《個人信息保護認證實施規則》背景下的認證制度實施*

劉懿陽

(中山大學法學院 人權法研究中心，廣東 廣州 510006)

0 引言

隨著《個人信息保護認證實施規則》(以下簡稱《實施規則》)出臺，我國數據跨境認證制度實現了規則落地?！罢J證”是《個人信息保護法》第38 條規定數據跨境流動的三種合規路徑之一，除認證外，數據出境的合規路徑還包括“安全評估”和“標準合同”。數據出境安全評估是一種具體行政行為[1]，標準合同簽訂是一種私主體商事行為[2]，專業機構認證則是一種第三方規制行為[3]。數據跨境認證是合作規制理論在數字時代的生動實踐，體現出數字社會背景下數據治理的公私合作特征，《實施規則》為數據跨境認證的實施提供了現實方案。

除數據跨境處理外，《實施規則》同樣適用于其他類型的個人信息處理活動。《實施規則》從認證范圍、認證依據、認證程序、認證標識和認證責任等方面對個人信息保護認證規則進行了整體構建，在擴展認證范圍、促進數據出境、明確侵權責任、推動國際互認等方面具有重要的實踐意義。下面，本文將從規則要點、制度設計、實踐意義三方面，對《實施規則》所規定的中國個人信息保護認證規則展開解讀、評介與反思。

1 《實施規則》的要點解析

《實施規則》從認證適用范圍、認證依據、認證模式、認證程序、認證標識、認證細則和認證責任七個方面對個人信息保護認證規則進行了整體構建，明確了認證的主體、對象、依據、流程等問題。下面，本文將從《實施規則》的重點內容展開分析。

1.1 認證范圍

《實施規則》規定了對個人信息處理者開展個人信息收集、存儲、使用、加工、傳輸、提供、公開、刪除以及跨境等處理活動進行認證的基本原則和要求。從認證主體來看，凡是個人信息處理者皆可申請該項認證。從認證對象來看，認證涉及個人信息處理活動過程的產品、服務、管理體系。從認證內容來看，認證僅僅涉及個人信息，而不包括其他數據——例如《數據安全法》規定的核心數據和重要數據、《數據出境安全評估辦法》規定的重要數據、《關鍵信息基礎設施安全保護條例》規定的關鍵信息基礎設施相關數據以及《個人信息保護法》規定的匿名化處理后的信息，此類非個人信息均不屬于《實施規則》的認證內容。另一方面，認證是對個人信息處理的認證，個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等，同時也包括了數據跨境傳輸的處理活動?？傮w來看，《實施規則》規定的認證主體范圍更明確，適用對象范圍更廣闊(包括產品、服務、管理)，內容界定范圍更有針對性(僅限于個人信息)。

1.2 認證依據

《認證認可條例》是實施個人信息保護認證的根據之一，條例第2 條規定了認證“是指由認證機構證明產品、服務、管理體系符合相關技術規范、相關技術規范的強制性要求或者標準的合格評定活動”。最新版本的GB/T 35273《信息安全技術 個人信息安全規范》和TC260-PG-20222A《個人信息跨境處理活動安全認證規范》是《實施規則》所規定的認證依據。前者是由市場監管總局與國家標準化管理委員會聯合發布的國家標準，在《個人信息保護法》實施以前就對企業數據合規建設提供重要依據和規范指南；后者是由全國信息安全標準化技術委員會組織制定和發布的技術規范，同樣可以作為認證依據。根據規定，凡個人信息處理者均需要滿足前一種規范的要求，而開展跨境數據傳輸的個人信息處理者還應當符合后一種規范的要求。

1.3 認證程序

“技術驗證+現場審核+獲證后監督”是 《實施規則》提出的個人信息保護認證模式。按此模式，認證機構在對認證委托人提交的認證委托資料進行審查過后，決定是否受理并向委托人及時反饋，受理后將確定認證方案并告知委托人。具體認證程序如下：

