文│ 中国科学技术大学公共事务学院、网络空间安全学院教授 左晓栋
2022 年 11 月,国家市场监管总局、国家互联网信息办公室联合印发了《关于实施个人信息保护认证的公告》,并在附件公布了《个人信息保护认证实施规则》。这表明我国正式宣布建立个人信息保护认证制度,是对数据安全认证制度的进一步完善。特别是,由于该项制度与个人信息出境密切关联,因而在更大范围内引发了热议与关注。
一、数据安全认证是我国数据安全治理体系的重要组成部分
认证认可制度是一种国内外通行的第三方评价制度,由具备专业能力的第三方机构依据标准和技术规范,对产品、服务或企业的管理体系、人员能力等作出评价,从而可供社会对评价结果进行采信。这一制度来源于现代市场经济体制。
市场经济的本质是交易的双方能够自由缔结契约,市场经济有效运作的基本前提是交易双方都具有比较充分完备的信息,否则不仅交易难以进行,也难以通过竞争性选择实现优胜劣汰。交易中的信息不对称可能导致各种坑蒙拐骗,严重影响交易的秩序,影响市场配置资源的效率。这一问题早在现代市场经济形成之前就已存在,但只有到了工业革命以后才变得十分普遍和复杂。认证认可制度正是适应解决交易中的信息不对称、降低交易费用、增进市场机制作用要求的一种制度安排。有效的认证认可活动,促进了信息不对称问题的解决,保障了有效的市场竞争,推动了现代市场体制的完善。因此,认证认可是市场经济体制下的一项基础性制度安排,是市场经济体制运行有效性的重要保障。
认证认可制度首次出现在我国网络安全工作领域,源于 2004 年 10 月的《关于建立国家信息安全产品认证认可体系的通知》。在此之前,政府对社会的治理,更多地采用行政许可手段。这在“大政府”时代是可以理解的,也是可行的。但随着市场经济的进一步发展,凡事进行行政许可会使政府不堪重负,也不符合政府改革的方向。因此,需要理顺政府、市场、社会三者之间的关系,政府侧重法则、规则的制定,把该由市场和社会来做的产品、服务、管理体系等方面的具体性事务交由市场和社会。这便出现了从计划经济的“行政许可”向由社会组织调节的“认证认可”的转变。
为此,在规划国家信息安全产品认证认可体系建设时,我国便明确了政事分开、发挥认证认可制度作用的原则,凡可以通过认证认可解决的检测、评审,原则上不再设立行政许可,特殊情况报经国务院审定后仍需保留的行政许可,应转变行政许可的方式,充分利用产品认证、检查、检测的结果,不得重复取样、重复检查、检测和收费。
《数据安全法》《个人信息保护法》发布施行后,建立科学高效的数据安全治理体系的任务提上议事日程,认证认可制度成为重要的治理手段。特别是在合规验证、检查评估方面,认证认可制度具备天然优势。故而,建立数据安全认证认可制度是客观必然。其实质是,在我国认证认可监督管理制度下,运用认证认可的基本流程、原理,对数据安全的合规作出评价,使政府、社会及其他各方面对其数据安全能力建立信任。
二、个人信息保护认证是我国建立的第三种也是用途最广的数据安全认证制度
根据《认证认可条例》,认证是指由认证机构证明“产品、服务、管理体系”符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。即,认证的法定对象共三种:产品、服务、管理体系。换言之,可以对一个产品发证书,也可以对开展的某种服务发证书(例如 IT 运维服务、灾备服务等),还可以对一个机构自身发证书(一般以管理能力来表征这个机构的能力)。
目前,我国已经建立了 3 种数据安全认证制度。其中,《移动互联网应用程序(App)安全认证实施规则》于 2019 年 3 月发布,这是一种产品认证。《数据安全管理认证实施规则》于 2022 年 6 月份发布,侧重于数据安全管理能力。本次建立的个人信息保护认证制度则是第三种,是以认证认可为手段证明个人信息保护能力的一种方式。
但个人信息保护认证的适用范围更广。如某机构提供数据脱敏服务,其可以为这种服务申请一张个人信息保护证书,从而表明服务能力;某机构是产品供应方,则可以为其产品申请一张个人信息处理过程符合有关标准的证书;该机构当然还可以为自身的管理体系申请一张个人信息保护证书,当前很有影响力的 ISO 27701 隐私信息管理体系认证便属于此类。
《个人信息保护认证实施规则》明确了该项认证的技术依据:个人信息处理者应当符合 GB/T 35273《信息安全技术 个人信息安全规范》的要求;对于开展跨境处理活动的个人信息处理者,还应当符合 TC260-PG-20222A《个人信息跨境处理活动安全认证规范》的要求。这一规定表明,个人信息保护认证制度有两种作用:一种是为常规的个人信息处理活动提供证明,依据是 GB/T35273;另一种是为个人信息出境活动提供证明,依据除 GB/T 35273 还有 TC260-PG-20222A。因工作需要,后者暂以“网络安全标准实践指南”形式发布,今后会以国家标准《信息安全技术 个人信息跨境传输认证要求》(正在编制中)代替。
