刘权
(中央财经大学法学院副教授、法学博士)
[摘 要] 契合“放管服”改革理念的数据安全认证,在数字时代整个规制法体系中必将占据日益重要的地位。数据安全认证通过声誉评价机制,可以引导、激励互联网企业守法合规经营,可以增强用户对中小微互联网企业和新兴数字产业的信任感,可以避免“一刀切”的政府规制,可以满足社会公众多元的数据安全需求。数据安全认证机构应具有高度独立性与专业性,防止其被互联网企业“俘获”或成为政府的“附庸”。宜实行自愿为主、强制为辅的数据安全认证模式。认证程序应强调公正透明性,认证标准应注重评价企业数据合规的制度建设。根据过错责任原则,分别设置数据安全认证机构“相应的赔偿责任”或“连带责任”,并加大对数据安全认证违法行为的公法责任追究。科学构建法治化的数据安全认证体制机制,不仅是保障数据安全的现实需要,而且是弥补数字时代政府规制缺陷的迫切需求。
[关键词] 数据安全认证;个人信息保护;第三方规制;“放管服”改革
作为第三方规制的数据安全认证,可以有效克服市场与政府的“双重失灵”,实现数据安全保障和数字经济发展的平衡。数据安全认证已逐渐成为全球数据治理的重要手段。《网络安全法》第17条明确要求,“开展网络安全认证、检测、风险评估等活动”。《数据安全法》第18条第1款原则性的规定了数据安全认证:“国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。”《个人信息保护法》第38条将个人信息保护认证作为向境外提供个人信息的合法性条件之一,第62条要求“推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务”。实践中,2019年国家市场监管总局、中央网信办发布《关于开展App安全认证工作的公告》,旨在规范移动互联网应用程序收集、使用用户信息特别是个人信息的行为。欧盟《通用数据保护条例》专门规定了数据保护认证。可以预见,随着数字经济的不断发展壮大,数据安全认证必将在中国得到全面推行。
当前对于新兴的数据安全认证的研究相对不足。中国建立了产品、服务、管理体系等认证制度,如强制性产品CCC认证、药品GMP认证、商品售后服务认证、食品安全管理体系认证。学者们从产品质量认证、药品认证、认证机构责任等方面进行了较多研究。另有一些学者探讨了第三方规制、第三方审核、私人规制的基本原理,涉及认证的相关内容。在网络法领域,少数学者探讨了个人信息安全认证、人工智能安全认证、网络安全认证等内容。尽管同属于认证,但传统认证的一些理念与法律制度无法完全直接适用于数据安全认证。在数据成为新的生产要素的背景下,为了使数据安全认证真正能够客观、公正地发挥第三方评定职能,防止认证机构被互联网企业“俘获”或成为政府的“附庸”,需要对数据安全认证体制机制进行整体的法治构建。个人信息是数字时代涉及面最为广泛的数据,本文将主要以个人信息保护为视角,对数据安全认证的必要性、认证机构资质、认证机制运行、认证与政府规制的关系等问题进行系统研究,以期探索数据安全认证的法治之道。
一、数据安全认证的界定及价值
数字时代日益得到广泛适用的数据安全认证,既不属于企业实施的自我规制,也不属于传统的政府规制。数据安全认证本质上为第三方提供的社会化服务,承担着第三方规制的角色。构建法治化的数据安全认证体制机制,不仅有利于保障数据安全,而且可以有效促进数字经济的规范健康发展。
(一)数据安全认证:第三方规制
数据安全认证,是指由认证机构证明网络服务、数据产品、管理体系等符合相关法律规范、技术标准、行业准则的评定活动,也称为信息安全认证。数据安全认证主要面向数字经济产业,通过第三方机构客观评定互联网企业数据处理行为的安全性,以提升互联网企业的数据安全保障水平。相比于企业的自我规制和政府的行政规制而言,数据安全认证属于第三方规制,可以有效克服市场与政府的“双重失灵”。不同于传统认证,数据安全认证的对象主要是网络服务或数据产品,具有虚拟性和动态易变性的特征,所以认证难度更大。在认证标准上,数据安全认证侧重于对互联网企业现有的数据安全保障制度能力和过去的数据处理守法合规情况的评定。
数据安全认证不同于互联网企业实施的数据保护活动,如个人信息风险评估或个人信息保护影响评估。《个人信息保护法》第55条要求个人信息处理者在处理敏感个人信息、利用个人信息进行自动化决策、委托处理、向第三方提供或公开个人信息、向境外提供个人信息等情形下,均应进行个人信息保护影响评估。《信息安全技术 个人信息安全影响评估指南》对各类组织自行开展个人信息安全影响评估提供了标准指南。区别于企业的自身行为,数据安全认证最重要的特点是第三方机构评价。
