数据安全认证：个人信息保护的第三方规制

1、数据平安认证：个人信息保护的第三方规制作为第三方规制的数据平安认证，可以有效 克服市场与政府的“双重失灵”，实现数据 平安保障和数字经济开展的平衡。数据平安 认证已逐渐成为全球数据治理的重要手段。网络平安法第17条明确要求“开展网络 平安认证、检测、风险评估等平安服务”。数据平安法第18条第1款原那么性的规定 了数据平安认证：“国家促进数据平安检测 评估、认证等服务的开展，支持数据平安检 测评估、认证等专业机构依法开展服务活动个人信息保护法第38条将个人信息保护 认证作为向境外提供个人信息的合法性条件 之一，第62条要求“推进个人信息保护社会 化服务体系建设，支持有关机构开展个人信 息保护评估

2、、认证服务“。实践中，2019年 国家市场监管总局、中央网信办发布关于 开展App平安认证工作的公告，旨在规范 移动互联网应用程序收集、使用用户信息特 别是个人信息的行为。欧盟通用数据保护 条例专门规定了数据保护认证。可以预见，二、数据平安认证机构的资质：独立性与专业性数据平安认证行为具有公共性，不仅直 接关系到个人信息平安，而且对整个数据要 素市场的平安性与诚信度会产生直接影响。 为了有效保障数据平安认证的客观性与公正 性，更好地实现其第三方规制功能，需要科 学合理确定认证机构的资质。数据平安法 第18条规定：“支持数据平安检测评估、认 证等专业机构依法开展服务活动。”个人 信息保护法第62

3、条提出“支持有关机构” 开展个人信息保护认证服务。那么，究竟具 备什么条件的专业机构或有关机构才可以更 好地开展数据平安认证呢？（一）数据平安认证机构应具有独立性首先，数据平安认证机构应具有独立性， 同互联网企业间不应存在利益关联。在传统 认证的一些领域，认证乱象横生，认证变成 了利益交换。企业花钱提升自己的形象，认 证机构收钱牟利。“认证变认钱”并不少见， “给钱就能过，不给就刁难”。据相关调查 发现，在企业质量管理体系认证、玩具产品 认证、农产品有机认证领域，“弄虚作假走 过场司空见惯“，只要交钱“配合”就“包 过”。在2020年全球新冠肺炎疫情防控过程 中，一些认证机构“肆意牟利、虚假认

4、证甚 至买证卖证”，不仅破坏了认证市场秩序， 而且还影响了口罩、防护服等防疫用品的顺 利出口，引发了市场监管部门对防疫用品认 证的专项整治。认证机构本应作为独立的第 三方，为消费者提供客观公正的评定信息帮 助其作出更好的选择，但却同被认证对象串 通损害消费者利益，认证行为变成了商业交 易活动。这或许同认证机构的组织形态有一 定的关系。对于数据平安认证机构资质的规定，应 特别注意消除企业型认证机构可能存在的弊 端。在自由竞争的成熟认证市场尚未形成之 前，企业型认证机构很难以独立于被认证对 象。为了缓解生存压力，追求利润最大化， 企业型认证机构很容易将认证变为赚钱的工 具。企业型认证机构很容易被“

5、俘获”，可 能故意不遵守认证基本标准、违反认证程序、 出具虚假认证结论，以获取更多的客户。严 格按规那么依法作出认证的认证机构反而获得 的认证申请数量可能更少，最终要么被迫退 出认证市场，要么退变为违法认证机构，“劣 币驱逐良币”的柠檬认证市场由此形成。中 国实行强制性产品认证统一收费制度，对于 认证申请费、产品检测费、工厂审查费、批 准与注册费、监督复查费、年金、认证标志 费等都作了明确的限定，企业型认证机构尤 其是民营企业型认证机构，面临的生存压力 或许更大。由于违法认证而被处分的，大量 都为民营企业型认证机构。因此应当放宽认 证机构的准入门槛，强化自由竞争，充分发 挥认证市场优胜劣汰机制

6、的调节功能。其次，数据平安认证机构应独立于政府。 认证的本质属于第三方评价，是认证机构在 市场与消费者之间从事的居间活动。认证有 利于引导市场资源配置，不同于行政确认、 行政检查等政府行为。如果认证机构同政府 有关联，会产生诸多消极后果。其一，认证 机构不独立于政府会使得认证无法完全摆脱 行政管理色彩和官僚主义弊端，导致“认证 变管理”，甚至导致“认证异化为审批”。 其二，如果由同政府有关联的机构实施认证，可能导致政府不当干预市场，引发利益输送、权钱交易等腐败行为，使得认证成为财政创 的工具。其三，认证机构同政府有关联不利 于提高认证服务效率与质量。政府通过权力 为其有关联的认证机构获取认证资

7、源，纵容 甚至包庇违法认证行为，导致关联性认证机 构不思进取，业务水平得不到提升，使得自 由竞争的认证市场秩序被破坏，最终损害认 证服务效率与质量。收的新途径,或成为少数公职人员中饱私囊中国目前存在大量同政府有关联的事业 单位、国有企业型认证机构。通过在全国认 证认可信息公共服务平台查询可知，目前有 效的认证机构有904个，既包括事业单位， 也包括国有企业和民营企业，还包括社会组 织。其中，认证机构数量最少的为社会组织， 事业单位、国有企业和民营企业数量占绝大 局部。同域外强调以政府为辅而实现法律遵 从的第三方审核不同，在市场、社会开展不 充分的情况下，中国的认证体制是在政府主 导下自上而下确

