從認(rèn)證全過程視角理解與完善個人信息保護(hù)認(rèn)證制度

聶磊磊

(中國人民公安大學(xué) 法學(xué)院，北京 100038)

0 引言

個人信息保護(hù)認(rèn)證是個人信息出境中與安全評估、標(biāo)準(zhǔn)合同并列的出境制度，除了法律等有例外規(guī)定的場合，一般個人信息出境都可以適用認(rèn)證制度。認(rèn)證制度在我國傳統(tǒng)領(lǐng)域經(jīng)常適用，但自《個人信息保護(hù)法》實施后，個人信息保護(hù)認(rèn)證制度才開始運用于我國個人信息出境的場景。雖然運用至今仍在不斷發(fā)布指南為其具體落實提供指引，但實施的效果差強人意。因此，有必要對個人信息保護(hù)認(rèn)證制度實施以來的情況進(jìn)行分析，以實現(xiàn)個人信息安全與自由流動之間的利益衡平。

1 個人信息保護(hù)認(rèn)證基本概述及價值

1.1 個人信息保護(hù)認(rèn)證基本概述

個人信息保護(hù)認(rèn)證是個人信息跨境提供中的出境制度之一，是個人信息安全相關(guān)認(rèn)證的統(tǒng)稱，跨境處理活動認(rèn)證是其中針對個人信息跨境場景的特定認(rèn)證類型。與歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)規(guī)定相類似，GDPR認(rèn)證同樣是數(shù)據(jù)保護(hù)認(rèn)證機制的統(tǒng)稱，GDPR第46條第2款第f項提出的認(rèn)證只是GDPR認(rèn)證中針對個人跨境場景的特定認(rèn)證類型。我國個人信息保護(hù)認(rèn)證的上位法依據(jù)包括《個人信息保護(hù)法》《中華人民共和國認(rèn)證認(rèn)可條例》(以下簡稱《認(rèn)證認(rèn)可條例》)，根據(jù)《認(rèn)證認(rèn)可條例》，認(rèn)證是指由認(rèn)證機構(gòu)證明產(chǎn)品、服務(wù)、管理體系符合相關(guān)技術(shù)規(guī)范、相關(guān)技術(shù)規(guī)范的強制性要求或者標(biāo)準(zhǔn)的合格評定活動。

目前，在個人信息跨境流動中存在單邊、雙邊和多邊認(rèn)證機制。單邊認(rèn)證機制以歐盟“有約束力的公司規(guī)則”(BCRs)為典型，雙邊認(rèn)證機制以美國和歐盟之間已經(jīng)失效的“安全港”(Safe Harbor)和“隱私盾”(Privacy Shield)協(xié)議為代表，多邊認(rèn)證機制則以美國主導(dǎo)的“全球跨境隱私規(guī)則”(CBPRs)為代表[1]，我國的個人信息保護(hù)認(rèn)證制度屬于單邊認(rèn)證機制。但根據(jù)我國法律規(guī)定，涉及國家安全和公共利益的一些重要數(shù)據(jù)必須通過安全評估后才允許出境。同時，適用個人信息保護(hù)認(rèn)證進(jìn)行個人信息出境時，也要進(jìn)行個人信息保護(hù)影響評估，由企業(yè)自行評估是否具備出境的條件。

我國個人信息保護(hù)認(rèn)證機制的運行規(guī)則是要求個人信息處理者和境外接收方簽訂一系列法律協(xié)議，并承諾遵守統(tǒng)一的個人信息跨境處理規(guī)則，再獲得認(rèn)證機構(gòu)認(rèn)證即可進(jìn)行個人信息出境。根據(jù)《個人信息保護(hù)認(rèn)證實施規(guī)則》(以下簡稱《認(rèn)證實施規(guī)則》)，個人信息保護(hù)認(rèn)證的認(rèn)證模式為“技術(shù)驗證+現(xiàn)場審核+獲證后監(jiān)督”。具體步驟是由認(rèn)證委托人先行提交認(rèn)證委托資料，包括認(rèn)證委托人基本資料、認(rèn)證委托書、相關(guān)證明文檔等，認(rèn)證機構(gòu)據(jù)此確定認(rèn)證方案；其次，技術(shù)驗證機構(gòu)根據(jù)認(rèn)證方案出具技術(shù)驗證報告，認(rèn)證機構(gòu)出具現(xiàn)場審核報告；最后，認(rèn)證機構(gòu)根據(jù)上述信息決定是否給予認(rèn)證，對符合條件的頒發(fā)認(rèn)證證書，不符合條件的要求其限期整改，整改后仍不符合條件的則終止認(rèn)證。同時，認(rèn)證機構(gòu)應(yīng)當(dāng)在認(rèn)證有效期內(nèi)對獲得認(rèn)證的個人信息處理者進(jìn)行持續(xù)監(jiān)督。在個人信息出境的情況下，個人信息持有方發(fā)生變化，適用的法律法規(guī)也發(fā)生變化，境內(nèi)監(jiān)管機關(guān)有可能無法對境外接收方行使管轄權(quán)，并且個人信息主體維護(hù)自身合法權(quán)益的渠道變少也變得更加困難，但個人信息保護(hù)認(rèn)證制度可以有效緩解這些風(fēng)險。

