2022-03-30 10:22:51

作者：劉權，中央財經(jīng)大學法學院副教授、法學博士。本文來源《法學評論》2022年第1期

作為第三方規(guī)制的數(shù)據(jù)安全認證，可以有效克服市場與政府的“雙重失靈”，實現(xiàn)數(shù)據(jù)安全保障和數(shù)字經(jīng)濟發(fā)展的平衡。數(shù)據(jù)安全認證已逐漸成為全球數(shù)據(jù)治理的重要手段?！毒W(wǎng)絡安全法》第17條明確要求，“開展網(wǎng)絡安全認證、檢測、風險評估等活動”?！稊?shù)據(jù)安全法》第18條第1款原則性的規(guī)定了數(shù)據(jù)安全認證：“國家促進數(shù)據(jù)安全檢測評估、認證等服務的發(fā)展，支持數(shù)據(jù)安全檢測評估、認證等專業(yè)機構依法開展服務活動?！薄秱€人信息保護法》第38條將個人信息保護認證作為向境外提供個人信息的合法性條件之一，第62條要求“推進個人信息保護社會化服務體系建設，支持有關機構開展個人信息保護評估、認證服務”。實踐中，2019年國家市場監(jiān)管總局、中央網(wǎng)信辦發(fā)布《關于開展App安全認證工作的公告》，旨在規(guī)范移動互聯(lián)網(wǎng)應用程序收集、使用用戶信息特別是個人信息的行為。歐盟《通用數(shù)據(jù)保護條例》專門規(guī)定了數(shù)據(jù)保護認證。可以預見，隨著數(shù)字經(jīng)濟的不斷發(fā)展壯大，數(shù)據(jù)安全認證必將在中國得到全面推行。

當前對于新興的數(shù)據(jù)安全認證的研究相對不足。中國建立了產(chǎn)品、服務、管理體系等認證制度，如強制性產(chǎn)品CCC認證、藥品GMP認證、商品售后服務認證、食品安全管理體系認證。學者們從產(chǎn)品質(zhì)量認證、藥品認證、認證機構責任等方面進行了較多研究。另有一些學者探討了第三方規(guī)制、第三方審核、私人規(guī)制的基本原理，涉及認證的相關內(nèi)容。在網(wǎng)絡法領域，少數(shù)學者探討了個人信息安全認證、人工智能安全認證、網(wǎng)絡安全認證等內(nèi)容。盡管同屬于認證，但傳統(tǒng)認證的一些理念與法律制度無法完全直接適用于數(shù)據(jù)安全認證。在數(shù)據(jù)成為新的生產(chǎn)要素的背景下，為了使數(shù)據(jù)安全認證真正能夠客觀、公正地發(fā)揮第三方評定職能，防止認證機構被互聯(lián)網(wǎng)企業(yè)“俘獲”或成為政府的“附庸”，需要對數(shù)據(jù)安全認證體制機制進行整體的法治構建。個人信息是數(shù)字時代涉及面最為廣泛的數(shù)據(jù)，本文將主要以個人信息保護為視角，對數(shù)據(jù)安全認證的必要性、認證機構資質(zhì)、認證機制運行、認證與政府規(guī)制的關系等問題進行系統(tǒng)研究，以期探索數(shù)據(jù)安全認證的法治之道。

一、數(shù)據(jù)安全認證的界定及價值

數(shù)字時代日益得到廣泛適用的數(shù)據(jù)安全認證，既不屬于企業(yè)實施的自我規(guī)制，也不屬于傳統(tǒng)的政府規(guī)制。數(shù)據(jù)安全認證本質(zhì)上為第三方提供的社會化服務，承擔著第三方規(guī)制的角色。構建法治化的數(shù)據(jù)安全認證體制機制，不僅有利于保障數(shù)據(jù)安全，而且可以有效促進數(shù)字經(jīng)濟的規(guī)范健康發(fā)展。

（一）數(shù)據(jù)安全認證：第三方規(guī)制

數(shù)據(jù)安全認證，是指由認證機構證明網(wǎng)絡服務、數(shù)據(jù)產(chǎn)品、管理體系等符合相關法律規(guī)范、技術標準、行業(yè)準則的評定活動，也稱為信息安全認證。數(shù)據(jù)安全認證主要面向數(shù)字經(jīng)濟產(chǎn)業(yè)，通過第三方機構客觀評定互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)處理行為的安全性，以提升互聯(lián)網(wǎng)企業(yè)的數(shù)據(jù)安全保障水平。相比于企業(yè)的自我規(guī)制和政府的行政規(guī)制而言，數(shù)據(jù)安全認證屬于第三方規(guī)制，可以有效克服市場與政府的“雙重失靈”。不同于傳統(tǒng)認證，數(shù)據(jù)安全認證的對象主要是網(wǎng)絡服務或數(shù)據(jù)產(chǎn)品，具有虛擬性和動態(tài)易變性的特征，所以認證難度更大。在認證標準上，數(shù)據(jù)安全認證側重于對互聯(lián)網(wǎng)企業(yè)現(xiàn)有的數(shù)據(jù)安全保障制度能力和過去的數(shù)據(jù)處理守法合規(guī)情況的評定。

數(shù)據(jù)安全認證不同于互聯(lián)網(wǎng)企業(yè)實施的數(shù)據(jù)保護活動，如個人信息風險評估或個人信息保護影響評估。《個人信息保護法》第55條要求個人信息處理者在處理敏感個人信息、利用個人信息進行自動化決策、委托處理、向第三方提供或公開個人信息、向境外提供個人信息等情形下，均應進行個人信息保護影響評估。《信息安全技術 個人信息安全影響評估指南》對各類組織自行開展個人信息安全影響評估提供了標準指南。區(qū)別于企業(yè)的自身行為，數(shù)據(jù)安全認證最重要的特點是第三方機構評價。

數(shù)據(jù)安全認證不屬于政府行為，同公權力機關實施的數(shù)據(jù)安全檢查、數(shù)據(jù)安全審查、網(wǎng)絡安全審查、行政許可等行為存在區(qū)別。首先，數(shù)據(jù)安全認證不同于數(shù)據(jù)安全檢查。政府職能部門可以對互聯(lián)網(wǎng)企業(yè)進行數(shù)據(jù)安全檢查，如開展數(shù)據(jù)安全專項整治活動。雖然在檢查過程中可以委托第三方機構進行檢測，但數(shù)據(jù)安全檢查的性質(zhì)為行政檢查行為，而數(shù)據(jù)安全認證則屬于第三方評定行為，不屬于行政行為。數(shù)據(jù)安全認證以頒發(fā)認證標志為最終結果，而數(shù)據(jù)安全檢查后可能實施行政強制、行政處罰等措施。其次，數(shù)據(jù)安全認證不同于數(shù)據(jù)安全審查?！稊?shù)據(jù)安全法》第23條規(guī)定：“國家建立數(shù)據(jù)安全審查制度，對影響或者可能影響國家安全的數(shù)據(jù)處理活動進行國家安全審查。依法作出的安全審查決定為最終決定?！?數(shù)據(jù)安全審查屬于政府行為，數(shù)據(jù)安全認證由第三方認證機構實施。再次，數(shù)據(jù)安全認證不同于網(wǎng)絡安全審查。網(wǎng)絡安全審查側重于保護國家安全，由國家互聯(lián)網(wǎng)信息辦公室下設的網(wǎng)絡安全審查辦公室負責實施。網(wǎng)絡安全審查的條件為，關鍵信息基礎設施運營者采購網(wǎng)絡產(chǎn)品和服務，數(shù)據(jù)處理者開展數(shù)據(jù)處理活動，影響或可能影響國家安全。如2021年6月30日，“滴滴出行”在美國上市，7月2日國家網(wǎng)信辦發(fā)布公告稱，為防范國家數(shù)據(jù)安全風險，維護國家安全，依法對“滴滴出行”實施網(wǎng)絡安全審查。當前的數(shù)據(jù)安全審查、網(wǎng)絡安全審查等制度，都側重維護國家安全。數(shù)據(jù)安全認證側重于評定企業(yè)的數(shù)據(jù)處理行為，對用戶造成的數(shù)據(jù)安全風險。最后，數(shù)據(jù)安全認證不同于頒發(fā)資格證、資質(zhì)證等行政許可行為，也不同于對有關事實進行甄別而給予確定或證明的行政確認行為，而屬于第三方規(guī)制行為。

