《实施规则》将网络运营者认定为数据安全管理认证的主体，并阐述了对网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等处理活动进行认证的基本原则和要求。

数据安全管理认证采取“技术验证+现场审核+获证后监督”三步走的模式。具体而言，根据《实施规则》第4条的相关规定，网络运营者通过认证需经过 “认证申请-认证受理-技术验证-现场审核-认证决定”的一系列环节和流程。认证证书有效期为3年，在有效期内获得认证的网络运营者应当按照有关规定在广告等宣传中正确使用认证证书和认证标志，不得对公众产生误导。

数据安全管理认证通过声誉评价机制，引导、激励网络运营者开展合规经营、进行网络数据处理活动合规建设，加强数据安全防护力度。

综合欧美等国家及地区数据认证制度的实践经验，国家认证、第三方认证和企业自我声明构成了域外数据认证的基础架构，由此催生了政府监管下的第三方认证这一融合模式，并成为立法典范。

（一）国家认证模式

国家认证模式下，国家数据保护机构作为认证主体，决定对申请企业是否授予认证。法国和德国采用国家认证模式。

法国国家信息与自由委员会（CNIL）负责制定认证标准、评估申请企业是否合格并决定是否授予认证证书。目前，CNIL已经制定了针对数据保护培训、数据处理审计、数字保险箱和数据保护治理等四套数据认证的参考标准[1]。

德国石荷州数据保护印章是典型的国家认证，认证主体是石荷州的数据保护专员（ULD），体现出浓烈的公权力主导色彩。其评估标准主要包括IT产品的设计、数据处理的合法性、数据泄露风险最小化的技术和组织措施及数据主体的权利等四个方面[2]。

该种模式下，数据认证的标准及内容大都直接来源于国家的数据保护法律，提升了数据认证的规范性。但与此同时，严苛的认证标准使得许多中小企业望而却步。国家认证机构严格限定的人力资源使得国家的认证能力难以匹配骤增的认证需求。此时，需寻求其他可替代方案进行数据认证。

（二）第三方认证模式

第三方认证由独立的社会组织担任认证机构，通常由其自行制定与国家数据保护法律相一致的认证规则或基本规范，并对控制者或处理者进行数据认证。其中以美国网络隐私认证最为典型。

由于缺乏监管，每个第三方认证机构可以根据自己制定的规则定义隐私印章、评判申请人是否符合认证要求，导致其认证权威性被大大削弱。同时，第三方认证机构具有天然的利益冲突，申请人同时也是认证机构的付费客户，容易产生认证机构放低门槛以迁就申请人的情形。相应地，申请人也更愿意选择门槛更低、标准更为宽松的认证机构，容易形成反向选择和商业腐败。

（三）企业自我声明模式

企业自我声明（self-declaration of conformity）的优势在于其便捷和成本低廉。然而美欧“安全港协定”及“隐私盾协议”的失败，凸显了该种模式的弊端。在缺乏有效的外部监督下，企业仅通过自我约束和承诺即可大量传输个人数据并进行储存和分析，缺乏质量保障和公信力，易引发民众对隐私安全的极度担忧。

（四）政府监管下的第三方认证模式

欧盟GDPR由此催生了一种新的融合模式，即数据保护机构监管下的第三方认证机制，此种模式与我国数据安全管理认证最为相近。欧盟数据认证机制以GDPR第42和43条作为基石，并由其他条款和部分序言进行补充，明确了数据保护认证的目标，并对认证程序、认证机构及其监督机制提出基本要求。数据保护机构通过审核认证机构的主体资格、监督认证过程、批准认证标准等方式监督并“干预”数据认证。

GDPR之下，数据认证并非控制者或处理者的权利或义务，换言之GDPR下的数据认证亦是一种自愿机制而非强制性认证，并具有如下激励作用：

第一，获得数据认证是数据保护能力的有力证明。数据认证在GDPR问责制原则下起到了里程碑式的作用。GDPR第25条更是明确指出数据认证可以视作数据控制者和处理者履行法定义务的有力证明。

