文 | 中国网络安全审查技术与认证中心 王凤娇 陈世翔 李子涵
自欧盟《通用数据保护条例》(GDPR)生效以来,个人信息保护的合规已成为活跃在欧盟境内的公司和公共管理部门的核心要求。因此,作为 GDPR 认可的有效合规工具——GDPR 下数据保护认证机制的研究及实施推进情况一直备受全球关注。2022 年 10 月 10 日,欧盟数据保护委员会(EDPB)公布了对 Europrivacy 认证标准的批准意见,使得该认证标准成为欧盟通用标准,经评估后符合这一标准的认证对象,证书中可以获颁欧盟数据保护印章(European Data Protection Seal)。Europrivacy 认证成为目前所有欧盟成员国唯一正式认可的 GDPR 认证机制,本文对 Europrivacy 与我国近期出台的个人信息保护认证制度做了对比分析,以期帮助对个人信息保护认证制度的理解认识、促进制度实施和持续优化完善。
一、Europrivacy 认证基本情况
(一)认证方案所有者
Europrivacy 是通过欧盟研究计划项目研究和开发的认证计划,用于评价、记录、认证和评估对 GDPR 和成员国补充性数据保护法规的遵守情况。它由位于卢森堡的欧盟认证和隐私中心(ECCP)在国际数据保护专家委员会的支持和监督下维护。ECCP 承担方案所有者的职能,负责 Europrivacy 认证方案管理和许可流程,旨在支持数据保护和认证领域的创新技术和解决方案,还直接参与数据保护和认证领域的国际研究和创新。ECCP 自身不作为认证机构颁发证书,致力于保护个人数据的合格认证机构、咨询公司可向 ECCP 申请成为 Europrivacy 的认证机构、咨询机构,但认证机构必须位于欧盟区域内。
(二)认证标准
Europrivacy 认证方案定义了一整套基于事实的详细标准,以最大限度地降低评估符合性时的主观性风险。所有标准均由 ECCP 及其欧盟国际数据保护专家委员会维护和更新,为此已经制定了一个具体的方法和标准格式。这些标准全面涵盖 GDPR 以及成员国或特定行业领域的补充要求(如适用)。具体包括:识别所处理的个人数据;遵守向数据主体提供数据处理信息的要求;处理的合法性,并在适用的情况下遵守“事先知情同意”要求;遵守有关未成年人年龄的要求;通过设计和默认遵守收集个人数据最小化原则;遵守 GDPR 规定的透明性原则;个人数据流分析,包括数据处理者和跨境数据传输问题;个人数据生命周期和个人数据保留期的最小化;有效落实数据主体的权利;间接数据收集的存在和一致性;实施适当措施,在自动化个人决策的背景下保护数据主体的权利和自由以及合法利益;所收集数据的安全性、有效保护和完整性;控制者实施适当的技术和组织措施来保护数据;如果使用数据处理者,则使控制者能够确保其处理者提供足够的保证以实施适当的技术和组织措施的程序和协议;如果包含在商定的范围中,则补充国家和/或领域特定的规范性要求和标准。
(三)认证范围和适用对象
数据控制者和处理者都有资格申请 Europrivacy 认证。Europrivacy 认证可以在任何地方用于评估对 GDPR 的遵守情况,但证书的发放不适用于没有为数据主体的权利和自由提供充分保障的司法管辖区。
由于其混合模型,Europrivacy 几乎适用于所有数据处理活动,包括人工智能、区块链、电子卫生和物联网等创新技术。但也有一些特定的排除项,例如生物医学数据。尽管 Europrivacy 可以应用于不同的评估目标,但根据 GDPR 第 42 条,只有数据处理活动才能获得认证。因此,对于欧盟司法管辖区,不可能根据 GDPR 一次性对整个公司甚至公司的整个管理系统进行认证。这一要素的积极方面是可以逐步认证合规性,从优先的数据处理活动开始,逐步将认证扩展到更多的数据处理。
(四)认证流程
认证流程分为以下几个主要步骤。
