國際IAPP認證對我國個人信息保護認證制度的啟示

白麗芳 崔占華

摘? ?要：在歐盟GDPR和我國國家標準《個人信息安全規范》正式實施的背景下，個人信息保護進入新時代，成為當前國家網絡安全治理的重要內容。在建立個人信息保護體系的過程中，有關部門已經試點開展了個人信息保護認證制度，但目前并不成熟，只限于個人信息安全管理體系認證。國際慣例則是對個人信息保護專業人員開展認證。論文分析了國外有關工作的進展，對建立我國個人信息保護專業人員認證提出了建議。

關鍵詞：GDPR;個人信息保護;認證

中圖分類號：N01? ? ? ? ? 文獻標識碼：B

Abstract： With the enforcement of General Data Protection Regulation （GDPR） and the China national standard Information security technology-Personal information security specification （GB/T 35273-2017）， the personal information protection has entered a new era， and currently become the key part of the national cyber security governance. In the establishment of the personal information protection system， the related governments have piloted the personal information protection certification， focusing on the certification for the personal information security management system which is still immature. Whereas， the best practice in the world emphasizes on the certification for the personal information protection experts. This work reviewed the international development of the personal information protection certification， and proposed to the certification scheme for China personal information protection professionals.

Key words： GDPR;personal information protection;certification

1 引言

近年來，非法收集、濫用個人信息現象愈演愈烈，成為互聯網發展的頑疾，引發全球關注。為此，世界各國都在采取各種措施加大個人信息保護力度。特別是，2018年5月歐盟正式實施《通用數據保護條例（GDPR）》產生巨大影響。而我國也于同月實施國家標準GB/T 35273-2017《信息安全技術 個人信息安全規范》，標志著有中國特色的個人信息保護體系開始建立。與此同時，基于法規和標準的數據安全認證開始提上議事日程，相關部門在制定政策時對此多有考慮。2019年2月，中國網絡安全審查技術與認證中心基于GB/T 35273-2017，對10家企業頒發了“個人信息安全管理體系”認證證書。但此項工作仍處于試點階段，加之認證過程不透明，認證結果與大型互聯網企業的日常表現有明顯差異（多家屢受公眾批評的互聯網企業獲證），因而也引發了一些爭議。

從全球看，在數據安全領域推行認證制度，這已成為一種最佳實踐。但與國內不同的是，國外目前主要開展了個人信息保護專業人員認證，其他方面的數據安全認證仍處于醞釀階段。

本文首先介紹了GDPR的內容和影響，以及我國個人隱私保護現狀和存在的問題，并分析了國際影響力最大的個人信息保護專業人員認證制度IAPP（國際隱私保護專業人士協會）認證，在借鑒的基礎上提出了建立我國個人信息保護專業人員認證制度的啟示與建議。

2 背景

2.1歐盟GDPR

歐盟議會于2016年4月通過了GDPR新規，并于2018年5月25日正式生效，用于取代1995年發布的數據保護指令（DPD）。自生效之日起，所有成員國的法規將立即適用于GDPR。GDPR的目標是保護歐盟公民免受隱私和數據泄露的影響，同時重塑歐盟組織機構處理隱私和數據保護的方式。

與1995年的DPD相比較，GDPR在內容上加強了對于數據主體的權利保護，主要體現在控制者或處理者的適用范圍變大，增加了數據主體的刪除權（被遺忘權）和數據可攜帶權等，加重了數據控制者和處理者的義務，完善了跨境數據傳輸機制，增設了高額行政罰款等。這些嚴格的規定和要求，將對跨國企業處理個人信息產生很大影響，尤其是在個人信息自決權、嚴格的數據處理問責機制、數據跨境傳輸等方面提出了嚴峻挑戰。但同時，也為各國個人信息保護提供了很好的借鑒參考和實踐經驗。

在信息時代，信息流引領技術流、資金流、物資流、人才流。對個人信息的保護要求，特別是對數據跨境流動的要求，在某種程度上直接影響著全球貿易，成為全球性問題。因此，GDPR一經實施，便在全球引發高度關注，甚至有可能重構全球貿易格局。

