聂磊磊

(中国人民公安大学 法学院，北京 100038)

0 引言

个人信息保护认证是个人信息出境中与安全评估、标准合同并列的出境制度，除了法律等有例外规定的场合，一般个人信息出境都可以适用认证制度。认证制度在我国传统领域经常适用，但自《个人信息保护法》实施后，个人信息保护认证制度才开始运用于我国个人信息出境的场景。虽然运用至今仍在不断发布指南为其具体落实提供指引，但实施的效果差强人意。因此，有必要对个人信息保护认证制度实施以来的情况进行分析，以实现个人信息安全与自由流动之间的利益衡平。

1 个人信息保护认证基本概述及价值

1.1 个人信息保护认证基本概述

个人信息保护认证是个人信息跨境提供中的出境制度之一，是个人信息安全相关认证的统称，跨境处理活动认证是其中针对个人信息跨境场景的特定认证类型。与欧盟《通用数据保护条例》(GDPR)规定相类似，GDPR认证同样是数据保护认证机制的统称，GDPR第46条第2款第f项提出的认证只是GDPR认证中针对个人跨境场景的特定认证类型。我国个人信息保护认证的上位法依据包括《个人信息保护法》《中华人民共和国认证认可条例》(以下简称《认证认可条例》)，根据《认证认可条例》，认证是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。

目前，在个人信息跨境流动中存在单边、双边和多边认证机制。单边认证机制以欧盟“有约束力的公司规则”(BCRs)为典型，双边认证机制以美国和欧盟之间已经失效的“安全港”(Safe Harbor)和“隐私盾”(Privacy Shield)协议为代表，多边认证机制则以美国主导的“全球跨境隐私规则”(CBPRs)为代表[1]，我国的个人信息保护认证制度属于单边认证机制。但根据我国法律规定，涉及国家安全和公共利益的一些重要数据必须通过安全评估后才允许出境。同时，适用个人信息保护认证进行个人信息出境时，也要进行个人信息保护影响评估，由企业自行评估是否具备出境的条件。

我国个人信息保护认证机制的运行规则是要求个人信息处理者和境外接收方签订一系列法律协议，并承诺遵守统一的个人信息跨境处理规则，再获得认证机构认证即可进行个人信息出境。根据《个人信息保护认证实施规则》(以下简称《认证实施规则》)，个人信息保护认证的认证模式为“技术验证+现场审核+获证后监督”。具体步骤是由认证委托人先行提交认证委托资料，包括认证委托人基本资料、认证委托书、相关证明文档等，认证机构据此确定认证方案；其次，技术验证机构根据认证方案出具技术验证报告，认证机构出具现场审核报告；最后，认证机构根据上述信息决定是否给予认证，对符合条件的颁发认证证书，不符合条件的要求其限期整改，整改后仍不符合条件的则终止认证。同时，认证机构应当在认证有效期内对获得认证的个人信息处理者进行持续监督。在个人信息出境的情况下，个人信息持有方发生变化，适用的法律法规也发生变化，境内监管机关有可能无法对境外接收方行使管辖权，并且个人信息主体维护自身合法权益的渠道变少也变得更加困难，但个人信息保护认证制度可以有效缓解这些风险。

随着数据全球化的发展，当前跨境经济活动的多样性和复杂性日益攀升，相应地要求数据出境方式要与时俱进。虽然个人信息保护认证在个人信息跨境提供时既安全又方便快捷，但要进一步地对敏感个人信息提高认证标准，推动实现个人信息跨境流动的合法事由多元化，并对企业数据保护能力进行认证[2]。我国分别于2022年6月和11月出台了《网络安全标准实践指南 个人信息跨境处理活动安全认证规范》(v1.0)版本和(v2.0征求意见稿)版本(以下统一简称《认证规范》)为个人信息保护认证的具体落实提供指引，也于2023年3月发布了《信息安全技术 个人信息跨境传输认证要求》征求意见稿(以下简称《认证要求》)进一步完善个人信息保护认证制度。虽然国内制度为个人信息跨境提供确立了运行的基本原则，并对认证机构和个人信息处理者提出了基本要求，但仅是一些原则性和基础性的规则指引，需要结合未来趋势和国外经验进行进一步的优化和完善。我国个人信息保护认证相关法律文件如表1所示。

