從認證全過程視角理解與完善個人信息保護認證制度

聶磊磊

(中國人民公安大學 法學院，北京 100038)

0 引言

個人信息保護認證是個人信息出境中與安全評估、標準合同并列的出境制度，除了法律等有例外規定的場合，一般個人信息出境都可以適用認證制度。認證制度在我國傳統領域經常適用，但自《個人信息保護法》實施后，個人信息保護認證制度才開始運用于我國個人信息出境的場景。雖然運用至今仍在不斷發布指南為其具體落實提供指引，但實施的效果差強人意。因此，有必要對個人信息保護認證制度實施以來的情況進行分析，以實現個人信息安全與自由流動之間的利益衡平。

1 個人信息保護認證基本概述及價值

1.1 個人信息保護認證基本概述

個人信息保護認證是個人信息跨境提供中的出境制度之一，是個人信息安全相關認證的統稱，跨境處理活動認證是其中針對個人信息跨境場景的特定認證類型。與歐盟《通用數據保護條例》(GDPR)規定相類似，GDPR認證同樣是數據保護認證機制的統稱，GDPR第46條第2款第f項提出的認證只是GDPR認證中針對個人跨境場景的特定認證類型。我國個人信息保護認證的上位法依據包括《個人信息保護法》《中華人民共和國認證認可條例》(以下簡稱《認證認可條例》)，根據《認證認可條例》，認證是指由認證機構證明產品、服務、管理體系符合相關技術規范、相關技術規范的強制性要求或者標準的合格評定活動。

目前，在個人信息跨境流動中存在單邊、雙邊和多邊認證機制。單邊認證機制以歐盟“有約束力的公司規則”(BCRs)為典型，雙邊認證機制以美國和歐盟之間已經失效的“安全港”(Safe Harbor)和“隱私盾”(Privacy Shield)協議為代表，多邊認證機制則以美國主導的“全球跨境隱私規則”(CBPRs)為代表[1]，我國的個人信息保護認證制度屬于單邊認證機制。但根據我國法律規定，涉及國家安全和公共利益的一些重要數據必須通過安全評估后才允許出境。同時，適用個人信息保護認證進行個人信息出境時，也要進行個人信息保護影響評估，由企業自行評估是否具備出境的條件。

我國個人信息保護認證機制的運行規則是要求個人信息處理者和境外接收方簽訂一系列法律協議，并承諾遵守統一的個人信息跨境處理規則，再獲得認證機構認證即可進行個人信息出境。根據《個人信息保護認證實施規則》(以下簡稱《認證實施規則》)，個人信息保護認證的認證模式為“技術驗證+現場審核+獲證后監督”。具體步驟是由認證委托人先行提交認證委托資料，包括認證委托人基本資料、認證委托書、相關證明文檔等，認證機構據此確定認證方案；其次，技術驗證機構根據認證方案出具技術驗證報告，認證機構出具現場審核報告；最后，認證機構根據上述信息決定是否給予認證，對符合條件的頒發認證證書，不符合條件的要求其限期整改，整改后仍不符合條件的則終止認證。同時，認證機構應當在認證有效期內對獲得認證的個人信息處理者進行持續監督。在個人信息出境的情況下，個人信息持有方發生變化，適用的法律法規也發生變化，境內監管機關有可能無法對境外接收方行使管轄權，并且個人信息主體維護自身合法權益的渠道變少也變得更加困難，但個人信息保護認證制度可以有效緩解這些風險。