（二）數(shù)據(jù)安全認證的時代價值

無論是對于個人信息安全保障，還是對于數(shù)字經(jīng)濟的規(guī)范健康發(fā)展，數(shù)據(jù)安全認證都有著日益重要的時代價值。數(shù)據(jù)安全認證通過聲譽評價機制，可以引導、激勵互聯(lián)網(wǎng)企業(yè)守法合規(guī)經(jīng)營，可以增強用戶對中小微互聯(lián)網(wǎng)企業(yè)和新興數(shù)字產(chǎn)業(yè)的信任感，可以避免政府為保障數(shù)據(jù)安全而實施“一刀切”的規(guī)制，可以滿足社會公眾多元的數(shù)據(jù)安全需求。

其一，數(shù)據(jù)安全認證有利于引導、激勵數(shù)據(jù)處理者不斷提高數(shù)據(jù)安全保障水平。數(shù)據(jù)安全認證可以為互聯(lián)網(wǎng)企業(yè)套上“緊箍咒”。為了防止得不到認證或被撤銷認證，互聯(lián)網(wǎng)企業(yè)在外在壓力下會不斷提高自身的數(shù)據(jù)安全保障水平，以便不失去并不斷獲取更多的網(wǎng)絡用戶。通過第三方評定，數(shù)據(jù)安全認證可以起到對互聯(lián)網(wǎng)企業(yè)守法合規(guī)情況的規(guī)制功能，激勵其提高數(shù)據(jù)安全風險管理水平，實現(xiàn)“超越合規(guī)遵從”。通過第三方認證機構對互聯(lián)網(wǎng)企業(yè)的數(shù)據(jù)安全進行評定，并頒發(fā)相關認證標志，有利于助推互聯(lián)網(wǎng)企業(yè)的數(shù)據(jù)處理自律。

其二，數(shù)據(jù)安全認證可以增強用戶對中小微互聯(lián)網(wǎng)企業(yè)和新興數(shù)字產(chǎn)業(yè)的信任感。在缺乏數(shù)據(jù)安全的網(wǎng)絡市場中，用戶更愿意相信知名、大型互聯(lián)網(wǎng)企業(yè)，因為其數(shù)據(jù)安全保障水平相對較高，發(fā)生損害時也更有能力承擔賠償責任。但對于無數(shù)中小微互聯(lián)網(wǎng)企業(yè)提供的網(wǎng)絡產(chǎn)品或服務，對于大量新興數(shù)字產(chǎn)業(yè)，由于不被普通公眾所熟知而導致不被信任。獲得了數(shù)據(jù)安全認證，相當于是獲得了商業(yè)信譽擔保，意味著更多的交易機會。如由于“算法黑箱”導致對人工智能產(chǎn)品存在莫名的恐懼，第三方認證機制可以增加公眾對使用人工智能系統(tǒng)的信任。通過數(shù)據(jù)安全認證，“企業(yè)不必再以低端的價格競爭策略占領市場”，富有特色并得到良好認證標志聲譽保障的網(wǎng)絡服務或數(shù)據(jù)產(chǎn)品越來越多。

其三，數(shù)據(jù)安全認證可以避免政府嚴格的檢查監(jiān)控，可以緩解政府設定更嚴厲的法律義務與責任的壓力，防止政府出于保障數(shù)據(jù)安全實施“一刀切”的規(guī)制而阻礙數(shù)字科技的創(chuàng)新。過多的義務與責任設置，尤其不利于中小微互聯(lián)網(wǎng)企業(yè)和新興數(shù)字產(chǎn)業(yè)的發(fā)展，因為會對其帶來過大的數(shù)據(jù)合規(guī)成本與運營壓力，會導致少數(shù)互聯(lián)網(wǎng)寡頭企業(yè)的支配力與控制力進一步增強，從而不利于數(shù)字經(jīng)濟的良性健康發(fā)展。數(shù)據(jù)安全認證機制的建立，可以使更多的中小微互聯(lián)網(wǎng)企業(yè)有更多的機會公平地參與數(shù)據(jù)要素市場競爭，可以讓數(shù)據(jù)得到更加多元的高效流通利用，最終有利于促進數(shù)字經(jīng)濟的整體協(xié)調(diào)發(fā)展。

其四，數(shù)據(jù)安全認證發(fā)揮著聲譽評價的功能，可以運用專業(yè)知識幫助用戶作出更好的選擇，有利于滿足社會公眾多元的數(shù)據(jù)安全需求。當前數(shù)據(jù)處理中的告知同意機制日益流于形式。企業(yè)的隱私政策與協(xié)議大多冗長晦澀，數(shù)據(jù)主體往往沒有足夠的時間與耐心仔細閱讀所要同意的內(nèi)容，而且“就像處在計算機時代初期一樣”難以完全理解相關條款。信息分布不均妨害同意的認識基礎，多環(huán)節(jié)的數(shù)據(jù)流通則進一步削弱了同意的有效性，同意決策容易陷入非理性。個人自決的作用需要被重新考慮?！案嬷鈾C制步入困境，逐漸降低了數(shù)據(jù)保護的功能?！?/span>

數(shù)據(jù)安全認證通過事先的第三方專業(yè)評定，有助于解決信息不對稱問題，可以讓用戶更高效、更準確地作出選擇決定。根據(jù)數(shù)據(jù)安全認證機構頒發(fā)的認證標志，網(wǎng)絡用戶可以快速識別相關服務或產(chǎn)品的數(shù)據(jù)保護安全水平。而且，相比于政府設定的單一性數(shù)據(jù)安全強制標準，認證機構可以設定多元的靈活標準，可以單獨或聯(lián)合其他認證機構制定數(shù)據(jù)安全多元標準，更好地利用“軟法”滿足不同群體的數(shù)據(jù)安全多元需求與偏好?！皵?shù)據(jù)治理的普遍性、技術性、復雜性、應時性，都在呼喚硬法與軟法的共同構建?！辈煌后w對數(shù)據(jù)安全的敏感程度往往不同，愿意以更多個人信息換取便利的群體，可以選擇認證標準較低但符合現(xiàn)行法律規(guī)范的數(shù)據(jù)產(chǎn)品或網(wǎng)絡服務。反之，對數(shù)據(jù)安全更為敏感的群體，則可以選擇認證標準較高的數(shù)據(jù)產(chǎn)品或網(wǎng)絡服務。

二、數(shù)據(jù)安全認證機構的資質(zhì)：獨立性與專業(yè)性

數(shù)據(jù)安全認證行為具有公共性，不僅直接關系到個人信息安全，而且對整個數(shù)據(jù)要素市場的安全性與誠信度會產(chǎn)生直接影響。為了有效保障數(shù)據(jù)安全認證的客觀性與公正性，更好地實現(xiàn)其第三方規(guī)制功能，首先需要科學合理確定認證機構的資質(zhì)?！稊?shù)據(jù)安全法》第18條規(guī)定：“支持數(shù)據(jù)安全檢測評估、認證等專業(yè)機構依法開展服務活動?！薄秱€人信息保護法》第62條提出“支持有關機構”開展個人信息保護認證服務。那么，究竟具備什么條件的專業(yè)機構或有關機構，才可以更好地開展數(shù)據(jù)安全認證呢？

