数据安全认证：个人信息保护的第三方规制.docx

《数据安全认证：个人信息保护的第三方规制.docx》由会员分享，可在线阅读，更多相关《数据安全认证：个人信息保护的第三方规制.docx（43页珍藏版）》请在第一文库网上搜索。

1、数据安全认证：个人信息保护的第三方规制作为第三方规制的数据安全认证，可以有效安全保障和数字经济发展的平衡。数据安全认证已逐渐成为全球数据治理的重要手段。克服市场与政府的“双重失灵”，实现数据网络安全法第17条明确要求“开展网络安全认证、检测、风险评估等安全服务”。数据安全法第18条第1款原则性的规定了数据安全认证：“国家促进数据安全检测评估、认证等服务的发展，支持数据安全检测评估、认证等专业机构依法开展服务活动。”个人信息保护法第38条将个人信息保护认证作为向境外提供个人信息的合法性条件之一，第62条要求“推进个人信息保护社会化服务体系建设，支持有关机构开展个人信息保护评估、认证服务”。实践中

2、，2019年国家市场监管总局、中央网信办发布关于开展App安全认证工作的公告，旨在规范移动互联网应用程序收集、使用用户信息特别是个人信息的行为。欧盟通用数据保护条例专门规定了数据保护认证。可以预见，随着数字经济的不断发展壮大，数据安全认证必将在中国得到全面推行。当前对于新兴的数据安全认证的研究相对不足。中国建立了产品、服务、管理体系等认证制度，如强制性产品CCC认证、药品GMP认证、商品售后服务认证、食品安全管理体系认证。学者们从产品质量认证、药品认证、认证机构责任等方面进行了较多研究。另有一些学者探讨了第三方规制、第三方审核、私人规制的基本原理，涉及认证的相关内容。在网络法领域，少数学者探讨

3、了个人信息安全认证、人工智能安全认证、网络安全认证等内容。尽管同属于认证，但传统认证的一些理念与法律制度无法完全直接适用于数据安全认证。在数据成为新的生产要素的背景下，为了使数据安全认证真正能够客观、公正地发挥第三方评定职能，防止认证机构被互联网企业“俘获”或成为政府的“附庸”，需要对数据安全认证体制机制进行整体的法治构建。个人信息是数字时代涉及面最为广泛的数据，本文将主要以个人信息保护为视角，对数据安全认证的必要性、认证机构资质、认证机制运行、认证与政府规制的关系等问题进行系统研究，以期探索数据安全认证的法治之道。一、数据安全认证的界定及价值数字时代日益得到广泛适用的数据安全认证，既不属于企

4、业实施的自我规制，也不属于传统的政府规制。数据安全认证本质上为第三方提供的社会化服务，承担着第三方规制的角色。构建法治化的数据安全认证体制机制，不仅有利于保障数据安全，而且可以有效促进数字经济的规范健康发展。（一）数据安全认证：第三方规制数据安全认证，是指由认证机构证明网络服务、数据产品、管理体系等符合相关法律规范、技术标准、行业准则的评定活动，也称为信息安全认证。数据安全认证主要面向数字经济产业，通过第三方机构客观评定互联网企业数据处理行为的安全性，以提升互联网企业的数据安全保障水平。相比于企业的自我规制和政府的行政规制而言，数据安全认证属于第三方规制，可以有效克服市场与政府的“双重失灵”。

5、不同于传统认证，数据安全认证的对象主要是网络服务或数据产品，具有虚拟性和动态易变性的特征，认证难度更大。在认证标准上，数据安全认证侧重于对互联网企业现有的数据安全保障制度能力和过去的数据处理守法合规情况的评定。数据安全认证不同于互联网企业实施的数据保护活动，如个人信息风险评估或个人信息保护影响评估。个人信息保护法第55条要求个人信息处理者在处理敏感个人信息、利用个人信息进行自动化决策、委托处理、向第三方提供或公开个人信息、向境外提供个人信息等情形下，均应进行个人信息保护影响评估。信息安全技术个人信息安全影响评估指南对各类组织自行开展个人信息安全影响评估提供了标准指南。区别于企业的自身行为，数据

