中國(guó)周刊

數(shù)字法治|數(shù)據(jù)安全認(rèn)證:個(gè)人信息保護(hù)的第三方規(guī)制

2022-03-30 10:22:51

圖片1.png


作者:劉權(quán),中央財(cái)經(jīng)大學(xué)法學(xué)院副教授、法學(xué)博士。本文來源《法學(xué)評(píng)論》2022年第1期


作為第三方規(guī)制的數(shù)據(jù)安全認(rèn)證,可以有效克服市場(chǎng)與政府的“雙重失靈”,實(shí)現(xiàn)數(shù)據(jù)安全保障和數(shù)字經(jīng)濟(jì)發(fā)展的平衡。數(shù)據(jù)安全認(rèn)證已逐漸成為全球數(shù)據(jù)治理的重要手段?!毒W(wǎng)絡(luò)安全法》第17條明確要求,“開展網(wǎng)絡(luò)安全認(rèn)證、檢測(cè)、風(fēng)險(xiǎn)評(píng)估等活動(dòng)”?!稊?shù)據(jù)安全法》第18條第1款原則性的規(guī)定了數(shù)據(jù)安全認(rèn)證:“國(guó)家促進(jìn)數(shù)據(jù)安全檢測(cè)評(píng)估、認(rèn)證等服務(wù)的發(fā)展,支持?jǐn)?shù)據(jù)安全檢測(cè)評(píng)估、認(rèn)證等專業(yè)機(jī)構(gòu)依法開展服務(wù)活動(dòng)。”《個(gè)人信息保護(hù)法》第38條將個(gè)人信息保護(hù)認(rèn)證作為向境外提供個(gè)人信息的合法性條件之一,第62條要求“推進(jìn)個(gè)人信息保護(hù)社會(huì)化服務(wù)體系建設(shè),支持有關(guān)機(jī)構(gòu)開展個(gè)人信息保護(hù)評(píng)估、認(rèn)證服務(wù)”。實(shí)踐中,2019年國(guó)家市場(chǎng)監(jiān)管總局、中央網(wǎng)信辦發(fā)布《關(guān)于開展App安全認(rèn)證工作的公告》,旨在規(guī)范移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序收集、使用用戶信息特別是個(gè)人信息的行為。歐盟《通用數(shù)據(jù)保護(hù)條例》專門規(guī)定了數(shù)據(jù)保護(hù)認(rèn)證。可以預(yù)見,隨著數(shù)字經(jīng)濟(jì)的不斷發(fā)展壯大,數(shù)據(jù)安全認(rèn)證必將在中國(guó)得到全面推行。


當(dāng)前對(duì)于新興的數(shù)據(jù)安全認(rèn)證的研究相對(duì)不足。中國(guó)建立了產(chǎn)品、服務(wù)、管理體系等認(rèn)證制度,如強(qiáng)制性產(chǎn)品CCC認(rèn)證、藥品GMP認(rèn)證、商品售后服務(wù)認(rèn)證、食品安全管理體系認(rèn)證。學(xué)者們從產(chǎn)品質(zhì)量認(rèn)證、藥品認(rèn)證、認(rèn)證機(jī)構(gòu)責(zé)任等方面進(jìn)行了較多研究。另有一些學(xué)者探討了第三方規(guī)制、第三方審核、私人規(guī)制的基本原理,涉及認(rèn)證的相關(guān)內(nèi)容。在網(wǎng)絡(luò)法領(lǐng)域,少數(shù)學(xué)者探討了個(gè)人信息安全認(rèn)證、人工智能安全認(rèn)證、網(wǎng)絡(luò)安全認(rèn)證等內(nèi)容。盡管同屬于認(rèn)證,但傳統(tǒng)認(rèn)證的一些理念與法律制度無法完全直接適用于數(shù)據(jù)安全認(rèn)證。在數(shù)據(jù)成為新的生產(chǎn)要素的背景下,為了使數(shù)據(jù)安全認(rèn)證真正能夠客觀、公正地發(fā)揮第三方評(píng)定職能,防止認(rèn)證機(jī)構(gòu)被互聯(lián)網(wǎng)企業(yè)“俘獲”或成為政府的“附庸”,需要對(duì)數(shù)據(jù)安全認(rèn)證體制機(jī)制進(jìn)行整體的法治構(gòu)建。個(gè)人信息是數(shù)字時(shí)代涉及面最為廣泛的數(shù)據(jù),本文將主要以個(gè)人信息保護(hù)為視角,對(duì)數(shù)據(jù)安全認(rèn)證的必要性、認(rèn)證機(jī)構(gòu)資質(zhì)、認(rèn)證機(jī)制運(yùn)行、認(rèn)證與政府規(guī)制的關(guān)系等問題進(jìn)行系統(tǒng)研究,以期探索數(shù)據(jù)安全認(rèn)證的法治之道。


一、數(shù)據(jù)安全認(rèn)證的界定及價(jià)值


數(shù)字時(shí)代日益得到廣泛適用的數(shù)據(jù)安全認(rèn)證,既不屬于企業(yè)實(shí)施的自我規(guī)制,也不屬于傳統(tǒng)的政府規(guī)制。數(shù)據(jù)安全認(rèn)證本質(zhì)上為第三方提供的社會(huì)化服務(wù),承擔(dān)著第三方規(guī)制的角色。構(gòu)建法治化的數(shù)據(jù)安全認(rèn)證體制機(jī)制,不僅有利于保障數(shù)據(jù)安全,而且可以有效促進(jìn)數(shù)字經(jīng)濟(jì)的規(guī)范健康發(fā)展。


(一)數(shù)據(jù)安全認(rèn)證:第三方規(guī)制


數(shù)據(jù)安全認(rèn)證,是指由認(rèn)證機(jī)構(gòu)證明網(wǎng)絡(luò)服務(wù)、數(shù)據(jù)產(chǎn)品、管理體系等符合相關(guān)法律規(guī)范、技術(shù)標(biāo)準(zhǔn)、行業(yè)準(zhǔn)則的評(píng)定活動(dòng),也稱為信息安全認(rèn)證。數(shù)據(jù)安全認(rèn)證主要面向數(shù)字經(jīng)濟(jì)產(chǎn)業(yè),通過第三方機(jī)構(gòu)客觀評(píng)定互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)處理行為的安全性,以提升互聯(lián)網(wǎng)企業(yè)的數(shù)據(jù)安全保障水平。相比于企業(yè)的自我規(guī)制和政府的行政規(guī)制而言,數(shù)據(jù)安全認(rèn)證屬于第三方規(guī)制,可以有效克服市場(chǎng)與政府的“雙重失靈”。不同于傳統(tǒng)認(rèn)證,數(shù)據(jù)安全認(rèn)證的對(duì)象主要是網(wǎng)絡(luò)服務(wù)或數(shù)據(jù)產(chǎn)品,具有虛擬性和動(dòng)態(tài)易變性的特征,所以認(rèn)證難度更大。在認(rèn)證標(biāo)準(zhǔn)上,數(shù)據(jù)安全認(rèn)證側(cè)重于對(duì)互聯(lián)網(wǎng)企業(yè)現(xiàn)有的數(shù)據(jù)安全保障制度能力和過去的數(shù)據(jù)處理守法合規(guī)情況的評(píng)定。


數(shù)據(jù)安全認(rèn)證不同于互聯(lián)網(wǎng)企業(yè)實(shí)施的數(shù)據(jù)保護(hù)活動(dòng),如個(gè)人信息風(fēng)險(xiǎn)評(píng)估或個(gè)人信息保護(hù)影響評(píng)估?!秱€(gè)人信息保護(hù)法》第55條要求個(gè)人信息處理者在處理敏感個(gè)人信息、利用個(gè)人信息進(jìn)行自動(dòng)化決策、委托處理、向第三方提供或公開個(gè)人信息、向境外提供個(gè)人信息等情形下,均應(yīng)進(jìn)行個(gè)人信息保護(hù)影響評(píng)估?!缎畔踩夹g(shù) 個(gè)人信息安全影響評(píng)估指南》對(duì)各類組織自行開展個(gè)人信息安全影響評(píng)估提供了標(biāo)準(zhǔn)指南。區(qū)別于企業(yè)的自身行為,數(shù)據(jù)安全認(rèn)證最重要的特點(diǎn)是第三方機(jī)構(gòu)評(píng)價(jià)。


數(shù)據(jù)安全認(rèn)證不屬于政府行為,同公權(quán)力機(jī)關(guān)實(shí)施的數(shù)據(jù)安全檢查、數(shù)據(jù)安全審查、網(wǎng)絡(luò)安全審查、行政許可等行為存在區(qū)別。首先,數(shù)據(jù)安全認(rèn)證不同于數(shù)據(jù)安全檢查。政府職能部門可以對(duì)互聯(lián)網(wǎng)企業(yè)進(jìn)行數(shù)據(jù)安全檢查,如開展數(shù)據(jù)安全專項(xiàng)整治活動(dòng)。雖然在檢查過程中可以委托第三方機(jī)構(gòu)進(jìn)行檢測(cè),但數(shù)據(jù)安全檢查的性質(zhì)為行政檢查行為,而數(shù)據(jù)安全認(rèn)證則屬于第三方評(píng)定行為,不屬于行政行為。數(shù)據(jù)安全認(rèn)證以頒發(fā)認(rèn)證標(biāo)志為最終結(jié)果,而數(shù)據(jù)安全檢查后可能實(shí)施行政強(qiáng)制、行政處罰等措施。其次,數(shù)據(jù)安全認(rèn)證不同于數(shù)據(jù)安全審查?!稊?shù)據(jù)安全法》第23條規(guī)定:“國(guó)家建立數(shù)據(jù)安全審查制度,對(duì)影響或者可能影響國(guó)家安全的數(shù)據(jù)處理活動(dòng)進(jìn)行國(guó)家安全審查。依法作出的安全審查決定為最終決定。” 數(shù)據(jù)安全審查屬于政府行為,數(shù)據(jù)安全認(rèn)證由第三方認(rèn)證機(jī)構(gòu)實(shí)施。再次,數(shù)據(jù)安全認(rèn)證不同于網(wǎng)絡(luò)安全審查。網(wǎng)絡(luò)安全審查側(cè)重于保護(hù)國(guó)家安全,由國(guó)家互聯(lián)網(wǎng)信息辦公室下設(shè)的網(wǎng)絡(luò)安全審查辦公室負(fù)責(zé)實(shí)施。網(wǎng)絡(luò)安全審查的條件為,關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù),數(shù)據(jù)處理者開展數(shù)據(jù)處理活動(dòng),影響或可能影響國(guó)家安全。如2021年6月30日,“滴滴出行”在美國(guó)上市,7月2日國(guó)家網(wǎng)信辦發(fā)布公告稱,為防范國(guó)家數(shù)據(jù)安全風(fēng)險(xiǎn),維護(hù)國(guó)家安全,依法對(duì)“滴滴出行”實(shí)施網(wǎng)絡(luò)安全審查。當(dāng)前的數(shù)據(jù)安全審查、網(wǎng)絡(luò)安全審查等制度,都側(cè)重維護(hù)國(guó)家安全。數(shù)據(jù)安全認(rèn)證側(cè)重于評(píng)定企業(yè)的數(shù)據(jù)處理行為,對(duì)用戶造成的數(shù)據(jù)安全風(fēng)險(xiǎn)。最后,數(shù)據(jù)安全認(rèn)證不同于頒發(fā)資格證、資質(zhì)證等行政許可行為,也不同于對(duì)有關(guān)事實(shí)進(jìn)行甄別而給予確定或證明的行政確認(rèn)行為,而屬于第三方規(guī)制行為。


