前沿 | 首個歐盟數據保護印章——Europrivacy 認證機制分析及啟示
自歐盟《通用數據保護條例》(GDPR)生效以來,個人信息保護的合規已成為活躍在歐盟境內的公司和公共管理部門的核心要求。因此,作為 GDPR 認可的有效合規工具——GDPR 下數據保護認證機制的研究及實施推進情況一直備受全球關注。2022 年 10 月 10 日,歐盟數據保護委員會(EDPB)公布了對 Europrivacy 認證標準的批準意見,使得該認證標準成為歐盟通用標準,經評估后符合這一標準的認證對象,證書中可以獲頒歐盟數據保護印章(European Data Protection Seal)。Europrivacy 認證成為目前所有歐盟成員國唯一正式認可的 GDPR 認證機制,本文對 Europrivacy 與我國近期出臺的個人信息保護認證制度做了對比分析,以期幫助對個人信息保護認證制度的理解認識、促進制度實施和持續優化完善。
一、Europrivacy 認證基本情況
(一)認證方案所有者
Europrivacy 是通過歐盟研究計劃項目研究和開發的認證計劃,用于評價、記錄、認證和評估對 GDPR 和成員國補充性數據保護法規的遵守情況。它由位于盧森堡的歐盟認證和隱私中心(ECCP)在國際數據保護專家委員會的支持和監督下維護。ECCP 承擔方案所有者的職能,負責 Europrivacy 認證方案管理和許可流程,旨在支持數據保護和認證領域的創新技術和解決方案,還直接參與數據保護和認證領域的國際研究和創新。ECCP 自身不作為認證機構頒發證書,致力于保護個人數據的合格認證機構、咨詢公司可向 ECCP 申請成為 Europrivacy 的認證機構、咨詢機構,但認證機構必須位于歐盟區域內。
(二)認證標準
Europrivacy 認證方案定義了一整套基于事實的詳細標準,以最大限度地降低評估符合性時的主觀性風險。所有標準均由 ECCP 及其歐盟國際數據保護專家委員會維護和更新,為此已經制定了一個具體的方法和標準格式。這些標準全面涵蓋 GDPR 以及成員國或特定行業領域的補充要求(如適用)。具體包括:識別所處理的個人數據;遵守向數據主體提供數據處理信息的要求;處理的合法性,并在適用的情況下遵守“事先知情同意”要求;遵守有關未成年人年齡的要求;通過設計和默認遵守收集個人數據最小化原則;遵守 GDPR 規定的透明性原則;個人數據流分析,包括數據處理者和跨境數據傳輸問題;個人數據生命周期和個人數據保留期的最小化;有效落實數據主體的權利;間接數據收集的存在和一致性;實施適當措施,在自動化個人決策的背景下保護數據主體的權利和自由以及合法利益;所收集數據的安全性、有效保護和完整性;控制者實施適當的技術和組織措施來保護數據;如果使用數據處理者,則使控制者能夠確保其處理者提供足夠的保證以實施適當的技術和組織措施的程序和協議;如果包含在商定的范圍中,則補充國家和/或領域特定的規范性要求和標準。
(三)認證范圍和適用對象
數據控制者和處理者都有資格申請 Europrivacy 認證。Europrivacy 認證可以在任何地方用于評估對 GDPR 的遵守情況,但證書的發放不適用于沒有為數據主體的權利和自由提供充分保障的司法管轄區。
由于其混合模型,Europrivacy 幾乎適用于所有數據處理活動,包括人工智能、區塊鏈、電子衛生和物聯網等創新技術。但也有一些特定的排除項,例如生物醫學數據。盡管 Europrivacy 可以應用于不同的評估目標,但根據 GDPR 第 42 條,只有數據處理活動才能獲得認證。因此,對于歐盟司法管轄區,不可能根據 GDPR 一次性對整個公司甚至公司的整個管理系統進行認證。這一要素的積極方面是可以逐步認證合規性,從優先的數據處理活動開始,逐步將認證擴展到更多的數據處理。
(四)認證流程
