個人信息保護認證:實現個人信息保護共同治理的方案
我國近幾年出臺了多部涉及個人信息保護方面的重要法律法規,最重要的是 2021 年 11 月 1 日起施行的《個人信息保護法》。《個人信息保護法》的生效標志著我國個人信息處理者在處理個人信息時有了系統性的基本準則。
《中華人民共和國認證認可條例》規定,認證是指“由認證機構證明產品、服務、管理體系符合相關技術規范、相關技術規范的強制性要求或者標準的合格評定活動。”為證明自身符合《個人信息保護法》的基線要求,個人信息處理者除了可以保留未被監管部門調查的記錄外,還可以提供更直接、更有力的證明,即擁有與個人信息保護相關的認證。為貫徹落實《個人信息保護法》下的個人信息保護認證工作,2022 年 11 月 18 日,國家互聯網信息辦公室、國家市場監督管理總局聯合公布《個人信息保護認證實施規則》。個人信息保護認證工作的啟動,對個人信息處理者提升個人信息保護水平十分重要。
一、作為共同治理方案的個人信息保護認證
通常情況下,有三種監管特定活動或者行為的策略,分別為:(1)“命令和控制”,表述模式一般為“如果-那么”,表現形式為對具體行為的法律規則;(2)國家規定的自我監管,也即共同治理,一般先由相關實體制定關于特定行為或活動的標準,該標準獲得監管機構的認可后,相關實體在其內部落地實施該標準;(3)社會或行業自律。
我國《個人信息保護法》規定的個人信息保護認證,為共同治理的方案之一。同樣歸屬共同治理范疇的還有:歐盟《通用數據保護條例》第四十條和第四十一條規定的行為守則(Codes of Conduct)、第四十二條與第四十三條規定的數據保護認證機制(Certification),以及第四十六條和第四十七條規定的有約束力的公司規則(Binding Corporate Rules)。共同治理策略的重要價值之一在于在監管中為創新預留空間,從而進一步鼓勵市場競爭。因為,在共同治理策略下,監管對象在尋找符合監管目標的最優解決方案時既有規定的方向,又有足夠的“自由發揮空間”;此外,監管對象還可以根據商業中數據處理的具體場景考慮落實監管的方式。我國個人信息保護框架中已有符合《個人信息保護法》的共同治理方案,如《個人信息安全規范》(GB/T-35273)。
共同治理策略具有重要意義,表現在如下兩方面:第一,共同治理策略所確保的法律確定性可以推動創新。雖然企業可以在“命令與控制”監管策略下獲得更精確的法律指引,但是在高度動態和創新的環境中,該策略不可避免地存在僵化、落后的風險。第二,共同治理策略可以向市場參與者(主要是消費者)提供關于個人信息保護水平的信息。通常情況下,產品或服務創新的目標是使產品或服務獲得特定品質以贏得消費者的支持。從《個人信息保護法》的角度來講,個人信息主體必須能夠選擇具有特定“個人信息保護水平”的產品或服務。然而,在缺乏個人信息保護水平衡量標準的情況下,消費者無法比較不同產品或服務的“個人信息保護水平”。原則上,共同治理策略能夠提供明確、標準化的衡量標準,企業從而可以根據該基準向消費者展示其個人信息保護水平。
二、個人信息保護認證適用的特定信息處理活動
個人信息保護認證綜合了技術驗證、現場審核、獲證后監督等內容,本質上非常適合重復、固定且基礎的個人信息處理活動。有鑒于此,下文對個人信息境內處理和跨境流動中適合個人信息保護認證的具體場景進行解析。
首先是個人信息保護認證在境內個人信息處理活動中的具體適用場景。筆者認為,以下三類個人信息處理活動特別適合取得個人信息保護認證。第一,集團式數據處理:集團公司內不同的分公司開展不同的業務,此時集團公司需要建立一個統一的個人信息保護基準,分公司根據該基準以及各自不同的業務建立各自的個人信息保護規則。在上述情況下,集團公司建立的個人信息保護基準適合進行個人信息保護認證。第二,數據中臺:與第一種情況類似,不同點在于,該種情況是同一家公司內部有不同的業務線。這些業務線會把數據匯聚至數據中臺。在該種情況下,數據中臺適合進行個人信息保護認證。第三,生態式業務合作:如果平臺上提供各項服務的合作伙伴固定,那么平臺會與該固定的合作伙伴有固定的數據交互,此種數據交互中涉及的數據處理適合進行個人信息保護認證。
其次是個人信息保護認證在個人信息跨境流動中的具體適用場景。筆者認為,以下兩類個人信息跨境特別適合取得個人信息保護認證:第一,集團公司內的個人信息跨境流動,該種場景與歐盟有約束力的公司規則的適用場景類似。歐盟該種場景下的認證是為了解決歐盟數據在不同國家或地區的同一集團實體之間流動的問題,在實施認證時,可以由集團公司選擇某一實體,向該實體所在國的數據保護機構提出下述申請:確認該集團所實施的數據保護規則所提供的個人信息保護水平滿足歐盟要求。第二,若前述三個境內個人信息處理場景(即集團式數據處理、數據中臺、生態式業務合作),除了境內個人信息處理活動之外,還涉及個人信息的跨境流動,也適宜進行個人信息保護認證。
三、結 語
總之,個人信息保護認證對我國個人信息保護工作來說不可或缺。其最核心的功能在于,在企業滿足《個人信息保護法》規定的“基線要求”的基礎上,為自愿實施更具保護性的制度和措施的企業提供獲得監管部門一定認可的渠道,同時向市場參與者發布該正向信號。企業在決定對何種個人信息處理活動認證時,可以優先考慮重復、固定且對其他個人信息處理活動具有支撐作用的基礎信息處理活動。對該類個人信息處理活動進行認證可以為企業的產品或服務所需的個人信息保護打下堅實的“地基”。
