个人信息保护认证：实现个人信息保护共同治理的方案

文│北京理工大学教授 洪延青

我国近几年出台了多部涉及个人信息保护方面的重要法律法规，最重要的是 2021 年 11 月 1 日起施行的《个人信息保护法》。《个人信息保护法》的生效标志着我国个人信息处理者在处理个人信息时有了系统性的基本准则。

《中华人民共和国认证认可条例》规定，认证是指“由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。”为证明自身符合《个人信息保护法》的基线要求，个人信息处理者除了可以保留未被监管部门调查的记录外，还可以提供更直接、更有力的证明，即拥有与个人信息保护相关的认证。为贯彻落实《个人信息保护法》下的个人信息保护认证工作，2022 年 11 月 18 日，国家互联网信息办公室、国家市场监督管理总局联合公布《个人信息保护认证实施规则》。个人信息保护认证工作的启动，对个人信息处理者提升个人信息保护水平十分重要。

一、作为共同治理方案的个人信息保护认证

通常情况下，有三种监管特定活动或者行为的策略，分别为：（1）“命令和控制”，表述模式一般为“如果－那么”，表现形式为对具体行为的法律规则；（2）国家规定的自我监管，也即共同治理，一般先由相关实体制定关于特定行为或活动的标准，该标准获得监管机构的认可后，相关实体在其内部落地实施该标准；（3）社会或行业自律。

我国《个人信息保护法》规定的个人信息保护认证，为共同治理的方案之一。同样归属共同治理范畴的还有：欧盟《通用数据保护条例》第四十条和第四十一条规定的行为守则（Codes of Conduct）、第四十二条与第四十三条规定的数据保护认证机制（Certification），以及第四十六条和第四十七条规定的有约束力的公司规则（Binding Corporate Rules）。共同治理策略的重要价值之一在于在监管中为创新预留空间，从而进一步鼓励市场竞争。因为，在共同治理策略下，监管对象在寻找符合监管目标的最优解决方案时既有规定的方向，又有足够的“自由发挥空间”；此外，监管对象还可以根据商业中数据处理的具体场景考虑落实监管的方式。我国个人信息保护框架中已有符合《个人信息保护法》的共同治理方案，如《个人信息安全规范》（GB/T-35273）。

共同治理策略具有重要意义，表现在如下两方面：第一，共同治理策略所确保的法律确定性可以推动创新。虽然企业可以在“命令与控制”监管策略下获得更精确的法律指引，但是在高度动态和创新的环境中，该策略不可避免地存在僵化、落后的风险。第二，共同治理策略可以向市场参与者（主要是消费者）提供关于个人信息保护水平的信息。通常情况下，产品或服务创新的目标是使产品或服务获得特定品质以赢得消费者的支持。从《个人信息保护法》的角度来讲，个人信息主体必须能够选择具有特定“个人信息保护水平”的产品或服务。然而，在缺乏个人信息保护水平衡量标准的情况下，消费者无法比较不同产品或服务的“个人信息保护水平”。原则上，共同治理策略能够提供明确、标准化的衡量标准，企业从而可以根据该基准向消费者展示其个人信息保护水平。

二、个人信息保护认证适用的特定信息处理活动

个人信息保护认证综合了技术验证、现场审核、获证后监督等内容，本质上非常适合重复、固定且基础的个人信息处理活动。有鉴于此，下文对个人信息境内处理和跨境流动中适合个人信息保护认证的具体场景进行解析。

首先是个人信息保护认证在境内个人信息处理活动中的具体适用场景。笔者认为，以下三类个人信息处理活动特别适合取得个人信息保护认证。第一，集团式数据处理：集团公司内不同的分公司开展不同的业务，此时集团公司需要建立一个统一的个人信息保护基准，分公司根据该基准以及各自不同的业务建立各自的个人信息保护规则。在上述情况下，集团公司建立的个人信息保护基准适合进行个人信息保护认证。第二，数据中台：与第一种情况类似，不同点在于，该种情况是同一家公司内部有不同的业务线。这些业务线会把数据汇聚至数据中台。在该种情况下，数据中台适合进行个人信息保护认证。第三，生态式业务合作：如果平台上提供各项服务的合作伙伴固定，那么平台会与该固定的合作伙伴有固定的数据交互，此种数据交互中涉及的数据处理适合进行个人信息保护认证。

其次是个人信息保护认证在个人信息跨境流动中的具体适用场景。笔者认为，以下两类个人信息跨境特别适合取得个人信息保护认证：第一，集团公司内的个人信息跨境流动，该种场景与欧盟有约束力的公司规则的适用场景类似。欧盟该种场景下的认证是为了解决欧盟数据在不同国家或地区的同一集团实体之间流动的问题，在实施认证时，可以由集团公司选择某一实体，向该实体所在国的数据保护机构提出下述申请：确认该集团所实施的数据保护规则所提供的个人信息保护水平满足欧盟要求。第二，若前述三个境内个人信息处理场景（即集团式数据处理、数据中台、生态式业务合作），除了境内个人信息处理活动之外，还涉及个人信息的跨境流动，也适宜进行个人信息保护认证。

三、结 语

总之，个人信息保护认证对我国个人信息保护工作来说不可或缺。其最核心的功能在于，在企业满足《个人信息保护法》规定的“基线要求”的基础上，为自愿实施更具保护性的制度和措施的企业提供获得监管部门一定认可的渠道，同时向市场参与者发布该正向信号。企业在决定对何种个人信息处理活动认证时，可以优先考虑重复、固定且对其他个人信息处理活动具有支撑作用的基础信息处理活动。对该类个人信息处理活动进行认证可以为企业的产品或服务所需的个人信息保护打下坚实的“地基”。

（本文刊登于《中国信息安全》杂志2022年第12期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。