文│中国科学技术大学公共事务学院 许皖秀 左晓栋
当前,我国正在抓紧建立符合国际惯例的数据出境安全管理制度。2021 年,《个人信息保护法》发布实施,对个人信息出境设置了多种方式,包括“按照国家网信部门的规定经专业机构进行个人信息保护认证”。这一法律规定既提出了“个人信息保护认证”的概念,也确立了“个人信息出境认证”的出境方式。
认证机制作为个人信息的出境方式,是国际通行的做法,但尚未有成熟实施模式,各国也均在探索之中。近日,国家市场监管总局、国家互联网信息办公室联合印发公告,发布了《个人信息保护认证实施规则》,标志着我国个人信息出境认证制度正式进入实施阶段。这一制度借鉴了欧盟有关经验,并充分考虑了我国具体国情。
一、个人信息保护认证与个人信息出境认证的关系
根据我国《认证认可条例》,认证是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。这一规定指出了认证的对象,即产品、服务、管理体系。因此,“个人信息保护认证”是一个总体概念,其可以针对产品,也可以针对服务和管理体系。即,可以对一个产品是否能够保护用户的个人信息进行认证,也可以对企业、机构在开展某种活动中能否保护用户个人信息进行认证,还可以对企业机构自身是否能够保护用户个人信息进行认证,只是具体依据的技术依据不同而已。
显然,无论个人信息是否出境,个人信息处理者都有申请个人信息保护认证的客观需要,即我国建立的是通用的个人信息保护认证制度。但如果要在个人信息出境时采信认证结论,这还是不够的,需针对个人信息出境场景增加认证要求。这意味着,个人信息出境认证制度是个人信息保护认证制度的子集和增量。
也正因为如此,本次公布的个人信息保护认证,依据标准是 GB/T 35273《信息安全技术 个人信息安全规范》和《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》。申请个人信息保护认证的个人信息处理者应符合 GB/T35273《信息安全技术 个人信息安全规范》的要求;但如果认证结论要用于个人信息出境,还需符合《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》的要求。
二、个人信息出境认证是崭新制度,欧盟提供了先例
(一)欧盟立法规定了认证制度是数据出境方式之一
欧盟在其《通用数据保护条例》(GDPR)中规定了多种从欧盟地区向外传输数据的方式,包括标准合同条款(SCC)、有约束力的公司规则(BCR)、认证等。其中,GDPR 第 42(2) 款及第 46(2) 款提出,可将数据保护认证作为数据跨境传输合法依据。即,位于未获得数据保护充分性认定的第三国的数据处理者或控制者获得认证,并向数据传输方或认证机构做出有约束力的承诺(如合同条款等),即可合法接收欧盟的个人数据。
(二)欧盟已经设计了完整的数据安全认证机制
GDPR 认证机制整体框架如下图所示,主要包括:认证体系(特别是认证标准,包括程序性要求和实质性要求);对数据控制者或处理者的数据处理行为进行认证(合格评定、证书签发/续签/变更/暂扣/撤销、持续监督、争议和纠纷处理等);在认可领域通用要求外,数据安全监管机构(SA)提出附加认可要求;对认证机构进行认可。
图 GDPR 认证机制整体框架
(三)欧盟内承认多种数据安全认证制度并存
欧盟对数据安全认证提出了总体要求,但不指定具体的认证制度。即,理论上欧盟可以同时存在多种数据安全认证制度,只要符合欧盟的总体要求即可。欧盟数据保护委员会(EDPB)及各成员国 SA 的主要职责是审批认证制度,对认证/认可结果进行备案和持续监督,从数据安全专业性等角度对认证机构提出附加要求,以及通过对认证机构的认可来行使其监管职责。例如,就认证适用范围而言,有成员国内部(国家级)、成员国间(区域级),以及欧盟范围内的通用认证(欧盟级,称为“欧盟数据保护章”),主要区别在于认证标准的审批权限不同。
(四)欧盟数据安全认证主题多样化
GDPR 第 42 条、第 43 条并未将认证主题限制到某个特定对象。EDPB 认为,只要侧重于证明控制者和处理者的处理过程符合《条例》要求均可作为认证主题,如认证主题可以是 GDPR 第 2 章“原则”、第 3 章“数据主体权利”第 1-4 节、第 4 章“数据控制者和处理者”第 1-3 节(除第 31 条)及第 4 节第 37 条、第 5 章“向第三方国家或国际组织传输数据”的第 44、46、47 条,以及第 9 章“关于特定处理情形的规定”第 87、88 条。此外,可仅针对条例的某项要求进行认证,如儿童信息的处理、跨境传输安全等,这称为单项认证;也可对个人信息控制者与处理者在 GDPR 下全部义务进行认证,这称为综合性认证。
(五)认证机制用于数据出境还缺少足够的实践
现实中,由于数据安全是新事物,数据跨境安全认证制度还面临很多挑战。例如,认证程序、合格评定方法(如透明度、质量、健全性等)尚无可供参照的基准要求和具体实例,多种认证制度共存的模式使成员国间认证认可结果的互认存在困难。2022 年 5 月 13 日,卢森堡数据保护委员会实施了其本国的 GDPR 认证机制,这被认为是在 GDPR 下第一个国家级的数据安全认证制度,但该制度并不适用于数据出境。2022 年 6 月,欧盟数据保护委员会发布了《认证作为传输工具的指南》,这是重要进展。但严格而言,欧盟目前并没有成功建立任何一个用于数据出境的认证制度。
三、借鉴欧盟,需研究解决关于个人信息出境认证的几个关键问题