(二)數(shù)據(jù)安全認(rèn)證的時(shí)代價(jià)值


無論是對(duì)于個(gè)人信息安全保障,還是對(duì)于數(shù)字經(jīng)濟(jì)的規(guī)范健康發(fā)展,數(shù)據(jù)安全認(rèn)證都有著日益重要的時(shí)代價(jià)值。數(shù)據(jù)安全認(rèn)證通過聲譽(yù)評(píng)價(jià)機(jī)制,可以引導(dǎo)、激勵(lì)互聯(lián)網(wǎng)企業(yè)守法合規(guī)經(jīng)營(yíng),可以增強(qiáng)用戶對(duì)中小微互聯(lián)網(wǎng)企業(yè)和新興數(shù)字產(chǎn)業(yè)的信任感,可以避免政府為保障數(shù)據(jù)安全而實(shí)施“一刀切”的規(guī)制,可以滿足社會(huì)公眾多元的數(shù)據(jù)安全需求。


其一,數(shù)據(jù)安全認(rèn)證有利于引導(dǎo)、激勵(lì)數(shù)據(jù)處理者不斷提高數(shù)據(jù)安全保障水平。數(shù)據(jù)安全認(rèn)證可以為互聯(lián)網(wǎng)企業(yè)套上“緊箍咒”。為了防止得不到認(rèn)證或被撤銷認(rèn)證,互聯(lián)網(wǎng)企業(yè)在外在壓力下會(huì)不斷提高自身的數(shù)據(jù)安全保障水平,以便不失去并不斷獲取更多的網(wǎng)絡(luò)用戶。通過第三方評(píng)定,數(shù)據(jù)安全認(rèn)證可以起到對(duì)互聯(lián)網(wǎng)企業(yè)守法合規(guī)情況的規(guī)制功能,激勵(lì)其提高數(shù)據(jù)安全風(fēng)險(xiǎn)管理水平,實(shí)現(xiàn)“超越合規(guī)遵從”。通過第三方認(rèn)證機(jī)構(gòu)對(duì)互聯(lián)網(wǎng)企業(yè)的數(shù)據(jù)安全進(jìn)行評(píng)定,并頒發(fā)相關(guān)認(rèn)證標(biāo)志,有利于助推互聯(lián)網(wǎng)企業(yè)的數(shù)據(jù)處理自律。


其二,數(shù)據(jù)安全認(rèn)證可以增強(qiáng)用戶對(duì)中小微互聯(lián)網(wǎng)企業(yè)和新興數(shù)字產(chǎn)業(yè)的信任感。在缺乏數(shù)據(jù)安全的網(wǎng)絡(luò)市場(chǎng)中,用戶更愿意相信知名、大型互聯(lián)網(wǎng)企業(yè),因?yàn)槠鋽?shù)據(jù)安全保障水平相對(duì)較高,發(fā)生損害時(shí)也更有能力承擔(dān)賠償責(zé)任。但對(duì)于無數(shù)中小微互聯(lián)網(wǎng)企業(yè)提供的網(wǎng)絡(luò)產(chǎn)品或服務(wù),對(duì)于大量新興數(shù)字產(chǎn)業(yè),由于不被普通公眾所熟知而導(dǎo)致不被信任。獲得了數(shù)據(jù)安全認(rèn)證,相當(dāng)于是獲得了商業(yè)信譽(yù)擔(dān)保,意味著更多的交易機(jī)會(huì)。如由于“算法黑箱”導(dǎo)致對(duì)人工智能產(chǎn)品存在莫名的恐懼,第三方認(rèn)證機(jī)制可以增加公眾對(duì)使用人工智能系統(tǒng)的信任。通過數(shù)據(jù)安全認(rèn)證,“企業(yè)不必再以低端的價(jià)格競(jìng)爭(zhēng)策略占領(lǐng)市場(chǎng)”,富有特色并得到良好認(rèn)證標(biāo)志聲譽(yù)保障的網(wǎng)絡(luò)服務(wù)或數(shù)據(jù)產(chǎn)品越來越多。


其三,數(shù)據(jù)安全認(rèn)證可以避免政府嚴(yán)格的檢查監(jiān)控,可以緩解政府設(shè)定更嚴(yán)厲的法律義務(wù)與責(zé)任的壓力,防止政府出于保障數(shù)據(jù)安全實(shí)施“一刀切”的規(guī)制而阻礙數(shù)字科技的創(chuàng)新。過多的義務(wù)與責(zé)任設(shè)置,尤其不利于中小微互聯(lián)網(wǎng)企業(yè)和新興數(shù)字產(chǎn)業(yè)的發(fā)展,因?yàn)闀?huì)對(duì)其帶來過大的數(shù)據(jù)合規(guī)成本與運(yùn)營(yíng)壓力,會(huì)導(dǎo)致少數(shù)互聯(lián)網(wǎng)寡頭企業(yè)的支配力與控制力進(jìn)一步增強(qiáng),從而不利于數(shù)字經(jīng)濟(jì)的良性健康發(fā)展。數(shù)據(jù)安全認(rèn)證機(jī)制的建立,可以使更多的中小微互聯(lián)網(wǎng)企業(yè)有更多的機(jī)會(huì)公平地參與數(shù)據(jù)要素市場(chǎng)競(jìng)爭(zhēng),可以讓數(shù)據(jù)得到更加多元的高效流通利用,最終有利于促進(jìn)數(shù)字經(jīng)濟(jì)的整體協(xié)調(diào)發(fā)展。


其四,數(shù)據(jù)安全認(rèn)證發(fā)揮著聲譽(yù)評(píng)價(jià)的功能,可以運(yùn)用專業(yè)知識(shí)幫助用戶作出更好的選擇,有利于滿足社會(huì)公眾多元的數(shù)據(jù)安全需求。當(dāng)前數(shù)據(jù)處理中的告知同意機(jī)制日益流于形式。企業(yè)的隱私政策與協(xié)議大多冗長(zhǎng)晦澀,數(shù)據(jù)主體往往沒有足夠的時(shí)間與耐心仔細(xì)閱讀所要同意的內(nèi)容,而且“就像處在計(jì)算機(jī)時(shí)代初期一樣”難以完全理解相關(guān)條款。信息分布不均妨害同意的認(rèn)識(shí)基礎(chǔ),多環(huán)節(jié)的數(shù)據(jù)流通則進(jìn)一步削弱了同意的有效性,同意決策容易陷入非理性。個(gè)人自決的作用需要被重新考慮。“告知同意機(jī)制步入困境,逐漸降低了數(shù)據(jù)保護(hù)的功能?!?/span>


數(shù)據(jù)安全認(rèn)證通過事先的第三方專業(yè)評(píng)定,有助于解決信息不對(duì)稱問題,可以讓用戶更高效、更準(zhǔn)確地作出選擇決定。根據(jù)數(shù)據(jù)安全認(rèn)證機(jī)構(gòu)頒發(fā)的認(rèn)證標(biāo)志,網(wǎng)絡(luò)用戶可以快速識(shí)別相關(guān)服務(wù)或產(chǎn)品的數(shù)據(jù)保護(hù)安全水平。而且,相比于政府設(shè)定的單一性數(shù)據(jù)安全強(qiáng)制標(biāo)準(zhǔn),認(rèn)證機(jī)構(gòu)可以設(shè)定多元的靈活標(biāo)準(zhǔn),可以單獨(dú)或聯(lián)合其他認(rèn)證機(jī)構(gòu)制定數(shù)據(jù)安全多元標(biāo)準(zhǔn),更好地利用“軟法”滿足不同群體的數(shù)據(jù)安全多元需求與偏好。“數(shù)據(jù)治理的普遍性、技術(shù)性、復(fù)雜性、應(yīng)時(shí)性,都在呼喚硬法與軟法的共同構(gòu)建?!辈煌后w對(duì)數(shù)據(jù)安全的敏感程度往往不同,愿意以更多個(gè)人信息換取便利的群體,可以選擇認(rèn)證標(biāo)準(zhǔn)較低但符合現(xiàn)行法律規(guī)范的數(shù)據(jù)產(chǎn)品或網(wǎng)絡(luò)服務(wù)。反之,對(duì)數(shù)據(jù)安全更為敏感的群體,則可以選擇認(rèn)證標(biāo)準(zhǔn)較高的數(shù)據(jù)產(chǎn)品或網(wǎng)絡(luò)服務(wù)。


二、數(shù)據(jù)安全認(rèn)證機(jī)構(gòu)的資質(zhì):獨(dú)立性與專業(yè)性


數(shù)據(jù)安全認(rèn)證行為具有公共性,不僅直接關(guān)系到個(gè)人信息安全,而且對(duì)整個(gè)數(shù)據(jù)要素市場(chǎng)的安全性與誠(chéng)信度會(huì)產(chǎn)生直接影響。為了有效保障數(shù)據(jù)安全認(rèn)證的客觀性與公正性,更好地實(shí)現(xiàn)其第三方規(guī)制功能,首先需要科學(xué)合理確定認(rèn)證機(jī)構(gòu)的資質(zhì)?!稊?shù)據(jù)安全法》第18條規(guī)定:“支持?jǐn)?shù)據(jù)安全檢測(cè)評(píng)估、認(rèn)證等專業(yè)機(jī)構(gòu)依法開展服務(wù)活動(dòng)。”《個(gè)人信息保護(hù)法》第62條提出“支持有關(guān)機(jī)構(gòu)”開展個(gè)人信息保護(hù)認(rèn)證服務(wù)。那么,究竟具備什么條件的專業(yè)機(jī)構(gòu)或有關(guān)機(jī)構(gòu),才可以更好地開展數(shù)據(jù)安全認(rèn)證呢?


