摘要
作为一种“软性”约束工具,数据认证可以快速评判不同企业的数据合规情况,实现数据保护质量的可视化评定。鉴于数据认证机制在数据治理中的重要作用,欧盟《通用数据保护条例》正式引入认证制度。传统数据认证模式涵盖国家认证、第三方认证和自我声明三种,形成“政府—社会—市场”的“三元”架构,但各有利弊。欧盟数据保护法律框架则在已有监督模式基础上创造性发展出政府监管下的数据认证模式,形成了国家与社会共管模式,彰显了多元合作治理精神。我国数据认证尚在初创期,可在已有认证机制基础上结合数据认证的特点从基本规范、法律责任以及行业自律等方面加以补充和完善。
● 引言 ●
大数据、人工智能等新兴科技对传统个人数据保护法制提出了新的挑战,事前的防御机制和事后的制裁措施远不能适应快速发展的数据处理应用场景。只有当数据保护法律规范的外在要求与数据控制者的内在需要相结合,个人数据才能真正得以充分保护。只有强调通过激励机制调整并调动市场主体的积极性与创造性,才能有效引导信息控制者主动参与个人数据保护内控治理机制的建设,让数据保护理念成为企业经营的核心价值观。数据认证就是这样一种以市场为导向的软性约束工具,与数据处理过程的安全性密切相关。2018年5月生效的欧盟《通用数据保护条例》(GDPR)正式引入“数据认证”,以激励企业尤其是中小企业建立数据处理的合规制度,由此提升个人数据的保护能力。
目前我国数据权属及分配规则尚不明晰,国内相关文献主要聚焦个人信息(数据)权利性质、保护方式等问题,少有述及数据认证。2019年7月,国务院《关于印发中国(上海)自由贸易试验区临港新片区总体方案的通知》首次提出“建立数据保护能力认证机制”,明确了数据认证是数据安全管理机制的重要组成部分。2020年7月公布的《数据安全法(草案)》第16条提出“国家促进数据安全检测评估、认证等服务的发展”,凸显了数据认证在提升我国数据安全保障方面的作用。2020年10月公布的《个人信息保护法(草案)》第38条将“个人信息保护认证”作为“个人信息出境”的前提条件之一,再次强调了数据认证的必要性。然而,数据认证制度如何构建设计、如何落地实施,现有规范都未作进一步的规定。数据认证在我国尚属于新生事物,了解数据认证的发展和应用、监管模式及可能存在的问题,对于推进我国数据认证的学理认知及实践应用具有重要意义。
一、数据认证的起源与应用
国际标准组织(ISO)对“认证”进行了统一界定:“由独立机构出具的书面保证(证书),以证明所提供的产品、服务或系统符合特定要求。”因此,认证也被称为“第三方合格证明”。这里的“证明”是指“发布一项声明,该声明是基于评审后认定某种产品或某项服务满足了特定要求”(ISO17000:2004)。 我国《认证认可条例》将“认证”定义为,认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。数据认证则是认证制度顺应大数据、人工智能等新技术发展的必然产物,获得认证的企业可以证明其在数据保护能力上具有明显的优势,符合一定的技术标准和规范要求。欧盟GDPR首次将数据认证纳入正式法律文本,为数据认证提供了适用的法律基础。为进一步细化GDPR的规定,欧盟数据保护理事会制定的《认证和认证标准指南》对“数据认证”这一概念进行了界定,即“有关数据控制者及处理者的数据处理规程的第三方证明”。质言之,数据认证属于一种“软性”约束工具,用以证明企业的数据保护能力符合一定的法律规范和技术标准。
应该说,任何交易的达成都是基于信任,“误解的交易也是因为所掌握的不确切的知识而信任的结果”。而在远离熟人社会的网络世界,交易的信任基础很大程度上取决于对交易信息的掌握。也就是说,交易信息的真实与否以及能否高效传递对交易决策将产生决定性影响。反之,如果信息不真实或者真实的信息传递效率过低,都会加大交易方的交易成本,抑或丧失绝佳交易机会导致利益受损。而数据认证制度恰好弥合了现有的信息鸿沟,大大提升了网络交易效率。数据认证制度的实质,就是通过技术手段和程序控制评判不同企业的数据合规情况及数据保护能力,实现企业数据保护质量的可视化评定。
第一,数据认证能够帮助数据保护机构评判数据控制者及处理者是否采取了充分且适当的数据保护措施,一定程度上减轻了数据监管者的监管成本。认证将一定标准的个人数据保护要求转化为符合企业需求的可操作性合规步骤及程序,能够帮助企业建立高效的数据保护管理体系和内控机制。同时,认证标准可以作为数据控制者和处理者的技术指南,能够有效帮助企业简化合规程序,促进数据保护原则在技术环境中的应用。对于中小企业和初创企业而言,并不像大中型企业那样设置专门的企业数据保护人员,其内部管理机制并不成熟,通过专业的认证机构可以帮助这些企业以更少的投入达到数据保护的合规要求。
加之,数据认证外观表现形式即为认证证书或印章,既可以电子的形式显示于网站之上,也可以直观地直接呈现在产品或服务上,用以证明产品或服务符合了一定的数据保护标准和要求。认证的公示效力可以使获得认证的企业在相关市场上能够迅速脱颖而出,凸显其竞争优势。
第二,数据认证可以简化数据合规能力的评估程序,为数据控制者选择适格的数据处理者提供便利。大数据背景下,云计算、物联网、人工智能的应用使得数据处理环节更加复杂,涉及的数据处理机构及其人员亦相应增加。数据处理者通常代表数据控制者处理个人数据,其处理责任由控制者承担。这也使得控制者在挑选数据处理者时慎之又慎。而经过认证的数据处理者,可以克服自证困局,能够有效证明其遵守了相关法律规定及维持了较高水准的数据保护能力。数据认证制度对数据处理人的数据处理过程实现了外部评估,形成其数据保护能力的客观评价机制,不仅有效降低了数据控制人选择合适的处理者的时间和成本,还能进一步促进控制者自身数据合规能力的提升。
第三,数据认证的出现增强了消费者网络购物的信心,提升了网络交易效率,推动了数字经济的蓬勃发展。互联网的广泛应用,极大改变了传统线下购物的风险承担模式。线上购物时,消费者通过视觉、触觉及产品和服务的亲身体验方式对产品及服务质量做出检验的可能性与精确性大大降低,通常只能借助于网络图片或视频来决定购买与否。实践中已经出现了大量诸如展示的图文与实物不符、产品质量未知、黑客攻击、隐私泄露等问题。消费者在付款后、获得实际产品或服务前就已经承担了部分产品及服务的质量风险。与之相类似,数据本身是一种经验产品,对数据质量的评价不能通过直接观察或使用数据发现,只能通过比较同类数据集的质量特征。
数据认证作为鉴定企业数据保护能力的一种工具,为网络交易提供了信用背书,帮助消费者快速识别相关产品或服务的数据保护水平,大大减轻了消费者的网络交易成本。数据认证不仅能够客观评价企业的个人数据保护程度,还能真实反映出企业运营是否合规以及对消费者是否负责的态度。加之,数据认证具有专业化的特征,其措施涵盖了法律文书、技术标准、公共教育、专家咨询和道德劝诫等,而认证标识的直观性使得企业产品质量、服务特征、技术和组织措施等“一览无余”。通过数据认证这一可视性标识以简单且直观的方式告知消费者,该项产品或服务已经过验证,企业在认证体系下承担着保护消费者个人数据的义务及责任。同时,作为认证机构亦应遵守法律规定,承担违法认证的法律责任,使消费者摆脱了利益被侵害时只能向数据控制者或处理者进行求偿的困境。也就是说,数据认证在一定程度上实现了消费者部分交易风险的转移,增强了消费者网络购物的便利性与交易的安全性。
简言之,数据认证作为一种便捷的证明方式,能够即时呈现企业数据保护能力及法律遵守情况。随着在线交易的日趋复杂,个人数据的保护需求也在不断升级,数据认证作为评判企业是否合规及数据保护能力的鉴定工具,呈现出高效化、灵活性、便捷性等特征,具有明显优势。正是因为数据认证属于自愿而非强制性认证,其能否得以有效运行还要依赖数据认证制度的规范性、透明度以及被认可度,而这些要素均与数据认证的监管模式密不可分。
二、域外数据认证模式考察
如何对数据认证过程进行有效监督,如何选择数据认证的认证主体,如何确保数据认证结果的真实性和客观性等问题,将直接关乎到数据认证市场的发展。综合欧美等国家及地区数据认证制度的发展历程和实践应用来看,数据认证可以分为国家认证、第三方认证和自我声明三种模式。国家认证根据政府公布的法律与技术标准确立一系列认证规范,在“硬法”层面上对认证过程及标准施以全程监管;第三方认证作为社会管理的重要形式为数据认证提供了效率背书;自我声明则以自我承诺方式保证企业产品或服务符合数据保护的技术要求和规范。
(一)国家认证
在数据认证方面具有丰富实践经验的法国和德国采用了国家认证模式,即以数据保护机构作为认证主体。
法国是由数据保护机构——国家信息与自由委员会(CNIL)负责制定认证标准、评估申请企业是否合格并决定是否授予认证证书。早在2004年,法国《数据保护法案》修正案就允许CNIL为“旨在保护个人数据的产品或程序”签发隐私印章(Label CNIL)。截止2017年9月,CNIL已经签发了91个认证证书。需要注意的是,要想取得CNIL隐私印章的企业,在数据保护方面不能仅仅是合规,而应该为“典范”。这也就意味着,该企业的数据处理实践远远超出了既定的一般合规标准,已经形成了该行业的示范效应,而国家隐私印章正是用来奖励个人数据保护的最佳实践者,给予他们相应的认可和荣誉。法国禁止CNIL收取认证费用。起初CNIL只能在专业组织的协助下进行评估标准的认定,而2014年3月颁布的《哈蒙法案》赋予CNIL更多权限,包括自行决定产品或程序是否有资格获得印章,基于投诉、制裁或消费者组织的请求启动认证标准的调整程序等。也就是说,《哈蒙法案》给予了CNIL在认证标准制定方面更大的自由度。目前,CNIL已经制定了针对数据保护培训、数据处理审计、数字保险箱和数据保护治理等四套数据认证的参考标准。
产生于2002年德国石荷州数据保护印章是基于石荷州法创建的较早期的数据保护印章,其认证主体是石荷州的数据保护专员(ULD),属于非常典型的国家认证,认证程序体现了公权力主导的色彩。石荷州数据保护印章主要针对IT产品,鼓励其遵守数据保护的相关要求和规定。2016年ULD设立了认证工作组,专门负责制定认证标准并对评估目标进行验证,以此为基础制定了一整套具体的、可操作性强的认证流程。首先由IT产品的制造商或供应商提出申请,并从ULD认可的专家名单中选择评估员,在双方签订合同后确定待完成的工作和费用。专家则根据所要评估的IT产品及其适用领域,从ULD制定的标准目录中选择与之相关的标准并据此进行评估。经过上述程序取得数据保护印章的企业而言,将意味着其IT产品符合数据保护要求。同时,考虑到IT产品商务环境的快速变化,数据认证印章的有效期仅为2年,并建立了印章的撤销机制。
石荷州数据保护印章并非强制性规定,为了激励更多的企业积极申请该印章,《石荷州数据保护法》特别规定,公共采购中获得数据保护印章的IT产品将给予“优先权”。可以看出,在德国石荷州数据认证程序中,数据保护机构发挥着主导作用,确立了国家监管体系下的标准数据保护模型,对认证申请者提出了数据机密性、不可链接性、完整性、可用性、透明度以及可干预性等要求,具有很强的执行性。
应该说,国家认证模式下,数据认证的质量能够得到较好的保障,很大程度上克服了第三方认证存在的固有利益冲突、执行机制缺乏等问题,特别是数据认证甚至突破了“及格”,力求达到“示范性”水准。而且,政府主导下数据认证的标准及内容,大都直接源于数据保护法,大大提升了数据认证的规范性。然而,国家认证也会带来官僚化、市场效率低等问题。如果认证是无偿提供的,对政府而言无疑是一笔不小的财政负担。同时,对于申请认证的企业特别是中小企业而言,认证标准过高,也让人望而却步。随着数据处理量的几何级骤增,作为严格限定人员和岗位的国家认证机构,也无法相应地增加人力资源以提升认证能力。此时,通过自我声明或第三方认证方式以证明数据控制者的数据合规能力则提供了其他选择方案。
(二)第三方认证:以美国网络隐私认证为例
第三方认证往往由独立的社会组织充当认证机构,通过自行制定的与数据保护法相一致的认证规则和基本规范“软法”,以证明数据控制者或处理者的数据保护能力。要不要申请认证以及选择哪家认证机构,取决于企业自身。第三方认证的“软”性约束特征,表现出更强的韧性和适应性,可以根据环境变化针对不同的认证对象、目标、认证方式进行及时调整,从而有效弥补了国家认证的滞后性,其中以美国网络隐私认证最为典型。
