您的位置 : 环球研究 / 环球评论 / 新闻详情
数据合规领域认证制度观察(上):察今以知古——我国数据合规认证制度的形成与发展
2022年12月01日孟洁 | 鲁裕鑫 | 杜畅

引言

 

2022年11月18日,国家市场监督管理总局(以下简称“市监总局”)和国家互联网信息办公室(以下简称“网信办”)发布《关于实施个人信息保护认证的公告》:为贯彻落实《中华人民共和国个人信息保护法》(以下简称“《个保法》”)有关规定、规范个人信息处理活动、促进个人信息合理利用,决定实施个人信息保护认证,并且鼓励个人信息处理者通过认证方式来提升对个人信息的保护能力。同时公布的还有《个人信息保护认证实施规则》(以下简称“《个保认证规则》”),对认证的适用范围、认证流程等内容进行了进一步细致说明。

 

早在2019年3月13日,市监总局和网信办就发布了《关于开展移动互联网应用程序(App)安全认证的公告》及实施规则;随后在2022年6月5日,市监总局和网信办又发布了《关于开展数据安全管理认证工作的公告》及实施规则。随着近年来我国数据合规领域立法的逐渐完善,如何推动和提高市场主体数据处理行为的合规性成为了实践中一个不可回避的问题。近年来不断推出的认证规则与制度,也显示出监管部门对于敦促数据合规工作的高度使命感和不懈努力。

 

企业数据合规工作的目标在于建立和完善数据全流程安全规则与监管体系,落实贯穿数据治理全过程的合规要求,以此来提升组织有关数据安全、数据治理与合规运营能力,往往会涉及到制度规则、安全技术、管理体系等各层面要求。从App安全认证到数据安全管理认证再到个人信息保护认证,我国数据合规领域认证制度的重点已经从产品安全、技术规范逐步扩展到组织体系、管理流程等综合治理层面。本文将从个人信息保护认证制度出发,对数据合规领域认证制度的发展演变和实践操作进行初步介绍,以期为相关企业选择并进行数据合规认证,以及认证机构开展数据合规认证工作提供参考。

 

一、认证制度的目的与效果

 

根据《中华人民共和国认证认可条例》(以下简称“《认证认可条例》”),所谓“认证”是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动;其目的在于提高产品、服务的质量和管理水平,以促进经济和社会的发展。

 

换言之,认证行为即由认证机构根据相关技术要求或标准对认证对象进行检验和核实,并最终形成具有一定证明效力的第三方合规证明。以服务认证为例,通过认证能够向顾客、监管机构、行业和其他利益相关方提供信心,以证明这些服务组织提供的服务满足规定的服务要求。服务认证能够在国家、区域和国际层面促进贸易、市场准入、公平竞争和顾客认可。

 

根据《认证认可条例》第二条,认证的对象主要包括产品、服务和管理体系。国家认证认可监督管理委员会(以下简称“认监委”)在全国认证认可信息公共服务平台(以下简称“认e云平台”)将产品认证进一步细分为“强制性产品认证”“自愿性工业产品认证”与“食品农产品认证”,与另外两类“服务认证”和“管理体系认证”并列为五种第一级认证类别,在各自类别下再进行细分。

 

图片

   图1

 

根据《认证认可条例》,认证原则上为自愿委托进行,但是为了保护国家安全、防止欺诈行为、保护人体健康或者安全、保护动植物生命或者健康、保护环境,国家规定与上述权益相关的产品必须经过认证的,应当经过认证并标注认证标志后,方可出厂、销售、进口或者在其他经营活动中使用,即我们所熟知的中国强制性产品认证(“3C认证”)。需要明确的是,认证并非是对产品、服务的质量保证,而是一种最基础的安全认证。这种认证虽然不能作为发生责任纠纷时的豁免条件,但是在消费者选购产品和/或服务时,在自身识别能力有限的情况下,选择经过认证的产品和/或服务,能够在最大程度上帮助其规避潜在的风险。

 

在全球数字化进程持续推进、数据基数呈指数级增长、人类生活和生产活动越来越依赖于各类数据的背景下,基于对数据的合法利用,以及对网络空间个人信息和相关权益的保护需求,各国正纷纷建立健全数据战略、法律法规和各项标准指南,拟对数据安全和个人信息保护进行统一的立法、规范和引导。在市场主体进行自由交易或者接受监管机构监督时,如何快速高效地证明自身的合规程度,提前进行认证便成为了大多数市场主体的不二选择。在欧盟《通用数据保护条例》(General Data Protection Regulation,“GDPR”)和我国《个保法》中,均对认证制度有所提及,并且GDPR中还以专条专款的方式对认证制度进行了详细介绍。下面我们将我国的行业监管实践出发,对于我国数据合规认证制度进行初步探讨。

 

二、我国数据合规领域的认证制度

 