(一)數(shù)據(jù)安全認(rèn)證機(jī)構(gòu)應(yīng)具有獨(dú)立性


首先,數(shù)據(jù)安全認(rèn)證機(jī)構(gòu)應(yīng)具有獨(dú)立性,同互聯(lián)網(wǎng)企業(yè)間不應(yīng)有利益關(guān)聯(lián)。在傳統(tǒng)認(rèn)證的一些領(lǐng)域,認(rèn)證亂象橫生,認(rèn)證變成了利益交換。企業(yè)花錢提升自己的形象,認(rèn)證機(jī)構(gòu)收錢牟利?!罢J(rèn)證變認(rèn)錢”并不少見,“給錢就能過,不給就刁難”。據(jù)相關(guān)調(diào)查發(fā)現(xiàn),在企業(yè)質(zhì)量管理體系認(rèn)證、玩具產(chǎn)品認(rèn)證、農(nóng)產(chǎn)品有機(jī)認(rèn)證領(lǐng)域,“弄虛作假走過場(chǎng)司空見慣”,只要交錢“配合”就“包過”。在2020年全球新冠肺炎疫情防控過程中,一些認(rèn)證機(jī)構(gòu)“肆意牟利、虛假認(rèn)證甚至買證賣證”,不僅破壞了認(rèn)證市場(chǎng)秩序,而且還影響了口罩、防護(hù)服等防疫用品的順利出口,引發(fā)了市場(chǎng)監(jiān)管部門對(duì)防疫用品認(rèn)證的專項(xiàng)整治。認(rèn)證機(jī)構(gòu)本應(yīng)作為獨(dú)立的第三方,為消費(fèi)者提供客觀公正的評(píng)定信息幫助其作出更好的選擇,但卻同被認(rèn)證對(duì)象串通損害消費(fèi)者利益,認(rèn)證行為變成了商業(yè)交易活動(dòng)。這或許同認(rèn)證機(jī)構(gòu)的組織形態(tài)有一定的關(guān)系。


對(duì)于數(shù)據(jù)安全認(rèn)證機(jī)構(gòu)資質(zhì)的規(guī)定,應(yīng)特別注意消除企業(yè)型認(rèn)證機(jī)構(gòu)可能存在的弊端。在自由競(jìng)爭(zhēng)的成熟認(rèn)證市場(chǎng)尚未形成之前,企業(yè)型認(rèn)證機(jī)構(gòu)很難以獨(dú)立于被認(rèn)證對(duì)象。為了緩解生存壓力,追求利潤(rùn)最大化,企業(yè)型認(rèn)證機(jī)構(gòu)很容易將認(rèn)證變?yōu)橘嶅X的工具。企業(yè)型認(rèn)證機(jī)構(gòu)很容易被“俘獲”,而可能故意不遵守認(rèn)證基本標(biāo)準(zhǔn)、違反認(rèn)證程序、出具虛假認(rèn)證結(jié)論,以獲取更多的客戶。嚴(yán)格按規(guī)則依法作出認(rèn)證的認(rèn)證機(jī)構(gòu),反而獲得的認(rèn)證申請(qǐng)數(shù)量可能更少,最終要么被迫退出認(rèn)證市場(chǎng),要么退變?yōu)檫`法認(rèn)證機(jī)構(gòu),“劣幣驅(qū)逐良幣”的檸檬認(rèn)證市場(chǎng)由此形成。中國(guó)實(shí)行強(qiáng)制性產(chǎn)品認(rèn)證統(tǒng)一收費(fèi)制度,對(duì)于認(rèn)證申請(qǐng)費(fèi)、產(chǎn)品檢測(cè)費(fèi)、工廠審查費(fèi)、批準(zhǔn)與注冊(cè)費(fèi)、監(jiān)督復(fù)查費(fèi)、年金、認(rèn)證標(biāo)志費(fèi)等都作了明確的限定,企業(yè)型認(rèn)證機(jī)構(gòu)尤其是民營(yíng)企業(yè)型認(rèn)證機(jī)構(gòu),面臨的生存壓力或許更大。由于違法認(rèn)證而被處罰的,大量都為民營(yíng)企業(yè)型認(rèn)證機(jī)構(gòu)。因此,或許應(yīng)當(dāng)放寬認(rèn)證機(jī)構(gòu)的準(zhǔn)入門檻,強(qiáng)化自由競(jìng)爭(zhēng),充分發(fā)揮認(rèn)證市場(chǎng)優(yōu)勝劣汰機(jī)制的調(diào)節(jié)功能。


其次,數(shù)據(jù)安全認(rèn)證機(jī)構(gòu)應(yīng)獨(dú)立于政府。認(rèn)證的本質(zhì)屬于第三方評(píng)價(jià),是認(rèn)證機(jī)構(gòu)在市場(chǎng)與消費(fèi)者之間從事的居間活動(dòng)。認(rèn)證有利于引導(dǎo)市場(chǎng)資源配置,不同于行政確認(rèn)、行政檢查等政府行為。如果認(rèn)證機(jī)構(gòu)同政府有關(guān)聯(lián),會(huì)產(chǎn)生諸多消極后果。其一,認(rèn)證機(jī)構(gòu)不獨(dú)立于政府會(huì)使得認(rèn)證無法完全擺脫行政管理色彩和官僚主義弊端,導(dǎo)致“認(rèn)證變管理”,甚至導(dǎo)致“認(rèn)證異化為審批”。其二,如果由同政府有關(guān)聯(lián)的機(jī)構(gòu)實(shí)施認(rèn)證,可能導(dǎo)致政府不當(dāng)干預(yù)市場(chǎng),引發(fā)利益輸送、權(quán)錢交易等腐敗行為,使得認(rèn)證成為財(cái)政創(chuàng)收的新途徑,或成為少數(shù)公職人員中飽私囊的工具。其三,認(rèn)證機(jī)構(gòu)同政府有關(guān)聯(lián)不利于提高認(rèn)證服務(wù)效率與質(zhì)量。政府通過權(quán)力為其有關(guān)聯(lián)的認(rèn)證機(jī)構(gòu)獲取認(rèn)證資源,縱容甚至包庇違法認(rèn)證行為,導(dǎo)致關(guān)聯(lián)性認(rèn)證機(jī)構(gòu)不思進(jìn)取,業(yè)務(wù)水平得不到提升,使得自由競(jìng)爭(zhēng)的認(rèn)證市場(chǎng)秩序被破壞,最終會(huì)損害認(rèn)證服務(wù)效率與質(zhì)量。


中國(guó)目前存在大量同政府有關(guān)聯(lián)的事業(yè)單位、國(guó)有企業(yè)型認(rèn)證機(jī)構(gòu)。通過在全國(guó)認(rèn)證認(rèn)可信息公共服務(wù)平臺(tái)查詢可知,目前有效的認(rèn)證機(jī)構(gòu)有904個(gè),既包括事業(yè)單位,也包括國(guó)有企業(yè)和民營(yíng)企業(yè),還包括社會(huì)組織。其中,認(rèn)證機(jī)構(gòu)數(shù)量最少的為社會(huì)組織,事業(yè)單位、國(guó)有企業(yè)和民營(yíng)企業(yè)數(shù)量占絕大部分。同域外強(qiáng)調(diào)以政府為輔而實(shí)現(xiàn)法律遵從的第三方審核不同,在市場(chǎng)、社會(huì)發(fā)展不充分的情況下,中國(guó)的認(rèn)證體制是在政府主導(dǎo)下自上而下確立的,同從市場(chǎng)出發(fā)的認(rèn)證有著重要差別。在市場(chǎng)發(fā)展和政府職能轉(zhuǎn)變過程中,事業(yè)單位、國(guó)有企業(yè)型認(rèn)證機(jī)構(gòu)在中國(guó)大量存在有一定的歷史價(jià)值。


盡管事業(yè)單位、國(guó)有企業(yè)型認(rèn)證機(jī)構(gòu)由黨組織領(lǐng)導(dǎo)和行政機(jī)關(guān)管理,有一定的公共財(cái)政資金作為物質(zhì)保障,為了生存與牟利而進(jìn)行違法認(rèn)證的可能性會(huì)小很多,但卻無法完全消除認(rèn)證機(jī)構(gòu)不獨(dú)立而存在的諸多弊端?!墩J(rèn)證認(rèn)可條例》第13條第1款規(guī)定:“認(rèn)證機(jī)構(gòu)不得與行政機(jī)關(guān)存在利益關(guān)系?!薄懂a(chǎn)品質(zhì)量法》第20條要求,從事認(rèn)證的社會(huì)中介機(jī)構(gòu),“不得與行政機(jī)關(guān)和其他國(guó)家機(jī)關(guān)存在隸屬關(guān)系或者其他利益關(guān)系?!薄蛾P(guān)于促進(jìn)市場(chǎng)公平競(jìng)爭(zhēng)維護(hù)市場(chǎng)正常秩序的若干意見》提出,“推進(jìn)檢驗(yàn)檢測(cè)認(rèn)證機(jī)構(gòu)與政府脫鉤、轉(zhuǎn)制為企業(yè)或社會(huì)組織的改革”。可見,相關(guān)法律特別重視認(rèn)證機(jī)構(gòu)的獨(dú)立性。中國(guó)未來數(shù)據(jù)安全認(rèn)證機(jī)構(gòu)的確立,應(yīng)獨(dú)立于政府,逐步減少同政府有關(guān)聯(lián)的認(rèn)證機(jī)構(gòu)。


為了充分實(shí)現(xiàn)認(rèn)證機(jī)構(gòu)的獨(dú)立性,應(yīng)加快培育社會(huì)組織型數(shù)據(jù)安全認(rèn)證機(jī)構(gòu)。因?yàn)闊o論認(rèn)證規(guī)則如何設(shè)計(jì),不管認(rèn)證市場(chǎng)如何完善,都無法完全消除企業(yè)型認(rèn)證機(jī)構(gòu)為追求利潤(rùn)最大化而作出的不客觀公正的認(rèn)證,也無法總能保障與政府有關(guān)聯(lián)的事業(yè)單位型認(rèn)證機(jī)構(gòu)獨(dú)立作出客觀、公正的認(rèn)證。在國(guó)際上,很多有影響力的數(shù)據(jù)安全認(rèn)證都是由非政府組織實(shí)施的。如美國(guó),為微軟、蘋果、雅虎等眾多網(wǎng)站提供隱私認(rèn)證服務(wù)的TRUSTe,屬于美國(guó)商務(wù)網(wǎng)絡(luò)財(cái)團(tuán)和電子前線基金會(huì)共同發(fā)起設(shè)立的獨(dú)立非盈利性組織。在日本,情報(bào)處理開發(fā)協(xié)會(huì)建立了P-MARK認(rèn)證制度,通過認(rèn)證授予隱私標(biāo)識(shí)促使企業(yè)采取適當(dāng)?shù)膫€(gè)人信息保護(hù)措施。致力于提升隱私保護(hù)從業(yè)人員職業(yè)技能的國(guó)際隱私保護(hù)專業(yè)人士協(xié)會(huì)(IAPP),設(shè)計(jì)了隱私保護(hù)專業(yè)人員認(rèn)證(CIPP)、隱私保護(hù)經(jīng)理認(rèn)證(CIPM)、隱私保護(hù)技術(shù)專家認(rèn)證(CIPT)等獲得全球認(rèn)可的隱私保護(hù)執(zhí)業(yè)資格認(rèn)證制度。


數(shù)據(jù)保護(hù)的國(guó)際實(shí)踐表明,社會(huì)組織型認(rèn)證機(jī)構(gòu)可以克服企業(yè)型、事業(yè)單位型認(rèn)證機(jī)構(gòu)的諸多弊端,能夠較為獨(dú)立地開展認(rèn)證工作。然而,中國(guó)公民社會(huì)并不發(fā)達(dá),大量社會(huì)組織存在“信任危機(jī)”?!皣?guó)家對(duì)于行業(yè)協(xié)會(huì)等社會(huì)組織的控制一直較為嚴(yán)苛,自始缺乏社會(huì)自治的歷史傳統(tǒng)。”由于依附型的“臣民文化”,以及政府擔(dān)心社會(huì)組織發(fā)展失控而采取的“控制型管理取向”,使得中國(guó)當(dāng)前真正獨(dú)立的社會(huì)組織并不多。一些社會(huì)組織甚至淪為“衙門”,沾染了行政機(jī)關(guān)的各種習(xí)氣,無法真正發(fā)揮第三方規(guī)制的獨(dú)特功能?!毒W(wǎng)絡(luò)安全法》第17條規(guī)定,“國(guó)家推進(jìn)網(wǎng)絡(luò)安全社會(huì)化服務(wù)體系建設(shè),鼓勵(lì)有關(guān)企業(yè)、機(jī)構(gòu)開展網(wǎng)絡(luò)安全認(rèn)證、檢測(cè)和風(fēng)險(xiǎn)評(píng)估等安全服務(wù)?!薄秱€(gè)人信息保護(hù)法》第62條明確將認(rèn)證作為“個(gè)人信息保護(hù)社會(huì)化服務(wù)體系建設(shè)”的重要組成部分。未來數(shù)據(jù)安全認(rèn)證體制的構(gòu)建,需要特別重視培育具有獨(dú)立性的社會(huì)組織型數(shù)據(jù)安全認(rèn)證機(jī)構(gòu)。