2.2 我國個人信息保護現狀

近年來，我國個人信息泄露和非法濫用事件屢見不鮮，成為重大社會問題。據推測，目前我國網絡非法從業人員已超150萬人，相關產業市場規模已達到千億元級別，有相當多的“黑產”與個人信息有關，已經形成了信息需求、盜取、交易等一條完整的黑色鏈條。

2018年6月1日實施的《網絡安全法》對公民個人信息保護設立了多項條款。此外，國家標準委還發布并實施了GB/T 35273-2017《信息安全技術 個人信息安全規范》，對個人信息收集、使用、共享、披露、存儲和刪除等各處理活動提出了具體保護要求。

但從總體看，我國個人信息保護形勢嚴峻，如法律法規不夠完善、個人信息保護和監控技術手段與工具不能滿足實際需求、企業合規意愿不強等，解決這些問題需要綜合考慮多種因素。目前，我國開展了個人信息安全管理體系認證試點。但本著先易后難、急用先上的原則，借鑒國外經驗建立個人信息保護專業人員認證制度是當務之急。

3 IAPP認證

3.1 IAPP

IAPP（International Association of Privacy Professionals），即國際隱私保護專業人士協會，成立于2000年，是一個非盈利性組織，也是全球最大的隱私信息保護社區和資源庫，致力于提升隱私保護從業人員職業技能，幫助不同組織提高管理和保護隱私數據的能力。

IAPP設計開發了唯一全球認可的隱私保護執業資格認證項目，包括隱私保護專業人員認證（CIPP）、隱私保護經理認證（CIPM）、隱私保護技術專家認證（CIPT）。這三個認證是目前全球頂級的隱私保護認證，服務于數據保護、信息審計、信息安全、組織合規與風險管理等領域成千上萬的專業人士。

3.2 I APP認證項目

目前，IAPP認證已獲得美國國家標準研究所（ANSI）認可。ANSI在此基礎上開展了美國第一個人員認證認可項目，也是唯一一個滿足國際標準ISO/IEC 17011《合格評定-認可合格評定機構的認可組織的一般要求》的項目，為全球認可機構在個人信息安全認證領域確立了標桿。

3.2.1 CIPP

IAPP的CIPP認證主要適用于隱私保護法律法規、合規性審查、信息管理、數據治理、人力資源等領域的從業人員。獲得CIPP表明掌握了全球和特定領域（部門）的隱私與數據保護的法律法規、標準規范和實踐知識等。目前，CIPP認證包括CIPP/A、CIPP/US、CIPP/C、CIPP/E和CIPP/G等五種認證。

（1）CIPP/A

CIPP/A（Asia）認證服務于主要亞洲經濟體隱私保護相關法律法規和實踐知識領域的認證需求，表明了在亞洲和全球范圍理解和應用隱私保護知識和實踐的能力。獲得CIPP/A認證需要掌握的知識體系和考試大綱如表1所示，主要包括隱私保護基本原則和通用知識，以及新加坡、印度、中國香港的隱私保護法律和實踐。

（2）CIPP/US

CIPP/US（U.S. private-sector）認證開始于2004年，因與美國有關，故已成為隱私保護領域最知名的資質認證，已有數千名獲證者。該認證表明了獲證者能夠熟練掌握美國隱私保護法律法規，以及對于敏感個人數據出入美國、歐盟和其他司法管轄區域各種要求的能力。

獲得CIPP/US認證需要掌握的知識體系和考試大綱如表2所示，主要包括美國隱私保護環境、私有部門收集和使用個人信息的限制、政府和法院對私有部門信息的訪問、公共場所的隱私保護以及各州隱私保護法律等。

（3）CIPP/G

CIPP/G（U.S. Government）是第一個用于美國聯邦、州、縣和地方政府機構雇員的隱私保護認證。同時，也適用于為政府提供服務的零售商、供應商和咨詢師等。CIPP/G主要涉及美國政府隱私保護法律法規和政策，尤其是涉及政府實踐，以及適用于美國公共和私營部門更廣泛的隱私保護相關內容。CIPP/G也涉及美國政府標準方面的實踐，包括隱私保護項目開發與管理、合規與審計，以及相關記錄管理和機構上報責任等，具體內容如表3所示。