隨著數據全球化的發展，當前跨境經濟活動的多樣性和復雜性日益攀升，相應地要求數據出境方式要與時俱進。雖然個人信息保護認證在個人信息跨境提供時既安全又方便快捷，但要進一步地對敏感個人信息提高認證標準，推動實現個人信息跨境流動的合法事由多元化，并對企業數據保護能力進行認證[2]。我國分別于2022年6月和11月出臺了《網絡安全標準實踐指南 個人信息跨境處理活動安全認證規范》(v1.0)版本和(v2.0征求意見稿)版本(以下統一簡稱《認證規范》)為個人信息保護認證的具體落實提供指引，也于2023年3月發布了《信息安全技術 個人信息跨境傳輸認證要求》征求意見稿(以下簡稱《認證要求》)進一步完善個人信息保護認證制度。雖然國內制度為個人信息跨境提供確立了運行的基本原則，并對認證機構和個人信息處理者提出了基本要求，但僅是一些原則性和基礎性的規則指引，需要結合未來趨勢和國外經驗進行進一步的優化和完善。我國個人信息保護認證相關法律文件如表1所示。

表1 我國個人信息保護認證相關法律文件

國外關于個人信息保護認證的法律規定主要有歐盟BCRs和《關于認證作為跨境傳輸工具的07/2022號指南》(以下簡稱“《AC認證指南》”)[3]。BCRs規定的認證流程是先由企業制定BCRs，且該BCRs獲得了數據保護機關的批準，最后基于經批準的認證機制進行個人信息的轉移。而《AC認證指南》是由第三國數據接收方自愿申請認證，并由監管部門批準的認證機構進行評估決定是否給予認證，最后基于該認證進行個人信息跨境傳輸。對比國內外關于指導個人信息保護認證的文件來看，《認證規范》中規定的認證范圍和BCRs的主要適用情形都是關聯企業之間的數據傳輸，這就是我國個人信息保護認證在框架設計上與BCRs高度相似的原因。但最新的《認證要求》開始向《AC認證指南》靠攏，《認證要求》刪除了之前《認證規范》明確的幾個申請認證主體，比如大型跨國關聯企業等主體，但又沒有明確新的申請認證主體，未來的申請認證主體范圍必定更大。而《AC認證指南》的適用范圍則非常廣泛，只要數據處理活動是將歐盟保護的個人信息從歐盟境內傳輸出境，境外接收方就可以就該系列或單個數據處理活動申請認證[4]。《AC認證指南》被用于指導GDPR下認證機制的實踐應用，解決了GDPR中認證作為傳輸工具時的具體要求。縱觀國外，個人信息保護認證的發展過程是從小范圍的跨國企業之間到大范圍的所有個人信息跨境傳輸，從BCRS到《AC認證指南》。這是未來個人信息保護認證的發展趨勢，也是全球化下個人信息傳輸所倒逼的要求，也是為何我國最新的《認證要求》開始向《AC認證指南》靠攏的原因。

目前，對個人信息跨境流動的規制主要是通過法律規則進行，比如歐盟GDPR規定的“充分性保護認定+不存在充分性保護認定時的減損”模式最具代表性(我國個人信息出境制度中的安全評估和標準合同都屬于此類)。同時，需要探索綜合性的個人信息跨境流動多元治理機制，以實現個人信息跨境流動法律規則有效地實施。在大數據背景下，個人信息在商業領域得到充分利用，其私權屬性趨于弱化但其社會屬性逐漸突顯。個人信息作為一種數據資產，在對其價值進行挖掘促進個人信息自由流動的同時，還要兼顧對個人信息的保護，做到個人信息保護與利用之間的平衡[5]。個人信息保護認證可以實現雙方之間利益關系的平衡[6]。我國應在堅持完善安全評估制度的基礎下，有效落實既能維護個人信息安全又能促進個人信息自由流動的個人信息保護認證制度，使其作為安全評估制度的重要補充[7]。

1.2 個人信息保護認證的實施價值

我國個人信息出境制度目前有三個，包括安全評估、標準合同和認證制度。安全評估制度可以很好地保障國家安全和社會公共利益，但在促進個人信息自由流動方面存在不足。標準合同是由國家有關機關事先擬定好的，在合同生效后即可開展個人信息出境活動，雖然通過合同形式實現出境便利，但在保障個人信息安全方面尚有欠缺。而認證制度比安全評估有更加自由的流動性，比標準合同有更加穩定的安全性，具有顯著的實施價值和現實意義。