隨著數(shù)據(jù)全球化的發(fā)展，當(dāng)前跨境經(jīng)濟(jì)活動的多樣性和復(fù)雜性日益攀升，相應(yīng)地要求數(shù)據(jù)出境方式要與時俱進(jìn)。雖然個人信息保護(hù)認(rèn)證在個人信息跨境提供時既安全又方便快捷，但要進(jìn)一步地對敏感個人信息提高認(rèn)證標(biāo)準(zhǔn)，推動實現(xiàn)個人信息跨境流動的合法事由多元化，并對企業(yè)數(shù)據(jù)保護(hù)能力進(jìn)行認(rèn)證[2]。我國分別于2022年6月和11月出臺了《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南 個人信息跨境處理活動安全認(rèn)證規(guī)范》(v1.0)版本和(v2.0征求意見稿)版本(以下統(tǒng)一簡稱《認(rèn)證規(guī)范》)為個人信息保護(hù)認(rèn)證的具體落實提供指引，也于2023年3月發(fā)布了《信息安全技術(shù) 個人信息跨境傳輸認(rèn)證要求》征求意見稿(以下簡稱《認(rèn)證要求》)進(jìn)一步完善個人信息保護(hù)認(rèn)證制度。雖然國內(nèi)制度為個人信息跨境提供確立了運行的基本原則，并對認(rèn)證機構(gòu)和個人信息處理者提出了基本要求，但僅是一些原則性和基礎(chǔ)性的規(guī)則指引，需要結(jié)合未來趨勢和國外經(jīng)驗進(jìn)行進(jìn)一步的優(yōu)化和完善。我國個人信息保護(hù)認(rèn)證相關(guān)法律文件如表1所示。

表1 我國個人信息保護(hù)認(rèn)證相關(guān)法律文件

國外關(guān)于個人信息保護(hù)認(rèn)證的法律規(guī)定主要有歐盟BCRs和《關(guān)于認(rèn)證作為跨境傳輸工具的07/2022號指南》(以下簡稱“《AC認(rèn)證指南》”)[3]。BCRs規(guī)定的認(rèn)證流程是先由企業(yè)制定BCRs，且該BCRs獲得了數(shù)據(jù)保護(hù)機關(guān)的批準(zhǔn)，最后基于經(jīng)批準(zhǔn)的認(rèn)證機制進(jìn)行個人信息的轉(zhuǎn)移。而《AC認(rèn)證指南》是由第三國數(shù)據(jù)接收方自愿申請認(rèn)證，并由監(jiān)管部門批準(zhǔn)的認(rèn)證機構(gòu)進(jìn)行評估決定是否給予認(rèn)證，最后基于該認(rèn)證進(jìn)行個人信息跨境傳輸。對比國內(nèi)外關(guān)于指導(dǎo)個人信息保護(hù)認(rèn)證的文件來看，《認(rèn)證規(guī)范》中規(guī)定的認(rèn)證范圍和BCRs的主要適用情形都是關(guān)聯(lián)企業(yè)之間的數(shù)據(jù)傳輸，這就是我國個人信息保護(hù)認(rèn)證在框架設(shè)計上與BCRs高度相似的原因。但最新的《認(rèn)證要求》開始向《AC認(rèn)證指南》靠攏，《認(rèn)證要求》刪除了之前《認(rèn)證規(guī)范》明確的幾個申請認(rèn)證主體，比如大型跨國關(guān)聯(lián)企業(yè)等主體，但又沒有明確新的申請認(rèn)證主體，未來的申請認(rèn)證主體范圍必定更大。而《AC認(rèn)證指南》的適用范圍則非常廣泛，只要數(shù)據(jù)處理活動是將歐盟保護(hù)的個人信息從歐盟境內(nèi)傳輸出境，境外接收方就可以就該系列或單個數(shù)據(jù)處理活動申請認(rèn)證[4]?！禔C認(rèn)證指南》被用于指導(dǎo)GDPR下認(rèn)證機制的實踐應(yīng)用，解決了GDPR中認(rèn)證作為傳輸工具時的具體要求。縱觀國外，個人信息保護(hù)認(rèn)證的發(fā)展過程是從小范圍的跨國企業(yè)之間到大范圍的所有個人信息跨境傳輸，從BCRS到《AC認(rèn)證指南》。這是未來個人信息保護(hù)認(rèn)證的發(fā)展趨勢，也是全球化下個人信息傳輸所倒逼的要求，也是為何我國最新的《認(rèn)證要求》開始向《AC認(rèn)證指南》靠攏的原因。