美国网络隐私认证发端于上世纪90年代中后期,为了适应互联网经济的兴起而产生的一种民间自律形式,目前市场上主要有四家(TRUSTe、ESRB Privacy Online、WebTrust及VeriSign)网络隐私印章的提供者。上述机构不仅证明企业的隐私保护合规能力,还承担着网络隐私纠纷解决功能。如,联邦贸易委员会(FTC)批准了包括TRUSTe、kidSAFE和Privo在内的少数隐私标志计划作为《儿童在线隐私保护法》(COPPA)和相关规则的投诉解决机构。第三方隐私认证不仅为本国企业服务,还承担国际组织相关准则的执行监督工作。如,亚太经合组织(APEC)发布跨境隐私规则体系(CBPR),确立了由第三方问责机构来评估和认证亚太经合组织区域内运营公司的隐私政策,以促使其遵循亚太经合组织隐私框架规则。其中,日本JIPDEC4和美国TRUSTe被指定为问责机构(CBPR Accountability Agents),负责审查CBPR的施行情况。

第三方认证在发挥其社会监督和纠纷解决作用的同时,亦呈现出自身的局限性。由于缺乏监管行动,每个网络隐私认证的提供者都根据自己制定的规则定义隐私印章、评判申请者是否符合特定的标准和要求,这也使得用户很难对隐私印章产生足够的信任。加之,数据认证的语言系统、企业对于数据认证的抵触情绪以及高额的认证费用等,都成为第三方数据认证的应用障碍。欧洲消费者中心网络也曾指出,数据认证就如“直面一片无法穿透的丛林”。
同时,第三方认证存在固有的利益冲突,更容易产生监管者捕获问题。第三方认证机构并无类似于国家认证的财政资金支持,而认证申请人同时也是认证机构的付费客户,想要生存维系正常运营,往往会放松认证门槛和标准以迁就认证申请人。相应地,在缺乏有效外部监管的情形下,申请人为了提升获得认证的几率,更愿意选择那些标准更低、宽容度更高的认证机构,从而产生“逆向选择”问题。以美国TRUSTe为例,微软、RealNetworks和America Online等公司都是其企业资助者,且都获得了TRUSTe标志的认证和授权,可以在其网站上使用TRUSTe标志。有客户向TrusTe投诉微软在其Windows 98系统中加载了认证码,能够在用户不知情的情形下收集个人信息。但TRUSTe并未认定微软违反其隐私认证承诺,理由是TRUSTe的认证仅针对微软官方网站Microsoft.com,而非特定的微软应用程序。同样地,在涉及RealNetwork公司类似投诉案件中,TRUSTe以相同理由拒绝撤销使用TRUSTe标识。
而且,由于缺乏强有力的执行机制,出现隐私侵权时认证机构并无直接解决争端的外部约束机制。与国家认证不同,认证机构并非政府执法机构,本身并无强制性执法权力,对于不合相关标准和规范的企业而言,其执行措施仅限于暂停或撤销认证证书、停止使用认证标志等,而这些措施对于企业特别是破产企业而言形同虚设。例如,2002年美国电子零售商玩具商场Toysmart在破产之时,企图出售客户数据以缓解自身的经济危机,TRUSTe无法采取行动阻止该出售行为而不得不向FTC寻求帮助。为了逃避责任,网站在隐私声明中甚至加入了出售客户数据的免责声明,本应对此予以监督的认证机构却因没有强制执行力而显得软弱无力。
此外,认证机构的法律责任无法落实,大大削弱了其权威性。法律上虽然规定了认证机构的审核评估义务,但其责任往往难以落实。消费者对于是否存在虚假或不实认证以及主观上是否存在过错很难举证证明,而且认证机构还会通过免责条款的形式免除认证后产品的损害责任,更加大了追责难度。司法判例中,也很少发现判令认证机构对于受损消费者承担法律责任的案例。责任方面的缺失,也导致认证机构在认证标准上的随意性更大,极大削弱了消费者对认证的信赖度。
(三)自我声明
相比国家认证与第三方认证,企业自我声明(self-declaration of conformity)更加灵活且自治程度更高。美国联邦通信委员会(FCC)允许供应商通过一个自我声明过程宣布其设备产品符合法律规定的标准和要求,只要提供配套的检测结果即可。自我声明允许生产商使用电子标签去替代物理标签,只需其产品文件中包含供应商符合性声明,不再需要向美国海关和边防局提交FCC 740报关表格,以使公众能够更方便的获取产品的必要证明。自我声明被认为是一个实现符合保证的贸易友好型方式,它允许供应商选择更便利的实验室而非FCC认可的实验室,可以实现检验产品在地点选择的灵活性,降低与设在国外指定实验室强制检测的不确定性以及相关的成本,大大节约了时间。
自我声明方式的优点就是便捷、灵活,成本低廉,但缺点亦十分突出,最典型案例就是美欧“安全港协定”以及“隐私盾协议”的失败。自我声明曾经被作为进入美欧实施跨境数据传输的一种证明方式。美国商务部与欧盟委员会达成先后达成“安全港协定”(2000)及“隐私盾协议”(2016),允许美国企业通过“自我声明”方式证明其保持了高标准的数据保护水平,可以将欧盟公民的数据传输至美国。正是因为采用自证方式,实质性降低了欧盟数据产业准入门槛的标准,而且相关争议由美国法律而非欧盟法律解决。但这种“自我声明”仅靠自我约束和承诺,缺乏有效的外部监督容易产生滥用问题,使得搭便车现象日益严重。美国企业可以“合法的”在两国间传输大量个人数据并在美国进行存储和分析,引发了欧洲民众对隐私保护和个人数据安全的普遍担忧。在此背景下,Max Schrems提起诉讼,欧洲法院先后于2015年宣告“安全港协定”及2020年宣告“隐私盾协议”无效。
国家认证、第三方认证和自我声明分别形成“政府—社会—市场”的“三元”架构,这三种认证模式,各有利弊、各具特色。应该说,国家认证确保了数据认证的统一性,但是所需成本与系统构建绝非一日之功,对政府而言也是不小的挑战;自我认证则更依赖企业自身的信誉保证,虽成本费用低,但其认证质量却难以保障;第三方认证模式则将认证机制建设成本分散到社会主体中去,尽管认证费用较高,但是有利于自行处理用户投诉及纠纷解决。在政府监管资源普遍不足、自我声明又严重缺乏公信力的情形下,催生了介乎国家认证与第三方认证之间的一种融合模式,即政府监管下的第三方认证,欧盟GDPR成为该领域的立法典范。
三、GDPR最新实践:政府监管下的第三方认证
1995年欧盟《个人数据保护指令》是欧盟首部个人数据保护综合法律规范,虽然提及自律原则,鼓励在国家和欧洲层面采用行为守则(Code of Conduct),但并未涉及数据认证或隐私标识等内容。正因为法律层面缺乏数据认证的相关规定,直接阻滞了欧洲数据认证市场的培育和发展。上述因素也促使GDPR的制定者下定决心在新的数据保护法律框架中引入数据认证机制。
在数据认证机制建设之初,曾经出现过多个版本,包括2012年欧洲委员会建议稿、2014年欧洲议会一读稿以及2015年欧盟理事会一读稿。在认证组织、约束力、监督机制以及法律后果等方面,每个版本的内容设计都有较大差异。2016年5月,欧盟GDPR最终文本彻底放弃自我监督模式,鼓励成员国数据保护机构、欧盟数据保护理事会和欧盟委员会建立数据保护认证机制:一方面,欧洲数据保护理事会应在GDPR第63条规定的一致性机制框架内批准数据保护认证机构的认证标准;另一方面,由成员国数据保护机构认可的第三方认证机构审核并签发认证标志或认证证书,数据保护机构则监督整个认证程序。
欧盟GDPR在数据认证机制设计上采取接纳、开放的态度,克服了现有模式的弊端,建立了数据保护机构监管下的第三方认证机制。第42和43条是数据保护认证机制的基石,并由第57、58、64、70和83条进行补充,明确了数据保护认证的目标,并对认证程序、认证机构及其监督机制提出了基本要求。
数据认证的目标,即鼓励成员国及其数据保护机构、欧盟数据理事会以及欧盟委员会在欧盟层面建立数据保护认证机制,以证明数据控制者和处理者的数据处理操作过程遵循GDPR的规定,同时考虑到中小微企业的特殊需求。而认证机构则应保持独立性,并具备认证方面的经验,建立公开透明的认证程序、定期审查和撤销认证机制。
与前述传统的数据认证模式不同之处在于,新模式下数据保护机构发挥着主导作用,负责全程监督并有权“干预”整个认证过程和认证结果。这种积极的“作为”监督,主要体现在以下三个方面:一是审核认证机构的主体资格。只有获得数据保护机构认可的认证机构才有资格开展数据认证活动。也就是说,经认可的认证机构,才被视为有能力执行GDPR规定的认证程序,具备相应的技术检测条件和颁发认证证书所需的专业知识和独立性。认证机构获得认证资质的最长时间是5年。如符合法律规定,则可以继续履行认证职能。如果认证机构不再满足上述要求,数据保护机构有权撤回认证资质。二是监督认证过程。认证机构经审核程序授予或撤销申请人的认证证书或标记,应当告知数据保护机构授予或撤销的认证的理由;如果认证条件或要求不再满足的话,数据保护机构有权命令认证机构不再签发证书。三是批准认证标准。数据认证标准必须经数据保护机构批准,才可由认证机构对外发布。
鉴于数据认证是自愿机制而非强制性认证,为了推动数据认证的广泛适用并提升公众的信赖和认可度,GDPR从以下四个方面进行了激励设计:
第一,获得数据认证是控制者数据保护能力的有力证明。GDPR第5条第2款引入了问责制原则,即数据控制者和处理者不仅要实际履行法律规定的数据保护义务,还需要向监管当局证明其合规性。从合规性转向问责制的过程中,数据认证起到里程碑式的作用。GDPR第24条和第25条规定了数据控制者和处理者的基本义务,并强调,数据控制者和处理者如果获得认证,将可以作为其履行法定义务的有力证明。第29条工作组在其问责制原则的意见中也指出,“关于问责的规定可以促进认证或标识的发展,以证明数据控制者已经采取了适当措施并进行了定期审查。”
同时,GDPR第32条列举了一份控制者及处理者应当执行的确保数据处理安全的措施清单,包括个人数据的匿名化和加密,个人数据处理系统的保密性、完整性、可用性和数据恢复能力,当出现物理或技术事故的情况下能够及时恢复数据访问,以及评估、检测上述措施的有效性等。如果数据控制者和处理者获得认证,就可以证明其数据处理达到了上述安全性要求。
第二,数据认证是实施制裁的重要考量因素。GDPR第83条第2款进一步规定,当数据保护机构决定是否施以行政处罚或罚款数额时,数据控制者是否取得认证将成为重要的考量因素。也就是说,虽然数据认证并不能约束监管者的执法行为,但却成为数据控制者证明其是否合规的一种有效方式,便于监管者评估企业是否存在违规违法行为。
第三,数据认证是企业竞争实力的重要体现。GDPR序言指出,涉及公共采购领域,可以优先考虑经认证的采取默认数据保护设计的控制者。特别是当企业提供的产品及服务进入他国市场时,其产品与服务质量必然要接受跨国检验和比较,取得数据认证意味着其产品或服务达到一定标准并遵循了相应程序,质量相对较高。
第四,数据认证是跨境数据传输的必要条件。GDPR对于个人数据跨境传输的前提是第三国提供“充分性保护”。在缺乏“充分性保护”的情形下,经过认证的数据控制者及处理者可以视为采取了“合理的保障措施”(46.2(f))。也就是说,获得数据认证可以成向第三国或国际组织传输数据的法定理由,且无需数据保护机构的任何具体授权。数据认证已经成为企业开展跨境数据传输的一种有效保障措施。
应该说,GDPR建立了第三方认证机构实施认证程序并由各个成员国的数据保护机构进行监督的新机制。确切地讲,认证程序的可选择性和自愿性结合数据监管当局的监督,这是一种介乎传统国家认证模式与纯粹第三方认证模式的中间形式,代表着一种新的治理形式,即国家与社会的共治模式。
当然,这种新型认证模式也并非完美,遭到了尖锐批评。有学者指出,这是一个相当复杂的认证机制,新制度的最终结果只是在这些对立的紧张关系之间达到了脆弱的平衡。数据认证的优势并不明显,即便获得认证也不能减轻数据控制者的法律责任。而且,GDPR提供数据认证的所谓“激励”措施,似乎不足以平衡企业获取认证的显性和隐性成本,尤其对于中小企业而言。同时,认证作为一项高度专业化的工作,大多数成员国的数据保护机构并没有能力和经验来进行有效的监管。GDPR对于认证标准、认证机构的法律责任等问题态度模糊,还要留待各成员国本国法来具体处理,不利于认证机制的实施。