个人信息保护认证之所以可用于数据出境安全管理,是因为我国《个人信息保护法》作了有关规定。《个人信息保护法》第三十八条指出,个人信息处理者需要向中华人民共和国境外提供个人信息的,可以选择多种方式,其中一种是按国家网信部门的规定经专业机构进行个人信息保护认证。众所周知,数据出境安全管理与跨境贸易关系甚大,是经济发展的焦点问题,这是个人信息保护认证受到高度关注的原因。也正因为如此,预料它将比其他两种数据安全认证制度得到更广泛的应用。
三、个人信息保护认证制度是国际惯例,我国对此做了充分借鉴,为更好融入国际商贸环境创造了条件
欧盟《通用数据保护条例》(GDPR)是公认的全球个人信息保护标杆。GDPR 第 42 条和第 43 条规定了对数据控制者和处理者的数据处理操作进行合规性认证的制度,提出了认证框架、明确了相关角色,这便是欧盟个人信息保护认证制度的由来(它被称为“数据保护认证”,实则为面向个人信息保护)。第 42(1) 款规定:“成员国、监管机构、欧盟数据保护委员会和欧盟委员会应鼓励建立数据保护认证机制,设立数据保护印章、标识,特别是欧盟级别的印章和标识,以便证明数据控制者和处理者的数据处理操作符合本条例要求。应考虑中小微型企业的特定需求。”第 43(1) 款规定:“在不减损第 57、58 条所述监管机构的任务和权力的情况下,在数据保护方面具有相应专业水平的认证组织可在告知有权限的监管机构后(以便其根据第 58 条 (2)(h) 项行使自身权力)签发和续期认证。”
GDPR 认证主要针对数据控制者或处理者进行的 1 项或多项数据处理操作,证明其满足 GDPR 规定要求。该机制十分灵活,在认证主体上,可以是数据控制者或处理者的一项操作或多项操作;在认证目标上,可证明其满足 GDPR 对数据控制者或处理者提出的某项、某几项乃至全部要求;在认证层级上,该机制提出了成员国内部、成员国间以及欧盟范围内的通用认证;在认证证书的签发上,可由成员国的数据保护监管机构(DPA)签发,也可由获得认可的认证机构签发。
欧盟认为,认证机制一方面可以提高数据处理行为的透明度,便于控制者和处理者展示其处理过程的合规性,使相关方能便捷地了解处理操作的数据保护水平;另一方面,根据 GDPR 第 42(2) 款、第 46(2) 款规定,认证机制还可以作为数据跨境传输(转移至第三国或国际组织)的合法途径;此外,是否已获得认证且遵从认证要求也可作为监管当局在决定施加行政罚款或决定罚款金额时的考量因素。
GDPR 在法律层面提出了认证认可机制,但要在欧盟范围内推进该机制的落地实施,仍有诸多问题需要探索明确。为此,欧盟委员会和欧盟数据保护委员会组织开展了大量研究,发布指南和研究报告为实际操作中的重点问题提供指导和参考。2018 年 5 月,欧盟数据保护委员会发布了《对 GDPR 第 42、43 条所述认证标准进行认证和识别的指南》,并于 2019 年 6 月发布第 3 版,对认证制度的作用、关键概念和认证范围、认证标准的评估要求等进行了更加详细的阐释。该指南附录《认证标准评估指南》经修改于 2021 年 4 月 14 日至 5 月 26 日公开征求意见。2018 年 12 月,欧盟数据保护委员会发布了《依据 GDPR 第 43 条要求对认证机构进行认可的指南》,对认可过程中相关方职责、认证机构的认可要求等提出指导。2019 年 5 月,欧盟委员会发布了《数据保护认证机制———对 GDPR 第 42、43 条的研究报告》,旨在对认证机制尚未明确的问题加以探讨,为欧盟委员会进一步补充完善 GDPR 认证制度提出建议。2022 年 6 月,欧盟数据保护委员会发布了《认证作为传输工具的指南》。
鉴于数据出境关系重大,关于如何根据 GDPR 第 42(2) 款要求,将认证机制作为数据跨境传输(包括转移至第三国或国际组织)的合法途径相关事宜,欧盟数据保护委员会一直在研究。《认证作为传输工具的指南》的发布表明其在实施层面形成了阶段性研究成果。但是,对于这个领域的国际互认问题,欧盟认为远未到可以讨论的时候。
这也从一个侧面说明,虽然我国积极借鉴欧盟经验,已经初步建立了个人信息保护认证制度的框架,但就全球而言,这仍然是个新问题,尤其是其作为数据跨境机制使用之时。下一步,还需要对有关实施细则开展深入研究,以使其更好地发挥作用。
(本文刊登于《中国信息安全》杂志2022年第12期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
