2022年6月9日,国家市场监督管理总局、国家互联网信息办公室发布了《关于开展数据安全管理认证工作的公告》,基于《信息安全技术 网络数据处理安全要求》(以下简称“GB/T 41479”)等相关标准规范开展数据安全管理认证工作,也可简称DSM认证,鼓励网络运营者通过认证方式规范网络数据处理活动,加强网络数据安全保护,并发布了《数据安全管理认证实施规则》(以下简称“《规则》”)来指导具体的认证工作。
在数据成为新的生产要素的背景下,为了使数据安全认证真正能够客观、公正地发挥第三方评定职能,需要对数据安全认证体制机制进行整体的法治构建。个人信息是数字时代涉及面最为广泛的数据,小编将主要以个人信息保护为视角,对数据安全认证的必要性、认证机构资质、认证机制运行、认证与政府规制的关系等问题进行系统研究,以期探索数据安全认证的法治之道。
01 数据安全认证实施程序和认证标准
数据安全认证行为具有公共性,不仅直接关系到个人信息安全,而且对整个数据要素市场的安全性与诚信度会产生直接影响。为了有效保障数据安全认证的客观性与公正性,更好地实现其第三方规制功能,需要科学合理确定认证机构的资质。
(一)数据安全认证机构应具有独立性
首先,数据安全认证机构应具有独立性,同互联网企业间不应存在利益关联。对于数据安全认证机构资质的规定,应特别注意消除企业型认证机构可能存在的弊端。在自由竞争的成熟认证市场尚未形成之前,企业型认证机构很难以独立于被认证对象。为了缓解生存压力,追求利润最大化,企业型认证机构很容易将认证变为赚钱的工具。中国实行强制性产品认证统一收费制度,对于认证申请费、产品检测费、工厂审查费、批准与注册费、监督复查费、年金、认证标志费等都作了明确的限定,企业型认证机构尤其是民营企业型认证机构,面临的生存压力或许更大。因此应当放宽认证机构的准入门槛,强化自由竞争,充分发挥认证市场优胜劣汰机制的调节功能。
其次,数据安全认证机构应独立于政府。认证的本质属于第三方评价,是认证机构在市场与消费者之间从事的居间活动。如果认证机构同政府有关联,会产生诸多消极后果。其一,认证机构不独立于政府会使得认证无法完全摆脱行政管理色彩和官僚主义弊端,导致“认证变管理”,甚至导致“认证异化为审批”。其二,如果由同政府有关联的机构实施认证,可能导致政府不当干预市场,引发利益输送、权钱交易等腐败行为,使得认证成为财政创收的新途径,或成为少数公职人员中饱私囊的工具。其三,认证机构同政府有关联不利于提高认证服务效率与质量。
为了充分实现认证机构的独立性,应加快培育社会组织型数据安全认证机构。因为无论认证规则如何设计,不管认证市场如何完善,都无法完全消除企业型认证机构为追求利润最大化而作出的不客观公正的认证,也无法总能保障与政府有关联的事业单位型认证机构独立作出客观、公正的认证。
数据保护的国际实践表明,社会组织型认证机构可以克服企业型、事业单位型认证机构的诸多弊端,能够较为独立地开展认证工作。未来数据安全认证体制的构建,需要特别重视培育具有独立性的社会组织型数据安全认证机构。
(二)认证机构应具有高度专业性
数据安全认证是一项专业性极强的工作,只有符合相应专业资质并得到政府认可的机构,才能从事认证工作。当前数据滥用违法犯罪行为种类多样且日新月异,具有极强的隐蔽性与复杂性。数据安全认证不同于对普通产品、服务或管理体系的认证,认证人员既须精通法律又须熟知数字科技。没有高度专业性的认证机构,难以作出权威客观的认证。
相比欧盟对数据保护认证机构的资质更注重软性制度条件而言,中国更加强调认证机构的人、财、物等硬性条件。在认证市场不够成熟的情境下,一定人员数量和相应物质基础的要求,在某种程度上有利于保障认证的质量,但不宜过度强调。为了保障数据安全认证机构的专业性,需要结合数字时代新的生产要素数据和数据处理行为的特点,对其设立条件、人员构成、程序机制、物质要求等事项作出特殊的具体规定。
数据安全认证机构可以通过同检测机构合作,弥补自身专业性不足。认证机构具有相关专业知识可以做出合规判断,但不一定具备相关技术检测能力。专业检测机构可以承担具体检测技术工作,但安全认证证书应由认证机构颁发。为了更高效、更负责任地开展数据安全认证工作,应不断提高认证机构的专业知识与技术能力,逐渐实现认证机构与检测机构的合一。
02 数字时代个人信息保护的第三方规制
(一)弥补数字时代政府规制缺陷的现实需要
首先,由于政府获取违法信息的有限性与滞后性,个人信息保护的政府规制实效性不高。政府往往难以全面掌握个人信息处理守法合规的真实状况。
其次,个人信息保护的政府规制存在“知识供给不足”的专业性缺陷。政府运用传统手段通过行政检查、行政处罚等方式,无法全面预防与纠正个人信息处理违法行为,法律实施效果不佳。
再次,受人员不足、财政缩紧等现实条件的制约,个人信息保护的政府规制作用有限。
最后,政府规制存在“运动式执法”“选择性执法”“规制俘获”“权力寻租”等难以完全根除的反法治现象,导致大量侵犯个人信息的违法行为得不到及时有效的责任追究。
03 协会总结
数据安全认证具有不可替代的数据安全保障功能。无论是政府规制,还是企业的自我规制,抑或是第三方规制,都各自存在难以克服的内在缺陷。在数据成为新生产要素的数字时代,需要政府、互联网企业、数据安全认证机构、网络用户、社会公众等多方主体开展公私合作治理,相互取长补短,协同完成保障数据安全并促进数据高效流通利用的公共任务,以最终实现数据强国。
,