8、立的，同从市场出发的认证 有着重要差异。在市场开展和政府职能转变 过程中，事业单位、国有企业型认证机构在 中国大量存在有一定的现实基础。尽管事业单位、国有企业型认证机构由 党组织领导和行政机关管理，有一定的公共 财政资金作为物质保障，为了生存与牟利而 进行违法认证的可能性会小很多，但却无法 完全消除认证机构不独立而存在的诸多弊端。 认证认可条例第13条第1款规定：“认 证机构不得与行政机关存在利益关系。”产 品质量法第20条要求，从事认证的社会中 介机构，“不得与行政机关和其他国家机关 存在隶属关系或者其他利益关系。”关于 促进市场公平竞争维护市场正常秩序的假设干 意见提出，“推进检验检测认证

9、机构与政 府脱钩、转制为企业或社会组织的改革”。 可见，相关法律特别重视认证机构的独立性。 中国未来数据平安认证机构确实立，应独立 于政府，逐步减少同政府有关联的认证机构。为了充分实现认证机构的独立性，应加 快培育社会组织型数据平安认证机构。因为 无论认证规那么如何设计，不管认证市场如何 完善，都无法完全消除企业型认证机构为追 求利润最大化而作出的不客观公正的认证， 也无法总能保障与政府有关联的事业单位型 认证机构独立作出客观、公正的认证。在国 际上，很多有影响力的数据平安认证都是由 非政府组织实施的。比方，在美国，为微软、 苹果、雅虎等众多网站提供隐私认证服务的 TRUSTe,属于美国商务网

10、络财团和电子前线 基金会共同发起设立的独立非盈利性组织。 在日本，情报处理开发协会建立了 P-MARK认 证制度，通过认证授予隐私标识促使企业采 取适当的个人信息保护措施。致力于提升隐 私保护从业人员职业技能的国际隐私保护专 业人士协会(IAPP),设计了隐私保护专业 人员认证(CIPP)，隐私保护经理认证(CIPM), 隐私保护技术专家认证(CIPT)等获得全球认 可的隐私保护执业资格认证制度。数据保护的国际实践说明，社会组织型 认证机构可以克服企业型、事业单位型认证 机构的诸多弊端，能够较为独立地开展认证 工作。然而，中国公民社会并不兴旺，大量 社会组织存在“信任危机”。“国家对于行 业协

11、会等社会组织的控制一直较为严苛，自 始缺乏社会自治的历史传统。”由于依附型 的“臣民文化”，以及政府担忧社会组织发 展失控而采取的“控制型管理取向”，使得 中国当前真正独立的社会组织并不多。一些 社会组织甚至沦为“衙门”，沾染了行政机 关的各种习气，无法真正发挥第三方规制的 独特功能。网络平安法第17条规定，“国 家推进网络平安社会化服务体系建设，鼓励 有关企业、机构开展网络平安认证、检测和 风险评估等平安服务。”个人信息保护法 第62条明确将认证作为“个人信息保护社会 化服务体系建设”的重要组成局部。未来数 据平安认证体制的构建，需要特别重视培育 具有独立性的社会组织型数据平安认证机构。（二

12、）认证机构应具有高度专业性数据平安认证是一项专业性极强的工作， 只有符合相应专业资质并得到政府认可的机 构，才能从事认证工作。当前数据滥用违法 犯罪行为种类多样且日新月异，具有极强的 隐蔽性与复杂性。数据平安认证不同于对普 通产品、服务或管理体系的认证，认证人员 既须精通法律又须熟知数字科技。没有高度 专业性的认证机构，难以作出权威客观的认 证。中国目前对于数据平安认证，并没有专 门的法律，数据平安法个人信息保护 法中的相关条款极为简单，或许只能适用认证认可条例认证机构管理方法等 规定。当前成为认证机构须经国务院认证认 可监督管理部门批准，主管全国认证工作的 机构为中国国家认证认可监督管理委员

13、会。认证认可条例第10条对认证机构的资质 作了五项规定，要求取得法人资格、有固定 的场所和必要的设施、有符合认证要求的管 理制度、注册资本不少于300万元和有相关 专职认证人员10名以上。在欧盟，通用数据保护条例第43条 要求数据保护认证机构得到成员国的官方认 可，并同时规定了成为认证机构的五项条件： （a ）证明其对认证事项的独立性和专业性 符合监管机构的要求；（b）承诺遵守相关 准那么；（c ）建立了签发、定期检查和撤回 数据保护认证、印章、标志的程序；（d ） 建立了公开透明的处理投诉机制；（e）证 明其任务与职责不会导致利益冲突，并且符 合监管机构的要求。相比欧盟对数据保护认 证机构的

14、资质更注重软性制度条件而言，中 国更加强调认证机构的人、财、物等硬性条 件。在认证市场不够成熟的情境下，一定人 员数量和相应物质基础的要求，在某种程度 上有利于保障认证的质量，但不宜过度强调。 为了保障数 据平安认证机构的专业性，需要 结合数字时代新的生产要素数据和数据处理 行为的特点，对其设立条件、人员构成、程 序机制、物质要求等事项作出特殊的具体规 定。数据平安认证机构可以通过同检测机构 合作，弥补自身专业性缺乏。认证机构具有 相关专业知识可以做出合规判断，但不一定 具备相关技术检测能力。专业检测机构可以 承当具体检测技术工作，但平安认证证书应 由认证机构颁发。比方，2018年国家认监委

