认证作为个人信息出境路径之中国与欧盟的比较分析

2023-06-21

2023年2月14日，欧盟数据保护委员会出台了《关于欧盟数据保护委员会通过国家认证标准和欧盟数据保护印章标准的程序的相关意见》，其中对如何向欧盟委员会提交申请程序、认证会议的程序以及如何采纳关于认证标准决定草案进行了规定。这是欧盟委员会继2022年6月14日颁布《关于认证作为数据跨境工具的指南》以及2020年10月10日《关于欧洲隐私认证标准的意见》之后对于认证的又一新的意见，Europrivacy是第一个确认符合欧盟《通用数据保护条例》（简称GDPR）的认证机制，公司可以利用该认证机制来提高其业务价值和客户对其服务的信任。

在国内，数据保护方面的认证也在逐渐发展和完善。2022年6月，全国信息安全标准化技术委员会公布《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》并于2022年12月进行了更新。2022年11月4日，国家互联网信息办公室和国家市场监督管理总局发布《个人信息保护认证实施规则》，规定了对个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证的基本原则和要求。

下面本文就欧盟法和中国法下如何以认证作为数据跨境传输途径进行整合和比较，以分析两者的异同：

一、认证的种类

欧盟

欧盟根据认证的适用范围区分了国家认证标准和欧洲数据保护印章，国家认证标准在特定成员国内有效，仅适用于成员国内部，认证标准由该国数据保护机构批准，报EDPB汇总登记；而欧洲数据保护印章可以在整个欧盟领域适用，目前通过批准的为2022年欧洲隐私认证（Europrivacy Criteria）。

除了区分适用范围之外，欧盟的数据认证也区分了认证的目的，一般情况下的认证是实施数据处理操作的控制者和处理者作为遵守《数据通用保护条例》（简称GDPR）的证明^[1]，而以认证作为数据转移工具则作为数据向不属于GDPR管辖范围内的第三国或者国际组织传输的情况下满足适当性保障的证明^[2]。

中国

我国的数据认证根据目的不同分为不含跨境处理活动认证以及包含跨境处理活动认证，两者的认证依据并不相同，跨境处理活动除了需要遵守《信息安全技术个人信息安全规范》还应当符合《个人信息跨境处理活动安全认证规范》。此外，两者的认证标志也不同。

（注：个人信息保护认证属于我国“数据安全三认证”之一，其他还包含：APP安全认证；数据安全管理认证）

欧盟和中国都将一般的个人信息保护认证和包含跨境处理活动认证区分，目的是突出跨境处理活动的特殊性，就欧盟而言，除了符合一般的个人信息保护认证的要求，还需要欧盟外第三方数据接收方做出有约束力和执行力的承诺；就中国而言，除了符合一般的个人信息保护认证要求，还需要符合《个人信息跨境处理活动安全认证规范》。

二、认证机制组织构成

欧盟

欧盟的认证机制组织构成如下：

（图示顺序不代表组织层级高低）

（1）欧盟委员会负责制定实施法案，为认证机制与数据保护印章及标记设定技术标准；

（2）计划所有人自愿向认证机构或主管监管机构（Competent Supervisory Authority, CompSA）提出对其数据处理操作进行认证的申请，同时要提供实施认证程序必需的所有信息和访问权限。计划所有人为已经建立了需要进行一致性评估的认证标准和方法要求的组织，可以是认证机构或者监督机构（Supervisory Authorities, SAs）也可以是数据控制者或处理者；

（3）认证机构负责进行认证。职责包括向SAs或欧盟数据保护委员会提交认证标准草案以供批准；确定并建立认证程序，并且在签发、更新或撤销认证前，通知SAs。

（4）监管机构是欧盟在成员国内建立的一个或多个独立的数据保护机构。在认证方面有“四种模型”，监管机构可以（i）就其本身的认证计划签发认证；（ii）就自己的认证计划签发认证本身，但将评估过程的全部或部分委托给第三方；（iii）创建自己的认证方案，并委托认证机构实施颁发认证的认证程序；（iv）鼓励市场发展认证机制。

