聶磊磊

(中國(guó)人民公安大學(xué) 法學(xué)院，北京 100038)

0 引言

個(gè)人信息保護(hù)認(rèn)證是個(gè)人信息出境中與安全評(píng)估、標(biāo)準(zhǔn)合同并列的出境制度，除了法律等有例外規(guī)定的場(chǎng)合，一般個(gè)人信息出境都可以適用認(rèn)證制度。認(rèn)證制度在我國(guó)傳統(tǒng)領(lǐng)域經(jīng)常適用，但自《個(gè)人信息保護(hù)法》實(shí)施后，個(gè)人信息保護(hù)認(rèn)證制度才開(kāi)始運(yùn)用于我國(guó)個(gè)人信息出境的場(chǎng)景。雖然運(yùn)用至今仍在不斷發(fā)布指南為其具體落實(shí)提供指引，但實(shí)施的效果差強(qiáng)人意。因此，有必要對(duì)個(gè)人信息保護(hù)認(rèn)證制度實(shí)施以來(lái)的情況進(jìn)行分析，以實(shí)現(xiàn)個(gè)人信息安全與自由流動(dòng)之間的利益衡平。

1 個(gè)人信息保護(hù)認(rèn)證基本概述及價(jià)值

1.1 個(gè)人信息保護(hù)認(rèn)證基本概述

個(gè)人信息保護(hù)認(rèn)證是個(gè)人信息跨境提供中的出境制度之一，是個(gè)人信息安全相關(guān)認(rèn)證的統(tǒng)稱，跨境處理活動(dòng)認(rèn)證是其中針對(duì)個(gè)人信息跨境場(chǎng)景的特定認(rèn)證類型。與歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)規(guī)定相類似，GDPR認(rèn)證同樣是數(shù)據(jù)保護(hù)認(rèn)證機(jī)制的統(tǒng)稱，GDPR第46條第2款第f項(xiàng)提出的認(rèn)證只是GDPR認(rèn)證中針對(duì)個(gè)人跨境場(chǎng)景的特定認(rèn)證類型。我國(guó)個(gè)人信息保護(hù)認(rèn)證的上位法依據(jù)包括《個(gè)人信息保護(hù)法》《中華人民共和國(guó)認(rèn)證認(rèn)可條例》(以下簡(jiǎn)稱《認(rèn)證認(rèn)可條例》)，根據(jù)《認(rèn)證認(rèn)可條例》，認(rèn)證是指由認(rèn)證機(jī)構(gòu)證明產(chǎn)品、服務(wù)、管理體系符合相關(guān)技術(shù)規(guī)范、相關(guān)技術(shù)規(guī)范的強(qiáng)制性要求或者標(biāo)準(zhǔn)的合格評(píng)定活動(dòng)。

目前，在個(gè)人信息跨境流動(dòng)中存在單邊、雙邊和多邊認(rèn)證機(jī)制。單邊認(rèn)證機(jī)制以歐盟“有約束力的公司規(guī)則”(BCRs)為典型，雙邊認(rèn)證機(jī)制以美國(guó)和歐盟之間已經(jīng)失效的“安全港”(Safe Harbor)和“隱私盾”(Privacy Shield)協(xié)議為代表，多邊認(rèn)證機(jī)制則以美國(guó)主導(dǎo)的“全球跨境隱私規(guī)則”(CBPRs)為代表[1]，我國(guó)的個(gè)人信息保護(hù)認(rèn)證制度屬于單邊認(rèn)證機(jī)制。但根據(jù)我國(guó)法律規(guī)定，涉及國(guó)家安全和公共利益的一些重要數(shù)據(jù)必須通過(guò)安全評(píng)估后才允許出境。同時(shí)，適用個(gè)人信息保護(hù)認(rèn)證進(jìn)行個(gè)人信息出境時(shí)，也要進(jìn)行個(gè)人信息保護(hù)影響評(píng)估，由企業(yè)自行評(píng)估是否具備出境的條件。

我國(guó)個(gè)人信息保護(hù)認(rèn)證機(jī)制的運(yùn)行規(guī)則是要求個(gè)人信息處理者和境外接收方簽訂一系列法律協(xié)議，并承諾遵守統(tǒng)一的個(gè)人信息跨境處理規(guī)則，再獲得認(rèn)證機(jī)構(gòu)認(rèn)證即可進(jìn)行個(gè)人信息出境。根據(jù)《個(gè)人信息保護(hù)認(rèn)證實(shí)施規(guī)則》(以下簡(jiǎn)稱《認(rèn)證實(shí)施規(guī)則》)，個(gè)人信息保護(hù)認(rèn)證的認(rèn)證模式為“技術(shù)驗(yàn)證+現(xiàn)場(chǎng)審核+獲證后監(jiān)督”。具體步驟是由認(rèn)證委托人先行提交認(rèn)證委托資料，包括認(rèn)證委托人基本資料、認(rèn)證委托書(shū)、相關(guān)證明文檔等，認(rèn)證機(jī)構(gòu)據(jù)此確定認(rèn)證方案；其次，技術(shù)驗(yàn)證機(jī)構(gòu)根據(jù)認(rèn)證方案出具技術(shù)驗(yàn)證報(bào)告，認(rèn)證機(jī)構(gòu)出具現(xiàn)場(chǎng)審核報(bào)告；最后，認(rèn)證機(jī)構(gòu)根據(jù)上述信息決定是否給予認(rèn)證，對(duì)符合條件的頒發(fā)認(rèn)證證書(shū)，不符合條件的要求其限期整改，整改后仍不符合條件的則終止認(rèn)證。同時(shí)，認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)在認(rèn)證有效期內(nèi)對(duì)獲得認(rèn)證的個(gè)人信息處理者進(jìn)行持續(xù)監(jiān)督。在個(gè)人信息出境的情況下，個(gè)人信息持有方發(fā)生變化，適用的法律法規(guī)也發(fā)生變化，境內(nèi)監(jiān)管機(jī)關(guān)有可能無(wú)法對(duì)境外接收方行使管轄權(quán)，并且個(gè)人信息主體維護(hù)自身合法權(quán)益的渠道變少也變得更加困難，但個(gè)人信息保護(hù)認(rèn)證制度可以有效緩解這些風(fēng)險(xiǎn)。