(二)認(rèn)證機(jī)構(gòu)應(yīng)具有高度專業(yè)性


數(shù)據(jù)安全認(rèn)證是一項(xiàng)專業(yè)性極強(qiáng)的工作,只有符合相應(yīng)專業(yè)資質(zhì)并得到政府認(rèn)可的機(jī)構(gòu),才能從事認(rèn)證工作。當(dāng)前數(shù)據(jù)濫用違法犯罪行為種類多樣而且日新月異,具有極強(qiáng)的隱蔽性與復(fù)雜性。數(shù)據(jù)安全認(rèn)證不同于對(duì)普通產(chǎn)品、服務(wù)或管理體系的認(rèn)證,認(rèn)證人員既須精通法律又須熟知數(shù)字科技。沒有高度專業(yè)性的認(rèn)證機(jī)構(gòu),難以作出權(quán)威客觀的認(rèn)證。中國(guó)目前對(duì)于數(shù)據(jù)安全認(rèn)證,并沒有專門的法律,《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》中的相關(guān)條款極為簡(jiǎn)單,或許只能適用《認(rèn)證認(rèn)可條例》《認(rèn)證機(jī)構(gòu)管理辦法》等規(guī)定。當(dāng)前成為認(rèn)證機(jī)構(gòu)須經(jīng)國(guó)務(wù)院認(rèn)證認(rèn)可監(jiān)督管理部門批準(zhǔn),主管全國(guó)認(rèn)證工作的機(jī)構(gòu)為中國(guó)國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)?!墩J(rèn)證認(rèn)可條例》第10條對(duì)認(rèn)證機(jī)構(gòu)的資質(zhì)作了五項(xiàng)規(guī)定,要求取得法人資格、有固定的場(chǎng)所和必要的設(shè)施、有符合認(rèn)證要求的管理制度、注冊(cè)資本不少于300萬元和有相關(guān)專職認(rèn)證人員10名以上。


在歐盟,《通用數(shù)據(jù)保護(hù)條例》第43條要求數(shù)據(jù)保護(hù)認(rèn)證機(jī)構(gòu)得到成員國(guó)的官方認(rèn)可,并同時(shí)規(guī)定了成為認(rèn)證機(jī)構(gòu)的五項(xiàng)條件:(a)證明其對(duì)認(rèn)證事項(xiàng)的獨(dú)立性和專業(yè)性符合監(jiān)管機(jī)構(gòu)的要求;(b)承諾遵守相關(guān)準(zhǔn)則;(c)建立了簽發(fā)、定期檢查和撤回?cái)?shù)據(jù)保護(hù)認(rèn)證、印章、標(biāo)志的程序;(d)建立了公開透明的處理投訴機(jī)制;(e)證明其任務(wù)與職責(zé)不會(huì)導(dǎo)致利益沖突,并且符合監(jiān)管機(jī)構(gòu)的要求。相比歐盟對(duì)數(shù)據(jù)保護(hù)認(rèn)證機(jī)構(gòu)的資質(zhì)更注重軟性制度條件而言,中國(guó)更加強(qiáng)調(diào)認(rèn)證機(jī)構(gòu)的人、財(cái)、物等硬性條件。在認(rèn)證市場(chǎng)不夠成熟的情境下,一定人員數(shù)量和相應(yīng)物質(zhì)基礎(chǔ)的要求,在某種程度上有利于保障認(rèn)證的質(zhì)量,但不宜過度強(qiáng)調(diào)。為了保障數(shù)據(jù)安全認(rèn)證機(jī)構(gòu)的專業(yè)性,需要結(jié)合數(shù)字時(shí)代新的生產(chǎn)要素?cái)?shù)據(jù)和數(shù)據(jù)處理行為的特點(diǎn),對(duì)其設(shè)立條件、人員構(gòu)成、程序機(jī)制、物質(zhì)要求等事項(xiàng)作出特殊的具體規(guī)定。


數(shù)據(jù)安全認(rèn)證機(jī)構(gòu)可以通過同檢測(cè)機(jī)構(gòu)合作,彌補(bǔ)自身專業(yè)性不足。認(rèn)證機(jī)構(gòu)具有相關(guān)專業(yè)知識(shí)可以做出合規(guī)判斷,但不一定具備相關(guān)技術(shù)檢測(cè)能力。專業(yè)檢測(cè)機(jī)構(gòu)可以承擔(dān)具體檢測(cè)技術(shù)工作,但安全認(rèn)證證書應(yīng)由認(rèn)證機(jī)構(gòu)頒發(fā)。如2018年,國(guó)家認(rèn)監(jiān)委和國(guó)家網(wǎng)信辦發(fā)布《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證實(shí)施規(guī)則》,要求相關(guān)產(chǎn)品生產(chǎn)企業(yè)向經(jīng)確認(rèn)的認(rèn)證機(jī)構(gòu)提出安全認(rèn)證申請(qǐng),并規(guī)定了由信息產(chǎn)業(yè)信息安全測(cè)評(píng)中心、國(guó)家保密科技測(cè)評(píng)中心、公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心等8家檢測(cè)機(jī)構(gòu)為認(rèn)證機(jī)構(gòu)提供檢測(cè)服務(wù)。再如2019年,市場(chǎng)監(jiān)管總局、中央網(wǎng)信辦發(fā)布《關(guān)于開展App安全認(rèn)證的公告》,確定中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心為App的安全認(rèn)證機(jī)構(gòu),其根據(jù)認(rèn)證業(yè)務(wù)需要和技術(shù)能力確立檢測(cè)機(jī)構(gòu)。應(yīng)防止數(shù)據(jù)安全認(rèn)證機(jī)構(gòu)“有名無實(shí)”不承擔(dān)實(shí)質(zhì)認(rèn)證工作,變相將認(rèn)證業(yè)務(wù)“轉(zhuǎn)包”“分包”給相關(guān)檢測(cè)機(jī)構(gòu)。為了更高效、更負(fù)責(zé)任地開展數(shù)據(jù)安全認(rèn)證工作,應(yīng)不斷提高認(rèn)證機(jī)構(gòu)的專業(yè)知識(shí)與技術(shù)能力,逐漸實(shí)現(xiàn)認(rèn)證機(jī)構(gòu)與檢測(cè)機(jī)構(gòu)的合一。


三、數(shù)據(jù)安全認(rèn)證機(jī)制的展開


客觀公正的數(shù)據(jù)安全認(rèn)證不僅有賴于獨(dú)立、專業(yè)的認(rèn)證機(jī)構(gòu),而且需要科學(xué)合理的認(rèn)證機(jī)制。相比于對(duì)普通的實(shí)體產(chǎn)品、線下服務(wù)、管理體系的認(rèn)證,數(shù)據(jù)安全認(rèn)證往往面對(duì)的是網(wǎng)絡(luò)服務(wù)、數(shù)據(jù)產(chǎn)品,認(rèn)證機(jī)制具有較大的特殊性。對(duì)于數(shù)據(jù)安全認(rèn)證啟動(dòng)、實(shí)施程序、認(rèn)證標(biāo)準(zhǔn)、認(rèn)證跟蹤監(jiān)督、認(rèn)證責(zé)任分配,需要進(jìn)行有效的法律制度設(shè)計(jì)。


(一)數(shù)據(jù)安全認(rèn)證啟動(dòng):自愿抑或強(qiáng)制?


啟動(dòng)程序是開展數(shù)據(jù)安全認(rèn)證的首要環(huán)節(jié)。究竟是實(shí)行自愿申請(qǐng)認(rèn)證還是強(qiáng)制認(rèn)證,還存在分歧。2019年公布《數(shù)據(jù)安全管理辦法(征求意見稿)》第34條規(guī)定“國(guó)家鼓勵(lì)網(wǎng)絡(luò)運(yùn)營(yíng)者自愿通過數(shù)據(jù)安全管理認(rèn)證和應(yīng)用程序安全認(rèn)證”,擬確立自愿認(rèn)證模式。在實(shí)踐中,2019年中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場(chǎng)監(jiān)管總局發(fā)布《關(guān)于開展App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理的公告》,第5條要求“開展App個(gè)人信息安全認(rèn)證,鼓勵(lì)A(yù)pp運(yùn)營(yíng)者自愿通過App個(gè)人信息安全認(rèn)證”。此種個(gè)人信息安全認(rèn)證名義上是自愿的,但實(shí)際上帶有一定的單方強(qiáng)制性,屬于政府組織實(shí)施的個(gè)人信息專項(xiàng)治理行動(dòng)的一個(gè)環(huán)節(jié)。歐盟確立了數(shù)據(jù)保護(hù)認(rèn)證的自愿機(jī)制。《通用數(shù)據(jù)保護(hù)條例》序言第100項(xiàng)規(guī)定,鼓勵(lì)建立認(rèn)證機(jī)制和使用數(shù)據(jù)保護(hù)印章、標(biāo)記,以使數(shù)據(jù)主體能夠快速評(píng)估相關(guān)產(chǎn)品和服務(wù)的數(shù)據(jù)保護(hù)水平。第42條第3項(xiàng)明確規(guī)定:“認(rèn)證應(yīng)當(dāng)是自愿的,并且可通過透明的程序獲得”。


