政策觀察丨解讀《個人資訊保護認證明施規則》的制度設計

【編者按】11月18日，國家市場監督管理總局、國家網際網路資訊辦公室釋出《關于實施個人資訊保護認證的公告》，同時公布了附件《個人資訊保護認證明施規則》。

該規則旨在貫徹落實《中華人民共和國個人資訊保護法》有關規定，同時根據《中華人民共和國認證認可條例》，鼓勵個人資訊處理者通過認證方式提升個人資訊保護能力，要求從事個人資訊保護認證工作的認證機構應當經準許後開展有關認證活動。

《網際網路法律評論》特約專家、中國科學技術大學公共事務學院、網絡空間安全學院教授左曉棟認為，“個人資訊保護認證”是一個總體概念，其可以針對産品，也可以針對服務和管理體系，是以認證工作既涉及認證認可的監管部門，也涉及資料安全的監管部門。希望在國家市場監管總局和國家網際網路資訊辦公室共同上司下，大陸資料安全認證制度能夠早日建立健全并發揮重要作用。

自2022年6月釋出資料安全管理認證明施規則後，11月18日，中央網信辦官網繼續釋出了另一份與資料安全認證有關的政策檔案《個人資訊保護認證明施規則》。該實施規則與此前釋出的《移動網際網路應用程式(App)安全認證明施規則》、《資料安全管理認證明施規則》共同建立了大陸資料安全認證制度的架構。特别是，《個人資訊保護認證明施規則》與資料出境安全認證制度密切關聯，因而在更大範圍内引發了關注。

也正由于涉及資料出境，很多人關心，這項制度是否符合國際慣例？有哪些屬于大陸特色？

01

資料安全認證是大陸資料安全治理體系的重要組成部分

認證認可工作制度是一種國内外通行的第三方評價制度，由具備專業能力的第三方機構依據标準和技術規範，對産品、服務或企業的管理體系、人員能力等做出評價，進而可供社會對評價結果進行采信。這一制度來源于現代市場經濟體制。

市場經濟的本質是交易的雙方能夠自由締結契約，市場經濟有效運作的基本前提是交易雙方都具有比較充分完備的資訊，否則不僅交易難以進行，也難以通過競争性選擇實作優勝劣汰。交易中的資訊不對稱可能導緻各種坑蒙拐騙，嚴重影響交易的秩序，影響市場配置資源的效率。資訊不對稱問題早在現代市場經濟形成之前就已存在，但隻有到了工業革命以後才變得十分普遍和複雜。認證認可制度正是适應解決交易中的資訊不對稱、降低交易費用、增進市場機制作用要求的一種制度安排。有效的認證認可活動，促進了資訊不對稱問題的解決（即，對于賣方傳遞物的品質，有了公開公正的評價，買房不會再“蒙在鼓裡”），保障了有效的市場競争，推動了現代市場體制的完善。是以，認證認可是市場經濟體制的一項基礎性制度安排，是市場經濟體制運作有效性的重要保障。

認證認可制度首次出現在網絡安全工作領域，源于2004年10月的《關于建立國家資訊安全産品認證認可體系的通知》。在此之前，政府對社會的治理，更多地采用行政許可手段。這在“大政府”時代是可以了解的，也是可行的。但随着市場經濟的進一步發展，凡事進行行政許可會使政府不堪負重，也不符合政府改革的方向。是以，需要理順政府、市場、社會三者之間的關系，政府側重法則、規則的制定，把該由市場和社會來做的産品、服務、管理體系等方面的具體性事務交由市場和社會。這便出現了從計劃經濟的“行政許可”向由社會組織調節的“認證認可”的轉變。

為此，在規劃國家資訊安全産品認證認可體系建設時，大陸便明确了政事分開、發揮認可制度作用的原則，凡可以通過認證認可解決的檢測、評審，原則上不再設立行政許可，特殊情況報經國務院審定後仍需保留的行政許可，應轉變行政許可的方式，充分利用産品認證、檢查、檢測的結果，不得重複取樣、重複檢查、檢測和收費。