（5）欧盟数据保护委员会负责批准欧盟经济区（European Economic Area, EEA）范围内的认证标准（欧洲数据保护印章）；就监管机构关于认证机构的认证标准和认证要求的决定草案提供意见，以确保一致性；以及将所有认证机制和数据保护印章及标记整理在登记册并公开。

中国

我国的认证机制组织构成如下：

（图示顺序不代表组织层级高低）

在我国，2022年11月的《个人信息保护认证实施规则》由国家市场监督管理总局和国家互联网信息办公室共同发布，国家市场监督管理总局管理的国家认证认可监督管理委员会是国务院授权的履行行政管理职能，统一管理、监督和综合协调全国认证认可工作的主管机构。而互联网的建设、互联网信息内容管理由国家互联网信息办公室管理。可见，这两个机构将共同促进认证机制的推动和发展。此外，根据《个人信息保护认证实施规则》，我国的认证将由国家互联网信息办公室认可的专业机构进行。根据中国网络安全审查技术与认证中心官网公布信息，其将负责个人信息保护认证的具体实施工作。

综上，欧盟的认证机构在建立认证草案时需要获取成员国的监管机构或者欧盟数据保护委员会的批准，具体由谁批准取决于该认证草案的适用范围是某一成员国范围还是欧盟经济区范围。除了认证机构外，欧盟的监管机构也可以建立自己的认证方案。区别于欧盟认证草案需要经过批准的安排，中国的《个人信息跨境处理活动安全认证规范》已将跨境处理活动安全认证的规范进行了比较清晰的规定，认证机构更多开展的是技术检测和实施性工作。

三、认证主体和认证对象

欧盟

就认证主体，一般情况下，为实施数据处理操作的控制者和处理者。就个人信息跨境传输认证而言，根据欧盟委员会《关于认证作为转移工具07/2022指南》，认证的主体为第三国数据接收方。

就数据跨境传输的认证对象，欧盟数据认证对象通常是第三国的数据接收方从欧盟经济区（European Economic Area, EEA）接受的数据的处理，以及在接收方控制下的任何操作，可以是第三国数据接收方的单个处理操作或者一组操作。

中国

就认证主体，根据我国《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》，在个人信息跨境传输场景下，认证的申请主体首先应合法，并具有良好商誉，其次应至少符合两个条件之一，一是为跨国公司或同一经济体的境内一方，二是根据《个人信息保护法》第三条第二款的境外个人信息处理者。

就数据跨境传输的认证对象，我国的相关法律法规并未明确说明跨境传输的认证对象。

虽然欧盟在GDPR第五章数据跨境处理章节要求欧盟内的数据传输者提供适当性保障措施，但是在提及跨境处理认证时却是由数据接受方进行认证。而在中国的认证规范中，为了便利认证申请的沟通，申请认证的主体为符合条件的境外一方的境内代表。也正因如此，我国的认证程序中还包含认证委托的程序。

四、认证内容

欧盟

就欧盟数据跨境传输的认证流程包括：（1）提交申请→（2）形式审查→（3）事先评估→（4）目标/ToE评估→（5）结果有效性评估→（6）向主管监管机构（CompSA）汇报→（7）认证结果→（8）事后监督→（9）认证的更新，根据欧盟数据保护委员会《第42条及第43条关于认证及识别标准1/2018指南》，具体可表示为下图：

