政策观察丨解读《个人信息保护认证实施规则》的制度设计

该规则旨在贯彻落实《中华人民共和国个人信息保护法》有关规定，同时根据《中华人民共和国认证认可条例》等保认证，鼓励个人信息处理者通过认证方式提升个人信息保护能力，要求从事个人信息保护认证工作的认证机构应当经批准后开展有关认证活动。

《互联网法律评论》特约专家、中国科学技术大学公共事务学院、网络空间安全学院教授左晓栋认为，“个人信息保护认证”是一个总体概念，其可以针对产品，也可以针对服务和管理体系，因此认证工作既涉及认证认可的监管部门，也涉及数据安全的监管部门。希望在国家市场监管总局和国家互联网信息办公室共同领导下，我国数据安全认证制度能够早日建立健全并发挥重要作用。

自2022年6月发布数据安全管理认证实施规则后，11月18日，中央网信办官网继续发布了另一份与数据安全认证有关的政策文件《个人信息保护认证实施规则》。该实施规则与此前发布的《移动互联网应用程序(App)安全认证实施规则》、《数据安全管理认证实施规则》共同建立了我国数据安全认证制度的框架。特别是，《个人信息保护认证实施规则》与数据出境安全认证制度密切关联，因而在更大范围内引发了关注。

也正由于涉及数据出境，很多人关心，这项制度是否符合国际惯例？有哪些属于我国特色？

1.数据安全认证是我国数据安全治理体系的重要组成部分

认证认可工作制度是一种国内外通行的第三方评价制度，由具备专业能力的第三方机构依据标准和技术规范，对产品、服务或企业的管理体系、人员能力等做出评价，从而可供社会对评价结果进行采信。这一制度来源于现代市场经济体制。

市场经济的本质是交易的双方能够自由缔结契约，市场经济有效运作的基本前提是交易双方都具有比较充分完备的信息，否则不仅交易难以进行，也难以通过竞争性选择实现优胜劣汰。交易中的信息不对称可能导致各种坑蒙拐骗，严重影响交易的秩序，影响市场配置资源的效率。信息不对称问题早在现代市场经济形成之前就已存在，但只有到了工业革命以后才变得十分普遍和复杂。认证认可制度正是适应解决交易中的信息不对称、降低交易费用、增进市场机制作用要求的一种制度安排。有效的认证认可活动，促进了信息不对称问题的解决（即，对于卖方交付物的质量，有了公开公正的评价，买房不会再“蒙在鼓里”），保障了有效的市场竞争，推动了现代市场体制的完善。因此，认证认可是市场经济体制的一项基础性制度安排，是市场经济体制运行有效性的重要保障。

认证认可制度首次出现在网络安全工作领域，源于2004年10月的《关于建立国家信息安全产品认证认可体系的通知》。在此之前，政府对社会的治理，更多地采用行政许可手段。这在“大政府”时代是可以理解的，也是可行的。但随着市场经济的进一步发展，凡事进行行政许可会使政府不堪负重，也不符合政府改革的方向。因此，需要理顺政府、市场、社会三者之间的关系，政府侧重法则、规则的制定，把该由市场和社会来做的产品、服务、管理体系等方面的具体性事务交由市场和社会。这便出现了从计划经济的“行政许可”向由社会组织调节的“认证认可”的转变。

为此，在规划国家信息安全产品认证认可体系建设时，我国便明确了政事分开、发挥认可制度作用的原则，凡可以通过认证认可解决的检测、评审，原则上不再设立行政许可，特殊情况报经国务院审定后仍需保留的行政许可，应转变行政许可的方式，充分利用产品认证、检查、检测的结果，不得重复取样、重复检查、检测和收费。

《数据安全法》《个人信息保护法》发布施行后，建立科学高效的数据安全治理体系的任务提上议事日程，认证认可制度成为重要的治理手段。特别是在合规验证、检查评估方面，认证认可制度具备天然优势。故而，建立数据安全认证认可制度是历史必然。其实质是，在我国认证认可监督管理制度下，运用认证认可的基本流程、原理，对数据安全的合规作出评价，使政府、社会及其他各方面对其数据安全能力建立信任。

2.对欧盟GDPR（《通用数据保护条例》）认证的借鉴

欧盟的GDPR（《通用数据保护条例》）是公认的全球个人信息保护标杆。GDPR第42条和第43条规定了对数据控制者和处理者的数据处理操作进行合规性认证的制度，提出了认证框架、明确了相关角色．第42(1)款规定：“成员国、监管机构、欧盟数据保护委员会和欧盟委员会应鼓励建立数据保护认证机制，设立数据保护印章、标识，特别是欧盟级别的印章和标识，以便证明数据控制者和处理者的数据处理操作符合本条例要求。应考虑中小微型企业的特定需求。”第43(1)款规定：“在不减损第57、58条所述监管机构的任务和权力的情况下，在数据保护方面具有相应专业水平的认证组织可在告知有权限的监管机构后（以便其根据第58条(2)(h)项行使自身权力）签发和续期认证。”

GDPR认证主要针对数据控制者或处理者进行的一项或多项数据处理操作，证明其满足GDPR规定要求。该机制十分灵活，在认证主体上，可以是数据控制者或处理者的一项操作或多项操作；在认证目标上，可证明其满足GDPR对数据控制者或处理者提出的某项、某几项乃至全部要求；在认证层级上，该机制提出了成员国内部、成员国间以及欧盟范围内的通用认证；在认证的签发上，可由成员国的数据保护监管机构（DPA）签发，也可由获得认可的认证机构签发。

