數(shù)據(jù)安全認證：個人信息保護的第三方規(guī)制

數(shù)據(jù)安全認證：個人信息保護的第三方規(guī)制

作為第三方規(guī)制的數(shù)據(jù)安全認證，可以有效

克服市場與政府的“雙重失靈”，實現(xiàn)數(shù)據(jù)

安全保障和數(shù)字經(jīng)濟發(fā)展的平衡。數(shù)據(jù)安全

認證已逐漸成為全球數(shù)據(jù)治理的重要手段。

《網(wǎng)絡(luò)安全法》第17條明確要求“開展網(wǎng)絡(luò)

安全認證、檢測、風(fēng)險評估等安全服務(wù)”。

《數(shù)據(jù)安全法》第18條第1款原則性的規(guī)定

了數(shù)據(jù)安全認證：“國家促進數(shù)據(jù)安全檢測

評估、認證等服務(wù)的發(fā)展，支持數(shù)據(jù)安全檢

測評估、認證等專業(yè)機構(gòu)依法開展服務(wù)活動?！?/p>

《個人信息保護法》第38條將個人信息保護

認證作為向境外提供個人信息的合法性條件

之一，第62條要求“推進個人信息保護社會

化服務(wù)體系建設(shè)，支持有關(guān)機構(gòu)開展個人信

息保護評估、認證服務(wù)”。實踐中，2019年

國家市場監(jiān)管總局、中央網(wǎng)信辦發(fā)布《關(guān)于

開展App安全認證工作的公告》，旨在規(guī)范

移動互聯(lián)網(wǎng)應(yīng)用程序收集、使用用戶信息特

別是個人信息的行為。歐盟《通用數(shù)據(jù)保護

條例》專門規(guī)定了數(shù)據(jù)保護認證?？梢灶A(yù)見，

隨著數(shù)字經(jīng)濟的不斷發(fā)展壯大，數(shù)據(jù)安全認

證必將在中國得到全面推行。

當(dāng)前對于新興的數(shù)據(jù)安全認證的研究相

對不足。中國建立了產(chǎn)品、服務(wù)、管理體系

等認證制度，如強制性產(chǎn)品CCC認證、藥品

GMP認證、商品售后服務(wù)認證、食品安全管

理體系認證。學(xué)者們從產(chǎn)品質(zhì)量認證、藥品

認證、認證機構(gòu)責(zé)任等方面進行了較多研究。

另有一些學(xué)者探討了第三方規(guī)制、第三方審

核、私人規(guī)制的基本原理，涉及認證的相關(guān)

內(nèi)容。在網(wǎng)絡(luò)法領(lǐng)域，少數(shù)學(xué)者探討了個人

信息安全認證、人工智能安全認證、網(wǎng)絡(luò)安

全認證等內(nèi)容。盡管同屬于認證，但傳統(tǒng)認

證的一些理念與法律制度無法完全直接適用

于數(shù)據(jù)安全認證。在數(shù)據(jù)成為新的生產(chǎn)要素

的背景下，為了使數(shù)據(jù)安全認證真正能夠客

觀、公正地發(fā)揮第三方評定職能，防止認證

機構(gòu)被互聯(lián)網(wǎng)企業(yè)“俘獲”或成為政府的“附

庸”，需要對數(shù)據(jù)安全認證體制機制進行整

體的法治構(gòu)建。個人信息是數(shù)字時代涉及面

最為廣泛的數(shù)據(jù)，本文將主要以個人信息保

護為視角，對數(shù)據(jù)安全認證的必要性、認證

機構(gòu)資質(zhì)、認證機制運行、認證與政府規(guī)制

的關(guān)系等問題進行系統(tǒng)研究，以期探索數(shù)據(jù)

安全認證的法治之道。

一、數(shù)據(jù)安全認證的界定及價值

數(shù)字時代日益得到廣泛適用的數(shù)據(jù)安全

認證，既不屬于企業(yè)實施的自我規(guī)制，也不屬

于傳統(tǒng)的政府規(guī)制。數(shù)據(jù)安全認證本質(zhì)上為第

三方提供的社會化服務(wù)，承擔(dān)著第三方規(guī)制的

角色。構(gòu)建法治化的數(shù)據(jù)安全認證體制機制，

不僅有利于保障數(shù)據(jù)安全，而且可以有效促進

數(shù)字經(jīng)濟的規(guī)范健康發(fā)展。

（一）數(shù)據(jù)安全認證：第三方規(guī)制

數(shù)據(jù)安全認證，是指由認證機構(gòu)證明網(wǎng)絡(luò)

服務(wù)、數(shù)據(jù)產(chǎn)品、管理體系等符合相關(guān)法律規(guī)

范、技術(shù)標準、行業(yè)準則的評定活動，也稱為

信息安全認證。數(shù)據(jù)安全認證主要面向數(shù)字經(jīng)

濟產(chǎn)業(yè)，通過第三方機構(gòu)客觀評定互聯(lián)網(wǎng)企業(yè)

數(shù)據(jù)處理行為的安全性，以提升互聯(lián)網(wǎng)企業(yè)的

數(shù)據(jù)安全保障水平。相比于企業(yè)的自我規(guī)制和

政府的行政規(guī)制而言，數(shù)據(jù)安全認證屬于第三

方規(guī)制，可以有效克服市場與政府的“雙重失

靈”。不同于傳統(tǒng)認證，數(shù)據(jù)安全認證的對象

主要是網(wǎng)絡(luò)服務(wù)或數(shù)據(jù)產(chǎn)品，具有虛擬性和動

態(tài)易變性的特征，認證難度更大。在認證標準

上，數(shù)據(jù)安全認證側(cè)重于對互聯(lián)網(wǎng)企業(yè)現(xiàn)有的

數(shù)據(jù)安全保障制度能力和過去的數(shù)據(jù)處理守

法合規(guī)情況的評定。

數(shù)據(jù)安全認證不同于互聯(lián)網(wǎng)企業(yè)實施的

數(shù)據(jù)保護活動，如個人信息風(fēng)險評估或個人信

息保護影響評估?！秱€人信息保護法》第55

條要求個人信息處理者在處理敏感個人信息、

利用個人信息進行自動化決策、委托處理、向

第三方提供或公開個人信息、向境外提供個人

信息等情形下，均應(yīng)進行個人信息保護影響評

估?！缎畔踩夹g(shù)個人信息安全影響評估指

南》對各類組織自行開展個人信息安全影響評

估提供了標準指南。區(qū)別于企業(yè)的自身行為，

數(shù)據(jù)安全認證最重要的特點是第三方機構(gòu)評

價。

數(shù)據(jù)安全認證不屬于政府行為，同公權(quán)力

機關(guān)實施的數(shù)據(jù)安全檢查、數(shù)據(jù)安全審查、網(wǎng)