表1 我国个人信息保护认证相关法律文件

国外关于个人信息保护认证的法律规定主要有欧盟BCRs和《关于认证作为跨境传输工具的07/2022号指南》(以下简称“《AC认证指南》”)[3]。BCRs规定的认证流程是先由企业制定BCRs，且该BCRs获得了数据保护机关的批准，最后基于经批准的认证机制进行个人信息的转移。而《AC认证指南》是由第三国数据接收方自愿申请认证，并由监管部门批准的认证机构进行评估决定是否给予认证，最后基于该认证进行个人信息跨境传输。对比国内外关于指导个人信息保护认证的文件来看，《认证规范》中规定的认证范围和BCRs的主要适用情形都是关联企业之间的数据传输，这就是我国个人信息保护认证在框架设计上与BCRs高度相似的原因。但最新的《认证要求》开始向《AC认证指南》靠拢，《认证要求》删除了之前《认证规范》明确的几个申请认证主体，比如大型跨国关联企业等主体，但又没有明确新的申请认证主体，未来的申请认证主体范围必定更大。而《AC认证指南》的适用范围则非常广泛，只要数据处理活动是将欧盟保护的个人信息从欧盟境内传输出境，境外接收方就可以就该系列或单个数据处理活动申请认证[4]。《AC认证指南》被用于指导GDPR下认证机制的实践应用，解决了GDPR中认证作为传输工具时的具体要求。纵观国外，个人信息保护认证的发展过程是从小范围的跨国企业之间到大范围的所有个人信息跨境传输，从BCRS到《AC认证指南》。这是未来个人信息保护认证的发展趋势，也是全球化下个人信息传输所倒逼的要求，也是为何我国最新的《认证要求》开始向《AC认证指南》靠拢的原因。

目前，对个人信息跨境流动的规制主要是通过法律规则进行，比如欧盟GDPR规定的“充分性保护认定+不存在充分性保护认定时的减损”模式最具代表性(我国个人信息出境制度中的安全评估和标准合同都属于此类)。同时，需要探索综合性的个人信息跨境流动多元治理机制，以实现个人信息跨境流动法律规则有效地实施。在大数据背景下，个人信息在商业领域得到充分利用，其私权属性趋于弱化但其社会属性逐渐突显。个人信息作为一种数据资产，在对其价值进行挖掘促进个人信息自由流动的同时，还要兼顾对个人信息的保护，做到个人信息保护与利用之间的平衡[5]。个人信息保护认证可以实现双方之间利益关系的平衡[6]。我国应在坚持完善安全评估制度的基础下，有效落实既能维护个人信息安全又能促进个人信息自由流动的个人信息保护认证制度，使其作为安全评估制度的重要补充[7]。

1.2 个人信息保护认证的实施价值

我国个人信息出境制度目前有三个，包括安全评估、标准合同和认证制度。安全评估制度可以很好地保障国家安全和社会公共利益，但在促进个人信息自由流动方面存在不足。标准合同是由国家有关机关事先拟定好的，在合同生效后即可开展个人信息出境活动，虽然通过合同形式实现出境便利，但在保障个人信息安全方面尚有欠缺。而认证制度比安全评估有更加自由的流动性，比标准合同有更加稳定的安全性，具有显著的实施价值和现实意义。

首先，安全评估制度是我国个人信息出境中的核心制度。安全评估的适用范围由“处理100万人以上个人信息的数据处理者向境外提供个人信息”把握上限，由“自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息”把握下限。这两方面的规定可以将我国绝大部分的个人信息出境活动交予安全评估制度来进行，其适用范围过于宽广，导致三大出境制度的并列关系实质上变成了安全评估制度优先适用。同时，其评估流程较为复杂，专业性较强，成本较高。基于成本与收益模型，个人信息处理者可能会以本地化存储代替安全评估[8]。

其次，标准合同与安全评估的适用范围是互补的，在安全评估的适用范围之外可以适用标准合同。标准合同的内容不允许双方任意更改，双方如有其他的约定可在附录部分详述，附录构成标准合同的组成部分，标准合同在签订生效之后进行备案即可。认证制度在签订具有法律约束力和执行力的文件之后还需要提交有关部门认证。虽然认证制度和标准合同都比安全评估有更加自由的流动性，但标准合同主要凭当事人双方之间自觉，而认证有认证机构背书，认证比标准合同有更加稳定的安全性。

最后，个人信息保护认证制度在对企业、政府和个人的影响方面也发挥着其独特的价值。认证可以约束大型互联网企业的行为，促使其不断完善个人信息跨境提供中合规制度的建设；可以促进新兴中小互联网企业发展，能够让企业在面对个人信息主体社群、合作伙伴乃至监管机关时树立稳健可信的品牌形象[9]。同时，认证属于第三方规制，赋予认证机构“守门人”的义务，可以减少政府的负担，帮助行政机关发现或阻止违法行为[10]。认证还可以增强个人信息主体对个人信息处理者的信任，从另一个方面表明个人信息主体是“真正同意”个人信息处理者处理自己的个人信息[11]。

