白麗芳 崔占華

摘? ?要：在歐盟GDPR和我國國家標準《個人信息安全規(guī)范》正式實施的背景下，個人信息保護進入新時代，成為當前國家網(wǎng)絡安全治理的重要內容。在建立個人信息保護體系的過程中，有關部門已經(jīng)試點開展了個人信息保護認證制度，但目前并不成熟，只限于個人信息安全管理體系認證。國際慣例則是對個人信息保護專業(yè)人員開展認證。論文分析了國外有關工作的進展，對建立我國個人信息保護專業(yè)人員認證提出了建議。

關鍵詞：GDPR;個人信息保護;認證

中圖分類號：N01? ? ? ? ? 文獻標識碼：B

Abstract： With the enforcement of General Data Protection Regulation （GDPR） and the China national standard Information security technology-Personal information security specification （GB/T 35273-2017）， the personal information protection has entered a new era， and currently become the key part of the national cyber security governance. In the establishment of the personal information protection system， the related governments have piloted the personal information protection certification， focusing on the certification for the personal information security management system which is still immature. Whereas， the best practice in the world emphasizes on the certification for the personal information protection experts. This work reviewed the international development of the personal information protection certification， and proposed to the certification scheme for China personal information protection professionals.

Key words： GDPR;personal information protection;certification

1 引言

近年來，非法收集、濫用個人信息現(xiàn)象愈演愈烈，成為互聯(lián)網(wǎng)發(fā)展的頑疾，引發(fā)全球關注。為此，世界各國都在采取各種措施加大個人信息保護力度。特別是，2018年5月歐盟正式實施《通用數(shù)據(jù)保護條例（GDPR）》產(chǎn)生巨大影響。而我國也于同月實施國家標準GB/T 35273-2017《信息安全技術 個人信息安全規(guī)范》，標志著有中國特色的個人信息保護體系開始建立。與此同時，基于法規(guī)和標準的數(shù)據(jù)安全認證開始提上議事日程，相關部門在制定政策時對此多有考慮。2019年2月，中國網(wǎng)絡安全審查技術與認證中心基于GB/T 35273-2017，對10家企業(yè)頒發(fā)了“個人信息安全管理體系”認證證書。但此項工作仍處于試點階段，加之認證過程不透明，認證結果與大型互聯(lián)網(wǎng)企業(yè)的日常表現(xiàn)有明顯差異（多家屢受公眾批評的互聯(lián)網(wǎng)企業(yè)獲證），因而也引發(fā)了一些爭議。

從全球看，在數(shù)據(jù)安全領域推行認證制度，這已成為一種最佳實踐。但與國內不同的是，國外目前主要開展了個人信息保護專業(yè)人員認證，其他方面的數(shù)據(jù)安全認證仍處于醞釀階段。

本文首先介紹了GDPR的內容和影響，以及我國個人隱私保護現(xiàn)狀和存在的問題，并分析了國際影響力最大的個人信息保護專業(yè)人員認證制度IAPP（國際隱私保護專業(yè)人士協(xié)會）認證，在借鑒的基礎上提出了建立我國個人信息保護專業(yè)人員認證制度的啟示與建議。

2 背景

2.1歐盟GDPR

歐盟議會于2016年4月通過了GDPR新規(guī)，并于2018年5月25日正式生效，用于取代1995年發(fā)布的數(shù)據(jù)保護指令（DPD）。自生效之日起，所有成員國的法規(guī)將立即適用于GDPR。GDPR的目標是保護歐盟公民免受隱私和數(shù)據(jù)泄露的影響，同時重塑歐盟組織機構處理隱私和數(shù)據(jù)保護的方式。

與1995年的DPD相比較，GDPR在內容上加強了對于數(shù)據(jù)主體的權利保護，主要體現(xiàn)在控制者或處理者的適用范圍變大，增加了數(shù)據(jù)主體的刪除權（被遺忘權）和數(shù)據(jù)可攜帶權等，加重了數(shù)據(jù)控制者和處理者的義務，完善了跨境數(shù)據(jù)傳輸機制，增設了高額行政罰款等。這些嚴格的規(guī)定和要求，將對跨國企業(yè)處理個人信息產(chǎn)生很大影響，尤其是在個人信息自決權、嚴格的數(shù)據(jù)處理問責機制、數(shù)據(jù)跨境傳輸?shù)确矫嫣岢隽藝谰魬?zhàn)。但同時，也為各國個人信息保護提供了很好的借鑒參考和實踐經(jīng)驗。