我国在数据合规领域,先后确立了移动互联网应用程序(App)安全认证、数据安全管理(Digital Security Management,DSM)认证与个人信息保护(Personal Information Protection,PIP)认证三类认证制度,共同确立了我国目前数据安全认证制度的基本框架,均属于自愿认证范畴。

 

通过对上述三类认证制度进行对比,我们初步梳理了其体系结构并总结了个中逻辑,发现三类认证制度之间的关系很难以“平行”或“包含”等简单表述予以概括。

 

(一)认证依据与适用范围

 

 

首先,根据《认证认可条例》第十七条规定,认证基本规范、认证规则由国务院认证认可监督管理部门制定;涉及国务院有关部门职责的,国务院认证认可监督管理部门应当会同国务院有关部门制定。从上表可以看出,目前我国数据合规认证工作是由市监总局(包含国家认证认可监督管理委员会职责)和网信办共同负责。

 

其次,与其他两类认证不同,在认证依据部分,《个保认证规则》删除了“及相关标准规范”的表述,在一定程度上说明了主管部门对于个人信息保护认证依据及对应的细则规范有严格限制。同时,除了援引《个人信息安全规范》,《个保认证规则》还将《跨境认证规范》也纳入了其认证依据,体现了个人信息跨境处理行为的特殊性和主管部门对于该类处理活动的重视程度。

 

(二)认证机构及认证类别

 

 

从上述比较中可看出:

 

首先,在认证机构方面,除《关于开展App安全认证工作的公告》中明确指定了App安全认证以中国网络安全审查技术与认证中心作为认证机构外,《关于实施个人信息保护认证的公告》与《关于开展数据安全管理认证工作的公告》中均未明确公布依法取得认证机构资质的企业名录。但根据我们在认e云平台的查询结果,CCRC已协助相关企业完成了有关数据安全管理活动的认证,即其可以作为数据安全管理认证机构开展实际工作。但个人信息保护认证工作是否仍然由CCRC承担或者除CCRC以外,还有哪些机构有认证资格,尚待公布及观察。

 

其次,从认证类别来看,认e云平台对“App安全认证”的分类较为明确,属于产品认证项下的“自愿性工业产品认证”。在该类别下也可以查询到大量App安全认证的生效认证证书,其显示的正是对产品进行认证的类别,与实践期待是一致的。值得关注的是,多数人从实践视角认为数据安全管理认证应属于“管理体系认证”序列,并且从在认e云平台系统显示的所有已经颁发的数据安全管理认证证书分类也是“管理体系认证”。但近期,认e云平台却将新增的“数据安全管理认证”置于“自愿性工业产品认证”类别下,即归入了产品认证序列。

 

从合理性的角度考虑,数据安全管理认证的认证对象是“网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等处理活动”,重点考察的是网络运营者如何合法合规对其掌握的网络数据进行处理,更偏向对于安全体系管理,而非仅针对某具体款产品或单一服务。尽管目前认e云平台将“数据安全管理认证”置于“自愿性工业产品认证”类别下,但实践中已经颁发的数据安全管理认证证书仍在“管理体系认证”序列下,并没有做出溯及既往地调整。我们不确定认e云平台针对“数据安全管理认证”在分类上进行调整是基于何等考量,但从认证的适用范围考虑,将数据安全管理认证重新回归至“管理体系认证”类别下似乎更容易被理解。

 

个人信息保护认证的认证对象是“个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动”,其重点在于考察个人信息处理者如何合法合规对其掌握的个人信息在全生命周期内的处理,也非针对某款具体产品或单一服务。从实践可能性上来讲,企业或组织在申请认证时,其认证对象应当是企业或组织整体的个人信息处理活动,而非某款产品或服务。如果仅因为某企业或组织的一款产品或服务符合合规要求,而向其颁发个人信息保护认证的认证证书也必定欠妥。因此,从合理性角度考虑,个人信息保护认证也应被划分为“管理体系认证”。

 

需要特别注意的是,虽然网络安全管理认证和个人信息保护认证的认证对象与适用范围十分相似,分别针对网络数据与个人信息,存在范围上既有交叉又有各自独特性,例如个人信息处理活动中存在跨境个人信息处理活动的特殊性。而App安全认证则属于网络数据安全管理和个人信息保护下针对特定类别产品进行专项认证的深化。

 

结合以上分析,我们尝试通过以下图表厘清上述几类认证制度之间的关系。

 

图片

图2

(注1:上图中绿色代表管理体系认证、蓝色代表产品认证)

 

(三)认证流程与具体机制

 

 

从上述比较中可看出:三类认证制度在认证流程方面的规定基本一致,均为“技术验证+现场审核/核查+获证后监督”。其中,个人信息保护认证与数据安全管理认证的认证流程完全一致,这也从侧面证明主管部门在设计这两类认证制度时,底层逻辑与体系结构如出一辙,也符合上文中我们对二者关系的判断和认证类别的推断。

 