(1)技術驗證：據此方案，技術驗證機構實施技術驗證，并向認證機構和認證委托人出具技術驗證報告。

(2)現場審核：在收到技術驗證報告之后，認證機構將對個人信息處理者實施現場審核，并向認證委托人出具現場審核報告。

(3)獲證后監督：根據認證委托人提交的委托資料、技術驗證機構出具的技術驗證報告、認證機構掌握的現場審核報告和其他相關資料信息，認證機構將進行綜合評價，最終決定認證申請是否通過。對符合認證要求的個人信息處理者頒發認證證書。在有效期內，認證機構將采取適當方式、以合理監督頻次，對已獲認證的個人信息處理者進行持續監督。

綜上所述，《實施規則》以認證前資料審查、認證中能力審核、認證后持續監督的事前、事中、事后全過程規制模式對認證程序作出了具體規定，其流程如圖1 所示。

圖1 個人信息保護認證流程圖

1.4 認證證書

認證機構將對符合認證要求的認證委托人頒發認證證書，有效期為3 年。在此期間，認證委托人可向認證機構提出變更委托，對已獲認證的個人信息處理者相關資料進行變更，也可申請將認證證書暫停、注銷；到期后，認證委托人需要延續使用的，應在有效期屆滿前6 個月內提交申請。獲證后，認證委托人將受認證機構的持續監督，監督過程中若已獲證的個人信息處理者不再符合認證要求，認證機構應當及時對認證證書予以暫停直至撤銷。認證證書既不是行業許可證，也不是營業執照，而是一種資質認證，體現出認證機構對于認證委托人個人信息保護能力的肯定評價。

1.5 認證責任

《實施規則》規定，認證機構、技術驗證機構、認證委托人分別對各自的認證和驗證結論、認證委托資料的真實性和合法性負責。針對認證機構的責任，《認證認可條例》第73 條規定了“認證機構未對其認證的產品實施有效的跟蹤調查，或者發現其認證的產品不能持續符合認證要求，不及時暫停或者撤銷認證證書和要求其停止使用認證標志給消費者造成損失的，與生產者、銷售者承擔連帶責任?！币簿褪钦f，若認證機構對個人信息主體造成損失則需承擔連帶責任，這意味著認證機構在個人信息保護認證工作實施過程中擔負著持續的監督和審查義務，面臨著重要的認證責任。

總體來看，《實施規則》將認證實施的適用范圍界定在“個人信息”內容，依據國家標準和相關技術規范開展認證工作，提出了事前事中事后全過程規制的認證程序，公布了認證證書和認證標志，明確了認證的主體、對象及其責任。但《實施規則》的具體落實仍待認證機構對認證實施程序進行進一步的細化，認證機構在實踐過程中所制定的科學、合理、可操作的認證實施細則才是《實施規則》方案真正落地的“最后一公里”。

2 《實施規則》的制度設計

個人信息保護認證制度的上位法依據是《個人信息保護法》和《認證認可條例》。

《個人信息保護法》對認證制度的規定在第38條和第62 條均有體現。第38 條對于跨境流動的個人信息提供了出境認證的合規路徑；第62 條第(四)項對個人信息開展認證服務，推進個人信息保護社會化服務體系建設作了規定。此次《實施規則》的出臺標志著《個人信息保護法》中認證工作的具體實施有了明確依據，為數據出境中的“認證”路徑提供了有力支撐，同時也對個人信息保護社會化服務體系建設提供了有效保障與落地方案。

如前所述，《實施規則》明確了認證的依據為GB/T 35273《信息安全技術 個人信息安全規范》與TC260-PG-20222A《個人信息跨境處理活動安全認證規范》，前者面向一般情況下的個人信息保護認證，后者則應對于特殊情景中的個人信息跨境認證。也就是說，《實施規則》是將個人信息保護認證和個人信息跨境認證“合二為一”。兩者區別在于，個人信息保護認證針對的是認證委托人對于個人信息保護的水平，認證結果是對委托人個人信息保護能力和資格的評價；而個人信息跨境認證針對的是委托人在個人信息跨境傳輸場景下的數據處理行為，認證結果是認證機構對于委托人具體數據處理活動的特殊認證。