首先，安全評估制度是我國個人信息出境中的核心制度。安全評估的適用范圍由“處理100萬人以上個人信息的數據處理者向境外提供個人信息”把握上限，由“自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息”把握下限。這兩方面的規定可以將我國絕大部分的個人信息出境活動交予安全評估制度來進行，其適用范圍過于寬廣，導致三大出境制度的并列關系實質上變成了安全評估制度優先適用。同時，其評估流程較為復雜，專業性較強，成本較高。基于成本與收益模型，個人信息處理者可能會以本地化存儲代替安全評估[8]。

其次，標準合同與安全評估的適用范圍是互補的，在安全評估的適用范圍之外可以適用標準合同。標準合同的內容不允許雙方任意更改，雙方如有其他的約定可在附錄部分詳述，附錄構成標準合同的組成部分，標準合同在簽訂生效之后進行備案即可。認證制度在簽訂具有法律約束力和執行力的文件之后還需要提交有關部門認證。雖然認證制度和標準合同都比安全評估有更加自由的流動性，但標準合同主要憑當事人雙方之間自覺，而認證有認證機構背書，認證比標準合同有更加穩定的安全性。

最后，個人信息保護認證制度在對企業、政府和個人的影響方面也發揮著其獨特的價值。認證可以約束大型互聯網企業的行為，促使其不斷完善個人信息跨境提供中合規制度的建設；可以促進新興中小互聯網企業發展，能夠讓企業在面對個人信息主體社群、合作伙伴乃至監管機關時樹立穩健可信的品牌形象[9]。同時，認證屬于第三方規制，賦予認證機構“守門人”的義務，可以減少政府的負擔，幫助行政機關發現或阻止違法行為[10]。認證還可以增強個人信息主體對個人信息處理者的信任，從另一個方面表明個人信息主體是“真正同意”個人信息處理者處理自己的個人信息[11]。

2 關鍵節點：個人信息保護認證機構的資質

個人信息保護認證作為第三方規制行為，認證機構是其中的關鍵環節，要求認證機構需具備公平性和專業性這兩個方面的資質。為了保證認證的專業性，要求對認證機構進行專業合規制度建設并提高工作人員的專業水平和專業素養。為了充分實現認證機構的公平性和專業性，應加快建立非政府性、非盈利性的社會組織型專業個人信息保護認證機構[12]。

2.1 公平性

2.1.1 認證機構不得與行政機關存在利益關系

中國的認證體制是在政府主導下自上而下確立的，同國外從市場出發的認證體制有著重要差別[13]。中國大部分的認證機構具有濃厚的行政管理色彩，往往導致第三方獨立認證變成單方面管理和審批。國際上很多有影響力的認證機構都是非政府性質的組織，與政府有關聯的認證機構可能會導致認證不力、認證不公，進而損害政府監管部門的權威性。《認證認可條例》第13條第1款規定：“認證機構不得與行政機關存在利益關系。”《關于促進市場公平競爭維護市場正常秩序的若干意見》提出，“推進檢驗檢測認證機構與政府脫鉤、轉制為企業或社會組織的改革”。

2.1.2 認證機構應獨立于企業

在傳統的認證領域，存在著與企業利益緊密相關的“企業型”認證機構，企業通常會選擇投其所“好”的第三方認證機構。第三方認證機構通過頒發虛假的認證從企業那里牟利，企業依靠虛假的認證騙取個人信息主體的信任獲得其個人信息，并對個人信息進行處理來牟利。認證成為一個完整利益鏈條中關鍵一環，“認證變認錢”，認證亂象叢生。通過虛假認證騙取的個人信息，其后續對個人信息的處理會超出個人信息主體真正同意的范圍而產生安全風險。在未來的個人信息跨境認證市場領域的認證機構難免出現這種情況，“給錢就給過，不給就刁難”。這樣的風氣甚至會造成一些嚴格遵守認證規則的認證機構被迫退出市場或者也成為這樣的違法認證機構，形成“劣幣追逐良幣”的惡性市場，嚴重擾亂認證市場秩序。

