解彦曦 张 弛

1(工业和信息化部威海电子信息技术综合研究中心 北京 100846)

2(中电数据服务有限公司研究中心 北京 100191)(13671300662@163.com)

当前，个人信息保护成为全球热点，各国都在大力推进相关制度建设.在各种治理和监管手段中认证是重点方向之一.但个人信息保护认证制度如何建立，是针对企业、产品、人员还是软件开发过程、服务提供过程，认证标准如何制定、谁来审批，这些都还在探讨之中.

欧盟的《通用数据保护条例》(GDPR)是公认的全球个人信息保护标杆，我国在制定个人信息保护标准规范时也大量参考了GDPR.自实施以来，欧盟委员会、欧盟数据保护委员会(EDPB)持续推动建立GDPR认证制度，这无论对于我国企业出海拓展国际业务还是研究建立我国的个人信息保护认证制度，都具有十分重要的参考意义.

1 背 景

1.1 GDPR制度

欧盟拥有较为完善的数据保护框架，早在1995年便通过了《数据保护指令》(95/46/EC)(以下简称《95指令》)，为欧盟成员国立法保护个人数据设立了最低标准.随着信息技术应用深入推进特别是移动互联网的兴起，《95指令》逐渐显示出不适应性.为此，欧盟制定了GDPR，于2018年5月25日正式实施.相较于《95指令》，GDPR对于数据治理和个人隐私保护的认知更加深入，相关模型和规定更为明确和严格.目前，GDPR是世界上最为全面的数据保护法律之一，同时也成为了谋求数据保护法律改革国家和地区的最好借鉴范本[1-2].

1.2 我国个人信息保护现状

目前，我国个人信息保护相关法律规定分散在宪法、民法、刑法、网络安全法等不同法律中，对侵犯个人信息的行为难以进行有效打击.2021年4月29日，全国人大常委会公布了《个人信息保护法(草案二审审议稿)》并公开征求意见.该草案明确了个人信息处理规则、个人信息主体和个人信息处理者的权利与义务，并对法律责任进行了严格规定，表明我国个人信息保护立法工作迈出重要一步.

在标准规范方面，我国个人信息保护标准体系逐步完善，目前已经发布和正在制定的个人信息保护相关国家标准超过20部，基于国家标准的认证需求日益凸显.《个人信息保护法(草案二审审议稿)》提出：“国家网信部门统筹协调有关部门依据本法……推进个人信息保护社会化服务体系建设，支持有关机构开展个人信息保护评估、认证服务.”中央网信办组织制定的《数据安全管理办法(征求意见稿)》指出，国家鼓励网络运营者自愿通过数据安全管理认证和应用程序安全认证，鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的应用程序.为此，全国信息安全标准化技术委员于2019年曾立项制定数据安全管理认证国家标准；中国网络安全审查与认证中心于2020年启动了对移动App的个人信息保护认证.但这些工作都是探索性的，目前仍处于起步阶段.

2 认证制度框架

2.1 概 况

GDPR第42条和第43条规定了对数据控制者和处理者的数据处理操作进行合规性认证的制度，提出了认证框架、明确了相关角色.第42(1)款规定：“成员国、监管机构、欧盟数据保护委员会和欧盟委员会应鼓励建立数据保护认证机制，设立数据保护印章、标识，特别是欧盟级别的印章和标识，以便证明数据控制者和处理者的数据处理操作符合本条例要求.应考虑中小微型企业的特定需求.”第43(1)款规定：“在不减损第57,58条所述监管机构的任务和权力的情况下，在数据保护方面具有相应专业水平的认证组织可在告知有权限的监管机构后(以便其根据第58条(2)(h)项行使自身权力)签发和续期认证.成员国应确保这些认证组织获得以下机构(至少其中一类)的认可：(a)第55,56条所述，有权限的监管机构；(b)根据欧盟议会、欧盟委员会第765/2008号条例指定的国家认可机构，依据EN-ISO/IEC 17065/2012标准规定和本条例第55,56条所述有权限的监管机构所提附加要求.”

GDPR认证机制的总体框架如图1所示.

图1 GDPR数据保护认证机制框架

GDPR数据保护认证机制与当前已有的大部分认证有所区别，现有认证大多是对人员或企业的产品、服务、管理体系进行认证，但GDPR认证主要针对数据控制者或处理者进行的1项或多项数据处理操作，证明其满足GDPR规定要求.该机制十分灵活，在认证主体上，可以是数据控制者或处理者的1项操作或多项操作；在认证目标上，可证明其满足GDPR对数据控制者或处理者提出的某项、某几项乃至全部要求；在认证层级上，该机制提出了成员国内部、成员国间以及欧盟范围内的通用认证；在认证的签发上，可由成员国的数据保护监管机构(DPA)签发，也可由获得认可的认证机构签发；在认可模式上，可由DPA认可、由国家认可机构(NAB)认可，也可由DPA和NAB联合认可[3-4].