2 关键节点：个人信息保护认证机构的资质

个人信息保护认证作为第三方规制行为，认证机构是其中的关键环节，要求认证机构需具备公平性和专业性这两个方面的资质。为了保证认证的专业性，要求对认证机构进行专业合规制度建设并提高工作人员的专业水平和专业素养。为了充分实现认证机构的公平性和专业性，应加快建立非政府性、非盈利性的社会组织型专业个人信息保护认证机构[12]。

2.1 公平性

2.1.1 认证机构不得与行政机关存在利益关系

中国的认证体制是在政府主导下自上而下确立的，同国外从市场出发的认证体制有着重要差别[13]。中国大部分的认证机构具有浓厚的行政管理色彩，往往导致第三方独立认证变成单方面管理和审批。国际上很多有影响力的认证机构都是非政府性质的组织，与政府有关联的认证机构可能会导致认证不力、认证不公，进而损害政府监管部门的权威性。《认证认可条例》第13条第1款规定：“认证机构不得与行政机关存在利益关系。”《关于促进市场公平竞争维护市场正常秩序的若干意见》提出，“推进检验检测认证机构与政府脱钩、转制为企业或社会组织的改革”。

2.1.2 认证机构应独立于企业

在传统的认证领域，存在着与企业利益紧密相关的“企业型”认证机构，企业通常会选择投其所“好”的第三方认证机构。第三方认证机构通过颁发虚假的认证从企业那里牟利，企业依靠虚假的认证骗取个人信息主体的信任获得其个人信息，并对个人信息进行处理来牟利。认证成为一个完整利益链条中关键一环，“认证变认钱”，认证乱象丛生。通过虚假认证骗取的个人信息，其后续对个人信息的处理会超出个人信息主体真正同意的范围而产生安全风险。在未来的个人信息跨境认证市场领域的认证机构难免出现这种情况，“给钱就给过，不给就刁难”。这样的风气甚至会造成一些严格遵守认证规则的认证机构被迫退出市场或者也成为这样的违法认证机构，形成“劣币追逐良币”的恶性市场，严重扰乱认证市场秩序。

2.2 专业性

当前，利用个人信息从事违法犯罪的方式种类日益多样化，要求具有更高水平可以与之相对应的专业性认证机构对企业的个人信息保护能力进行认证。只有被政府和同行业共同认可的认证机构才能从事认证工作。认证机构需要从事认证工作的专业人员既要熟悉与认证相关的法律，也要熟知计算机等专业技术方面的知识。《认证要求》、BCRs和《AC认证指南》均要求企业有义务对员工提供个人信息保护方面的培训，并且对持久或经常访问个人数据的人员，或参与个人数据收集的人员，或开发个人数据处理工具的人员进行专门的培训[14]。同时，个人信息保护认证机构作为新设机构，可以与传统检测、鉴定等机构合作开展个人信息保护认证，来弥补起步初期专业性不足的缺陷，甚至将涉及某方面的认证权力下放给专业性更强的检测机构来进行认证，但最后决定是否给予认证的权力应牢牢把握在认证机构自己的手里，防止认证机构不承担自己的认证义务，或者变相将认证义务转移给检测等机构。通过这些专业性机构从技术上辅助认证机构的发展[15]，相应地要求认证机构在未来要走“专精特新”路线，逐步实现认证机构与检测等专业性机构的合一。

3 优化路径：个人信息保护认证的展开

当前，个人信息保护认证制度面临着诸多挑战，但与实践需求尚有脱节，某些方面的规定也并不明确。本文从认证前、认证中、认证后三个方面分析并提出改进意见，主要包括认证启动机制、申请认证的主体范围及认证标准和出现问题后的责任分配。

3.1 认证前：认证启动机制

认证如何启动是进行个人信息保护认证的第一步，主要包括自愿认证和强制认证两种形式。从欧盟《通用数据保护条例》(GDPR)来看，其主张自愿认证机制，鼓励建立认证机制和使用数据保护印章、标记，以使数据主体能够快速评估相关产品和服务的数据保护水平。我国为做到“放管结合，优化服务”的目的也实行自愿认证，通过市场手段保证放而不乱，同时提高认证水平、规范认证秩序和提升企业的合规能力。但自愿认证制度因认证的方式和标准不是统一的，存在一定的局限性和区域性，无法满足统一管理的要求，且不利于我国认证制度“走出去”和实现国际互认[16]。