隨著數(shù)據(jù)全球化的發(fā)展，當(dāng)前跨境經(jīng)濟(jì)活動(dòng)的多樣性和復(fù)雜性日益攀升，相應(yīng)地要求數(shù)據(jù)出境方式要與時(shí)俱進(jìn)。雖然個(gè)人信息保護(hù)認(rèn)證在個(gè)人信息跨境提供時(shí)既安全又方便快捷，但要進(jìn)一步地對(duì)敏感個(gè)人信息提高認(rèn)證標(biāo)準(zhǔn)，推動(dòng)實(shí)現(xiàn)個(gè)人信息跨境流動(dòng)的合法事由多元化，并對(duì)企業(yè)數(shù)據(jù)保護(hù)能力進(jìn)行認(rèn)證[2]。我國(guó)分別于2022年6月和11月出臺(tái)了《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南 個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范》(v1.0)版本和(v2.0征求意見(jiàn)稿)版本(以下統(tǒng)一簡(jiǎn)稱《認(rèn)證規(guī)范》)為個(gè)人信息保護(hù)認(rèn)證的具體落實(shí)提供指引，也于2023年3月發(fā)布了《信息安全技術(shù) 個(gè)人信息跨境傳輸認(rèn)證要求》征求意見(jiàn)稿(以下簡(jiǎn)稱《認(rèn)證要求》)進(jìn)一步完善個(gè)人信息保護(hù)認(rèn)證制度。雖然國(guó)內(nèi)制度為個(gè)人信息跨境提供確立了運(yùn)行的基本原則，并對(duì)認(rèn)證機(jī)構(gòu)和個(gè)人信息處理者提出了基本要求，但僅是一些原則性和基礎(chǔ)性的規(guī)則指引，需要結(jié)合未來(lái)趨勢(shì)和國(guó)外經(jīng)驗(yàn)進(jìn)行進(jìn)一步的優(yōu)化和完善。我國(guó)個(gè)人信息保護(hù)認(rèn)證相關(guān)法律文件如表1所示。

表1 我國(guó)個(gè)人信息保護(hù)認(rèn)證相關(guān)法律文件

國(guó)外關(guān)于個(gè)人信息保護(hù)認(rèn)證的法律規(guī)定主要有歐盟BCRs和《關(guān)于認(rèn)證作為跨境傳輸工具的07/2022號(hào)指南》(以下簡(jiǎn)稱“《AC認(rèn)證指南》”)[3]。BCRs規(guī)定的認(rèn)證流程是先由企業(yè)制定BCRs，且該BCRs獲得了數(shù)據(jù)保護(hù)機(jī)關(guān)的批準(zhǔn)，最后基于經(jīng)批準(zhǔn)的認(rèn)證機(jī)制進(jìn)行個(gè)人信息的轉(zhuǎn)移。而《AC認(rèn)證指南》是由第三國(guó)數(shù)據(jù)接收方自愿申請(qǐng)認(rèn)證，并由監(jiān)管部門批準(zhǔn)的認(rèn)證機(jī)構(gòu)進(jìn)行評(píng)估決定是否給予認(rèn)證，最后基于該認(rèn)證進(jìn)行個(gè)人信息跨境傳輸。對(duì)比國(guó)內(nèi)外關(guān)于指導(dǎo)個(gè)人信息保護(hù)認(rèn)證的文件來(lái)看，《認(rèn)證規(guī)范》中規(guī)定的認(rèn)證范圍和BCRs的主要適用情形都是關(guān)聯(lián)企業(yè)之間的數(shù)據(jù)傳輸，這就是我國(guó)個(gè)人信息保護(hù)認(rèn)證在框架設(shè)計(jì)上與BCRs高度相似的原因。但最新的《認(rèn)證要求》開(kāi)始向《AC認(rèn)證指南》靠攏，《認(rèn)證要求》刪除了之前《認(rèn)證規(guī)范》明確的幾個(gè)申請(qǐng)認(rèn)證主體，比如大型跨國(guó)關(guān)聯(lián)企業(yè)等主體，但又沒(méi)有明確新的申請(qǐng)認(rèn)證主體，未來(lái)的申請(qǐng)認(rèn)證主體范圍必定更大。而《AC認(rèn)證指南》的適用范圍則非常廣泛，只要數(shù)據(jù)處理活動(dòng)是將歐盟保護(hù)的個(gè)人信息從歐盟境內(nèi)傳輸出境，境外接收方就可以就該系列或單個(gè)數(shù)據(jù)處理活動(dòng)申請(qǐng)認(rèn)證[4]。《AC認(rèn)證指南》被用于指導(dǎo)GDPR下認(rèn)證機(jī)制的實(shí)踐應(yīng)用，解決了GDPR中認(rèn)證作為傳輸工具時(shí)的具體要求。縱觀國(guó)外，個(gè)人信息保護(hù)認(rèn)證的發(fā)展過(guò)程是從小范圍的跨國(guó)企業(yè)之間到大范圍的所有個(gè)人信息跨境傳輸，從BCRS到《AC認(rèn)證指南》。這是未來(lái)個(gè)人信息保護(hù)認(rèn)證的發(fā)展趨勢(shì)，也是全球化下個(gè)人信息傳輸所倒逼的要求，也是為何我國(guó)最新的《認(rèn)證要求》開(kāi)始向《AC認(rèn)證指南》靠攏的原因。