（一）數(shù)據(jù)安全認證機構應具有獨立性

首先，數(shù)據(jù)安全認證機構應具有獨立性，同互聯(lián)網(wǎng)企業(yè)間不應有利益關聯(lián)。在傳統(tǒng)認證的一些領域，認證亂象橫生，認證變成了利益交換。企業(yè)花錢提升自己的形象，認證機構收錢牟利?！罢J證變認錢”并不少見，“給錢就能過，不給就刁難”。據(jù)相關調(diào)查發(fā)現(xiàn)，在企業(yè)質(zhì)量管理體系認證、玩具產(chǎn)品認證、農(nóng)產(chǎn)品有機認證領域，“弄虛作假走過場司空見慣”，只要交錢“配合”就“包過”。在2020年全球新冠肺炎疫情防控過程中，一些認證機構“肆意牟利、虛假認證甚至買證賣證”，不僅破壞了認證市場秩序，而且還影響了口罩、防護服等防疫用品的順利出口，引發(fā)了市場監(jiān)管部門對防疫用品認證的專項整治。認證機構本應作為獨立的第三方，為消費者提供客觀公正的評定信息幫助其作出更好的選擇，但卻同被認證對象串通損害消費者利益，認證行為變成了商業(yè)交易活動。這或許同認證機構的組織形態(tài)有一定的關系。

對于數(shù)據(jù)安全認證機構資質(zhì)的規(guī)定，應特別注意消除企業(yè)型認證機構可能存在的弊端。在自由競爭的成熟認證市場尚未形成之前，企業(yè)型認證機構很難以獨立于被認證對象。為了緩解生存壓力，追求利潤最大化，企業(yè)型認證機構很容易將認證變?yōu)橘嶅X的工具。企業(yè)型認證機構很容易被“俘獲”，而可能故意不遵守認證基本標準、違反認證程序、出具虛假認證結論，以獲取更多的客戶。嚴格按規(guī)則依法作出認證的認證機構，反而獲得的認證申請數(shù)量可能更少，最終要么被迫退出認證市場，要么退變?yōu)檫`法認證機構，“劣幣驅逐良幣”的檸檬認證市場由此形成。中國實行強制性產(chǎn)品認證統(tǒng)一收費制度，對于認證申請費、產(chǎn)品檢測費、工廠審查費、批準與注冊費、監(jiān)督復查費、年金、認證標志費等都作了明確的限定，企業(yè)型認證機構尤其是民營企業(yè)型認證機構，面臨的生存壓力或許更大。由于違法認證而被處罰的，大量都為民營企業(yè)型認證機構。因此，或許應當放寬認證機構的準入門檻，強化自由競爭，充分發(fā)揮認證市場優(yōu)勝劣汰機制的調(diào)節(jié)功能。

其次，數(shù)據(jù)安全認證機構應獨立于政府。認證的本質(zhì)屬于第三方評價，是認證機構在市場與消費者之間從事的居間活動。認證有利于引導市場資源配置，不同于行政確認、行政檢查等政府行為。如果認證機構同政府有關聯(lián)，會產(chǎn)生諸多消極后果。其一，認證機構不獨立于政府會使得認證無法完全擺脫行政管理色彩和官僚主義弊端，導致“認證變管理”，甚至導致“認證異化為審批”。其二，如果由同政府有關聯(lián)的機構實施認證，可能導致政府不當干預市場，引發(fā)利益輸送、權錢交易等腐敗行為，使得認證成為財政創(chuàng)收的新途徑，或成為少數(shù)公職人員中飽私囊的工具。其三，認證機構同政府有關聯(lián)不利于提高認證服務效率與質(zhì)量。政府通過權力為其有關聯(lián)的認證機構獲取認證資源，縱容甚至包庇違法認證行為，導致關聯(lián)性認證機構不思進取，業(yè)務水平得不到提升，使得自由競爭的認證市場秩序被破壞，最終會損害認證服務效率與質(zhì)量。

中國目前存在大量同政府有關聯(lián)的事業(yè)單位、國有企業(yè)型認證機構。通過在全國認證認可信息公共服務平臺查詢可知，目前有效的認證機構有904個，既包括事業(yè)單位，也包括國有企業(yè)和民營企業(yè)，還包括社會組織。其中，認證機構數(shù)量最少的為社會組織，事業(yè)單位、國有企業(yè)和民營企業(yè)數(shù)量占絕大部分。同域外強調(diào)以政府為輔而實現(xiàn)法律遵從的第三方審核不同，在市場、社會發(fā)展不充分的情況下，中國的認證體制是在政府主導下自上而下確立的，同從市場出發(fā)的認證有著重要差別。在市場發(fā)展和政府職能轉變過程中，事業(yè)單位、國有企業(yè)型認證機構在中國大量存在有一定的歷史價值。

盡管事業(yè)單位、國有企業(yè)型認證機構由黨組織領導和行政機關管理，有一定的公共財政資金作為物質(zhì)保障，為了生存與牟利而進行違法認證的可能性會小很多，但卻無法完全消除認證機構不獨立而存在的諸多弊端?！墩J證認可條例》第13條第1款規(guī)定：“認證機構不得與行政機關存在利益關系?！薄懂a(chǎn)品質(zhì)量法》第20條要求，從事認證的社會中介機構，“不得與行政機關和其他國家機關存在隸屬關系或者其他利益關系?！薄蛾P于促進市場公平競爭維護市場正常秩序的若干意見》提出，“推進檢驗檢測認證機構與政府脫鉤、轉制為企業(yè)或社會組織的改革”?？梢姡嚓P法律特別重視認證機構的獨立性。中國未來數(shù)據(jù)安全認證機構的確立，應獨立于政府，逐步減少同政府有關聯(lián)的認證機構。

為了充分實現(xiàn)認證機構的獨立性，應加快培育社會組織型數(shù)據(jù)安全認證機構。因為無論認證規(guī)則如何設計，不管認證市場如何完善，都無法完全消除企業(yè)型認證機構為追求利潤最大化而作出的不客觀公正的認證，也無法總能保障與政府有關聯(lián)的事業(yè)單位型認證機構獨立作出客觀、公正的認證。在國際上，很多有影響力的數(shù)據(jù)安全認證都是由非政府組織實施的。如美國，為微軟、蘋果、雅虎等眾多網(wǎng)站提供隱私認證服務的TRUSTe，屬于美國商務網(wǎng)絡財團和電子前線基金會共同發(fā)起設立的獨立非盈利性組織。在日本，情報處理開發(fā)協(xié)會建立了P-MARK認證制度，通過認證授予隱私標識促使企業(yè)采取適當?shù)膫€人信息保護措施。致力于提升隱私保護從業(yè)人員職業(yè)技能的國際隱私保護專業(yè)人士協(xié)會（IAPP），設計了隱私保護專業(yè)人員認證（CIPP）、隱私保護經(jīng)理認證（CIPM）、隱私保護技術專家認證（CIPT）等獲得全球認可的隱私保護執(zhí)業(yè)資格認證制度。