目前，對個人信息跨境流動的規(guī)制主要是通過法律規(guī)則進(jìn)行，比如歐盟GDPR規(guī)定的“充分性保護(hù)認(rèn)定+不存在充分性保護(hù)認(rèn)定時的減損”模式最具代表性(我國個人信息出境制度中的安全評估和標(biāo)準(zhǔn)合同都屬于此類)。同時，需要探索綜合性的個人信息跨境流動多元治理機制，以實現(xiàn)個人信息跨境流動法律規(guī)則有效地實施。在大數(shù)據(jù)背景下，個人信息在商業(yè)領(lǐng)域得到充分利用，其私權(quán)屬性趨于弱化但其社會屬性逐漸突顯。個人信息作為一種數(shù)據(jù)資產(chǎn)，在對其價值進(jìn)行挖掘促進(jìn)個人信息自由流動的同時，還要兼顧對個人信息的保護(hù)，做到個人信息保護(hù)與利用之間的平衡[5]。個人信息保護(hù)認(rèn)證可以實現(xiàn)雙方之間利益關(guān)系的平衡[6]。我國應(yīng)在堅持完善安全評估制度的基礎(chǔ)下，有效落實既能維護(hù)個人信息安全又能促進(jìn)個人信息自由流動的個人信息保護(hù)認(rèn)證制度，使其作為安全評估制度的重要補充[7]。

1.2 個人信息保護(hù)認(rèn)證的實施價值

我國個人信息出境制度目前有三個，包括安全評估、標(biāo)準(zhǔn)合同和認(rèn)證制度。安全評估制度可以很好地保障國家安全和社會公共利益，但在促進(jìn)個人信息自由流動方面存在不足。標(biāo)準(zhǔn)合同是由國家有關(guān)機關(guān)事先擬定好的，在合同生效后即可開展個人信息出境活動，雖然通過合同形式實現(xiàn)出境便利，但在保障個人信息安全方面尚有欠缺。而認(rèn)證制度比安全評估有更加自由的流動性，比標(biāo)準(zhǔn)合同有更加穩(wěn)定的安全性，具有顯著的實施價值和現(xiàn)實意義。

首先，安全評估制度是我國個人信息出境中的核心制度。安全評估的適用范圍由“處理100萬人以上個人信息的數(shù)據(jù)處理者向境外提供個人信息”把握上限，由“自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數(shù)據(jù)處理者向境外提供個人信息”把握下限。這兩方面的規(guī)定可以將我國絕大部分的個人信息出境活動交予安全評估制度來進(jìn)行，其適用范圍過于寬廣，導(dǎo)致三大出境制度的并列關(guān)系實質(zhì)上變成了安全評估制度優(yōu)先適用。同時，其評估流程較為復(fù)雜，專業(yè)性較強，成本較高?；诔杀九c收益模型，個人信息處理者可能會以本地化存儲代替安全評估[8]。

其次，標(biāo)準(zhǔn)合同與安全評估的適用范圍是互補的，在安全評估的適用范圍之外可以適用標(biāo)準(zhǔn)合同。標(biāo)準(zhǔn)合同的內(nèi)容不允許雙方任意更改，雙方如有其他的約定可在附錄部分詳述，附錄構(gòu)成標(biāo)準(zhǔn)合同的組成部分，標(biāo)準(zhǔn)合同在簽訂生效之后進(jìn)行備案即可。認(rèn)證制度在簽訂具有法律約束力和執(zhí)行力的文件之后還需要提交有關(guān)部門認(rèn)證。雖然認(rèn)證制度和標(biāo)準(zhǔn)合同都比安全評估有更加自由的流動性，但標(biāo)準(zhǔn)合同主要憑當(dāng)事人雙方之間自覺，而認(rèn)證有認(rèn)證機構(gòu)背書，認(rèn)證比標(biāo)準(zhǔn)合同有更加穩(wěn)定的安全性。