絡(luò)安全審查、行政許可等行為存在區(qū)別。首先，

數(shù)據(jù)安全認證不同于數(shù)據(jù)安全檢查。政府職能

部門可以對互聯(lián)網(wǎng)企業(yè)進行數(shù)據(jù)安全檢查，如

開展數(shù)據(jù)安全專項整治活動。雖然在檢查過程

中可以委托第三方機構(gòu)進行檢測，但數(shù)據(jù)安全

檢查的性質(zhì)為行政檢查行為，而數(shù)據(jù)安全認證

則屬于第三方評定行為，不屬于行政行為。數(shù)

據(jù)安全認證以頒發(fā)認證標志為最終結(jié)果，而數(shù)

據(jù)安全檢查后可能實施行政強制、行政處罰等

措施。其次，數(shù)據(jù)安全認證不同于數(shù)據(jù)安全審

查。《數(shù)據(jù)安全法》第23條規(guī)定：“國家建

立數(shù)據(jù)安全審查制度，對影響或者可能影響國

家安全的數(shù)據(jù)處理活動進行國家安全審查。依

法作出的安全審查決定為最終決定?！睌?shù)據(jù)安

全審查屬于政府行為，數(shù)據(jù)安全認證由第三方

認證機構(gòu)實施。再次，數(shù)據(jù)安全認證不同于網(wǎng)

絡(luò)安全審查。網(wǎng)絡(luò)安全審查側(cè)重于保護國家安

全，由國家互聯(lián)網(wǎng)信息辦公室下設(shè)的網(wǎng)絡(luò)安全

審查辦公室負責(zé)實施。網(wǎng)絡(luò)安全審查的條件為，

關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購網(wǎng)絡(luò)產(chǎn)品和服

務(wù)，數(shù)據(jù)處理者開展數(shù)據(jù)處理活動，影響或可

能影響國家安全。比如，2021年6月30日“滴

滴出行”在美國上市，7月2日國家網(wǎng)信辦發(fā)

布公告稱，為防范國家數(shù)據(jù)安全風(fēng)險，維護國

家安全，依法對“滴滴出行”實施網(wǎng)絡(luò)安全審

查。當(dāng)前的數(shù)據(jù)安全審查、網(wǎng)絡(luò)安全審查等制

度，都側(cè)重于維護國家安全。數(shù)據(jù)安全認證側(cè)

重于評定企業(yè)的數(shù)據(jù)處理行為，對用戶造成的

數(shù)據(jù)安全風(fēng)險。最后，數(shù)據(jù)安全認證不同于頒

發(fā)資格證、資質(zhì)證等行政許可行為，也不同于

對有關(guān)事實進行甄別而給予確定或證明的行

政確認行為而屬于第三方規(guī)制行為。

（二）數(shù)據(jù)安全認證的時代價值

無論是對于個人信息的安全保障，還是對

于數(shù)字經(jīng)濟的規(guī)范健康發(fā)展，數(shù)據(jù)安全認證都

有著日益重要的時代價值。數(shù)據(jù)安全認證通過

聲譽評價機制，可以引導(dǎo)、激勵互聯(lián)網(wǎng)企業(yè)守

法合規(guī)經(jīng)營，可以增強用戶對中小微互聯(lián)網(wǎng)企

業(yè)和新興數(shù)字產(chǎn)業(yè)的信任感，可以避免政府為

保障數(shù)據(jù)安全而實施“一刀切”的規(guī)制，可以

滿足社會公眾多元的數(shù)據(jù)安全需求。

其一，數(shù)據(jù)安全認證有利于引導(dǎo)、激勵數(shù)

據(jù)處理者不斷提高數(shù)據(jù)安全保障水平。數(shù)據(jù)安

全認證可以為互聯(lián)網(wǎng)企業(yè)套上“緊箍咒”。為

了防止得不到認證或被撤銷認證，互聯(lián)網(wǎng)企業(yè)

在外在壓力下會不斷提高自身數(shù)據(jù)安全保障

水平，以便不失去并不斷獲取更多的網(wǎng)絡(luò)用戶。

通過第三方評定，數(shù)據(jù)安全認證可以起到對互

聯(lián)網(wǎng)企業(yè)守法合規(guī)情況的規(guī)制功能，激勵其提

高數(shù)據(jù)安全風(fēng)險管理水平，實現(xiàn)“超越合規(guī)遵

從”。通過第三方認證機構(gòu)對互聯(lián)網(wǎng)企業(yè)的數(shù)

據(jù)安全進行評定，并頒發(fā)相關(guān)認證標志，有利

于助推互聯(lián)網(wǎng)企業(yè)的數(shù)據(jù)處理自律。

其二，數(shù)據(jù)安全認證可以增強用戶對中小

微互聯(lián)網(wǎng)企業(yè)和新興數(shù)字產(chǎn)業(yè)的信任感。在缺

乏數(shù)據(jù)安全的網(wǎng)絡(luò)市場中，用戶更愿意相信知

名、大型互聯(lián)網(wǎng)企業(yè)，因為其數(shù)據(jù)安全保障水

平相對較高，發(fā)生損害時也更有能力承擔(dān)賠償

責(zé)任。但對于無數(shù)中小微互聯(lián)網(wǎng)企業(yè)提供的網(wǎng)