《資料安全法》《個人資訊保護法》釋出施行後，建立科學高效的資料安全治理體系的任務提上議事日程，認證認可制度成為重要的治理手段。特别是在合規驗證、檢查評估方面，認證認可制度具備天然優勢。故而，建立資料安全認證認可制度是曆史必然。其實質是，在大陸認證認可監督管理制度下，運用認證認可的基本流程、原理，對資料安全的合規作出評價，使政府、社會及其他各方面對其資料安全能力建立信任。

02

對歐盟GDPR（《通用資料保護條例》）認證的借鑒

歐盟的GDPR（《通用資料保護條例》）是公認的全球個人資訊保護标杆。GDPR第42條和第43條規定了對資料控制者和處理者的資料處理操作進行合規性認證的制度，提出了認證架構、明确了相關角色．第42(1)款規定：“成員國、監管機構、歐盟資料保護委員會和歐盟委員會應鼓勵建立資料保護認證機制，設立資料保護印章、辨別，特别是歐盟級别的印章和辨別，以便證明資料控制者和處理者的資料處理操作符合本條例要求。應考慮中小微型企業的特定需求。”第43(1)款規定：“在不減損第57、58條所述監管機構的任務和權力的情況下，在資料保護方面具有相應專業水準的認證組織可在告知有權限的監管機構後（以便其根據第58條(2)(h)項行使自身權力）簽發和續期認證。”

GDPR認證主要針對資料控制者或處理者進行的一項或多項資料處理操作，證明其滿足GDPR規定要求。該機制十分靈活，在認證主體上，可以是資料控制者或處理者的一項操作或多項操作；在認證目标上，可證明其滿足GDPR對資料控制者或處理者提出的某項、某幾項乃至全部要求；在認證層級上，該機制提出了成員國内部、成員國間以及歐盟範圍内的通用認證；在認證的簽發上，可由成員國的資料保護監管機構（DPA）簽發，也可由獲得認可的認證機構簽發。

歐盟認為，認證機制一方面可以提高資料處理行為的透明度，便于控制者和處理者展示其處理過程的合規性，使相關方能便捷地了解處理操作的資料保護水準；另一方面，根據條例第42(2)款、第46(2)款規定，認證機制還可以作為資料跨境傳輸（轉移至第三國或國際組織）的合法途徑；此外，是否已獲得認證且遵從認證要求也可作為監管當局在決定施加行政罰款或決定罰款金額時的考量因素。

GDPR在法律層面提出了認證認可機制，但要在歐盟範圍内推進該機制的落地實施，仍有諸多問題需要探索明确．為此，歐盟委員會和歐盟資料保護委員會組織開展了大量研究，釋出指南和研究報告為實際操作中的重點問題提供指導和參考。2018年5月，歐盟資料保護委員會釋出了《對GDPR第42、43條所述認證标準進行認證和識别的指南》，并于2019年6月釋出第3版，對認證制度的作用、關鍵概念和認證範圍、認證标準的評估要求等進行了更加詳細的闡釋。該指南附錄《認證标準評估指南》經修改于2021年4月14日至5月26日公開征求意見。2018年12月，歐盟資料保護委員會釋出了《依據GDPR第43條要求對認證機構進行認可的指南》，對認可過程中相關方職責、認證機構的認可要求等提出指導。2019年5月，歐盟委員會釋出了《資料保護認證機制———對GDPR第42、43條的研究》報告，旨在對認證機制尚未明确的問題加以探讨，為歐盟委員會進一步補充完善GDPR認證制度提出建議。2022年6月，歐盟資料保護委員會釋出了《認證作為傳輸工具的指南》。

鑒于資料出境關系重大，如何根據GDPR第42(2)款要求，關于将認證機制作為資料跨境傳輸（包括轉移至第三國或國際組織）的合法途徑相關事宜，歐盟資料保護委員會一直在研究，《認證作為傳輸工具的指南》的釋出表明其在實施層面形成了階段性研究成果。但是，對于這個領域的國際互認問題，歐盟認為遠未到可以讨論的時候。