我国在《认证要求》中规定了自愿认证原则，鼓励开展个人信息跨境处理活动的个人信息处理者自愿申请个人信息保护认证，充分发挥认证在加强个人信息保护、提高个人信息跨境处理效率方面的作用。但也不能忽视强制认证的作用，实证研究表明，强制认证可以增强创新能力、提升管理能力和增加自愿认证，“对企业生产率具有显著正效应”[17]。我国《认证认可条例》既鼓励实施自愿认证，但又对特殊领域实施强制认证，其中第27条规定“为了保护国家安全、防止欺诈行为、保护人体健康或者安全、保护动植物生命或者健康、保护环境”，对相关产品实施强制认证。强制认证可以严格执行国家的认证要求，认证更具有规范性和保障性，并且对特殊领域的保护更为强劲。因此，我国认证启动机制应以自愿认证为主，在特定领域实行强制认证。

3.2 认证中：认证申请主体及认证标准

3.2.1 申请认证的主体范围

目前，申请认证的主体范围前后规定不一致，在《认证规范》中规定的申请认证主体包括以下两类：一是跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动可由境内一方申请认证；二是境外个人信息处理者，可由其在境内设置的专门机构或指定代表申请认证(如表2所示)。《认证规范》的申请认证的主体范围基本等同于欧盟BCRs，可以申请个人信息保护认证的基本都是一些大型跨国企业。但是在最新的《认证要求》中删除了之前所明确规定的两类申请认证主体，而现在又没有明确可以申请认证的主体范围，仅规定了“本文件适用于认证机构对个人信息处理者跨境提供个人信息活动开展个人信息保护认证，也适用于主管部门、第三方评估机构等组织对个人信息处理者跨境提供个人信息进行监督、管理和评估。”说明适合采用认证方式进行个人信息跨境传输的个人信息处理者包括但不限于《认证规范》中的两类主体，认证申请主体应为所有满足一定条件的个人信息处理者。这偏向于欧盟《AC认证指南》的规定，将更有利于中小企业在需要进行个人信息跨境传输时申请认证。随着个人信息数量不断增多和个人信息跨境传输业务逐渐扩展到中小企业，在未来个人信息出境会变得越来越频繁的情况下，对于任何有出境需求的个人信息处理者在符合法律规定和认证相关要求的前提下都可以申请认证，申请认证的主体范围扩大化可以促进个人信息跨境传输以及认证市场的发展。

表2 《认证规范》中可申请认证的主体范围

3.2.2 个人信息保护认证标准

认证标准是个人信息保护认证的核心之一，个人信息保护认证标准除了国家强制力认证标准，还包括国际通用标准、国家推荐性标准、认证机构制定的标准和行业自律性标准等。制定认证标准应注重其可验证性、重复性和适用性，以证明被测的个人信息处理操作符合法律的相关规定，认证标准应明确易懂，并具有可操作性[18]。我国法律规定，申请个人信息保护认证的个人信息处理者应符合《信息安全技术 个人信息安全规范》(GB/T 35273—2020)的要求，但认证结论如要用于个人信息出境还需符合《认证规范》的要求。同时，国家标准《认证要求》的制定已经完成第一轮征求意见稿阶段。由于不同的主体之间因业务或者其他各种原因所需要的标准高低不同，应当建立并完善分级分类认证标准制度。比如设定让渡个人数据换取大数据服务的规则，视不同的个人信息传输重要程度和个人信息主体本身的需求适用不同的认证标准，对于想用自己的个人信息换取便利且属于一般个人信息的群体，可以选择认证标准较低但合法的认证。对于个人敏感信息以及对安全要求高的群体，自然就要适用较高的认证标准。

根据同等保护原则，要求境外接收方所在国认证标准不低于我国的水平，与《AC认证指南》遵循的同等保护标准一致。如果境外接收方所在国的保护水平低于我国，可以要求个人信息处理者和境外接收方采取必要措施保证其处理活动达到我国的认证标准。但BCRs的要求更为严格，如果地方立法对个人数据提供了更高水平的保护，那么地方立法将优先于BCRs适用。认证标准的完善可以在关注国际整体发展形势的基础上，加强与外国法律体系的互动，促进我国的认证标准在未来逐步实现国际互认的目标[19]。