數(shù)據(jù)保護的國際實踐表明，社會組織型認證機構可以克服企業(yè)型、事業(yè)單位型認證機構的諸多弊端，能夠較為獨立地開展認證工作。然而，中國公民社會并不發(fā)達，大量社會組織存在“信任危機”。“國家對于行業(yè)協(xié)會等社會組織的控制一直較為嚴苛，自始缺乏社會自治的歷史傳統(tǒng)。”由于依附型的“臣民文化”，以及政府擔心社會組織發(fā)展失控而采取的“控制型管理取向”，使得中國當前真正獨立的社會組織并不多。一些社會組織甚至淪為“衙門”，沾染了行政機關的各種習氣，無法真正發(fā)揮第三方規(guī)制的獨特功能?！毒W(wǎng)絡安全法》第17條規(guī)定，“國家推進網(wǎng)絡安全社會化服務體系建設，鼓勵有關企業(yè)、機構開展網(wǎng)絡安全認證、檢測和風險評估等安全服務。”《個人信息保護法》第62條明確將認證作為“個人信息保護社會化服務體系建設”的重要組成部分。未來數(shù)據(jù)安全認證體制的構建，需要特別重視培育具有獨立性的社會組織型數(shù)據(jù)安全認證機構。

（二）認證機構應具有高度專業(yè)性

數(shù)據(jù)安全認證是一項專業(yè)性極強的工作，只有符合相應專業(yè)資質(zhì)并得到政府認可的機構，才能從事認證工作。當前數(shù)據(jù)濫用違法犯罪行為種類多樣而且日新月異，具有極強的隱蔽性與復雜性。數(shù)據(jù)安全認證不同于對普通產(chǎn)品、服務或管理體系的認證，認證人員既須精通法律又須熟知數(shù)字科技。沒有高度專業(yè)性的認證機構，難以作出權威客觀的認證。中國目前對于數(shù)據(jù)安全認證，并沒有專門的法律，《數(shù)據(jù)安全法》《個人信息保護法》中的相關條款極為簡單，或許只能適用《認證認可條例》《認證機構管理辦法》等規(guī)定。當前成為認證機構須經(jīng)國務院認證認可監(jiān)督管理部門批準，主管全國認證工作的機構為中國國家認證認可監(jiān)督管理委員會?！墩J證認可條例》第10條對認證機構的資質(zhì)作了五項規(guī)定，要求取得法人資格、有固定的場所和必要的設施、有符合認證要求的管理制度、注冊資本不少于300萬元和有相關專職認證人員10名以上。

在歐盟，《通用數(shù)據(jù)保護條例》第43條要求數(shù)據(jù)保護認證機構得到成員國的官方認可，并同時規(guī)定了成為認證機構的五項條件：（a）證明其對認證事項的獨立性和專業(yè)性符合監(jiān)管機構的要求；（b）承諾遵守相關準則；（c）建立了簽發(fā)、定期檢查和撤回數(shù)據(jù)保護認證、印章、標志的程序；（d）建立了公開透明的處理投訴機制；（e）證明其任務與職責不會導致利益沖突，并且符合監(jiān)管機構的要求。相比歐盟對數(shù)據(jù)保護認證機構的資質(zhì)更注重軟性制度條件而言，中國更加強調(diào)認證機構的人、財、物等硬性條件。在認證市場不夠成熟的情境下，一定人員數(shù)量和相應物質(zhì)基礎的要求，在某種程度上有利于保障認證的質(zhì)量，但不宜過度強調(diào)。為了保障數(shù)據(jù)安全認證機構的專業(yè)性，需要結合數(shù)字時代新的生產(chǎn)要素數(shù)據(jù)和數(shù)據(jù)處理行為的特點，對其設立條件、人員構成、程序機制、物質(zhì)要求等事項作出特殊的具體規(guī)定。

數(shù)據(jù)安全認證機構可以通過同檢測機構合作，彌補自身專業(yè)性不足。認證機構具有相關專業(yè)知識可以做出合規(guī)判斷，但不一定具備相關技術檢測能力。專業(yè)檢測機構可以承擔具體檢測技術工作，但安全認證證書應由認證機構頒發(fā)。如2018年，國家認監(jiān)委和國家網(wǎng)信辦發(fā)布《網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品安全認證實施規(guī)則》，要求相關產(chǎn)品生產(chǎn)企業(yè)向經(jīng)確認的認證機構提出安全認證申請，并規(guī)定了由信息產(chǎn)業(yè)信息安全測評中心、國家保密科技測評中心、公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心等8家檢測機構為認證機構提供檢測服務。再如2019年，市場監(jiān)管總局、中央網(wǎng)信辦發(fā)布《關于開展App安全認證的公告》，確定中國網(wǎng)絡安全審查技術與認證中心為App的安全認證機構，其根據(jù)認證業(yè)務需要和技術能力確立檢測機構。應防止數(shù)據(jù)安全認證機構“有名無實”不承擔實質(zhì)認證工作，變相將認證業(yè)務“轉包”“分包”給相關檢測機構。為了更高效、更負責任地開展數(shù)據(jù)安全認證工作，應不斷提高認證機構的專業(yè)知識與技術能力，逐漸實現(xiàn)認證機構與檢測機構的合一。

三、數(shù)據(jù)安全認證機制的展開

客觀公正的數(shù)據(jù)安全認證不僅有賴于獨立、專業(yè)的認證機構，而且需要科學合理的認證機制。相比于對普通的實體產(chǎn)品、線下服務、管理體系的認證，數(shù)據(jù)安全認證往往面對的是網(wǎng)絡服務、數(shù)據(jù)產(chǎn)品，認證機制具有較大的特殊性。對于數(shù)據(jù)安全認證啟動、實施程序、認證標準、認證跟蹤監(jiān)督、認證責任分配，需要進行有效的法律制度設計。

（一）數(shù)據(jù)安全認證啟動：自愿抑或強制？

啟動程序是開展數(shù)據(jù)安全認證的首要環(huán)節(jié)。究竟是實行自愿申請認證還是強制認證，還存在分歧。2019年公布《數(shù)據(jù)安全管理辦法（征求意見稿）》第34條規(guī)定“國家鼓勵網(wǎng)絡運營者自愿通過數(shù)據(jù)安全管理認證和應用程序安全認證”，擬確立自愿認證模式。在實踐中，2019年中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場監(jiān)管總局發(fā)布《關于開展App違法違規(guī)收集使用個人信息專項治理的公告》，第5條要求“開展App個人信息安全認證，鼓勵App運營者自愿通過App個人信息安全認證”。此種個人信息安全認證名義上是自愿的，但實際上帶有一定的單方強制性，屬于政府組織實施的個人信息專項治理行動的一個環(huán)節(jié)。歐盟確立了數(shù)據(jù)保護認證的自愿機制?！锻ㄓ脭?shù)據(jù)保護條例》序言第100項規(guī)定，鼓勵建立認證機制和使用數(shù)據(jù)保護印章、標記，以使數(shù)據(jù)主體能夠快速評估相關產(chǎn)品和服務的數(shù)據(jù)保護水平。第42條第3項明確規(guī)定：“認證應當是自愿的，并且可通過透明的程序獲得”。