数据安全认证不属于政府行为,同公权力机关实施的数据安全检查、数据安全审查、网络安全审查、行政许可等行为存在区别。首先,数据安全认证不同于数据安全检查。政府职能部门可以对互联网企业进行数据安全检查,如开展数据安全专项整治活动。虽然在检查过程中可以委托第三方机构进行检测,但数据安全检查的性质为行政检查行为,而数据安全认证则属于第三方评定行为,不属于行政行为。数据安全认证以颁发认证标志为最终结果,而数据安全检查后可能实施行政强制、行政处罚等措施。其次,数据安全认证不同于数据安全审查。《数据安全法》第23条规定:“国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。” 数据安全审查属于政府行为,数据安全认证由第三方认证机构实施。再次,数据安全认证不同于网络安全审查。网络安全审查侧重于保护国家安全,由国家互联网信息办公室下设的网络安全审查办公室负责实施。网络安全审查的条件为,关键信息基础设施运营者采购网络产品和服务,数据处理者开展数据处理活动,影响或可能影响国家安全。如2021年6月30日,“滴滴出行”在美国上市,7月2日国家网信办发布公告称,为防范国家数据安全风险,维护国家安全,依法对“滴滴出行”实施网络安全审查。当前的数据安全审查、网络安全审查等制度,都侧重维护国家安全。数据安全认证侧重于评定企业的数据处理行为,对用户造成的数据安全风险。最后,数据安全认证不同于颁发资格证、资质证等行政许可行为,也不同于对有关事实进行甄别而给予确定或证明的行政确认行为,而属于第三方规制行为。
(二)数据安全认证的时代价值
无论是对于个人信息安全保障,还是对于数字经济的规范健康发展,数据安全认证都有着日益重要的时代价值。数据安全认证通过声誉评价机制,可以引导、激励互联网企业守法合规经营,可以增强用户对中小微互联网企业和新兴数字产业的信任感,可以避免政府为保障数据安全而实施“一刀切”的规制,可以满足社会公众多元的数据安全需求。
其一,数据安全认证有利于引导、激励数据处理者不断提高数据安全保障水平。数据安全认证可以为互联网企业套上“紧箍咒”。为了防止得不到认证或被撤销认证,互联网企业在外在压力下会不断提高自身的数据安全保障水平,以便不失去并不断获取更多的网络用户。通过第三方评定,数据安全认证可以起到对互联网企业守法合规情况的规制功能,激励其提高数据安全风险管理水平,实现“超越合规遵从”。通过第三方认证机构对互联网企业的数据安全进行评定,并颁发相关认证标志,有利于助推互联网企业的数据处理自律。
其二,数据安全认证可以增强用户对中小微互联网企业和新兴数字产业的信任感。在缺乏数据安全的网络市场中,用户更愿意相信知名、大型互联网企业,因为其数据安全保障水平相对较高,发生损害时也更有能力承担赔偿责任。但对于无数中小微互联网企业提供的网络产品或服务,对于大量新兴数字产业,由于不被普通公众所熟知而导致不被信任。获得了数据安全认证,相当于是获得了商业信誉担保,意味着更多的交易机会。如由于“算法黑箱”导致对人工智能产品存在莫名的恐惧,第三方认证机制可以增加公众对使用人工智能系统的信任。通过数据安全认证,“企业不必再以低端的价格竞争策略占领市场”,富有特色并得到良好认证标志声誉保障的网络服务或数据产品越来越多。
其三,数据安全认证可以避免政府严格的检查监控,可以缓解政府设定更严厉的法律义务与责任的压力,防止政府出于保障数据安全实施“一刀切”的规制而阻碍数字科技的创新。过多的义务与责任设置,尤其不利于中小微互联网企业和新兴数字产业的发展,因为会对其带来过大的数据合规成本与运营压力,会导致少数互联网寡头企业的支配力与控制力进一步增强,从而不利于数字经济的良性健康发展。数据安全认证机制的建立,可以使更多的中小微互联网企业有更多的机会公平地参与数据要素市场竞争,可以让数据得到更加多元的高效流通利用,最终有利于促进数字经济的整体协调发展。
其四,数据安全认证发挥着声誉评价的功能,可以运用专业知识帮助用户作出更好的选择,有利于满足社会公众多元的数据安全需求。当前数据处理中的告知同意机制日益流于形式。企业的隐私政策与协议大多冗长晦涩,数据主体往往没有足够的时间与耐心仔细阅读所要同意的内容,而且“就像处在计算机时代初期一样”难以完全理解相关条款。信息分布不均妨害同意的认识基础,多环节的数据流通则进一步削弱了同意的有效性,同意决策容易陷入非理性。个人自决的作用需要被重新考虑。“告知同意机制步入困境,逐渐降低了数据保护的功能。”
数据安全认证通过事先的第三方专业评定,有助于解决信息不对称问题,可以让用户更高效、更准确地作出选择决定。根据数据安全认证机构颁发的认证标志,网络用户可以快速识别相关服务或产品的数据保护安全水平。而且,相比于政府设定的单一性数据安全强制标准,认证机构可以设定多元的灵活标准,可以单独或联合其他认证机构制定数据安全多元标准,更好地利用“软法”满足不同群体的数据安全多元需求与偏好。“数据治理的普遍性、技术性、复杂性、应时性,都在呼唤硬法与软法的共同构建。”不同群体对数据安全的敏感程度往往不同,愿意以更多个人信息换取便利的群体,可以选择认证标准较低但符合现行法律规范的数据产品或网络服务。反之,对数据安全更为敏感的群体,则可以选择认证标准较高的数据产品或网络服务。
二、数据安全认证机构的资质:独立性与专业性
数据安全认证行为具有公共性,不仅直接关系到个人信息安全,而且对整个数据要素市场的安全性与诚信度会产生直接影响。为了有效保障数据安全认证的客观性与公正性,更好地实现其第三方规制功能,首先需要科学合理确定认证机构的资质。《数据安全法》第18条规定:“支持数据安全检测评估、认证等专业机构依法开展服务活动。”《个人信息保护法》第62条提出“支持有关机构”开展个人信息保护认证服务。那么,究竟具备什么条件的专业机构或有关机构,才可以更好地开展数据安全认证呢?