絡(luò)產(chǎn)品或服務(wù)，對于大量新興數(shù)字產(chǎn)業(yè)，由于

不被普通公眾所熟知而導(dǎo)致不被信任。獲得了

數(shù)據(jù)安全認證，相當(dāng)于獲得了商業(yè)信譽擔(dān)保，

意味著更多的交易機會。比如，由于“算法黑

箱”導(dǎo)致對人工智能產(chǎn)品存在莫名的恐懼，第

三方認證機制可以增加公眾對使用人工智能

系統(tǒng)的信任。通過數(shù)據(jù)安全認證，“企業(yè)不必

再以低端的價格競爭策略占領(lǐng)市場”，富有特

色并得到良好認證標志聲譽保障的網(wǎng)絡(luò)服務(wù)

或數(shù)據(jù)產(chǎn)品越來越多。

其三，數(shù)據(jù)安全認證可以避免政府嚴格的

檢查監(jiān)控，可以緩解政府設(shè)定更嚴厲的法律義

務(wù)與責(zé)任的壓力，防止政府出于保障數(shù)據(jù)安全

實施“一刀切”的規(guī)制而阻礙數(shù)字科技的創(chuàng)新。

過多的義務(wù)與責(zé)任設(shè)置，尤其不利于中小微互

聯(lián)網(wǎng)企業(yè)和新興數(shù)字產(chǎn)業(yè)的發(fā)展。因為這會對

其帶來過大的數(shù)據(jù)合規(guī)成本與運營壓力，會導(dǎo)

致少數(shù)互聯(lián)網(wǎng)寡頭企業(yè)的支配力與控制力進

一步增強，從而不利于數(shù)字經(jīng)濟的良性健康發(fā)

展。數(shù)據(jù)安全認證機制的建立，可以使更多的

中小微互聯(lián)網(wǎng)企業(yè)有更多的機會公平地參與

數(shù)據(jù)要素市場競爭，可以讓數(shù)據(jù)得到更加多元

的高效流通利用，最終有利于促進數(shù)字經(jīng)濟的

整體協(xié)調(diào)發(fā)展。

其四，數(shù)據(jù)安全認證發(fā)揮著聲譽評價的功

能，可以運用專業(yè)知識幫助用戶作出更好的選

擇，有利于滿足社會公眾多元的數(shù)據(jù)安全需求。

當(dāng)前數(shù)據(jù)處理中的告知同意機制日益流于形

式。企業(yè)的隱私政策與協(xié)議大多冗長晦澀，數(shù)

據(jù)主體往往沒有足夠的時間與耐心仔細閱讀

所要同意的內(nèi)容，而且“就像處在計算機時代

初期一樣”難以完全理解相關(guān)條款。信息分布

不均妨害同意的認識基礎(chǔ)，多環(huán)節(jié)的數(shù)據(jù)流通

則進一步削弱了同意的有效性，同意決策容易

陷入非理性。個人自決的作用需要被重新考慮。

“告知同意機制步入困境，逐漸降低了數(shù)據(jù)保

護的功能?！?/p>

數(shù)據(jù)安全認證通過事先的第三方專業(yè)評

定，有助于解決信息不對稱問題，可以讓用戶

更高效、更準確地作出選擇決定。根據(jù)數(shù)據(jù)安

全認證機構(gòu)頒發(fā)的認證標志，網(wǎng)絡(luò)用戶可以快

速識別相關(guān)服務(wù)或產(chǎn)品的數(shù)據(jù)保護安全水平。

并且，相比于政府設(shè)定的單一性數(shù)據(jù)安全強制

標準，認證機構(gòu)可以設(shè)定多元的靈活標準，可

以單獨或聯(lián)合其他認證機構(gòu)制定數(shù)據(jù)安全多

元標準，更好地利用“軟法”滿足不同群體的

數(shù)據(jù)安全多元需求與偏好。“數(shù)據(jù)治理的普遍

性、技術(shù)性、復(fù)雜性、應(yīng)時性，都在呼喚硬法

與軟法的共同構(gòu)建?！安煌后w對數(shù)據(jù)安全的

敏感程度往往不同，愿意以更多個人信息換取

便利的群體，可以選擇認證標準較低但符合現(xiàn)

行法律規(guī)范的數(shù)據(jù)產(chǎn)品或網(wǎng)絡(luò)服務(wù)。反之，對

數(shù)據(jù)安全更為敏感的群體，則可以選擇認證標

準較高的數(shù)據(jù)產(chǎn)品或網(wǎng)絡(luò)服務(wù)。

二、數(shù)據(jù)安全認證機構(gòu)的資質(zhì)：獨立性與專業(yè)性

數(shù)據(jù)安全認證行為具有公共性，不僅直

接關(guān)系到個人信息安全，而且對整個數(shù)據(jù)要

素市場的安全性與誠信度會產(chǎn)生直接影響。

為了有效保障數(shù)據(jù)安全認證的客觀性與公正

性，更好地實現(xiàn)其第三方規(guī)制功能，需要科

學(xué)合理確定認證機構(gòu)的資質(zhì)?！稊?shù)據(jù)安全法》

第18條規(guī)定：”支持數(shù)據(jù)安全檢測評估、認

證等專業(yè)機構(gòu)依法開展服務(wù)活動?！薄秱€人

信息保護法》第62條提出“支持有關(guān)機構(gòu)”

開展個人信息保護認證服務(wù)。那么，究竟具

備什么條件的專業(yè)機構(gòu)或有關(guān)機構(gòu)才可以更

好地開展數(shù)據(jù)安全認證呢？

（一）數(shù)據(jù)安全認證機構(gòu)應(yīng)具有獨立性

首先，數(shù)據(jù)安全認證機構(gòu)應(yīng)具有獨立性，

同互聯(lián)網(wǎng)企業(yè)間不應(yīng)存在利益關(guān)聯(lián)。在傳統(tǒng)