15、和国家网信办发布网络关键设备和网络安 全专用产品平安认证实施规那么，要求相关 产品生产企业向经确认的认证机构提出平安 认证申请，并规定由信息产业信息平安测评 中心、国家保密科技测评中心、公安部计算 机信息系统平安产品质量监督检验中心等8 家检测机构为认证机构提供检测服务。再如， 2019年市场监管总局、中央网信办发布关 于开展App平安认证的公告，确定中国网 络平安审查技术与认证中心为App的平安认 证机构，其根据认证业务需要和技术能力确 立检测机构，防止数据平安认证机构“有名 无实”不承当实质认证工作，变相将认证业务 “转包”“分包”给相关检测机构.为了更高 效、更负责任地开展数据平安认证工

16、作，应 不断提高认证机构的专业知识与技术能力， 逐渐实现认证机构与检测机构的合一。三、数据平安认证机制的展开客观公正的数据平安认证不仅有赖于独 立、专业的认证机构，而且需要科学合理的 认证机制。相比于对普通的实体产品、线下 服务、管理体系的认证，数据平安认证往往 面对的是网络服务、数据产品，其认证机制 具有较大的特殊性.对于数据平安认证启动、 实施程序、认证标准、认证跟踪监督、认证 责任分配，需要进行有效的法律制度设计。随着数字经济的不断开展壮大，数据平安认 证必将在中国得到全面推行。当前对于新兴的数据平安认证的研究相 对缺乏。中国建立了产品、服务、管理体系 等认证制度，如强制性产品CCC认证

17、、药品 GMP认证、商品售后服务认证、食品平安管 理体系认证。学者们从产品质量认证、药品 认证、认证机构责任等方面进行了较多研究。 另有一些学者探讨了第三方规制、第三方审 核、私人规制的基本原理，涉及认证的相关 内容。在网络法领域，少数学者探讨了个人 信息平安认证、人工智能平安认证、网络安 全认证等内容。尽管同属于认证，但传统认 证的一些理念与法律制度无法完全直接适用 于数据平安认证。在数据成为新的生产要素 的背景下，为了使数据平安认证真正能够客 观、公正地发挥第三方评定职能，防止认证 机构被互联网企业“俘获”或成为政府的“附 庸”，需要对数据平安认证体制机制进行整 体的法治构建。个人信息是数

18、字时代涉及面 最为广泛的数据，本文将主要以个人信息保 护为视角，对数据平安认证的必要性、认证(-)数据平安认证启动：自愿抑或强制？启动程序是开展数据平安认证的首要环 节。究竟是实行自愿申请认证还是强制认证, 还存在分歧。2019年公布的数据平安管理 方法(征求意见稿)第34条规定“国家鼓 励网络运营者自愿通过数据平安管理认证和 应用程序平安认证”，拟确立自愿认证模式。 在实践中，2019年中央网信办、工业和信息 化部、公安部、市场监管总局发布关于开 展App违法违规收集使用个人信息专项治理 的公告，第5条要求“开展App个人信息 平安认证，鼓励App运营者自愿通过App个 人信息平安认证”。此

19、种个人信息平安认证 名义上是自愿的，但实际上带有一定的单方 强制性，属于政府组织实施的个人信息专项 治理行动的一个环节。欧盟确立了数据保护 认证的自愿机制。通用数据保护条例序 言第100项规定，鼓励建立认证机制和使用 数据保护印章、标记，以使数据主体能够快 速评估相关产品和服务的数据保护水平。其第42条第3项明确规定：“认证应当是自愿 的，并且可通过透明的程序获得“。对于中国的数据平安认证，宜实行自愿 认证和强制认证相结合。其一，尽管数据安 全认证对于个人、互联网企业、政府等都有 诸多价值，但如果一律实行强制认证，不但 会违背认证的第三方评定本质，使得认证异 化为另一种形式的审批，而且还会给认

20、证对 象造成一定的负担。是否申请认证，一般情 况下应交由互联网企业自主选择。其二，限 定条件实行数据平安强制认证，更有利于保 障数据平安。中国目前数据滥用现象还比拟 突出，数据平安法律体系并不健全，局部领 域实行强制性认证，可以为网络用户提供必 要的辨明信息，减少重要数据的平安风险。欧盟之所以实行数据保护自愿认证，原因可 能主要在于通用数据保护条例为数据主体赋予了强大的权利，对数据处理设定了严 以较好地保障数据平安。其三，数据平安自 愿认证和强制认证相结合，更符合中国认证 的法治实践。在中国传统认证领域，认证实 行自愿和强制相结合。认证认可条例第 18条规定“任何法人、组织和个人可以自愿 委托