對于中國的數(shù)據(jù)安全認證，宜實行自愿認證和強制認證相結合。其一，盡管數(shù)據(jù)安全認證對于個人、互聯(lián)網(wǎng)企業(yè)、政府等都有諸多價值，但如果一律實行強制認證，不但會違背認證的第三方評定本質(zhì)，使得認證異化為另一種形式的審批，而且還會給認證對象造成一定的負擔。是否申請認證，一般情況下應交由互聯(lián)網(wǎng)企業(yè)自主選擇。其二，限定條件實行數(shù)據(jù)安全強制認證，更有利于保障數(shù)據(jù)安全。中國目前數(shù)據(jù)濫用現(xiàn)象還比較突出，數(shù)據(jù)安全法律體系并不健全，部分領域實行強制性認證，可以為網(wǎng)絡用戶提供必要的辨明信息，減少重要數(shù)據(jù)的安全風險。歐盟之所以實行數(shù)據(jù)保護自愿認證，原因可能主要在于《通用數(shù)據(jù)保護條例》為數(shù)據(jù)主體賦予了強大的權利，對數(shù)據(jù)處理設定了嚴格的條件與程序，而且設定了重罰機制，可以較好地保障數(shù)據(jù)安全。其三，數(shù)據(jù)安全自愿認證和強制認證相結合，更符合中國認證的法治實踐。在中國傳統(tǒng)認證領域，認證實行自愿和強制相結合?！墩J證認可條例》第18條規(guī)定“任何法人、組織和個人可以自愿委托依法設立的認證機構進行產(chǎn)品、服務、管理體系認證”，但同時第27條規(guī)定“為了保護國家安全、防止欺詐行為、保護人體健康或者安全、保護動植物生命或者健康、保護環(huán)境”，對相關產(chǎn)品實施強制認證。在網(wǎng)絡安全領域，《網(wǎng)絡安全法》第23條規(guī)定，對于網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品，“由具備資格的機構安全認證合格或者安全檢測符合要求后，方可銷售或者提供?！?018年，國家認監(jiān)委、國家網(wǎng)信辦發(fā)布《關于網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品安全認證實施要求的公告》，專門組織安全認證，認證對象包括路由器、交換機、服務器等網(wǎng)絡關鍵設備，以及數(shù)據(jù)備份一體機、防火墻（硬件）、安全數(shù)據(jù)庫系統(tǒng)等網(wǎng)絡安全專用產(chǎn)品。此種網(wǎng)絡安全認證主要是對同網(wǎng)絡有關的實體產(chǎn)品的認證，可受傳統(tǒng)強制性產(chǎn)品認證制度的調(diào)整，但實際上也可納入數(shù)據(jù)安全強制認證的范疇。

實證研究表明，強制認證可以增強創(chuàng)新能力、提升管理能力和增加自愿認證，“對企業(yè)生產(chǎn)率具有顯著正效應”?！秱€人信息保護法》對某些信息處理行為，實際上已經(jīng)確立了強制認證制度。其第38條規(guī)定，個人信息處理者因業(yè)務等需要向境外提供個人信息的，應當“經(jīng)專業(yè)機構進行個人信息保護認證”。為了更符合中國國情，為了更好地保障數(shù)據(jù)安全并促進數(shù)字經(jīng)濟的規(guī)范健康發(fā)展，宜實行自愿為主、強制為輔的數(shù)據(jù)安全認證制度。可以根據(jù)新經(jīng)濟的不同業(yè)態(tài)和不同的數(shù)據(jù)處理行為，區(qū)分場景確立是否應當強制認證。對于事關個人、組織重要權利的一些重要數(shù)據(jù)或敏感數(shù)據(jù)的處理，或許需要進行強制認證。國家對于數(shù)據(jù)安全強制認證，應定期發(fā)布統(tǒng)一目錄，統(tǒng)一相關技術標準和合格評定程序，統(tǒng)一認證標志，統(tǒng)一收費標準。強制認證可以彌補自愿認證的不足，有助于防范重大風險，防止造成難以挽回的損害。然而，強制認證只應當是特定階段的產(chǎn)物。隨著“放管服”改革的不斷推進和認證制度的不斷發(fā)展成熟，數(shù)據(jù)安全強制認證的范圍應當不斷縮小。

對于申請數(shù)據(jù)安全認證的條件，需要做一些否定性的排除規(guī)定。如果在過去合理期間內(nèi)，發(fā)生過數(shù)據(jù)安全違法違規(guī)事件，或存在相關認證標志被撤銷等情形，應禁止在特定時期內(nèi)申請認證。因為除了評估當前的數(shù)據(jù)安全保障水平，互聯(lián)網(wǎng)企業(yè)過去守法合規(guī)的情況，也是認證機構考察的重要內(nèi)容。認證具有信譽擔保的色彩，評價過去的行為可以有效預測未來。通過評價過去合理期間的行為，可以倒逼認證對象持續(xù)積累守法合規(guī)的商業(yè)信譽?！兑苿踊ヂ?lián)網(wǎng)應用程序（App）安全認證實施規(guī)則》規(guī)定，在12個月內(nèi)發(fā)生重大信息安全事件、所持同類證書在撤銷認證影響期內(nèi)等情形存在時，App運營者不得申請認證。由于互聯(lián)網(wǎng)行業(yè)變化極快，所以認證申請條件所涉及的過去期間應合理設置。

（二）數(shù)據(jù)安全認證實施程序和認證標準

科學合理的數(shù)據(jù)安全認證程序，不僅可以提高認證效率，而且還有利于保障認證結果的準確性與公正性。由于大多涉及無形的網(wǎng)絡服務或數(shù)據(jù)產(chǎn)品，數(shù)據(jù)安全認證程序同普通認證程序存在一定的差別，更注重對網(wǎng)絡科技和數(shù)據(jù)安全保障制度的評定。相比于行政程序，數(shù)據(jù)安全認證實施程序更為靈活高效，但也更容易出現(xiàn)問題。作為第三方規(guī)制的數(shù)據(jù)安全認證具有公共性，應當保障認證過程具有充分的透明性和公眾參與度。認證的實施程序應當吸收“正當法律程序”的精神，滿足自然正義的基本要求，重視說明理由，聽取陳述、辯解，建立健全完善的認證信息披露機制。應防止認證程序流于形式，認證也不能僅限于審核書面材料，必須通過軟件檢測等多種技術進行驗證。

在應用程序安全認證的實踐中，《移動互聯(lián)網(wǎng)應用程序（App）安全認證實施規(guī)則》規(guī)定的主要認證環(huán)節(jié)分為三部分：技術驗證+現(xiàn)場核查+獲證后監(jiān)督。對于網(wǎng)絡服務或數(shù)據(jù)產(chǎn)品，數(shù)據(jù)安全認證的一般實施程序，可以從以下幾個方面展開：（1）受理。認證機構對申請資料進行審核后作出是否受理的決定。（2）技術驗證。通過實驗室檢測和現(xiàn)場核查等方式進行。檢測機構按照技術驗證規(guī)范實施技術驗證，并出具技術驗證報告。（3）現(xiàn)場審核。認證機構對互聯(lián)網(wǎng)企業(yè)進行現(xiàn)場審核，對相關問題進行實地調(diào)查核實，出具現(xiàn)場審核報告。（4）認證決定。根據(jù)申請材料、技術驗證結論、現(xiàn)場審核結論等進行綜合評定，決定是否通過認證。（5）頒發(fā)認證證書。對于有形網(wǎng)絡產(chǎn)品的認證程序略有不同，需要線下隨機抽取樣本進行客觀評定。如《網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品安全認證實施規(guī)則》規(guī)定，對網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品安全認證的認證模式為：型式試驗+工廠檢查+獲證后監(jiān)督。型式試驗程序要求認證機構從生產(chǎn)線、倉庫、市場等地隨機抽取產(chǎn)品，按相應產(chǎn)品有關國家標準進行型式試驗并提交報告。工廠檢查要求認證機構到工廠，對信息安全保障能力、質(zhì)量保證能力、產(chǎn)品一致性進行檢查。

對于數(shù)據(jù)安全的認證標準，除了包括具有強制力的國家法律規(guī)范，還應包括國家推薦性標準、行業(yè)標準、國際通用標準、認證機構制定的標準等。如對應用程序進行技術驗證和現(xiàn)場審核的依據(jù)均為 GB/T 35273《信息安全技術 個人信息安全規(guī)范》，屬于全國信息安全標準化技術委員會發(fā)布的推薦性國家標準。國際著名標準也可以成為數(shù)據(jù)安全的認證標準。如信息安全管理ISO27001國際標準，采用PDCA過程方法，基于風險評估的風險管理理念，對企業(yè)是否建立了科學有效的信息安全管理體系進行認證。此外，數(shù)據(jù)安全認證機構可以結合數(shù)字產(chǎn)業(yè)實際，建立健全自己的認證標準體系，彌補標準空白、滯后或提高標準，以引導數(shù)據(jù)安全保障。