（4）CIPP/C

CIPP/C（Canada）認證始于2006年，是第一個加拿大國家級數據保護認證項目。獲得CIPP/C認證，證明了在聯邦、省和地區層面上，對加拿大隱私保護法律、原則和最佳實踐理解和應用的能力。

獲得CIPP/C認證需要掌握的知識體系和考試大綱如表4所示，主要包括加拿大隱私保護基本原則，以及私營部門、公共部門和醫療結構隱私保護法律和實踐。

（5）CIPP/E

CIPP/E（Europe）認證開始于2011年，是第一個針對歐盟數據保護專業人士的資質認證，是歐盟隱私保護綜合原則框架和知識庫的組成部分。獲得CIPP/E認證，表明已掌握歐盟隱私保護法律法規，以及對于個人敏感數據出入美國、歐盟和其他司法管轄區域的各種要求。

獲得CIPP/E認證需要掌握的知識體系和考試大綱如表5所示，主要包括歐盟數據保護基本原則、法律法規、合規要求等內容。

3.2.2 CIPM

CIPM認證開始于2013年，是目前全球唯一的隱私項目管理方面的認證，主要滿足隱私項目生命周期內風險管理、隱私運行、審計與追責、隱私分析等方面的需求。獲得CIPM認證，表明了獲證者在組織內的隱私管理工作中運用相關管理措施和技術的能力。

獲得CIPM認證需要掌握的知識體系和考試大綱如表6所示，主要包括隱私項目管理、生命周期管理等。

3.2.3 CIPT

CIPT是第一個IT從業者全球隱私保護認證，證明在IT產品和服務的開發、工程、部署與審計方面，對于隱私和數據保護實踐的理解程度，以及管理和建立隱私保護要求和控制措施的能力。

CIPT主要適用于負責IT產品和服務開發、工程、部署和審計的專業人士。獲得CIPT認證需要掌握的知識體系和考試大綱如表7所示，主要包括IT環境下隱私保護需求、核心概念、信息生命周期內隱私保護考慮、系統和應用中的隱私保護、隱私保護技術、在線隱私保護等。

3.3 IAPP認證過程

獲得IAPP認證的過程包括申請、準備、考試、發證、認證維持等環節。

（1）申請

在IAPP網站上注冊申請適合的考試項目和考試形式（筆考和機考）。IAPP在全球各地設置了800多個機考考試點，可以根據自己的需求選擇合適的地點和時間;對于筆考，現在主要是在美國全球隱私峰會、美國隱私安全風險、歐洲數據保護會議三個國際會議期間進行，可在會議的注冊窗口期申請考試安排。

（2）準備

根據不同認證項目，在IAPP網站下載學習相應的知識體系和考試大綱。也可選擇參加IAPP提供的在線和線下培訓以及模擬考試。

IAPP為每個認證指定了一本通用參考書，同時也為每個認證提供了一個授權資源和補充閱讀的書籍列表，以及其他一些在線資源。這些資源圈定了考試內容，并為涉及隱私保護和數據處理的專業人士提供了相關工具。

（3）考試

所有考試采用英語，對于CIPP/E也可采用法語和德語。機考和筆考的考試內容相同，但考試程序、規則以及考題數量和考試時間有所不同，如表8所示。

（4）發證

考生成功通過指定考試后（機考結束后即可知道考試成績，而筆考要等4周），IAPP將授予其認證證書，并在考生郵件收到考試成績的3周內進行郵寄。

（5）認證維持

IAPP采用持續隱私教育（CPE）政策維持認證證書的有效性。證書有效期內（一般為2年），為了維持認證資格，所有證書持有人必須至少滿足兩個要求：一是每年繳納證書維持費;二是以2年為周期，每種證書持有人應完成規定課時的CPE。IAPP為獲得CPE課時提供了多種方式，如參加隱私保護相關國際會議、學術演講、學習資料、參加IAP的培訓等。