21、依法设立的认证机构进行产品、服务、 管理体系认证”，但同时第27条规定“为了 保护国家平安、防止欺诈行为、保护人体健 康或者平安、保护动植物生命或者健康、保 护环境”，对相关产品实施强制认证。在网 络平安领域，网络平安法第23条规定, 对于网络关键设备和网络平安专用产品，“由 具备资格的机构平安认证合格或者平安检测 符合要求后，方可销售或者提供。”2018年， 国家认监委、国家网信办发布关于网络关 键设备和网络平安专用产品平安认证实施要 求的公告，专门组织平安认证，认证对象 包括路由器、交换机、服务器等网络关键设 备，以及数据备份一体机、防火墙（硬件）、 平安数据库系统等网络平安专用产品。此种

22、 网络平安认证主要是对同网络有关的实体产 品的认证，可受传统强制性产品认证制度的 调整，但实际上也可纳入数据平安强制认证 的范畴。格的条件与程序，而且设定了IB3I罚机制,实证研究说明，强制认证可以增强创新 能力、提升管理能力和增加自愿认证，“对 企业生产率具有显著正效应”。个人信息 保护法对某些信息处理行为，实际上已经 确立了强制认证制度。其第38条规定，个人 信息处理者因业务等需要向境外提供个人信 息的，应当“经专业机构进行个人信息保护 认证“。为了更符合中国国情，为了更好地 保障数据平安并促进数字经济的规范健康发 展，宜实行自愿为主、强制为辅的数据平安 认证制度。可以根据新经济的不同业态

23、和不 同的数据处理行为，区分场景确立是否应当 强制认证对于事关个人、组织重要权利的 一些重要数据或敏感数据的处理，或许需要 进行强制认证。国家对于数据平安强制认证, 应定期发布统一目录，统一相关技术标准和 合格评定程序，统一认证标志，统一收费标 准。强制认证可以弥补自愿认证的缺乏，有 助于防范重大风险，防止造成难以挽回的损 害。然而，强制认证只应当是特定阶段的产 物。随着“放管服”改革的不断推进和认证 制度的不断开展成熟，数据平安强制认证的 范围应当不断缩小。对于申请数据平安认证的条件，需要做 一些否认性的排除规定。如果在过去合理期 间内发生过数据平安违法违规事件，或存在 相关认证标志被撤销等

24、情形，应禁止在特定 时期内申请认证。因为除了评估当前的数据 平安保障水平，互联网企业过去守法合规的 情况，也是认证机构考察的重要内容。认证 具有信誉担保的色彩，评价过去的行为可以 有效预测未来。通过评价过去合理期间的行 为，可以倒逼认证对象持续积累守法合规的 商业信誉。移动互联网应用程序（App）安 全认证实施规那么规定，在12个月内发生重 大信息平安事件、所持同类证书在撤销认证 影响期内等情形存在时，App运营者不得申 请认证。由于互联网行业变化极快，所以认 证申请条件所涉及的过去期间应合理设置。（二）数据平安认证实施程序和认证标 准科学合理的数据平安认证程序，不仅可 以提高认证效率，而且有

25、利于保障认证结果 的准确性与公正性。由于大多涉及无形的网 络服务或数据产品，数据平安认证程序同普 通认证程序存在一定的差异，更注重对网络 科技和数据平安保障制度的评定。相比于行 政程序，数据平安认证实施程序更为灵活高 效，但也更容易出现问题。作为第三方规制 的数据平安认证具有公共性，应当保障认证 过程具有充分的透明性和公众参与度。认证 的实施程序应当吸收“正当法律程序”的精 神，满足自然正义的基本要求，重视说明理 由，听取陈述、辩白，建立健全完善的认证 信息披露机制。应防止认证程序流于形式， 认证也不能仅限于审核书面材料，必须通过 软件检测等多种技术进行验证。在应用程序平安认证的实践中，移动

26、互联网应用程序（App）平安认证实施规那么 规定的主要认证环节分为三局部：技术验证 +现场核查+获证后监督。对于网络服务或 数据产品，数据平安认证的一般实施程序可 以从以下几个方面展开：（1）受理。认证 机构对申请资料进行审核后作出是否受理的 决定。（2）技术验证。通过实验室检测和 现场核查等方式进行。检测机构按照技术验 证规范实施技术验证，并出具技术验证报告。（3 ）现场审核。认证机构对互联网企业进 行现场审核，对相关问题进行实地调查核实， 出具现场审核报告。（4）认证决定。根据 申请材料、技术验证结论、现场审核结论等 进行综合评定，决定是否通过认证。（5 ） 颁发认证证书。对于有形网络产品

27、的认证程 序略有不同，需要线下随机抽取样本进行客 观评定。比方，网络关键设备和网络平安 专用产品平安认证实施规那么规定，对网络 关键设备和网络平安专用产品平安认证的认 证模式为：型式试验+工厂检查+获证后监 督。型式试验程序要求认证机构从生产线、 仓库、市场等地随机抽取产品，按相应产品 有关国家标准进行型式试验并提交报告。工 厂检查要求认证机构到工厂，对信息平安保 障能力、质量保证能力、产品一致性进行检 查。对于数据平安的认证标准，除了包括具 有强制力的国家法律规范，还应包括国家推 荐性标准、行业标准、国际通用标准、认证 机构制定的标准等。比方，对应用程序进行 技术验证和现场审核的依据均为GB

