2022年6月9日,國家市場監督管理總局、國家網際網路資訊辦公室釋出了《關于開展資料安全管理認證工作的公告》,基于《資訊安全技術 網絡資料處理安全要求》(以下簡稱“GB/T 41479”)等相關标準規範開展資料安全管理認證工作,也可簡稱DSM認證,鼓勵網絡營運者通過認證方式規範網絡資料處理活動,加強網絡資料安全保護,并釋出了《資料安全管理認證明施規則》(以下簡稱“《規則》”)來指導具體的認證工作。
在資料成為新的生産要素的背景下,為了使資料安全認證真正能夠客觀、公正地發揮第三方評定職能,需要對資料安全認證體制機制進行整體的法治建構。個人資訊是數字時代涉及面最為廣泛的資料,小編将主要以個人資訊保護為視角,對資料安全認證的必要性、認證機構資質、認證機制運作、認證與政府規制的關系等問題進行系統研究,以期探索資料安全認證的法治之道。
01
資料安全認證明施程式和認證标準
資料安全認證行為具有公共性,不僅直接關系到個人資訊安全,而且對整個資料要素市場的安全性與誠信度會産生直接影響。為了有效保障資料安全認證的客觀性與公正性,更好地實作其第三方規制功能,需要科學合理确定認證機構的資質。
(一)資料安全認證機構應具有獨立性
首先,資料安全認證機構應具有獨立性,同網際網路企業間不應存在利益關聯。對于資料安全認證機構資質的規定,應特别注意消除企業型認證機構可能存在的弊端。在自由競争的成熟認證市場尚未形成之前,企業型認證機構很難以獨立于被認證對象。為了緩解生存壓力,追求利潤最大化,企業型認證機構很容易将認證變為賺錢的工具。中國實行強制性産品認證統一收費制度,對于認證申請費、産品檢測費、工廠審查費、準許與注冊費、監督複查費、年金、認證标志費等都作了明确的限定,企業型認證機構尤其是民營企業型認證機構,面臨的生存壓力或許更大。是以應當放寬認證機構的準入門檻,強化自由競争,充分發揮認證市場優勝劣汰機制的調節功能。
其次,資料安全認證機構應獨立于政府。認證的本質屬于第三方評價,是認證機構在市場與消費者之間從事的居間活動。如果認證機構同政府有關聯,會産生諸多消極後果。其一,認證機構不獨立于政府會使得認證無法完全擺脫行政管理色彩和官僚主義弊端,導緻“認證變管理”,甚至導緻“認證異化為審批”。其二,如果由同政府有關聯的機構實施認證,可能導緻政府不當幹預市場,引發利益輸送、權錢交易等腐敗行為,使得認證成為财政創收的新途徑,或成為少數公職人員中飽私囊的工具。其三,認證機構同政府有關聯不利于提高認證服務效率與品質。
為了充分實作認證機構的獨立性,應加快培育社會組織型資料安全認證機構。因為無論認證規則如何設計,不管認證市場如何完善,都無法完全消除企業型認證機構為追求利潤最大化而作出的不客觀公正的認證,也無法總能保障與政府有關聯的事業機關型認證機構獨立作出客觀、公正的認證。
資料保護的國際實踐表明,社會組織型認證機構可以克服企業型、事業機關型認證機構的諸多弊端,能夠較為獨立地開展認證工作。未來資料安全認證體制的建構,需要特别重視培育具有獨立性的社會組織型資料安全認證機構。
(二)認證機構應具有高度專業性
資料安全認證是一項專業性極強的工作,隻有符合相應專業資質并得到政府認可的機構,才能從事認證工作。目前資料濫用違法犯罪行為種類多樣且日新月異,具有極強的隐蔽性與複雜性。資料安全認證不同于對普通産品、服務或管理體系的認證,認證人員既須精通法律又須熟知數字科技。沒有高度專業性的認證機構,難以作出權威客觀的認證。
相比歐盟對資料保護認證機構的資質更注重軟性制度條件而言,中國更加強調認證機構的人、财、物等硬性條件。在認證市場不夠成熟的情境下,一定人員數量和相應物質基礎的要求,在某種程度上有利于保障認證的品質,但不宜過度強調。為了保障資料安全認證機構的專業性,需要結合數字時代新的生産要素資料和資料處理行為的特點,對其設立條件、人員構成、程式機制、物質要求等事項作出特殊的具體規定。
資料安全認證機構可以通過同檢測機構合作,彌補自身專業性不足。認證機構具有相關專業知識可以做出合規判斷,但不一定具備相關技術檢測能力。專業檢測機構可以承擔具體檢測技術工作,但安全認證證書應由認證機構頒發。為了更高效、更負責任地開展資料安全認證工作,應不斷提高認證機構的專業知識與技術能力,逐漸實作認證機構與檢測機構的合一。
02
數字時代個人資訊保護的第三方規制
(一)彌補數字時代政府規制缺陷的現實需要
首先,由于政府擷取違法資訊的有限性與滞後性,個人資訊保護的政府規制實效性不高。政府往往難以全面掌握個人資訊處理守法合規的真實狀況。
其次,個人資訊保護的政府規制存在“知識供給不足”的專業性缺陷。政府運用傳統手段通過行政檢查、行政處罰等方式,無法全面預防與糾正個人資訊處理違法行為,法律實施效果不佳。
再次,受人員不足、财政縮緊等現實條件的制約,個人資訊保護的政府規制作用有限。
最後,政府規制存在“運動式執法”“選擇性執法”“規制俘獲”“權力尋租”等難以完全根除的反法治現象,導緻大量侵犯個人資訊的違法行為得不到及時有效的責任追究。
03
協會總結
資料安全認證具有不可替代的資料安全保障功能。無論是政府規制,還是企業的自我規制,抑或是第三方規制,都各自存在難以克服的内在缺陷。在資料成為新生産要素的數字時代,需要政府、網際網路企業、資料安全認證機構、網絡使用者、社會公衆等多方主體開展公私合作治理,互相取長補短,協同完成保障資料安全并促進資料高效流通利用的公共任務,以最終實作資料強國。