《認證認可條例》第2 條明確了認證的對象為“產品、服務、管理體系”，認可的對象則是“認證機構、檢查機構、實驗室以及從事評審、審核等認證活動人員的能力和執業資格”，認證制度主要適用于企業，認可制度則是對認證機構及其人員的監督機制。根據《認證認可條例》，認證是要證明產品、服務、管理體系符合“相關技術規范、相關技術規范的強制性要求或者標準”。申請個人信息保護認證的個人信息處理者應當符合GB/T 35273《信息安全技術 個人信息安全規范》的要求；但如果要在個人信息出境時采信認證結論，還需針對個人信息出境場景增加認證要求，即還必須符合《個人信息跨境處理活動安全認證規范》的要求。這相當于，我國既建立了通用的個人信息保護認證制度，又建立了針對數據出境場景的個人信息出境認證制度。后者是前者的補充，前者是后者的基礎(如表1 所示)[1]。

表1 《實施規則》的制度設計

《認證認可條例》第十七條指出，“認證機構應當按照認證基本規范、認證規則從事認證活動。認證基本規范、認證規則由國務院認證認可監督管理部門制定；涉及國務院有關部門職責的，國務院認證認可監督管理部門應當會同國務院有關部門制定?！边@實際上指出了認證認可監管思路——在專業領域涉及到國務院有關部門職責的，由國務院認證認可監督管理部門會同國務院有關部門共同管理。因此，這項工作既涉及認證認可監管部門，也涉及數據安全監管部門。上一輪機構改革中，國家認證認可監督管理委員會職責已劃入國家市場監督管理總局。因此，數據安全認證這項工作，由國家市場監管總局和國家互聯網信息辦公室共同負責[4]。

認證制度是目前國際通用的一種的第三方審核制度，由獨立于被規制對象的專業機構依據標準和技術規范，通過調查取證、審核檢驗，對產品、服務或企業的管理體系、人員能力等合規情況進行評價與認定，是國家質量基礎建設工程的基礎項目之一。

從制度設計之初來看，在市場規模較大、需要開展專業化的檢測檢驗工作的領域，行政監管通常難以實現全面、有效的覆蓋[5]。在此背景之下，政府可以利用市場的力量，借助第三方機構的私人資源和專業優勢開展認證工作，這樣不僅可以彌補傳統規制的不足，還可以提高專業水平、降低政府成本，同時也符合社會多元主體的利益期待[6]。

從歷史發展過程來看，認證機制的制度演進體現出“自下而上”的社會共治理念。歐盟數據認證制度就經歷了“自我聲明—第三方認證—政府監管下數據認證”的演進過程。GDPR 第42 條確立了“經批準的數據認證制度”，強調了公私合作的治理理念。數據監管當局全程監督并有權“干預”整個認證過程和認證結果，能夠有效克服第三方認證的機制缺陷[7-8]。

從我國實踐歷程來看，認證制度首次出現在我國網絡安全工作領域，源于2004 年10 月的《關于建立國家信息安全產品認證認可體系的通知》。在此之前，政府對社會的治理，更多地采用行政許可手段。而在規劃國家信息安全產品認證認可體系建設時，我國便明確了政事分開、發揮認證認可制度作用的原則，凡可以通過認證認可解決的檢測、評審，原則上不再設立行政許可。《數據安全法》《個人信息保護法》發布施行后，建立科學高效的數據安全治理體系的任務便被提上議事日程，認證認可制度成為重要的數據治理手段[4]。