(一)数据安全认证机构应具有独立性
首先,数据安全认证机构应具有独立性,同互联网企业间不应有利益关联。在传统认证的一些领域,认证乱象横生,认证变成了利益交换。企业花钱提升自己的形象,认证机构收钱牟利。“认证变认钱”并不少见,“给钱就能过,不给就刁难”。据相关调查发现,在企业质量管理体系认证、玩具产品认证、农产品有机认证领域,“弄虚作假走过场司空见惯”,只要交钱“配合”就“包过”。在2020年全球新冠肺炎疫情防控过程中,一些认证机构“肆意牟利、虚假认证甚至买证卖证”,不仅破坏了认证市场秩序,而且还影响了口罩、防护服等防疫用品的顺利出口,引发了市场监管部门对防疫用品认证的专项整治。认证机构本应作为独立的第三方,为消费者提供客观公正的评定信息帮助其作出更好的选择,但却同被认证对象串通损害消费者利益,认证行为变成了商业交易活动。这或许同认证机构的组织形态有一定的关系。
对于数据安全认证机构资质的规定,应特别注意消除企业型认证机构可能存在的弊端。在自由竞争的成熟认证市场尚未形成之前,企业型认证机构很难以独立于被认证对象。为了缓解生存压力,追求利润最大化,企业型认证机构很容易将认证变为赚钱的工具。企业型认证机构很容易被“俘获”,而可能故意不遵守认证基本标准、违反认证程序、出具虚假认证结论,以获取更多的客户。严格按规则依法作出认证的认证机构,反而获得的认证申请数量可能更少,最终要么被迫退出认证市场,要么退变为违法认证机构,“劣币驱逐良币”的柠檬认证市场由此形成。中国实行强制性产品认证统一收费制度,对于认证申请费、产品检测费、工厂审查费、批准与注册费、监督复查费、年金、认证标志费等都作了明确的限定,企业型认证机构尤其是民营企业型认证机构,面临的生存压力或许更大。由于违法认证而被处罚的,大量都为民营企业型认证机构。因此,或许应当放宽认证机构的准入门槛,强化自由竞争,充分发挥认证市场优胜劣汰机制的调节功能。
其次,数据安全认证机构应独立于政府。认证的本质属于第三方评价,是认证机构在市场与消费者之间从事的居间活动。认证有利于引导市场资源配置,不同于行政确认、行政检查等政府行为。如果认证机构同政府有关联,会产生诸多消极后果。其一,认证机构不独立于政府会使得认证无法完全摆脱行政管理色彩和官僚主义弊端,导致“认证变管理”,甚至导致“认证异化为审批”。其二,如果由同政府有关联的机构实施认证,可能导致政府不当干预市场,引发利益输送、权钱交易等腐败行为,使得认证成为财政创收的新途径,或成为少数公职人员中饱私囊的工具。其三,认证机构同政府有关联不利于提高认证服务效率与质量。政府通过权力为其有关联的认证机构获取认证资源,纵容甚至包庇违法认证行为,导致关联性认证机构不思进取,业务水平得不到提升,使得自由竞争的认证市场秩序被破坏,最终会损害认证服务效率与质量。
中国目前存在大量同政府有关联的事业单位、国有企业型认证机构。通过在全国认证认可信息公共服务平台查询可知,目前有效的认证机构有904个,既包括事业单位,也包括国有企业和民营企业,还包括社会组织。其中,认证机构数量最少的为社会组织,事业单位、国有企业和民营企业数量占绝大部分。同域外强调以政府为辅而实现法律遵从的第三方审核不同,在市场、社会发展不充分的情况下,中国的认证体制是在政府主导下自上而下确立的,同从市场出发的认证有着重要差别。在市场发展和政府职能转变过程中,事业单位、国有企业型认证机构在中国大量存在有一定的历史价值。
尽管事业单位、国有企业型认证机构由党组织领导和行政机关管理,有一定的公共财政资金作为物质保障,为了生存与牟利而进行违法认证的可能性会小很多,但却无法完全消除认证机构不独立而存在的诸多弊端。《认证认可条例》第13条第1款规定:“认证机构不得与行政机关存在利益关系。”《产品质量法》第20条要求,从事认证的社会中介机构,“不得与行政机关和其他国家机关存在隶属关系或者其他利益关系。”《关于促进市场公平竞争维护市场正常秩序的若干意见》提出,“推进检验检测认证机构与政府脱钩、转制为企业或社会组织的改革”。可见,相关法律特别重视认证机构的独立性。中国未来数据安全认证机构的确立,应独立于政府,逐步减少同政府有关联的认证机构。
为了充分实现认证机构的独立性,应加快培育社会组织型数据安全认证机构。因为无论认证规则如何设计,不管认证市场如何完善,都无法完全消除企业型认证机构为追求利润最大化而作出的不客观公正的认证,也无法总能保障与政府有关联的事业单位型认证机构独立作出客观、公正的认证。在国际上,很多有影响力的数据安全认证都是由非政府组织实施的。如美国,为微软、苹果、雅虎等众多网站提供隐私认证服务的TRUSTe,属于美国商务网络财团和电子前线基金会共同发起设立的独立非盈利性组织。在日本,情报处理开发协会建立了P-MARK认证制度,通过认证授予隐私标识促使企业采取适当的个人信息保护措施。致力于提升隐私保护从业人员职业技能的国际隐私保护专业人士协会(IAPP),设计了隐私保护专业人员认证(CIPP)、隐私保护经理认证(CIPM)、隐私保护技术专家认证(CIPT)等获得全球认可的隐私保护执业资格认证制度。