总体而言,虽然还存在一些问题尚待解决,但GDPR所建立的新型认证模式,不仅较好的保留了第三方认证的灵活性(数据控制者和处理者可以自愿选择是否申请认证),还有效克服了国家认证所面临的执法资源严重不足的问题(毕竟数据保护机构并不总是拥有足够的资金、技术或时间来执行认证项目)。政府监管下第三方认证模式,恰好提供了这样一种制度安排,允许申请认证的企业参与其本身的合规过程管理,并承担执行合规的技术和成本费用支出,而认证机构、认证标准和认证质量的最终控制权则保留在数据监管当局。这种监管型认证模式也得到了普遍性支持,认为GDPR在数据认证机制方面的创新具有开拓性意义。
四、我国数据认证的模式选择与构建思路
随着个人信息的收集、使用、传输的数量急剧扩张和公民信息保护意识的觉醒,民众对于个人信息保护法律规范的需求和呼声也在不断增加。目前我国并无个人信息保护法的专门法律,《消费者权益保护法》《网络安全法》《民法典》《刑法》及其司法解释等部门法和《个人信息安全规范》(GB/T35273-2020)中已经有了个人信息保护方面的基本行为规范和国家技术标准,并初具规模体系,但尚未涉及数据认证。在2020年《数据安全法(草案)》及《个人信息保护法(草案)》两部数据信息领域的基本法中都提到了数据认证制度的建设,标志着数据认证制度作为个人信息保护和数据安全制度的保障制度之一,理应成为我国数据信息保护立法框架中不可或缺的重要组成部分。
(一)殊途同归:公权力监督下的第三方认证
早在1993年我国《产品质量法》就建立了企业质量体系认证制度和产品质量认证制度,明确了认证的自愿原则。仅对涉及国家安全、人体健康或者安全、动植物生命或者健康、环境保护的相关产品,实行强制认证制度。从组织架构和建制看,国家认证认可监督管理委员会(以下简称“认监委”)归口国家市场监督管理总局管理,是我国认证活动的监督机构。
我国现阶段认证制度采用的是政府和市场共管模式,政府负责制定认证基本规范和认证规则,并对认证机构的认证活动进行监督,发现认证机构存在违法认证活动时施以制裁性措施;第三方认证机构则负责认证标准的制定与认证过程、认证质量的把控。根据《产品质量法》《认证机构管理办法》的规定,认证机构为社会中介机构,依法设立并独立从事产品、服务和管理体系符合标准、相关技术规范要求的合格评定活动,并具有法人资格的证明机构。结合《认证认可条例》的规定,我国认证机构只能是独立于第一方(行政机关)和第二方(认证申请企业)的法人组织。但该管理办法并未明确认证机构的法人类别,即认证机构到底属于营利法人、非营利法人还是特殊法人抑或以上皆可。从实践情况看,我国的认证机构大都实行市场化运营,包括中国检验认证(集团)有限公司、中国船级社质量认证公司、中鉴认证有限责任公司等国内知名认证机构都属于营利性法人。
从西方认证发展进程来看,认证源于民间自发活动且并无公权特征,体现了“质量信用”担保的自愿性色彩。欧盟GDPR引入数据保护机构的外部监督模式,实现了从认证机构的主体资格至认证标准和认证过程的监督,克服了纯粹市场自律的弊端。这种公权力的“积极干预”,本身就是西方市场主导型治理机制的一个改变,即国家有形之手的适度干预。古典自由主义所奉行的国家“守夜人”的有限社会功能遭到了现实挑战,国家不仅要作为中立裁判者,更负有改善社会生活的责任。公权力介入社会治理的初衷不是为权利行使设置障碍和羁绊,而是要在必要限度内实现最大程度的公平。一旦逾越了这一限度,就会异化为腐败和专制的工具。也就是说,现行国家治理的理念仍以消极限制、适度干预为优,且干预的权力必须限制在法定框架内。这也从某种程度上解释了为什么西方国家扩大政府为代表的公权力时,往往阻力极大。反观中国,我国长期以来国家权力渗透到社会管理的方方面面,政府在社会生活中有着根深蒂固的权威性和主动性。
从我国认证体系的发展过程看,认证制度具有十分浓厚的“行政”色彩。由于制度层面的原因,我国首批设立的全国性行业协会都不是自发产生,基本上由政府主导或政府倡议成立,在机构、资产财务、人员管理等事务上与主管行政机关联系密切,甚至有些就是“一套人马、两块牌子”。我国行业协会充当政府部门在各个行业施行行政权力的某种“代理机构”,使其与其他角色产生一定的冲突,正是因为角色冲突,导致自律管理的独立性严重缺失,无法实现对成员利益和行业利益的维护,在一定程度上降低了行业协会在本领域内的公信力。同时,具有政府背景的国有认证机构(在认证市场上居主导地位),绝大多数既有公益属性,又有经营属性;既是裁判员,又是运动员,这既不符合市场发展,还会产生政企政事不分、部门垄断和行业壁垒等一系列问题,不利于整个认证行业的发展。
随着我国政府机构改革的进一步深化,之前隶属于政府的行业协会和认证机构逐渐独立出来。例如,我国环境标志的产品认证从原先的中国环境标志产品认证委员会转由中环联合认证有限公司承担。尽管该公司还带有一些“行政色彩”,在机构职能的转变上还有某种不彻底性,但是依然体现了我国认证机构逐渐走向中立的发展趋势。
2015年6月,为了厘清行政机关与行业协会的职能边界,中共中央办公厅和国务院办公厅联合印发《行业协会商会与行政机关脱钩总体方案》,其中中国认证认可协会就属于首批“拟脱钩”协会。这也代表了“第三部门”社会力量在我国经济发展中的崛起,充分释放了民间自治的活力,顺应了时代和市场的实际需要,改变了之前政府全面监管模式。
总体而言,美欧为代表的认证市场,是以第三方认证为主导、政府公权力逐步介入的发展过程。而我国认证市场的发展道路则完全不同,从公权力的全面干预居主导地位,到逐步让位于市场,让市场充分发挥其自我监督和调节的作用。但最终殊途同归,均采用了政府与社会的共管模式。应该说,这不是认证制度的偶然巧合,而是符合数据认证发展基本规律的监管模式,可以充分调动立法者、标准化组织、监管机构以及产品和服务提供商等为代表的多方力量,即立法者制定规则,标准化机构以技术标准对规则加以细化和补充,认证机构审核并证明产品和服务提供商的产品质量,政府监管当局监督认证机构和企业的行为,在政府与市场之间建立良性互动机制,充分彰显政府执法机构、认证机构及企业的合作治理精神。
(二)我国数据认证机制的构建思路
数据认证属于认证市场的新兴领域,可以在我国已有的认证制度基础上根据数据认证本身的特点加以补充和完善。在我国今后数据认证体制构建中,亟需从以下三个方面进行设计和规范。
1、保障数据认证基本规范和认证规则的科学性与全面性
监管部门在起草数据认证基本规范和认证规则时,应尽可能听取数据控制者和数据处理者、消费者、认证机构、行业协会等组织和机构代表意见,并与现有的国际标准化组织的标准相协调,以确保认证规范制定过程的民主性和科学性,使得其规范能够得到切实遵守和执行。同时,为了确保数据认证结果的公信力和证明力,不仅需要在认证证书颁发前认证机构对认证过程进行全程监控,评价申请企业是否符合认证规范和要求,还需要建立有效的“证后”跟踪监测机制,以保证通过认证的产品、服务及管理体系持续符合认证要求。若发现不符合认证要求的,认证机构有权暂停或者撤销其认证证书,并及时向社会公布。
鉴于目前数据认证的领域大都集中于电子商务、移动应用、云平台、IT和人工智能等高端技术领域。上述产品和服务的商务环境和技术标准变化极快,由此也决定了其数据认证的有效期不能太长,以2至3年为宜。
2、明确数据认证机构的法律责任
由于GDPR未对认证机构的法律责任作出具体规定,增加了数据认证制度的施行障碍。因此,在数据认证机构的责任方面,未来立法应予以明确规定。我国《产品质量法》第21条和第57条,不仅要求认证机构必须依法按照有关标准,客观、公正地出具认证证明,还对其施以较重的作为义务和赔偿责任,即 “产品质量认证机构出具的证明不实,造成损失的,应当承担相应的赔偿责任”,“对不符合认证标准而使用认证标志的产品,未依法要求其改正或者取消其使用认证标志资格的,对因产品不符合认证标准给消费者造成的损失,与产品的生产者、销售者承担连带责任”。对认证机构苛以严格的法律责任看似保护了消费者利益,但这样不区分主观状态的一概追责亦存在矫枉过正的嫌疑,不利于认证特别是数据认证这类新兴市场的建立和培育。关于数据认证机构的责任认定,建议可参照最高院《关于审理食品药品纠纷案件适用法律若干问题的规定》第13条的规定,认证机构基于“故意”或“过失”对其法律责任作进一步的区分和细化,如果“故意”出具虚假认证,造成消费者损害的,认证机构与生产者、销售者构成共同侵权,承担连带责任;如果因“过失”出具不实认证,则应当承担与过错程度相适应的补充赔偿责任。
3、建立数据认证领域的行业自律准则
行业自律准则在认证市场的发展,不仅是一种社会力量对公权力的制约,还发挥着法律规范的填补功能,即在法律法规尚未对数据认证作出明确的情形下,行业协会可以及时制定适合数据认证特点的自律准则。早在2007年中国认证认可协会就发布了《中国认证认可行业自律公约》,但仅框架性描述了自律原则和认证认可行业从业者的行为承诺,内容过于笼统,并未涉及具体行为规范,无法发挥行为指引作用。
行业自律准则是以技术中立作为保护投资和竞争的优先框架,其实质是在国家与企业之间建立一个中间层,将松散的、无序的个体变成积极的、自为的、有核心凝聚力的社会力量。在尚无数据认证法律规范之前,认证行业协会可制定数据认证的行业准则和技术标准,作为引导数据认证市场的重要准则。统一的数据认证标准可以大大降低高端技术产业的数据安全和隐私风险,并在一定程度上提升企业的数据保护能力,还可以促进数据认证行业的健康有序发展。
此外,数据认证并不属于强制性产品认证范畴,为了激励企业尽可能选择数据认证,需要在基本认证规范上做一定的鼓励性制度设计(如优先采购认证产品和服务、减轻处罚的重要考量因素等),并采取给予中小企业认证补贴等方式激励更多企业主动申请数据认证。同时,我国在建立数据认证制度时,还应注意与国际数据认证标准的协调,便于日后开展国家间数据认证的互认。
结语
数据认证制度设立的目的不是为个人数据保护提供一种一劳永逸的解决方案,但它构成了整个数据保护监督体系中的一个重要环节,向企业和消费者提供了一种选择方案,即通过数据认证方式来证明和监督企业的数据保护能力,从而达到强化个人数据保护的目的。从美欧等国家及地区的数据认证模式来看,每个国家都有自己的国情和本土特色,而其中如何保证数据认证在消费者群体的持久声誉和信赖一直是各国数据认证制度努力的方向。特别在技术发展如此之快的今天,向消费者提供可视性的数据认证标记以区分不同产品和服务中内嵌的数据保护技术水平的高低,已经成为一种迫切的现实需要。
我国数据认证尚未起步,《中国(上海)自由贸易试验区临港新片区管理办法》以地方政府规章的形式首次明确建立“数据保护能力认证机制”,为数据认证在上海临港新片区乃至全国的发展提供了空间和可能。在未来数据认证机制的具体构建规则设计上,除了确定数据认证的主体、对象、程序、标准等基本要素之外,还应保障数据认证的科学性和全面性,落实数据认证的监督监管主体及其责任。未来数据认证机制仍然在变与不变中动态发展前行——变化的是环境、技术、行业标准和具体规范,不变的是贯穿数据认证程序始终的尊重个人隐私及数据安全的价值诉求以及政府、社会、市场多元共治的治理理念。
注
1.参见周汉华:《探索激励相容的个人数据治理之道》,载《法学研究》2018年第2期,第4页。
2.关于个人信息(数据)权利的性质,有宪法权利说、财产权利说、人格权利说、新型的复合性权利说等;保护方式分为私法保护和公法保护等,大部分的讨论仍然停留在民法学体系范畴内。参见刘德良:《个人信息的财产权保护》,《法学研究》2007年第3期,第80页;龙卫球:《数据新型财产权构建及其体系研究》,载《政法论坛》2017年第4期,第63页;叶名怡:《论个人信息权的基本范畴》,载《清华法学》2018年第5期,第145页;杨立新:《个人信息:法益抑或民事权利》,载《法学论坛》2018年第1期,第34页;程啸:《论大数据时代的个人数据权利》,载《中国社会科学》2018年第3期,第121页;张新宝:《民法总则个人信息保护条文研究》,载《中外法学》2019年第1期;申卫星:《论数据用益权》,载《中国社会科学》2020年第11期,第110页。
3.International Standards Organization (ISO), see https://www.iso.org/conformity-assessment.html, last visited on 7 July, 2020.