关于认证时限,《个保认证规则》与《数管认证规则》均规定“认证机构应当对认证各环节的时限作出明确规定,并确保相关工作按时限要求完成”。因此,需要参考后续各认证机构制定发布的认证细则。

 

图3 个人信息保护认证/数据安全管理认证流程

 

如上所述,由于App安全认证不同于其他两类认证制度,属于产品认证序列,故《App认证规则》规定的认证流程更加贴合App产品特性。此外,相比于其他两项认证制度,App安全认证制度是出台最早的(2019年3月),彼时连《个保法》都尚未出台。《App认证规则》作为数据安全领域认证体系之一的探路石,主管部门在制定时考虑很细腻,比如,在认证申请主体资格上还设定了不予认证的情形;认证申请人所需提交的申请资料目录列得较为细致;在认证程序方面规定了样本提交与中止认证的情况;在结果与反馈方面规定了申诉规则;在获证后监督部分,既有日常监督还有专项监督的触发情形并对各类监督内容作具体规定。以及,《App认证规则》对App的认证时限作出了明确规定,即自作出受理决定之日起至作出认证决定所实际发生的工作日,一般为90个工作日(不包含整改、申诉时间)。以上,对于个人信息保护认证与数据安全管理认证(这两项认证制度均为今年下半年出台)落地施行与逐步完善,均具有重要的参考意义。

 

图片

图4 App安全认证流程

 

(四)认证有效期及认证标志

 

 

从上述比较中可看出:在认证证书的效力规定方面,《个保认证规则》与《数管认证规则》继续保持了高度的一致性,而《App认证规则》则在变更申请的评价和暂停、注销与撤销认证的具体情形方面作出了更多规定,细节上更下工夫。

 

《个保认证规则》与《数管认证规则》均规定了认证证书的有效期限为3年,与GDPR中对于认证最长有效期限的规定保持了一致。尽管《App认证规则》中并未明确规定认证的有效期,但根据我们在认e云平台的查询,近期通过认证且有效的App安全认证证书的有效期均为3年,足以说明主管部门通过对App安全认证工作及国内外其他类似认证制度的考察,认为3年对于考量一个组织的合规成熟度来说是一个较为合适的期限,因此当3年证书有效期届满,则允许通过获证后监督评价来申请续证。

 

最后,对于首年有效期届满后的延续认证问题,《个保认证规则》与《数管认证规则》规定了由认证委托人在“有效期届满前6个月内”提出延续认证的申请,由认证机构对申请人获证后的监督结论和其他相关资料进行综合评价,评价通过后进行续延;如在认证届满前还未提出认证延续申请的,则将会使得申请主体失去仅通过“获证后监督”方式简化认证流程的优待,需要重新进行首次认证的全部流程。需要提醒企业关注的是在实践中须密切注意数据安全领域认证证书的有效期,并及时在有效期届满前规定时间内申请认证延续与换发新证。另外,即便规定“有效期届满前6个月内”的任何时间均可提出延续认证的申请,但不建议在届满前的最后一天才办理续延手续,毕竟认证机构受理续延申请和进行评价处理也需要一定的时间。倘若因技术故障或者其他原因,导致最后一天没有申请成功,企业需要再走一遍首次认证流程,就得不偿失了。

 

结语

 

纵观我国数据合规领域的认证制度,我们不难发现其中心思想和内核基本是一致的,均强调参与个人信息活动的组织在其内部管理时须遵守相应的法律规范并要求组织落实相关措施并承担相应的责任。各项认证制度的实施流程和侧重点各有不同,但对于企业内部合规工作的开展来说,无疑具有着强大的推动作用。

 

目前我国数据合规认证正在快速发展与逐步完善的阶段,本次《个保认证规则》的发布,正式确立了个人信息保护细分领域的认证制度,补全了以App安全认证为先声的个人信息保护认证体系所一度缺失的体系性的认证规则,并与不久前发布的《数管认证规则》一并构成了我国数据合规认证制度的基础。此外,《个保认证规则》,一方面有承上作用,使方兴未艾的数据合规认证的基本体系逐渐清晰;另一方面也有启下功能,使个人信息保护领域的后续认证规则有所参照。我们期待我国数据合规认证体系的快速完善,也相信主管部门积极创设相关规则的实践与从业者的理性参与会使我国的数据合规进入一个全新的阶段。

 

如本篇开头所述,我国数据合规领域认证制度的重点已经从产品安全、技术规范逐步扩展到组织体系、管理流程等综合治理层面。针对企业和组织,特别是跨国企业和组织,如何在全球化背景下,履行各国个人信息和隐私保护的合规义务并提供适当证明以促进业务发展。我们将在下篇中,结合GDPR与国际隐私保护标准,进一步探讨国际主要数据合规认证制度框架,以及当企业希望同时遵守时,如何进行融标,并由此建立一套覆盖适用于全球集团公司的合规体系。