在數(shù)據(jù)安全認證的時間跨度上，既應對互聯(lián)網(wǎng)企業(yè)過去合理期間內(nèi)守法合規(guī)情況進行審查，也應對認證當時的組織機構設置、人員配備、隱私政策、技術措施等數(shù)據(jù)安全保障制度作出評估。一旦經(jīng)過全面評估認定符合認證標準，就應當作出認證決定，及時頒發(fā)認證證書。對于認證標志的使用期限，《通用數(shù)據(jù)保護條例》規(guī)定認證的有效期最長為3年，如果相關要求繼續(xù)滿足，在相同條件下可以續(xù)期。對于中國數(shù)據(jù)安全認證的有效期，需要區(qū)分不同的認證領域與事項，結合數(shù)字科技易變的特點，根據(jù)具體情況合理確立認證標志的有效期。另外，應推動建立健全數(shù)據(jù)安全認證國際互認體系，促進數(shù)字經(jīng)濟更好地在海外發(fā)展。

應確立完善的認證程序和結果異議機制。如果數(shù)據(jù)安全認證機構違反認證規(guī)則規(guī)定的程序，隨意增加、減少、遺漏認證程序，認證申請人可以要求重新認證，并可以向相關部門舉報投訴。即使認證程序合法，但認證結果也可能不夠客觀、公正，所以公開透明的認證異議處理機制十分必要。如果對認證決定有異議，應當允許認證申請人提出申訴。認證機構應及時公正處理申請人對認證程序和決定的異議，并書面告知其最終處理結果。

（三）數(shù)據(jù)安全認證跟蹤監(jiān)督

跟蹤監(jiān)督對于數(shù)據(jù)安全認證尤其重要，因為數(shù)字科技瞬息萬變，網(wǎng)絡安全新隱患不斷出現(xiàn)?！罢J證即過時”可能是常態(tài)。而且，網(wǎng)絡服務、數(shù)字產(chǎn)品更新?lián)Q代很快，被認證對象在獲得認證后會有很多新辦法濫用數(shù)據(jù)。既然認證機構頒發(fā)了認證標志，就應當對其使用負有跟蹤監(jiān)督的義務，一旦不符合認證標志使用條件就應當及時作出相應處理，否則就可能面臨相應的制裁。如北京中大華遠認證中心訴鹽城市亭湖區(qū)市場監(jiān)督管理局案，法院認為，認證機構“未進行有效跟蹤”，導致其發(fā)放的認證證書已過期但仍在持續(xù)被使用，所以監(jiān)管機構的處罰并無不當。對于跟蹤監(jiān)督的方式，可采取日常監(jiān)督與專項監(jiān)督相結合的方式。如《移動互聯(lián)網(wǎng)應用程序（App）安全認證實施規(guī)則》要求，認證機構對獲證App和App運營者，從獲證App一致性檢查、更新情況、標志使用情況、企業(yè)自評估情況、被舉報投訴和社會媒體曝光情況等方面進行持續(xù)的日常監(jiān)督，并形成日常監(jiān)督報告。如果出現(xiàn)獲證App存在個人信息安全問題并經(jīng)查實獲證App運營者負有責任時，或組織架構、服務模式等發(fā)生重大變更時，或發(fā)生破產(chǎn)并購等可能影響App認證特性符合性時，認證機構應啟動專項監(jiān)督。認證機構屬于第三方評定機構，發(fā)現(xiàn)被認證對象存在不符合法律、相關標準時，無權直接命令認證對象采取相關措施，但可以及時向有關主管部門報告。當前數(shù)據(jù)安全認證實踐的一些做法可能并不是特別妥當，例如《移動互聯(lián)網(wǎng)應用程序（App）安全認證實施規(guī)則》規(guī)定：“發(fā)現(xiàn)不符合時，認證機構向認證申請方出具不符合報告，并要求限期整改；逾期未完成整改的，中止認證過程?！辈还苁钦J證機構還是檢測機構，都無權要求認證對象限期整改或發(fā)布其他命令，因為認證不屬于行政檢查或行政審批行為，一般只能按照認證合同約定進行處理。但認證機構要求改正應當注意一定的度，該撤銷認證的就應撤銷，否則可能導致更多的違法違規(guī)行為。

由于認證機構獲取信息有限，而且數(shù)字科技變化極快，可嘗試建立網(wǎng)絡用戶投訴舉報機制，以彌補跟蹤監(jiān)督信息的匱乏。美國TRUSTe認證機構建立了看門狗爭端解決程序，在線接受投訴對被認證網(wǎng)站不能適當處理的隱私糾紛進行解決。如果被認證網(wǎng)站不接受最終決定有效保障隱私，就會被撤銷認證標志，并被列入“不守規(guī)矩的網(wǎng)站”名單。對于用戶就數(shù)據(jù)安全問題的投訴舉報，認證機構有義務予以深入調(diào)查核實，以準確判斷認證標志是否符合繼續(xù)使用的條件。對于數(shù)據(jù)安全認證跟蹤監(jiān)督的最終處理，可以作出繼續(xù)使用認證標志、限期糾正、暫停使用認證標志、撤銷認證標志等決定。

（四）數(shù)據(jù)安全認證的責任分配

數(shù)據(jù)安全認證有一定的特殊性，應科學合理確立數(shù)據(jù)安全認證機構的法律責任。在傳統(tǒng)認證領域，認證機構的民事責任主要可以分為相應的賠償責任和連帶責任。首先，對于虛假認證或認證結論嚴重失實造成損害的，法律一般規(guī)定認證機構應承擔相應的賠償責任。《認證認可條例》第61條規(guī)定，對于出具虛假的認證結論，或者出具的認證結論嚴重失實的，造成損害的，“認證機構應當承擔相應的賠償責任”?！懂a(chǎn)品質(zhì)量法》第57條第2款同樣規(guī)定，對于不實認證“應當承擔相應的賠償責任”。然而，由于法律規(guī)定寬泛模糊，對于如何讓認證機構承擔“相應的賠償責任”，判斷標準并不明確。其次，對于違反認證的跟蹤監(jiān)督義務，法律一般規(guī)定承擔連帶責任?！墩J證認可條例》第73條規(guī)定，認證機構沒有進行有效的跟蹤調(diào)查，或者發(fā)現(xiàn)不再符合認證要求而沒有及時采取措施造成損失的，“與生產(chǎn)者、銷售者承擔連帶責任”?！懂a(chǎn)品質(zhì)量法》第57條第3款作了同樣的連帶責任規(guī)定。

從認證環(huán)節(jié)上分，可以將數(shù)據(jù)安全認證機構的責任，主要分為數(shù)據(jù)安全認證責任和認證后的跟蹤監(jiān)督責任，分別對應相應的賠償責任和連帶責任。對于數(shù)據(jù)安全認證的歸責原則，應確立過錯責任原則，而非嚴格責任原則，因為認證只是第三方評價，損害的發(fā)生主要源于認證對象的數(shù)據(jù)違法行為，如果認證機構不存在過錯就不應承擔民事責任。由認證機構承擔無過錯責任，不僅有失公平，在事實上也難以完全實現(xiàn)，因為認證機構無力承擔普遍累計而形成的巨額賠償費用，而且無過錯責任還可能阻礙認證市場的健康發(fā)展。如果數(shù)據(jù)安全認證機構故意進行虛假認證，屬于特殊的幫助侵權行為，相應的賠償責任應界定為連帶責任。如果由于沒有盡到合理的審核義務等過失導致認證結果失實的，數(shù)據(jù)安全認證機構應承擔補充責任。如果數(shù)據(jù)安全認證機沒有及時履行跟蹤監(jiān)督的法定作為義務，應承擔連帶責任，此種責任屬于“特殊不作為義務連帶責任類型”。[33]