4.European Data Protection Board. Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation 2016/679. p.5
5.参见张维迎:《信息、信任与法律》,生活、读书、新知三联书店2003年版,第3页。
6.Belson, J., Certification Marks. Sweet and Maxwell, 2017, p356.
7.Koutroumpis, P., A. Leiponen and L. D. W. Thomas, the nature of data, Working Paper, 2019.
8.Rott, P., Certification – Trust, Accountability, Liability, Springer International Publishing, 2019, p101-103.
9.See Johanna Carvais-Palut, the French Privacy Seal Scheme: A Successful Test, In : Rowena Rodrigues, Vagelis Papakonstantinou(eds), Privacy and Data Protection Seals. Information Technology and Law Series, vol 28. T.M.C. Asser Press, The Hague, 2018, p.50.
10.数据保护培训是为促进各机构遵守《法国数据保护法案》所要求的专业知识,实施必要的行为。这项标准使法国数据保护当局可决定是否授予培训课程隐私印章。在结合了培训活动的方式和培训课程的内容之后再做出评估。数据处理审计,其准则可判断处理的个人数据是否符合《法国数据保护法案》。对于个人数据的处理进行审核,但其范围并不限定于特定的地点、机构单位、活动、程序或时段,审核的范围同样包括了处理的类别或特定的处理方式。数字保险箱,是指向个人提供有关非物质化和安全储存资料的服务,其目的是将文件保存于数码媒体。数字保险箱必须确保存储数据的完整性、可用性和保密性,并采取适当的安全措施。数字保险箱与普通储存空间的不同之处在于,其所保存的数据及其元数据,仅供保险箱持有人及经持有人特别授权的自然人查阅。数据保护治理,是指制定一套最佳措施、规则及示范性做法来处理个人数据。这项隐私印章旨在协助企业实施相应措施以保护个人数据,并促使他们对所采取的措施担责。See Johanna Carvais-Palut, the French Privacy Seal Scheme: A Successful Test, In : Rowena Rodrigues, Vagelis Papakonstantinou(eds), Privacy and Data Protection Seals. Information Technology and Law Series, vol 28. T.M.C. Asser Press, The Hague, 2018, p.52.
11.ULD根据石荷州数据保护法制定的评估标准主要包括四个方面:一是IT产品的设计,特别是针对数据最少够用和透明度的内置数据保护设计;二是数据处理的合法性;三是用以数据泄露风险最小化的技术和组织措施;四是数据主体的权利,如访问权、更正权、同意和撤回同意权、反对权等。See Hansen M, Jensen M, Rost M, Protection Goals for Privacy Engineering. 2015 International Workshop on Privacy Engineering (IWPE), Security and Privacy Workshops (SPW), IEEE, 2015, pp 159–166.
12.The Standard Data Protection Model, https://www.datenschutzzentrum.de/uploads/sdm/SDM-Methodology_V1.0.pdf, Accessed 27 Jan 2020.
13.2018年3月,法国CNIL决定放弃认证活动,并将其交给私人认证机构负责管理,这也从一个侧面反映出国家认证模式的局限性。European Union Agency for Network and Information Security, Recommendations on European Data Protection Certification, Nov., 2017, Available at www.enisa.europa.eu, last accessed on April. 2, 2020.
14.Federal Trade Commission, Self-regulation and Privacy Online: A Report to Congress,1999, Available at https://www.ftc.gov/reports/self-regulation-privacy-onlinea-federal-trade-commission-reportcongress. last accessed on Jan. 15, 2020.
资料来源于笔者对美国各隐私印章官网的数据收集和整理。
15.European Consumer Centres Network, Trustmarks Report: Can I trust the trustmark? 16.http://ec.europa.eu/dgs/health_food-safety/information_sources/docs/trust_mark_report_2013_ en.pdf.
17.See Jeri Clausing, On-Line Privacy Group Decides Not to Pursue Microsoft Case, N.Y. TIMES, Mar. 23, 1999, at C5.
18.Culnan M, Georgetown Internet Privacy Policy Study. McDonough School of Business, Georgetown University, see http://www.msb.edu/faculty/culnan/gippshome.html, 2002, Accessed 22 Oct 2019.
19.在美国,鉴于认证机构并不从事销售产品或其他分销行为,也没有将缺陷产品投入商业流通,认证机构通常不承担保证责任或严格责任,参见许传玺:《美国产品责任制度研究》,法律出版社2013年版,第202页。
20.Barron, M. Creating Consumer Confidence or Confusion? The Role of Product Certification in the Market Today, Marquette Intellectual Properties Maw review Volume 11 Issue 2, 2007. p422.
21.参见张继红:《个人数据跨境传输限制及其解决方案》,载《东方法学》2018年第6期,第41页。
22.以2011年11月成立的EuroPrise为例,由于公众对数据认证缺乏信任,申请认证的企业数量并不多。2015年,EuroPriSe仅签发了7个隐私印章,其中6个都是再次认证。See Rodrigues R, Barnard-Wils D, Wright D, De Hert P, Papakonstantinou V, EU Privacy Seals Project: Inventory and Analysis of Privacy Certification Schemes. In: Beslay L, Dubois N (eds) European Commission Final Report Study Deliverable 1.4, 2016.
23.欧洲委员会提出了一个鼓励和承认数据保护认证机制重要性的文本框架,但并未明确认证机构、监督机构、认证标准及其法律后果,缺乏认证机制的具体规定。欧洲议会则对认证标准和认证机构做了详细规定,提出了由成员国数据保护机构和欧盟数据保护理事会共同管理下的欧洲数据保护印章(European Data Protection Seal)的模式。但欧盟理事会并未沿用欧洲议会的设计方案,提出了一种更加灵活的模式,即将认证过程分配给认可的私人认证机构,由私人认证机构决定是否授予相应的认证,认证过程也不受监管机构的监督。Guidelines 1/2018 on Certification and Identifying Certification Criteria in accordance with Articles 42 and 43 of the Regulation 2016/679, Adopted on 25 May 2018.
24.Article 29 Data Protection Working Party: Opinion 3/2010 on the principle of accountability, 13 July 2010, p.17, https://www.dataprotection.ro/servlet/ViewDocument?id=654. Accessed 3 Feb 2020.
25.Lachaud. E, Why the certification process defined in the General Data Protection Regulation cannot be successful, Computer Law & Security Review 32, 2016, p820.
26.有学者认为GDPR认证机制更适合规模大的公司,相比中小微企业,大公司更有资源负担认证的成本以显示其遵从GDPR的合规程度,并在侵权情况下尽可能减少行政罚款。See Eric Lachaud, The General Data Protection Regulation and the Rise of Certification as a Regulatory Instrument, Computer Law & Security Review 34, 2017, p253.
27.Wenning, R., Kirrane, S., Compliance Using Metadata, in: Semantic Applications. Springer, 2018, p32.
28.De Hert, P., V. Papakonstantinou, and I. Kamara, I., The Cloud Computing Standard ISO/IEC 27018 through the Lens of the EU Legislation on Data Protection. Computer Law & Security Review 32, 2016, p27.
29.See Peter Rott, Certification-Trust, Accountability, Liability, Springer, 2019, p109; and Barnard-Wills, D., De Hert, P., Papakonstantinou, V., The Future of Privacy Certification in Europe: An Exploration of Options under Article 42 of the GDPR AU - Rodrigues, Rowena. International Review of Law, Computers & Technology 30, 2016, p250.