第二，数据认证是实施制裁的重要考量因素。GDPR第83条第2款规定“在具体案件中决定是否应当进行行政处罚，以及决定行政处罚的金额，应当充分考虑是否符合已生效的认证机制等因素。”简言之，数据认证是数据保护机构决定是否施以行政处罚或罚款数额时的重要考量因素。

第三，数据认证是跨境传输的适当保障措施。在进行个人数据跨境时，GDPR要求第三国提供“充分性保护”。在缺乏“充分性保护”的情况下，根据GDPR第46条第2款的规定，经过数据认证可以视作采取了适当保障措施。

虽然GDPR在数据认证机制方面的创新开拓性意义得到普遍认可，但不可否认GDPR认证机制仍存在尚待解决的问题，如数据认证被认为对规模大的公司更具适应性[3]、成员国数据保护机构监管的能力和经验参差[4]、GDPR对认证标准的模糊规定等。上述问题亦是我国开展数据安全管理认证工作的“前车之鉴”。

2019年6月4日，欧盟数据保护委员会（EDPB）发布了《针对GDPR第42条和第43条有关“认证”规定的指南》（Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation，以下简称《指南》），对GDPR中规定的认证机制进行阐释，在强调与成员国国内法相衔接的基础上明确总体要求和标准。《指南》就GDPR第42和43条规定的解释和实施提供了建议，并将帮助成员国、监管机构和国家认证机构为实施认证机制建立更加一致和统一的机制。

（一）认证对象

我国数据安全认证对象为管理体系。根据《中华人民共和国认证认可条例》，认证是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。第18号文开展的为管理体系认证，即向申请主体的数据安全管理体系颁发认证证书。

而EDPB认为GDPR规定的可以被认证的对象范围非常广泛，只要是能帮助展示数据控制者和处理者的“处理操作”（processing operations）合乎GDPR的规范，都可以被当作认证对象加以认证。因此认证对象是数据控制者或处理者提供的产品、服务和流程[5]。

（二）认证机构

目前，国家市场监管总局及网信办并未指定专门的认证机构，第18号文也只是简单规定“从事数据安全管理认证活动的认证机构应当依法设立”。可以预见部分具备相关认证资质的机构会经批准成为“数据安全管理认证机构”，但具体的准入资格及相关审批要求仍有待监管机构进一步明确。

根据GDPR第42（5）条之规定，认证应由认可的认证机构或主管监管机构颁发。但GDPR并未将颁发认证作为监管机构的强制性任务，相反，GDPR允许采取多种形式颁发认证。例如，监管机构可以自行颁发认证；可以将评估过程全部或部分委托第三方认证机构进行；也可以委托其认可的认证机构颁发认证[6]。由此，GDPR下的认证更具灵活性。

（三）认证标准

根据《实施规则》第2条规定，数据安全管理认证的依据为《信息安全技术 网络数据处理安全要求》（GB/T 41479，以下简称“《网络数据处理安全要求》”）及相关标准规范，主要内容包括数据处理安全的总体要求、技术要求和管理要求。但《实施规则》及《网络数据处理安全要求》等规范未对认证标准进行细化。需注意的是，虽然《网络数据处理安全要求》最新版本将于2022年11月1日才会生效，我们仍建议网络运营者现在就按照上述的相关要求开展数据安全管理认证的准备工作。

GDPR未对认证标准做出具体规定，认定标准在《指南》第6条予以明确。认证标准提供了评估对象或目标（ToE）中定义的实际处理行为的要求。EDPB认为审查认证标准时应考虑以下两个因素：（1）认证标准能正确反映GDPR对处理个人数据所提出的原则要求；（2）对实施GDPR能有贡献。

（四）认证期限

认证证书有效期为3年，网络运营者申请续期的，应在有效期届满前6个月内提出。GDPR采用了相同的认证期限，对控制者或处理者一次认证最长期限为3年，到期后满足条件的可以更新续期。否则，认证机构或发证的有权监管机构可以撤销所发证书。

2022年5月13日，卢森堡数据保护委员会（CNPD）采用了认证机制GDPR-CARPA，这是自2018年GDPR生效以来的首个国家和国际层面的合规认证机制。预计卢森堡CNPD将在未来公布认证机构的名单。