数据保护的国际实践表明,社会组织型认证机构可以克服企业型、事业单位型认证机构的诸多弊端,能够较为独立地开展认证工作。然而,中国公民社会并不发达,大量社会组织存在“信任危机”。“国家对于行业协会等社会组织的控制一直较为严苛,自始缺乏社会自治的历史传统。”由于依附型的“臣民文化”,以及政府担心社会组织发展失控而采取的“控制型管理取向”,使得中国当前真正独立的社会组织并不多。一些社会组织甚至沦为“衙门”,沾染了行政机关的各种习气,无法真正发挥第三方规制的独特功能。《网络安全法》第17条规定,“国家推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。”《个人信息保护法》第62条明确将认证作为“个人信息保护社会化服务体系建设”的重要组成部分。未来数据安全认证体制的构建,需要特别重视培育具有独立性的社会组织型数据安全认证机构。
(二)认证机构应具有高度专业性
数据安全认证是一项专业性极强的工作,只有符合相应专业资质并得到政府认可的机构,才能从事认证工作。当前数据滥用违法犯罪行为种类多样而且日新月异,具有极强的隐蔽性与复杂性。数据安全认证不同于对普通产品、服务或管理体系的认证,认证人员既须精通法律又须熟知数字科技。没有高度专业性的认证机构,难以作出权威客观的认证。中国目前对于数据安全认证,并没有专门的法律,《数据安全法》《个人信息保护法》中的相关条款极为简单,或许只能适用《认证认可条例》《认证机构管理办法》等规定。当前成为认证机构须经国务院认证认可监督管理部门批准,主管全国认证工作的机构为中国国家认证认可监督管理委员会。《认证认可条例》第10条对认证机构的资质作了五项规定,要求取得法人资格、有固定的场所和必要的设施、有符合认证要求的管理制度、注册资本不少于300万元和有相关专职认证人员10名以上。
在欧盟,《通用数据保护条例》第43条要求数据保护认证机构得到成员国的官方认可,并同时规定了成为认证机构的五项条件:(a)证明其对认证事项的独立性和专业性符合监管机构的要求;(b)承诺遵守相关准则;(c)建立了签发、定期检查和撤回数据保护认证、印章、标志的程序;(d)建立了公开透明的处理投诉机制;(e)证明其任务与职责不会导致利益冲突,并且符合监管机构的要求。相比欧盟对数据保护认证机构的资质更注重软性制度条件而言,中国更加强调认证机构的人、财、物等硬性条件。在认证市场不够成熟的情境下,一定人员数量和相应物质基础的要求,在某种程度上有利于保障认证的质量,但不宜过度强调。为了保障数据安全认证机构的专业性,需要结合数字时代新的生产要素数据和数据处理行为的特点,对其设立条件、人员构成、程序机制、物质要求等事项作出特殊的具体规定。
数据安全认证机构可以通过同检测机构合作,弥补自身专业性不足。认证机构具有相关专业知识可以做出合规判断,但不一定具备相关技术检测能力。专业检测机构可以承担具体检测技术工作,但安全认证证书应由认证机构颁发。如2018年,国家认监委和国家网信办发布《网络关键设备和网络安全专用产品安全认证实施规则》,要求相关产品生产企业向经确认的认证机构提出安全认证申请,并规定了由信息产业信息安全测评中心、国家保密科技测评中心、公安部计算机信息系统安全产品质量监督检验中心等8家检测机构为认证机构提供检测服务。再如2019年,市场监管总局、中央网信办发布《关于开展App安全认证的公告》,确定中国网络安全审查技术与认证中心为App的安全认证机构,其根据认证业务需要和技术能力确立检测机构。应防止数据安全认证机构“有名无实”不承担实质认证工作,变相将认证业务“转包”“分包”给相关检测机构。为了更高效、更负责任地开展数据安全认证工作,应不断提高认证机构的专业知识与技术能力,逐渐实现认证机构与检测机构的合一。
三、数据安全认证机制的展开
客观公正的数据安全认证不仅有赖于独立、专业的认证机构,而且需要科学合理的认证机制。相比于对普通的实体产品、线下服务、管理体系的认证,数据安全认证往往面对的是网络服务、数据产品,认证机制具有较大的特殊性。对于数据安全认证启动、实施程序、认证标准、认证跟踪监督、认证责任分配,需要进行有效的法律制度设计。
(一)数据安全认证启动:自愿抑或强制?
启动程序是开展数据安全认证的首要环节。究竟是实行自愿申请认证还是强制认证,还存在分歧。2019年公布《数据安全管理办法(征求意见稿)》第34条规定“国家鼓励网络运营者自愿通过数据安全管理认证和应用程序安全认证”,拟确立自愿认证模式。在实践中,2019年中央网信办、工业和信息化部、公安部、市场监管总局发布《关于开展App违法违规收集使用个人信息专项治理的公告》,第5条要求“开展App个人信息安全认证,鼓励App运营者自愿通过App个人信息安全认证”。此种个人信息安全认证名义上是自愿的,但实际上带有一定的单方强制性,属于政府组织实施的个人信息专项治理行动的一个环节。欧盟确立了数据保护认证的自愿机制。《通用数据保护条例》序言第100项规定,鼓励建立认证机制和使用数据保护印章、标记,以使数据主体能够快速评估相关产品和服务的数据保护水平。第42条第3项明确规定:“认证应当是自愿的,并且可通过透明的程序获得”。