最后，個人信息保護(hù)認(rèn)證制度在對企業(yè)、政府和個人的影響方面也發(fā)揮著其獨特的價值。認(rèn)證可以約束大型互聯(lián)網(wǎng)企業(yè)的行為，促使其不斷完善個人信息跨境提供中合規(guī)制度的建設(shè)；可以促進(jìn)新興中小互聯(lián)網(wǎng)企業(yè)發(fā)展，能夠讓企業(yè)在面對個人信息主體社群、合作伙伴乃至監(jiān)管機關(guān)時樹立穩(wěn)健可信的品牌形象[9]。同時，認(rèn)證屬于第三方規(guī)制，賦予認(rèn)證機構(gòu)“守門人”的義務(wù)，可以減少政府的負(fù)擔(dān)，幫助行政機關(guān)發(fā)現(xiàn)或阻止違法行為[10]。認(rèn)證還可以增強個人信息主體對個人信息處理者的信任，從另一個方面表明個人信息主體是“真正同意”個人信息處理者處理自己的個人信息[11]。

2 關(guān)鍵節(jié)點：個人信息保護(hù)認(rèn)證機構(gòu)的資質(zhì)

個人信息保護(hù)認(rèn)證作為第三方規(guī)制行為，認(rèn)證機構(gòu)是其中的關(guān)鍵環(huán)節(jié)，要求認(rèn)證機構(gòu)需具備公平性和專業(yè)性這兩個方面的資質(zhì)。為了保證認(rèn)證的專業(yè)性，要求對認(rèn)證機構(gòu)進(jìn)行專業(yè)合規(guī)制度建設(shè)并提高工作人員的專業(yè)水平和專業(yè)素養(yǎng)。為了充分實現(xiàn)認(rèn)證機構(gòu)的公平性和專業(yè)性，應(yīng)加快建立非政府性、非盈利性的社會組織型專業(yè)個人信息保護(hù)認(rèn)證機構(gòu)[12]。

2.1 公平性

2.1.1 認(rèn)證機構(gòu)不得與行政機關(guān)存在利益關(guān)系

中國的認(rèn)證體制是在政府主導(dǎo)下自上而下確立的，同國外從市場出發(fā)的認(rèn)證體制有著重要差別[13]。中國大部分的認(rèn)證機構(gòu)具有濃厚的行政管理色彩，往往導(dǎo)致第三方獨立認(rèn)證變成單方面管理和審批。國際上很多有影響力的認(rèn)證機構(gòu)都是非政府性質(zhì)的組織，與政府有關(guān)聯(lián)的認(rèn)證機構(gòu)可能會導(dǎo)致認(rèn)證不力、認(rèn)證不公，進(jìn)而損害政府監(jiān)管部門的權(quán)威性。《認(rèn)證認(rèn)可條例》第13條第1款規(guī)定：“認(rèn)證機構(gòu)不得與行政機關(guān)存在利益關(guān)系?！薄蛾P(guān)于促進(jìn)市場公平競爭維護(hù)市場正常秩序的若干意見》提出，“推進(jìn)檢驗檢測認(rèn)證機構(gòu)與政府脫鉤、轉(zhuǎn)制為企業(yè)或社會組織的改革”。

2.1.2 認(rèn)證機構(gòu)應(yīng)獨立于企業(yè)

在傳統(tǒng)的認(rèn)證領(lǐng)域，存在著與企業(yè)利益緊密相關(guān)的“企業(yè)型”認(rèn)證機構(gòu)，企業(yè)通常會選擇投其所“好”的第三方認(rèn)證機構(gòu)。第三方認(rèn)證機構(gòu)通過頒發(fā)虛假的認(rèn)證從企業(yè)那里牟利，企業(yè)依靠虛假的認(rèn)證騙取個人信息主體的信任獲得其個人信息，并對個人信息進(jìn)行處理來牟利。認(rèn)證成為一個完整利益鏈條中關(guān)鍵一環(huán)，“認(rèn)證變認(rèn)錢”，認(rèn)證亂象叢生。通過虛假認(rèn)證騙取的個人信息，其后續(xù)對個人信息的處理會超出個人信息主體真正同意的范圍而產(chǎn)生安全風(fēng)險。在未來的個人信息跨境認(rèn)證市場領(lǐng)域的認(rèn)證機構(gòu)難免出現(xiàn)這種情況，“給錢就給過，不給就刁難”。這樣的風(fēng)氣甚至?xí)斐梢恍﹪?yán)格遵守認(rèn)證規(guī)則的認(rèn)證機構(gòu)被迫退出市場或者也成為這樣的違法認(rèn)證機構(gòu)，形成“劣幣追逐良幣”的惡性市場，嚴(yán)重擾亂認(rèn)證市場秩序。