认证机制一方面可以提高数据处理行为的透明度，便于控制者和处理者展示其处理过程的合规性，使相关方能便捷地了解处理操作的数据保护水平；另一方面，根据条例第42(2)款、第46(2)款规定，认证机制还可以作为数据跨境传输(转移至第三国或国际组织)的合法途径；此外，是否已获得认证且遵从认证要求也可作为监管当局在决定施加行政罚款或决定罚款金额时的考量因素.

2.2 相关角色

GDPR数据保护认证机制涉及的角色主要包括：数据控制者或处理者、认证机构、国家认可机构(NAB)、数据保护监管机构(DPA)、欧盟数据保护委员会(EDPB)和欧盟委员会[3].

1) 数据控制者或处理者.自愿申请对其数据处理操作进行认证，向认证机构提供必要信息和对其数据处理活动的访问权.

2) 认证机构.基于认证方案和通过审批的认证标准颁发、审查、更新和撤销认证；有权制定认证标准草案，提请DPA(如为国家级认证标准)或EDPB(如为欧盟通用认证标准)批准.在发证、续期或撤销认证前，认证机构应通知监管机构，并附依据，以便监管机构行使相应职权.认证机构对其进行的合格评定及出具的评定意见负责，这不影响数据控制者和处理者应当承担的合规义务，也不减损GDPR第55,56条赋予监管机构的任务和权力.条例在对认证机构的认可要求(第43(2)款)中规定，认证机构应有“相应程序来发放、定期审核和撤销数据保护认证、印章和标识”，还应制定申诉机制.

3) 国家认可机构.在成员国指定由NAB进行认可/联合认可的模式下，负责根据EN-ISO/IEC 17065/2012标准和监管机构提出的附加要求对认证机构进行认可或撤销认可.各成员国根据欧盟第765/2008号条例(认可条例)指定本国的国家认可机构.

4) 数据保护监管机构.承担以下几方面职能：一是认证职能，DPA自身有权颁发、审查、更新和撤销认证；二是监管职能，负责批准认证标准(不包括欧盟通用认证标准)、了解认证机构签发的认证、定期对本机构签发的认证进行复查、有权要求认证机构不得颁发某个认证或撤销其已颁发的认证；三是认可职能，起草和发布认可要求、在成员国指定DPA承担该国认可职能的情况下对其辖区内的认证机构进行认可或撤销认可.总体而言，GDPR赋予了监管机构的相应权力和义务，以规范认证机构的活动，保障认证水平.

5) 欧盟数据保护委员会.负责批准欧盟通用认证的标准；负责核对、登记欧盟所有的数据保护认证机制、印章和标识，并以适当方式向公众公开；根据条例第70(1)(q)项和第43(8)款，就认证要求向欧盟委员会提出意见建议.

6) 欧盟委员会.条例第42,43条以及其他相关要求解决了GDPR认证机制的一些重点问题，但并不全面.为确保认证认可机制的顺利推行和统一实施，条例为欧盟委员会预留了相关权限.欧盟委员会应鼓励建立认证机制，特别是欧盟通用认证；有权采用规章条例来明确GDPR认证机制的相关要求，即对认证机制进行补充；有权采用实施细则来明确技术标准，包括认证机制、数据保护印章和标识使用的技术标准，以及用于认证机制、印章与标识推广和互认的技术标准.

2.3 认证机制

2.3.1 认证类型

1) 根据认证适用的地域范围分类.GDPR提出了国家级认证、区域级认证以及欧盟通用级认证(又称欧盟数据保护章).主要区别在于认证标准的审批.成员国内部的国家级认证标准由该国DPA批准，报EDPB汇总登记；欧盟内某几个成员国间的区域级认证标准由认证方案所有者的主监管机构与相关监管机构协商审批(其主监管机构根据GDPR第56条确定)，报EDPB汇总登记；欧盟通用认证标准仅可由EDPB审批.

2) 根据认证目的分类.可分为符合性认证(条例第42(1)条所述)，旨在证明对GDPR的符合性.跨境传输认证(条例第42(2)条所述)，旨在证明已实施了在未获得充分性认证的第三国接收欧盟个人数据所需的适当保障措施.

3) 根据认证主题分类.GDPR第42条、第43条并未将认证主题限制到某个特定的话题，认证主题可能涵盖诸如数据安全之类的某一项法律义务，也可能涵盖数据控制者或处理者在GDPR下的全部义务.因此，认证也可分为单项认证(仅针对条例的某项要求，如基于设计实现隐私保护的认证等)和综合性认证.