目前，對(duì)個(gè)人信息跨境流動(dòng)的規(guī)制主要是通過(guò)法律規(guī)則進(jìn)行，比如歐盟GDPR規(guī)定的“充分性保護(hù)認(rèn)定+不存在充分性保護(hù)認(rèn)定時(shí)的減損”模式最具代表性(我國(guó)個(gè)人信息出境制度中的安全評(píng)估和標(biāo)準(zhǔn)合同都屬于此類)。同時(shí)，需要探索綜合性的個(gè)人信息跨境流動(dòng)多元治理機(jī)制，以實(shí)現(xiàn)個(gè)人信息跨境流動(dòng)法律規(guī)則有效地實(shí)施。在大數(shù)據(jù)背景下，個(gè)人信息在商業(yè)領(lǐng)域得到充分利用，其私權(quán)屬性趨于弱化但其社會(huì)屬性逐漸突顯。個(gè)人信息作為一種數(shù)據(jù)資產(chǎn)，在對(duì)其價(jià)值進(jìn)行挖掘促進(jìn)個(gè)人信息自由流動(dòng)的同時(shí)，還要兼顧對(duì)個(gè)人信息的保護(hù)，做到個(gè)人信息保護(hù)與利用之間的平衡[5]。個(gè)人信息保護(hù)認(rèn)證可以實(shí)現(xiàn)雙方之間利益關(guān)系的平衡[6]。我國(guó)應(yīng)在堅(jiān)持完善安全評(píng)估制度的基礎(chǔ)下，有效落實(shí)既能維護(hù)個(gè)人信息安全又能促進(jìn)個(gè)人信息自由流動(dòng)的個(gè)人信息保護(hù)認(rèn)證制度，使其作為安全評(píng)估制度的重要補(bǔ)充[7]。

1.2 個(gè)人信息保護(hù)認(rèn)證的實(shí)施價(jià)值

我國(guó)個(gè)人信息出境制度目前有三個(gè)，包括安全評(píng)估、標(biāo)準(zhǔn)合同和認(rèn)證制度。安全評(píng)估制度可以很好地保障國(guó)家安全和社會(huì)公共利益，但在促進(jìn)個(gè)人信息自由流動(dòng)方面存在不足。標(biāo)準(zhǔn)合同是由國(guó)家有關(guān)機(jī)關(guān)事先擬定好的，在合同生效后即可開(kāi)展個(gè)人信息出境活動(dòng)，雖然通過(guò)合同形式實(shí)現(xiàn)出境便利，但在保障個(gè)人信息安全方面尚有欠缺。而認(rèn)證制度比安全評(píng)估有更加自由的流動(dòng)性，比標(biāo)準(zhǔn)合同有更加穩(wěn)定的安全性，具有顯著的實(shí)施價(jià)值和現(xiàn)實(shí)意義。

首先，安全評(píng)估制度是我國(guó)個(gè)人信息出境中的核心制度。安全評(píng)估的適用范圍由“處理100萬(wàn)人以上個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息”把握上限，由“自上年1月1日起累計(jì)向境外提供10萬(wàn)人個(gè)人信息或者1萬(wàn)人敏感個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息”把握下限。這兩方面的規(guī)定可以將我國(guó)絕大部分的個(gè)人信息出境活動(dòng)交予安全評(píng)估制度來(lái)進(jìn)行，其適用范圍過(guò)于寬廣，導(dǎo)致三大出境制度的并列關(guān)系實(shí)質(zhì)上變成了安全評(píng)估制度優(yōu)先適用。同時(shí)，其評(píng)估流程較為復(fù)雜，專業(yè)性較強(qiáng)，成本較高?；诔杀九c收益模型，個(gè)人信息處理者可能會(huì)以本地化存儲(chǔ)代替安全評(píng)估[8]。

其次，標(biāo)準(zhǔn)合同與安全評(píng)估的適用范圍是互補(bǔ)的，在安全評(píng)估的適用范圍之外可以適用標(biāo)準(zhǔn)合同。標(biāo)準(zhǔn)合同的內(nèi)容不允許雙方任意更改，雙方如有其他的約定可在附錄部分詳述，附錄構(gòu)成標(biāo)準(zhǔn)合同的組成部分，標(biāo)準(zhǔn)合同在簽訂生效之后進(jìn)行備案即可。認(rèn)證制度在簽訂具有法律約束力和執(zhí)行力的文件之后還需要提交有關(guān)部門認(rèn)證。雖然認(rèn)證制度和標(biāo)準(zhǔn)合同都比安全評(píng)估有更加自由的流動(dòng)性，但標(biāo)準(zhǔn)合同主要憑當(dāng)事人雙方之間自覺(jué)，而認(rèn)證有認(rèn)證機(jī)構(gòu)背書(shū)，認(rèn)證比標(biāo)準(zhǔn)合同有更加穩(wěn)定的安全性。