对于中国的数据安全认证,宜实行自愿认证和强制认证相结合。其一,尽管数据安全认证对于个人、互联网企业、政府等都有诸多价值,但如果一律实行强制认证,不但会违背认证的第三方评定本质,使得认证异化为另一种形式的审批,而且还会给认证对象造成一定的负担。是否申请认证,一般情况下应交由互联网企业自主选择。其二,限定条件实行数据安全强制认证,更有利于保障数据安全。中国目前数据滥用现象还比较突出,数据安全法律体系并不健全,部分领域实行强制性认证,可以为网络用户提供必要的辨明信息,减少重要数据的安全风险。欧盟之所以实行数据保护自愿认证,原因可能主要在于《通用数据保护条例》为数据主体赋予了强大的权利,对数据处理设定了严格的条件与程序,而且设定了重罚机制,可以较好地保障数据安全。其三,数据安全自愿认证和强制认证相结合,更符合中国认证的法治实践。在中国传统认证领域,认证实行自愿和强制相结合。《认证认可条例》第18条规定“任何法人、组织和个人可以自愿委托依法设立的认证机构进行产品、服务、管理体系认证”,但同时第27条规定“为了保护国家安全、防止欺诈行为、保护人体健康或者安全、保护动植物生命或者健康、保护环境”,对相关产品实施强制认证。在网络安全领域,《网络安全法》第23条规定,对于网络关键设备和网络安全专用产品,“由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。”2018年,国家认监委、国家网信办发布《关于网络关键设备和网络安全专用产品安全认证实施要求的公告》,专门组织安全认证,认证对象包括路由器、交换机、服务器等网络关键设备,以及数据备份一体机、防火墙(硬件)、安全数据库系统等网络安全专用产品。此种网络安全认证主要是对同网络有关的实体产品的认证,可受传统强制性产品认证制度的调整,但实际上也可纳入数据安全强制认证的范畴。
实证研究表明,强制认证可以增强创新能力、提升管理能力和增加自愿认证,“对企业生产率具有显著正效应”。《个人信息保护法》对某些信息处理行为,实际上已经确立了强制认证制度。其第38条规定,个人信息处理者因业务等需要向境外提供个人信息的,应当“经专业机构进行个人信息保护认证”。为了更符合中国国情,为了更好地保障数据安全并促进数字经济的规范健康发展,宜实行自愿为主、强制为辅的数据安全认证制度。可以根据新经济的不同业态和不同的数据处理行为,区分场景确立是否应当强制认证。对于事关个人、组织重要权利的一些重要数据或敏感数据的处理,或许需要进行强制认证。国家对于数据安全强制认证,应定期发布统一目录,统一相关技术标准和合格评定程序,统一认证标志,统一收费标准。强制认证可以弥补自愿认证的不足,有助于防范重大风险,防止造成难以挽回的损害。然而,强制认证只应当是特定阶段的产物。随着“放管服”改革的不断推进和认证制度的不断发展成熟,数据安全强制认证的范围应当不断缩小。
对于申请数据安全认证的条件,需要做一些否定性的排除规定。如果在过去合理期间内,发生过数据安全违法违规事件,或存在相关认证标志被撤销等情形,应禁止在特定时期内申请认证。因为除了评估当前的数据安全保障水平,互联网企业过去守法合规的情况,也是认证机构考察的重要内容。认证具有信誉担保的色彩,评价过去的行为可以有效预测未来。通过评价过去合理期间的行为,可以倒逼认证对象持续积累守法合规的商业信誉。《移动互联网应用程序(App)安全认证实施规则》规定,在12个月内发生重大信息安全事件、所持同类证书在撤销认证影响期内等情形存在时,App运营者不得申请认证。由于互联网行业变化极快,所以认证申请条件所涉及的过去期间应合理设置。
(二)数据安全认证实施程序和认证标准
科学合理的数据安全认证程序,不仅可以提高认证效率,而且还有利于保障认证结果的准确性与公正性。由于大多涉及无形的网络服务或数据产品,数据安全认证程序同普通认证程序存在一定的差别,更注重对网络科技和数据安全保障制度的评定。相比于行政程序,数据安全认证实施程序更为灵活高效,但也更容易出现问题。作为第三方规制的数据安全认证具有公共性,应当保障认证过程具有充分的透明性和公众参与度。认证的实施程序应当吸收“正当法律程序”的精神,满足自然正义的基本要求,重视说明理由,听取陈述、辩解,建立健全完善的认证信息披露机制。应防止认证程序流于形式,认证也不能仅限于审核书面材料,必须通过软件检测等多种技术进行验证。
在应用程序安全认证的实践中,《移动互联网应用程序(App)安全认证实施规则》规定的主要认证环节分为三部分:技术验证+现场核查+获证后监督。对于网络服务或数据产品,数据安全认证的一般实施程序,可以从以下几个方面展开:(1)受理。认证机构对申请资料进行审核后作出是否受理的决定。(2)技术验证。通过实验室检测和现场核查等方式进行。检测机构按照技术验证规范实施技术验证,并出具技术验证报告。(3)现场审核。认证机构对互联网企业进行现场审核,对相关问题进行实地调查核实,出具现场审核报告。(4)认证决定。根据申请材料、技术验证结论、现场审核结论等进行综合评定,决定是否通过认证。(5)颁发认证证书。对于有形网络产品的认证程序略有不同,需要线下随机抽取样本进行客观评定。如《网络关键设备和网络安全专用产品安全认证实施规则》规定,对网络关键设备和网络安全专用产品安全认证的认证模式为:型式试验+工厂检查+获证后监督。型式试验程序要求认证机构从生产线、仓库、市场等地随机抽取产品,按相应产品有关国家标准进行型式试验并提交报告。工厂检查要求认证机构到工厂,对信息安全保障能力、质量保证能力、产品一致性进行检查。