4) 根据认证模式分类.GDPR所采用的认证体系允许获得认可的认证机构或有权限的监管机构签发认证，且无明显倾向性.可能的模式包括：监管机构就其自身认证方案开展认证；监管机构就其自身认证方案签发认证证书，指定第三方机构执行全部或部分合格评定；监管机构制定认证方案，委托认证机构执行认证过程并签发证书；鼓励市场发展认证机制.

2.3.2 认证标准

GDPR从法律层面提出了个人数据保护要求，是认证依据的基础，但难以直接用于认证.需要对GDPR的规定进一步细化，制定清晰、可落地的要求，即认证标准.认证标准应包括实质性要求和程序性要求2个方面：实质性要求是依据GDPR规定，对数据处理者或控制者法定义务的细化明确，如数据主体权利、数据安全、通过设计和默认实现数据保护等；程序性要求用于明确认证的具体过程，GDPR中也提出了部分程序性要求，如认证证书有效期最长为3年等.制定认证标准应侧重其可验证性、重要性和适用性，以证明被测的数据处理操作符合GDPR相关项的要求.认证标准应明确易懂，并具有可操作性.

GDPR未对标准制定者提出要求，这意味着任何实体都可以提交标准以供批准，主要包括认证机构、标准化机构、行业或行业协会，以及监管机构等.欧盟委员会还可以向欧洲标准化组织(如欧洲标准化委员会、欧洲电工标准化委员会、欧洲电信标准协会)提出标准化请求.

认证方案所有者编制标准草案后，根据该认证方案的拟适用区域报相关监管机构(DPA或EDPB)审批，获得批准后方可正式应用.

2.3.3 认证过程

GDPR规定了认证过程的必要阶段(主要包括制定认证标准、审批认证标准、进行合格评定、签发/续签/撤销认证、持续监督、争议和纠纷处理等)，具体流程由认证方案所有者确定.此外，GDPR提出ISO / IEC 17065《合格评定 产品、过程和服务认证机构的要求》中确定的阶段(包括申请，申请的评审、评价、复核，认证决定，认证文件，获证产品的名录，监督，影响认证的变更，认证的终止、缩小、暂停和撤销，认证记录，以及投诉和申诉等)可对其进行补充.

2.3.4 认证结果互认

GDPR以及欧盟委员会、欧盟数据保护委员会发布的指南和研究报告等文件中尚未对GDPR国家级认证在成员国之间的互认提出指导，但提出了欧盟数据保护章这一通用认证机制.欧盟委员会在其研究报告中提出，成员国可能采用不同的认证模式，这会带来诸多问题，如成员国之间认证的互认、审计技术的协调统一、同行评审和推广等[3].

2.4 认可机制

2.4.1 认可模式和过程

在GDPR框架下，认可这一阶段是强制的，但成员国可以灵活选择符合GDPR第43条要求的认可模式，并自行确定认可过程.可选模式包括：由DPA进行认可；由NAB进行认可；NAB和DPA联合进行认可，例如，可由NAB负责根据认可条例和ISO/IEC 17065:2012标准开展流程、组织架构、完整性等方面的评估，DPA进行数据保护能力和专业水平的评估.

2.4.2 认可要求

认可要求主要包括2方面：一是ISO/IEC 17065/2012和其他相关标准；二是GDPR第55，56条所述有权限的监管机构所提附加要求.其中，“监管机构所提附加要求”主要针对以下方面：认证机构及审核员在数据保护领域的专业水平；认证机构及审核员执行审查活动的能力；认证机构及审核员的完整性、诚信等.

2.4.3 认可结果互认

GDPR未提出明确的认可结果互认机制.根据各成员国认可模式不同，对认可互认的义务也有区别.在NAB执行认可模式下，由于适用认可条例，各国NAB之间有可能实现认可互认.但互认的前提是认可要求的一致性，而各国数据保护当局提出的“附加要求”可能不同，需要NAB进行额外的评估来确保互相满足要求；在DPA执行认可的情况下，根据GDPR第63条(一致性机制)、64(1)(c)(EDPB意见)，DPA应承认他国DPA的认可，但DPA没有义务承认他国NAB的认可；对于联合认可模式或多国间采用不同模式的情况，目前尚无明确的法规要求各国承认他国的认可结果.仍需进一步研究并制定统一的机制来确保GDPR实施的一致性.

3 进展和问题

3.1 当前进展

GDPR在法律层面提出了认证认可机制，但要在欧盟范围内推进该机制的落地实施，仍有诸多问题需要探索明确.为此，欧盟委员会和欧盟数据保护委员会组织开展了大量研究，发布指南和研究报告为实际操作中的重点问题提供指导和参考.