GDPR-CARPA的认证对象是申请认证主体实施的个人数据处理活动。申请主体应确保其内部措施的设计、实施和运作方式能够满足GDPR-CARPA认证标准中所规定的要求。

GDPR-CARPA认证机制分为三个部分。第一部分认证申请实体的一般数据处理活动，无论其作为数据控制者还是处理者。第二部分仅涉及作为数据控制者的实体，检查数据控制者是否符合GDPR第5条规定的数据最小化、目的限制及存储限制等数据保护原则。第三部分仅涉及作为数据处理者的实体，例如涉及其与控制者的合同、个人数据跨境传输等处理活动[7]。

GDPR-CARPA证书有效期为三年，且每年需要年度审计。GDPR-CARPA认证可以证明申请实体的信息处理活动符合GDPR要求，但仍需注意GDPR-CARPA认证并不会减轻作为数据控制者或处理者的责任和义务。

对网络运营者而言，数据安全管理认证具有多种潜在的应用场景与价值。

第一，数据安全管理认证是对自身数据安全的全方位验证和保障。为组织和开展数据安全管理认证，企业须在相关标准规范之下，开展网络数据处理活动的合规建设，加强数据安全防护力度。此举有助于企业进行合规自查，完善数据合规管理体系，提高自身数据处理能力。

第二，数据安全管理认证帮助企业形成竞争优势。通过认证后获得的“认证标志”，可以按照有关规定在广告宣传中使用，增加外界公众对网络运营者的信任度，有助于企业数据处理相关业务的推广和开展。

第三，数据安全管理认证可以作为一种合规性证明。认证是由客观第三方认证机构对网络运营者进行的安全性评定。通过认证后，可以证明网络运营者在网络数据处理活动、网络数据安全等方面，符合相关标准规范，在必要时可以作为向外部监管机构展示合规性的一种方式。

继APP安全认证之后，国家市场监督管理总局、国家互联网信息办公室再次联合发布了数据安全管理认证。《实施规则》为我国开展数据安全管理认证提供了框架性指引。

但《实施规则》及现有配套措施仍未提供可落地的操作细则。对此我们提出以下几点建议：一是对数据安全认证机构的资质和准入资格作出具体规定，保障认证的独立性和专业性；二是完善数据安全认证标准，保障数据认证的科学性和全面性，减少反向选择和商业腐败的风险；三是落实监督监管主体及其责任，避免认证机制流于形式；四是细化信息安全领域内各认证机制范围，协调企业认证与经营成本间的平衡。

可以相信，在未来的一段的时间内，我国数据安全管理认证仍将在变与不变中动态发展前行，变化的是技术、标准和具体规范，但不变的是对个人隐私及数据安全价值诉求的尊重，及政府、社会、市场多元共治的治理理念。

[1] 张继红：《数据认证：模式选择与应用规范》，载《中国政法大学学报》2021年第2期，第67页。

[2] Hansen M, Jensen M, Rost M, “Protection Goals for Privacy Engineering”, Security and Privacy Workshops (SPW), IEEE, 2015, PP.159-166.

[3] Eric Lachaud, “The General Data Protection Regulation and the Rise of Certification as a Regulatory Instrument”, Computer Law & Security Review, Vol. 34(2017), p.253.

[4] 张继红：《数据认证：模式选择与应用规范》，载《中国政法大学学报》2021年第2期，第73页。

[5] 朱海涛：《GDPR中的认证与认可制度》，载于“广州律协”微信公众号，

https://mp.weixin.qq.com/s/IoEirL1RmC0EYxCOufKe6w。

[6] 刘耀华：《EDPB发布<关于GDPR‘认证’相关条文指南>》，载于“CAICT互联网法律研究中心”微信公众号，https://mp.weixin.qq.com/s/kcRhbsDcxmcbgYn18A597Q。

[7] 《首个GDPR认证机制GDPR-CARPA详解》，载于“数据信任与治理”微信公众号，

https://mp.weixin.qq.com/s/DXYK4rNN1ZRhqnw0-E3YNA。