為了更好地保障數(shù)據(jù)安全認證的客觀準確性，應加強對數(shù)據(jù)安全認證違法行為的公法責任的設置與追究。盡管通過民事賠償可以彌補數(shù)據(jù)認證造成的損害，但數(shù)據(jù)安全認證的私法責任存在一定的限度。首先，數(shù)據(jù)安全認證違法行為具有極強的隱蔽性與專業(yè)性，受害者很多時候可能并不知情，即使知道也難以進行有效舉證。其次，難以證明數(shù)據(jù)認證違法行為同損害存在因果關系。由于數(shù)據(jù)具有非獨占性和可無限復制性的特點，損害可能是由其他眾多主體通過多種途徑違法獲取數(shù)據(jù)造成的，所以要證明損害同違法認證、互聯(lián)網(wǎng)企業(yè)濫用數(shù)據(jù)存在因果關系往往比較困難。最后，損害難以確定。對于數(shù)據(jù)違法造成的損害，往往難以量化，如對具有人格權特性的個人信息的侵犯，而且即使可以量化，損害可能并不大，數(shù)據(jù)認證機構、互聯(lián)網(wǎng)企業(yè)的賠償數(shù)額十分有限，違法成本可能很低。

因此，需要對數(shù)據(jù)安全認證機構設定較重的公法責任，彌補數(shù)據(jù)安全私法責任的限度。通過設定大額行政罰款，可以提高違法成本，形成威懾效應，從而有利于減少數(shù)據(jù)安全認證違法行為?！锻ㄓ脭?shù)據(jù)保護條例》設定了重罰機制，其第83條規(guī)定，如果數(shù)據(jù)保護認證機構違反法定義務，可能被處以1000萬歐元，或上一財政年度全球營業(yè)總額2%的巨額行政處罰。《個人信息保護法》雖然對于違法處理個人信息的行為，設定了高達5000萬元或者上一年度5%的罰款，但并沒有專門對違法認證作出責任規(guī)定?；诔杀臼找嬖砗拓惾~斯納什均衡，罰款金額越高，即便在被處罰的概率下降的情況下，也越能有效遏制違法行為。除了可以借鑒域外數(shù)據(jù)保護經(jīng)驗加重行政責任外，還需要合理設定數(shù)據(jù)安全認證機構的刑事責任，但應保持刑罰的謙抑性，防止對數(shù)據(jù)安全認證市場發(fā)展和數(shù)字科技創(chuàng)新造成毀滅性破壞。

四、展望：數(shù)字時代個人信息保護的第三方規(guī)制

數(shù)據(jù)安全認證體制機制的法治構建，實際上體現(xiàn)了數(shù)字時代個人信息保護的新探索，反映了傳統(tǒng)政府職能與規(guī)制方式的深刻轉變。在數(shù)字時代，數(shù)據(jù)的價值得到空前凸顯，數(shù)據(jù)已經(jīng)成為了新的關鍵生產(chǎn)要素而具有重要的商業(yè)價值?！暗脭?shù)據(jù)者得天下”。然而，當前法治化的數(shù)據(jù)要素市場并未完全形成，過度收集、利用數(shù)據(jù)的違法甚至犯罪現(xiàn)象還比較常見，但傳統(tǒng)的政府規(guī)制弊端凸顯。作為第三方規(guī)制的數(shù)據(jù)安全認證，不僅對個人信息保護和數(shù)字經(jīng)濟發(fā)展具有重要價值，而且實際上是彌補數(shù)字時代政府規(guī)制缺陷的現(xiàn)實需要，是深化“放管服”改革的必然要求。

（一）彌補數(shù)字時代政府規(guī)制缺陷的現(xiàn)實需要

在數(shù)字時代，面對新經(jīng)濟日新月異的新業(yè)態(tài)、新科技，傳統(tǒng)的政府規(guī)則往往“捉襟見肘、力不從心”?；ヂ?lián)網(wǎng)、大數(shù)據(jù)、人工智能、信息技術等對傳統(tǒng)的行政管理方式及其理論形成了挑戰(zhàn)。對于個人信息保護而言，當然離不開公正、高效的政府規(guī)制，但卻存在現(xiàn)實困境。

首先，由于政府獲取違法信息的有限性與滯后性，個人信息保護的政府規(guī)制實效性不高。面對各行業(yè)、各領域日益增多的數(shù)據(jù)處理行為，如大量移動應用程序App超范圍收集個人信息，政府實際上無法及時獲取相關信息進行“無縫隙、無死角”的規(guī)制。個人信息處理守法合規(guī)的真實狀況，政府往往難以全面掌握。政府規(guī)制部門缺乏充足的信息掌控，“無從獲知市場主體違規(guī)行為的比重，也很難調(diào)查確認合規(guī)信息真實與否”。

其次，個人信息保護的政府規(guī)制存在“知識供給不足”的專業(yè)性缺陷。在數(shù)字科技高速發(fā)展的當代，良好的政府規(guī)制更加需要與時俱進的新知識。侵犯個人信息的數(shù)字科技日益先進，但政府職能部門雖然具有專業(yè)機構的色彩，但“行政技能的要求往往超過了其專業(yè)性”。政府運用傳統(tǒng)手段通過行政檢查、行政處罰等方式，無法全面預防與糾正個人信息處理違法行為，法律實施效果不佳。再次，受人員不足、財政縮緊等現(xiàn)實條件的制約，個人信息保護的政府規(guī)制作用有限。人類已進入數(shù)字時代，無論是企業(yè)的經(jīng)濟活動，還是普通公民的社會生活，都存在大量的個人信息處理行為。僅僅依靠有限的人財物實施政府規(guī)制，無法有效保障個人信息安全。

最后，政府規(guī)制存在“運動式執(zhí)法”“選擇性執(zhí)法”“規(guī)制俘獲”“權力尋租”等難以完全根除的反法治現(xiàn)象，導致大量侵犯個人信息的違法行為得不到及時有效的責任追究。如對APP侵害用戶權益的專項整治行動雖然取得了很大成效，但卻存在執(zhí)法的不確定性、不平等性、短期性等弊端。傳統(tǒng)政府規(guī)制以命令與控制為主，強調(diào)對抗、通過威懾實現(xiàn)法律遵從，導致出現(xiàn)對立的僵局影響治理效果，而且因行政任務擴張無力應對，“各部門行政法領域紛紛出現(xiàn)‘規(guī)制失靈’現(xiàn)象”。