對(duì)于中國(guó)的數(shù)據(jù)安全認(rèn)證,宜實(shí)行自愿認(rèn)證和強(qiáng)制認(rèn)證相結(jié)合。其一,盡管數(shù)據(jù)安全認(rèn)證對(duì)于個(gè)人、互聯(lián)網(wǎng)企業(yè)、政府等都有諸多價(jià)值,但如果一律實(shí)行強(qiáng)制認(rèn)證,不但會(huì)違背認(rèn)證的第三方評(píng)定本質(zhì),使得認(rèn)證異化為另一種形式的審批,而且還會(huì)給認(rèn)證對(duì)象造成一定的負(fù)擔(dān)。是否申請(qǐng)認(rèn)證,一般情況下應(yīng)交由互聯(lián)網(wǎng)企業(yè)自主選擇。其二,限定條件實(shí)行數(shù)據(jù)安全強(qiáng)制認(rèn)證,更有利于保障數(shù)據(jù)安全。中國(guó)目前數(shù)據(jù)濫用現(xiàn)象還比較突出,數(shù)據(jù)安全法律體系并不健全,部分領(lǐng)域?qū)嵭袕?qiáng)制性認(rèn)證,可以為網(wǎng)絡(luò)用戶提供必要的辨明信息,減少重要數(shù)據(jù)的安全風(fēng)險(xiǎn)。歐盟之所以實(shí)行數(shù)據(jù)保護(hù)自愿認(rèn)證,原因可能主要在于《通用數(shù)據(jù)保護(hù)條例》為數(shù)據(jù)主體賦予了強(qiáng)大的權(quán)利,對(duì)數(shù)據(jù)處理設(shè)定了嚴(yán)格的條件與程序,而且設(shè)定了重罰機(jī)制,可以較好地保障數(shù)據(jù)安全。其三,數(shù)據(jù)安全自愿認(rèn)證和強(qiáng)制認(rèn)證相結(jié)合,更符合中國(guó)認(rèn)證的法治實(shí)踐。在中國(guó)傳統(tǒng)認(rèn)證領(lǐng)域,認(rèn)證實(shí)行自愿和強(qiáng)制相結(jié)合。《認(rèn)證認(rèn)可條例》第18條規(guī)定“任何法人、組織和個(gè)人可以自愿委托依法設(shè)立的認(rèn)證機(jī)構(gòu)進(jìn)行產(chǎn)品、服務(wù)、管理體系認(rèn)證”,但同時(shí)第27條規(guī)定“為了保護(hù)國(guó)家安全、防止欺詐行為、保護(hù)人體健康或者安全、保護(hù)動(dòng)植物生命或者健康、保護(hù)環(huán)境”,對(duì)相關(guān)產(chǎn)品實(shí)施強(qiáng)制認(rèn)證。在網(wǎng)絡(luò)安全領(lǐng)域,《網(wǎng)絡(luò)安全法》第23條規(guī)定,對(duì)于網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品,“由具備資格的機(jī)構(gòu)安全認(rèn)證合格或者安全檢測(cè)符合要求后,方可銷售或者提供?!?018年,國(guó)家認(rèn)監(jiān)委、國(guó)家網(wǎng)信辦發(fā)布《關(guān)于網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證實(shí)施要求的公告》,專門組織安全認(rèn)證,認(rèn)證對(duì)象包括路由器、交換機(jī)、服務(wù)器等網(wǎng)絡(luò)關(guān)鍵設(shè)備,以及數(shù)據(jù)備份一體機(jī)、防火墻(硬件)、安全數(shù)據(jù)庫(kù)系統(tǒng)等網(wǎng)絡(luò)安全專用產(chǎn)品。此種網(wǎng)絡(luò)安全認(rèn)證主要是對(duì)同網(wǎng)絡(luò)有關(guān)的實(shí)體產(chǎn)品的認(rèn)證,可受傳統(tǒng)強(qiáng)制性產(chǎn)品認(rèn)證制度的調(diào)整,但實(shí)際上也可納入數(shù)據(jù)安全強(qiáng)制認(rèn)證的范疇。


實(shí)證研究表明,強(qiáng)制認(rèn)證可以增強(qiáng)創(chuàng)新能力、提升管理能力和增加自愿認(rèn)證,“對(duì)企業(yè)生產(chǎn)率具有顯著正效應(yīng)”。《個(gè)人信息保護(hù)法》對(duì)某些信息處理行為,實(shí)際上已經(jīng)確立了強(qiáng)制認(rèn)證制度。其第38條規(guī)定,個(gè)人信息處理者因業(yè)務(wù)等需要向境外提供個(gè)人信息的,應(yīng)當(dāng)“經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證”。為了更符合中國(guó)國(guó)情,為了更好地保障數(shù)據(jù)安全并促進(jìn)數(shù)字經(jīng)濟(jì)的規(guī)范健康發(fā)展,宜實(shí)行自愿為主、強(qiáng)制為輔的數(shù)據(jù)安全認(rèn)證制度??梢愿鶕?jù)新經(jīng)濟(jì)的不同業(yè)態(tài)和不同的數(shù)據(jù)處理行為,區(qū)分場(chǎng)景確立是否應(yīng)當(dāng)強(qiáng)制認(rèn)證。對(duì)于事關(guān)個(gè)人、組織重要權(quán)利的一些重要數(shù)據(jù)或敏感數(shù)據(jù)的處理,或許需要進(jìn)行強(qiáng)制認(rèn)證。國(guó)家對(duì)于數(shù)據(jù)安全強(qiáng)制認(rèn)證,應(yīng)定期發(fā)布統(tǒng)一目錄,統(tǒng)一相關(guān)技術(shù)標(biāo)準(zhǔn)和合格評(píng)定程序,統(tǒng)一認(rèn)證標(biāo)志,統(tǒng)一收費(fèi)標(biāo)準(zhǔn)。強(qiáng)制認(rèn)證可以彌補(bǔ)自愿認(rèn)證的不足,有助于防范重大風(fēng)險(xiǎn),防止造成難以挽回的損害。然而,強(qiáng)制認(rèn)證只應(yīng)當(dāng)是特定階段的產(chǎn)物。隨著“放管服”改革的不斷推進(jìn)和認(rèn)證制度的不斷發(fā)展成熟,數(shù)據(jù)安全強(qiáng)制認(rèn)證的范圍應(yīng)當(dāng)不斷縮小。


對(duì)于申請(qǐng)數(shù)據(jù)安全認(rèn)證的條件,需要做一些否定性的排除規(guī)定。如果在過去合理期間內(nèi),發(fā)生過數(shù)據(jù)安全違法違規(guī)事件,或存在相關(guān)認(rèn)證標(biāo)志被撤銷等情形,應(yīng)禁止在特定時(shí)期內(nèi)申請(qǐng)認(rèn)證。因?yàn)槌嗽u(píng)估當(dāng)前的數(shù)據(jù)安全保障水平,互聯(lián)網(wǎng)企業(yè)過去守法合規(guī)的情況,也是認(rèn)證機(jī)構(gòu)考察的重要內(nèi)容。認(rèn)證具有信譽(yù)擔(dān)保的色彩,評(píng)價(jià)過去的行為可以有效預(yù)測(cè)未來。通過評(píng)價(jià)過去合理期間的行為,可以倒逼認(rèn)證對(duì)象持續(xù)積累守法合規(guī)的商業(yè)信譽(yù)?!兑苿?dòng)互聯(lián)網(wǎng)應(yīng)用程序(App)安全認(rèn)證實(shí)施規(guī)則》規(guī)定,在12個(gè)月內(nèi)發(fā)生重大信息安全事件、所持同類證書在撤銷認(rèn)證影響期內(nèi)等情形存在時(shí),App運(yùn)營(yíng)者不得申請(qǐng)認(rèn)證。由于互聯(lián)網(wǎng)行業(yè)變化極快,所以認(rèn)證申請(qǐng)條件所涉及的過去期間應(yīng)合理設(shè)置。


(二)數(shù)據(jù)安全認(rèn)證實(shí)施程序和認(rèn)證標(biāo)準(zhǔn)


科學(xué)合理的數(shù)據(jù)安全認(rèn)證程序,不僅可以提高認(rèn)證效率,而且還有利于保障認(rèn)證結(jié)果的準(zhǔn)確性與公正性。由于大多涉及無形的網(wǎng)絡(luò)服務(wù)或數(shù)據(jù)產(chǎn)品,數(shù)據(jù)安全認(rèn)證程序同普通認(rèn)證程序存在一定的差別,更注重對(duì)網(wǎng)絡(luò)科技和數(shù)據(jù)安全保障制度的評(píng)定。相比于行政程序,數(shù)據(jù)安全認(rèn)證實(shí)施程序更為靈活高效,但也更容易出現(xiàn)問題。作為第三方規(guī)制的數(shù)據(jù)安全認(rèn)證具有公共性,應(yīng)當(dāng)保障認(rèn)證過程具有充分的透明性和公眾參與度。認(rèn)證的實(shí)施程序應(yīng)當(dāng)吸收“正當(dāng)法律程序”的精神,滿足自然正義的基本要求,重視說明理由,聽取陳述、辯解,建立健全完善的認(rèn)證信息披露機(jī)制。應(yīng)防止認(rèn)證程序流于形式,認(rèn)證也不能僅限于審核書面材料,必須通過軟件檢測(cè)等多種技術(shù)進(jìn)行驗(yàn)證。


在應(yīng)用程序安全認(rèn)證的實(shí)踐中,《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(App)安全認(rèn)證實(shí)施規(guī)則》規(guī)定的主要認(rèn)證環(huán)節(jié)分為三部分:技術(shù)驗(yàn)證+現(xiàn)場(chǎng)核查+獲證后監(jiān)督。對(duì)于網(wǎng)絡(luò)服務(wù)或數(shù)據(jù)產(chǎn)品,數(shù)據(jù)安全認(rèn)證的一般實(shí)施程序,可以從以下幾個(gè)方面展開:(1)受理。認(rèn)證機(jī)構(gòu)對(duì)申請(qǐng)資料進(jìn)行審核后作出是否受理的決定。(2)技術(shù)驗(yàn)證。通過實(shí)驗(yàn)室檢測(cè)和現(xiàn)場(chǎng)核查等方式進(jìn)行。檢測(cè)機(jī)構(gòu)按照技術(shù)驗(yàn)證規(guī)范實(shí)施技術(shù)驗(yàn)證,并出具技術(shù)驗(yàn)證報(bào)告。(3)現(xiàn)場(chǎng)審核。認(rèn)證機(jī)構(gòu)對(duì)互聯(lián)網(wǎng)企業(yè)進(jìn)行現(xiàn)場(chǎng)審核,對(duì)相關(guān)問題進(jìn)行實(shí)地調(diào)查核實(shí),出具現(xiàn)場(chǎng)審核報(bào)告。(4)認(rèn)證決定。根據(jù)申請(qǐng)材料、技術(shù)驗(yàn)證結(jié)論、現(xiàn)場(chǎng)審核結(jié)論等進(jìn)行綜合評(píng)定,決定是否通過認(rèn)證。(5)頒發(fā)認(rèn)證證書。對(duì)于有形網(wǎng)絡(luò)產(chǎn)品的認(rèn)證程序略有不同,需要線下隨機(jī)抽取樣本進(jìn)行客觀評(píng)定。如《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證實(shí)施規(guī)則》規(guī)定,對(duì)網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證的認(rèn)證模式為:型式試驗(yàn)+工廠檢查+獲證后監(jiān)督。型式試驗(yàn)程序要求認(rèn)證機(jī)構(gòu)從生產(chǎn)線、倉(cāng)庫(kù)、市場(chǎng)等地隨機(jī)抽取產(chǎn)品,按相應(yīng)產(chǎn)品有關(guān)國(guó)家標(biāo)準(zhǔn)進(jìn)行型式試驗(yàn)并提交報(bào)告。工廠檢查要求認(rèn)證機(jī)構(gòu)到工廠,對(duì)信息安全保障能力、質(zhì)量保證能力、產(chǎn)品一致性進(jìn)行檢查。