2.2 專業(yè)性

當(dāng)前，利用個人信息從事違法犯罪的方式種類日益多樣化，要求具有更高水平可以與之相對應(yīng)的專業(yè)性認(rèn)證機構(gòu)對企業(yè)的個人信息保護(hù)能力進(jìn)行認(rèn)證。只有被政府和同行業(yè)共同認(rèn)可的認(rèn)證機構(gòu)才能從事認(rèn)證工作。認(rèn)證機構(gòu)需要從事認(rèn)證工作的專業(yè)人員既要熟悉與認(rèn)證相關(guān)的法律，也要熟知計算機等專業(yè)技術(shù)方面的知識。《認(rèn)證要求》、BCRs和《AC認(rèn)證指南》均要求企業(yè)有義務(wù)對員工提供個人信息保護(hù)方面的培訓(xùn)，并且對持久或經(jīng)常訪問個人數(shù)據(jù)的人員，或參與個人數(shù)據(jù)收集的人員，或開發(fā)個人數(shù)據(jù)處理工具的人員進(jìn)行專門的培訓(xùn)[14]。同時，個人信息保護(hù)認(rèn)證機構(gòu)作為新設(shè)機構(gòu)，可以與傳統(tǒng)檢測、鑒定等機構(gòu)合作開展個人信息保護(hù)認(rèn)證，來彌補起步初期專業(yè)性不足的缺陷，甚至將涉及某方面的認(rèn)證權(quán)力下放給專業(yè)性更強的檢測機構(gòu)來進(jìn)行認(rèn)證，但最后決定是否給予認(rèn)證的權(quán)力應(yīng)牢牢把握在認(rèn)證機構(gòu)自己的手里，防止認(rèn)證機構(gòu)不承擔(dān)自己的認(rèn)證義務(wù)，或者變相將認(rèn)證義務(wù)轉(zhuǎn)移給檢測等機構(gòu)。通過這些專業(yè)性機構(gòu)從技術(shù)上輔助認(rèn)證機構(gòu)的發(fā)展[15]，相應(yīng)地要求認(rèn)證機構(gòu)在未來要走“專精特新”路線，逐步實現(xiàn)認(rèn)證機構(gòu)與檢測等專業(yè)性機構(gòu)的合一。

3 優(yōu)化路徑：個人信息保護(hù)認(rèn)證的展開

當(dāng)前，個人信息保護(hù)認(rèn)證制度面臨著諸多挑戰(zhàn)，但與實踐需求尚有脫節(jié)，某些方面的規(guī)定也并不明確。本文從認(rèn)證前、認(rèn)證中、認(rèn)證后三個方面分析并提出改進(jìn)意見，主要包括認(rèn)證啟動機制、申請認(rèn)證的主體范圍及認(rèn)證標(biāo)準(zhǔn)和出現(xiàn)問題后的責(zé)任分配。

3.1 認(rèn)證前：認(rèn)證啟動機制

認(rèn)證如何啟動是進(jìn)行個人信息保護(hù)認(rèn)證的第一步，主要包括自愿認(rèn)證和強制認(rèn)證兩種形式。從歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)來看，其主張自愿認(rèn)證機制，鼓勵建立認(rèn)證機制和使用數(shù)據(jù)保護(hù)印章、標(biāo)記，以使數(shù)據(jù)主體能夠快速評估相關(guān)產(chǎn)品和服務(wù)的數(shù)據(jù)保護(hù)水平。我國為做到“放管結(jié)合，優(yōu)化服務(wù)”的目的也實行自愿認(rèn)證，通過市場手段保證放而不亂，同時提高認(rèn)證水平、規(guī)范認(rèn)證秩序和提升企業(yè)的合規(guī)能力。但自愿認(rèn)證制度因認(rèn)證的方式和標(biāo)準(zhǔn)不是統(tǒng)一的，存在一定的局限性和區(qū)域性，無法滿足統(tǒng)一管理的要求，且不利于我國認(rèn)證制度“走出去”和實現(xiàn)國際互認(rèn)[16]。