03

展望

根據大陸《認證認可條例》，認證，是指由認證機構證明産品、服務、管理體系符合相關技術規範、相關技術規範的強制性要求或者标準的合格評定活動。這一規定指出了認證的對象，即産品、服務、管理體系。此前釋出的《國家市場監督管理總局 國家網際網路資訊辦公室關于開展資料安全管理認證工作的公告》針對的是資料安全管理體系認證，那麼此次釋出的《個人資訊保護認證明施規則》針對的是什麼認證呢？

應該說，“個人資訊保護認證”是一個總體概念，其可以針對産品，也可以針對服務和管理體系，這與歐盟的理念是一緻的。即，可以對一個産品是否能夠保護使用者的個人資訊進行認證，也可以對企業、機構在開展某種活動中能否保護使用者個人資訊進行認證，還可以對企業機構自身能夠保護使用者個人資訊進行認證。當然，在對不同的對象進行認證時，方法會有所不同，但都會遵從認證認可和資料安全保護的一般規律。

《個人資訊保護法》第三十八條指出，個人資訊處理者因業務等需要，确需向中華人民共和國境外提供個人資訊的，應當具備下列條件之一：（一）依照本法第四十條的規定通過國家網信部門組織的安全評估；（二）按照國家網信部門的規定經專業機構進行個人資訊保護認證；……。該條明确，個人資訊保護認證可以作為資料出境的一種途徑，這也是與歐盟的GDPR42條規定是一緻的。是以，《個人資訊保護認證明施規則》相當于将大陸資料出境安全管理制度向前推進了一大步，取得了積極成果。

根據《認證認可條例》，認證是要證明産品、服務、管理體系符合“相關技術規範、相關技術規範的強制性要求或者标準”。本次公布的個人資訊保護認證，依據标準是GB/T 35273《資訊安全技術 個人資訊安全規範》和《網絡安全标準實踐指南——個人資訊跨境處理活動安全認證規範》。後者不是國家标準，但由全國資訊安全标準化技術委員會組織制定和釋出，具有權威性，是以可以作為認證依據，符合法律規定。但上述兩個檔案是什麼關系呢？申請個人資訊保護認證的個人資訊處理者應當符合GB/T 35273《資訊安全技術 個人資訊安全規範》的要求；但如果要在個人資訊出境時采信認證結論，這還是不夠的，需針對個人資訊出境場景增加認證要求，即還必須符合《網絡安全标準實踐指南——個人資訊跨境處理活動安全認證規範》的要求。

這相當于，大陸既建立了通用的個人資訊保護認證制度，也同時建立了針對資料出境場景的個人資訊出境認證制度。後者是前者的補充，前者是後者的基礎。

在讨論大陸資料安全認證制度設計時，一個不可忽視的重要事項是，誰是大陸資料安全認證工作的主管部門？《認證認可條例》第十七條指出，認證機構應當按照認證基本規範、認證規則從事認證活動。認證基本規範、認證規則由國務院認證認可監督管理部門制定；涉及國務院有關部門職責的，國務院認證認可監督管理部門應當會同國務院有關部門制定。這實際上指出了認證認可監管思路——在專業領域涉及到國務院有關部門職責的，由國務院認證認可監督管理部門會同國務院有關部門共同管理。是以，這項工作既涉及認證認可監管部門，也涉及資料安全監管部門。上一輪機構改革中，國家認證認可監督管理委員會職責已劃入國家市場監督管理總局。是以，資料安全認證這項工作，由國家市場監管總局和國家網際網路資訊辦公室共同負責。希望在兩個部門的上司下，大陸資料安全認證制度能夠早日建立并發揮重要作用。

作者：左曉棟

《網際網路法律評論》特約專家

中國科學技術大學公共事務學院、網絡空間安全學院教授

【免責聲明】此文僅代表作者個人觀點，與本平台無關。本平台對文中陳述、觀點判斷保持中立，不對所包含内容的準确性、完整性或可靠性提供任何明示或暗示的保證。