對(duì)于數(shù)據(jù)安全的認(rèn)證標(biāo)準(zhǔn),除了包括具有強(qiáng)制力的國(guó)家法律規(guī)范,還應(yīng)包括國(guó)家推薦性標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、國(guó)際通用標(biāo)準(zhǔn)、認(rèn)證機(jī)構(gòu)制定的標(biāo)準(zhǔn)等。如對(duì)應(yīng)用程序進(jìn)行技術(shù)驗(yàn)證和現(xiàn)場(chǎng)審核的依據(jù)均為 GB/T 35273《信息安全技術(shù) 個(gè)人信息安全規(guī)范》,屬于全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布的推薦性國(guó)家標(biāo)準(zhǔn)。國(guó)際著名標(biāo)準(zhǔn)也可以成為數(shù)據(jù)安全的認(rèn)證標(biāo)準(zhǔn)。如信息安全管理ISO27001國(guó)際標(biāo)準(zhǔn),采用PDCA過程方法,基于風(fēng)險(xiǎn)評(píng)估的風(fēng)險(xiǎn)管理理念,對(duì)企業(yè)是否建立了科學(xué)有效的信息安全管理體系進(jìn)行認(rèn)證。此外,數(shù)據(jù)安全認(rèn)證機(jī)構(gòu)可以結(jié)合數(shù)字產(chǎn)業(yè)實(shí)際,建立健全自己的認(rèn)證標(biāo)準(zhǔn)體系,彌補(bǔ)標(biāo)準(zhǔn)空白、滯后或提高標(biāo)準(zhǔn),以引導(dǎo)數(shù)據(jù)安全保障。


在數(shù)據(jù)安全認(rèn)證的時(shí)間跨度上,既應(yīng)對(duì)互聯(lián)網(wǎng)企業(yè)過去合理期間內(nèi)守法合規(guī)情況進(jìn)行審查,也應(yīng)對(duì)認(rèn)證當(dāng)時(shí)的組織機(jī)構(gòu)設(shè)置、人員配備、隱私政策、技術(shù)措施等數(shù)據(jù)安全保障制度作出評(píng)估。一旦經(jīng)過全面評(píng)估認(rèn)定符合認(rèn)證標(biāo)準(zhǔn),就應(yīng)當(dāng)作出認(rèn)證決定,及時(shí)頒發(fā)認(rèn)證證書。對(duì)于認(rèn)證標(biāo)志的使用期限,《通用數(shù)據(jù)保護(hù)條例》規(guī)定認(rèn)證的有效期最長(zhǎng)為3年,如果相關(guān)要求繼續(xù)滿足,在相同條件下可以續(xù)期。對(duì)于中國(guó)數(shù)據(jù)安全認(rèn)證的有效期,需要區(qū)分不同的認(rèn)證領(lǐng)域與事項(xiàng),結(jié)合數(shù)字科技易變的特點(diǎn),根據(jù)具體情況合理確立認(rèn)證標(biāo)志的有效期。另外,應(yīng)推動(dòng)建立健全數(shù)據(jù)安全認(rèn)證國(guó)際互認(rèn)體系,促進(jìn)數(shù)字經(jīng)濟(jì)更好地在海外發(fā)展。


應(yīng)確立完善的認(rèn)證程序和結(jié)果異議機(jī)制。如果數(shù)據(jù)安全認(rèn)證機(jī)構(gòu)違反認(rèn)證規(guī)則規(guī)定的程序,隨意增加、減少、遺漏認(rèn)證程序,認(rèn)證申請(qǐng)人可以要求重新認(rèn)證,并可以向相關(guān)部門舉報(bào)投訴。即使認(rèn)證程序合法,但認(rèn)證結(jié)果也可能不夠客觀、公正,所以公開透明的認(rèn)證異議處理機(jī)制十分必要。如果對(duì)認(rèn)證決定有異議,應(yīng)當(dāng)允許認(rèn)證申請(qǐng)人提出申訴。認(rèn)證機(jī)構(gòu)應(yīng)及時(shí)公正處理申請(qǐng)人對(duì)認(rèn)證程序和決定的異議,并書面告知其最終處理結(jié)果。


(三)數(shù)據(jù)安全認(rèn)證跟蹤監(jiān)督


跟蹤監(jiān)督對(duì)于數(shù)據(jù)安全認(rèn)證尤其重要,因?yàn)閿?shù)字科技瞬息萬變,網(wǎng)絡(luò)安全新隱患不斷出現(xiàn)。“認(rèn)證即過時(shí)”可能是常態(tài)。而且,網(wǎng)絡(luò)服務(wù)、數(shù)字產(chǎn)品更新?lián)Q代很快,被認(rèn)證對(duì)象在獲得認(rèn)證后會(huì)有很多新辦法濫用數(shù)據(jù)。既然認(rèn)證機(jī)構(gòu)頒發(fā)了認(rèn)證標(biāo)志,就應(yīng)當(dāng)對(duì)其使用負(fù)有跟蹤監(jiān)督的義務(wù),一旦不符合認(rèn)證標(biāo)志使用條件就應(yīng)當(dāng)及時(shí)作出相應(yīng)處理,否則就可能面臨相應(yīng)的制裁。如北京中大華遠(yuǎn)認(rèn)證中心訴鹽城市亭湖區(qū)市場(chǎng)監(jiān)督管理局案,法院認(rèn)為,認(rèn)證機(jī)構(gòu)“未進(jìn)行有效跟蹤”,導(dǎo)致其發(fā)放的認(rèn)證證書已過期但仍在持續(xù)被使用,所以監(jiān)管機(jī)構(gòu)的處罰并無不當(dāng)。對(duì)于跟蹤監(jiān)督的方式,可采取日常監(jiān)督與專項(xiàng)監(jiān)督相結(jié)合的方式。如《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(App)安全認(rèn)證實(shí)施規(guī)則》要求,認(rèn)證機(jī)構(gòu)對(duì)獲證App和App運(yùn)營(yíng)者,從獲證App一致性檢查、更新情況、標(biāo)志使用情況、企業(yè)自評(píng)估情況、被舉報(bào)投訴和社會(huì)媒體曝光情況等方面進(jìn)行持續(xù)的日常監(jiān)督,并形成日常監(jiān)督報(bào)告。如果出現(xiàn)獲證App存在個(gè)人信息安全問題并經(jīng)查實(shí)獲證App運(yùn)營(yíng)者負(fù)有責(zé)任時(shí),或組織架構(gòu)、服務(wù)模式等發(fā)生重大變更時(shí),或發(fā)生破產(chǎn)并購(gòu)等可能影響App認(rèn)證特性符合性時(shí),認(rèn)證機(jī)構(gòu)應(yīng)啟動(dòng)專項(xiàng)監(jiān)督。認(rèn)證機(jī)構(gòu)屬于第三方評(píng)定機(jī)構(gòu),發(fā)現(xiàn)被認(rèn)證對(duì)象存在不符合法律、相關(guān)標(biāo)準(zhǔn)時(shí),無權(quán)直接命令認(rèn)證對(duì)象采取相關(guān)措施,但可以及時(shí)向有關(guān)主管部門報(bào)告。當(dāng)前數(shù)據(jù)安全認(rèn)證實(shí)踐的一些做法可能并不是特別妥當(dāng),例如《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(App)安全認(rèn)證實(shí)施規(guī)則》規(guī)定:“發(fā)現(xiàn)不符合時(shí),認(rèn)證機(jī)構(gòu)向認(rèn)證申請(qǐng)方出具不符合報(bào)告,并要求限期整改;逾期未完成整改的,中止認(rèn)證過程。”不管是認(rèn)證機(jī)構(gòu)還是檢測(cè)機(jī)構(gòu),都無權(quán)要求認(rèn)證對(duì)象限期整改或發(fā)布其他命令,因?yàn)檎J(rèn)證不屬于行政檢查或行政審批行為,一般只能按照認(rèn)證合同約定進(jìn)行處理。但認(rèn)證機(jī)構(gòu)要求改正應(yīng)當(dāng)注意一定的度,該撤銷認(rèn)證的就應(yīng)撤銷,否則可能導(dǎo)致更多的違法違規(guī)行為。


由于認(rèn)證機(jī)構(gòu)獲取信息有限,而且數(shù)字科技變化極快,可嘗試建立網(wǎng)絡(luò)用戶投訴舉報(bào)機(jī)制,以彌補(bǔ)跟蹤監(jiān)督信息的匱乏。美國(guó)TRUSTe認(rèn)證機(jī)構(gòu)建立了看門狗爭(zhēng)端解決程序,在線接受投訴對(duì)被認(rèn)證網(wǎng)站不能適當(dāng)處理的隱私糾紛進(jìn)行解決。如果被認(rèn)證網(wǎng)站不接受最終決定有效保障隱私,就會(huì)被撤銷認(rèn)證標(biāo)志,并被列入“不守規(guī)矩的網(wǎng)站”名單。對(duì)于用戶就數(shù)據(jù)安全問題的投訴舉報(bào),認(rèn)證機(jī)構(gòu)有義務(wù)予以深入調(diào)查核實(shí),以準(zhǔn)確判斷認(rèn)證標(biāo)志是否符合繼續(xù)使用的條件。對(duì)于數(shù)據(jù)安全認(rèn)證跟蹤監(jiān)督的最終處理,可以作出繼續(xù)使用認(rèn)證標(biāo)志、限期糾正、暫停使用認(rèn)證標(biāo)志、撤銷認(rèn)證標(biāo)志等決定。


(四)數(shù)據(jù)安全認(rèn)證的責(zé)任分配


數(shù)據(jù)安全認(rèn)證有一定的特殊性,應(yīng)科學(xué)合理確立數(shù)據(jù)安全認(rèn)證機(jī)構(gòu)的法律責(zé)任。在傳統(tǒng)認(rèn)證領(lǐng)域,認(rèn)證機(jī)構(gòu)的民事責(zé)任主要可以分為相應(yīng)的賠償責(zé)任和連帶責(zé)任。首先,對(duì)于虛假認(rèn)證或認(rèn)證結(jié)論嚴(yán)重失實(shí)造成損害的,法律一般規(guī)定認(rèn)證機(jī)構(gòu)應(yīng)承擔(dān)相應(yīng)的賠償責(zé)任?!墩J(rèn)證認(rèn)可條例》第61條規(guī)定,對(duì)于出具虛假的認(rèn)證結(jié)論,或者出具的認(rèn)證結(jié)論嚴(yán)重失實(shí)的,造成損害的,“認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)承擔(dān)相應(yīng)的賠償責(zé)任”?!懂a(chǎn)品質(zhì)量法》第57條第2款同樣規(guī)定,對(duì)于不實(shí)認(rèn)證“應(yīng)當(dāng)承擔(dān)相應(yīng)的賠償責(zé)任”。然而,由于法律規(guī)定寬泛模糊,對(duì)于如何讓認(rèn)證機(jī)構(gòu)承擔(dān)“相應(yīng)的賠償責(zé)任”,判斷標(biāo)準(zhǔn)并不明確。其次,對(duì)于違反認(rèn)證的跟蹤監(jiān)督義務(wù),法律一般規(guī)定承擔(dān)連帶責(zé)任。《認(rèn)證認(rèn)可條例》第73條規(guī)定,認(rèn)證機(jī)構(gòu)沒有進(jìn)行有效的跟蹤調(diào)查,或者發(fā)現(xiàn)不再符合認(rèn)證要求而沒有及時(shí)采取措施造成損失的,“與生產(chǎn)者、銷售者承擔(dān)連帶責(zé)任”?!懂a(chǎn)品質(zhì)量法》第57條第3款作了同樣的連帶責(zé)任規(guī)定。