6、安全认证最重要的特点是第三方机构评价。数据安全认证不属于政府行为，同公权力机关实施的数据安全检查、数据安全审查、网络安全审查、行政许可等行为存在区别。首先，数据安全认证不同于数据安全检查。政府职能部门可以对互联网企业进行数据安全检查，如开展数据安全专项整治活动。虽然在检查过程中可以委托第三方机构进行检测，但数据安全检查的性质为行政检查行为，而数据安全认证则属于第三方评定行为，不属于行政行为。数据安全认证以颁发认证标志为最终结果，而数据安全检查后可能实施行政强制、行政处罚等措施。其次，数据安全认证不同于数据安全审查。数据安全法第23条规定：“国家建立数据安全审查制度，对影响或者可能影响国家安全的

7、数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。”数据安全审查属于政府行为，数据安全认证由第三方认证机构实施。再次，数据安全认证不同于网络安全审查。网络安全审查侧重于保护国家安全，由国家互联网信息办公室下设的网络安全审查办公室负责实施。网络安全审查的条件为,关键信息基础设施运营者采购网络产品和服务，数据处理者开展数据处理活动，影响或可能影响国家安全。比如，2021年6月30日“滴滴出行”在美国上市，7月2日国家网信办发布公告称，为防范国家数据安全风险，维护国家安全，依法对“滴滴出行”实施网络安全审查。当前的数据安全审查、网络安全审查等制度，都侧于维护国家安全。数据安全认证侧重于

8、评定企业的数据处理行为，对用户造成的数据安全风险。最后，数据安全认证不同于颁发资格证、资质证等行政许可行为，也不同于对有关事实进行甄别而给予确定或证明的行政确认行为而属于第三方规制行为。（二）数据安全认证的时代价值无论是对于个人信息的安全保障，还是对于数字经济的规范健康发展，数据安全认证都有着日益重要的时代价值。数据安全认证通过声誉评价机制，可以引导、激励互联网企业守法合规经营，可以增强用户对中小微互联网企业和新兴数字产业的信任感，可以避免政府为保障数据安全而实施“一刀切”的规制，可以满足社会公众多元的数据安全需求。其一，数据安全认证有利于引导、激励数据处理者不断提高数据安全保障水平。数据安全

9、认证可以为互联网企业套上“紧箍咒”。为了防止得不到认证或被撤销认证，互联网企业在外在压力下会不断提高自身数据安全保障水平，以便不失去并不断获取更多的网络用户。通过第三方评定，数据安全认证可以起到对互联网企业守法合规情况的规制功能，激励其提高数据安全风险管理水平，实现“超越合规遵从“。通过第三方认证机构对互联网企业的数据安全进行评定，并颁发相关认证标志，有利于助推互联网企业的数据处理自律。其二，数据安全认证可以增强用户对中小微互联网企业和新兴数字产业的信任感。在缺乏数据安全的网络市场中，用户更愿意相信知名、大型互联网企业，因为其数据安全保障水平相对较高，发生损害时也更有能力承担赔偿责任。但对于无

10、数中小微互联网企业提供的网络产品或服务，对于大量新兴数字产业，由于不被普通公众所熟知而导致不被信任。获得了数据安全认证，相当于获得了商业信誉担保,箱”导致对人工智能产品存在莫名的恐惧，第三方认证机制可以增加公众对使用人工智能系统的信任。通过数据安全认证，“企业不必再以低端的价格竞争策略占领市场”，富有特色并得到良好认证标志声誉保障的网络服务或数据产品越来越多。意味着更多的交易机会。比如，由于“算法 01其三，数据安全认证可以避免政府严格的检查监控，可以缓解政府设定更严厉的法律义务与责任的压力，防止政府出于保障数据安全实施“ 一刀切”的规制而阻碍数字科技的创新。过多的义务与责任设置，尤其不利于中