就评估内容而言，欧盟数据跨境传输认证除了一般数据认证中的评估标准，如(1)数据处理的合法性；(2)数据处理的原则；(3)数据主体的权利；(4)通知数据泄露的义务；(5)通过设计和默认方式保护数据的义务;(6)是否进行了数据保护影响评估;(7)保障保护的技术和组织措施，还包括数据跨境传输认证的特殊标准：（1）第三国法律评估（包括第三国的法律是否阻止认证下承诺；数据接收方是否记录并应要求向认证机构和主管数据保护机构提供第三国法律评估和实践情况；数据接收方是否确定并实施组织和技术措施以提供适当保障；数据接收方是否需要向认证机构和数据传输方承诺不会阻止履行认证义务）；（2）数据传输方与数据接收方的普遍义务（是否需要在二者间的合同中约定认证适用的具体传输情形和第三方受益人权利；适用合同属于模板的话是否需要继续评估）；（3）后续的传输规则（再传输是否需要适用GDPR第五章的数据跨境传输工具；需要提供哪些文件）；（4）救济和权利的行使（数据主体向欧洲经济区法院或国际组织申请第三方受益权或要求损害赔偿的权利；数据接收方对数据主体承担的损害责任；数据主体向欧洲经济区主管监督机构提出投诉的权利；数据接收方接受欧洲经济区主管数据传输方的监管机构的审计和检查）；（5）国家立法阻止认证承诺情况下的程序和行动（数据接收方立即通知的义务；接收方在第三国禁止遵守认证义务的情况下应采取的步骤描述）；（6）处理第三国当局的数据访问请求（数据接收方立即通知义务；不理会第三国当局访问请求）。

关于具有法律约束力且可执行的承诺/文件，欧盟规定 “不受GDPR约束的数据控制者”和“数据处理者”应通过合同或者其他具有约束力的文件，需要作出有约束力且可执行的承诺，以适用认证机制提供的适当保障措施。

中国

我国数据跨境传输的认证流程包含：（1）认证委托→（2）委托审查→（3）确定认证方案→（4）技术验证→ （5）现场审核 →（6）获证后监督。根据我国《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》，首先申请人需要进行认证委托，认证机构应当明确认证委托资料要求，包括但不限于认证委托人基本材料、认证委托书、相关证明文档等；接下来开展委托审查，认证委托人应当按认证机构要求提交认证委托资料，认证机构在对认证委托资料审查后及时反馈是否受理；之后认证机构应当根据认证委托资料确定认证方案，包括个人信息类型和数量、涉及的个人信息处理活动范围、技术验证机构信息等，并通知认证委托人；并经技术验证机构按照认证方案实施技术验证，向认证机构和认证委托人出具技术验证报告；最后认证机构实施现场审核，并向认证委托人出具现场审核报告；此外，认证机构应当采取适当的方式实施获证后监督，确保获得认证的个人信息处理者持续符合认证要求。其次，个人信息处理者应对拟向境外接收方提供个人信息的活动开展个人信息保护影响评估，并形成评估报告，报告至少保存3年。

就评估内容而言，结合个人信息处理者对向境外接收方提供个人信息的活动开展的个人信息保护影响报告，需要包含以下内容：（一）个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性；（二）出境个人信息的规模、范围、频率、种类、敏感程度，个人信息出境可能对权益带来的风险；（三）境外接收方承诺承担的义务，以及履行义务的管理和技术措施、能力等能否保障个人信息出境的安全；（四）个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险，个人信息权益维护的渠道是否通畅等；（五) 境外接收方所在国家或者地区的个人信息保护政策法规对履行个人信息保护义务和保障个人信息权益的影响；（六）其他可能影响个人信息出境安全的事项。

关于具有法律约束力且可执行的承诺，我国认为开展个人信息跨境处理活动的个人信息处理者和境外接收方应签订具有法律约束力和可执行的文件，确保个人信息主体权益得到充分的保障。

从上述中欧的跨境传输评估内容来看，两者均尤其注重第三国法律环境、数据接收方义务以及个人信息主体的救济和权利等内容评估。除此之外，欧盟所独有的评估内容是针对第三国法律环境的具体应对措施，如“国家立法阻止认证承诺情况下的程序和行动”和“处理第三国当局的数据访问请求”。此外，欧盟和中国在跨境传输认证中都要求境外接收方签署有约束力且可执行的承诺，要求确保个人信息主体的权益得到充分保护。就该承诺的法律形式，并不限于合同或协议，但其内容应包括：（1）数据主体有权利作为第三方受益人强制执行经认证的数据接收方的承诺；（2）数据接收方不遵守认证规则情形下的责任；（3）数据传输方作为第三方受益人享有对数据接收方强制执行认证下规则的权利；（4）认证机构对数据接收方被发现不遵守认证规则而采取任何措施，数据接收方有义务通知数据传输方及其监管机构。而我国对于认证中具有法律约束力文件所规定的主要内容与标准合同条款框架相差无几，让人很难区分两者之间关系，如果两者内容一致，则认证机制作为一个独立的数据跨境传输路径的作用将被削弱。