認證流程分為以下幾個主要步驟。
首先,在 Europrivacy 資源和工具“welcome pack”以及合格合作伙伴的支持下,準備并記錄申請方對 Europrivacy 標準的遵守情況,以降低申請方的風險。
其次,通過合格的認證機構證明申請方數據處理的合規性。認證機構必須得到 ECCP 的授權,并具有國家主管當局的有效認可。該證書在歐盟官方證書登記處公布,以便第三方對其進行認證并防止偽造。
再次,借助在線資源和工具(包括合規性要求的持續更新和年度監督審核),維護和增強申請方的合規性。
圖 Europrivacy 認證流程
(五)認證優勢
Europrivacy 可以評價、記錄、認證和評估對 GDPR 和補充性數據保護法規(非歐盟法律法規、領域和技術特定的法規)的遵守情況,證書的有效期為三年,可續期。它使申請人能夠識別和降低其風險,證明和評估其合規性,并提高其聲譽和市場準入。
Europrivacy 是根據 ISO/IEC 17065 和 GDPR 第 42 條開發的,它遠不止是一個簡單的認證計劃。它提供了一套全面的在線資源和服務,以有效地實施、增強和展示數據保護合規性,由合格合作伙伴社區、在線學院、社區網站和在線工具提供支持。
二、Europrivacy 認證與我國個人信息保護認證對比分析
2022 年 11 月 4 日,國家市場監督管理總局、國家互聯網信息辦公室聯合發布了《關于實施個人信息保護認證的公告》,標志著我國個人信息保護認證制度正式建立。為了更好地理解我國個人信息保護認證制度、推進制度的有效落地實施、切實發揮作用,本文對 Europrivacy 認證和我國個人信息保護認證,從認證機制涉及的核心要素上做了對比分析。從認證范圍和適用對象、認證標準、認證流程等幾個認證方案的核心要素來看,Europrivacy認證和個人信息保護認證具有較高的相似度,但也存在一些顯著不同和差距,值得關注和借鑒。
(一)從認證范圍和適用對象來看
Europrivacy 認證申請主體為個人數據控制者和處理者,個人信息保護認證的申請主體為個人信息處理者。由于《個人信息保護法》中沒有“個人信息控制者”的概念,“處理者”是能決定處理目的和處理方式的個人或組織,因此應該理解為包含了歐盟 GDPR 意義上的控制者。Europrivacy 認證和個人信息保護認證的對象都是針對個人數據處理活動的合規性認證,因此,在認證申請主體和認證對象上基本一致。但 Europrivacy 認證明確提出了例外情況,包括不適用于生物醫學數據的情況,不適用跨境認證情形。相比之下,我國個人信息保護認證是依據《個人信息保護法》第 38 條第 2 款而建立,首要目的是提供一種跨境處理個人信息的合法途徑。同時,對于不涉及跨境處理個人信息業務的個人信息處理者,可通過認證證明其個人信息處理活動符合標準要求。
(二)從認證依據標準來看
公開的 Europrivacy 認證標準所覆蓋的 14 個方面,我國個人信息保護認證依據的標準 GB/T 35273-2020《個人信息安全規范》均有所考慮并做了細化要求。值得注意的是,Europrivacy 認證標準在通過設計和默認遵守收集個人數據最小化原則方面的實踐和探索更進了一步,這源于 GDPR 將通過設計和默認實現數據保護理念作為一個重要考量,希望推動將數據保護集成到數據處理活動和業務實踐當中。同時,Europrivacy 認證標準第 15 方面提及的“如果包含在商定的范圍中,則補充國家和/或領域特定的規范性要求和標準”,使得認證機制在滿足歐盟通用要求的基礎上,根據成員國和/或領域特定需求具有一定剪裁和調整空間。這兩個方面值得我們深入研究借鑒。但在個人信息跨境傳輸方面,Europrivacy認證標準只要求個人數據在傳輸到第三國時應按照 GDPR 第 5 章要求得到充分保護,并未做具體的要求。相比之下,我國個人信息保護認證機制針對個人信息跨境處理情形的標準 TC260-PG-20222A《網絡安全標準實踐指南—個人信息跨境處理活動安全認證規范》對個人信息跨境處理作出了具體的要求,是落實《個人信息保護法》38條要求的個人信息跨境處理的合法途徑之一,在這個方面比 Europrivacy 認證標準更進一步。