最后，個(gè)人信息保護(hù)認(rèn)證制度在對(duì)企業(yè)、政府和個(gè)人的影響方面也發(fā)揮著其獨(dú)特的價(jià)值。認(rèn)證可以約束大型互聯(lián)網(wǎng)企業(yè)的行為，促使其不斷完善個(gè)人信息跨境提供中合規(guī)制度的建設(shè)；可以促進(jìn)新興中小互聯(lián)網(wǎng)企業(yè)發(fā)展，能夠讓企業(yè)在面對(duì)個(gè)人信息主體社群、合作伙伴乃至監(jiān)管機(jī)關(guān)時(shí)樹(shù)立穩(wěn)健可信的品牌形象[9]。同時(shí)，認(rèn)證屬于第三方規(guī)制，賦予認(rèn)證機(jī)構(gòu)“守門人”的義務(wù)，可以減少政府的負(fù)擔(dān)，幫助行政機(jī)關(guān)發(fā)現(xiàn)或阻止違法行為[10]。認(rèn)證還可以增強(qiáng)個(gè)人信息主體對(duì)個(gè)人信息處理者的信任，從另一個(gè)方面表明個(gè)人信息主體是“真正同意”個(gè)人信息處理者處理自己的個(gè)人信息[11]。

2 關(guān)鍵節(jié)點(diǎn)：個(gè)人信息保護(hù)認(rèn)證機(jī)構(gòu)的資質(zhì)

個(gè)人信息保護(hù)認(rèn)證作為第三方規(guī)制行為，認(rèn)證機(jī)構(gòu)是其中的關(guān)鍵環(huán)節(jié)，要求認(rèn)證機(jī)構(gòu)需具備公平性和專業(yè)性這兩個(gè)方面的資質(zhì)。為了保證認(rèn)證的專業(yè)性，要求對(duì)認(rèn)證機(jī)構(gòu)進(jìn)行專業(yè)合規(guī)制度建設(shè)并提高工作人員的專業(yè)水平和專業(yè)素養(yǎng)。為了充分實(shí)現(xiàn)認(rèn)證機(jī)構(gòu)的公平性和專業(yè)性，應(yīng)加快建立非政府性、非盈利性的社會(huì)組織型專業(yè)個(gè)人信息保護(hù)認(rèn)證機(jī)構(gòu)[12]。

2.1 公平性

2.1.1 認(rèn)證機(jī)構(gòu)不得與行政機(jī)關(guān)存在利益關(guān)系

中國(guó)的認(rèn)證體制是在政府主導(dǎo)下自上而下確立的，同國(guó)外從市場(chǎng)出發(fā)的認(rèn)證體制有著重要差別[13]。中國(guó)大部分的認(rèn)證機(jī)構(gòu)具有濃厚的行政管理色彩，往往導(dǎo)致第三方獨(dú)立認(rèn)證變成單方面管理和審批。國(guó)際上很多有影響力的認(rèn)證機(jī)構(gòu)都是非政府性質(zhì)的組織，與政府有關(guān)聯(lián)的認(rèn)證機(jī)構(gòu)可能會(huì)導(dǎo)致認(rèn)證不力、認(rèn)證不公，進(jìn)而損害政府監(jiān)管部門的權(quán)威性。《認(rèn)證認(rèn)可條例》第13條第1款規(guī)定：“認(rèn)證機(jī)構(gòu)不得與行政機(jī)關(guān)存在利益關(guān)系?！薄蛾P(guān)于促進(jìn)市場(chǎng)公平競(jìng)爭(zhēng)維護(hù)市場(chǎng)正常秩序的若干意見(jiàn)》提出，“推進(jìn)檢驗(yàn)檢測(cè)認(rèn)證機(jī)構(gòu)與政府脫鉤、轉(zhuǎn)制為企業(yè)或社會(huì)組織的改革”。

2.1.2 認(rèn)證機(jī)構(gòu)應(yīng)獨(dú)立于企業(yè)

在傳統(tǒng)的認(rèn)證領(lǐng)域，存在著與企業(yè)利益緊密相關(guān)的“企業(yè)型”認(rèn)證機(jī)構(gòu)，企業(yè)通常會(huì)選擇投其所“好”的第三方認(rèn)證機(jī)構(gòu)。第三方認(rèn)證機(jī)構(gòu)通過(guò)頒發(fā)虛假的認(rèn)證從企業(yè)那里牟利，企業(yè)依靠虛假的認(rèn)證騙取個(gè)人信息主體的信任獲得其個(gè)人信息，并對(duì)個(gè)人信息進(jìn)行處理來(lái)牟利。認(rèn)證成為一個(gè)完整利益鏈條中關(guān)鍵一環(huán)，“認(rèn)證變認(rèn)錢”，認(rèn)證亂象叢生。通過(guò)虛假認(rèn)證騙取的個(gè)人信息，其后續(xù)對(duì)個(gè)人信息的處理會(huì)超出個(gè)人信息主體真正同意的范圍而產(chǎn)生安全風(fēng)險(xiǎn)。在未來(lái)的個(gè)人信息跨境認(rèn)證市場(chǎng)領(lǐng)域的認(rèn)證機(jī)構(gòu)難免出現(xiàn)這種情況，“給錢就給過(guò)，不給就刁難”。這樣的風(fēng)氣甚至?xí)斐梢恍﹪?yán)格遵守認(rèn)證規(guī)則的認(rèn)證機(jī)構(gòu)被迫退出市場(chǎng)或者也成為這樣的違法認(rèn)證機(jī)構(gòu)，形成“劣幣追逐良幣”的惡性市場(chǎng)，嚴(yán)重?cái)_亂認(rèn)證市場(chǎng)秩序。