我國在《認(rèn)證要求》中規(guī)定了自愿認(rèn)證原則，鼓勵開展個人信息跨境處理活動的個人信息處理者自愿申請個人信息保護(hù)認(rèn)證，充分發(fā)揮認(rèn)證在加強個人信息保護(hù)、提高個人信息跨境處理效率方面的作用。但也不能忽視強制認(rèn)證的作用，實證研究表明，強制認(rèn)證可以增強創(chuàng)新能力、提升管理能力和增加自愿認(rèn)證，“對企業(yè)生產(chǎn)率具有顯著正效應(yīng)”[17]。我國《認(rèn)證認(rèn)可條例》既鼓勵實施自愿認(rèn)證，但又對特殊領(lǐng)域?qū)嵤娭普J(rèn)證，其中第27條規(guī)定“為了保護(hù)國家安全、防止欺詐行為、保護(hù)人體健康或者安全、保護(hù)動植物生命或者健康、保護(hù)環(huán)境”，對相關(guān)產(chǎn)品實施強制認(rèn)證。強制認(rèn)證可以嚴(yán)格執(zhí)行國家的認(rèn)證要求，認(rèn)證更具有規(guī)范性和保障性，并且對特殊領(lǐng)域的保護(hù)更為強勁。因此，我國認(rèn)證啟動機制應(yīng)以自愿認(rèn)證為主，在特定領(lǐng)域?qū)嵭袕娭普J(rèn)證。

3.2 認(rèn)證中：認(rèn)證申請主體及認(rèn)證標(biāo)準(zhǔn)

3.2.1 申請認(rèn)證的主體范圍

目前，申請認(rèn)證的主體范圍前后規(guī)定不一致，在《認(rèn)證規(guī)范》中規(guī)定的申請認(rèn)證主體包括以下兩類：一是跨國公司或者同一經(jīng)濟(jì)、事業(yè)實體下屬子公司或關(guān)聯(lián)公司之間的個人信息跨境處理活動可由境內(nèi)一方申請認(rèn)證；二是境外個人信息處理者，可由其在境內(nèi)設(shè)置的專門機構(gòu)或指定代表申請認(rèn)證(如表2所示)?！墩J(rèn)證規(guī)范》的申請認(rèn)證的主體范圍基本等同于歐盟BCRs，可以申請個人信息保護(hù)認(rèn)證的基本都是一些大型跨國企業(yè)。但是在最新的《認(rèn)證要求》中刪除了之前所明確規(guī)定的兩類申請認(rèn)證主體，而現(xiàn)在又沒有明確可以申請認(rèn)證的主體范圍，僅規(guī)定了“本文件適用于認(rèn)證機構(gòu)對個人信息處理者跨境提供個人信息活動開展個人信息保護(hù)認(rèn)證，也適用于主管部門、第三方評估機構(gòu)等組織對個人信息處理者跨境提供個人信息進(jìn)行監(jiān)督、管理和評估?！闭f明適合采用認(rèn)證方式進(jìn)行個人信息跨境傳輸?shù)膫€人信息處理者包括但不限于《認(rèn)證規(guī)范》中的兩類主體，認(rèn)證申請主體應(yīng)為所有滿足一定條件的個人信息處理者。這偏向于歐盟《AC認(rèn)證指南》的規(guī)定，將更有利于中小企業(yè)在需要進(jìn)行個人信息跨境傳輸時申請認(rèn)證。隨著個人信息數(shù)量不斷增多和個人信息跨境傳輸業(yè)務(wù)逐漸擴(kuò)展到中小企業(yè)，在未來個人信息出境會變得越來越頻繁的情況下，對于任何有出境需求的個人信息處理者在符合法律規(guī)定和認(rèn)證相關(guān)要求的前提下都可以申請認(rèn)證，申請認(rèn)證的主體范圍擴(kuò)大化可以促進(jìn)個人信息跨境傳輸以及認(rèn)證市場的發(fā)展。

表2 《認(rèn)證規(guī)范》中可申請認(rèn)證的主體范圍

3.2.2 個人信息保護(hù)認(rèn)證標(biāo)準(zhǔn)

