美国TRUSTe企业隐私认证的机制概要与价值启示

吴沈括

北京师范大学互联网发展研究院院长助理、博导

中国互联网协会研究中心副主任

周奕达

北京师范大学法学院研究助理

时至今日，全球各国加速推动有关数据安全和个人信息保护的法律规则建构，如何使产品与服务能够实现与不同国家和地区的法律遵从，已成为目前跨国企业开展全球运营和发展中的重大命题。专门为企业提供数据安全合规与个人信息处理合规认证等服务的机构也如雨后春笋，其中源自美国的TRUSTe认证以及源自欧洲的ePrivacy认证是目前国际上主要的机构认证机制，当下也正吸引着全球化运营的中国龙头数字企业的广泛关注。

TRUSTe认证由TrustArc公司推出，该公司自1997年在美国加利福尼亚州创立以来，以帮助企业实现隐私合规为使命，经过20多年的发展，已经成为世界上最具权威的隐私保护认证机构之一，其认证结果获得欧洲数据保护委员会以及欧盟各成员国数据保护机构的较高认可，被作为展示企业合规能力和水平的证明依据之一。截至目前接受其隐私合规服务的企业横跨通讯、新闻、金融、娱乐等各行各业，包括了AT&T、IBM、福布斯杂志、摩根大通等全球超过1500家企业。

TrustArc拥有多种隐私认证与保证业务，包括针对亚太经合组织规定的跨境隐私规则、《加州消费者隐私法案》、欧盟《通用数据保护条例（GDPR）》等法律法规的多种认证项目，以满足不同客户对于合规的多样需求，TrustArc近年来也在推进研发适用于我国《个人信息保护法》的合规产品。目前企业最常见的认证需求是TrustArc提供的TRUSTe Enterprise Privacy认证。

该认证项目以TrustArc隐私与数据治理框架（以下简称：P&DG框架）为标准，并参照OECD隐私准则、APEC隐私框架、欧盟通用数据保护法规、美国健康保险便利和责任法案、ISO27001信息安全管理系统国际标准等具有全球性影响力的隐私保护法律法规和标准规范。TRUSTe认证的内容主要是评判企业的业务实践，在数据收集和处理活动、数据必要性、第三方数据披露和跨境传输、用户权利等多个维度上，是否符合P&DG框架标准并实现合规。

就其价值而言，通过TRUSTe认证对于企业主要能带来监管应对和组织提升两方面的收益：一方面，在监管应对的层面，通过第三方认证使企业降低合规风险，由TrustArc这样的第三方认证专业机构帮助企业实现业务的合规化，更好地避免因违反相关法律法规而受到处罚。而且在研判融汇多地法律规则的P&DG框架下进行的合规处理，因为同时符合跨地区乃至跨国的法律法规，使得数据的跨区域传输合规成为可能。

另一方面，在组织提升的层面，通过开展TRUSTe认证可以提升企业的形象，向其客户、产业链上下游合作方以及公众展现对待隐私问题的负责任态度。并且通过认证可以降低企业合规成本，使其产品、服务以及自身的系统能够在P&DG框架下实现一体化运营，避免在不同国家和地区分别进行合规作业的额外成本支出。

从其流程来看，无论是首次取得TRUSTe企业隐私认证，还是在隐私政策更新后的再认证，主要均需要经过四个阶段，分别是教育、发现、复查分析以及补正。对于首次认证而言，整个流程通常会持续三至六个月，而对于再认证而言，这个流程一般可在九十天内完成——

（1）第一阶段：TrustArc会同意向企业根据认证需求确定项目的认证类型和范围，同时制定项目计划。TrustArc与企业确认具体的时间线并展开项目追踪，随后识别项目关键相关方，并与其举行教学会议，为下一阶段做准备。在这一阶段，TrustArc与企业一道研判全球隐私保护的要点，重新评估Cookie政策等政策事项、数据留存销毁和信息安全文档、容灾重建项目、与第三方签署的合同以及员工培训材料等重要资料。

（2）第二阶段：在充分了解系列隐私政策与文档之后，TrustArc会深入了解企业关于隐私保护的业务实践，企业会首先在TrustArc隐私管理平台上完成一份有关本组织隐私与数据收集的实践做法的调查问卷。随后TrustArc会要求企业根据其在调查问卷中的回答提供相关证明材料，并连同问卷结果和第一阶段中涉及的各种材料进行合并审核。

（3）第三阶段：TrustArc会分析隐私计划中企业隐私政策与合规框架之间的差距，找出需要进行补正的事项。这一阶段主要是以P&DG框架为基准，比对分析先前各阶段提供和产出的各项数据和材料，TrustArc也会向企业详细解释上述比对分析的结论以及企业需要采取的补正措施。这一阶段会给企业带来具有针对性的隐私政策要点以及一份补正行动计划。

（4）第四阶段：在TrustArc的全程协助下，企业需要填补先前发现的合规空白以符合相应的合规基准框架，并最终获得认证。作为外显，企业会得到TRUSTe企业隐私印章标记和TrustArc的认证函，并且企业可向公众展示其TRUSTe企业隐私印章标记。

整体而言，TRUSTe Enterprise Privacy认证的设计和运行体现了有关数据认证机制建设的四大价值启示：

其一，认证效力的监管认可度。除了自身的科学性和严谨性，该认证的实务效力在很大程度上得益于监管机关的重视和认可。不单是本国监管机关的认证结果采信，而且在此基础上逐步获得了更多外国监管机关的效力认可，从而在强化本国监管要求的同时，持续向国外输出本国的数据治理理念和数据合规标准，同时还激励各国企业主动进入这一数据治理生态。

其二，认证依据的跨国兼容性。该认证的体系以自研框架为基准，但注重吸收和兼容其他具有全球影响力的国际通行准则、典型法律规则以及最佳业务实践等元素，以最大程度地反映和凝聚广泛共识，助益实现跨地区、跨法域的合规遵从，进而提升认证本身的包容性和吸引力。

其三，认证业务的建设友好性。该认证在方法论上强调贴近企业的业务实践，深入企业的业务场景，重在帮助企业分析并找出其业务实操与合规基准之间的差距，特别要求认证机构针对性提供企业合规整改的具体方案和举措建议，助力企业在认证过程中获得业务完善和能力建设的权威指引。

其四，认证操作的流程周延性。该认证在实施的过程中分阶段明确设定各自环节的工作要点与目标产出，各个流程节点前后衔接、彼此呼应，从业务剖析到整改落地，通过契合企业运营全生命周期特征的卡点设计，共同服务于帮助企业逐步形成完备的合规体系和能力的总体目标。

声明：本文来自数字治理全球洞察，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。