2.2 專業(yè)性

當(dāng)前，利用個(gè)人信息從事違法犯罪的方式種類日益多樣化，要求具有更高水平可以與之相對(duì)應(yīng)的專業(yè)性認(rèn)證機(jī)構(gòu)對(duì)企業(yè)的個(gè)人信息保護(hù)能力進(jìn)行認(rèn)證。只有被政府和同行業(yè)共同認(rèn)可的認(rèn)證機(jī)構(gòu)才能從事認(rèn)證工作。認(rèn)證機(jī)構(gòu)需要從事認(rèn)證工作的專業(yè)人員既要熟悉與認(rèn)證相關(guān)的法律，也要熟知計(jì)算機(jī)等專業(yè)技術(shù)方面的知識(shí)?！墩J(rèn)證要求》、BCRs和《AC認(rèn)證指南》均要求企業(yè)有義務(wù)對(duì)員工提供個(gè)人信息保護(hù)方面的培訓(xùn)，并且對(duì)持久或經(jīng)常訪問(wèn)個(gè)人數(shù)據(jù)的人員，或參與個(gè)人數(shù)據(jù)收集的人員，或開(kāi)發(fā)個(gè)人數(shù)據(jù)處理工具的人員進(jìn)行專門的培訓(xùn)[14]。同時(shí)，個(gè)人信息保護(hù)認(rèn)證機(jī)構(gòu)作為新設(shè)機(jī)構(gòu)，可以與傳統(tǒng)檢測(cè)、鑒定等機(jī)構(gòu)合作開(kāi)展個(gè)人信息保護(hù)認(rèn)證，來(lái)彌補(bǔ)起步初期專業(yè)性不足的缺陷，甚至將涉及某方面的認(rèn)證權(quán)力下放給專業(yè)性更強(qiáng)的檢測(cè)機(jī)構(gòu)來(lái)進(jìn)行認(rèn)證，但最后決定是否給予認(rèn)證的權(quán)力應(yīng)牢牢把握在認(rèn)證機(jī)構(gòu)自己的手里，防止認(rèn)證機(jī)構(gòu)不承擔(dān)自己的認(rèn)證義務(wù)，或者變相將認(rèn)證義務(wù)轉(zhuǎn)移給檢測(cè)等機(jī)構(gòu)。通過(guò)這些專業(yè)性機(jī)構(gòu)從技術(shù)上輔助認(rèn)證機(jī)構(gòu)的發(fā)展[15]，相應(yīng)地要求認(rèn)證機(jī)構(gòu)在未來(lái)要走“專精特新”路線，逐步實(shí)現(xiàn)認(rèn)證機(jī)構(gòu)與檢測(cè)等專業(yè)性機(jī)構(gòu)的合一。

3 優(yōu)化路徑：個(gè)人信息保護(hù)認(rèn)證的展開(kāi)

當(dāng)前，個(gè)人信息保護(hù)認(rèn)證制度面臨著諸多挑戰(zhàn)，但與實(shí)踐需求尚有脫節(jié)，某些方面的規(guī)定也并不明確。本文從認(rèn)證前、認(rèn)證中、認(rèn)證后三個(gè)方面分析并提出改進(jìn)意見(jiàn)，主要包括認(rèn)證啟動(dòng)機(jī)制、申請(qǐng)認(rèn)證的主體范圍及認(rèn)證標(biāo)準(zhǔn)和出現(xiàn)問(wèn)題后的責(zé)任分配。

3.1 認(rèn)證前：認(rèn)證啟動(dòng)機(jī)制

認(rèn)證如何啟動(dòng)是進(jìn)行個(gè)人信息保護(hù)認(rèn)證的第一步，主要包括自愿認(rèn)證和強(qiáng)制認(rèn)證兩種形式。從歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)來(lái)看，其主張自愿認(rèn)證機(jī)制，鼓勵(lì)建立認(rèn)證機(jī)制和使用數(shù)據(jù)保護(hù)印章、標(biāo)記，以使數(shù)據(jù)主體能夠快速評(píng)估相關(guān)產(chǎn)品和服務(wù)的數(shù)據(jù)保護(hù)水平。我國(guó)為做到“放管結(jié)合，優(yōu)化服務(wù)”的目的也實(shí)行自愿認(rèn)證，通過(guò)市場(chǎng)手段保證放而不亂，同時(shí)提高認(rèn)證水平、規(guī)范認(rèn)證秩序和提升企業(yè)的合規(guī)能力。但自愿認(rèn)證制度因認(rèn)證的方式和標(biāo)準(zhǔn)不是統(tǒng)一的，存在一定的局限性和區(qū)域性，無(wú)法滿足統(tǒng)一管理的要求，且不利于我國(guó)認(rèn)證制度“走出去”和實(shí)現(xiàn)國(guó)際互認(rèn)[16]。