2.2 專業性

當前，利用個人信息從事違法犯罪的方式種類日益多樣化，要求具有更高水平可以與之相對應的專業性認證機構對企業的個人信息保護能力進行認證。只有被政府和同行業共同認可的認證機構才能從事認證工作。認證機構需要從事認證工作的專業人員既要熟悉與認證相關的法律，也要熟知計算機等專業技術方面的知識。《認證要求》、BCRs和《AC認證指南》均要求企業有義務對員工提供個人信息保護方面的培訓，并且對持久或經常訪問個人數據的人員，或參與個人數據收集的人員，或開發個人數據處理工具的人員進行專門的培訓[14]。同時，個人信息保護認證機構作為新設機構，可以與傳統檢測、鑒定等機構合作開展個人信息保護認證，來彌補起步初期專業性不足的缺陷，甚至將涉及某方面的認證權力下放給專業性更強的檢測機構來進行認證，但最后決定是否給予認證的權力應牢牢把握在認證機構自己的手里，防止認證機構不承擔自己的認證義務，或者變相將認證義務轉移給檢測等機構。通過這些專業性機構從技術上輔助認證機構的發展[15]，相應地要求認證機構在未來要走“專精特新”路線，逐步實現認證機構與檢測等專業性機構的合一。

3 優化路徑：個人信息保護認證的展開

當前，個人信息保護認證制度面臨著諸多挑戰，但與實踐需求尚有脫節，某些方面的規定也并不明確。本文從認證前、認證中、認證后三個方面分析并提出改進意見，主要包括認證啟動機制、申請認證的主體范圍及認證標準和出現問題后的責任分配。

3.1 認證前：認證啟動機制

認證如何啟動是進行個人信息保護認證的第一步，主要包括自愿認證和強制認證兩種形式。從歐盟《通用數據保護條例》(GDPR)來看，其主張自愿認證機制，鼓勵建立認證機制和使用數據保護印章、標記，以使數據主體能夠快速評估相關產品和服務的數據保護水平。我國為做到“放管結合，優化服務”的目的也實行自愿認證，通過市場手段保證放而不亂，同時提高認證水平、規范認證秩序和提升企業的合規能力。但自愿認證制度因認證的方式和標準不是統一的，存在一定的局限性和區域性，無法滿足統一管理的要求，且不利于我國認證制度“走出去”和實現國際互認[16]。

我國在《認證要求》中規定了自愿認證原則，鼓勵開展個人信息跨境處理活動的個人信息處理者自愿申請個人信息保護認證，充分發揮認證在加強個人信息保護、提高個人信息跨境處理效率方面的作用。但也不能忽視強制認證的作用，實證研究表明，強制認證可以增強創新能力、提升管理能力和增加自愿認證，“對企業生產率具有顯著正效應”[17]。我國《認證認可條例》既鼓勵實施自愿認證，但又對特殊領域實施強制認證，其中第27條規定“為了保護國家安全、防止欺詐行為、保護人體健康或者安全、保護動植物生命或者健康、保護環境”，對相關產品實施強制認證。強制認證可以嚴格執行國家的認證要求，認證更具有規范性和保障性，并且對特殊領域的保護更為強勁。因此，我國認證啟動機制應以自愿認證為主，在特定領域實行強制認證。