在信息時代，信息流引領技術流、資金流、物資流、人才流。對個人信息的保護要求，特別是對數(shù)據(jù)跨境流動的要求，在某種程度上直接影響著全球貿易，成為全球性問題。因此，GDPR一經(jīng)實施，便在全球引發(fā)高度關注，甚至有可能重構全球貿易格局。

2.2 我國個人信息保護現(xiàn)狀

近年來，我國個人信息泄露和非法濫用事件屢見不鮮，成為重大社會問題。據(jù)推測，目前我國網(wǎng)絡非法從業(yè)人員已超150萬人，相關產(chǎn)業(yè)市場規(guī)模已達到千億元級別，有相當多的“黑產(chǎn)”與個人信息有關，已經(jīng)形成了信息需求、盜取、交易等一條完整的黑色鏈條。

2018年6月1日實施的《網(wǎng)絡安全法》對公民個人信息保護設立了多項條款。此外，國家標準委還發(fā)布并實施了GB/T 35273-2017《信息安全技術 個人信息安全規(guī)范》，對個人信息收集、使用、共享、披露、存儲和刪除等各處理活動提出了具體保護要求。

但從總體看，我國個人信息保護形勢嚴峻，如法律法規(guī)不夠完善、個人信息保護和監(jiān)控技術手段與工具不能滿足實際需求、企業(yè)合規(guī)意愿不強等，解決這些問題需要綜合考慮多種因素。目前，我國開展了個人信息安全管理體系認證試點。但本著先易后難、急用先上的原則，借鑒國外經(jīng)驗建立個人信息保護專業(yè)人員認證制度是當務之急。

3 IAPP認證

3.1 IAPP

IAPP（International Association of Privacy Professionals），即國際隱私保護專業(yè)人士協(xié)會，成立于2000年，是一個非盈利性組織，也是全球最大的隱私信息保護社區(qū)和資源庫，致力于提升隱私保護從業(yè)人員職業(yè)技能，幫助不同組織提高管理和保護隱私數(shù)據(jù)的能力。

IAPP設計開發(fā)了唯一全球認可的隱私保護執(zhí)業(yè)資格認證項目，包括隱私保護專業(yè)人員認證（CIPP）、隱私保護經(jīng)理認證（CIPM）、隱私保護技術專家認證（CIPT）。這三個認證是目前全球頂級的隱私保護認證，服務于數(shù)據(jù)保護、信息審計、信息安全、組織合規(guī)與風險管理等領域成千上萬的專業(yè)人士。

3.2 I APP認證項目

目前，IAPP認證已獲得美國國家標準研究所（ANSI）認可。ANSI在此基礎上開展了美國第一個人員認證認可項目，也是唯一一個滿足國際標準ISO/IEC 17011《合格評定-認可合格評定機構的認可組織的一般要求》的項目，為全球認可機構在個人信息安全認證領域確立了標桿。

3.2.1 CIPP

IAPP的CIPP認證主要適用于隱私保護法律法規(guī)、合規(guī)性審查、信息管理、數(shù)據(jù)治理、人力資源等領域的從業(yè)人員。獲得CIPP表明掌握了全球和特定領域（部門）的隱私與數(shù)據(jù)保護的法律法規(guī)、標準規(guī)范和實踐知識等。目前，CIPP認證包括CIPP/A、CIPP/US、CIPP/C、CIPP/E和CIPP/G等五種認證。

（1）CIPP/A

CIPP/A（Asia）認證服務于主要亞洲經(jīng)濟體隱私保護相關法律法規(guī)和實踐知識領域的認證需求，表明了在亞洲和全球范圍理解和應用隱私保護知識和實踐的能力。獲得CIPP/A認證需要掌握的知識體系和考試大綱如表1所示，主要包括隱私保護基本原則和通用知識，以及新加坡、印度、中國香港的隱私保護法律和實踐。

（2）CIPP/US

CIPP/US（U.S. private-sector）認證開始于2004年，因與美國有關，故已成為隱私保護領域最知名的資質認證，已有數(shù)千名獲證者。該認證表明了獲證者能夠熟練掌握美國隱私保護法律法規(guī)，以及對于敏感個人數(shù)據(jù)出入美國、歐盟和其他司法管轄區(qū)域各種要求的能力。

獲得CIPP/US認證需要掌握的知識體系和考試大綱如表2所示，主要包括美國隱私保護環(huán)境、私有部門收集和使用個人信息的限制、政府和法院對私有部門信息的訪問、公共場所的隱私保護以及各州隱私保護法律等。