認證的一些領(lǐng)域，認證亂象橫生，認證變成

了利益交換。企業(yè)花錢提升自己的形象，認

證機構(gòu)收錢牟利。“認證變認錢”并不少見，

“給錢就能過，不給就刁難”。據(jù)相關(guān)調(diào)查

發(fā)現(xiàn)，在企業(yè)質(zhì)量管理體系認證、玩具產(chǎn)品

認證、農(nóng)產(chǎn)品有機認證領(lǐng)域，“弄虛作假走

過場司空見慣“，只要交錢“配合”就“包

過”。在2020年全球新冠肺炎疫情防控過程

中，一些認證機構(gòu)“肆意牟利、虛假認證甚

至買證賣證”，不僅破壞了認證市場秩序，

而且還影響了口罩、防護服等防疫用品的順

利出口，引發(fā)了市場監(jiān)管部門對防疫用品認

證的專項整治。認證機構(gòu)本應(yīng)作為獨立的第

三方，為消費者提供客觀公正的評定信息幫

助其作出更好的選擇，但卻同被認證對象串

通損害消費者利益，認證行為變成了商業(yè)交

易活動。這或許同認證機構(gòu)的組織形態(tài)有一

定的關(guān)系。

對于數(shù)據(jù)安全認證機構(gòu)資質(zhì)的規(guī)定，應(yīng)

特別注意消除企業(yè)型認證機構(gòu)可能存在的弊

端。在自由競爭的成熟認證市場尚未形成之

前，企業(yè)型認證機構(gòu)很難以獨立于被認證對

象。為了緩解生存壓力，追求利潤最大化，

企業(yè)型認證機構(gòu)很容易將認證變?yōu)橘嶅X的工

具。企業(yè)型認證機構(gòu)很容易被“俘獲”，可

能故意不遵守認證基本標準、違反認證程序、

出具虛假認證結(jié)論，以獲取更多的客戶。嚴

格按規(guī)則依法作出認證的認證機構(gòu)反而獲得

的認證申請數(shù)量可能更少，最終要么被迫退

出認證市場，要么退變?yōu)檫`法認證機構(gòu)，“劣

幣驅(qū)逐良幣”的檸檬認證市場由此形成。中

國實行強制性產(chǎn)品認證統(tǒng)一收費制度，對于

認證申請費、產(chǎn)品檢測費、工廠審查費、批

準與注冊費、監(jiān)督復(fù)查費、年金、認證標志

費等都作了明確的限定，企業(yè)型認證機構(gòu)尤

其是民營企業(yè)型認證機構(gòu)，面臨的生存壓力

或許更大。由于違法認證而被處罰的，大量

都為民營企業(yè)型認證機構(gòu)。因此應(yīng)當(dāng)放寬認

證機構(gòu)的準入門檻，強化自由競爭，充分發(fā)

揮認證市場優(yōu)勝劣汰機制的調(diào)節(jié)功能。

其次，數(shù)據(jù)安全認證機構(gòu)應(yīng)獨立于政府。

認證的本質(zhì)屬于第三方評價，是認證機構(gòu)在

市場與消費者之間從事的居間活動。認證有

利于引導(dǎo)市場資源配置，不同于行政確認、

行政檢查等政府行為。如果認證機構(gòu)同政府

有關(guān)聯(lián)，會產(chǎn)生諸多消極后果。其一，認證

機構(gòu)不獨立于政府會使得認證無法完全擺脫

行政管理色彩和官僚主義弊端，導(dǎo)致“認證

變管理”，甚至導(dǎo)致“認證異化為審批”。

其二，如果由同政府有關(guān)聯(lián)的機構(gòu)實施認證，

可能導(dǎo)致政府不當(dāng)干預(yù)市場，引發(fā)利益輸送、

權(quán)錢交易等腐敗行為，使得認證成為財政創(chuàng)

收的新途徑，或成為少數(shù)公職人員中飽私囊

的工具。其三，認證機構(gòu)同政府有關(guān)聯(lián)不利

于提高認證服務(wù)效率與質(zhì)量。政府通過權(quán)力

為其有關(guān)聯(lián)的認證機構(gòu)獲取認證資源，縱容

甚至包庇違法認證行為，導(dǎo)致關(guān)聯(lián)性認證機

構(gòu)不思進取，業(yè)務(wù)水平得不到提升，使得自

由競爭的認證市場秩序被破壞，最終損害認

證服務(wù)效率與質(zhì)量。

中國目前存在大量同政府有關(guān)聯(lián)的事業(yè)

單位、國有企業(yè)型認證機構(gòu)。通過在全國認

證認可信息公共服務(wù)平臺查詢可知，目前有

效的認證機構(gòu)有904個，既包括事業(yè)單位，

也包括國有企業(yè)和民營企業(yè)，還包括社會組

織。其中，認證機構(gòu)數(shù)量最少的為社會組織，

事業(yè)單位、國有企業(yè)和民營企業(yè)數(shù)量占絕大

部分。同域外強調(diào)以政府為輔而實現(xiàn)法律遵

從的第三方審核不同，在市場、社會發(fā)展不

充分的情況下，中國的認證體制是在政府主

導(dǎo)下自上而下確立的，同從市場出發(fā)的認證

有著重要差別。在市場發(fā)展和政府職能轉(zhuǎn)變

過程中，事業(yè)單位、國有企業(yè)型認證機構(gòu)在

中國大量存在有一定的現(xiàn)實基礎(chǔ)。

盡管事業(yè)單位、國有企業(yè)型認證機構(gòu)由

黨組織領(lǐng)導(dǎo)和行政機關(guān)管理，有一定的公共

財政資金作為物質(zhì)保障，為了生存與牟利而

進行違法認證的可能性會小很多，但卻無法

完全消除認證機構(gòu)不獨立而存在的諸多弊端。

《認證認可條例》第13條第1款規(guī)定：“認

證機構(gòu)不得與行政機關(guān)存在利益關(guān)系?！薄懂a(chǎn)

品質(zhì)量法》第20條要求，從事認證的社會中

介機構(gòu)，“不得與行政機關(guān)和其他國家機關(guān)