我國(guó)在《認(rèn)證要求》中規(guī)定了自愿認(rèn)證原則，鼓勵(lì)開(kāi)展個(gè)人信息跨境處理活動(dòng)的個(gè)人信息處理者自愿申請(qǐng)個(gè)人信息保護(hù)認(rèn)證，充分發(fā)揮認(rèn)證在加強(qiáng)個(gè)人信息保護(hù)、提高個(gè)人信息跨境處理效率方面的作用。但也不能忽視強(qiáng)制認(rèn)證的作用，實(shí)證研究表明，強(qiáng)制認(rèn)證可以增強(qiáng)創(chuàng)新能力、提升管理能力和增加自愿認(rèn)證，“對(duì)企業(yè)生產(chǎn)率具有顯著正效應(yīng)”[17]。我國(guó)《認(rèn)證認(rèn)可條例》既鼓勵(lì)實(shí)施自愿認(rèn)證，但又對(duì)特殊領(lǐng)域?qū)嵤?qiáng)制認(rèn)證，其中第27條規(guī)定“為了保護(hù)國(guó)家安全、防止欺詐行為、保護(hù)人體健康或者安全、保護(hù)動(dòng)植物生命或者健康、保護(hù)環(huán)境”，對(duì)相關(guān)產(chǎn)品實(shí)施強(qiáng)制認(rèn)證。強(qiáng)制認(rèn)證可以嚴(yán)格執(zhí)行國(guó)家的認(rèn)證要求，認(rèn)證更具有規(guī)范性和保障性，并且對(duì)特殊領(lǐng)域的保護(hù)更為強(qiáng)勁。因此，我國(guó)認(rèn)證啟動(dòng)機(jī)制應(yīng)以自愿認(rèn)證為主，在特定領(lǐng)域?qū)嵭袕?qiáng)制認(rèn)證。

3.2 認(rèn)證中：認(rèn)證申請(qǐng)主體及認(rèn)證標(biāo)準(zhǔn)

3.2.1 申請(qǐng)認(rèn)證的主體范圍

目前，申請(qǐng)認(rèn)證的主體范圍前后規(guī)定不一致，在《認(rèn)證規(guī)范》中規(guī)定的申請(qǐng)認(rèn)證主體包括以下兩類：一是跨國(guó)公司或者同一經(jīng)濟(jì)、事業(yè)實(shí)體下屬子公司或關(guān)聯(lián)公司之間的個(gè)人信息跨境處理活動(dòng)可由境內(nèi)一方申請(qǐng)認(rèn)證；二是境外個(gè)人信息處理者，可由其在境內(nèi)設(shè)置的專門機(jī)構(gòu)或指定代表申請(qǐng)認(rèn)證(如表2所示)?！墩J(rèn)證規(guī)范》的申請(qǐng)認(rèn)證的主體范圍基本等同于歐盟BCRs，可以申請(qǐng)個(gè)人信息保護(hù)認(rèn)證的基本都是一些大型跨國(guó)企業(yè)。但是在最新的《認(rèn)證要求》中刪除了之前所明確規(guī)定的兩類申請(qǐng)認(rèn)證主體，而現(xiàn)在又沒(méi)有明確可以申請(qǐng)認(rèn)證的主體范圍，僅規(guī)定了“本文件適用于認(rèn)證機(jī)構(gòu)對(duì)個(gè)人信息處理者跨境提供個(gè)人信息活動(dòng)開(kāi)展個(gè)人信息保護(hù)認(rèn)證，也適用于主管部門、第三方評(píng)估機(jī)構(gòu)等組織對(duì)個(gè)人信息處理者跨境提供個(gè)人信息進(jìn)行監(jiān)督、管理和評(píng)估?！闭f(shuō)明適合采用認(rèn)證方式進(jìn)行個(gè)人信息跨境傳輸?shù)膫€(gè)人信息處理者包括但不限于《認(rèn)證規(guī)范》中的兩類主體，認(rèn)證申請(qǐng)主體應(yīng)為所有滿足一定條件的個(gè)人信息處理者。這偏向于歐盟《AC認(rèn)證指南》的規(guī)定，將更有利于中小企業(yè)在需要進(jìn)行個(gè)人信息跨境傳輸時(shí)申請(qǐng)認(rèn)證。隨著個(gè)人信息數(shù)量不斷增多和個(gè)人信息跨境傳輸業(yè)務(wù)逐漸擴(kuò)展到中小企業(yè)，在未來(lái)個(gè)人信息出境會(huì)變得越來(lái)越頻繁的情況下，對(duì)于任何有出境需求的個(gè)人信息處理者在符合法律規(guī)定和認(rèn)證相關(guān)要求的前提下都可以申請(qǐng)認(rèn)證，申請(qǐng)認(rèn)證的主體范圍擴(kuò)大化可以促進(jìn)個(gè)人信息跨境傳輸以及認(rèn)證市場(chǎng)的發(fā)展。

表2 《認(rèn)證規(guī)范》中可申請(qǐng)認(rèn)證的主體范圍

3.2.2 個(gè)人信息保護(hù)認(rèn)證標(biāo)準(zhǔn)