首先,在 Europrivacy 资源和工具“welcome pack”以及合格合作伙伴的支持下,准备并记录申请方对 Europrivacy 标准的遵守情况,以降低申请方的风险。
其次,通过合格的认证机构证明申请方数据处理的合规性。认证机构必须得到 ECCP 的授权,并具有国家主管当局的有效认可。该证书在欧盟官方证书登记处公布,以便第三方对其进行认证并防止伪造。
再次,借助在线资源和工具(包括合规性要求的持续更新和年度监督审核),维护和增强申请方的合规性。
图 Europrivacy 认证流程
(五)认证优势
Europrivacy 可以评价、记录、认证和评估对 GDPR 和补充性数据保护法规(非欧盟法律法规、领域和技术特定的法规)的遵守情况,证书的有效期为三年,可续期。它使申请人能够识别和降低其风险,证明和评估其合规性,并提高其声誉和市场准入。
Europrivacy 是根据 ISO/IEC 17065 和 GDPR 第 42 条开发的,它远不止是一个简单的认证计划。它提供了一套全面的在线资源和服务,以有效地实施、增强和展示数据保护合规性,由合格合作伙伴社区、在线学院、社区网站和在线工具提供支持。
二、Europrivacy 认证与我国个人信息保护认证对比分析
2022 年 11 月 4 日,国家市场监督管理总局、国家互联网信息办公室联合发布了《关于实施个人信息保护认证的公告》,标志着我国个人信息保护认证制度正式建立。为了更好地理解我国个人信息保护认证制度、推进制度的有效落地实施、切实发挥作用,本文对 Europrivacy 认证和我国个人信息保护认证,从认证机制涉及的核心要素上做了对比分析。从认证范围和适用对象、认证标准、认证流程等几个认证方案的核心要素来看,Europrivacy认证和个人信息保护认证具有较高的相似度,但也存在一些显著不同和差距,值得关注和借鉴。
(一)从认证范围和适用对象来看
Europrivacy 认证申请主体为个人数据控制者和处理者,个人信息保护认证的申请主体为个人信息处理者。由于《个人信息保护法》中没有“个人信息控制者”的概念,“处理者”是能决定处理目的和处理方式的个人或组织,因此应该理解为包含了欧盟 GDPR 意义上的控制者。Europrivacy 认证和个人信息保护认证的对象都是针对个人数据处理活动的合规性认证,因此,在认证申请主体和认证对象上基本一致。但 Europrivacy 认证明确提出了例外情况,包括不适用于生物医学数据的情况,不适用跨境认证情形。相比之下,我国个人信息保护认证是依据《个人信息保护法》第 38 条第 2 款而建立,首要目的是提供一种跨境处理个人信息的合法途径。同时,对于不涉及跨境处理个人信息业务的个人信息处理者,可通过认证证明其个人信息处理活动符合标准要求。
(二)从认证依据标准来看
公开的 Europrivacy 认证标准所覆盖的 14 个方面,我国个人信息保护认证依据的标准 GB/T 35273-2020《个人信息安全规范》均有所考虑并做了细化要求。值得注意的是,Europrivacy 认证标准在通过设计和默认遵守收集个人数据最小化原则方面的实践和探索更进了一步,这源于 GDPR 将通过设计和默认实现数据保护理念作为一个重要考量,希望推动将数据保护集成到数据处理活动和业务实践当中。同时,Europrivacy 认证标准第 15 方面提及的“如果包含在商定的范围中,则补充国家和/或领域特定的规范性要求和标准”,使得认证机制在满足欧盟通用要求的基础上,根据成员国和/或领域特定需求具有一定剪裁和调整空间。这两个方面值得我们深入研究借鉴。但在个人信息跨境传输方面,Europrivacy认证标准只要求个人数据在传输到第三国时应按照 GDPR 第 5 章要求得到充分保护,并未做具体的要求。相比之下,我国个人信息保护认证机制针对个人信息跨境处理情形的标准 TC260-PG-20222A《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》对个人信息跨境处理作出了具体的要求,是落实《个人信息保护法》38条要求的个人信息跨境处理的合法途径之一,在这个方面比 Europrivacy 认证标准更进一步。