30.我国《个人信息保护法(草案)》第38条规定,个人信息境外提供的前提条件之一,即“按照国家网信部门的规定经专业机构进行个人信息保护认证”。该条将个人信息保护认证的监管机构归口至国家网信部门,在事实上与我国目前的认证监管体系存在一定冲突,亟待立法明确。
31.参见高国钧:《第三方认证权的法律属性与基本特征——基于社会中间层主体理论的分析》,载《河北法学》2015年第11期,第167页。
32.参见[美]查尔斯·沃尔夫: 《市场或政府——权衡两种不完善的选择》,谢旭译,中国发展出版社1994年版,第175页。
33.首批设立的全国性行业协会292个,全部为政府创办,上海市134个行业协会中,一半以上的行业协会负责人由上级主管部门委托或行政部门兼职。参见沈恒超、胡文安等:《转型时期的行业协会——角色、功能与管理体制》,社会科学文献出版社2004年版,第87页。
34.参见张继红:《大数据时代个人信息保护行业自律的困境与出路》,载《财经法学》2018年第6期,第69页。
作为一种“软性”约束工具,数据认证可以快速评判不同企业的数据合规情况,实现数据保护质量的可视化评定。鉴于数据认证机制在数据治理中的重要作用,欧盟《通用数据保护条例》正式引入认证制度。传统数据认证模式涵盖国家认证、第三方认证和自我声明三种,形成“政府—社会—市场”的“三元”架构,但各有利弊。欧盟数据保护法律框架则在已有监督模式基础上创造性发展出政府监管下的数据认证模式,形成了国家与社会共管模式,彰显了多元合作治理精神。我国数据认证尚在初创期,可在已有认证机制基础上结合数据认证的特点从基本规范、法律责任以及行业自律等方面加以补充和完善。
● 引言 ●
大数据、人工智能等新兴科技对传统个人数据保护法制提出了新的挑战,事前的防御机制和事后的制裁措施远不能适应快速发展的数据处理应用场景。只有当数据保护法律规范的外在要求与数据控制者的内在需要相结合,个人数据才能真正得以充分保护。只有强调通过激励机制调整并调动市场主体的积极性与创造性,才能有效引导信息控制者主动参与个人数据保护内控治理机制的建设,让数据保护理念成为企业经营的核心价值观。数据认证就是这样一种以市场为导向的软性约束工具,与数据处理过程的安全性密切相关。2018年5月生效的欧盟《通用数据保护条例》(GDPR)正式引入“数据认证”,以激励企业尤其是中小企业建立数据处理的合规制度,由此提升个人数据的保护能力。
目前我国数据权属及分配规则尚不明晰,国内相关文献主要聚焦个人信息(数据)权利性质、保护方式等问题,少有述及数据认证。2019年7月,国务院《关于印发中国(上海)自由贸易试验区临港新片区总体方案的通知》首次提出“建立数据保护能力认证机制”,明确了数据认证是数据安全管理机制的重要组成部分。2020年7月公布的《数据安全法(草案)》第16条提出“国家促进数据安全检测评估、认证等服务的发展”,凸显了数据认证在提升我国数据安全保障方面的作用。2020年10月公布的《个人信息保护法(草案)》第38条将“个人信息保护认证”作为“个人信息出境”的前提条件之一,再次强调了数据认证的必要性。然而,数据认证制度如何构建设计、如何落地实施,现有规范都未作进一步的规定。数据认证在我国尚属于新生事物,了解数据认证的发展和应用、监管模式及可能存在的问题,对于推进我国数据认证的学理认知及实践应用具有重要意义。
一、数据认证的起源与应用
国际标准组织(ISO)对“认证”进行了统一界定:“由独立机构出具的书面保证(证书),以证明所提供的产品、服务或系统符合特定要求。”因此,认证也被称为“第三方合格证明”。这里的“证明”是指“发布一项声明,该声明是基于评审后认定某种产品或某项服务满足了特定要求”(ISO17000:2004)。 我国《认证认可条例》将“认证”定义为,认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。数据认证则是认证制度顺应大数据、人工智能等新技术发展的必然产物,获得认证的企业可以证明其在数据保护能力上具有明显的优势,符合一定的技术标准和规范要求。欧盟GDPR首次将数据认证纳入正式法律文本,为数据认证提供了适用的法律基础。为进一步细化GDPR的规定,欧盟数据保护理事会制定的《认证和认证标准指南》对“数据认证”这一概念进行了界定,即“有关数据控制者及处理者的数据处理规程的第三方证明”。质言之,数据认证属于一种“软性”约束工具,用以证明企业的数据保护能力符合一定的法律规范和技术标准。
应该说,任何交易的达成都是基于信任,“误解的交易也是因为所掌握的不确切的知识而信任的结果”。而在远离熟人社会的网络世界,交易的信任基础很大程度上取决于对交易信息的掌握。也就是说,交易信息的真实与否以及能否高效传递对交易决策将产生决定性影响。反之,如果信息不真实或者真实的信息传递效率过低,都会加大交易方的交易成本,抑或丧失绝佳交易机会导致利益受损。而数据认证制度恰好弥合了现有的信息鸿沟,大大提升了网络交易效率。数据认证制度的实质,就是通过技术手段和程序控制评判不同企业的数据合规情况及数据保护能力,实现企业数据保护质量的可视化评定。
第一,数据认证能够帮助数据保护机构评判数据控制者及处理者是否采取了充分且适当的数据保护措施,一定程度上减轻了数据监管者的监管成本。认证将一定标准的个人数据保护要求转化为符合企业需求的可操作性合规步骤及程序,能够帮助企业建立高效的数据保护管理体系和内控机制。同时,认证标准可以作为数据控制者和处理者的技术指南,能够有效帮助企业简化合规程序,促进数据保护原则在技术环境中的应用。对于中小企业和初创企业而言,并不像大中型企业那样设置专门的企业数据保护人员,其内部管理机制并不成熟,通过专业的认证机构可以帮助这些企业以更少的投入达到数据保护的合规要求。
加之,数据认证外观表现形式即为认证证书或印章,既可以电子的形式显示于网站之上,也可以直观地直接呈现在产品或服务上,用以证明产品或服务符合了一定的数据保护标准和要求。认证的公示效力可以使获得认证的企业在相关市场上能够迅速脱颖而出,凸显其竞争优势。
第二,数据认证可以简化数据合规能力的评估程序,为数据控制者选择适格的数据处理者提供便利。大数据背景下,云计算、物联网、人工智能的应用使得数据处理环节更加复杂,涉及的数据处理机构及其人员亦相应增加。数据处理者通常代表数据控制者处理个人数据,其处理责任由控制者承担。这也使得控制者在挑选数据处理者时慎之又慎。而经过认证的数据处理者,可以克服自证困局,能够有效证明其遵守了相关法律规定及维持了较高水准的数据保护能力。数据认证制度对数据处理人的数据处理过程实现了外部评估,形成其数据保护能力的客观评价机制,不仅有效降低了数据控制人选择合适的处理者的时间和成本,还能进一步促进控制者自身数据合规能力的提升。
第三,数据认证的出现增强了消费者网络购物的信心,提升了网络交易效率,推动了数字经济的蓬勃发展。互联网的广泛应用,极大改变了传统线下购物的风险承担模式。线上购物时,消费者通过视觉、触觉及产品和服务的亲身体验方式对产品及服务质量做出检验的可能性与精确性大大降低,通常只能借助于网络图片或视频来决定购买与否。实践中已经出现了大量诸如展示的图文与实物不符、产品质量未知、黑客攻击、隐私泄露等问题。消费者在付款后、获得实际产品或服务前就已经承担了部分产品及服务的质量风险。与之相类似,数据本身是一种经验产品,对数据质量的评价不能通过直接观察或使用数据发现,只能通过比较同类数据集的质量特征。
数据认证作为鉴定企业数据保护能力的一种工具,为网络交易提供了信用背书,帮助消费者快速识别相关产品或服务的数据保护水平,大大减轻了消费者的网络交易成本。数据认证不仅能够客观评价企业的个人数据保护程度,还能真实反映出企业运营是否合规以及对消费者是否负责的态度。加之,数据认证具有专业化的特征,其措施涵盖了法律文书、技术标准、公共教育、专家咨询和道德劝诫等,而认证标识的直观性使得企业产品质量、服务特征、技术和组织措施等“一览无余”。通过数据认证这一可视性标识以简单且直观的方式告知消费者,该项产品或服务已经过验证,企业在认证体系下承担着保护消费者个人数据的义务及责任。同时,作为认证机构亦应遵守法律规定,承担违法认证的法律责任,使消费者摆脱了利益被侵害时只能向数据控制者或处理者进行求偿的困境。也就是说,数据认证在一定程度上实现了消费者部分交易风险的转移,增强了消费者网络购物的便利性与交易的安全性。
简言之,数据认证作为一种便捷的证明方式,能够即时呈现企业数据保护能力及法律遵守情况。随着在线交易的日趋复杂,个人数据的保护需求也在不断升级,数据认证作为评判企业是否合规及数据保护能力的鉴定工具,呈现出高效化、灵活性、便捷性等特征,具有明显优势。正是因为数据认证属于自愿而非强制性认证,其能否得以有效运行还要依赖数据认证制度的规范性、透明度以及被认可度,而这些要素均与数据认证的监管模式密不可分。
二、域外数据认证模式考察
如何对数据认证过程进行有效监督,如何选择数据认证的认证主体,如何确保数据认证结果的真实性和客观性等问题,将直接关乎到数据认证市场的发展。综合欧美等国家及地区数据认证制度的发展历程和实践应用来看,数据认证可以分为国家认证、第三方认证和自我声明三种模式。国家认证根据政府公布的法律与技术标准确立一系列认证规范,在“硬法”层面上对认证过程及标准施以全程监管;第三方认证作为社会管理的重要形式为数据认证提供了效率背书;自我声明则以自我承诺方式保证企业产品或服务符合数据保护的技术要求和规范。
(一)国家认证
在数据认证方面具有丰富实践经验的法国和德国采用了国家认证模式,即以数据保护机构作为认证主体。
法国是由数据保护机构——国家信息与自由委员会(CNIL)负责制定认证标准、评估申请企业是否合格并决定是否授予认证证书。早在2004年,法国《数据保护法案》修正案就允许CNIL为“旨在保护个人数据的产品或程序”签发隐私印章(Label CNIL)。截止2017年9月,CNIL已经签发了91个认证证书。需要注意的是,要想取得CNIL隐私印章的企业,在数据保护方面不能仅仅是合规,而应该为“典范”。这也就意味着,该企业的数据处理实践远远超出了既定的一般合规标准,已经形成了该行业的示范效应,而国家隐私印章正是用来奖励个人数据保护的最佳实践者,给予他们相应的认可和荣誉。法国禁止CNIL收取认证费用。起初CNIL只能在专业组织的协助下进行评估标准的认定,而2014年3月颁布的《哈蒙法案》赋予CNIL更多权限,包括自行决定产品或程序是否有资格获得印章,基于投诉、制裁或消费者组织的请求启动认证标准的调整程序等。也就是说,《哈蒙法案》给予了CNIL在认证标准制定方面更大的自由度。目前,CNIL已经制定了针对数据保护培训、数据处理审计、数字保险箱和数据保护治理等四套数据认证的参考标准。
产生于2002年德国石荷州数据保护印章是基于石荷州法创建的较早期的数据保护印章,其认证主体是石荷州的数据保护专员(ULD),属于非常典型的国家认证,认证程序体现了公权力主导的色彩。石荷州数据保护印章主要针对IT产品,鼓励其遵守数据保护的相关要求和规定。2016年ULD设立了认证工作组,专门负责制定认证标准并对评估目标进行验证,以此为基础制定了一整套具体的、可操作性强的认证流程。首先由IT产品的制造商或供应商提出申请,并从ULD认可的专家名单中选择评估员,在双方签订合同后确定待完成的工作和费用。专家则根据所要评估的IT产品及其适用领域,从ULD制定的标准目录中选择与之相关的标准并据此进行评估。经过上述程序取得数据保护印章的企业而言,将意味着其IT产品符合数据保护要求。同时,考虑到IT产品商务环境的快速变化,数据认证印章的有效期仅为2年,并建立了印章的撤销机制。
石荷州数据保护印章并非强制性规定,为了激励更多的企业积极申请该印章,《石荷州数据保护法》特别规定,公共采购中获得数据保护印章的IT产品将给予“优先权”。可以看出,在德国石荷州数据认证程序中,数据保护机构发挥着主导作用,确立了国家监管体系下的标准数据保护模型,对认证申请者提出了数据机密性、不可链接性、完整性、可用性、透明度以及可干预性等要求,具有很强的执行性。
应该说,国家认证模式下,数据认证的质量能够得到较好的保障,很大程度上克服了第三方认证存在的固有利益冲突、执行机制缺乏等问题,特别是数据认证甚至突破了“及格”,力求达到“示范性”水准。而且,政府主导下数据认证的标准及内容,大都直接源于数据保护法,大大提升了数据认证的规范性。然而,国家认证也会带来官僚化、市场效率低等问题。如果认证是无偿提供的,对政府而言无疑是一笔不小的财政负担。同时,对于申请认证的企业特别是中小企业而言,认证标准过高,也让人望而却步。随着数据处理量的几何级骤增,作为严格限定人员和岗位的国家认证机构,也无法相应地增加人力资源以提升认证能力。此时,通过自我声明或第三方认证方式以证明数据控制者的数据合规能力则提供了其他选择方案。
