完善数据安全认证法治保障机制

  近日,国家市场监督管理总局和国家互联网信息办公室联合印发《数据安全管理认证实施规则》(以下简称《认证规则》),鼓励网络运营者通过认证方式规范网络数据处理活动,加强网络数据安全保护。《认证规则》与推荐性国家标准《信息安全技术 网络数据处理安全要求》配套实施应用,为开展市场化、社会化数据安全认证活动提供了重要的规范指引。《中华人民共和国数据安全法》第十八条明确规定:“国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。”《中华人民共和国个人信息保护法》第六十二条规定:“推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务。”数据安全认证,既区别于企业内部的数据安全合规自我评价,也区别于政府主导的数据安全审查监管,其本质上属于第三方提供的社会化服务,可以弥补数据安全保护领域存在的政府与市场“双重失灵”的不足。因此,以《认证规则》的制定与实施为契机,有必要进一步完善数据安全认证的法治保障相关机制建设。


  加快培育独立性专业数据安全

  认证机构

  加强数据安全认证机构的独立性。根据全国认证认可信息公共服务平台数据显示,我国当前存续有效的认证机构共计1016家。其中,以营利性企业(包括有限责任公司、股份有限公司)作为机构经营形式的有944家,属于事业单位性质的72家,属于社会组织性质的2家(均为行业协会)。可见,事业单位、营利性企业是当前数据安全认证机构的主要经营形态,这可能对数据安全认证的中立性带来较大挑战。有必要加强社会力量对数据安全认证的参与,鼓励社会团体、行业协会等第三方社会组织结合自身资源优势,成立更加中立专业的数据安全认证机构。

  提升数据安全认证机构的专业性。我国数据安全法、个人信息保护法未对数据安全认证机构的资质认定进行专门性规定。目前,数据安全认证机构的资质要求仅适用《中华人民共和国认证认可条例》第十条对于认证机构的一般要求:“(一)取得法人资格;(二)有固定的场所和必要的设施;(三)有符合认证认可要求的管理制度;(四)注册资本不得少于人民币300万元;(五)有10名以上相应领域的专职认证人员。从事产品认证活动的认证机构,还应当具备与从事相关产品认证活动相适应的检测、检查等技术能力。”该规定主要强调人、财、物等硬件物质要求,但在数据安全认证场景中,并不能精准回应数据要素流通和数据处理行为的新特征。数据安全认证不同于对普通产品质量认证,有关认证机构必须兼具法律、数字技术、质量标准管理等多学科复合型专业技术资源,还要具备解决数据安全认证中交叉性和复杂性问题的专业管理制度资源。例如,欧盟《通用数据保护条例》第43条即要求数据安全认证机构需具有健全的内外部质量保障制度流程。鉴于此,我国数据安全认证机构的专业性资质要求也应当超越传统的人、财、物等硬指标局限,更加强调认证机构需具备健全的内部检测认证管理、合法合规声明自律、公开投诉处理等制度型资质要求。


  强化数据安全认证后的监督

  落实数据安全认证机构的主体性监督责任。一方面,数据安全认证机构应当健全常态化获证后的监督机制。可以通过不定期随访、技术性抽样、认证实施信息反馈、认证实施效果评估等多元渠道,对获证后有效期内的网络运营企业开展常态化跟踪监督,对于跟踪监督中发现的数据安全风险,要及时对相关企业进行提示预警。对于集中度高、可能造成社会危害性较大的数据安全风险,要及时暂停获证企业的相关资质,并向政府监管部门报备。另一方面,数据安全认证机构也要建立应急性风险研究与应对机制。数据安全认证机构要充分发挥自身专业技术资源优势,针对数据共享、数据交易等治理规范尚未明确的重点领域,加大研究攻关力度,研究提出数据安全风险评估及应对措施。加强数据安全风险监测以及主动防御技术研究,有效应对数据要素流通过程中动态变化的各类数据安全风险。

  加强职能部门数据安全认证后的监督执法力度。市场监管、工信等部门要加强联合执法,对获证企业的网络运营行为开展定期数据安全监督抽查,针对重点企业开展常态化认证后数据安全实施效果评估。同时,对于获证企业在认证有效期内违反数据合规认证要求的,建立相应举报投诉渠道。

  完善多方联动的数据安全认证公共服务和监督平台。工业和信息化部已经建立试运行“电信和互联网行业网络数据安全公共服务平台”。建议在该平台中增加数据安全认证公共服务模块,围绕数据安全认证机构信息服务、在线认证自测自评、数据安全认证政策法规和行业动态、获证企业动态监测等主要方面开展功能优化。完善配套政策制度,强化对该平台的推广应用,促进政府、企业、认证机构、用户和其他社会力量对数据安全认证的协同化治理实现统一平台集成。


  完善数据安全认证对企业数据

  安全合规的激励指引

  健全数据安全合规标准体系。以数据安全相关法规政策的制定发展为依据,持续推动数据安全合规标准体系的细化完善,尤其要针对数据安全认证的评定要点,清晰界定企业数据安全合规自我评估系列标准,明确企业事前事中内部管理要求,为企业完善数据安全合规管理提供明确指引。鼓励数据安全认证机构和有关社会团体,结合各行业领域的数据安全保护具体需求,围绕数据收集、存储、使用、加工、传输、提供、公开等处理活动的重点环节,制定并推广实施相应的数据安全合规团体标准。

  针对中小微企业开展普惠型数据安全认证信息服务。中小微企业在应对高技术性、高复杂性的数据安全合规问题时,外部性成本的承受力普遍较弱,使其开展数据安全自我管理的动力和资源不足。可以鼓励数据安全认证机构结合本行业领域的数据安全认证工作特点,面向行业内中小微企业开展非特定的数据安全认证信息宣传和指引服务。同时,不直接开展数据安全认证的其他社会团体,可以充分调动专业性资源,针对本行业领域内的中小微企业广泛开展数据安全合规性评定的培训辅导活动。

  建立数据安全认证结果的多元化应用机制。一方面,对通过数据安全认证、获得认证标志使用权的企业,要建立相应的商业声誉激励机制,在财税优惠、融资增信、流量导入等方面建立配套的正向激励措施。另一方面,探索建立数据安全认证负面评价机制,对于未通过数据安全认证的企业,建立强制性数据安全合规培训机制;对经培训仍无法通过认证的企业,有必要建立相应的分流淘汰机制。

  (作者单位:中国计量大学标准化法治研究中心)