28、 / T 35273信息平安技术个人信息平安规范， 属于全国信息平安标准化技术委员会发布的 推荐性国家标准。国际著名标准也可以成为 数据平安的认证标准。比方，信息平安管理 IS027001国际标准，采用PDCA过程方法， 基于风险评估的风险管理理念，对企业是否 建立科学有效的信息平安管理体系进行认证。 此外，数据平安认证机构可以结合数字产业 实际，建立健全自己的认证标准体系，弥补 标准空白、滞后或提高标准，以引导数据安 全保障。在数据平安认证的时间跨度上，既应对 互联网企业过去合理期间内的守法合规情况 进行审查，也应对认证当时的组织机构设置、 人员配备、隐私政策、技术措施等数据平安 保障制度作

29、出评估。一旦经过全面评估认定 符合认证标准，就应当作出认证决定，及时 颁发认证证书。对于认证标志的使用期限， 通用数据保护条例规定认证的有效期最 长为3年。如果相关要求继续满足，在相同 条件下可以续期。对于中国数据平安认证的 有效期，需要区分不同的认证领域与事项， 结合数字科技易变的特点，根据具体情况合 理确立认证标志的有效期。另外，应推动建 立健全数据平安认证国际互认体系，促进数 字经济更好地在海外开展。应确立完善的认证程序和结果异议机制。 如果数据平安认证机构违反认证规那么规定的 程序，随意增加、减少、遗漏认证程序，认 证申请人可以要求重新认证，并可以向相关 部门举报投诉。即使认证程序合法

30、，但认证 结果也可能不够客观、公正，所以公开透明 的认证异议处理机制十分必要。如果对认证 决定有异议，应当允许认证申请人提出申诉。 认证机构应及时公正处理申请人对认证程序 和决定的异议，并书面告知其最终处理结果。（三）数据平安认证跟踪监督跟踪监督对于数据平安认证尤其重要， 因为数字科技瞬息万变，网络平安新隐患不 断出现。“认证即过时“可能是常态。并且， 网络服务、数字产品更新换代很快，被认证 对象在获得认证后会有很多新方法滥用数据。 既然认证机构颁发了认证标志，就应当对其 使用负有跟踪监督的义务。一旦不符合认证 标志使用条件就应当及时作出相应处理，否 那么就可能面临相应的制裁。如北京中大华远

31、认证中心诉盐城市亭湖区市场监督管理局案, 法院认为，认证机构“未进行有效跟踪”， 导致其发放的认证证书已过期但仍在持续被 使用，所以监管机构的处分并无不当。对于 跟踪监督的方式，可采取日常监督与专项监 督相结合的方式。比方，移动互联网应用 程序（App）平安认证实施规那么要求，认证 机构对获证App和App运营者，从获证App 一致性检查、更新情况、标志使用情况、企 业自评估情况、被举报投诉和社会媒体曝光 情况等方面进行持续的日常监督，并形成日 常监督报告。如果出现获证App存在个人信 息平安问题并经查实获证App运营者负有责 任时，或组织架构、服务模式等发生重大变 更时，或发生破产并购等可能

32、影响App认证 特性符合性时，认证机构应启动专项监督。认证机构属于第三方评定机构，发现被 认证对象存在不符合法律、相关标准时，无机构资质、认证机制运行、认证与政府规制 的关系等问题进行系统研究，以期探索数据 平安认证的法治之道。一、数据平安认证的界定及价值数字时代日益得到广泛适用的数据平安 认证，既不属于企业实施的自我规制，也不属 于传统的政府规制。数据平安认证本质上为第 三方提供的社会化服务，承当着第三方规制的 角色。构建法治化的数据平安认证体制机制， 不仅有利于保障数据平安，而且可以有效促进 数字经济的规范健康开展。（一）数据平安认证：第三方规制数据平安认证，是指由认证机构证明网络 服务、

33、数据产品、管理体系等符合相关法律规 范、技术标准、行业准那么的评定活动，也称为 信息平安认证。数据平安认证主要面向数字经 济产业，通过第三方机构客观评定互联网企业 数据处理行为的平安性，以提升互联网企业的 数据平安保障水平。相比于企业的自我规制和 政府的行政规制而言，数据平安认证属于第三 方规制，可以有效克服市场与政府的“双重失 灵”。不同于传统认证，数据平安认证的对象 权直接命令认证对象采取相关措施，但可以 及时向有关主管部门报告。当前数据平安认 证实践的一些做法可能并不是特别妥当，例 如移动互联网应用程序（App）平安认证实 施规那么规定：“发现不符合时，认证机构 向认证申请方出具不符合报

34、告，并要求限期 整改；逾期未完成整改的，中止认证过程。” 不管是认证机构还是检测机构，都无权要求 认证对象限期整改或发布其他命令，因为认 证不属于行政检查或行政审批行为，一般只 能按照认证合同约定进行处理。但认证机构 要求改正应当注意一定的度，该撤销认证的 就应撤销，否那么可能导致更多的违法违规行 为。由于认证机构获取信息有限，而且数字 科技变化极快，可尝试建立网络用户投诉举 报机制，以弥补跟踪监督信息的匮乏。美国 TRUSTe认证机构建立了看门狗争端解决程序, 在线接受投诉对被认证网站不能适当处理的 隐私纠纷进行解决。如果被认证网站不接受 最终决定有效保障隐私，就会被撤销认证标 志，并被列入

