夠降低個人信息侵權損害賠償?shù)姆韶熑危瑴p少企業(yè)數(shù)據(jù)合規(guī)風險。更為清晰的權責邊界也將為個人信息侵權訴訟的展開奠定基礎，為數(shù)字時代的個人信息權益提供更好的保護。

3.4 推動國際互認

《實施規(guī)則》將《個人信息保護法》個人信息出境的相關規(guī)定具體化和可操作化，有利于和國際數(shù)據(jù)跨境流動認證制度相接軌，為未來相關認證的國際互認奠定基礎。認證是全球個人信息保護實踐當中的通行做法，國際上常見的個人信息保護相關認證包括以歐盟《通用數(shù)據(jù)保護條例》(GDPR_ 為基礎確立的個人數(shù)據(jù)跨境傳輸認證，與GDPR 相關的ePrivacy 認證，美國的TRUSTe 認證機制和亞太經(jīng)濟合作組織APEC 框架下的CBPR 認證，以及盧森堡數(shù)據(jù)保護機關新近推出包含個人數(shù)據(jù)跨境傳輸場景的GDPR-CARPA 認證機制[9]。

目前，認證機制應用于數(shù)據(jù)出境管理仍缺少足夠?qū)嵺`，國際上認證認可結果的互認存在困難[10]。嚴格意義上，歐盟尚未建立專用于數(shù)據(jù)出境的認證制度。鑒于數(shù)據(jù)安全的敏感性，我國當前對國際互認秉持審慎態(tài)度[11]。以我國現(xiàn)行法律法規(guī)為依據(jù)，比較借鑒域外權威認證機制建立個人信息保護認證，一方面有利于全面、及時回應跨境數(shù)據(jù)治理的全球態(tài)勢；另一方面也有利于務實推動中國數(shù)據(jù)治理規(guī)則的國際化實現(xiàn)[9]?！秾嵤┮?guī)則》構建的中國個人信息保護認證規(guī)則同時助力中國企業(yè)跨越數(shù)字鴻溝，共同構建可信任的國際數(shù)據(jù)跨境流動體系，為企業(yè)更好地融入全球商貿(mào)環(huán)境、開展國際貿(mào)易保駕護航。

4 結論

《中共中央 國務院關于構建數(shù)據(jù)基礎制度更好發(fā)揮數(shù)據(jù)要素作用的意見》(簡稱“數(shù)據(jù)二十條”)指出，要推動個人信息保護認證制度的建立，加強企業(yè)數(shù)據(jù)合規(guī)體系建設，引導企業(yè)通過認證提升數(shù)據(jù)安全管理水平，有序培育合規(guī)認證的第三方專業(yè)服務機構，積極參與認證評估相關國際規(guī)則和數(shù)字技術標準制定，促進數(shù)據(jù)合規(guī)安全有序流通利用。此次《實施規(guī)則》的頒布，標志著中國個人信息保護規(guī)則體系與數(shù)據(jù)合規(guī)制度建設又向前邁出了一步，數(shù)據(jù)跨境的第三條路也被緩緩打通。在《個人信息保護法》和《認證認可條例》制度支撐下，《實施規(guī)則》從認證范圍、認證依據(jù)、認證程序、認證標識和認證責任等方面對個人信息保護認證規(guī)則進行了整體構建，在擴展認證范圍、促進數(shù)據(jù)出境、明確侵權責任、推動國際互認等方面具有重要的實踐意義。

個人信息保護體系與數(shù)據(jù)跨境流動機制下的認證制度仍有諸多問題亟待澄清，認證制度的真正落地仍待合理可行的實施細則的制定與公布。比如，正在編制中的國家標準《信息安全技術個人信息跨境傳輸認證要求》擬明確個人信息跨境提供的安全原則、安全要求和認證規(guī)則，該標準是否能夠成為個人信息保護認證的第三個依據(jù)，暫未有定論。又如，作為數(shù)據(jù)跨境傳輸機制適用的個人信息保護認證制度對于全球數(shù)據(jù)治理而言仍是一個新問題——即便各國已相繼構建與之適應的法律體系。這意味著，《實施規(guī)則》的頒布僅是一個開始，在如何發(fā)揮認證的實際作用方面，仍需對實施細則展開深入研究[4]。

就個人信息出境認證而言，《實施規(guī)則》《數(shù)據(jù)出境安全評估辦法》《個人信息出境標準合同規(guī)定(征求意見稿)》共同構成了《個人信息保護法》第三十八條規(guī)定的個人信息跨境傳輸?shù)木唧w落地規(guī)則。三條合規(guī)路徑原本在法律設計上是擇其一即可使個人信息出境，但實踐中考慮到某些重要個人信息的公共屬性等，有可能使得這三種路徑需重復適用才能滿足合規(guī)要求。就個人信息保護認證制度體系化和實施合規(guī)性而言，認證機制的有效推行不僅需要滿足《實施規(guī)則》的要求，還需要協(xié)調(diào)《實施規(guī)則》與其上位法《個人信息保護法》和《認證認可條例》之間的關系，同時需要滿足《實施規(guī)則》所規(guī)定的相關技術規(guī)范、國家標準以及認證機構制定的實施細則的要求，實踐層面的法律合規(guī)面臨著相當大的挑戰(zhàn)，個人信息保護認證規(guī)則體系化仍任重道遠。

從合作規(guī)制理論視角來看，構建法治化的個人信息保護認證體制機制，不僅是保障數(shù)據(jù)安全的現(xiàn)實需要，而且是彌補數(shù)字時代政府規(guī)制缺陷的迫切需求。作為去中心化的第三方規(guī)制，數(shù)據(jù)安全認證是一種全新理念。第三方規(guī)制同政府規(guī)制、自我規(guī)制一道共同構成了完善的規(guī)制法體系。在“放管服”改革深入推進和國家治理能力現(xiàn)代化的背景下，需要政府、互聯(lián)網(wǎng)企業(yè)、數(shù)據(jù)安全認證機構、網(wǎng)絡用戶、社會公眾等多方主體開展公私合作治理，相互取長補短，協(xié)同完成保障數(shù)據(jù)安全并促進數(shù)據(jù)高效流通利用的公共任務[3]。作為共同治理的方案之一，個人信息保護認證規(guī)則在推動創(chuàng)新的同時，也向市場主體提供相應信息，使得企業(yè)根據(jù)認證規(guī)則錨定的基準向消費者展示其個人信息保護水平[12]，從而促進數(shù)據(jù)可信流通利用體系建設，為市場交易提供低成本、高效率、可信賴的流通環(huán)境，在安全可信、包容創(chuàng)新、公平開放、監(jiān)管有效的多方主體合作共治環(huán)境下推動數(shù)據(jù)要素更好地發(fā)揮價值。