作為第三方規(guī)制的數(shù)據(jù)安全認證，可以彌補數(shù)字時代政府規(guī)制的缺陷，減輕政府保障數(shù)據(jù)安全的公共任務負擔。其一，數(shù)據(jù)安全認證可以填補政府規(guī)制的“盲區(qū)”。通過采取同行評審的合作方式，而非單方命令與強制的管理手段，數(shù)據(jù)安全認證機構能夠獲取更為準確、充分的信息，“更容易發(fā)現(xiàn)和糾正被規(guī)制者的不遵從行為”。其二，數(shù)據(jù)安全認證比政府規(guī)制更具有回應性。認證機構可能更熟知產(chǎn)業(yè)界和數(shù)據(jù)主體的需求，有更強的行動能力，能夠“更為快捷地制定出更具回應性、可行性的認證標準”。在個人信息保護的國家法律規(guī)范匱乏或滯后時，認證機構還可以制定個人信息安全保護規(guī)則或標準，及時填補國家立法空白。通過制定相關標準，可以有效發(fā)揮軟法的實驗、學習和漸進改進的優(yōu)勢，從而可以更切實際地實施更加高效的第三方規(guī)制。其三，數(shù)據(jù)安全認證可以有效彌補政府規(guī)制資源的匱乏。通過充分發(fā)揮第三方機構的力量，數(shù)據(jù)安全認證可以將成本費用轉移到產(chǎn)業(yè)界，緩解政府規(guī)制的壓力。數(shù)據(jù)安全認證機構可以有效分擔政府的數(shù)據(jù)安全保障任務。認證適合于“規(guī)制需求日益增長但政府資源不斷減少的時代”。而且，認證機構能夠隨時較為靈活地配置所需的人才和設施，“撤銷不合格的認證機構的資格，可能比解雇不稱職的政府檢查員要容易得多?！痹谡J證市場競爭壓力下，數(shù)據(jù)安全認證機構的專業(yè)性會不斷提高。

數(shù)據(jù)安全認證對于個人信息保護尤為重要。數(shù)據(jù)處理主要會對國家、企業(yè)或個人造成安全威脅。數(shù)據(jù)安全審查、網(wǎng)絡安全審查可以有效解決數(shù)據(jù)處理對國家造成的安全威脅，企業(yè)的風險內(nèi)控制度可以有力保障企業(yè)的數(shù)據(jù)安全，而對于作為數(shù)據(jù)主體的個人而言則處于弱勢地位。大量個人信息并不被個人控制，經(jīng)常處于被單方處理的狀態(tài)，個人信息安全問題隨時可能爆發(fā)。作為專業(yè)的第三方評定機制，數(shù)據(jù)安全認證可以很好地逼迫互聯(lián)網(wǎng)企業(yè)提升個人信息保護水平，能夠有效彌補政府個人信息保護的政府規(guī)制缺陷，從而有利于保障個人信息安全。

（二）深化“放管服”改革的必然要求

構建法治化的數(shù)據(jù)安全認證機制，不僅是彌補數(shù)字時代政府規(guī)制缺陷的現(xiàn)實需要，更是深化“放管服”改革的必然要求，有利于優(yōu)化數(shù)字經(jīng)濟的營商環(huán)境。2015年5月，“放管服”改革即“簡政放權、放管結合、優(yōu)化服務”的概念，在國務院召開的全國推進簡政放權放管結合職能轉變工作電視電話會議首次被提出。2020年5月，李克強總理在政府工作報告中提出，“深化‘放管服’改革”?！胺殴芊备母锸钱斚轮袊顬橹匾牡度邢騼?nèi)的政府自我變革，旨在推進政府職能的深刻轉變，從根本上解放和發(fā)展生產(chǎn)力?，F(xiàn)代國家權力呈現(xiàn)多元化與社會化的趨勢，“政府職能將不斷弱化、轉移，社會將承擔越來越多的管理職能?！眰€人信息保護屬于政府不可推卸的職責，但這并不表明政府應當包攬一切。

目前中國存在的大量事業(yè)單位型、國有企業(yè)型認證機構，實際上是政府職能轉變不徹底的結果。“放管服”改革迫切要求更多的民營企業(yè)型和社會組織型認證機構，承擔數(shù)據(jù)安全評定的公共任務。在公共性事項上，“優(yōu)先考慮市場或社會的自我調(diào)節(jié)、自我管理、自我服務的有效性”?！昂喺艡嗑褪且言摲诺臋喾沤o市場和社會，這樣政府可以騰出更多力量來加強事中事后監(jiān)管、提供公共服務?！痹诖罅ν七M“放管服”改革的新背景下，政府應摒棄“單向度低效率的管理”，不斷通過“放權減權來激活市場的活力和社會的創(chuàng)造力”，充分發(fā)揮數(shù)據(jù)安全認證機構的第三方規(guī)制功能。在數(shù)據(jù)安全認證機制中，政府通過直接管理少數(shù)認證機構的資質(zhì)與行為，保障其公平競爭，可以從個人信息保護中的大量具體事務中解脫出來，不必投入大量成本對所有互聯(lián)網(wǎng)企業(yè)進行直接微觀干預。政府退居幕后管理認證機構，認證機構身處前線提供數(shù)據(jù)安全評定信息。不僅就事物的本質(zhì)與責任而言，安全性屬于經(jīng)濟活動參與者的責任，而且從權限上來看，安全性也應交給市場參與者來做。數(shù)據(jù)安全認證更加契合“放管服”改革的理念，有利于實現(xiàn)以政府為中心的規(guī)制國向市場與社會放權，必將成為數(shù)字時代個人信息保護的重要制度。

作為風險規(guī)制和質(zhì)量保證的重要手段，第三方規(guī)制相比于政府規(guī)制具有諸多獨特的優(yōu)勢，而且是深入推進“放管服”改革的必然要求。然而，中國第三方規(guī)制的力量并未能充分激活，政府規(guī)制一直占據(jù)絕對的主導地位。政府既當“運動員”又當“裁判員”、既“掌舵”又“劃槳”的雙重角色經(jīng)常同時并存。強調(diào)市場競爭與社會自治的第三方規(guī)制，是公共行政變革的重要推動力量，在整個規(guī)制法體系中占有日益重要的地位?！暗谌揭?guī)制有潛力基于技術和價值引導而非公私主體固有的權限認識和職責分配，創(chuàng)造出一個新型的治理模式?！?/span>

結語

在深入推進“放管服”改革和國家治理能力現(xiàn)代化的背景下，構建法治化的數(shù)據(jù)安全認證體制機制，不僅是保障數(shù)據(jù)安全的現(xiàn)實需要，而且是彌補數(shù)字時代政府規(guī)制缺陷的迫切需求。作為去中心化的第三方規(guī)制，數(shù)據(jù)安全認證是一種全新理念。第三方規(guī)制同政府規(guī)制、自我規(guī)制一道共同構成了完善的規(guī)制法體系。然而，也不宜過度夸大數(shù)據(jù)安全認證的價值。盡管第三方規(guī)制可以克服市場競爭與政府規(guī)制的“雙重失靈”，但其本身卻存在缺乏足夠的公眾參與、程序不夠透明、缺乏民主問責監(jiān)督等合法性質(zhì)疑，認證也可能“失靈”。數(shù)據(jù)安全認證機制確立之初，必然會產(chǎn)生“認證成管理”“認證變認錢”等一些亂象。一方面，發(fā)展初期的認證機制本來就不健全，私人規(guī)制逐利的固有缺陷難以立即完全消除；另一方面，長期以來政企不分、政事不分，認證機構短期內(nèi)可能難以做到真正完全獨立。但不能因噎廢食，良好的第三方規(guī)制，需要持續(xù)的社會文化熏陶與法治體系建設。數(shù)據(jù)安全認證具有不可替代的數(shù)據(jù)安全保障功能。無論是政府規(guī)制，還是企業(yè)的自我規(guī)制，抑或是第三方規(guī)制，都各自存在難以克服的內(nèi)在缺陷。在數(shù)據(jù)成為新生產(chǎn)要素的數(shù)字時代，需要政府、互聯(lián)網(wǎng)企業(yè)、數(shù)據(jù)安全認證機構、網(wǎng)絡用戶、社會公眾等多方主體開展公私合作治理，相互取長補短，協(xié)同完成保障數(shù)據(jù)安全并促進數(shù)據(jù)高效流通利用的公共任務，以最終實現(xiàn)數(shù)據(jù)強國。

《數(shù)字法治》專題由華東政法大學數(shù)字法治研究院供稿。專題統(tǒng)籌：秦前松、

編輯：海洋