3.3 认证后：个人信息保护认证中的责任分配

《认证要求》规定了责任明确原则，规定个人信息处理者和境外接收方应履行法律法规规定的责任义务，在跨境处理个人信息时应保障个人信息主体权益，并指定境内一方、多方或者境外接收方在境内设置的机构对境外接收方损害个人信息权益的个人信息违规处理活动承担民事法律责任。欧盟BCRs则要求集团必须指定欧盟境内的一个集团成员，承担集团内其他非欧盟成员的违反BCRs的责任后果，即责任承担将集中到一个实体。对于司法管辖事项，《认证要求》要求个人信息处理者和境外接收方均承诺遵守中华人民共和国个人信息保护有关法律、行政法规，接受中华人民共和国司法管辖；承诺与个人信息跨境处理有关的纠纷适用中华人民共和国相关法律法规。BCRs还规定，如果位于欧盟境外的集团成员有违反BCRs的行为，欧盟境内的法院或监管当局对该行为有管辖权。但在具体如何分配责任的问题上没有明确规定，在私法方面可以参照《民法典》中关于责任分配的规定，在公法方面可以参照《刑法》和《行政法》关于责任追究的规定。在个人信息保护认证中出现个人信息泄露等问题时主要有以下几个主体需要承担责任，包括监管部门、认证机构、个人信息处理者、境外接收方。对这些主体进行责任分配时存在私法上的归责和公法上的追责两种情况。

首先，在私法归责上，将归责主体以是否实际掌握个人信息区分为个人信息持有者和非个人信息持有者两大类，前者包括个人信息处理者和境外接收方，后者包括认证机构和监管部门。对于个人信息持有者来说，整体的归责原则应确立为过错推定责任原则，即个人信息持有者负有证明自身无过错的义务。根据“控制者义务理论”，任何人对自己控制的场所负有相应的安全保障义务，并且要求控制者遵循收益与风险相一致以及危险控制理念。一方面，个人信息持有者作为直接利益享有者，依靠个人信息的处理获取收益；另一方面，个人信息持有者作为管理者，具有专业知识、能力、技术，能够预见可能发生的危险和损害，在个人信息出现泄露等问题时，更有可能采取必要措施防止损害的发生或减轻损害，“监督者控制潜在危险的义务通常来源于他对危险源的控制能力”[20]。对于非个人信息持有者来说，整体的归责原则应确立为过错责任原则。认证机构和监管部门作为第三方机构，只是间接享有个人信息处理带来的利益，二者并无直接的因果关系。在认证机构和监管部门存在故意时应承担连带责任，存在过失时应承担补充责任。如果认证机构和监管部门没有及时履行跟踪监督的法定作为义务，应承担连带责任，此种责任属于“特殊不作为义务连带责任类型”[21]。

其次，因私法归责具有一定的局限性，公法追责就起到了补充作用。在个人信息泄露时，特别是在个人信息出境的情况下，个人信息主体和个人信息持有者处于极不平等的地位，而且个人信息主体可能并不知情或者没有有效的渠道去申请救济，甚至会因诉讼漫长的时间而不堪重负主动撤诉。公法上一方面可以以《刑法》为指引对违法行为追究刑事责任；另一方面，基于传统的威慑理论可以借鉴欧盟的重罚机制，追究其行政责任并提高违法成本，以此达到遵从法律的目的[22]。重罚的必要性在于当处罚金额少于违法所得利益时难以发挥其威慑作用，因为依然有利可图所以违法行为不会得到有效遏制[23]。同时，基于成本收益原理，罚款金额越高，即便在被处罚的概率下降的情况下，也能有效遏制违法行为[24]。通过在公法追责上严厉打击违法行为人，倒逼其在私法归责上履行自己的义务，从而更好地保障个人信息主体的权利。

4 结论

近几年来由于全球数字经济的蓬勃发展，个人信息出境成为一种常态化活动，个人信息保护认证制度作为第三方认证开始适用于新兴的出境规制。认证制度的核心功能体现于，在个人信息处理者满足《个人信息保护法》规定的“基线要求”的基础上，为自愿实施更具保护性的制度和措施的企业提供获得监管部门一定认可的渠道，同时向市场参与者发布该正向信号[25]，有利于促进各方主体在个人信息保护方面的共同治理，从而实现个人信息安全和流动之间的利益平衡。当认证制度发展逐步成熟之后，将与安全评估和标准合同制度共同构筑我国出境制度的运行蓝图。未来，我国应以与东盟、一带一路沿线国家加强个人信息保护认证交流为起点“走出去”，从单边向着双多边认证机制发展，并积极主动参与国际通行认证机制的构建，推动全球个人信息跨境流动治理体系朝着更加公正合理的方向迈进。