吴沈括
北京师范大学法学院博士生导师
中国互联网协会研究中心副主任
柯晓薇
北京师范大学法学院研究助理
前言
随着信息社会和大数据等技术的快速发展,也伴随而来各种数据安全问题和个人信息泄露的隐患,数据隐私安全逐渐成为全球各国所共同关心的问题。加强数据隐私安全保护的重要性日益凸显,各国都积极通过法律、技术和组织层面的建构,以推动建立数据保护认证机制。其中欧盟数据保护认证旨在鼓励成员国及其数据保护机构、欧盟数据理事会以及欧盟委员会在欧盟层面建立数据保护认证机制,以证明数据控制者和处理者的数据处理活动过程遵循通用数据保护条例GDPR的规定,同时兼顾到中小微企业的特殊需求。
欧洲数据保护委员会(EDPB)通过了德国北威州数据保护监管机构(North Rhine-Westphalia DPA)提交的关于EuroPriSe认证计划的意见,以认证数据处理者的处理活动,同时指出,在确保欧洲经济区数据保护机构之间认证标准的一致性和正确应用的目标下,EuroPriSe认证标准可能导致与GDPR的适用要求不一致,因此,建议需要进行一些修改,以满足GDPR第42条的要求。
一、德国北威州EuroPrise认证的机制要点
此次批准展示了EuroPrise认证机制能够为欧盟的数据保护提供现代化、合规化的标准,能够促进GDPR规定的一系列要求和义务。信息社会中,由于电子监视的存在,也使得人们对IT产品和服务信任感降低,因此,用户常常依赖“诚实信用”使用相关的IT产品和服务。在一定程度上,EuroPrise认证为人们选择数据安全和遵从隐私的产品和服务提供明确的指导。
EuroPriSe认证由德国石勒苏益格-荷尔斯泰因州隐私保护独立中心(ICPP/ULD)引领,旨在提供由独立的第三方签发的在整个欧洲都有效的自愿隐私认证,该机构同8个欧洲国家的数据保护权威机构开展合作,包括奥地利科学院、英国伦敦城市大学,荷兰Borking咨询公司、瑞典安永AB等。
从其认证的产品和服务范围来看,EuroPriSe在充分考虑欧盟成员国的立法的基础上,认证符合欧盟数据保护法的IT产品,不限于移动设备、医疗设备、计算机应用程序或智能娱乐系统。同时其认证由IT技术收集和处理并符合欧盟数据保护法的数据的服务,包括SaaS服务、IT维护服务或HR服务等。即便IT产品和基于IT的服务的制造商和供应商不受欧盟数据保护法的约束,但他们仍能够在保证其处理操作符合欧盟法律的基础上申请欧洲隐私印章。
二、德国北威州EuroPrise认证的流程设计
从其流程和步骤上看,EuroPriSe认证通过引入透明和可修改的程序,动员企业数据隐私方面的竞争,并培养用户的信任。主要均需要经历三个阶段,分别是准备和提前检查阶段、评估验证和决策阶段以及认证检测阶段。整个流程视其评估目标的复杂程度而定,通常会持续三至五个月。一般情况下,两年之后需要再次认证。
(一)第一阶段:首先确定申请项目的认证类型和范围,在与评估人员和认证机构的初步讨论中,讨论有关程序和方法(ToE)的基本问题并确定标准。再由公认的法律和技术专家以及熟悉EuroPriSe方案的保护专家对产品或服务进行审查和评估,以外部法律和技术数据支持,对项目进行toE规范、风险分析和成熟度评估。
(二)第二阶段:在合同签署之后进行进一步的评估,具有资质的认证机构EuroPrise GmbH对评估报告进行交叉检验,审核审计报告的完整性、可理解性和结论性。如果出现问题,应与审核员澄清。随后,编写一份简短的报告,以说明评估的结果。在法律和技术评估以及相关评估报告验证的基础上做出认证决定。
(三)第三阶段:成功实施认证标准后,证书将由EuroPrise GmbH颁发。认证发行的有效期间为两年,在十六个月中对项目实施进行监控,以保证企业履行好相关数据隐私保护职责,使得产品和服务符合欧洲隐私及数据安全的相关规定。
三、德国北威州EuroPrise认证的运行特点
从其标准来看,EuroPriSe认证规则的最新版本不仅包含了GDPR引入的新的法律要求,还整合了其他与数据保护有关的重要欧盟法规,如电子隐私指令。在合法处理数据的基础上,该认证标准对技术组织措施和数据主体权利的保障提出更加严格的要求。EuroPriSe认证会进一步将这些要求“转化”为在审核或认证中能够回答的问题,但是并不是每一个问题都适用于每一种产品或服务,因此,认证机构应确保在任何认证程序中应用相关标准,同时,保证以合理的方式、适当的粒度和统一的可比较的水平回答所有相关问题。
声明:本文来自数字治理全球洞察,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。