(三)從認證流程和模式來看
Europrivacy 認證將合規支持作為認證流程的第一步,由 ECCP 授權的咨詢機構按照認證標準要求為申請主體提供輔導和支持。申請主體的數據處理滿足對標準的符合性和適宜性后,向 ECCP 授權的認證機構提出認證申請。認證機構通過快速檢查來評估和進行差距分析,出具審計報告后請申請主體進行整改,整改通過后頒發證書并進行證后的監督審計。整體來看,這個過程已不只是一個認證項目,它是一個由 ECCP 主導的認證生態圈,提供了一套全面的在線資源和服務,以有效地幫助企業實現、提高和證明其數據保護的合規性。從目前公開的信息來看,整個過程以線上服務的方式進行,具體的評價方法和手段不得而知、有待繼續跟蹤研究,為后續優化完善個人信息保護認證流程和方法提供參考輸入。
但同時,作為與首個歐盟級數據保護印章同期推出的認證方案,我國個人信息保護認證與 2022 年 6 月已出臺的數據安全管理認證一樣,在借鑒了歐盟 EDPB 前期關于認證機制研究報告和指南文件中相關理念和成果的基礎上,從認證機制落地和確保認證有效性層面做了更進一步的探索。作為一項新認證形態的探索,聚焦認證作為合格評定工具的本質,抓住認證實施關鍵環節,創新了認證模式,采用技術驗證+現場審核+獲證后監督的模式,最大化地保證認證實施的有效性,提供認證結果的權威性、可信性。
三、Europrivacy 認證的啟示
Europrivacy 認證機制作為首個歐盟區域的認證方案,其做法和經驗對完善我國個人信息保護認證制度具有重要參考意義,值得進一步研究借鑒。
一是在“通過設計和默認實現數據保護”理念方面的實踐和探索、標準的細化要求等方面,可以成為個人信息保護認證評價指標和相關標準完善的參考輸入,以此促進我國業界將“通過設計和默認實現數據保護”理念融入到業務的開發和實踐中,降低個人信息保護成本的同時促進我國個人信息保護整體水平的提升。
二是在認證流程方面,將“合規支持”作為認證的第一步,對認證的定位和作用進行了擴展,在對企業實現合規進行輔導和支持的基礎上,證明其滿足標準要求,適應了當前數字經濟時代企業實現合規的需求,也是符合數據認證作為一種新的認證形態所具有的特殊性和復雜性特點的需要。
三是在在線資源和工具方面,通過豐富的在線資源和工具,對企業進行輔導、支持和監督,提供政策法規更新、監管資訊等附加服務,為后續加強我國個人信息保護認證能力建設提供了參考思路。
四是積極跟蹤 Europrivacy 認證機制等國際個人信息保護認證制度和機制的進展,結合我國的制度實施實踐中總結的經驗和問題,積極參與國際性個人信息保護、個人信息跨境流動相關規則的制定,促進國際交流互動,適時探索國際互認。
四、結 語
數據作為一種新型生產要素,具有海量、可復制、可移動等許多新的特點,與其載體密不可分,與業務場景、系統架構等具有很強的伴生關系,所以數據相關認證也是一種新的認證形態、一種新生事物,相較于傳統的網絡安全產品和服務認證,具有新的特殊性和復雜性,對數據認證的基本特點和本質屬性進行探究仍要繼續。盡管 GDPR 在法律層面提出了認證認可機制,但要推進該機制的落地實施,仍有諸多問題需要探索明確。為此,歐盟委員會和歐盟數據保護委員會組織開展了大量研究,發布指南和研究報告為實際操作中的重點問題提供指導和參考。Europrivacy 認證機制的出臺也是 GDPR 下認證認可機制落實的一個重要里程碑,其實施經驗、效果等值得跟蹤研究。