35、“不守规矩的网站”名单。对于用户就数据平安问题的投诉举报，认证机 构有义务予以深入调查核实，以准确判断认 证标志是否符合继续使用的条件。对于数据 平安认证跟踪监督的最终处理，可以作出继 续使用认证标志、限期纠正、暂停使用认证 标志、撤销认证标志等决定。（四）数据平安认证的责任分配数据平安认证有一定的特殊性，应科学 合理确立数据平安认证机构的法律责任。在 传统认证领域，认证机构的民事责任主要可 以分为相应的赔偿责任和连带责任。首先， 对于虚假认证或认证结论严重失实造成损害 的，法律一般规定认证机构应承当相应的赔 偿责任。认证认可条例第61条规定，对 于出具虚假的认证结论，或者出具的认证结 论严重

36、失实的，造成损害的，“认证机构应 当承当相应的赔偿责任”。产品质量法 第57条第2款同样规定，对于不实认证“应 当承当相应的赔偿责任”。然而，由于法律 规定宽泛模糊，对于如何让认证机构承当“相 应的赔偿责任”，判断标准并不明确。其次， 对于违反认证的跟踪监督义务，法律一般规 定承当连带责任。认证认可条例第73条 规定，认证机构没有进行有效的跟踪调查， 或者发现不再符合认证要求而没有及时采取 措施造成损失的，“与生产者、销售者承当 连带责任产品质量法第57条第3款 作了同样的连带责任规定。从认证环节上分，可以将数据平安认证 机构的责任，主要分为数据平安认证责任和 认证后的跟踪监督责任，分别对应相

37、应的赔 偿责任和连带责任。对于数据平安认证的归 责原那么，应确立过错责任原那么，而非严格责 任原那么，因为认证只是第三方评价，损害的 发生主要源于认证对象的数据违法行为，如 果认证机构不存在过错就不应承当民事责任。 由认证机构承当无过错责任，不仅有失公平， 在事实上也难以完全实现，因为认证机构无 力承当普遍累计而形成的巨额赔偿费用，而 且无过错责任还可能阻碍认证市场的健康发 展。如果数据平安认证机构故意进行虚假认 证，属于特殊的帮助侵权行为，相应的赔偿 责任应界定为连带责任。如果由于没有尽到 合理的审核义务等过失导致认证结果失实的， 数据平安认证机构应承当补充责任。如果数 据平安认证机没有及时

38、履行跟踪监督的法定 作为义务，应承当连带责任，此种责任属于“特殊不作为义务连带责任类型”。为了更好地保障数据平安认证的客观准 确性，应加强对数据平安认证违法行为的公 法责任的设置与追究。尽管通过民事赔偿可 以弥补数据认证造成的损害，但数据平安认 证的私法责任存在一定限度。首先，数据安 全认证违法行为具有极强的隐蔽性与专业性, 受害者很多时候可能并不知情，即使知道也 难以进行有效举证。其次，难以证明数据认 证违法行为同损害存在因果关系。由于数据 具有非独占性和可无限复制性的特点，损害 可能是由其他众多主体通过多种途径违法获 取数据造成的，所以要证明损害同违法认证、 互联网企业滥用数据存在因果关系

39、往往比拟 困难。最后，损害难以确定。对于数据违法 造成的损害，往往难以量化，如对具有人格 权特性的个人信息的侵犯，而且即使可以量 化，损害可能并不大，数据认证机构、互联网企业的赔偿数额十分有限，违法本钱可能 很低。因此，需要对数据平安认证机构设定较 重的公法责任，以弥补数据平安私法责任的 限度。通过设定大额行政罚款，可以提高违 法本钱，形成威慑效应，从而有利于减少数 据平安认证违法行为。通用数据保护条例 设定了重罚机制，其第83条规定，如果数据 保护认证机构违反法定义务，可能被处以 1000万欧元或上一财政年度全球营业总额2% 的巨额行政处分。个人信息保护法虽然 对于违法处理个人信息的行为，设

40、定了高达5000万元或者上一年度5%的罚款，但并没 有专门对违法认证作出责任规定.基于本钱收益原理和贝叶斯纳什均衡，罚款金额越高, 即便在被处分的概率下降的情况下，也越能 有效遏制违法行为。除了可以借鉴域外数据 数据平安认证机构的刑事责任，但应保持刑 司的谦抑性，防止对数据平安认证市场开展 和数字科技创新造成毁灭性破坏。保护经验加重行政责任外,还需要合理设定四、展望：数字时代个人信息保护的第三方规数据平安认证体制机制的法治构建，实 际上表达了数字时代个人信息保护的新探索， 反映了传统政府职能与规制方式的深刻转变。 在数字时代，数据的价值得到空前凸显，数 据已经成为了新的关键生产要素而具有重要

41、的商业价值。“得数据者得天下”。然而， 当前法治化的数据要素市场并未完全形成， 过度收集、利用数据的违法甚至犯罪现象还 比拟常见，但传统的政府规制弊端凸显。作 为第三方规制的数据平安认证，不仅对个人 信息保护和数字经济开展具有重要价值，而 且实际上是弥补数字时代政府规制缺陷的现 实需要，是深化“放管服”改革的必然要求。（一）弥补数字时代政府规制缺陷的现 实需要在数字时代，面对新经济日新月异的新 业态、新科技，传统的政府规那么往往“捉襟 见肘、力不从心”。互联网、大数据、人工 智能、信息技术等对传统的行政管理方式及 其理论形成了挑战。对于个人信息保护而言，当然离不开公正、高效的政府规制，但却存