3.2 認證中：認證申請主體及認證標準

3.2.1 申請認證的主體范圍

目前，申請認證的主體范圍前后規定不一致，在《認證規范》中規定的申請認證主體包括以下兩類：一是跨國公司或者同一經濟、事業實體下屬子公司或關聯公司之間的個人信息跨境處理活動可由境內一方申請認證；二是境外個人信息處理者，可由其在境內設置的專門機構或指定代表申請認證(如表2所示)。《認證規范》的申請認證的主體范圍基本等同于歐盟BCRs，可以申請個人信息保護認證的基本都是一些大型跨國企業。但是在最新的《認證要求》中刪除了之前所明確規定的兩類申請認證主體，而現在又沒有明確可以申請認證的主體范圍，僅規定了“本文件適用于認證機構對個人信息處理者跨境提供個人信息活動開展個人信息保護認證，也適用于主管部門、第三方評估機構等組織對個人信息處理者跨境提供個人信息進行監督、管理和評估。”說明適合采用認證方式進行個人信息跨境傳輸的個人信息處理者包括但不限于《認證規范》中的兩類主體，認證申請主體應為所有滿足一定條件的個人信息處理者。這偏向于歐盟《AC認證指南》的規定，將更有利于中小企業在需要進行個人信息跨境傳輸時申請認證。隨著個人信息數量不斷增多和個人信息跨境傳輸業務逐漸擴展到中小企業，在未來個人信息出境會變得越來越頻繁的情況下，對于任何有出境需求的個人信息處理者在符合法律規定和認證相關要求的前提下都可以申請認證，申請認證的主體范圍擴大化可以促進個人信息跨境傳輸以及認證市場的發展。

表2 《認證規范》中可申請認證的主體范圍

3.2.2 個人信息保護認證標準

認證標準是個人信息保護認證的核心之一，個人信息保護認證標準除了國家強制力認證標準，還包括國際通用標準、國家推薦性標準、認證機構制定的標準和行業自律性標準等。制定認證標準應注重其可驗證性、重復性和適用性，以證明被測的個人信息處理操作符合法律的相關規定，認證標準應明確易懂，并具有可操作性[18]。我國法律規定，申請個人信息保護認證的個人信息處理者應符合《信息安全技術 個人信息安全規范》(GB/T 35273—2020)的要求，但認證結論如要用于個人信息出境還需符合《認證規范》的要求。同時，國家標準《認證要求》的制定已經完成第一輪征求意見稿階段。由于不同的主體之間因業務或者其他各種原因所需要的標準高低不同，應當建立并完善分級分類認證標準制度。比如設定讓渡個人數據換取大數據服務的規則，視不同的個人信息傳輸重要程度和個人信息主體本身的需求適用不同的認證標準，對于想用自己的個人信息換取便利且屬于一般個人信息的群體，可以選擇認證標準較低但合法的認證。對于個人敏感信息以及對安全要求高的群體，自然就要適用較高的認證標準。

根據同等保護原則，要求境外接收方所在國認證標準不低于我國的水平，與《AC認證指南》遵循的同等保護標準一致。如果境外接收方所在國的保護水平低于我國，可以要求個人信息處理者和境外接收方采取必要措施保證其處理活動達到我國的認證標準。但BCRs的要求更為嚴格，如果地方立法對個人數據提供了更高水平的保護，那么地方立法將優先于BCRs適用。認證標準的完善可以在關注國際整體發展形勢的基礎上，加強與外國法律體系的互動，促進我國的認證標準在未來逐步實現國際互認的目標[19]。

3.3 認證后：個人信息保護認證中的責任分配

《認證要求》規定了責任明確原則，規定個人信息處理者和境外接收方應履行法律法規規定的責任義務，在跨境處理個人信息時應保障個人信息主體權益，并指定境內一方、多方或者境外接收方在境內設置的機構對境外接收方損害個人信息權益的個人信息違規處理活動承擔民事法律責任。歐盟BCRs則要求集團必須指定歐盟境內的一個集團成員，承擔集團內其他非歐盟成員的違反BCRs的責任后果，即責任承擔將集中到一個實體。對于司法管轄事項，《認證要求》要求個人信息處理者和境外接收方均承諾遵守中華人民共和國個人信息保護有關法律、行政法規，接受中華人民共和國司法管轄；承諾與個人信息跨境處理有關的糾紛適用中華人民共和國相關法律法規。BCRs還規定，如果位于歐盟境外的集團成員有違反BCRs的行為，歐盟境內的法院或監管當局對該行為有管轄權。但在具體如何分配責任的問題上沒有明確規定，在私法方面可以參照《民法典》中關于責任分配的規定，在公法方面可以參照《刑法》和《行政法》關于責任追究的規定。在個人信息保護認證中出現個人信息泄露等問題時主要有以下幾個主體需要承擔責任，包括監管部門、認證機構、個人信息處理者、境外接收方。對這些主體進行責任分配時存在私法上的歸責和公法上的追責兩種情況。