11、小微互联网企业和新兴数字产业的发展。因为这会对其带来过大的数据合规成本与运营压力，会导致少数互联网寡头企业的支配力与控制力进一步增强，从而不利于数字经济的良性健康发展。数据安全认证机制的建立，可以使更多的中小微互联网企业有更多的机会公平地参与数据要素市场竞争，可以让数据得到更加多元的高效流通利用，最终有利于促进数字经济的整体协调发展。其四，数据安全认证发挥着声誉评价的功能，可以运用专业知识帮助用户作出更好的选择，有利于满足社会公众多元的数据安全需求。当前数据处理中的告知同意机制日益流于形式。企业的隐私政策与协议大多冗长晦涩，数据主体往往没有足够的时间与耐心仔细阅读所要同意的内容，而且“就像处在

12、计算机时代初期一样”难以完全理解相关条款。信息分布不均妨害同意的认识基础，多环节的数据流通则进一步削弱了同意的有效性，同意决策容易陷入非理性。个人自决的作用需要被重新考虑。“告知同意机制步入困境，逐渐降低了数据保护的功能。”数据安全认证通过事先的第三方专业评定，有助于解决信息不对称问题，可以让用户更高效、更准确地作出选择决定。根据数据安全认证机构颁发的认证标志，网络用户可以快速识别相关服务或产品的数据保护安全水平。并且，相比于政府设定的单一性数据安全强制标准，认证机构可以设定多元的灵活标准，可以单独或联合其他认证机构制定数据安全多元标准，更好地利用“软法”满足不同群体的数据安全多元需求与偏好。

13、“数据治理的普遍性、技术性、复杂性、应时性，都在呼唤硬法与软法的共同构建。”不同群体对数据安全的敏感程度往往不同，愿意以更多个人信息换取便利的群体，可以选择认证标准较低但符合现行法律规范的数据产品或网络服务。反之，对数据安全更为敏感的群体，则可以选择认证标准较高的数据产品或网络服务。二、数据安全认证机构的资质：独立性与专业性数据安全认证行为具有公共性，不仅直接关系到个人信息安全，而且对整个数据要素市场的安全性与诚信度会产生直接影响。为了有效保障数据安全认证的客观性与公正性，更好地实现其第三方规制功能，需要科学合理确定认证机构的资质。数据安全法第18条规定：”支持数据安全检测评估、认证等专业机构

14、依法开展服务活动。”个人信息保护法第62条提出“支持有关机构”开展个人信息保护认证服务。那么，究竟具备什么条件的专业机构或有关机构才可以更好地开展数据安全认证呢？(-)数据安全认证机构应具有独立性首先，数据安全认证机构应具有独立性，同互联网企业间不应存在利益关联。在传统认证的一些领域，认证乱象横生，认证变成了利益交换。企业花钱提升自己的形象，认证机构收钱牟利。“认证变认钱”并不少见，“给钱就能过，不给就刁难”。据相关调查发现，在企业质量管理体系认证、玩具产品认证、农产品有机认证领域，“弄虚作假走过场司空见惯”，只要交钱“配合”就“包过”。在2020年全球新冠肺炎疫情防控过程中，一些认证机构“肆意牟利、虚假认证甚至买证卖证”，不仅破坏了认证市场秩序，而且还影响了 口罩、防护服等防疫用品的顺利出口，引发了市场监管部门对防疫用品认证的专项整治。认证机构本应作为独立的第三方，为消费者提供客观公正的评定信息帮助其作出更好的选择，但却同被认证对象串通损害消费者利益，认证行为变成了商业交易活动。这或许同认证机构的组织形态有一定的关系。对于数据安全认证机构资质的规定，应特别注意消除企业型认证机构可能存在的弊端。在自由竞争的成熟认证市场尚未形成之前，企业型认证机构很难以独立于被认证对象。为了缓解生存压力，追求利润最大化，企业型认证机构很容易将认证变为赚钱的工具。企业型认