存在隸屬關(guān)系或者其他利益關(guān)系?！薄蛾P(guān)于

促進市場公平競爭維護市場正常秩序的若干

意見》提出，“推進檢驗檢測認證機構(gòu)與政

府脫鉤、轉(zhuǎn)制為企業(yè)或社會組織的改革”。

可見，相關(guān)法律特別重視認證機構(gòu)的獨立性。

中國未來數(shù)據(jù)安全認證機構(gòu)的確立，應(yīng)獨立

于政府，逐步減少同政府有關(guān)聯(lián)的認證機構(gòu)。

為了充分實現(xiàn)認證機構(gòu)的獨立性，應(yīng)加

快培育社會組織型數(shù)據(jù)安全認證機構(gòu)。因為

無論認證規(guī)則如何設(shè)計，不管認證市場如何

完善，都無法完全消除企業(yè)型認證機構(gòu)為追

求利潤最大化而作出的不客觀公正的認證，

也無法總能保障與政府有關(guān)聯(lián)的事業(yè)單位型

認證機構(gòu)獨立作出客觀、公正的認證。在國

際上，很多有影響力的數(shù)據(jù)安全認證都是由

非政府組織實施的。比如，在美國，為微軟、

蘋果、雅虎等眾多網(wǎng)站提供隱私認證服務(wù)的

TRUSTe,屬于美國商務(wù)網(wǎng)絡(luò)財團和電子前線

基金會共同發(fā)起設(shè)立的獨立非盈利性組織。

在日本，情報處理開發(fā)協(xié)會建立了P-MARK認

證制度，通過認證授予隱私標識促使企業(yè)采

取適當(dāng)?shù)膫€人信息保護措施。致力于提升隱

私保護從業(yè)人員職業(yè)技能的國際隱私保護專

業(yè)人士協(xié)會(IAPP),設(shè)計了隱私保護專業(yè)

人員認證(CIPP)，隱私保護經(jīng)理認證(CIPM),

隱私保護技術(shù)專家認證(CIPT)等獲得全球認

可的隱私保護執(zhí)業(yè)資格認證制度。

數(shù)據(jù)保護的國際實踐表明，社會組織型

認證機構(gòu)可以克服企業(yè)型、事業(yè)單位型認證

機構(gòu)的諸多弊端，能夠較為獨立地開展認證

工作。然而，中國公民社會并不發(fā)達，大量

社會組織存在“信任危機”?！皣覍τ谛?/p>

業(yè)協(xié)會等社會組織的控制一直較為嚴苛，自

始缺乏社會自治的歷史傳統(tǒng)?！庇捎谝栏叫?/p>

的“臣民文化”，以及政府擔(dān)心社會組織發(fā)

展失控而采取的“控制型管理取向“，使得

中國當(dāng)前真正獨立的社會組織并不多。一些

社會組織甚至淪為“衙門”，沾染了行政機

關(guān)的各種習(xí)氣，無法真正發(fā)揮第三方規(guī)制的

獨特功能。《網(wǎng)絡(luò)安全法》第17條規(guī)定，“國

家推進網(wǎng)絡(luò)安全社會化服務(wù)體系建設(shè)，鼓勵

有關(guān)企業(yè)、機構(gòu)開展網(wǎng)絡(luò)安全認證、檢測和

風(fēng)險評估等安全服務(wù)?！薄秱€人信息保護法》

第62條明確將認證作為“個人信息保護社會

化服務(wù)體系建設(shè)”的重要組成部分。未來數(shù)

據(jù)安全認證體制的構(gòu)建，需要特別重視培育

具有獨立性的社會組織型數(shù)據(jù)安全認證機構(gòu)。

（二）認證機構(gòu)應(yīng)具有高度專業(yè)性

數(shù)據(jù)安全認證是一項專業(yè)性極強的工作，

只有符合相應(yīng)專業(yè)資質(zhì)并得到政府認可的機

構(gòu)，才能從事認證工作。當(dāng)前數(shù)據(jù)濫用違法

犯罪行為種類多樣且日新月異，具有極強的

隱蔽性與復(fù)雜性。數(shù)據(jù)安全認證不同于對普

通產(chǎn)品、服務(wù)或管理體系的認證，認證人員

既須精通法律又須熟知數(shù)字科技。沒有高度

專業(yè)性的認證機構(gòu)，難以作出權(quán)威客觀的認

證。中國目前對于數(shù)據(jù)安全認證，并沒有專

門的法律，《數(shù)據(jù)安全法》《個人信息保護

法》中的相關(guān)條款極為簡單，或許只能適用

《認證認可條例》《認證機構(gòu)管理辦法》等

規(guī)定。當(dāng)前成為認證機構(gòu)須經(jīng)國務(wù)院認證認

可監(jiān)督管理部門批準，主管全國認證工作的

機構(gòu)為中國國家認證認可監(jiān)督管理委員會。

《認證認可條例》第10條對認證機構(gòu)的資質(zhì)

作了五項規(guī)定，要求取得法人資格、有固定

的場所和必要的設(shè)施、有符合認證要求的管

理制度、注冊資本不少于300萬元和有相關(guān)

專職認證人員10名以上。

在歐盟，《通用數(shù)據(jù)保護條例》第43條

要求數(shù)據(jù)保護認證機構(gòu)得到成員國的官方認

可，并同時規(guī)定了成為認證機構(gòu)的五項條件：

（a）證明其對認證事項的獨立性和專業(yè)性

符合監(jiān)管機構(gòu)的要求；（b）承諾遵守相關(guān)

準則；（c）建立了簽發(fā)、定期檢查和撤回

數(shù)據(jù)保護認證、印章、標志的程序；（d）

建立了公開透明的處理投訴機制；（e）證

明其任務(wù)與職責(zé)不會導(dǎo)致利益沖突，并且符

合監(jiān)管機構(gòu)的要求。相比歐盟對數(shù)據(jù)保護認

證機構(gòu)的資質(zhì)更注重軟性制度條件而言，中

國更加強調(diào)認證機構(gòu)的人、財、物等硬性條

件。在認證市場不夠成熟的情境下，一定人

員數(shù)量和相應(yīng)物質(zhì)基礎(chǔ)的要求，在某種程度

上有利于保障認證的質(zhì)量，但不宜過度強調(diào)。

為了保障數(shù)據(jù)安全認證機構(gòu)的專業(yè)性，需要

結(jié)合數(shù)字時代新的生產(chǎn)要素數(shù)據(jù)和數(shù)據(jù)處理

行為的特點，對其設(shè)立條件、人員構(gòu)成、程

序機制、物質(zhì)要求等事項作出特殊的具體規(guī)

定。

數(shù)據(jù)安全認證機構(gòu)可以通過同檢測機構(gòu)