從認(rèn)證環(huán)節(jié)上分,可以將數(shù)據(jù)安全認(rèn)證機(jī)構(gòu)的責(zé)任,主要分為數(shù)據(jù)安全認(rèn)證責(zé)任和認(rèn)證后的跟蹤監(jiān)督責(zé)任,分別對(duì)應(yīng)相應(yīng)的賠償責(zé)任和連帶責(zé)任。對(duì)于數(shù)據(jù)安全認(rèn)證的歸責(zé)原則,應(yīng)確立過錯(cuò)責(zé)任原則,而非嚴(yán)格責(zé)任原則,因?yàn)檎J(rèn)證只是第三方評(píng)價(jià),損害的發(fā)生主要源于認(rèn)證對(duì)象的數(shù)據(jù)違法行為,如果認(rèn)證機(jī)構(gòu)不存在過錯(cuò)就不應(yīng)承擔(dān)民事責(zé)任。由認(rèn)證機(jī)構(gòu)承擔(dān)無過錯(cuò)責(zé)任,不僅有失公平,在事實(shí)上也難以完全實(shí)現(xiàn),因?yàn)檎J(rèn)證機(jī)構(gòu)無力承擔(dān)普遍累計(jì)而形成的巨額賠償費(fèi)用,而且無過錯(cuò)責(zé)任還可能阻礙認(rèn)證市場(chǎng)的健康發(fā)展。如果數(shù)據(jù)安全認(rèn)證機(jī)構(gòu)故意進(jìn)行虛假認(rèn)證,屬于特殊的幫助侵權(quán)行為,相應(yīng)的賠償責(zé)任應(yīng)界定為連帶責(zé)任。如果由于沒有盡到合理的審核義務(wù)等過失導(dǎo)致認(rèn)證結(jié)果失實(shí)的,數(shù)據(jù)安全認(rèn)證機(jī)構(gòu)應(yīng)承擔(dān)補(bǔ)充責(zé)任。如果數(shù)據(jù)安全認(rèn)證機(jī)沒有及時(shí)履行跟蹤監(jiān)督的法定作為義務(wù),應(yīng)承擔(dān)連帶責(zé)任,此種責(zé)任屬于“特殊不作為義務(wù)連帶責(zé)任類型”。[33]


為了更好地保障數(shù)據(jù)安全認(rèn)證的客觀準(zhǔn)確性,應(yīng)加強(qiáng)對(duì)數(shù)據(jù)安全認(rèn)證違法行為的公法責(zé)任的設(shè)置與追究。盡管通過民事賠償可以彌補(bǔ)數(shù)據(jù)認(rèn)證造成的損害,但數(shù)據(jù)安全認(rèn)證的私法責(zé)任存在一定的限度。首先,數(shù)據(jù)安全認(rèn)證違法行為具有極強(qiáng)的隱蔽性與專業(yè)性,受害者很多時(shí)候可能并不知情,即使知道也難以進(jìn)行有效舉證。其次,難以證明數(shù)據(jù)認(rèn)證違法行為同損害存在因果關(guān)系。由于數(shù)據(jù)具有非獨(dú)占性和可無限復(fù)制性的特點(diǎn),損害可能是由其他眾多主體通過多種途徑違法獲取數(shù)據(jù)造成的,所以要證明損害同違法認(rèn)證、互聯(lián)網(wǎng)企業(yè)濫用數(shù)據(jù)存在因果關(guān)系往往比較困難。最后,損害難以確定。對(duì)于數(shù)據(jù)違法造成的損害,往往難以量化,如對(duì)具有人格權(quán)特性的個(gè)人信息的侵犯,而且即使可以量化,損害可能并不大,數(shù)據(jù)認(rèn)證機(jī)構(gòu)、互聯(lián)網(wǎng)企業(yè)的賠償數(shù)額十分有限,違法成本可能很低。


因此,需要對(duì)數(shù)據(jù)安全認(rèn)證機(jī)構(gòu)設(shè)定較重的公法責(zé)任,彌補(bǔ)數(shù)據(jù)安全私法責(zé)任的限度。通過設(shè)定大額行政罰款,可以提高違法成本,形成威懾效應(yīng),從而有利于減少數(shù)據(jù)安全認(rèn)證違法行為。《通用數(shù)據(jù)保護(hù)條例》設(shè)定了重罰機(jī)制,其第83條規(guī)定,如果數(shù)據(jù)保護(hù)認(rèn)證機(jī)構(gòu)違反法定義務(wù),可能被處以1000萬歐元,或上一財(cái)政年度全球營(yíng)業(yè)總額2%的巨額行政處罰?!秱€(gè)人信息保護(hù)法》雖然對(duì)于違法處理個(gè)人信息的行為,設(shè)定了高達(dá)5000萬元或者上一年度5%的罰款,但并沒有專門對(duì)違法認(rèn)證作出責(zé)任規(guī)定?;诔杀臼找嬖砗拓惾~斯納什均衡,罰款金額越高,即便在被處罰的概率下降的情況下,也越能有效遏制違法行為。除了可以借鑒域外數(shù)據(jù)保護(hù)經(jīng)驗(yàn)加重行政責(zé)任外,還需要合理設(shè)定數(shù)據(jù)安全認(rèn)證機(jī)構(gòu)的刑事責(zé)任,但應(yīng)保持刑罰的謙抑性,防止對(duì)數(shù)據(jù)安全認(rèn)證市場(chǎng)發(fā)展和數(shù)字科技創(chuàng)新造成毀滅性破壞。


四、展望:數(shù)字時(shí)代個(gè)人信息保護(hù)的第三方規(guī)制


數(shù)據(jù)安全認(rèn)證體制機(jī)制的法治構(gòu)建,實(shí)際上體現(xiàn)了數(shù)字時(shí)代個(gè)人信息保護(hù)的新探索,反映了傳統(tǒng)政府職能與規(guī)制方式的深刻轉(zhuǎn)變。在數(shù)字時(shí)代,數(shù)據(jù)的價(jià)值得到空前凸顯,數(shù)據(jù)已經(jīng)成為了新的關(guān)鍵生產(chǎn)要素而具有重要的商業(yè)價(jià)值。“得數(shù)據(jù)者得天下”。然而,當(dāng)前法治化的數(shù)據(jù)要素市場(chǎng)并未完全形成,過度收集、利用數(shù)據(jù)的違法甚至犯罪現(xiàn)象還比較常見,但傳統(tǒng)的政府規(guī)制弊端凸顯。作為第三方規(guī)制的數(shù)據(jù)安全認(rèn)證,不僅對(duì)個(gè)人信息保護(hù)和數(shù)字經(jīng)濟(jì)發(fā)展具有重要價(jià)值,而且實(shí)際上是彌補(bǔ)數(shù)字時(shí)代政府規(guī)制缺陷的現(xiàn)實(shí)需要,是深化“放管服”改革的必然要求。


(一)彌補(bǔ)數(shù)字時(shí)代政府規(guī)制缺陷的現(xiàn)實(shí)需要


在數(shù)字時(shí)代,面對(duì)新經(jīng)濟(jì)日新月異的新業(yè)態(tài)、新科技,傳統(tǒng)的政府規(guī)則往往“捉襟見肘、力不從心”。互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能、信息技術(shù)等對(duì)傳統(tǒng)的行政管理方式及其理論形成了挑戰(zhàn)。對(duì)于個(gè)人信息保護(hù)而言,當(dāng)然離不開公正、高效的政府規(guī)制,但卻存在現(xiàn)實(shí)困境。


首先,由于政府獲取違法信息的有限性與滯后性,個(gè)人信息保護(hù)的政府規(guī)制實(shí)效性不高。面對(duì)各行業(yè)、各領(lǐng)域日益增多的數(shù)據(jù)處理行為,如大量移動(dòng)應(yīng)用程序App超范圍收集個(gè)人信息,政府實(shí)際上無法及時(shí)獲取相關(guān)信息進(jìn)行“無縫隙、無死角”的規(guī)制。個(gè)人信息處理守法合規(guī)的真實(shí)狀況,政府往往難以全面掌握。政府規(guī)制部門缺乏充足的信息掌控,“無從獲知市場(chǎng)主體違規(guī)行為的比重,也很難調(diào)查確認(rèn)合規(guī)信息真實(shí)與否”。


其次,個(gè)人信息保護(hù)的政府規(guī)制存在“知識(shí)供給不足”的專業(yè)性缺陷。在數(shù)字科技高速發(fā)展的當(dāng)代,良好的政府規(guī)制更加需要與時(shí)俱進(jìn)的新知識(shí)。侵犯?jìng)€(gè)人信息的數(shù)字科技日益先進(jìn),但政府職能部門雖然具有專業(yè)機(jī)構(gòu)的色彩,但“行政技能的要求往往超過了其專業(yè)性”。政府運(yùn)用傳統(tǒng)手段通過行政檢查、行政處罰等方式,無法全面預(yù)防與糾正個(gè)人信息處理違法行為,法律實(shí)施效果不佳。再次,受人員不足、財(cái)政縮緊等現(xiàn)實(shí)條件的制約,個(gè)人信息保護(hù)的政府規(guī)制作用有限。人類已進(jìn)入數(shù)字時(shí)代,無論是企業(yè)的經(jīng)濟(jì)活動(dòng),還是普通公民的社會(huì)生活,都存在大量的個(gè)人信息處理行為。僅僅依靠有限的人財(cái)物實(shí)施政府規(guī)制,無法有效保障個(gè)人信息安全。


最后,政府規(guī)制存在“運(yùn)動(dòng)式執(zhí)法”“選擇性執(zhí)法”“規(guī)制俘獲”“權(quán)力尋租”等難以完全根除的反法治現(xiàn)象,導(dǎo)致大量侵犯?jìng)€(gè)人信息的違法行為得不到及時(shí)有效的責(zé)任追究。如對(duì)APP侵害用戶權(quán)益的專項(xiàng)整治行動(dòng)雖然取得了很大成效,但卻存在執(zhí)法的不確定性、不平等性、短期性等弊端。傳統(tǒng)政府規(guī)制以命令與控制為主,強(qiáng)調(diào)對(duì)抗、通過威懾實(shí)現(xiàn)法律遵從,導(dǎo)致出現(xiàn)對(duì)立的僵局影響治理效果,而且因行政任務(wù)擴(kuò)張無力應(yīng)對(duì),“各部門行政法領(lǐng)域紛紛出現(xiàn)‘規(guī)制失靈’現(xiàn)象”。