(二)第三方认证:以美国网络隐私认证为例
第三方认证往往由独立的社会组织充当认证机构,通过自行制定的与数据保护法相一致的认证规则和基本规范“软法”,以证明数据控制者或处理者的数据保护能力。要不要申请认证以及选择哪家认证机构,取决于企业自身。第三方认证的“软”性约束特征,表现出更强的韧性和适应性,可以根据环境变化针对不同的认证对象、目标、认证方式进行及时调整,从而有效弥补了国家认证的滞后性,其中以美国网络隐私认证最为典型。
美国网络隐私认证发端于上世纪90年代中后期,为了适应互联网经济的兴起而产生的一种民间自律形式,目前市场上主要有四家(TRUSTe、ESRB Privacy Online、WebTrust及VeriSign)网络隐私印章的提供者。上述机构不仅证明企业的隐私保护合规能力,还承担着网络隐私纠纷解决功能。如,联邦贸易委员会(FTC)批准了包括TRUSTe、kidSAFE和Privo在内的少数隐私标志计划作为《儿童在线隐私保护法》(COPPA)和相关规则的投诉解决机构。第三方隐私认证不仅为本国企业服务,还承担国际组织相关准则的执行监督工作。如,亚太经合组织(APEC)发布跨境隐私规则体系(CBPR),确立了由第三方问责机构来评估和认证亚太经合组织区域内运营公司的隐私政策,以促使其遵循亚太经合组织隐私框架规则。其中,日本JIPDEC4和美国TRUSTe被指定为问责机构(CBPR Accountability Agents),负责审查CBPR的施行情况。

第三方认证在发挥其社会监督和纠纷解决作用的同时,亦呈现出自身的局限性。由于缺乏监管行动,每个网络隐私认证的提供者都根据自己制定的规则定义隐私印章、评判申请者是否符合特定的标准和要求,这也使得用户很难对隐私印章产生足够的信任。加之,数据认证的语言系统、企业对于数据认证的抵触情绪以及高额的认证费用等,都成为第三方数据认证的应用障碍。欧洲消费者中心网络也曾指出,数据认证就如“直面一片无法穿透的丛林”。
同时,第三方认证存在固有的利益冲突,更容易产生监管者捕获问题。第三方认证机构并无类似于国家认证的财政资金支持,而认证申请人同时也是认证机构的付费客户,想要生存维系正常运营,往往会放松认证门槛和标准以迁就认证申请人。相应地,在缺乏有效外部监管的情形下,申请人为了提升获得认证的几率,更愿意选择那些标准更低、宽容度更高的认证机构,从而产生“逆向选择”问题。以美国TRUSTe为例,微软、RealNetworks和America Online等公司都是其企业资助者,且都获得了TRUSTe标志的认证和授权,可以在其网站上使用TRUSTe标志。有客户向TrusTe投诉微软在其Windows 98系统中加载了认证码,能够在用户不知情的情形下收集个人信息。但TRUSTe并未认定微软违反其隐私认证承诺,理由是TRUSTe的认证仅针对微软官方网站Microsoft.com,而非特定的微软应用程序。同样地,在涉及RealNetwork公司类似投诉案件中,TRUSTe以相同理由拒绝撤销使用TRUSTe标识。
而且,由于缺乏强有力的执行机制,出现隐私侵权时认证机构并无直接解决争端的外部约束机制。与国家认证不同,认证机构并非政府执法机构,本身并无强制性执法权力,对于不合相关标准和规范的企业而言,其执行措施仅限于暂停或撤销认证证书、停止使用认证标志等,而这些措施对于企业特别是破产企业而言形同虚设。例如,2002年美国电子零售商玩具商场Toysmart在破产之时,企图出售客户数据以缓解自身的经济危机,TRUSTe无法采取行动阻止该出售行为而不得不向FTC寻求帮助。为了逃避责任,网站在隐私声明中甚至加入了出售客户数据的免责声明,本应对此予以监督的认证机构却因没有强制执行力而显得软弱无力。
此外,认证机构的法律责任无法落实,大大削弱了其权威性。法律上虽然规定了认证机构的审核评估义务,但其责任往往难以落实。消费者对于是否存在虚假或不实认证以及主观上是否存在过错很难举证证明,而且认证机构还会通过免责条款的形式免除认证后产品的损害责任,更加大了追责难度。司法判例中,也很少发现判令认证机构对于受损消费者承担法律责任的案例。责任方面的缺失,也导致认证机构在认证标准上的随意性更大,极大削弱了消费者对认证的信赖度。
(三)自我声明
相比国家认证与第三方认证,企业自我声明(self-declaration of conformity)更加灵活且自治程度更高。美国联邦通信委员会(FCC)允许供应商通过一个自我声明过程宣布其设备产品符合法律规定的标准和要求,只要提供配套的检测结果即可。自我声明允许生产商使用电子标签去替代物理标签,只需其产品文件中包含供应商符合性声明,不再需要向美国海关和边防局提交FCC 740报关表格,以使公众能够更方便的获取产品的必要证明。自我声明被认为是一个实现符合保证的贸易友好型方式,它允许供应商选择更便利的实验室而非FCC认可的实验室,可以实现检验产品在地点选择的灵活性,降低与设在国外指定实验室强制检测的不确定性以及相关的成本,大大节约了时间。
自我声明方式的优点就是便捷、灵活,成本低廉,但缺点亦十分突出,最典型案例就是美欧“安全港协定”以及“隐私盾协议”的失败。自我声明曾经被作为进入美欧实施跨境数据传输的一种证明方式。美国商务部与欧盟委员会达成先后达成“安全港协定”(2000)及“隐私盾协议”(2016),允许美国企业通过“自我声明”方式证明其保持了高标准的数据保护水平,可以将欧盟公民的数据传输至美国。正是因为采用自证方式,实质性降低了欧盟数据产业准入门槛的标准,而且相关争议由美国法律而非欧盟法律解决。但这种“自我声明”仅靠自我约束和承诺,缺乏有效的外部监督容易产生滥用问题,使得搭便车现象日益严重。美国企业可以“合法的”在两国间传输大量个人数据并在美国进行存储和分析,引发了欧洲民众对隐私保护和个人数据安全的普遍担忧。在此背景下,Max Schrems提起诉讼,欧洲法院先后于2015年宣告“安全港协定”及2020年宣告“隐私盾协议”无效。
国家认证、第三方认证和自我声明分别形成“政府—社会—市场”的“三元”架构,这三种认证模式,各有利弊、各具特色。应该说,国家认证确保了数据认证的统一性,但是所需成本与系统构建绝非一日之功,对政府而言也是不小的挑战;自我认证则更依赖企业自身的信誉保证,虽成本费用低,但其认证质量却难以保障;第三方认证模式则将认证机制建设成本分散到社会主体中去,尽管认证费用较高,但是有利于自行处理用户投诉及纠纷解决。在政府监管资源普遍不足、自我声明又严重缺乏公信力的情形下,催生了介乎国家认证与第三方认证之间的一种融合模式,即政府监管下的第三方认证,欧盟GDPR成为该领域的立法典范。
三、GDPR最新实践:政府监管下的第三方认证
1995年欧盟《个人数据保护指令》是欧盟首部个人数据保护综合法律规范,虽然提及自律原则,鼓励在国家和欧洲层面采用行为守则(Code of Conduct),但并未涉及数据认证或隐私标识等内容。正因为法律层面缺乏数据认证的相关规定,直接阻滞了欧洲数据认证市场的培育和发展。上述因素也促使GDPR的制定者下定决心在新的数据保护法律框架中引入数据认证机制。
在数据认证机制建设之初,曾经出现过多个版本,包括2012年欧洲委员会建议稿、2014年欧洲议会一读稿以及2015年欧盟理事会一读稿。在认证组织、约束力、监督机制以及法律后果等方面,每个版本的内容设计都有较大差异。2016年5月,欧盟GDPR最终文本彻底放弃自我监督模式,鼓励成员国数据保护机构、欧盟数据保护理事会和欧盟委员会建立数据保护认证机制:一方面,欧洲数据保护理事会应在GDPR第63条规定的一致性机制框架内批准数据保护认证机构的认证标准;另一方面,由成员国数据保护机构认可的第三方认证机构审核并签发认证标志或认证证书,数据保护机构则监督整个认证程序。
欧盟GDPR在数据认证机制设计上采取接纳、开放的态度,克服了现有模式的弊端,建立了数据保护机构监管下的第三方认证机制。第42和43条是数据保护认证机制的基石,并由第57、58、64、70和83条进行补充,明确了数据保护认证的目标,并对认证程序、认证机构及其监督机制提出了基本要求。
数据认证的目标,即鼓励成员国及其数据保护机构、欧盟数据理事会以及欧盟委员会在欧盟层面建立数据保护认证机制,以证明数据控制者和处理者的数据处理操作过程遵循GDPR的规定,同时考虑到中小微企业的特殊需求。而认证机构则应保持独立性,并具备认证方面的经验,建立公开透明的认证程序、定期审查和撤销认证机制。
与前述传统的数据认证模式不同之处在于,新模式下数据保护机构发挥着主导作用,负责全程监督并有权“干预”整个认证过程和认证结果。这种积极的“作为”监督,主要体现在以下三个方面:一是审核认证机构的主体资格。只有获得数据保护机构认可的认证机构才有资格开展数据认证活动。也就是说,经认可的认证机构,才被视为有能力执行GDPR规定的认证程序,具备相应的技术检测条件和颁发认证证书所需的专业知识和独立性。认证机构获得认证资质的最长时间是5年。如符合法律规定,则可以继续履行认证职能。如果认证机构不再满足上述要求,数据保护机构有权撤回认证资质。二是监督认证过程。认证机构经审核程序授予或撤销申请人的认证证书或标记,应当告知数据保护机构授予或撤销的认证的理由;如果认证条件或要求不再满足的话,数据保护机构有权命令认证机构不再签发证书。三是批准认证标准。数据认证标准必须经数据保护机构批准,才可由认证机构对外发布。
鉴于数据认证是自愿机制而非强制性认证,为了推动数据认证的广泛适用并提升公众的信赖和认可度,GDPR从以下四个方面进行了激励设计:
第一,获得数据认证是控制者数据保护能力的有力证明。GDPR第5条第2款引入了问责制原则,即数据控制者和处理者不仅要实际履行法律规定的数据保护义务,还需要向监管当局证明其合规性。从合规性转向问责制的过程中,数据认证起到里程碑式的作用。GDPR第24条和第25条规定了数据控制者和处理者的基本义务,并强调,数据控制者和处理者如果获得认证,将可以作为其履行法定义务的有力证明。第29条工作组在其问责制原则的意见中也指出,“关于问责的规定可以促进认证或标识的发展,以证明数据控制者已经采取了适当措施并进行了定期审查。”
同时,GDPR第32条列举了一份控制者及处理者应当执行的确保数据处理安全的措施清单,包括个人数据的匿名化和加密,个人数据处理系统的保密性、完整性、可用性和数据恢复能力,当出现物理或技术事故的情况下能够及时恢复数据访问,以及评估、检测上述措施的有效性等。如果数据控制者和处理者获得认证,就可以证明其数据处理达到了上述安全性要求。
第二,数据认证是实施制裁的重要考量因素。GDPR第83条第2款进一步规定,当数据保护机构决定是否施以行政处罚或罚款数额时,数据控制者是否取得认证将成为重要的考量因素。也就是说,虽然数据认证并不能约束监管者的执法行为,但却成为数据控制者证明其是否合规的一种有效方式,便于监管者评估企业是否存在违规违法行为。
第三,数据认证是企业竞争实力的重要体现。GDPR序言指出,涉及公共采购领域,可以优先考虑经认证的采取默认数据保护设计的控制者。特别是当企业提供的产品及服务进入他国市场时,其产品与服务质量必然要接受跨国检验和比较,取得数据认证意味着其产品或服务达到一定标准并遵循了相应程序,质量相对较高。
第四,数据认证是跨境数据传输的必要条件。GDPR对于个人数据跨境传输的前提是第三国提供“充分性保护”。在缺乏“充分性保护”的情形下,经过认证的数据控制者及处理者可以视为采取了“合理的保障措施”(46.2(f))。也就是说,获得数据认证可以成向第三国或国际组织传输数据的法定理由,且无需数据保护机构的任何具体授权。数据认证已经成为企业开展跨境数据传输的一种有效保障措施。
应该说,GDPR建立了第三方认证机构实施认证程序并由各个成员国的数据保护机构进行监督的新机制。确切地讲,认证程序的可选择性和自愿性结合数据监管当局的监督,这是一种介乎传统国家认证模式与纯粹第三方认证模式的中间形式,代表着一种新的治理形式,即国家与社会的共治模式。
当然,这种新型认证模式也并非完美,遭到了尖锐批评。有学者指出,这是一个相当复杂的认证机制,新制度的最终结果只是在这些对立的紧张关系之间达到了脆弱的平衡。数据认证的优势并不明显,即便获得认证也不能减轻数据控制者的法律责任。而且,GDPR提供数据认证的所谓“激励”措施,似乎不足以平衡企业获取认证的显性和隐性成本,尤其对于中小企业而言。同时,认证作为一项高度专业化的工作,大多数成员国的数据保护机构并没有能力和经验来进行有效的监管。GDPR对于认证标准、认证机构的法律责任等问题态度模糊,还要留待各成员国本国法来具体处理,不利于认证机制的实施。