《實施規則》的出臺進一步完善了我國的數據安全治理體系，明確了數據安全認證的制度安排和規范依據。不過，認證工作的開展是一個動態治理的過程，需要多方主體的共同參與，既依靠國家網信部門的統籌協調，也有賴于社會認證機構的持續監督。將來，依據《個人信息保護法》和《認證認可條例》，我國的認證工作沿著《實施規則》的制度設計徐徐展開，在社會多元主體的協同共治下，個人信息保護格局也將朝著共建共治共享的治理樣態發展。

3 《實施規則》的實踐意義

本次《實施規則》的頒布及時回應了個人信息保護和數據跨境流動的需要，對于數字時代的網絡強國建設具有重大意義，體現出我國構筑數據法治體系以及推進國家治理能力現代化所作出的努力?！秾嵤┮巹t》在擴展認證范圍、促進數據出境、明晰侵權責任和推動國際互認方面具有重要的實踐意義。

3.1 擴展認證范圍

《實施規則》是我國首個關于個人信息保護認證的專項制度，也是我國建立的第三種數據安全認證制度。此前建立的兩種數據安全認證制度分別是App 安全認證以及數據安全管理認證。其中，2019年3 月發布的《移動互聯網應用程序(App)安全認證實施規則》 屬于產品認證；2022 年6 月份發布的《數據安全管理認證實施規則》 側重于數據安全管理能力。本次建立的個人信息保護認證制度是以認證認可為手段證明個人信息保護能力的一種認證方式，適用范圍最廣。比如某機構提供數據脫敏服務，可以為這種服務申請一張個人信息保護證書，從而表明具備服務能力；某機構是產品供應方，則可以為其產品申請一張個人信息處理過程符合有關標準的證書；各機構也可以為自身管理體系申請個人信息保護證書，當前很有影響力的 ISO 27701隱私信息管理體系認證便屬于此類[4]。

3.2 促進數據出境

個人信息保護認證是《個人信息保護法》第三十八條規定的數據出境合規體系的三條路徑之一?！秾嵤┮巹t》的出臺是落實《個人信息保護法》跨境數據流動認證路徑的重要舉措，及時填補了我國數據出境制度的實施細則空白。經過安全評估后出境和利用標準合同出境有著各自特殊的適用條件和應用場景，而個人信息保護認證作為并列的法定出境機制之一，能夠和前兩者產生有效的機制協調和銜接，共同助力數據跨境安全、自由流動，促進數據出境[9]。

3.3 明晰侵權責任

認證機構為認證申請人頒發的認證證書將給企業提供履行個人信息保護義務的合規證明，有助于明晰個人信息侵權責任。根據《個人信息保護法》第69 條規定，“處理個人信息侵害個人信息權益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償等侵權責任”。也就是說，若個人信息處理者能夠證明自身已履行個人信息保護義務，對于個人信息損害不存在過錯，就能夠降低個人信息侵權損害賠償的法律責任，減少企業數據合規風險。更為清晰的權責邊界也將為個人信息侵權訴訟的展開奠定基礎，為數字時代的個人信息權益提供更好的保護。

3.4 推動國際互認

《實施規則》將《個人信息保護法》個人信息出境的相關規定具體化和可操作化，有利于和國際數據跨境流動認證制度相接軌，為未來相關認證的國際互認奠定基礎。認證是全球個人信息保護實踐當中的通行做法，國際上常見的個人信息保護相關認證包括以歐盟《通用數據保護條例》(GDPR_ 為基礎確立的個人數據跨境傳輸認證，與GDPR 相關的ePrivacy 認證，美國的TRUSTe 認證機制和亞太經濟合作組織APEC 框架下的CBPR 認證，以及盧森堡數據保護機關新近推出包含個人數據跨境傳輸場景的GDPR-CARPA 認證機制[9]。