4 IAPP認證對我國個人信息保護專業人員認證的啟示

通過對IAPP認證制度和我國目前個人信息保護現狀的分析，針對我國個人信息保護專業人員認證制度的建立與運營管理，提出以下建議。

一是盡快建立我國個人信息保護專業人員認證制度。我國該項認證制度的建立可以充分借鑒IAPP認證模式與認證項目，建立或指定一個（國內唯一）權威機構作為認證機構，運行與管理人員認證制度。初期設立三個認證項目（可根據實際需要進行擴展），分別是個人信息保護專業人士（Personal Information Protection Professional，PIPP）、個人信息保護項目經理（Personal Information Project Manager，PIPM）和個人信息保護技術專家（Personal Information Protection Technologist，PIPT）。PIPP認證主要適用于個人信息保護法律法規、合規審查、信息管理、數據治理、人力資源等領域的從業人員;PIPM認證主要適用于來自政府、監管部門以及企事業單位等從事個人信息保護項目管理人員;而PIPT認證則主要服務于負責IT產品和服務開發、工程、部署、運維和審計的專業人士。

二是抓緊完善我國個人信息保護專業人員認證的知識體系和考試大綱。根據我國個人信息保護法律法規、標準規范以及實踐基礎，知識體系的建立可以借鑒IAPP的內容框架，并著重將我國《網絡安全法》、GB/T 35273-2017《信息安全技術 個人信息安全規范》等我國法規標準與實踐情況融入到具體內容中。

三是逐步建立我國個人信息保護專業人員認證持續教育政策。持續教育主要服務于人員認證制度，用于支撐認證證書有效期的維持;也可以服務于國內個人信息保護相關教育、培訓等需求。持續教育的執行機構可以為國內的權威認證機構、測評實驗室或者企業等。

四是以網站形式建立一個以個人信息保護專業人員認證為主題的交流平臺，并借此在國內推廣個人信息保護的文化。該平臺主要聚焦四個功能。

（1）服務于個人信息保護專業人員認證制度，作為注冊申請、參考資料發布、認證結果發布、認證制度資料公開等工作的載體。

（2）作為個人信息保護相關技術活動的媒介，主要服務于每年舉辦一次“交流大會”。“交流大會”可以作為國內外個人信息保護的技術交流與研討平臺，提供個人信息保護專業人員認證考試在線注冊申請等，頒布每年新發證書等。

（3）持續教育載體，提供各種在線培訓服務和發布相關學習資料。

（4）積極與IAPP溝通，建立適合我國的CIPP認證項目，并建立IAPP認證考點。這既有利于學習借鑒IAPP經驗，跟蹤國際隱私保護法律法規和技術發展，也有利于為國內有意獲得IAPP認證的人員提供服務。

5 結束語

在我國個人信息保護工作中引入認證制度是一項有積極意義的舉措，但究竟是針對產品、服務、管理體系還是人員進行認證，目前各國的實踐各不一樣。從對國外情況的研究看，個人信息保護專業人員認證的可操作性較強，且在我國的實施條件已經成熟。其與本地政策法規、產業發展需求緊密結合，且分類實施的策略，值得我們充分借鑒，這項工作宜盡快開展。

參考文獻

[1] 段久惠.個人信息及隱私保護體系國家認證來了[EB/OL]. http：//www.sohu.com/a/293150182_177992，2019.

[2] 市場監管總局.市場監管總局中央網信辦公告開展App安全認證工作[EB/OL]. http：//www.gov.cn/xinwen/2019-03/15/content_5373928.htm，2019.

[3] IAPP.IAPP privacy certification candidate handbook[EB/OL]. https：//iapp.org/certify/，2018.

[4] 中國互聯網絡信息中心.第41次中國互聯網絡發展狀況統計報告[EB/OL]. http：//cnnic.cn/hlwfzyj/hlwxzbg/hlwtjbg/201803/t20180305_70249.htm，2018.

[5] We are social.DIGITAL IN 2018[EB/OL]. https：//wearesocial.com/uk/blog/2018/01/global-digital-report-2018，2018.