認(rèn)證標(biāo)準(zhǔn)是個人信息保護(hù)認(rèn)證的核心之一，個人信息保護(hù)認(rèn)證標(biāo)準(zhǔn)除了國家強制力認(rèn)證標(biāo)準(zhǔn)，還包括國際通用標(biāo)準(zhǔn)、國家推薦性標(biāo)準(zhǔn)、認(rèn)證機構(gòu)制定的標(biāo)準(zhǔn)和行業(yè)自律性標(biāo)準(zhǔn)等。制定認(rèn)證標(biāo)準(zhǔn)應(yīng)注重其可驗證性、重復(fù)性和適用性，以證明被測的個人信息處理操作符合法律的相關(guān)規(guī)定，認(rèn)證標(biāo)準(zhǔn)應(yīng)明確易懂，并具有可操作性[18]。我國法律規(guī)定，申請個人信息保護(hù)認(rèn)證的個人信息處理者應(yīng)符合《信息安全技術(shù) 個人信息安全規(guī)范》(GB/T 35273—2020)的要求，但認(rèn)證結(jié)論如要用于個人信息出境還需符合《認(rèn)證規(guī)范》的要求。同時，國家標(biāo)準(zhǔn)《認(rèn)證要求》的制定已經(jīng)完成第一輪征求意見稿階段。由于不同的主體之間因業(yè)務(wù)或者其他各種原因所需要的標(biāo)準(zhǔn)高低不同，應(yīng)當(dāng)建立并完善分級分類認(rèn)證標(biāo)準(zhǔn)制度。比如設(shè)定讓渡個人數(shù)據(jù)換取大數(shù)據(jù)服務(wù)的規(guī)則，視不同的個人信息傳輸重要程度和個人信息主體本身的需求適用不同的認(rèn)證標(biāo)準(zhǔn)，對于想用自己的個人信息換取便利且屬于一般個人信息的群體，可以選擇認(rèn)證標(biāo)準(zhǔn)較低但合法的認(rèn)證。對于個人敏感信息以及對安全要求高的群體，自然就要適用較高的認(rèn)證標(biāo)準(zhǔn)。

根據(jù)同等保護(hù)原則，要求境外接收方所在國認(rèn)證標(biāo)準(zhǔn)不低于我國的水平，與《AC認(rèn)證指南》遵循的同等保護(hù)標(biāo)準(zhǔn)一致。如果境外接收方所在國的保護(hù)水平低于我國，可以要求個人信息處理者和境外接收方采取必要措施保證其處理活動達(dá)到我國的認(rèn)證標(biāo)準(zhǔn)。但BCRs的要求更為嚴(yán)格，如果地方立法對個人數(shù)據(jù)提供了更高水平的保護(hù)，那么地方立法將優(yōu)先于BCRs適用。認(rèn)證標(biāo)準(zhǔn)的完善可以在關(guān)注國際整體發(fā)展形勢的基礎(chǔ)上，加強與外國法律體系的互動，促進(jìn)我國的認(rèn)證標(biāo)準(zhǔn)在未來逐步實現(xiàn)國際互認(rèn)的目標(biāo)[19]。

3.3 認(rèn)證后：個人信息保護(hù)認(rèn)證中的責(zé)任分配

《認(rèn)證要求》規(guī)定了責(zé)任明確原則，規(guī)定個人信息處理者和境外接收方應(yīng)履行法律法規(guī)規(guī)定的責(zé)任義務(wù)，在跨境處理個人信息時應(yīng)保障個人信息主體權(quán)益，并指定境內(nèi)一方、多方或者境外接收方在境內(nèi)設(shè)置的機構(gòu)對境外接收方損害個人信息權(quán)益的個人信息違規(guī)處理活動承擔(dān)民事法律責(zé)任。歐盟BCRs則要求集團(tuán)必須指定歐盟境內(nèi)的一個集團(tuán)成員，承擔(dān)集團(tuán)內(nèi)其他非歐盟成員的違反BCRs的責(zé)任后果，即責(zé)任承擔(dān)將集中到一個實體。對于司法管轄事項，《認(rèn)證要求》要求個人信息處理者和境外接收方均承諾遵守中華人民共和國個人信息保護(hù)有關(guān)法律、行政法規(guī)，接受中華人民共和國司法管轄；承諾與個人信息跨境處理有關(guān)的糾紛適用中華人民共和國相關(guān)法律法規(guī)。BCRs還規(guī)定，如果位于歐盟境外的集團(tuán)成員有違反BCRs的行為，歐盟境內(nèi)的法院或監(jiān)管當(dāng)局對該行為有管轄權(quán)。但在具體如何分配責(zé)任的問題上沒有明確規(guī)定，在私法方面可以參照《民法典》中關(guān)于責(zé)任分配的規(guī)定，在公法方面可以參照《刑法》和《行政法》關(guān)于責(zé)任追究的規(guī)定。在個人信息保護(hù)認(rèn)證中出現(xiàn)個人信息泄露等問題時主要有以下幾個主體需要承擔(dān)責(zé)任，包括監(jiān)管部門、認(rèn)證機構(gòu)、個人信息處理者、境外接收方。對這些主體進(jìn)行責(zé)任分配時存在私法上的歸責(zé)和公法上的追責(zé)兩種情況。