作為第三方規(guī)制的數(shù)據(jù)安全認(rèn)證,可以彌補(bǔ)數(shù)字時(shí)代政府規(guī)制的缺陷,減輕政府保障數(shù)據(jù)安全的公共任務(wù)負(fù)擔(dān)。其一,數(shù)據(jù)安全認(rèn)證可以填補(bǔ)政府規(guī)制的“盲區(qū)”。通過采取同行評(píng)審的合作方式,而非單方命令與強(qiáng)制的管理手段,數(shù)據(jù)安全認(rèn)證機(jī)構(gòu)能夠獲取更為準(zhǔn)確、充分的信息,“更容易發(fā)現(xiàn)和糾正被規(guī)制者的不遵從行為”。其二,數(shù)據(jù)安全認(rèn)證比政府規(guī)制更具有回應(yīng)性。認(rèn)證機(jī)構(gòu)可能更熟知產(chǎn)業(yè)界和數(shù)據(jù)主體的需求,有更強(qiáng)的行動(dòng)能力,能夠“更為快捷地制定出更具回應(yīng)性、可行性的認(rèn)證標(biāo)準(zhǔn)”。在個(gè)人信息保護(hù)的國(guó)家法律規(guī)范匱乏或滯后時(shí),認(rèn)證機(jī)構(gòu)還可以制定個(gè)人信息安全保護(hù)規(guī)則或標(biāo)準(zhǔn),及時(shí)填補(bǔ)國(guó)家立法空白。通過制定相關(guān)標(biāo)準(zhǔn),可以有效發(fā)揮軟法的實(shí)驗(yàn)、學(xué)習(xí)和漸進(jìn)改進(jìn)的優(yōu)勢(shì),從而可以更切實(shí)際地實(shí)施更加高效的第三方規(guī)制。其三,數(shù)據(jù)安全認(rèn)證可以有效彌補(bǔ)政府規(guī)制資源的匱乏。通過充分發(fā)揮第三方機(jī)構(gòu)的力量,數(shù)據(jù)安全認(rèn)證可以將成本費(fèi)用轉(zhuǎn)移到產(chǎn)業(yè)界,緩解政府規(guī)制的壓力。數(shù)據(jù)安全認(rèn)證機(jī)構(gòu)可以有效分擔(dān)政府的數(shù)據(jù)安全保障任務(wù)。認(rèn)證適合于“規(guī)制需求日益增長(zhǎng)但政府資源不斷減少的時(shí)代”。而且,認(rèn)證機(jī)構(gòu)能夠隨時(shí)較為靈活地配置所需的人才和設(shè)施,“撤銷不合格的認(rèn)證機(jī)構(gòu)的資格,可能比解雇不稱職的政府檢查員要容易得多。”在認(rèn)證市場(chǎng)競(jìng)爭(zhēng)壓力下,數(shù)據(jù)安全認(rèn)證機(jī)構(gòu)的專業(yè)性會(huì)不斷提高。


數(shù)據(jù)安全認(rèn)證對(duì)于個(gè)人信息保護(hù)尤為重要。數(shù)據(jù)處理主要會(huì)對(duì)國(guó)家、企業(yè)或個(gè)人造成安全威脅。數(shù)據(jù)安全審查、網(wǎng)絡(luò)安全審查可以有效解決數(shù)據(jù)處理對(duì)國(guó)家造成的安全威脅,企業(yè)的風(fēng)險(xiǎn)內(nèi)控制度可以有力保障企業(yè)的數(shù)據(jù)安全,而對(duì)于作為數(shù)據(jù)主體的個(gè)人而言則處于弱勢(shì)地位。大量個(gè)人信息并不被個(gè)人控制,經(jīng)常處于被單方處理的狀態(tài),個(gè)人信息安全問題隨時(shí)可能爆發(fā)。作為專業(yè)的第三方評(píng)定機(jī)制,數(shù)據(jù)安全認(rèn)證可以很好地逼迫互聯(lián)網(wǎng)企業(yè)提升個(gè)人信息保護(hù)水平,能夠有效彌補(bǔ)政府個(gè)人信息保護(hù)的政府規(guī)制缺陷,從而有利于保障個(gè)人信息安全。


(二)深化“放管服”改革的必然要求


構(gòu)建法治化的數(shù)據(jù)安全認(rèn)證機(jī)制,不僅是彌補(bǔ)數(shù)字時(shí)代政府規(guī)制缺陷的現(xiàn)實(shí)需要,更是深化“放管服”改革的必然要求,有利于優(yōu)化數(shù)字經(jīng)濟(jì)的營(yíng)商環(huán)境。2015年5月,“放管服”改革即“簡(jiǎn)政放權(quán)、放管結(jié)合、優(yōu)化服務(wù)”的概念,在國(guó)務(wù)院召開的全國(guó)推進(jìn)簡(jiǎn)政放權(quán)放管結(jié)合職能轉(zhuǎn)變工作電視電話會(huì)議首次被提出。2020年5月,李克強(qiáng)總理在政府工作報(bào)告中提出,“深化‘放管服’改革”?!胺殴芊备母锸钱?dāng)下中國(guó)最為重要的刀刃向內(nèi)的政府自我變革,旨在推進(jìn)政府職能的深刻轉(zhuǎn)變,從根本上解放和發(fā)展生產(chǎn)力?,F(xiàn)代國(guó)家權(quán)力呈現(xiàn)多元化與社會(huì)化的趨勢(shì),“政府職能將不斷弱化、轉(zhuǎn)移,社會(huì)將承擔(dān)越來越多的管理職能?!眰€(gè)人信息保護(hù)屬于政府不可推卸的職責(zé),但這并不表明政府應(yīng)當(dāng)包攬一切。


目前中國(guó)存在的大量事業(yè)單位型、國(guó)有企業(yè)型認(rèn)證機(jī)構(gòu),實(shí)際上是政府職能轉(zhuǎn)變不徹底的結(jié)果?!胺殴芊备母锲惹幸蟾嗟拿駹I(yíng)企業(yè)型和社會(huì)組織型認(rèn)證機(jī)構(gòu),承擔(dān)數(shù)據(jù)安全評(píng)定的公共任務(wù)。在公共性事項(xiàng)上,“優(yōu)先考慮市場(chǎng)或社會(huì)的自我調(diào)節(jié)、自我管理、自我服務(wù)的有效性”?!昂?jiǎn)政放權(quán)就是要把該放的權(quán)放給市場(chǎng)和社會(huì),這樣政府可以騰出更多力量來加強(qiáng)事中事后監(jiān)管、提供公共服務(wù)。”在大力推進(jìn)“放管服”改革的新背景下,政府應(yīng)摒棄“單向度低效率的管理”,不斷通過“放權(quán)減權(quán)來激活市場(chǎng)的活力和社會(huì)的創(chuàng)造力”,充分發(fā)揮數(shù)據(jù)安全認(rèn)證機(jī)構(gòu)的第三方規(guī)制功能。在數(shù)據(jù)安全認(rèn)證機(jī)制中,政府通過直接管理少數(shù)認(rèn)證機(jī)構(gòu)的資質(zhì)與行為,保障其公平競(jìng)爭(zhēng),可以從個(gè)人信息保護(hù)中的大量具體事務(wù)中解脫出來,不必投入大量成本對(duì)所有互聯(lián)網(wǎng)企業(yè)進(jìn)行直接微觀干預(yù)。政府退居幕后管理認(rèn)證機(jī)構(gòu),認(rèn)證機(jī)構(gòu)身處前線提供數(shù)據(jù)安全評(píng)定信息。不僅就事物的本質(zhì)與責(zé)任而言,安全性屬于經(jīng)濟(jì)活動(dòng)參與者的責(zé)任,而且從權(quán)限上來看,安全性也應(yīng)交給市場(chǎng)參與者來做。數(shù)據(jù)安全認(rèn)證更加契合“放管服”改革的理念,有利于實(shí)現(xiàn)以政府為中心的規(guī)制國(guó)向市場(chǎng)與社會(huì)放權(quán),必將成為數(shù)字時(shí)代個(gè)人信息保護(hù)的重要制度。


作為風(fēng)險(xiǎn)規(guī)制和質(zhì)量保證的重要手段,第三方規(guī)制相比于政府規(guī)制具有諸多獨(dú)特的優(yōu)勢(shì),而且是深入推進(jìn)“放管服”改革的必然要求。然而,中國(guó)第三方規(guī)制的力量并未能充分激活,政府規(guī)制一直占據(jù)絕對(duì)的主導(dǎo)地位。政府既當(dāng)“運(yùn)動(dòng)員”又當(dāng)“裁判員”、既“掌舵”又“劃槳”的雙重角色經(jīng)常同時(shí)并存。強(qiáng)調(diào)市場(chǎng)競(jìng)爭(zhēng)與社會(huì)自治的第三方規(guī)制,是公共行政變革的重要推動(dòng)力量,在整個(gè)規(guī)制法體系中占有日益重要的地位?!暗谌揭?guī)制有潛力基于技術(shù)和價(jià)值引導(dǎo)而非公私主體固有的權(quán)限認(rèn)識(shí)和職責(zé)分配,創(chuàng)造出一個(gè)新型的治理模式?!?/span>


結(jié)語


在深入推進(jìn)“放管服”改革和國(guó)家治理能力現(xiàn)代化的背景下,構(gòu)建法治化的數(shù)據(jù)安全認(rèn)證體制機(jī)制,不僅是保障數(shù)據(jù)安全的現(xiàn)實(shí)需要,而且是彌補(bǔ)數(shù)字時(shí)代政府規(guī)制缺陷的迫切需求。作為去中心化的第三方規(guī)制,數(shù)據(jù)安全認(rèn)證是一種全新理念。第三方規(guī)制同政府規(guī)制、自我規(guī)制一道共同構(gòu)成了完善的規(guī)制法體系。然而,也不宜過度夸大數(shù)據(jù)安全認(rèn)證的價(jià)值。盡管第三方規(guī)制可以克服市場(chǎng)競(jìng)爭(zhēng)與政府規(guī)制的“雙重失靈”,但其本身卻存在缺乏足夠的公眾參與、程序不夠透明、缺乏民主問責(zé)監(jiān)督等合法性質(zhì)疑,認(rèn)證也可能“失靈”。數(shù)據(jù)安全認(rèn)證機(jī)制確立之初,必然會(huì)產(chǎn)生“認(rèn)證成管理”“認(rèn)證變認(rèn)錢”等一些亂象。一方面,發(fā)展初期的認(rèn)證機(jī)制本來就不健全,私人規(guī)制逐利的固有缺陷難以立即完全消除;另一方面,長(zhǎng)期以來政企不分、政事不分,認(rèn)證機(jī)構(gòu)短期內(nèi)可能難以做到真正完全獨(dú)立。但不能因噎廢食,良好的第三方規(guī)制,需要持續(xù)的社會(huì)文化熏陶與法治體系建設(shè)。數(shù)據(jù)安全認(rèn)證具有不可替代的數(shù)據(jù)安全保障功能。無論是政府規(guī)制,還是企業(yè)的自我規(guī)制,抑或是第三方規(guī)制,都各自存在難以克服的內(nèi)在缺陷。在數(shù)據(jù)成為新生產(chǎn)要素的數(shù)字時(shí)代,需要政府、互聯(lián)網(wǎng)企業(yè)、數(shù)據(jù)安全認(rèn)證機(jī)構(gòu)、網(wǎng)絡(luò)用戶、社會(huì)公眾等多方主體開展公私合作治理,相互取長(zhǎng)補(bǔ)短,協(xié)同完成保障數(shù)據(jù)安全并促進(jìn)數(shù)據(jù)高效流通利用的公共任務(wù),以最終實(shí)現(xiàn)數(shù)據(jù)強(qiáng)國(guó)。


圖片2.png


《數(shù)字法治》專題由華東政法大學(xué)數(shù)字法治研究院供稿。專題統(tǒng)籌:秦前松、

編輯:海洋

已經(jīng)到底部