对于数据安全的认证标准,除了包括具有强制力的国家法律规范,还应包括国家推荐性标准、行业标准、国际通用标准、认证机构制定的标准等。如对应用程序进行技术验证和现场审核的依据均为 GB/T 35273《信息安全技术 个人信息安全规范》,属于全国信息安全标准化技术委员会发布的推荐性国家标准。国际著名标准也可以成为数据安全的认证标准。如信息安全管理ISO27001国际标准,采用PDCA过程方法,基于风险评估的风险管理理念,对企业是否建立了科学有效的信息安全管理体系进行认证。此外,数据安全认证机构可以结合数字产业实际,建立健全自己的认证标准体系,弥补标准空白、滞后或提高标准,以引导数据安全保障。
在数据安全认证的时间跨度上,既应对互联网企业过去合理期间内守法合规情况进行审查,也应对认证当时的组织机构设置、人员配备、隐私政策、技术措施等数据安全保障制度作出评估。一旦经过全面评估认定符合认证标准,就应当作出认证决定,及时颁发认证证书。对于认证标志的使用期限,《通用数据保护条例》规定认证的有效期最长为3年,如果相关要求继续满足,在相同条件下可以续期。对于中国数据安全认证的有效期,需要区分不同的认证领域与事项,结合数字科技易变的特点,根据具体情况合理确立认证标志的有效期。另外,应推动建立健全数据安全认证国际互认体系,促进数字经济更好地在海外发展。
应确立完善的认证程序和结果异议机制。如果数据安全认证机构违反认证规则规定的程序,随意增加、减少、遗漏认证程序,认证申请人可以要求重新认证,并可以向相关部门举报投诉。即使认证程序合法,但认证结果也可能不够客观、公正,所以公开透明的认证异议处理机制十分必要。如果对认证决定有异议,应当允许认证申请人提出申诉。认证机构应及时公正处理申请人对认证程序和决定的异议,并书面告知其最终处理结果。
(三)数据安全认证跟踪监督
跟踪监督对于数据安全认证尤其重要,因为数字科技瞬息万变,网络安全新隐患不断出现。“认证即过时”可能是常态。而且,网络服务、数字产品更新换代很快,被认证对象在获得认证后会有很多新办法滥用数据。既然认证机构颁发了认证标志,就应当对其使用负有跟踪监督的义务,一旦不符合认证标志使用条件就应当及时作出相应处理,否则就可能面临相应的制裁。如北京中大华远认证中心诉盐城市亭湖区市场监督管理局案,法院认为,认证机构“未进行有效跟踪”,导致其发放的认证证书已过期但仍在持续被使用,所以监管机构的处罚并无不当。对于跟踪监督的方式,可采取日常监督与专项监督相结合的方式。如《移动互联网应用程序(App)安全认证实施规则》要求,认证机构对获证App和App运营者,从获证App一致性检查、更新情况、标志使用情况、企业自评估情况、被举报投诉和社会媒体曝光情况等方面进行持续的日常监督,并形成日常监督报告。如果出现获证App存在个人信息安全问题并经查实获证App运营者负有责任时,或组织架构、服务模式等发生重大变更时,或发生破产并购等可能影响App认证特性符合性时,认证机构应启动专项监督。认证机构属于第三方评定机构,发现被认证对象存在不符合法律、相关标准时,无权直接命令认证对象采取相关措施,但可以及时向有关主管部门报告。当前数据安全认证实践的一些做法可能并不是特别妥当,例如《移动互联网应用程序(App)安全认证实施规则》规定:“发现不符合时,认证机构向认证申请方出具不符合报告,并要求限期整改;逾期未完成整改的,中止认证过程。”不管是认证机构还是检测机构,都无权要求认证对象限期整改或发布其他命令,因为认证不属于行政检查或行政审批行为,一般只能按照认证合同约定进行处理。但认证机构要求改正应当注意一定的度,该撤销认证的就应撤销,否则可能导致更多的违法违规行为。
由于认证机构获取信息有限,而且数字科技变化极快,可尝试建立网络用户投诉举报机制,以弥补跟踪监督信息的匮乏。美国TRUSTe认证机构建立了看门狗争端解决程序,在线接受投诉对被认证网站不能适当处理的隐私纠纷进行解决。如果被认证网站不接受最终决定有效保障隐私,就会被撤销认证标志,并被列入“不守规矩的网站”名单。对于用户就数据安全问题的投诉举报,认证机构有义务予以深入调查核实,以准确判断认证标志是否符合继续使用的条件。对于数据安全认证跟踪监督的最终处理,可以作出继续使用认证标志、限期纠正、暂停使用认证标志、撤销认证标志等决定。
(四)数据安全认证的责任分配
数据安全认证有一定的特殊性,应科学合理确立数据安全认证机构的法律责任。在传统认证领域,认证机构的民事责任主要可以分为相应的赔偿责任和连带责任。首先,对于虚假认证或认证结论严重失实造成损害的,法律一般规定认证机构应承担相应的赔偿责任。《认证认可条例》第61条规定,对于出具虚假的认证结论,或者出具的认证结论严重失实的,造成损害的,“认证机构应当承担相应的赔偿责任”。《产品质量法》第57条第2款同样规定,对于不实认证“应当承担相应的赔偿责任”。然而,由于法律规定宽泛模糊,对于如何让认证机构承担“相应的赔偿责任”,判断标准并不明确。其次,对于违反认证的跟踪监督义务,法律一般规定承担连带责任。《认证认可条例》第73条规定,认证机构没有进行有效的跟踪调查,或者发现不再符合认证要求而没有及时采取措施造成损失的,“与生产者、销售者承担连带责任”。《产品质量法》第57条第3款作了同样的连带责任规定。