首先，在私法歸責(zé)上，將歸責(zé)主體以是否實際掌握個人信息區(qū)分為個人信息持有者和非個人信息持有者兩大類，前者包括個人信息處理者和境外接收方，后者包括認(rèn)證機構(gòu)和監(jiān)管部門。對于個人信息持有者來說，整體的歸責(zé)原則應(yīng)確立為過錯推定責(zé)任原則，即個人信息持有者負(fù)有證明自身無過錯的義務(wù)。根據(jù)“控制者義務(wù)理論”，任何人對自己控制的場所負(fù)有相應(yīng)的安全保障義務(wù)，并且要求控制者遵循收益與風(fēng)險相一致以及危險控制理念。一方面，個人信息持有者作為直接利益享有者，依靠個人信息的處理獲取收益；另一方面，個人信息持有者作為管理者，具有專業(yè)知識、能力、技術(shù)，能夠預(yù)見可能發(fā)生的危險和損害，在個人信息出現(xiàn)泄露等問題時，更有可能采取必要措施防止損害的發(fā)生或減輕損害，“監(jiān)督者控制潛在危險的義務(wù)通常來源于他對危險源的控制能力”[20]。對于非個人信息持有者來說，整體的歸責(zé)原則應(yīng)確立為過錯責(zé)任原則。認(rèn)證機構(gòu)和監(jiān)管部門作為第三方機構(gòu)，只是間接享有個人信息處理帶來的利益，二者并無直接的因果關(guān)系。在認(rèn)證機構(gòu)和監(jiān)管部門存在故意時應(yīng)承擔(dān)連帶責(zé)任，存在過失時應(yīng)承擔(dān)補充責(zé)任。如果認(rèn)證機構(gòu)和監(jiān)管部門沒有及時履行跟蹤監(jiān)督的法定作為義務(wù)，應(yīng)承擔(dān)連帶責(zé)任，此種責(zé)任屬于“特殊不作為義務(wù)連帶責(zé)任類型”[21]。

其次，因私法歸責(zé)具有一定的局限性，公法追責(zé)就起到了補充作用。在個人信息泄露時，特別是在個人信息出境的情況下，個人信息主體和個人信息持有者處于極不平等的地位，而且個人信息主體可能并不知情或者沒有有效的渠道去申請救濟(jì)，甚至?xí)蛟V訟漫長的時間而不堪重負(fù)主動撤訴。公法上一方面可以以《刑法》為指引對違法行為追究刑事責(zé)任；另一方面，基于傳統(tǒng)的威懾理論可以借鑒歐盟的重罰機制，追究其行政責(zé)任并提高違法成本，以此達(dá)到遵從法律的目的[22]。重罰的必要性在于當(dāng)處罰金額少于違法所得利益時難以發(fā)揮其威懾作用，因為依然有利可圖所以違法行為不會得到有效遏制[23]。同時，基于成本收益原理，罰款金額越高，即便在被處罰的概率下降的情況下，也能有效遏制違法行為[24]。通過在公法追責(zé)上嚴(yán)厲打擊違法行為人，倒逼其在私法歸責(zé)上履行自己的義務(wù)，從而更好地保障個人信息主體的權(quán)利。

4 結(jié)論

近幾年來由于全球數(shù)字經(jīng)濟(jì)的蓬勃發(fā)展，個人信息出境成為一種常態(tài)化活動，個人信息保護(hù)認(rèn)證制度作為第三方認(rèn)證開始適用于新興的出境規(guī)制。認(rèn)證制度的核心功能體現(xiàn)于，在個人信息處理者滿足《個人信息保護(hù)法》規(guī)定的“基線要求”的基礎(chǔ)上，為自愿實施更具保護(hù)性的制度和措施的企業(yè)提供獲得監(jiān)管部門一定認(rèn)可的渠道，同時向市場參與者發(fā)布該正向信號[25]，有利于促進(jìn)各方主體在個人信息保護(hù)方面的共同治理，從而實現(xiàn)個人信息安全和流動之間的利益平衡。當(dāng)認(rèn)證制度發(fā)展逐步成熟之后，將與安全評估和標(biāo)準(zhǔn)合同制度共同構(gòu)筑我國出境制度的運行藍(lán)圖。未來，我國應(yīng)以與東盟、一帶一路沿線國家加強個人信息保護(hù)認(rèn)證交流為起點“走出去”，從單邊向著雙多邊認(rèn)證機制發(fā)展，并積極主動參與國際通行認(rèn)證機制的構(gòu)建，推動全球個人信息跨境流動治理體系朝著更加公正合理的方向邁進(jìn)。