2019年6月4日,欧盟数据保护委员会(EDPB)发布了《针对GDPR第42和第43条有关“认证”规定的指南》(以下称《指南》),对GDPR第42和第43条的规定和实际操作进行了更加详细的阐释。GDPR允许成员国和监管机构采用多种方式实施第42和43条。《指南》就第42和43条规定的解释和实施提供了建议,并将帮助成员国、监管机构和国家认证机构为实施认证机制建立更加一致和统一的机制。
一、出台背景
2018年5月25日正式生效实施的GDPR中在第42条和第43条规定了对数据处理行为进行认证的制度,并对相关的认证机构提出了要求。其中,第42条第1款规定:“为了证明数据控制者或处理者的数据处理行为符合本条例的规定,成员国、监管机构、欧洲数据保护委员会以及欧盟委员会应当倡导,特别是在欧洲范围内,建立数据保护认证机制以及数据保护印章和标志,同时应当考虑到微型、小型和中型企业的具体需求。”第43条第1款规定“.在不影响第 57 条和第 58 条规定的有权监管机构的任务和职权的情况下,具备有关个人数据保护的专业水准的认证机构在为了使其在必要时能够行使第58 条第 2 款(h)项规定的职权而通知监管机构后,应当签发和更新认证。成员国应当确保这些认证机构被以下一个或多个机构认可:(a)本条例第 55 条或者第 56 条规定的有权监管机构;(b)欧盟议会和理事会颁布的《确立关于产品市场营销的认证与市场监督管理的要求的条例》[Regulation(EC)No 765/2008]指定的,并且符合《合格评定——机构证实产品、操作工序和服务合格的要求》(EN-ISO/IEC 17065/2012)的规定和本条例第55条或第56条规定的有权监管机构附加的额外要求的国家认证机构。”
认证机制不仅可以对数据主体提高数据处理行为的透明度,还可以改善业务与业务之间的关系,例如可以改善数据控制者和数据处理者之间的关系。之前在有关GDPR的讨论中指出,建立认证机制可以提高数据处理行为的透明度,确保遵守GDPR的数据保护规定,并让数据主体评估有关产品和服务的数据保护水平。
二、《指南》主要内容
《指南》规定的范围是有限的,它并不是根据GDPR进行认证的程序手册,主要目的是为了明确根据GDPR第42和43条发布的所有类型的认证机制相关的总体要求和标准。为此,《指南》规定的范围包括:一是探索认证作为问责工具的理由;二是解释第42和43条中认证规定的关键概念; 三是解释第42条和第43条可以认证的范围以及认证的目的;四是促进认证结果更加有意义,更加明确,无论认证者是否具有可比性。
《指南》中所阐释的意见主要适用于以下情况:一是主管监管机构和EDPB批准认证标准;二是认证机构在将认证标准提交主管监管机构前对标准进行起草和修订;三是EDPB根据GDPR批准欧洲数据保护印章;四是监管机构起草自己的认证标准;五是欧盟委员会有权采用授权行为明确GDPR第43(8)条规定的认证机制应考虑的要求;六是EDPB根据GDPR第70(1)(q)条和第43(8)条向欧盟委员会提供关于认证要求的意见;七是数据控制者和处理者制定自己的合规策略并将认证视为证明合规性的一种手段;等等。
《指南》对以下关键概念进行了解释:一是“认证”,GDPR中并没有对“认证”进行定义,国际标准组织(ISO)将“认证”定义为“由独立的书面保证机构出具证书证明提供的产品、服务或系统符合特定要求。”认证”也称为“第三方合格评定”,认证机构也可称为合格评定机构(CABs)。在词汇和一般原则(ISO17065参考)中,认证的定义如下:“第三方认证......与产品,流程和服务相关”。《指南》根据《GDPR》第42条和第43条的规定,将认证定义为“与数据控制者和处理者的数据加工行为有关的第三方认证”。二是“认证机制、印章或标记”,GDPR没有对“认证机制、印章或标记”进行定义,而是在条文中统一使用这些术语。《指南》认为证书是符合性声明,印章或标记可用于表示认证程序的成功完成。印章或标记通常是指徽标或符号,其存在(除证书外)表明认证对象已在认证程序中进行独立评估并符合规范文件(如法规、标准或规范)中规定的要求和技术规格。在GDPR认证范围内的这些要求记载于附加要求中,这些要求补充了EN-ISO / IEC 17065/2012中认证机构的认证规则以及主管监管机构或理事会批准的认证标准。GDPR规定下的证书、印章或标记只能在经认可的认证机构或主管监督机构对证据进行独立评估后发布,并说明认证标准已得到满足。