目前，認證機制應用于數據出境管理仍缺少足夠實踐，國際上認證認可結果的互認存在困難[10]。嚴格意義上，歐盟尚未建立專用于數據出境的認證制度。鑒于數據安全的敏感性，我國當前對國際互認秉持審慎態度[11]。以我國現行法律法規為依據，比較借鑒域外權威認證機制建立個人信息保護認證，一方面有利于全面、及時回應跨境數據治理的全球態勢；另一方面也有利于務實推動中國數據治理規則的國際化實現[9]。《實施規則》構建的中國個人信息保護認證規則同時助力中國企業跨越數字鴻溝，共同構建可信任的國際數據跨境流動體系，為企業更好地融入全球商貿環境、開展國際貿易保駕護航。

4 結論

《中共中央 國務院關于構建數據基礎制度更好發揮數據要素作用的意見》(簡稱“數據二十條”)指出，要推動個人信息保護認證制度的建立，加強企業數據合規體系建設，引導企業通過認證提升數據安全管理水平，有序培育合規認證的第三方專業服務機構，積極參與認證評估相關國際規則和數字技術標準制定，促進數據合規安全有序流通利用。此次《實施規則》的頒布，標志著中國個人信息保護規則體系與數據合規制度建設又向前邁出了一步，數據跨境的第三條路也被緩緩打通。在《個人信息保護法》和《認證認可條例》制度支撐下，《實施規則》從認證范圍、認證依據、認證程序、認證標識和認證責任等方面對個人信息保護認證規則進行了整體構建，在擴展認證范圍、促進數據出境、明確侵權責任、推動國際互認等方面具有重要的實踐意義。

個人信息保護體系與數據跨境流動機制下的認證制度仍有諸多問題亟待澄清，認證制度的真正落地仍待合理可行的實施細則的制定與公布。比如，正在編制中的國家標準《信息安全技術個人信息跨境傳輸認證要求》擬明確個人信息跨境提供的安全原則、安全要求和認證規則，該標準是否能夠成為個人信息保護認證的第三個依據，暫未有定論。又如，作為數據跨境傳輸機制適用的個人信息保護認證制度對于全球數據治理而言仍是一個新問題——即便各國已相繼構建與之適應的法律體系。這意味著，《實施規則》的頒布僅是一個開始，在如何發揮認證的實際作用方面，仍需對實施細則展開深入研究[4]。

就個人信息出境認證而言，《實施規則》《數據出境安全評估辦法》《個人信息出境標準合同規定(征求意見稿)》共同構成了《個人信息保護法》第三十八條規定的個人信息跨境傳輸的具體落地規則。三條合規路徑原本在法律設計上是擇其一即可使個人信息出境，但實踐中考慮到某些重要個人信息的公共屬性等，有可能使得這三種路徑需重復適用才能滿足合規要求。就個人信息保護認證制度體系化和實施合規性而言，認證機制的有效推行不僅需要滿足《實施規則》的要求，還需要協調《實施規則》與其上位法《個人信息保護法》和《認證認可條例》之間的關系，同時需要滿足《實施規則》所規定的相關技術規范、國家標準以及認證機構制定的實施細則的要求，實踐層面的法律合規面臨著相當大的挑戰，個人信息保護認證規則體系化仍任重道遠。

從合作規制理論視角來看，構建法治化的個人信息保護認證體制機制，不僅是保障數據安全的現實需要，而且是彌補數字時代政府規制缺陷的迫切需求。作為去中心化的第三方規制，數據安全認證是一種全新理念。第三方規制同政府規制、自我規制一道共同構成了完善的規制法體系。在“放管服”改革深入推進和國家治理能力現代化的背景下，需要政府、互聯網企業、數據安全認證機構、網絡用戶、社會公眾等多方主體開展公私合作治理，相互取長補短，協同完成保障數據安全并促進數據高效流通利用的公共任務[3]。作為共同治理的方案之一，個人信息保護認證規則在推動創新的同時，也向市場主體提供相應信息，使得企業根據認證規則錨定的基準向消費者展示其個人信息保護水平[12]，從而促進數據可信流通利用體系建設，為市場交易提供低成本、高效率、可信賴的流通環境，在安全可信、包容創新、公平開放、監管有效的多方主體合作共治環境下推動數據要素更好地發揮價值。