首個歐盟資料保護印章——Europrivacy 認證機制分析及啟示

文 | 中國網絡安全審查技術與認證中心 王鳳嬌 陳世翔 李子涵

自歐盟《通用資料保護條例》（GDPR）生效以來，個人資訊保護的合規已成為活躍在歐盟境内的公司和公共管理部門的核心要求。是以，作為 GDPR 認可的有效合規工具——GDPR 下資料保護認證機制的研究及實施推進情況一直備受全球關注。2022 年 10 月 10 日，歐盟資料保護委員會（EDPB）公布了對 Europrivacy 認證标準的準許意見，使得該認證标準成為歐盟通用标準，經評估後符合這一标準的認證對象，證書中可以獲頒歐盟資料保護印章（European Data Protection Seal）。Europrivacy 認證成為目前所有歐盟成員國唯一正式認可的 GDPR 認證機制，本文對 Europrivacy 與大陸近期出台的個人資訊保護認證制度做了對比分析，以期幫助對個人資訊保護認證制度的了解認識、促進制度實施和持續優化完善。

一、Europrivacy 認證基本情況

（一）認證方案所有者

Europrivacy 是通過歐盟研究計劃項目研究和開發的認證計劃，用于評價、記錄、認證和評估對 GDPR 和成員國補充性資料保護法規的遵守情況。它由位于盧森堡的歐盟認證和隐私中心（ECCP）在國際資料保護專家委員會的支援和監督下維護。ECCP 承擔方案所有者的職能，負責 Europrivacy 認證方案管理和許可流程，旨在支援資料保護和認證領域的創新技術和解決方案，還直接參與資料保護和認證領域的國際研究和創新。ECCP 自身不作為認證機構頒發證書，緻力于保護個人資料的合格認證機構、咨詢公司可向 ECCP 申請成為 Europrivacy 的認證機構、咨詢機構，但認證機構必須位于歐盟區域内。

（二）認證标準

Europrivacy 認證方案定義了一整套基于事實的詳細标準，以最大限度地降低評估符合性時的主觀性風險。所有标準均由 ECCP 及其歐盟國際資料保護專家委員會維護和更新，為此已經制定了一個具體的方法和标準格式。這些标準全面涵蓋 GDPR 以及成員國或特定行業領域的補充要求（如适用）。具體包括：識别所處理的個人資料；遵守向資料主體提供資料處理資訊的要求；處理的合法性，并在适用的情況下遵守“事先知情同意”要求；遵守有關未成年人年齡的要求；通過設計和預設遵守收集個人資料最小化原則；遵守 GDPR 規定的透明性原則；個人資料流分析，包括資料處理者和跨境資料傳輸問題；個人資料生命周期和個人資料保留期的最小化；有效落實資料主體的權利；間接資料收集的存在和一緻性；實施适當措施，在自動化個人決策的背景下保護資料主體的權利和自由以及合法利益；所收集資料的安全性、有效保護和完整性；控制者實施适當的技術群組織措施來保護資料；如果使用資料處理者，則使控制者能夠確定其處理者提供足夠的保證以實施适當的技術群組織措施的程式和協定；如果包含在商定的範圍中，則補充國家和/或領域特定的規範性要求和标準。

（三）認證範圍和适用對象

資料控制者和處理者都有資格申請 Europrivacy 認證。Europrivacy 認證可以在任何地方用于評估對 GDPR 的遵守情況，但證書的發放不适用于沒有為資料主體的權利和自由提供充分保障的司法管轄區。

由于其混合模型，Europrivacy 幾乎适用于所有資料處理活動，包括人工智能、區塊鍊、電子衛生和物聯網等創新技術。但也有一些特定的排除項，例如生物醫學資料。盡管 Europrivacy 可以應用于不同的評估目标，但根據 GDPR 第 42 條，隻有資料處理活動才能獲得認證。是以，對于歐盟司法管轄區，不可能根據 GDPR 一次性對整個公司甚至公司的整個管理系統進行認證。這一要素的積極方面是可以逐漸認證合規性，從優先的資料處理活動開始，逐漸将認證擴充到更多的資料處理。