（3）CIPP/G

CIPP/G（U.S. Government）是第一個用于美國聯(lián)邦、州、縣和地方政府機構雇員的隱私保護認證。同時，也適用于為政府提供服務的零售商、供應商和咨詢師等。CIPP/G主要涉及美國政府隱私保護法律法規(guī)和政策，尤其是涉及政府實踐，以及適用于美國公共和私營部門更廣泛的隱私保護相關內容。CIPP/G也涉及美國政府標準方面的實踐，包括隱私保護項目開發(fā)與管理、合規(guī)與審計，以及相關記錄管理和機構上報責任等，具體內容如表3所示。

（4）CIPP/C

CIPP/C（Canada）認證始于2006年，是第一個加拿大國家級數(shù)據(jù)保護認證項目。獲得CIPP/C認證，證明了在聯(lián)邦、省和地區(qū)層面上，對加拿大隱私保護法律、原則和最佳實踐理解和應用的能力。

獲得CIPP/C認證需要掌握的知識體系和考試大綱如表4所示，主要包括加拿大隱私保護基本原則，以及私營部門、公共部門和醫(yī)療結構隱私保護法律和實踐。

（5）CIPP/E

CIPP/E（Europe）認證開始于2011年，是第一個針對歐盟數(shù)據(jù)保護專業(yè)人士的資質認證，是歐盟隱私保護綜合原則框架和知識庫的組成部分。獲得CIPP/E認證，表明已掌握歐盟隱私保護法律法規(guī)，以及對于個人敏感數(shù)據(jù)出入美國、歐盟和其他司法管轄區(qū)域的各種要求。

獲得CIPP/E認證需要掌握的知識體系和考試大綱如表5所示，主要包括歐盟數(shù)據(jù)保護基本原則、法律法規(guī)、合規(guī)要求等內容。

3.2.2 CIPM

CIPM認證開始于2013年，是目前全球唯一的隱私項目管理方面的認證，主要滿足隱私項目生命周期內風險管理、隱私運行、審計與追責、隱私分析等方面的需求。獲得CIPM認證，表明了獲證者在組織內的隱私管理工作中運用相關管理措施和技術的能力。

獲得CIPM認證需要掌握的知識體系和考試大綱如表6所示，主要包括隱私項目管理、生命周期管理等。

3.2.3 CIPT

CIPT是第一個IT從業(yè)者全球隱私保護認證，證明在IT產(chǎn)品和服務的開發(fā)、工程、部署與審計方面，對于隱私和數(shù)據(jù)保護實踐的理解程度，以及管理和建立隱私保護要求和控制措施的能力。

CIPT主要適用于負責IT產(chǎn)品和服務開發(fā)、工程、部署和審計的專業(yè)人士。獲得CIPT認證需要掌握的知識體系和考試大綱如表7所示，主要包括IT環(huán)境下隱私保護需求、核心概念、信息生命周期內隱私保護考慮、系統(tǒng)和應用中的隱私保護、隱私保護技術、在線隱私保護等。

3.3 IAPP認證過程

獲得IAPP認證的過程包括申請、準備、考試、發(fā)證、認證維持等環(huán)節(jié)。

（1）申請

在IAPP網(wǎng)站上注冊申請適合的考試項目和考試形式（筆考和機考）。IAPP在全球各地設置了800多個機考考試點，可以根據(jù)自己的需求選擇合適的地點和時間;對于筆考，現(xiàn)在主要是在美國全球隱私峰會、美國隱私安全風險、歐洲數(shù)據(jù)保護會議三個國際會議期間進行，可在會議的注冊窗口期申請考試安排。

（2）準備

根據(jù)不同認證項目，在IAPP網(wǎng)站下載學習相應的知識體系和考試大綱。也可選擇參加IAPP提供的在線和線下培訓以及模擬考試。

IAPP為每個認證指定了一本通用參考書，同時也為每個認證提供了一個授權資源和補充閱讀的書籍列表，以及其他一些在線資源。這些資源圈定了考試內容，并為涉及隱私保護和數(shù)據(jù)處理的專業(yè)人士提供了相關工具。

（3）考試

所有考試采用英語，對于CIPP/E也可采用法語和德語。機考和筆考的考試內容相同，但考試程序、規(guī)則以及考題數(shù)量和考試時間有所不同，如表8所示。

（4）發(fā)證

考生成功通過指定考試后（機考結束后即可知道考試成績，而筆考要等4周），IAPP將授予其認證證書，并在考生郵件收到考試成績的3周內進行郵寄。

（5）認證維持

IAPP采用持續(xù)隱私教育（CPE）政策維持認證證書的有效性。證書有效期內（一般為2年），為了維持認證資格，所有證書持有人必須至少滿足兩個要求：一是每年繳納證書維持費;二是以2年為周期，每種證書持有人應完成規(guī)定課時的CPE。IAPP為獲得CPE課時提供了多種方式，如參加隱私保護相關國際會議、學術演講、學習資料、參加IAP的培訓等。