合作，彌補自身專業(yè)性不足。認證機構(gòu)具有

相關(guān)專業(yè)知識可以做出合規(guī)判斷，但不一定

具備相關(guān)技術(shù)檢測能力。專業(yè)檢測機構(gòu)可以

承擔(dān)具體檢測技術(shù)工作，但安全認證證書應(yīng)

由認證機構(gòu)頒發(fā)。比如，2018年國家認監(jiān)委

和國家網(wǎng)信辦發(fā)布《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安

全專用產(chǎn)品安全認證實施規(guī)則》，要求相關(guān)

產(chǎn)品生產(chǎn)企業(yè)向經(jīng)確認的認證機構(gòu)提出安全

認證申請，并規(guī)定由信息產(chǎn)業(yè)信息安全測評

中心、國家保密科技測評中心、公安部計算

機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心等8

家檢測機構(gòu)為認證機構(gòu)提供檢測服務(wù)。再如，

2019年市場監(jiān)管總局、中央網(wǎng)信辦發(fā)布《關(guān)

于開展App安全認證的公告》，確定中國網(wǎng)

絡(luò)安全審查技術(shù)與認證中心為App的安全認

證機構(gòu)，其根據(jù)認證業(yè)務(wù)需要和技術(shù)能力確

立檢測機構(gòu)，防止數(shù)據(jù)安全認證機構(gòu)“有名

無實”不承擔(dān)實質(zhì)認證工作，變相將認證業(yè)務(wù)

“轉(zhuǎn)包”“分包”給相關(guān)檢測機構(gòu).為了更高

效、更負責(zé)任地開展數(shù)據(jù)安全認證工作，應(yīng)

不斷提高認證機構(gòu)的專業(yè)知識與技術(shù)能力，

逐漸實現(xiàn)認證機構(gòu)與檢測機構(gòu)的合一。

三、數(shù)據(jù)安全認證機制的展開

客觀公正的數(shù)據(jù)安全認證不僅有賴于獨

立、專業(yè)的認證機構(gòu)，而且需要科學(xué)合理的

認證機制。相比于對普通的實體產(chǎn)品、線下

服務(wù)、管理體系的認證，數(shù)據(jù)安全認證往往

面對的是網(wǎng)絡(luò)服務(wù)、數(shù)據(jù)產(chǎn)品，其認證機制

具有較大的特殊性.對于數(shù)據(jù)安全認證啟動、

實施程序、認證標準、認證跟蹤監(jiān)督、認證

責(zé)任分配，需要進行有效的法律制度設(shè)計。

（一）數(shù)據(jù)安全認證啟動：自愿抑或強

制？

啟動程序是開展數(shù)據(jù)安全認證的首要環(huán)

節(jié)。究竟是實行自愿申請認證還是強制認證，

還存在分歧。2019年公布的《數(shù)據(jù)安全管理

辦法（征求意見稿）》第34條規(guī)定“國家鼓

勵網(wǎng)絡(luò)運營者自愿通過數(shù)據(jù)安全管理認證和

應(yīng)用程序安全認證”，擬確立自愿認證模式。

在實踐中，2019年中央網(wǎng)信辦、工業(yè)和信息

化部、公安部、市場監(jiān)管總局發(fā)布《關(guān)于開

展App違法違規(guī)收集使用個人信息專項治理

的公告》，第5條要求“開展App個人信息

安全認證，鼓勵A(yù)pp運營者自愿通過App個

人信息安全認證”。此種個人信息安全認證

名義上是自愿的，但實際上帶有一定的單方

強制性，屬于政府組織實施的個人信息專項

治理行動的一個環(huán)節(jié)。歐盟確立了數(shù)據(jù)保護

認證的自愿機制?！锻ㄓ脭?shù)據(jù)保護條例》序

言第100項規(guī)定，鼓勵建立認證機制和使用

數(shù)據(jù)保護印章、標記，以使數(shù)據(jù)主體能夠快

速評估相關(guān)產(chǎn)品和服務(wù)的數(shù)據(jù)保護水平。其

第42條第3項明確規(guī)定：“認證應(yīng)當(dāng)是自愿

的，并且可通過透明的程序獲得“。

對于中國的數(shù)據(jù)安全認證，宜實行自愿

認證和強制認證相結(jié)合。其一，盡管數(shù)據(jù)安

全認證對于個人、互聯(lián)網(wǎng)企業(yè)、政府等都有

諸多價值，但如果一律實行強制認證，不但

會違背認證的第三方評定本質(zhì)，使得認證異

化為另一種形式的審批，而且還會給認證對

象造成一定的負擔(dān)。是否申請認證，一般情

況下應(yīng)交由互聯(lián)網(wǎng)企業(yè)自主選擇。其二，限

定條件實行數(shù)據(jù)安全強制認證，更有利于保

障數(shù)據(jù)安全。中國目前數(shù)據(jù)濫用現(xiàn)象還比較

突出，數(shù)據(jù)安全法律體系并不健全，部分領(lǐng)

域?qū)嵭袕娭菩哉J證，可以為網(wǎng)絡(luò)用戶提供必

要的辨明信息，減少重要數(shù)據(jù)的安全風(fēng)險。

歐盟之所以實行數(shù)據(jù)保護自愿認證，原因可

能主要在于《通用數(shù)據(jù)保護條例》為數(shù)據(jù)主

體賦予了強大的權(quán)利，對數(shù)據(jù)處理設(shè)定了嚴

格的條件與程序，而且設(shè)定了重罰機制，可

以較好地保障數(shù)據(jù)安全。其三，數(shù)據(jù)安全自

愿認證和強制認證相結(jié)合，更符合中國認證

的法治實踐。在中國傳統(tǒng)認證領(lǐng)域，認證實

行自愿和強制相結(jié)合?！墩J證認可條例》第

18條規(guī)定“任何法人、組織和個人可以自愿

委托依法設(shè)立的認證機構(gòu)進行產(chǎn)品、服務(wù)、

管理體系認證”，但同時第27條規(guī)定“為了

保護國家安全、防止欺詐行為、保護人體健

康或者安全、保護動植物生命或者健康、保

護環(huán)境”，對相關(guān)產(chǎn)品實施強制認證。在網(wǎng)