42、在现实困境。首先，由于政府获取违法信息的有限性 与滞后性，个人信息保护的政府规制实效性 不高。面对各行业、各领域日益增多的数据 处理行为，如大量移动应用程序App超范围 收集个人信息，政府实际上无法及时获取相 关信息进行“无缝隙、无死角”的规制。政 府往往难以全面掌握个人信息处理守法合规 的真实状况。政府规制部门缺乏充足的信息 掌控，“无从获知市场主体违规行为的比重， 也很难调查确认合规信息真实与否”。其次，个人信息保护的政府规制存在“知 识供给缺乏”的专业性缺陷。在数字科技高 速开展的当代，良好的政府规制更加需要与 时俱进的新知识。侵犯个人信息的数字科技 日益先进，但政府职能部门虽然具有专业

43、机 构的色彩，但“行政技能的要求往往超过了 其专业性”。政府运用传统手段通过行政检 查、行政处分等方式，无法全面预防与纠正 个人信息处理违法行为，法律实施效果不佳。 再次，受人员缺乏、财政缩紧等现实条件的 制约，个人信息保护的政府规制作用有限。 人类已进入数字时代，无论是企业的经济活 动，还是普通公民的社会生活，都存在大量 的个人信息处理行为。仅仅依靠有限的人财 物实施政府规制，无法有效保障个人信息安 全。最后，政府规制存在“运动式执法”“选 择性执法” “规制俘获” “权力寻租”等难 以完全根除的反法治现象，导致大量侵犯个 人信息的违法行为得不到及时有效的责任追 究。比方，对App侵害用户权

44、益的专项整治 行动虽然取得了很大成效，但却存在执法的 不确定性、不平等性、短期性等弊端。传统 政府规制以命令与控制为主，强调对抗、通 过威慑实现法律遵从，导致出现对立的僵局 影响治理效果，而且因行政任务扩张无力应 对，“各部门行政法领域纷纷出现规制失 灵现象”。作为第三方规制的数据平安认证，可以 弥补数字时代政府规制的缺陷，减轻政府保 障数据平安的公共任务负担。其一，数据安 全认证可以填补政府规制的“盲区”。通过 采取同行评审的合作方式，而非单方命令与 强制的管理手段，数据平安认证机构能够获 取更为准确、充分的信息，“更容易发现和 纠正被规制者的不遵从行为“。其二，数据 平安认证比政府规制更具

45、有回应性。认证机 构可能更熟知产业界和数据主体的需求，有 更强的行动能力，能够“更为快捷地制定出 更具回应性、可行性的认证标准”。在个人 信息保护的国家法律规范匮乏或滞后时，认 证机构还可以制定个人信息平安保护规那么或 标准，及时填补国家立法空白。通过制定相 关标准，可以有效发挥软法的实验、学习和 渐进改进的优势，从而可以更切实际地实施 更加高效的第三方规制。其三，数据平安认 证可以有效弥补政府规制资源的匮乏。通过 充分发挥第三方机构的力量，数据平安认证 可以将本钱费用转移到产业界，缓解政府规 制的压力。数据平安认证机构可以有效分担 政府的数据平安保障任务。认证适合于“规 制需求日益增长但政府

46、资源不断减少的时 代”。而且，认证机构能够随时较为灵活地 配置所需的人才和设施，“撤销不合格的认证机构的资格，可能比解雇不称职的政府检 查员要容易得多。”在认证市场竞争压力下， 数据平安认证机构的专业性会不断提高。数据平安认证对于个人信息保护尤为要。数据处理主要会对国家、企业或个人造 成平安威胁。数据平安审查、网络平安审查 可以有效解决数据处理对国家造成的平安威 胁，企业的风险内控制度可以有力保障企业 的数据平安，而对于作为数据主体的个人而 言那么处于弱势地位。大量个人信息并不被个 人控制，经常处于被单方处理的状态，个人 信息平安问题随时可能爆发。作为专业的第 三方评定机制，数据平安认证可以很

47、好地逼 迫互联网企业提升个人信息保护水平，能够 有效弥补政府个人信息保护的政府规制缺陷, 从而有利于保障个人信息平安。（二）深化“放管服”改革的必然要求 构建法治化的数据平安认证机制，不仅 是弥补数字时代政府规制缺陷的现实需要， 更是深化“放管服”改革的必然要求，有利 于优化数字经济的营商环境。2015年5月， “放管服”改革即“简政放权、放管结合、 主要是网络服务或数据产品，具有虚拟性和动 态易变性的特征，认证难度更大。在认证标准 上，数据平安认证侧重于对互联网企业现有的 数据平安保障制度能力和过去的数据处理守 法合规情况的评定。数据平安认证不同于互联网企业实施的 数据保护活动，如个人信息风

48、险评估或个人信 息保护影响评估。个人信息保护法第55 条要求个人信息处理者在处理敏感个人信息、 利用个人信息进行自动化决策、委托处理、向 第三方提供或公开个人信息、向境外提供个人 信息等情形下，均应进行个人信息保护影响评 估。信息平安技术个人信息平安影响评估指 南对各类组织自行开展个人信息平安影响评 估提供了标准指南。区别于企业的自身行为， 数据平安认证最重要的特点是第三方机构评 价。数据平安认证不属于政府行为，同公权力 机关实施的数据平安检查、数据平安审查、网 络平安审查、行政许可等行为存在区别。首先， 数据平安认证不同于数据平安检查。政府职能 部门可以对互联网企业进行数据平安检查，如优化服