4 IAPP認證對我國個人信息保護專業(yè)人員認證的啟示

通過對IAPP認證制度和我國目前個人信息保護現(xiàn)狀的分析，針對我國個人信息保護專業(yè)人員認證制度的建立與運營管理，提出以下建議。

一是盡快建立我國個人信息保護專業(yè)人員認證制度。我國該項認證制度的建立可以充分借鑒IAPP認證模式與認證項目，建立或指定一個（國內唯一）權威機構作為認證機構，運行與管理人員認證制度。初期設立三個認證項目（可根據(jù)實際需要進行擴展），分別是個人信息保護專業(yè)人士（Personal Information Protection Professional，PIPP）、個人信息保護項目經(jīng)理（Personal Information Project Manager，PIPM）和個人信息保護技術專家（Personal Information Protection Technologist，PIPT）。PIPP認證主要適用于個人信息保護法律法規(guī)、合規(guī)審查、信息管理、數(shù)據(jù)治理、人力資源等領域的從業(yè)人員;PIPM認證主要適用于來自政府、監(jiān)管部門以及企事業(yè)單位等從事個人信息保護項目管理人員;而PIPT認證則主要服務于負責IT產(chǎn)品和服務開發(fā)、工程、部署、運維和審計的專業(yè)人士。

二是抓緊完善我國個人信息保護專業(yè)人員認證的知識體系和考試大綱。根據(jù)我國個人信息保護法律法規(guī)、標準規(guī)范以及實踐基礎，知識體系的建立可以借鑒IAPP的內容框架，并著重將我國《網(wǎng)絡安全法》、GB/T 35273-2017《信息安全技術 個人信息安全規(guī)范》等我國法規(guī)標準與實踐情況融入到具體內容中。

三是逐步建立我國個人信息保護專業(yè)人員認證持續(xù)教育政策。持續(xù)教育主要服務于人員認證制度，用于支撐認證證書有效期的維持;也可以服務于國內個人信息保護相關教育、培訓等需求。持續(xù)教育的執(zhí)行機構可以為國內的權威認證機構、測評實驗室或者企業(yè)等。

四是以網(wǎng)站形式建立一個以個人信息保護專業(yè)人員認證為主題的交流平臺，并借此在國內推廣個人信息保護的文化。該平臺主要聚焦四個功能。

（1）服務于個人信息保護專業(yè)人員認證制度，作為注冊申請、參考資料發(fā)布、認證結果發(fā)布、認證制度資料公開等工作的載體。

（2）作為個人信息保護相關技術活動的媒介，主要服務于每年舉辦一次“交流大會”。“交流大會”可以作為國內外個人信息保護的技術交流與研討平臺，提供個人信息保護專業(yè)人員認證考試在線注冊申請等，頒布每年新發(fā)證書等。

（3）持續(xù)教育載體，提供各種在線培訓服務和發(fā)布相關學習資料。

（4）積極與IAPP溝通，建立適合我國的CIPP認證項目，并建立IAPP認證考點。這既有利于學習借鑒IAPP經(jīng)驗，跟蹤國際隱私保護法律法規(guī)和技術發(fā)展，也有利于為國內有意獲得IAPP認證的人員提供服務。

5 結束語

在我國個人信息保護工作中引入認證制度是一項有積極意義的舉措，但究竟是針對產(chǎn)品、服務、管理體系還是人員進行認證，目前各國的實踐各不一樣。從對國外情況的研究看，個人信息保護專業(yè)人員認證的可操作性較強，且在我國的實施條件已經(jīng)成熟。其與本地政策法規(guī)、產(chǎn)業(yè)發(fā)展需求緊密結合，且分類實施的策略，值得我們充分借鑒，這項工作宜盡快開展。

參考文獻

[1] 段久惠.個人信息及隱私保護體系國家認證來了[EB/OL]. http：//www.sohu.com/a/293150182_177992，2019.

[2] 市場監(jiān)管總局.市場監(jiān)管總局中央網(wǎng)信辦公告開展App安全認證工作[EB/OL]. http：//www.gov.cn/xinwen/2019-03/15/content_5373928.htm，2019.

[3] IAPP.IAPP privacy certification candidate handbook[EB/OL]. https：//iapp.org/certify/，2018.

[4] 中國互聯(lián)網(wǎng)絡信息中心.第41次中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告[EB/OL]. http：//cnnic.cn/hlwfzyj/hlwxzbg/hlwtjbg/201803/t20180305_70249.htm，2018.

[5] We are social.DIGITAL IN 2018[EB/OL]. https：//wearesocial.com/uk/blog/2018/01/global-digital-report-2018，2018.