絡(luò)安全領(lǐng)域，《網(wǎng)絡(luò)安全法》第23條規(guī)定,

對于網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品，“由

具備資格的機構(gòu)安全認證合格或者安全檢測

符合要求后，方可銷售或者提供?！?018年，

國家認監(jiān)委、國家網(wǎng)信辦發(fā)布《關(guān)于網(wǎng)絡(luò)關(guān)

鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認證實施要

求的公告》，專門組織安全認證，認證對象

包括路由器、交換機、服務(wù)器等網(wǎng)絡(luò)關(guān)鍵設(shè)

備，以及數(shù)據(jù)備份一體機、防火墻（硬件）、

安全數(shù)據(jù)庫系統(tǒng)等網(wǎng)絡(luò)安全專用產(chǎn)品。此種

網(wǎng)絡(luò)安全認證主要是對同網(wǎng)絡(luò)有關(guān)的實體產(chǎn)

品的認證，可受傳統(tǒng)強制性產(chǎn)品認證制度的

調(diào)整，但實際上也可納入數(shù)據(jù)安全強制認證

的范疇。

實證研究表明，強制認證可以增強創(chuàng)新

能力、提升管理能力和增加自愿認證，“對

企業(yè)生產(chǎn)率具有顯著正效應(yīng)”。《個人信息

保護法》對某些信息處理行為，實際上已經(jīng)

確立了強制認證制度。其第38條規(guī)定，個人

信息處理者因業(yè)務(wù)等需要向境外提供個人信

息的，應(yīng)當(dāng)“經(jīng)專業(yè)機構(gòu)進行個人信息保護

認證”。為了更符合中國國情，為了更好地

保障數(shù)據(jù)安全并促進數(shù)字經(jīng)濟的規(guī)范健康發(fā)

展，宜實行自愿為主、強制為輔的數(shù)據(jù)安全

認證制度。可以根據(jù)新經(jīng)濟的不同業(yè)態(tài)和不

同的數(shù)據(jù)處理行為，區(qū)分場景確立是否應(yīng)當(dāng)

強制認證》對于事關(guān)個人、組織重要權(quán)利的

一些重要數(shù)據(jù)或敏感數(shù)據(jù)的處理，或許需要

進行強制認證。國家對于數(shù)據(jù)安全強制認證，

應(yīng)定期發(fā)布統(tǒng)一目錄，統(tǒng)一相關(guān)技術(shù)標準和

合格評定程序，統(tǒng)一認證標志，統(tǒng)一收費標

準。強制認證可以彌補自愿認證的不足，有

助于防范重大風(fēng)險，防止造成難以挽回的損

害。然而，強制認證只應(yīng)當(dāng)是特定階段的產(chǎn)

物。隨著“放管服”改革的不斷推進和認證

制度的不斷發(fā)展成熟，數(shù)據(jù)安全強制認證的

范圍應(yīng)當(dāng)不斷縮小。

對于申請數(shù)據(jù)安全認證的條件，需要做

一些否定性的排除規(guī)定。如果在過去合理期

間內(nèi)發(fā)生過數(shù)據(jù)安全違法違規(guī)事件，或存在

相關(guān)認證標志被撤銷等情形，應(yīng)禁止在特定

時期內(nèi)申請認證。因為除了評估當(dāng)前的數(shù)據(jù)

安全保障水平，互聯(lián)網(wǎng)企業(yè)過去守法合規(guī)的

情況，也是認證機構(gòu)考察的重要內(nèi)容。認證

具有信譽擔(dān)保的色彩，評價過去的行為可以

有效預(yù)測未來。通過評價過去合理期間的行

為，可以倒逼認證對象持續(xù)積累守法合規(guī)的

商業(yè)信譽?！兑苿踊ヂ?lián)網(wǎng)應(yīng)用程序（App）安

全認證實施規(guī)則》規(guī)定，在12個月內(nèi)發(fā)生重

大信息安全事件、所持同類證書在撤銷認證

影響期內(nèi)等情形存在時，App運營者不得申

請認證。由于互聯(lián)網(wǎng)行業(yè)變化極快，所以認

證申請條件所涉及的過去期間應(yīng)合理設(shè)置。

（二）數(shù)據(jù)安全認證實施程序和認證標

準

科學(xué)合理的數(shù)據(jù)安全認證程序，不僅可

以提高認證效率，而且有利于保障認證結(jié)果

的準確性與公正性。由于大多涉及無形的網(wǎng)

絡(luò)服務(wù)或數(shù)據(jù)產(chǎn)品，數(shù)據(jù)安全認證程序同普

通認證程序存在一定的差別，更注重對網(wǎng)絡(luò)

科技和數(shù)據(jù)安全保障制度的評定。相比于行

政程序，數(shù)據(jù)安全認證實施程序更為靈活高

效，但也更容易出現(xiàn)問題。作為第三方規(guī)制

的數(shù)據(jù)安全認證具有公共性，應(yīng)當(dāng)保障認證

過程具有充分的透明性和公眾參與度。認證

的實施程序應(yīng)當(dāng)吸收“正當(dāng)法律程序”的精

神，滿足自然正義的基本要求，重視說明理

由，聽取陳述、辯解，建立健全完善的認證

信息披露機制。應(yīng)防止認證程序流于形式，

認證也不能僅限于審核書面材料，必須通過

軟件檢測等多種技術(shù)進行驗證。

在應(yīng)用程序安全認證的實踐中，《移動

互聯(lián)網(wǎng)應(yīng)用程序（App）安全認證實施規(guī)則》

規(guī)定的主要認證環(huán)節(jié)分為三部分：技術(shù)驗證

+現(xiàn)場核查+獲證后監(jiān)督。對于網(wǎng)絡(luò)服務(wù)或

數(shù)據(jù)產(chǎn)品，數(shù)據(jù)安全認證的一般實施程序可

以從以下幾個方面展開：（1）受理。認證

機構(gòu)對申請資料進行審核后作出是否受理的

決定。（2）技術(shù)驗證。通過實驗室檢測和

現(xiàn)場核查等方式進行。檢測機構(gòu)按照技術(shù)驗

證規(guī)范實施技術(shù)驗證，并出具技術(shù)驗證報告。

（3）現(xiàn)場審核。認證機構(gòu)對互聯(lián)網(wǎng)企業(yè)進

行現(xiàn)場審核，對相關(guān)問題進行實地調(diào)查核實，

出具現(xiàn)場審核報告。（4）認證決定。根據(jù)