2018年5月，EDPB发布了《对GDPR第42，43条所述认证标准进行认证和识别的指南》，并于2019年6月发布第3版，对认证制度的作用、关键概念和认证范围、认证标准的评估要求等进行了更加详细的阐释.该指南附录《认证标准评估指南》经修改于2021年4月14日至5月26日公开征求意见[5].

2018年12月，EDPB发布了《依据GDPR第43条要求对认证机构进行认可的指南》，对认可过程中相关方(成员国DPA,NAB等)职责、认证机构的认可要求等提出指导[6].

2019年5月，欧盟委员会发布了《数据保护认证机制——对欧盟第2016/679号条例(GDPR)第42,43条的研究》报告，旨在对认证机制尚未明确的问题加以探讨，为欧盟委员会进一步补充完善GDPR认证制度提出建议.

对于根据第42(2)款要求，将认证机制作为数据跨境传输(包括转移至第三国或国际组织)的合法途径相关事宜，EDPB将另行发布指南.

3.2 仍需明确的问题

GDPR认证机制的创新性和灵活性在为相关方带来便利的同时，也为认证的落地实施带来了诸多尚待解决的问题：

一是上文提到的成员国间认证、认可结果的互认问题.

二是认证标准的制定与审批.由于GDPR认证主体是数据处理操作、认证主题是条例提出的相关要求，根据欧盟委员会调研，当前已有的技术标准直接提供有效支撑，现有的数据安全相关认证机制也仅能在某些方面予以参考[3].尽管EDPB发布了认证标准评估指南，一定程度上明确了审批时应关注的重点问题，但认证标准及其审批要求仍缺乏可供参照的基准和具体实例.此外，认证主题的灵活性、认证方案的多样性进一步给监管机构审批认证标准、对授予的认证进行监督带来挑战.如何保证认证标准的要求满足GDPR规定水平、如何确保针对同一主题的不同认证方案达到同等质量、国家级认证标准与欧盟通用认证标准如何协调等问题仍需进一步研究.

三是认可要求的确定和认可的质量.各成员国DPA可通过自行开展认可或提出对认可的附加要求来保障认证机构具备相应的数据保护专业水平、认证水平、具备独立性且开展认证活动时不存在利益冲突.但由于GDPR未提出相关基准，不同成员国采取的方法和要求的程度可能存在较大差异.在由NAB进行认可的模式下，可通过《认可条例》(“同行评估”)中规定的既定程序保障同等质量，但其他模式下如何实现认可要求的一致性还需要探索；GDPR及其配套指南尚未对认证程序、合格评定的方法(如其透明度、质量、健全性等)提出基准要求，给认可工作及后续的监督审查带来挑战；此外，对于是否可以认可设立在非欧盟国家的认证机构、是否允许欧盟境内的认证机构将认证过程的一部分(例如预评估和文件收集等)外包给位于第三国的合作方等问题也尚无明确规定.

4 启示和建议

在我国个人信息保护工作中引入认证制度是一项有积极意义的举措.GDPR针对数据控制者或处理者的数据处理操作提出了一个灵活的认证认可框架，其探索和实践可为相关工作提供有益参考.结合对GDPR认证制度的分析和我国目前个人信息保护现状，对推进我国个人信息保护工作和推动建立数据保护认证制度提出以下建议：

一是加快开展相关研究.借鉴国际已有的相关认证经验、结合我国数据安全保护工作实际，对产品认证、管理体系认证、人员认证、数据处理操作认证、服务认证等方向进行研究分析.特别是，可参考GDPR认证机制，充分发挥数据保护监管部门的监督指导作用，通过认可或制定认可要求，审批认证标准和认证方案、掌握认证开展情况，对已颁发认证进行监督和审查等途径提升认证质量.

二是尽快建立我国数据保护认证体系.围绕《数据安全法》《个人信息保护法》要求，基于研究分析成果，尽快出台认证制度相关实施细则.同时，建议参考EDPB的任务和职责，指定相关机构制定发布法规配套的指南和研究报告等支持文档，对法规条款要求进行解释和细化，保障认证机制的具体落实和统一实施.

三是积极推进与其他国家在数据安全认证认可领域的合作，充分发挥认证的国际贸易“通行证”作用.一方面，跟踪了解当前数据安全监管、认证方面的最新进展和最佳实践，健全完善我国数据安全认证体系，也可为我国企业出海提供合规指导；另一方面，借助“一带一路”等契机与战略合作伙伴和密切的贸易伙伴加强沟通，积极推进与国际主流数据安全认证体系的结果互认.