認(rèn)證標(biāo)準(zhǔn)是個(gè)人信息保護(hù)認(rèn)證的核心之一，個(gè)人信息保護(hù)認(rèn)證標(biāo)準(zhǔn)除了國(guó)家強(qiáng)制力認(rèn)證標(biāo)準(zhǔn)，還包括國(guó)際通用標(biāo)準(zhǔn)、國(guó)家推薦性標(biāo)準(zhǔn)、認(rèn)證機(jī)構(gòu)制定的標(biāo)準(zhǔn)和行業(yè)自律性標(biāo)準(zhǔn)等。制定認(rèn)證標(biāo)準(zhǔn)應(yīng)注重其可驗(yàn)證性、重復(fù)性和適用性，以證明被測(cè)的個(gè)人信息處理操作符合法律的相關(guān)規(guī)定，認(rèn)證標(biāo)準(zhǔn)應(yīng)明確易懂，并具有可操作性[18]。我國(guó)法律規(guī)定，申請(qǐng)個(gè)人信息保護(hù)認(rèn)證的個(gè)人信息處理者應(yīng)符合《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(GB/T 35273—2020)的要求，但認(rèn)證結(jié)論如要用于個(gè)人信息出境還需符合《認(rèn)證規(guī)范》的要求。同時(shí)，國(guó)家標(biāo)準(zhǔn)《認(rèn)證要求》的制定已經(jīng)完成第一輪征求意見(jiàn)稿階段。由于不同的主體之間因業(yè)務(wù)或者其他各種原因所需要的標(biāo)準(zhǔn)高低不同，應(yīng)當(dāng)建立并完善分級(jí)分類認(rèn)證標(biāo)準(zhǔn)制度。比如設(shè)定讓渡個(gè)人數(shù)據(jù)換取大數(shù)據(jù)服務(wù)的規(guī)則，視不同的個(gè)人信息傳輸重要程度和個(gè)人信息主體本身的需求適用不同的認(rèn)證標(biāo)準(zhǔn)，對(duì)于想用自己的個(gè)人信息換取便利且屬于一般個(gè)人信息的群體，可以選擇認(rèn)證標(biāo)準(zhǔn)較低但合法的認(rèn)證。對(duì)于個(gè)人敏感信息以及對(duì)安全要求高的群體，自然就要適用較高的認(rèn)證標(biāo)準(zhǔn)。

根據(jù)同等保護(hù)原則，要求境外接收方所在國(guó)認(rèn)證標(biāo)準(zhǔn)不低于我國(guó)的水平，與《AC認(rèn)證指南》遵循的同等保護(hù)標(biāo)準(zhǔn)一致。如果境外接收方所在國(guó)的保護(hù)水平低于我國(guó)，可以要求個(gè)人信息處理者和境外接收方采取必要措施保證其處理活動(dòng)達(dá)到我國(guó)的認(rèn)證標(biāo)準(zhǔn)。但BCRs的要求更為嚴(yán)格，如果地方立法對(duì)個(gè)人數(shù)據(jù)提供了更高水平的保護(hù)，那么地方立法將優(yōu)先于BCRs適用。認(rèn)證標(biāo)準(zhǔn)的完善可以在關(guān)注國(guó)際整體發(fā)展形勢(shì)的基礎(chǔ)上，加強(qiáng)與外國(guó)法律體系的互動(dòng)，促進(jìn)我國(guó)的認(rèn)證標(biāo)準(zhǔn)在未來(lái)逐步實(shí)現(xiàn)國(guó)際互認(rèn)的目標(biāo)[19]。

3.3 認(rèn)證后：個(gè)人信息保護(hù)認(rèn)證中的責(zé)任分配

《認(rèn)證要求》規(guī)定了責(zé)任明確原則，規(guī)定個(gè)人信息處理者和境外接收方應(yīng)履行法律法規(guī)規(guī)定的責(zé)任義務(wù)，在跨境處理個(gè)人信息時(shí)應(yīng)保障個(gè)人信息主體權(quán)益，并指定境內(nèi)一方、多方或者境外接收方在境內(nèi)設(shè)置的機(jī)構(gòu)對(duì)境外接收方損害個(gè)人信息權(quán)益的個(gè)人信息違規(guī)處理活動(dòng)承擔(dān)民事法律責(zé)任。歐盟BCRs則要求集團(tuán)必須指定歐盟境內(nèi)的一個(gè)集團(tuán)成員，承擔(dān)集團(tuán)內(nèi)其他非歐盟成員的違反BCRs的責(zé)任后果，即責(zé)任承擔(dān)將集中到一個(gè)實(shí)體。對(duì)于司法管轄事項(xiàng)，《認(rèn)證要求》要求個(gè)人信息處理者和境外接收方均承諾遵守中華人民共和國(guó)個(gè)人信息保護(hù)有關(guān)法律、行政法規(guī)，接受中華人民共和國(guó)司法管轄；承諾與個(gè)人信息跨境處理有關(guān)的糾紛適用中華人民共和國(guó)相關(guān)法律法規(guī)。BCRs還規(guī)定，如果位于歐盟境外的集團(tuán)成員有違反BCRs的行為，歐盟境內(nèi)的法院或監(jiān)管當(dāng)局對(duì)該行為有管轄權(quán)。但在具體如何分配責(zé)任的問(wèn)題上沒(méi)有明確規(guī)定，在私法方面可以參照《民法典》中關(guān)于責(zé)任分配的規(guī)定，在公法方面可以參照《刑法》和《行政法》關(guān)于責(zé)任追究的規(guī)定。在個(gè)人信息保護(hù)認(rèn)證中出現(xiàn)個(gè)人信息泄露等問(wèn)題時(shí)主要有以下幾個(gè)主體需要承擔(dān)責(zé)任，包括監(jiān)管部門、認(rèn)證機(jī)構(gòu)、個(gè)人信息處理者、境外接收方。對(duì)這些主體進(jìn)行責(zé)任分配時(shí)存在私法上的歸責(zé)和公法上的追責(zé)兩種情況。