申請材料、技術(shù)驗證結(jié)論、現(xiàn)場審核結(jié)論等

進行綜合評定，決定是否通過認證。（5）

頒發(fā)認證證書。對于有形網(wǎng)絡(luò)產(chǎn)品的認證程

序略有不同，需要線下隨機抽取樣本進行客

觀評定。比如，《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全

專用產(chǎn)品安全認證實施規(guī)則》規(guī)定，對網(wǎng)絡(luò)

關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認證的認

證模式為：型式試驗+工廠檢查+獲證后監(jiān)

督。型式試驗程序要求認證機構(gòu)從生產(chǎn)線、

倉庫、市場等地隨機抽取產(chǎn)品，按相應(yīng)產(chǎn)品

有關(guān)國家標準進行型式試驗并提交報告。工

廠檢查要求認證機構(gòu)到工廠，對信息安全保

障能力、質(zhì)量保證能力、產(chǎn)品一致性進行檢

查。

對于數(shù)據(jù)安全的認證標準，除了包括具

有強制力的國家法律規(guī)范，還應(yīng)包括國家推

薦性標準、行業(yè)標準、國際通用標準、認證

機構(gòu)制定的標準等。比如，對應(yīng)用程序進行

技術(shù)驗證和現(xiàn)場審核的依據(jù)均為GB/T

35273《信息安全技術(shù)個人信息安全規(guī)范》，

屬于全國信息安全標準化技術(shù)委員會發(fā)布的

推薦性國家標準。國際著名標準也可以成為

數(shù)據(jù)安全的認證標準。比如，信息安全管理

IS027001國際標準，采用PDCA過程方法，

基于風(fēng)險評估的風(fēng)險管理理念，對企業(yè)是否

建立科學(xué)有效的信息安全管理體系進行認證。

此外，數(shù)據(jù)安全認證機構(gòu)可以結(jié)合數(shù)字產(chǎn)業(yè)

實際，建立健全自己的認證標準體系，彌補

標準空白、滯后或提高標準，以引導(dǎo)數(shù)據(jù)安

全保障。

在數(shù)據(jù)安全認證的時間跨度上，既應(yīng)對

互聯(lián)網(wǎng)企業(yè)過去合理期間內(nèi)的守法合規(guī)情況

進行審查，也應(yīng)對認證當(dāng)時的組織機構(gòu)設(shè)置、

人員配備、隱私政策、技術(shù)措施等數(shù)據(jù)安全

保障制度作出評估。一旦經(jīng)過全面評估認定

符合認證標準，就應(yīng)當(dāng)作出認證決定，及時

頒發(fā)認證證書。對于認證標志的使用期限，

《通用數(shù)據(jù)保護條例》規(guī)定認證的有效期最

長為3年。如果相關(guān)要求繼續(xù)滿足，在相同

條件下可以續(xù)期。對于中國數(shù)據(jù)安全認證的

有效期，需要區(qū)分不同的認證領(lǐng)域與事項，

結(jié)合數(shù)字科技易變的特點，根據(jù)具體情況合

理確立認證標志的有效期。另外，應(yīng)推動建

立健全數(shù)據(jù)安全認證國際互認體系，促進數(shù)

字經(jīng)濟更好地在海外發(fā)展。

應(yīng)確立完善的認證程序和結(jié)果異議機制。

如果數(shù)據(jù)安全認證機構(gòu)違反認證規(guī)則規(guī)定的

程序，隨意增加、減少、遺漏認證程序，認

證申請人可以要求重新認證，并可以向相關(guān)

部門舉報投訴。即使認證程序合法，但認證

結(jié)果也可能不夠客觀、公正，所以公開透明

的認證異議處理機制十分必要。如果對認證

決定有異議，應(yīng)當(dāng)允許認證申請人提出申訴。

認證機構(gòu)應(yīng)及時公正處理申請人對認證程序

和決定的異議，并書面告知其最終處理結(jié)果。

（三）數(shù)據(jù)安全認證跟蹤監(jiān)督

跟蹤監(jiān)督對于數(shù)據(jù)安全認證尤其重要，

因為數(shù)字科技瞬息萬變，網(wǎng)絡(luò)安全新隱患不

斷出現(xiàn)。“認證即過時“可能是常態(tài)。并且，

網(wǎng)絡(luò)服務(wù)、數(shù)字產(chǎn)品更新?lián)Q代很快，被認證

對象在獲得認證后會有很多新辦法濫用數(shù)據(jù)。

既然認證機構(gòu)頒發(fā)了認證標志，就應(yīng)當(dāng)對其

使用負有跟蹤監(jiān)督的義務(wù)。一旦不符合認證

標志使用條件就應(yīng)當(dāng)及時作出相應(yīng)處理，否

則就可能面臨相應(yīng)的制裁。如北京中大華遠

認證中心訴鹽城市亭湖區(qū)市場監(jiān)督管理局案,

法院認為，認證機構(gòu)“未進行有效跟蹤”，

導(dǎo)致其發(fā)放的認證證書已過期但仍在持續(xù)被

使用，所以監(jiān)管機構(gòu)的處罰并無不當(dāng)。對于

跟蹤監(jiān)督的方式，可采取日常監(jiān)督與專項監(jiān)

督相結(jié)合的方式。比如，《移動互聯(lián)網(wǎng)應(yīng)用

程序（App）安全認證實施規(guī)則》要求，認證

機構(gòu)對獲證App和App運營者，從獲證App

一致性檢查、更新情況、標志使用情況、企

業(yè)自評估情況、被舉報投訴和社會媒體曝光

情況等方面進行持續(xù)的日常監(jiān)督，并形成日

常監(jiān)督報告。如果出現(xiàn)獲證App存在個人信

息安全問題并經(jīng)查實獲證App運營者負有責(zé)

任時，或組織架構(gòu)、服務(wù)模式等發(fā)生重大變

更時，或發(fā)生破產(chǎn)并購等