(一)对谁进行认证
我国《个人信息保护法》未明确对谁进行个人信息出境安全认证。国内普遍认为,应对数据发送者进行认证,没有必要也很难对境外的数据接收者进行认证。研究欧盟 GDPR 可知,在欧盟数据跨境传输场景下,接受认证的是数据接收者。即,要通过认证来证明位于境外的数据控制者或处理者已采取所有必要措施,能够为来自欧盟的数据提供安全保障。位于境内的数据发送者承担数据跨境传输的总体责任,但不必然需要获得认证。因此,不对境外数据接收者进行认证毫无意义。一些人担心,到境外去进行现场审核和发证有难度,但这不能成为取消对境外数据接收者认证的理由。如实施认证确有难度,数据发送者可以采取其他方式进行数据出境。
(二)谁来批准和监管认证机构
我国已经建立了成熟的认证认可制度,同时也正在建立数据安全监管制度。这就带来一个问题,我国数据安全认证制度由哪个部门负责组建?研究发现,欧盟认为认证认可监管部门或数据安全保护部门都可以作为数据安全认证制度的负责部门,两者联合负责亦可。但鉴于数据安全的专业性很强,欧盟总体上倾向于由数据安全保护部门负责实施数据安全认证制度。
(三)如何对数据发送者和接收者进行监督管理
对机构进行认证是静态和一次性过程,而数据出境则可能是长期的连续行为。我国法律规定,满足特定条件的个人信息出境行为,必须经过国家网信部门组织的安全评估。其他条件下才可选择认证等方式。因此,即使某机构通过了个人信息出境认证,也不意味着其某次数据出境行为合法。为此,欧盟提出了“安全认证+承诺”的模式。即,数据接收者通过认证后,还要与认证机构签署认证合同,与数据发送者签署数据处理合同,在合同中承诺履行数据保护义务,并同意接受认证机构和数据发送者的监督。此外,欧盟还建议,可通过条约等手段在国家之间建立义务,进一步加强对接收方的监管。
(四)如何互认
国际互认是认证认可领域的通用实践。我国在若干政策文件中都提出了个人信息保护标准的互认问题。一旦建立个人信息出境安全认证制度,互认也将上升到议事日程。但鉴于数据安全的敏感性,我国应当对国际互认持谨慎态度,即使我国正在加入多个多边贸易协定。从欧盟情况看,其尚未提出明确的多国间或 GDPR 与其他国际认证结果互认的指南文件。鉴于此,宜对个人信息出境安全认证的国际互认持观望态度,现阶段还不必急于推动个人信息保护认证的互认。
四、我国个人信息出境认证制度的特点
近年来,我国着力建设数据出境安全评估制度,这是一种最严格的数据出境方式。但跨境经济活动的多样性、国际贸易流通的复杂性决定了,数据出境方式必然是灵活多样的,因此,必须加快建立个人信息出境安全认证机制,作为数据出境安全评估机制的重要补充,既坚决维护国家安全,又有效促进跨境贸易、便利数据流动。此次发布的《个人信息保护认证实施规则》对此进行了积极探索,其具有以下四个特点。
(一)首先开展数据安全认证顶层设计,个人信息出境安全认证是数据安全认证制度的其中一种应用
个人信息保护认证的对象包括产品、服务和管理体系,这一制度可以发挥多方面作用,用于个人信息出境仅是其中一种。因此,我国从总体上设计了数据安全认证制度,个人信息出境安全认证只是从属于这一顶层设计而已。即,我国先后发布数据安全管理认证和个人信息保护认证制度文件,明确了数据安全认证的工作架构,但也在其中对个人信息出境安全认证作了特殊安排,具体体现为这种场景下的认证依据是《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》。
(二)由国家市场监管总局和国家互联网信息办共同实施监管
欧盟在研究 GDPR 认证时,对数据安全认证提出了三种可能的监管模式:传统认证认可监管部门负责、数据保护机构负责、两者共同负责。我国采用的模式与后者类似。即,由国家市场监管总局和国家互联网信息办公室联合印发文件,共同实施。市场监管部门对流程、通用能力进行把关。网信部门从数据安全专业性方面进行把关。虽然目前只是发布了认证实施规则,但可以预见,后续将由两部门共同负责认证机构、审核员的审批和监管。
(三)“急用先上”与“稳步推进”相结合
任何认证,都应当基于标准或技术规范。但数据安全是新事物,标准不一定很完备,这就需要有权威的技术规范。6 月 24 日,全国信息安全标准化技术委员会发布《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》,目的便在于此。但是,这毕竟还不是国家标准。只能用于解决暂时问题。为此,早在今年 3 月,全国信息安全标准化技术委员会便提出,要在 2022 年立项制定国家标准《信息安全技术 个人信息跨境传输认证要求》。目前,该国家标准的立项工作正在顺利推进,有望早日制定完成。
(四)从制度设计上强化对数据发送者和接收者的监督管理
数据出境后,数据安全监管部门难以监管接收者履行数据保护义务的情况,需在合同上下功夫,并压实数据发送者监督合同履行的责任。为此,《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》规定,个人信息处理者和境外接收方之间应当签订具有法律约束力和执行力的文件,确保个人信息主体权益得到充分的保障。此外,上述认证规范还要求,个人信息处理者和境外接收方均需承诺接受中华人民共和国认证机构对个人信息跨境处理活动的监督,包括答复询问、例行检查等。
(本文刊登于《中国信息安全》杂志2022年第12期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