(三)从认证流程和模式来看
Europrivacy 认证将合规支持作为认证流程的第一步,由 ECCP 授权的咨询机构按照认证标准要求为申请主体提供辅导和支持。申请主体的数据处理满足对标准的符合性和适宜性后,向 ECCP 授权的认证机构提出认证申请。认证机构通过快速检查来评估和进行差距分析,出具审计报告后请申请主体进行整改,整改通过后颁发证书并进行证后的监督审计。整体来看,这个过程已不只是一个认证项目,它是一个由 ECCP 主导的认证生态圈,提供了一套全面的在线资源和服务,以有效地帮助企业实现、提高和证明其数据保护的合规性。从目前公开的信息来看,整个过程以线上服务的方式进行,具体的评价方法和手段不得而知、有待继续跟踪研究,为后续优化完善个人信息保护认证流程和方法提供参考输入。
但同时,作为与首个欧盟级数据保护印章同期推出的认证方案,我国个人信息保护认证与 2022 年 6 月已出台的数据安全管理认证一样,在借鉴了欧盟 EDPB 前期关于认证机制研究报告和指南文件中相关理念和成果的基础上,从认证机制落地和确保认证有效性层面做了更进一步的探索。作为一项新认证形态的探索,聚焦认证作为合格评定工具的本质,抓住认证实施关键环节,创新了认证模式,采用技术验证+现场审核+获证后监督的模式,最大化地保证认证实施的有效性,提供认证结果的权威性、可信性。
三、Europrivacy 认证的启示
Europrivacy 认证机制作为首个欧盟区域的认证方案,其做法和经验对完善我国个人信息保护认证制度具有重要参考意义,值得进一步研究借鉴。
一是在“通过设计和默认实现数据保护”理念方面的实践和探索、标准的细化要求等方面,可以成为个人信息保护认证评价指标和相关标准完善的参考输入,以此促进我国业界将“通过设计和默认实现数据保护”理念融入到业务的开发和实践中,降低个人信息保护成本的同时促进我国个人信息保护整体水平的提升。
二是在认证流程方面,将“合规支持”作为认证的第一步,对认证的定位和作用进行了扩展,在对企业实现合规进行辅导和支持的基础上,证明其满足标准要求,适应了当前数字经济时代企业实现合规的需求,也是符合数据认证作为一种新的认证形态所具有的特殊性和复杂性特点的需要。
三是在在线资源和工具方面,通过丰富的在线资源和工具,对企业进行辅导、支持和监督,提供政策法规更新、监管资讯等附加服务,为后续加强我国个人信息保护认证能力建设提供了参考思路。
四是积极跟踪 Europrivacy 认证机制等国际个人信息保护认证制度和机制的进展,结合我国的制度实施实践中总结的经验和问题,积极参与国际性个人信息保护、个人信息跨境流动相关规则的制定,促进国际交流互动,适时探索国际互认。
四、结 语
数据作为一种新型生产要素,具有海量、可复制、可移动等许多新的特点,与其载体密不可分,与业务场景、系统架构等具有很强的伴生关系,所以数据相关认证也是一种新的认证形态、一种新生事物,相较于传统的网络安全产品和服务认证,具有新的特殊性和复杂性,对数据认证的基本特点和本质属性进行探究仍要继续。尽管 GDPR 在法律层面提出了认证认可机制,但要推进该机制的落地实施,仍有诸多问题需要探索明确。为此,欧盟委员会和欧盟数据保护委员会组织开展了大量研究,发布指南和研究报告为实际操作中的重点问题提供指导和参考。Europrivacy 认证机制的出台也是 GDPR 下认证认可机制落实的一个重要里程碑,其实施经验、效果等值得跟踪研究。
(本文刊登于《中国信息安全》杂志2023年第2期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。