从认证环节上分,可以将数据安全认证机构的责任,主要分为数据安全认证责任和认证后的跟踪监督责任,分别对应相应的赔偿责任和连带责任。对于数据安全认证的归责原则,应确立过错责任原则,而非严格责任原则,因为认证只是第三方评价,损害的发生主要源于认证对象的数据违法行为,如果认证机构不存在过错就不应承担民事责任。由认证机构承担无过错责任,不仅有失公平,在事实上也难以完全实现,因为认证机构无力承担普遍累计而形成的巨额赔偿费用,而且无过错责任还可能阻碍认证市场的健康发展。如果数据安全认证机构故意进行虚假认证,属于特殊的帮助侵权行为,相应的赔偿责任应界定为连带责任。如果由于没有尽到合理的审核义务等过失导致认证结果失实的,数据安全认证机构应承担补充责任。如果数据安全认证机没有及时履行跟踪监督的法定作为义务,应承担连带责任,此种责任属于“特殊不作为义务连带责任类型”。
为了更好地保障数据安全认证的客观准确性,应加强对数据安全认证违法行为的公法责任的设置与追究。尽管通过民事赔偿可以弥补数据认证造成的损害,但数据安全认证的私法责任存在一定的限度。首先,数据安全认证违法行为具有极强的隐蔽性与专业性,受害者很多时候可能并不知情,即使知道也难以进行有效举证。其次,难以证明数据认证违法行为同损害存在因果关系。由于数据具有非独占性和可无限复制性的特点,损害可能是由其他众多主体通过多种途径违法获取数据造成的,所以要证明损害同违法认证、互联网企业滥用数据存在因果关系往往比较困难。最后,损害难以确定。对于数据违法造成的损害,往往难以量化,如对具有人格权特性的个人信息的侵犯,而且即使可以量化,损害可能并不大,数据认证机构、互联网企业的赔偿数额十分有限,违法成本可能很低。
因此,需要对数据安全认证机构设定较重的公法责任,弥补数据安全私法责任的限度。通过设定大额行政罚款,可以提高违法成本,形成威慑效应,从而有利于减少数据安全认证违法行为。《通用数据保护条例》设定了重罚机制,其第83条规定,如果数据保护认证机构违反法定义务,可能被处以1000万欧元,或上一财政年度全球营业总额2%的巨额行政处罚。《个人信息保护法》虽然对于违法处理个人信息的行为,设定了高达5000万元或者上一年度5%的罚款,但并没有专门对违法认证作出责任规定。基于成本收益原理和贝叶斯纳什均衡,罚款金额越高,即便在被处罚的概率下降的情况下,也越能有效遏制违法行为。除了可以借鉴域外数据保护经验加重行政责任外,还需要合理设定数据安全认证机构的刑事责任,但应保持刑罚的谦抑性,防止对数据安全认证市场发展和数字科技创新造成毁灭性破坏。
四、展望:数字时代个人信息保护的第三方规制
数据安全认证体制机制的法治构建,实际上体现了数字时代个人信息保护的新探索,反映了传统政府职能与规制方式的深刻转变。在数字时代,数据的价值得到空前凸显,数据已经成为了新的关键生产要素而具有重要的商业价值。“得数据者得天下”。然而,当前法治化的数据要素市场并未完全形成,过度收集、利用数据的违法甚至犯罪现象还比较常见,但传统的政府规制弊端凸显。作为第三方规制的数据安全认证,不仅对个人信息保护和数字经济发展具有重要价值,而且实际上是弥补数字时代政府规制缺陷的现实需要,是深化“放管服”改革的必然要求。
(一)弥补数字时代政府规制缺陷的现实需要
在数字时代,面对新经济日新月异的新业态、新科技,传统的政府规则往往“捉襟见肘、力不从心”。互联网、大数据、人工智能、信息技术等对传统的行政管理方式及其理论形成了挑战。对于个人信息保护而言,当然离不开公正、高效的政府规制,但却存在现实困境。
首先,由于政府获取违法信息的有限性与滞后性,个人信息保护的政府规制实效性不高。面对各行业、各领域日益增多的数据处理行为,如大量移动应用程序App超范围收集个人信息,政府实际上无法及时获取相关信息进行“无缝隙、无死角”的规制。个人信息处理守法合规的真实状况,政府往往难以全面掌握。政府规制部门缺乏充足的信息掌控,“无从获知市场主体违规行为的比重,也很难调查确认合规信息真实与否”。
其次,个人信息保护的政府规制存在“知识供给不足”的专业性缺陷。在数字科技高速发展的当代,良好的政府规制更加需要与时俱进的新知识。侵犯个人信息的数字科技日益先进,但政府职能部门虽然具有专业机构的色彩,但“行政技能的要求往往超过了其专业性”。政府运用传统手段通过行政检查、行政处罚等方式,无法全面预防与纠正个人信息处理违法行为,法律实施效果不佳。再次,受人员不足、财政缩紧等现实条件的制约,个人信息保护的政府规制作用有限。人类已进入数字时代,无论是企业的经济活动,还是普通公民的社会生活,都存在大量的个人信息处理行为。仅仅依靠有限的人财物实施政府规制,无法有效保障个人信息安全。
最后,政府规制存在“运动式执法”“选择性执法”“规制俘获”“权力寻租”等难以完全根除的反法治现象,导致大量侵犯个人信息的违法行为得不到及时有效的责任追究。如对APP侵害用户权益的专项整治行动虽然取得了很大成效,但却存在执法的不确定性、不平等性、短期性等弊端。传统政府规制以命令与控制为主,强调对抗、通过威慑实现法律遵从,导致出现对立的僵局影响治理效果,而且因行政任务扩张无力应对,“各部门行政法领域纷纷出现‘规制失灵’现象”。