《指南》明确了监管机构的职责:根据GDPR第42(5)条规定,认证应由认可的认证机构或主管监管机构颁发。但GDPR并不会将颁发认证作为监管机构的强制性任务,相反,GDPR允许采取多种形式办法认证,例如,监管机构可以决定以下一个或多个方式:就其自身的认证机制颁发认证;就其自身的认证机制颁发认证,但将评估过程的全部或部分委托给第三方;制定自己的认证机制,并委托认证机构颁发认证; 鼓励市场开发认证机制。如果监管机构选择进行认证,则必须仔细评估其在GDPR下指定任务中的作用,应该在行使其职能时保持透明,并需要特别考虑与调查和执法有关的权力分立,以避免任何潜在的利益冲突。《指南》中还规定了监管机构与认证相关的进一步职责,明确在认证机构非常活跃的成员国,监管机构有权力和义务采取以下措施,包括对认证机制的标准进行评估并作出决定;在计划批准标准时向理事会进行通报决定并考虑委员会的相关意见;在获得认证和认证之前批准认证的标准;公布认证标准;作为欧盟范围内的认证机制的主管机构,可能会产生EDPB批准的欧洲数据保护印章;公布认证机构不发布认证、撤销认证要求或不再符合认证程序或标准的决定。
《指南》明确了认证机构的地位和认证标准的制定要求:认证机构的作用是基于认证机制和批准的标准颁发、审查、更新和撤销认证。这个规定要求认证机构或认证机制所有者确定和设置认证标准和认证程序,包括监测、审查、处理投诉和撤回程序。认证标准是作为认证过程的一部分进行审核,该过程考虑了颁发哪些证明、印章或标记的规则和程序。认证标准的制定应侧重于认证标准的可验证性、重要性和适用性,以证明其符合GDPR。认证标准应以明确和易于理解的方式制定,并允许实际应用。
《指南》明确了可以认证的范围:EDPB认为GDPR规定的进行认证范围非常广泛,重点是帮助证明数据控制者和处理者遵守本法规的处理操作。在评估数据处理行为时,如果适用认证则必须考虑以下三个核心要素:一是个人数据(GDPR的规定范围);二是技术系统,即用于处理个人数据的基础设施,如硬件和软件; 三是和与处理行为相关的过程和程序。
《指南》对认证标准进行了明确。认证标准是认证机制的组成部分。认证程序包括评估的具体方式、人员、评估范围和评估范围的要求,这些评估应在与评估的特定对象或目标(ToE)相关的个别认证项目中进行。而认证标准则提供了评估ToE中定义的实际处理行为的要求。《指南》为定义认证标准的准则提供了一般性建议,有助于评估认证标准以便批准。
三、评价
EDPB发布的该《指南》进一步完善了GDPR框架下的数据认证制度,对完善GDPR的规定和企业遵守都具有积极的意义。
《指南》是对GDPR的完善。认证机制为欧盟的数据保护提供了现代化、问责制和基本权利合规的框架,能够促进GDPR规定的一系列要求和义务。在通过GDPR之前,第29条工作组已经确定认证可以在数据保护中发挥重要作用,此次《指南》的发布更是进一步完善了对认证的相关规定,弥补了GDPR之前规定中的不足和空白,将认证机制规定的更加详细和完善。《指南》的规定使得GDPR更加具有可操作性,在实践中更加具有指导意义。
《指南》对多方主体有益。在下一步GDPR的实施中,不仅能够为监管机构提供更加明确和详细的权力执行依据和措施,也为认证机构在认证过程中的行为确立了如何处理认证相关事项的标准和示范,更为数据处理者和数据控制者的数据相关行为提供了更加合规、更具有可操作性的数据保护措施,一旦通过认证,能够使得数据控制者和数据处理者的行为更加具有可信性,在数据处理过程中能够得到数据主体的授权,数据主体在后续发生数据侵权行为时也能够通过数据认证的证明追究相关责任主体的责任。
作者简介:刘耀华,中国信息通信研究院互联网法律研究中心研究员
声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