欧盟认为，认证机制一方面可以提高数据处理行为的透明度，便于控制者和处理者展示其处理过程的合规性，使相关方能便捷地了解处理操作的数据保护水平；另一方面，根据条例第42(2)款、第46(2)款规定，认证机制还可以作为数据跨境传输（转移至第三国或国际组织）的合法途径；此外，是否已获得认证且遵从认证要求也可作为监管当局在决定施加行政罚款或决定罚款金额时的考量因素。

GDPR在法律层面提出了认证认可机制，但要在欧盟范围内推进该机制的落地实施，仍有诸多问题需要探索明确．为此，欧盟委员会和欧盟数据保护委员会组织开展了大量研究，发布指南和研究报告为实际操作中的重点问题提供指导和参考。2018年5月，欧盟数据保护委员会发布了《对GDPR第42、43条所述认证标准进行认证和识别的指南》，并于2019年6月发布第3版，对认证制度的作用、关键概念和认证范围、认证标准的评估要求等进行了更加详细的阐释。该指南附录《认证标准评估指南》经修改于2021年4月14日至5月26日公开征求意见。2018年12月，欧盟数据保护委员会发布了《依据GDPR第43条要求对认证机构进行认可的指南》，对认可过程中相关方职责、认证机构的认可要求等提出指导。2019年5月，欧盟委员会发布了《数据保护认证机制———对GDPR第42、43条的研究》报告，旨在对认证机制尚未明确的问题加以探讨，为欧盟委员会进一步补充完善GDPR认证制度提出建议。2022年6月，欧盟数据保护委员会发布了《认证作为传输工具的指南》。

鉴于数据出境关系重大，如何根据GDPR第42(2)款要求，关于将认证机制作为数据跨境传输（包括转移至第三国或国际组织）的合法途径相关事宜，欧盟数据保护委员会一直在研究，《认证作为传输工具的指南》的发布表明其在实施层面形成了阶段性研究成果。但是，对于这个领域的国际互认问题，欧盟认为远未到可以讨论的时候。

3.展望

根据我国《认证认可条例》，认证，是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。这一规定指出了认证的对象，即产品、服务、管理体系。此前发布的《国家市场监督管理总局 国家互联网信息办公室关于开展数据安全管理认证工作的公告》针对的是数据安全管理体系认证，那么此次发布的《个人信息保护认证实施规则》针对的是什么认证呢？

应该说，“个人信息保护认证”是一个总体概念，其可以针对产品，也可以针对服务和管理体系，这与欧盟的理念是一致的。即，可以对一个产品是否能够保护用户的个人信息进行认证，也可以对企业、机构在开展某种活动中能否保护用户个人信息进行认证，还可以对企业机构自身能够保护用户个人信息进行认证。当然，在对不同的对象进行认证时，方法会有所不同，但都会遵从认证认可和数据安全保护的一般规律。

《个人信息保护法》第三十八条指出，个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；……。该条明确，个人信息保护认证可以作为数据出境的一种途径，这也是与欧盟的GDPR42条规定是一致的。因此，《个人信息保护认证实施规则》相当于将我国数据出境安全管理制度向前推进了一大步，取得了积极成果。

根据《认证认可条例》，认证是要证明产品、服务、管理体系符合“相关技术规范、相关技术规范的强制性要求或者标准”。本次公布的个人信息保护认证，依据标准是GB/T 35273《信息安全技术 个人信息安全规范》和《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》。后者不是国家标准，但由全国信息安全标准化技术委员会组织制定和发布，具有权威性，因此可以作为认证依据，符合法律规定。但上述两个文件是什么关系呢？申请个人信息保护认证的个人信息处理者应当符合GB/T 35273《信息安全技术 个人信息安全规范》的要求；但如果要在个人信息出境时采信认证结论，这还是不够的，需针对个人信息出境场景增加认证要求，即还必须符合《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》的要求。

这相当于，我国既建立了通用的个人信息保护认证制度，也同时建立了针对数据出境场景的个人信息出境认证制度。后者是前者的补充，前者是后者的基础。

在讨论我国数据安全认证制度设计时等保认证，一个不可忽视的重要事项是，谁是我国数据安全认证工作的主管部门？《认证认可条例》第十七条指出，认证机构应当按照认证基本规范、认证规则从事认证活动。认证基本规范、认证规则由国务院认证认可监督管理部门制定；涉及国务院有关部门职责的，国务院认证认可监督管理部门应当会同国务院有关部门制定。这实际上指出了认证认可监管思路——在专业领域涉及到国务院有关部门职责的，由国务院认证认可监督管理部门会同国务院有关部门共同管理。因此，这项工作既涉及认证认可监管部门，也涉及数据安全监管部门。上一轮机构改革中，国家认证认可监督管理委员会职责已划入国家市场监督管理总局。因此，数据安全认证这项工作，由国家市场监管总局和国家互联网信息办公室共同负责。希望在两个部门的领导下，我国数据安全认证制度能够早日建立并发挥重要作用。

以上内容由51税知网整理，希望对大家有所帮助！与智慧同行，开启你的创业之路！