总体而言,虽然还存在一些问题尚待解决,但GDPR所建立的新型认证模式,不仅较好的保留了第三方认证的灵活性(数据控制者和处理者可以自愿选择是否申请认证),还有效克服了国家认证所面临的执法资源严重不足的问题(毕竟数据保护机构并不总是拥有足够的资金、技术或时间来执行认证项目)。政府监管下第三方认证模式,恰好提供了这样一种制度安排,允许申请认证的企业参与其本身的合规过程管理,并承担执行合规的技术和成本费用支出,而认证机构、认证标准和认证质量的最终控制权则保留在数据监管当局。这种监管型认证模式也得到了普遍性支持,认为GDPR在数据认证机制方面的创新具有开拓性意义。
四、我国数据认证的模式选择与构建思路
随着个人信息的收集、使用、传输的数量急剧扩张和公民信息保护意识的觉醒,民众对于个人信息保护法律规范的需求和呼声也在不断增加。目前我国并无个人信息保护法的专门法律,《消费者权益保护法》《网络安全法》《民法典》《刑法》及其司法解释等部门法和《个人信息安全规范》(GB/T35273-2020)中已经有了个人信息保护方面的基本行为规范和国家技术标准,并初具规模体系,但尚未涉及数据认证。在2020年《数据安全法(草案)》及《个人信息保护法(草案)》两部数据信息领域的基本法中都提到了数据认证制度的建设,标志着数据认证制度作为个人信息保护和数据安全制度的保障制度之一,理应成为我国数据信息保护立法框架中不可或缺的重要组成部分。
(一)殊途同归:公权力监督下的第三方认证
早在1993年我国《产品质量法》就建立了企业质量体系认证制度和产品质量认证制度,明确了认证的自愿原则。仅对涉及国家安全、人体健康或者安全、动植物生命或者健康、环境保护的相关产品,实行强制认证制度。从组织架构和建制看,国家认证认可监督管理委员会(以下简称“认监委”)归口国家市场监督管理总局管理,是我国认证活动的监督机构。
我国现阶段认证制度采用的是政府和市场共管模式,政府负责制定认证基本规范和认证规则,并对认证机构的认证活动进行监督,发现认证机构存在违法认证活动时施以制裁性措施;第三方认证机构则负责认证标准的制定与认证过程、认证质量的把控。根据《产品质量法》《认证机构管理办法》的规定,认证机构为社会中介机构,依法设立并独立从事产品、服务和管理体系符合标准、相关技术规范要求的合格评定活动,并具有法人资格的证明机构。结合《认证认可条例》的规定,我国认证机构只能是独立于第一方(行政机关)和第二方(认证申请企业)的法人组织。但该管理办法并未明确认证机构的法人类别,即认证机构到底属于营利法人、非营利法人还是特殊法人抑或以上皆可。从实践情况看,我国的认证机构大都实行市场化运营,包括中国检验认证(集团)有限公司、中国船级社质量认证公司、中鉴认证有限责任公司等国内知名认证机构都属于营利性法人。
从西方认证发展进程来看,认证源于民间自发活动且并无公权特征,体现了“质量信用”担保的自愿性色彩。欧盟GDPR引入数据保护机构的外部监督模式,实现了从认证机构的主体资格至认证标准和认证过程的监督,克服了纯粹市场自律的弊端。这种公权力的“积极干预”,本身就是西方市场主导型治理机制的一个改变,即国家有形之手的适度干预。古典自由主义所奉行的国家“守夜人”的有限社会功能遭到了现实挑战,国家不仅要作为中立裁判者,更负有改善社会生活的责任。公权力介入社会治理的初衷不是为权利行使设置障碍和羁绊,而是要在必要限度内实现最大程度的公平。一旦逾越了这一限度,就会异化为腐败和专制的工具。也就是说,现行国家治理的理念仍以消极限制、适度干预为优,且干预的权力必须限制在法定框架内。这也从某种程度上解释了为什么西方国家扩大政府为代表的公权力时,往往阻力极大。反观中国,我国长期以来国家权力渗透到社会管理的方方面面,政府在社会生活中有着根深蒂固的权威性和主动性。
从我国认证体系的发展过程看,认证制度具有十分浓厚的“行政”色彩。由于制度层面的原因,我国首批设立的全国性行业协会都不是自发产生,基本上由政府主导或政府倡议成立,在机构、资产财务、人员管理等事务上与主管行政机关联系密切,甚至有些就是“一套人马、两块牌子”。我国行业协会充当政府部门在各个行业施行行政权力的某种“代理机构”,使其与其他角色产生一定的冲突,正是因为角色冲突,导致自律管理的独立性严重缺失,无法实现对成员利益和行业利益的维护,在一定程度上降低了行业协会在本领域内的公信力。同时,具有政府背景的国有认证机构(在认证市场上居主导地位),绝大多数既有公益属性,又有经营属性;既是裁判员,又是运动员,这既不符合市场发展,还会产生政企政事不分、部门垄断和行业壁垒等一系列问题,不利于整个认证行业的发展。
随着我国政府机构改革的进一步深化,之前隶属于政府的行业协会和认证机构逐渐独立出来。例如,我国环境标志的产品认证从原先的中国环境标志产品认证委员会转由中环联合认证有限公司承担。尽管该公司还带有一些“行政色彩”,在机构职能的转变上还有某种不彻底性,但是依然体现了我国认证机构逐渐走向中立的发展趋势。
2015年6月,为了厘清行政机关与行业协会的职能边界,中共中央办公厅和国务院办公厅联合印发《行业协会商会与行政机关脱钩总体方案》,其中中国认证认可协会就属于首批“拟脱钩”协会。这也代表了“第三部门”社会力量在我国经济发展中的崛起,充分释放了民间自治的活力,顺应了时代和市场的实际需要,改变了之前政府全面监管模式。
总体而言,美欧为代表的认证市场,是以第三方认证为主导、政府公权力逐步介入的发展过程。而我国认证市场的发展道路则完全不同,从公权力的全面干预居主导地位,到逐步让位于市场,让市场充分发挥其自我监督和调节的作用。但最终殊途同归,均采用了政府与社会的共管模式。应该说,这不是认证制度的偶然巧合,而是符合数据认证发展基本规律的监管模式,可以充分调动立法者、标准化组织、监管机构以及产品和服务提供商等为代表的多方力量,即立法者制定规则,标准化机构以技术标准对规则加以细化和补充,认证机构审核并证明产品和服务提供商的产品质量,政府监管当局监督认证机构和企业的行为,在政府与市场之间建立良性互动机制,充分彰显政府执法机构、认证机构及企业的合作治理精神。
(二)我国数据认证机制的构建思路
数据认证属于认证市场的新兴领域,可以在我国已有的认证制度基础上根据数据认证本身的特点加以补充和完善。在我国今后数据认证体制构建中,亟需从以下三个方面进行设计和规范。
1、保障数据认证基本规范和认证规则的科学性与全面性
监管部门在起草数据认证基本规范和认证规则时,应尽可能听取数据控制者和数据处理者、消费者、认证机构、行业协会等组织和机构代表意见,并与现有的国际标准化组织的标准相协调,以确保认证规范制定过程的民主性和科学性,使得其规范能够得到切实遵守和执行。同时,为了确保数据认证结果的公信力和证明力,不仅需要在认证证书颁发前认证机构对认证过程进行全程监控,评价申请企业是否符合认证规范和要求,还需要建立有效的“证后”跟踪监测机制,以保证通过认证的产品、服务及管理体系持续符合认证要求。若发现不符合认证要求的,认证机构有权暂停或者撤销其认证证书,并及时向社会公布。
鉴于目前数据认证的领域大都集中于电子商务、移动应用、云平台、IT和人工智能等高端技术领域。上述产品和服务的商务环境和技术标准变化极快,由此也决定了其数据认证的有效期不能太长,以2至3年为宜。
2、明确数据认证机构的法律责任
由于GDPR未对认证机构的法律责任作出具体规定,增加了数据认证制度的施行障碍。因此,在数据认证机构的责任方面,未来立法应予以明确规定。我国《产品质量法》第21条和第57条,不仅要求认证机构必须依法按照有关标准,客观、公正地出具认证证明,还对其施以较重的作为义务和赔偿责任,即 “产品质量认证机构出具的证明不实,造成损失的,应当承担相应的赔偿责任”,“对不符合认证标准而使用认证标志的产品,未依法要求其改正或者取消其使用认证标志资格的,对因产品不符合认证标准给消费者造成的损失,与产品的生产者、销售者承担连带责任”。对认证机构苛以严格的法律责任看似保护了消费者利益,但这样不区分主观状态的一概追责亦存在矫枉过正的嫌疑,不利于认证特别是数据认证这类新兴市场的建立和培育。关于数据认证机构的责任认定,建议可参照最高院《关于审理食品药品纠纷案件适用法律若干问题的规定》第13条的规定,认证机构基于“故意”或“过失”对其法律责任作进一步的区分和细化,如果“故意”出具虚假认证,造成消费者损害的,认证机构与生产者、销售者构成共同侵权,承担连带责任;如果因“过失”出具不实认证,则应当承担与过错程度相适应的补充赔偿责任。
3、建立数据认证领域的行业自律准则
行业自律准则在认证市场的发展,不仅是一种社会力量对公权力的制约,还发挥着法律规范的填补功能,即在法律法规尚未对数据认证作出明确的情形下,行业协会可以及时制定适合数据认证特点的自律准则。早在2007年中国认证认可协会就发布了《中国认证认可行业自律公约》,但仅框架性描述了自律原则和认证认可行业从业者的行为承诺,内容过于笼统,并未涉及具体行为规范,无法发挥行为指引作用。
行业自律准则是以技术中立作为保护投资和竞争的优先框架,其实质是在国家与企业之间建立一个中间层,将松散的、无序的个体变成积极的、自为的、有核心凝聚力的社会力量。在尚无数据认证法律规范之前,认证行业协会可制定数据认证的行业准则和技术标准,作为引导数据认证市场的重要准则。统一的数据认证标准可以大大降低高端技术产业的数据安全和隐私风险,并在一定程度上提升企业的数据保护能力,还可以促进数据认证行业的健康有序发展。
此外,数据认证并不属于强制性产品认证范畴,为了激励企业尽可能选择数据认证,需要在基本认证规范上做一定的鼓励性制度设计(如优先采购认证产品和服务、减轻处罚的重要考量因素等),并采取给予中小企业认证补贴等方式激励更多企业主动申请数据认证。同时,我国在建立数据认证制度时,还应注意与国际数据认证标准的协调,便于日后开展国家间数据认证的互认。
结语
数据认证制度设立的目的不是为个人数据保护提供一种一劳永逸的解决方案,但它构成了整个数据保护监督体系中的一个重要环节,向企业和消费者提供了一种选择方案,即通过数据认证方式来证明和监督企业的数据保护能力,从而达到强化个人数据保护的目的。从美欧等国家及地区的数据认证模式来看,每个国家都有自己的国情和本土特色,而其中如何保证数据认证在消费者群体的持久声誉和信赖一直是各国数据认证制度努力的方向。特别在技术发展如此之快的今天,向消费者提供可视性的数据认证标记以区分不同产品和服务中内嵌的数据保护技术水平的高低,已经成为一种迫切的现实需要。
我国数据认证尚未起步,《中国(上海)自由贸易试验区临港新片区管理办法》以地方政府规章的形式首次明确建立“数据保护能力认证机制”,为数据认证在上海临港新片区乃至全国的发展提供了空间和可能。在未来数据认证机制的具体构建规则设计上,除了确定数据认证的主体、对象、程序、标准等基本要素之外,还应保障数据认证的科学性和全面性,落实数据认证的监督监管主体及其责任。未来数据认证机制仍然在变与不变中动态发展前行——变化的是环境、技术、行业标准和具体规范,不变的是贯穿数据认证程序始终的尊重个人隐私及数据安全的价值诉求以及政府、社会、市场多元共治的治理理念。
注
1.参见周汉华:《探索激励相容的个人数据治理之道》,载《法学研究》2018年第2期,第4页。
2.关于个人信息(数据)权利的性质,有宪法权利说、财产权利说、人格权利说、新型的复合性权利说等;保护方式分为私法保护和公法保护等,大部分的讨论仍然停留在民法学体系范畴内。参见刘德良:《个人信息的财产权保护》,《法学研究》2007年第3期,第80页;龙卫球:《数据新型财产权构建及其体系研究》,载《政法论坛》2017年第4期,第63页;叶名怡:《论个人信息权的基本范畴》,载《清华法学》2018年第5期,第145页;杨立新:《个人信息:法益抑或民事权利》,载《法学论坛》2018年第1期,第34页;程啸:《论大数据时代的个人数据权利》,载《中国社会科学》2018年第3期,第121页;张新宝:《民法总则个人信息保护条文研究》,载《中外法学》2019年第1期;申卫星:《论数据用益权》,载《中国社会科学》2020年第11期,第110页。
3.International Standards Organization (ISO), see https://www.iso.org/conformity-assessment.html, last visited on 7 July, 2020.