首先，在私法歸責(zé)上，將歸責(zé)主體以是否實(shí)際掌握個(gè)人信息區(qū)分為個(gè)人信息持有者和非個(gè)人信息持有者兩大類，前者包括個(gè)人信息處理者和境外接收方，后者包括認(rèn)證機(jī)構(gòu)和監(jiān)管部門。對(duì)于個(gè)人信息持有者來(lái)說(shuō)，整體的歸責(zé)原則應(yīng)確立為過(guò)錯(cuò)推定責(zé)任原則，即個(gè)人信息持有者負(fù)有證明自身無(wú)過(guò)錯(cuò)的義務(wù)。根據(jù)“控制者義務(wù)理論”，任何人對(duì)自己控制的場(chǎng)所負(fù)有相應(yīng)的安全保障義務(wù)，并且要求控制者遵循收益與風(fēng)險(xiǎn)相一致以及危險(xiǎn)控制理念。一方面，個(gè)人信息持有者作為直接利益享有者，依靠個(gè)人信息的處理獲取收益；另一方面，個(gè)人信息持有者作為管理者，具有專業(yè)知識(shí)、能力、技術(shù)，能夠預(yù)見(jiàn)可能發(fā)生的危險(xiǎn)和損害，在個(gè)人信息出現(xiàn)泄露等問(wèn)題時(shí)，更有可能采取必要措施防止損害的發(fā)生或減輕損害，“監(jiān)督者控制潛在危險(xiǎn)的義務(wù)通常來(lái)源于他對(duì)危險(xiǎn)源的控制能力”[20]。對(duì)于非個(gè)人信息持有者來(lái)說(shuō)，整體的歸責(zé)原則應(yīng)確立為過(guò)錯(cuò)責(zé)任原則。認(rèn)證機(jī)構(gòu)和監(jiān)管部門作為第三方機(jī)構(gòu)，只是間接享有個(gè)人信息處理帶來(lái)的利益，二者并無(wú)直接的因果關(guān)系。在認(rèn)證機(jī)構(gòu)和監(jiān)管部門存在故意時(shí)應(yīng)承擔(dān)連帶責(zé)任，存在過(guò)失時(shí)應(yīng)承擔(dān)補(bǔ)充責(zé)任。如果認(rèn)證機(jī)構(gòu)和監(jiān)管部門沒(méi)有及時(shí)履行跟蹤監(jiān)督的法定作為義務(wù)，應(yīng)承擔(dān)連帶責(zé)任，此種責(zé)任屬于“特殊不作為義務(wù)連帶責(zé)任類型”[21]。

其次，因私法歸責(zé)具有一定的局限性，公法追責(zé)就起到了補(bǔ)充作用。在個(gè)人信息泄露時(shí)，特別是在個(gè)人信息出境的情況下，個(gè)人信息主體和個(gè)人信息持有者處于極不平等的地位，而且個(gè)人信息主體可能并不知情或者沒(méi)有有效的渠道去申請(qǐng)救濟(jì)，甚至?xí)蛟V訟漫長(zhǎng)的時(shí)間而不堪重負(fù)主動(dòng)撤訴。公法上一方面可以以《刑法》為指引對(duì)違法行為追究刑事責(zé)任；另一方面，基于傳統(tǒng)的威懾理論可以借鑒歐盟的重罰機(jī)制，追究其行政責(zé)任并提高違法成本，以此達(dá)到遵從法律的目的[22]。重罰的必要性在于當(dāng)處罰金額少于違法所得利益時(shí)難以發(fā)揮其威懾作用，因?yàn)橐廊挥欣蓤D所以違法行為不會(huì)得到有效遏制[23]。同時(shí)，基于成本收益原理，罰款金額越高，即便在被處罰的概率下降的情況下，也能有效遏制違法行為[24]。通過(guò)在公法追責(zé)上嚴(yán)厲打擊違法行為人，倒逼其在私法歸責(zé)上履行自己的義務(wù)，從而更好地保障個(gè)人信息主體的權(quán)利。

4 結(jié)論

近幾年來(lái)由于全球數(shù)字經(jīng)濟(jì)的蓬勃發(fā)展，個(gè)人信息出境成為一種常態(tài)化活動(dòng)，個(gè)人信息保護(hù)認(rèn)證制度作為第三方認(rèn)證開(kāi)始適用于新興的出境規(guī)制。認(rèn)證制度的核心功能體現(xiàn)于，在個(gè)人信息處理者滿足《個(gè)人信息保護(hù)法》規(guī)定的“基線要求”的基礎(chǔ)上，為自愿實(shí)施更具保護(hù)性的制度和措施的企業(yè)提供獲得監(jiān)管部門一定認(rèn)可的渠道，同時(shí)向市場(chǎng)參與者發(fā)布該正向信號(hào)[25]，有利于促進(jìn)各方主體在個(gè)人信息保護(hù)方面的共同治理，從而實(shí)現(xiàn)個(gè)人信息安全和流動(dòng)之間的利益平衡。當(dāng)認(rèn)證制度發(fā)展逐步成熟之后，將與安全評(píng)估和標(biāo)準(zhǔn)合同制度共同構(gòu)筑我國(guó)出境制度的運(yùn)行藍(lán)圖。未來(lái)，我國(guó)應(yīng)以與東盟、一帶一路沿線國(guó)家加強(qiáng)個(gè)人信息保護(hù)認(rèn)證交流為起點(diǎn)“走出去”，從單邊向著雙多邊認(rèn)證機(jī)制發(fā)展，并積極主動(dòng)參與國(guó)際通行認(rèn)證機(jī)制的構(gòu)建，推動(dòng)全球個(gè)人信息跨境流動(dòng)治理體系朝著更加公正合理的方向邁進(jìn)。