（四）認證流程

認證流程分為以下幾個主要步驟。

首先，在 Europrivacy 資源和工具“welcome pack”以及合格合作夥伴的支援下，準備并記錄申請方對 Europrivacy 标準的遵守情況，以降低申請方的風險。

其次，通過合格的認證機構證明申請方資料處理的合規性。認證機構必須得到 ECCP 的授權，并具有國家主管當局的有效認可。該證書在歐盟官方證書登記處公布，以便第三方對其進行認證并防止僞造。

再次，借助線上資源和工具（包括合規性要求的持續更新和年度監督稽核），維護和增強申請方的合規性。

圖 Europrivacy 認證流程

（五）認證優勢

Europrivacy 可以評價、記錄、認證和評估對 GDPR 和補充性資料保護法規（非歐盟法律法規、領域和技術特定的法規）的遵守情況，證書的有效期為三年，可續期。它使申請人能夠識别和降低其風險，證明和評估其合規性，并提高其聲譽和市場準入。

Europrivacy 是根據 ISO/IEC 17065 和 GDPR 第 42 條開發的，它遠不止是一個簡單的認證計劃。它提供了一套全面的線上資源和服務，以有效地實施、增強和展示資料保護合規性，由合格合作夥伴社群、線上學院、社群網站和線上工具提供支援。

二、Europrivacy 認證與大陸個人資訊保護認證對比分析

2022 年 11 月 4 日，國家市場監督管理總局、國家網際網路資訊辦公室聯合釋出了《關于實施個人資訊保護認證的公告》，标志着大陸個人資訊保護認證制度正式建立。為了更好地了解大陸個人資訊保護認證制度、推進制度的有效落地實施、切實發揮作用，本文對 Europrivacy 認證和大陸個人資訊保護認證，從認證機制涉及的核心要素上做了對比分析。從認證範圍和适用對象、認證标準、認證流程等幾個認證方案的核心要素來看，Europrivacy認證和個人資訊保護認證具有較高的相似度，但也存在一些顯著不同和差距，值得關注和借鑒。

（一）從認證範圍和适用對象來看

Europrivacy 認證申請主體為個人資料控制者和處理者，個人資訊保護認證的申請主體為個人資訊處理者。由于《個人資訊保護法》中沒有“個人資訊控制者”的概念，“處理者”是能決定處理目的和處理方式的個人或組織，是以應該了解為包含了歐盟 GDPR 意義上的控制者。Europrivacy 認證和個人資訊保護認證的對象都是針對個人資料處理活動的合規性認證，是以，在認證申請主體和認證對象上基本一緻。但 Europrivacy 認證明确提出了例外情況，包括不适用于生物醫學資料的情況，不适用跨境認證情形。相比之下，大陸個人資訊保護認證是依據《個人資訊保護法》第 38 條第 2 款而建立，首要目的是提供一種跨境處理個人資訊的合法途徑。同時，對于不涉及跨境處理個人資訊業務的個人資訊處理者，可通過認證證明其個人資訊處理活動符合标準要求。

（二）從認證依據标準來看

公開的 Europrivacy 認證标準所覆寫的 14 個方面，大陸個人資訊保護認證依據的标準 GB/T 35273-2020《個人資訊安全規範》均有所考慮并做了細化要求。值得注意的是，Europrivacy 認證标準在通過設計和預設遵守收集個人資料最小化原則方面的實踐和探索更進了一步，這源于 GDPR 将通過設計和預設實作資料保護理念作為一個重要考量，希望推動将資料保護內建到資料處理活動和業務實踐當中。同時，Europrivacy 認證标準第 15 方面提及的“如果包含在商定的範圍中，則補充國家和/或領域特定的規範性要求和标準”，使得認證機制在滿足歐盟通用要求的基礎上，根據成員國和/或領域特定需求具有一定剪裁和調整空間。這兩個方面值得我們深入研究借鑒。但在個人資訊跨境傳輸方面，Europrivacy認證标準隻要求個人資料在傳輸到第三國時應按照 GDPR 第 5 章要求得到充分保護，并未做具體的要求。相比之下，大陸個人資訊保護認證機制針對個人資訊跨境處理情形的标準 TC260-PG-20222A《網絡安全标準實踐指南—個人資訊跨境處理活動安全認證規範》對個人資訊跨境處理作出了具體的要求，是落實《個人資訊保護法》38條要求的個人資訊跨境處理的合法途徑之一，在這個方面比 Europrivacy 認證标準更進一步。