4.European Data Protection Board. Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation 2016/679. p.5
5.参见张维迎:《信息、信任与法律》,生活、读书、新知三联书店2003年版,第3页。
6.Belson, J., Certification Marks. Sweet and Maxwell, 2017, p356.
7.Koutroumpis, P., A. Leiponen and L. D. W. Thomas, the nature of data, Working Paper, 2019.
8.Rott, P., Certification – Trust, Accountability, Liability, Springer International Publishing, 2019, p101-103.
9.See Johanna Carvais-Palut, the French Privacy Seal Scheme: A Successful Test, In : Rowena Rodrigues, Vagelis Papakonstantinou(eds), Privacy and Data Protection Seals. Information Technology and Law Series, vol 28. T.M.C. Asser Press, The Hague, 2018, p.50.
10.数据保护培训是为促进各机构遵守《法国数据保护法案》所要求的专业知识,实施必要的行为。这项标准使法国数据保护当局可决定是否授予培训课程隐私印章。在结合了培训活动的方式和培训课程的内容之后再做出评估。数据处理审计,其准则可判断处理的个人数据是否符合《法国数据保护法案》。对于个人数据的处理进行审核,但其范围并不限定于特定的地点、机构单位、活动、程序或时段,审核的范围同样包括了处理的类别或特定的处理方式。数字保险箱,是指向个人提供有关非物质化和安全储存资料的服务,其目的是将文件保存于数码媒体。数字保险箱必须确保存储数据的完整性、可用性和保密性,并采取适当的安全措施。数字保险箱与普通储存空间的不同之处在于,其所保存的数据及其元数据,仅供保险箱持有人及经持有人特别授权的自然人查阅。数据保护治理,是指制定一套最佳措施、规则及示范性做法来处理个人数据。这项隐私印章旨在协助企业实施相应措施以保护个人数据,并促使他们对所采取的措施担责。See Johanna Carvais-Palut, the French Privacy Seal Scheme: A Successful Test, In : Rowena Rodrigues, Vagelis Papakonstantinou(eds), Privacy and Data Protection Seals. Information Technology and Law Series, vol 28. T.M.C. Asser Press, The Hague, 2018, p.52.
11.ULD根据石荷州数据保护法制定的评估标准主要包括四个方面:一是IT产品的设计,特别是针对数据最少够用和透明度的内置数据保护设计;二是数据处理的合法性;三是用以数据泄露风险最小化的技术和组织措施;四是数据主体的权利,如访问权、更正权、同意和撤回同意权、反对权等。See Hansen M, Jensen M, Rost M, Protection Goals for Privacy Engineering. 2015 International Workshop on Privacy Engineering (IWPE), Security and Privacy Workshops (SPW), IEEE, 2015, pp 159–166.
12.The Standard Data Protection Model, https://www.datenschutzzentrum.de/uploads/sdm/SDM-Methodology_V1.0.pdf, Accessed 27 Jan 2020.
13.2018年3月,法国CNIL决定放弃认证活动,并将其交给私人认证机构负责管理,这也从一个侧面反映出国家认证模式的局限性。European Union Agency for Network and Information Security, Recommendations on European Data Protection Certification, Nov., 2017, Available at www.enisa.europa.eu, last accessed on April. 2, 2020.
14.Federal Trade Commission, Self-regulation and Privacy Online: A Report to Congress,1999, Available at https://www.ftc.gov/reports/self-regulation-privacy-onlinea-federal-trade-commission-reportcongress. last accessed on Jan. 15, 2020.
资料来源于笔者对美国各隐私印章官网的数据收集和整理。
15.European Consumer Centres Network, Trustmarks Report: Can I trust the trustmark? 16.http://ec.europa.eu/dgs/health_food-safety/information_sources/docs/trust_mark_report_2013_ en.pdf.
17.See Jeri Clausing, On-Line Privacy Group Decides Not to Pursue Microsoft Case, N.Y. TIMES, Mar. 23, 1999, at C5.
18.Culnan M, Georgetown Internet Privacy Policy Study. McDonough School of Business, Georgetown University, see http://www.msb.edu/faculty/culnan/gippshome.html, 2002, Accessed 22 Oct 2019.
19.在美国,鉴于认证机构并不从事销售产品或其他分销行为,也没有将缺陷产品投入商业流通,认证机构通常不承担保证责任或严格责任,参见许传玺:《美国产品责任制度研究》,法律出版社2013年版,第202页。
20.Barron, M. Creating Consumer Confidence or Confusion? The Role of Product Certification in the Market Today, Marquette Intellectual Properties Maw review Volume 11 Issue 2, 2007. p422.
21.参见张继红:《个人数据跨境传输限制及其解决方案》,载《东方法学》2018年第6期,第41页。
22.以2011年11月成立的EuroPrise为例,由于公众对数据认证缺乏信任,申请认证的企业数量并不多。2015年,EuroPriSe仅签发了7个隐私印章,其中6个都是再次认证。See Rodrigues R, Barnard-Wils D, Wright D, De Hert P, Papakonstantinou V, EU Privacy Seals Project: Inventory and Analysis of Privacy Certification Schemes. In: Beslay L, Dubois N (eds) European Commission Final Report Study Deliverable 1.4, 2016.
23.欧洲委员会提出了一个鼓励和承认数据保护认证机制重要性的文本框架,但并未明确认证机构、监督机构、认证标准及其法律后果,缺乏认证机制的具体规定。欧洲议会则对认证标准和认证机构做了详细规定,提出了由成员国数据保护机构和欧盟数据保护理事会共同管理下的欧洲数据保护印章(European Data Protection Seal)的模式。但欧盟理事会并未沿用欧洲议会的设计方案,提出了一种更加灵活的模式,即将认证过程分配给认可的私人认证机构,由私人认证机构决定是否授予相应的认证,认证过程也不受监管机构的监督。Guidelines 1/2018 on Certification and Identifying Certification Criteria in accordance with Articles 42 and 43 of the Regulation 2016/679, Adopted on 25 May 2018.
24.Article 29 Data Protection Working Party: Opinion 3/2010 on the principle of accountability, 13 July 2010, p.17, https://www.dataprotection.ro/servlet/ViewDocument?id=654. Accessed 3 Feb 2020.
25.Lachaud. E, Why the certification process defined in the General Data Protection Regulation cannot be successful, Computer Law & Security Review 32, 2016, p820.
26.有学者认为GDPR认证机制更适合规模大的公司,相比中小微企业,大公司更有资源负担认证的成本以显示其遵从GDPR的合规程度,并在侵权情况下尽可能减少行政罚款。See Eric Lachaud, The General Data Protection Regulation and the Rise of Certification as a Regulatory Instrument, Computer Law & Security Review 34, 2017, p253.
27.Wenning, R., Kirrane, S., Compliance Using Metadata, in: Semantic Applications. Springer, 2018, p32.
28.De Hert, P., V. Papakonstantinou, and I. Kamara, I., The Cloud Computing Standard ISO/IEC 27018 through the Lens of the EU Legislation on Data Protection. Computer Law & Security Review 32, 2016, p27.
29.See Peter Rott, Certification-Trust, Accountability, Liability, Springer, 2019, p109; and Barnard-Wills, D., De Hert, P., Papakonstantinou, V., The Future of Privacy Certification in Europe: An Exploration of Options under Article 42 of the GDPR AU - Rodrigues, Rowena. International Review of Law, Computers & Technology 30, 2016, p250.
30.我国《个人信息保护法(草案)》第38条规定,个人信息境外提供的前提条件之一,即“按照国家网信部门的规定经专业机构进行个人信息保护认证”。该条将个人信息保护认证的监管机构归口至国家网信部门,在事实上与我国目前的认证监管体系存在一定冲突,亟待立法明确。
31.参见高国钧:《第三方认证权的法律属性与基本特征——基于社会中间层主体理论的分析》,载《河北法学》2015年第11期,第167页。
32.参见[美]查尔斯·沃尔夫: 《市场或政府——权衡两种不完善的选择》,谢旭译,中国发展出版社1994年版,第175页。
33.首批设立的全国性行业协会292个,全部为政府创办,上海市134个行业协会中,一半以上的行业协会负责人由上级主管部门委托或行政部门兼职。参见沈恒超、胡文安等:《转型时期的行业协会——角色、功能与管理体制》,社会科学文献出版社2004年版,第87页。
34.参见张继红:《大数据时代个人信息保护行业自律的困境与出路》,载《财经法学》2018年第6期,第69页。