首先，在私法歸責上，將歸責主體以是否實際掌握個人信息區分為個人信息持有者和非個人信息持有者兩大類，前者包括個人信息處理者和境外接收方，后者包括認證機構和監管部門。對于個人信息持有者來說，整體的歸責原則應確立為過錯推定責任原則，即個人信息持有者負有證明自身無過錯的義務。根據“控制者義務理論”，任何人對自己控制的場所負有相應的安全保障義務，并且要求控制者遵循收益與風險相一致以及危險控制理念。一方面，個人信息持有者作為直接利益享有者，依靠個人信息的處理獲取收益；另一方面，個人信息持有者作為管理者，具有專業知識、能力、技術，能夠預見可能發生的危險和損害，在個人信息出現泄露等問題時，更有可能采取必要措施防止損害的發生或減輕損害，“監督者控制潛在危險的義務通常來源于他對危險源的控制能力”[20]。對于非個人信息持有者來說，整體的歸責原則應確立為過錯責任原則。認證機構和監管部門作為第三方機構，只是間接享有個人信息處理帶來的利益，二者并無直接的因果關系。在認證機構和監管部門存在故意時應承擔連帶責任，存在過失時應承擔補充責任。如果認證機構和監管部門沒有及時履行跟蹤監督的法定作為義務，應承擔連帶責任，此種責任屬于“特殊不作為義務連帶責任類型”[21]。

其次，因私法歸責具有一定的局限性，公法追責就起到了補充作用。在個人信息泄露時，特別是在個人信息出境的情況下，個人信息主體和個人信息持有者處于極不平等的地位，而且個人信息主體可能并不知情或者沒有有效的渠道去申請救濟，甚至會因訴訟漫長的時間而不堪重負主動撤訴。公法上一方面可以以《刑法》為指引對違法行為追究刑事責任；另一方面，基于傳統的威懾理論可以借鑒歐盟的重罰機制，追究其行政責任并提高違法成本，以此達到遵從法律的目的[22]。重罰的必要性在于當處罰金額少于違法所得利益時難以發揮其威懾作用，因為依然有利可圖所以違法行為不會得到有效遏制[23]。同時，基于成本收益原理，罰款金額越高，即便在被處罰的概率下降的情況下，也能有效遏制違法行為[24]。通過在公法追責上嚴厲打擊違法行為人，倒逼其在私法歸責上履行自己的義務，從而更好地保障個人信息主體的權利。

4 結論

近幾年來由于全球數字經濟的蓬勃發展，個人信息出境成為一種常態化活動，個人信息保護認證制度作為第三方認證開始適用于新興的出境規制。認證制度的核心功能體現于，在個人信息處理者滿足《個人信息保護法》規定的“基線要求”的基礎上，為自愿實施更具保護性的制度和措施的企業提供獲得監管部門一定認可的渠道，同時向市場參與者發布該正向信號[25]，有利于促進各方主體在個人信息保護方面的共同治理，從而實現個人信息安全和流動之間的利益平衡。當認證制度發展逐步成熟之后，將與安全評估和標準合同制度共同構筑我國出境制度的運行藍圖。未來，我國應以與東盟、一帶一路沿線國家加強個人信息保護認證交流為起點“走出去”，從單邊向著雙多邊認證機制發展，并積極主動參與國際通行認證機制的構建，推動全球個人信息跨境流動治理體系朝著更加公正合理的方向邁進。