五、获证后监督及有效期

欧盟

欧盟个人信息跨境传输认证在获取认证后，由具有相应专业性的认证机构、或主管监管机构、或二者共同监督。监督内容主要包括两个方面，（1）ToE是否继续满足认证标准？（2）证书/印章/信任标记是否被正确使用？欧盟认证的有效期需要根据不同的认证对象作进一步划分，时间为最长为三年；关于认证的续展，需要在有效期结束前由专业性的认证机构告知监管机构。

中国

我国个人信息跨境传输认证在获取认证后，由认证机构应当在认证有效期内，对获得认证的个人信息处理者进行持续监督。监督内容为确保获得认证的个人信息处理者持续符合认证要求，对获证后监督结论和其他相关资料信息进行综合评价。我国认证的有效期统一为三年，认证主体在有效期内，通过认证机构的获证后监督，保持认证证书的有效性；关于认证的续展，需要在有效期届满前六个月内认证委托人提出认证委托。

获取认证后并非一劳永逸，欧盟和中国都要求在获取认证后进行后续监督，但是欧盟的后续监督主体非单一主体认证机构，主管监管机构也可以参与进来，相较于我国认证机构进行持续监督更多样化。

六、结语

综上所述，欧盟与中国的跨境传输认证规则有诸多区别：首先，欧盟的认证流程相对具体和细化，包含“形式审查→事先评估→目标/ToE评估→结果有效性评估”，相对而言我国的较为概括，仅包括“技术验证→现场审查”；其次，欧盟的认证规范操作性较强，例如在认证对象上，欧盟委员会说明认证可以是单个处理操作或者一组操作，并且对评估目标的描述是否具体进行审查，而我国认证规范在认证对象上并未给出明确的规定，尚未规定判断认证对象的标准；最后，欧盟仅要求数据接收方在有约束力且可执行的承诺中明确其受认证规则的约束，以便个人数据主体和数据传输方可以在其违反认证规则时追究其责任，而我国对于具有法律约束力文件的内容更加广泛，不仅包括欧盟承诺中的类似内容，还包括合同各方基本信息、数据处理情况、权利义务、救济等内容，颗粒度可能等同于标准合同。

总之，认证作为人工信息出境的三个重要路径之一，在数据跨境传输工具中占据着重要地位。当前我国的认证制度还在逐步完善过程中，有效借鉴和参考欧盟等国际成熟经验，并与我国本土化需求结合，将有利于建立一套完整的、通用的、体系化的中国个人信息出境认证制度，进一步促进数据高效、安全、自由地跨境传输流动。

文中备注：

[1]GDPR第42条（1）。

[2]GDPR第42条（2），GDPR第46（2）f。

参考网址：

1.《关于认证作为转移工具07/2022指南》

https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072022-certification-tool-transfers_en

2.《第42条及第43条关于认证及识别标准1/2018指南》

https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-12018-certification-and-identifying_en

3.《关于欧洲隐私认证标准的第28/2022号意见》

https://edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-282022-europrivacy-criteria-certification_en

4.实务文章：环球合规与风控

5.实务文章：环球合规与风控

6.实务文章：个保法

7.实务文章：泰和泰研析丨借鉴欧盟经验，助力中国企业破局跨境数据合规认证的困境https://mp.weixin.qq.com/s/2tIsXU8VmY-m0EtRvK564w

本文作者：

声明：            

本文由德恒律师事务所律师原创，仅代表作者本人观点，不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容，请注明出处。