作为第三方规制的数据安全认证,可以弥补数字时代政府规制的缺陷,减轻政府保障数据安全的公共任务负担。其一,数据安全认证可以填补政府规制的“盲区”。通过采取同行评审的合作方式,而非单方命令与强制的管理手段,数据安全认证机构能够获取更为准确、充分的信息,“更容易发现和纠正被规制者的不遵从行为”。其二,数据安全认证比政府规制更具有回应性。认证机构可能更熟知产业界和数据主体的需求,有更强的行动能力,能够“更为快捷地制定出更具回应性、可行性的认证标准”。在个人信息保护的国家法律规范匮乏或滞后时,认证机构还可以制定个人信息安全保护规则或标准,及时填补国家立法空白。通过制定相关标准,可以有效发挥软法的实验、学习和渐进改进的优势,从而可以更切实际地实施更加高效的第三方规制。其三,数据安全认证可以有效弥补政府规制资源的匮乏。通过充分发挥第三方机构的力量,数据安全认证可以将成本费用转移到产业界,缓解政府规制的压力。数据安全认证机构可以有效分担政府的数据安全保障任务。认证适合于“规制需求日益增长但政府资源不断减少的时代”。而且,认证机构能够随时较为灵活地配置所需的人才和设施,“撤销不合格的认证机构的资格,可能比解雇不称职的政府检查员要容易得多。”在认证市场竞争压力下,数据安全认证机构的专业性会不断提高。
数据安全认证对于个人信息保护尤为重要。数据处理主要会对国家、企业或个人造成安全威胁。数据安全审查、网络安全审查可以有效解决数据处理对国家造成的安全威胁,企业的风险内控制度可以有力保障企业的数据安全,而对于作为数据主体的个人而言则处于弱势地位。大量个人信息并不被个人控制,经常处于被单方处理的状态,个人信息安全问题随时可能爆发。作为专业的第三方评定机制,数据安全认证可以很好地逼迫互联网企业提升个人信息保护水平,能够有效弥补政府个人信息保护的政府规制缺陷,从而有利于保障个人信息安全。
(二)深化“放管服”改革的必然要求
构建法治化的数据安全认证机制,不仅是弥补数字时代政府规制缺陷的现实需要,更是深化“放管服”改革的必然要求,有利于优化数字经济的营商环境。2015年5月,“放管服”改革即“简政放权、放管结合、优化服务”的概念,在国务院召开的全国推进简政放权放管结合职能转变工作电视电话会议首次被提出。2020年5月,李克强总理在政府工作报告中提出,“深化‘放管服’改革”。“放管服”改革是当下中国最为重要的刀刃向内的政府自我变革,旨在推进政府职能的深刻转变,从根本上解放和发展生产力。现代国家权力呈现多元化与社会化的趋势,“政府职能将不断弱化、转移,社会将承担越来越多的管理职能。”个人信息保护属于政府不可推卸的职责,但这并不表明政府应当包揽一切。
目前中国存在的大量事业单位型、国有企业型认证机构,实际上是政府职能转变不彻底的结果。“放管服”改革迫切要求更多的民营企业型和社会组织型认证机构,承担数据安全评定的公共任务。在公共性事项上,“优先考虑市场或社会的自我调节、自我管理、自我服务的有效性”。“简政放权就是要把该放的权放给市场和社会,这样政府可以腾出更多力量来加强事中事后监管、提供公共服务。”在大力推进“放管服”改革的新背景下,政府应摒弃“单向度低效率的管理”,不断通过“放权减权来激活市场的活力和社会的创造力”,充分发挥数据安全认证机构的第三方规制功能。在数据安全认证机制中,政府通过直接管理少数认证机构的资质与行为,保障其公平竞争,可以从个人信息保护中的大量具体事务中解脱出来,不必投入大量成本对所有互联网企业进行直接微观干预。政府退居幕后管理认证机构,认证机构身处前线提供数据安全评定信息。不仅就事物的本质与责任而言,安全性属于经济活动参与者的责任,而且从权限上来看,安全性也应交给市场参与者来做。数据安全认证更加契合“放管服”改革的理念,有利于实现以政府为中心的规制国向市场与社会放权,必将成为数字时代个人信息保护的重要制度。
作为风险规制和质量保证的重要手段,第三方规制相比于政府规制具有诸多独特的优势,而且是深入推进“放管服”改革的必然要求。然而,中国第三方规制的力量并未能充分激活,政府规制一直占据绝对的主导地位。政府既当“运动员”又当“裁判员”、既“掌舵”又“划桨”的双重角色经常同时并存。强调市场竞争与社会自治的第三方规制,是公共行政变革的重要推动力量,在整个规制法体系中占有日益重要的地位。“第三方规制有潜力基于技术和价值引导而非公私主体固有的权限认识和职责分配,创造出一个新型的治理模式。”
结语
在深入推进“放管服”改革和国家治理能力现代化的背景下,构建法治化的数据安全认证体制机制,不仅是保障数据安全的现实需要,而且是弥补数字时代政府规制缺陷的迫切需求。作为去中心化的第三方规制,数据安全认证是一种全新理念。第三方规制同政府规制、自我规制一道共同构成了完善的规制法体系。然而,也不宜过度夸大数据安全认证的价值。尽管第三方规制可以克服市场竞争与政府规制的“双重失灵”,但其本身却存在缺乏足够的公众参与、程序不够透明、缺乏民主问责监督等合法性质疑,认证也可能“失灵”。数据安全认证机制确立之初,必然会产生“认证成管理”“认证变认钱”等一些乱象。一方面,发展初期的认证机制本来就不健全,私人规制逐利的固有缺陷难以立即完全消除;另一方面,长期以来政企不分、政事不分,认证机构短期内可能难以做到真正完全独立。但不能因噎废食,良好的第三方规制,需要持续的社会文化熏陶与法治体系建设。数据安全认证具有不可替代的数据安全保障功能。无论是政府规制,还是企业的自我规制,抑或是第三方规制,都各自存在难以克服的内在缺陷。在数据成为新生产要素的数字时代,需要政府、互联网企业、数据安全认证机构、网络用户、社会公众等多方主体开展公私合作治理,相互取长补短,协同完成保障数据安全并促进数据高效流通利用的公共任务,以最终实现数据强国。