（三）從認證流程和模式來看

Europrivacy 認證将合規支援作為認證流程的第一步，由 ECCP 授權的咨詢機構按照認證标準要求為申請主體提供輔導和支援。申請主體的資料處理滿足對标準的符合性和适宜性後，向 ECCP 授權的認證機構提出認證申請。認證機構通過快速檢查來評估和進行差距分析，出具審計報告後請申請主體進行整改，整改通過後頒發證書并進行證後的監督審計。整體來看，這個過程已不隻是一個認證項目，它是一個由 ECCP 主導的認證生态圈，提供了一套全面的線上資源和服務，以有效地幫助企業實作、提高和證明其資料保護的合規性。從目前公開的資訊來看，整個過程以線上服務的方式進行，具體的評價方法和手段不得而知、有待繼續跟蹤研究，為後續優化完善個人資訊保護認證流程和方法提供參考輸入。

但同時，作為與首個歐盟級資料保護印章同期推出的認證方案，大陸個人資訊保護認證與 2022 年 6 月已出台的資料安全管理認證一樣，在借鑒了歐盟 EDPB 前期關于認證機制研究報告和指南檔案中相關理念和成果的基礎上，從認證機制落地和確定認證有效性層面做了更進一步的探索。作為一項新認證形态的探索，聚焦認證作為合格評定工具的本質，抓住認證明施關鍵環節，創新了認證模式，采用技術驗證+現場稽核+獲證後監督的模式，最大化地保證認證明施的有效性，提供認證結果的權威性、可信性。

三、Europrivacy 認證的啟示

Europrivacy 認證機制作為首個歐盟區域的認證方案，其做法和經驗對完善大陸個人資訊保護認證制度具有重要參考意義，值得進一步研究借鑒。

一是在“通過設計和預設實作資料保護”理念方面的實踐和探索、标準的細化要求等方面，可以成為個人資訊保護認證評價名額和相關标準完善的參考輸入，以此促進大陸業界将“通過設計和預設實作資料保護”理念融入到業務的開發和實踐中，降低個人資訊保護成本的同時促進大陸個人資訊保護整體水準的提升。

二是在認證流程方面，将“合規支援”作為認證的第一步，對認證的定位和作用進行了擴充，在對企業實作合規進行輔導和支援的基礎上，證明其滿足标準要求，适應了目前數字經濟時代企業實作合規的需求，也是符合資料認證作為一種新的認證形态所具有的特殊性和複雜性特點的需要。

三是在線上資源和工具方面，通過豐富的線上資源和工具，對企業進行輔導、支援和監督，提供政策法規更新、監管資訊等附加服務，為後續加強大陸個人資訊保護認證能力建設提供了參考思路。

四是積極跟蹤 Europrivacy 認證機制等國際個人資訊保護認證制度和機制的進展，結合大陸的制度實施實踐中總結的經驗和問題，積極參與國際性個人資訊保護、個人資訊跨境流動相關規則的制定，促進國際交流互動，适時探索國際互認。

四、結 語

資料作為一種新型生産要素，具有海量、可複制、可移動等許多新的特點，與其載體密不可分，與業務場景、系統架構等具有很強的伴生關系，是以資料相關認證也是一種新的認證形态、一種新生事物，相較于傳統的網絡安全産品和服務認證，具有新的特殊性和複雜性，對資料認證的基本特點和本質屬性進行探究仍要繼續。盡管 GDPR 在法律層面提出了認證認可機制，但要推進該機制的落地實施，仍有諸多問題需要探索明确。為此，歐盟委員會和歐盟資料保護委員會組織開展了大量研究，釋出指南和研究報告為實際操作中的重點問題提供指導和參考。Europrivacy 認證機制的出台也是 GDPR 下認證認可機制落實的一個重要裡程碑，其實施經驗、效果等值得跟蹤研究。

（本文刊登于《中國資訊安全》雜志2023年第2期）