49、务”的概念，在国务院召开的全国推 进简政放权放管结合职能转变工作电视 会议首次被提出。2020年5月，李克强总理 在政府工作报告中提出，“深化放管服 改革”。“放管服”改革是当下中国最为重 要的刀刃向内的政府自我变革，旨在推进政 府职能的深刻转变，从根本上解放和开展生 产力。现代国家权力呈现多元化与社会化的 趋势，“政府职能将不断弱化、转移，社会 将承当越来越多的管理职能。”个人信息保 护属于政府不可推卸的职责，但这并不说明 政府应当包揽一切。目前中国存在的大量事业单位型、国有 企业型认证机构，实际上是政府职能转变不 彻底的结果。“放管服”改革迫切要求更多 的民营企业型和社会组织型认证机构，承

50、当 数据平安评定的公共任务。在公共性事项上， “优先考虑市场或社会的自我调节、自我管 理、自我服务的有效性”。“简政放权就是 要把该放的权放给市场和社会，这样政府可 以腾出更多力量来加强事中事后监管、提供 公共服务。”在大力推进“放管服”改革的 新背景下，政府应摒弃“单向度低效率的管 理”，不断通过“放权减权来激活市场的活 力和社会的创造力”，充分发挥数据平安认 证机构的第三方规制功能。在数据平安认证 机制中，政府通过直接管理少数认证机构的 资质与行为，保障其公平竞争，可以从个人 信息保护中的大量具体事务中解脱出来，不 必投入大量本钱对所有互联网企业进行直接 微观干预。政府退居幕后管理认证机构

51、，认 证机构身处前线提供数据平安评定信息。不 仅就事物的本质与责任而言，平安性属于经 济活动参与者的责任，而且从权限上来看， 平安性也应交给市场参与者来做。数据平安 认证更加契合“放管服”改革的理念，有利 于实现以政府为中心的规制国向市场与社会 放权，必将成为数字时代个人信息保护的重 要制度。作为风险规制和质量保证的重要手段， 第三方规制相比于政府规制具有诸多独特的 优势，而且是深入推进“放管服”改革的必 然要求。然而，中国第三方规制的力量并未 能充分激活，政府规制一直占据绝对的主导 地位。政府既当“运发动”又当“裁判员”、 既“掌舵”又“划桨”的双重角色经常同时 并存。强调市场竞争与社会自治

52、的第三方规 制，是公共行政变革的重要推动力量，在整 个规制法体系中占有日益重要的地位。“第 三方规制有潜力基于技术和价值引导而非公 私主体固有的权限认识和职责分配，创造出 一个新型的治理模式。”结语在深入推进“放管服”改革和国家治理 能力现代化的背景下，构建法治化的数据安 全认证体制机制，不仅是保障数据平安的现 实需要，而且是弥补数字时代政府规制缺陷 的迫切需求。作为去中心化的第三方规制， 数据平安认证是一种全新理念。第三方规制 同政府规制、自我规制一道共同构成了完善 的规制法体系。然而也不宜过度夸大数据安 全认证的价值。尽管第三方规制可以克服市 场竞争与政府规制的“双重失灵”，但其本 身却存

53、在缺乏足够的公众参与、程序不够透 明、缺乏民主问责监督等合法性质疑，认证 也可能“失灵”。数据平安认证机制确立之 初，必然会产生“认证成管理” “认证变认 钱，等一些乱象。一方面，开展初期的认证 机制本来就不健全，私人规制逐利的固有缺 陷难以立即完全消除；另一方面，长期以来 政企不分、政事不分，认证机构短期内可能 难以做到真正完全独立。但不能因噎废食， 良好的第三方规制需要持续的社会文化熏陶 与法治体系建设。数据平安认证具有不可替 代的数据平安保障功能。无论是政府规制， 还是企业的自我规制，抑或是第三方规制， 都各自存在难以克服的内在缺陷。在数据成 为新生产要素的数字时代，需要政府、互联 网企

54、业、数据平安认证机构、网络用户、社 会公众等多方主体开展公私合作治理，相互 取长补短，协同完成保障数据平安并促进数 据高效流通利用的公共任务，以最终实现数 据强国。开展数据平安专项整治活动。虽然在检查过程 中可以委托第三方机构进行检测，但数据平安 检查的性质为行政检查行为，而数据平安认证 那么属于第三方评定行为，不属于行政行为。数 据平安认证以颁发认证标志为最终结果，而数 据平安检查后可能实施行政强制、行政处分等 措施。其次，数据平安认证不同于数据平安审 查。数据平安法第23条规定：“国家建 立数据平安审查制度，对影响或者可能影响国 家平安的数据处理活动进行国家平安审查。依 法作出的平安审查决定为最终决定。”数据安 全审查属于政府行为，数据平安认证由第三方 认证机构实施。再次，数据平安认证不同于网 络平安审查。网络平安审查侧重于保护国家安 全，由国家互联网信息办公室下设的网络平安 审查办公室负责实施。网络平安审查的条件为, 关键信息基础设施运营者采购网络产品和服 务，数据处理者开展数据处理活动，影响或可 能影响国家平安。比方，2021年6月30日“滴 滴出行”在美