来源:大成律师事务所
欧盟《通用数据保护条例》(“GDPR”)第42条和第43条规定数据控制者或处理者可通过数据保护认证机制证明自身数据处理活动符合GDPR的要求。依据GDPR序言,数据保护认证机制建立的目的是为了提高透明度,通过建立认证机制和数据保护印章,使数据主体能够迅速评估相关产品和服务数据保护等级。GDPR并未对“认证”作出定义,欧盟委员会颁布的相关文件中将数据保护认证解释为“与控制者和处理者的处理操作相关的第三方认证”。
一、欧盟数据保护认证制度基本内容介绍
(一)欧盟数据保护认证机制相关解读文件
GDPR第42条规定数据保护认证需经欧盟数据保护委员会批准后可产生通用性认证——欧盟数据保护印章(European Data Protection Seal)。数据控制者或处理者可自愿进行认证,且通过认证也不能减损数据控制者和处理者在GDPR下的义务。数据保护认证期限为三年,认证期限可以延长,如认证条件不再符合,将被认证机构或主管机关撤销。GDPR第42条没有对认证内容作出具体要求。
GDPR第43条规定了数据保护认证机构设置需要具备的资质条件。认证机构应具备独立性和专业性,并满足成员国有权监管机构认可的或依据欧盟《确立关于产品市场营销的认证与市场监督管理的要求的条例》、ISO/IEC 17065/2012《合格评定产品、过程和服务认证机构要求》以及成员国有权监管机构其他的额外要求,认证机构从事认证活动的许可时限为五年。
GDPR生效后,欧盟委员会于2019年3月发布《数据保护认证机制——GDPR第42条和43条研究》(“《研究报告》”),主要通过分析解欧盟成员国现有数据保护认证方案和标准,通过选定认证方案为完善GDPR认证制度提出意见。依据《研究报告》,认证适用范围和认证标准分为三类,分别是国家认证、区域认证以及欧盟通用性认证,国家认证仅适用某一个特定的成员国,区域认证适用于某些成员国境内但并非整个欧盟,欧盟通用性认证适用于整个欧盟。
欧盟数据保护委员于2019年6月4号发布经公开讨论后的《第1/2018号根据GDPR第42和43条认证与识别认证标准的指南终版》和经公开讨论后的《第4/2018号根据GDPR第43条对认证机构许可的指南终版》,两份文件主要对数据保护认证制度涉及的专有名词概念、认证标准评估要求、认证范围和认证机构设置条件等作出详细的解释,并为认证流程开展提供方法论指导。
2022年6月14日,欧盟数据保护委员会发布了《认证作为跨境传输工具的指南》。GDPR第46条要求数据控制者或处理者在向第三国或国际组织传输个人数据时必须提供适当的安全保障措施,并在第(2)项(f)款规定,适当安全保障措施可以“根据GDPR第42条被批准的认证机制,以及第三国的控制者或处理者为采取适当的安全保障做出的具有约束力和执行力的承诺,包括数据主体的权利”提供。该文件旨在为适用GDPR第46条第(2)项(f)款项基于认证向第三国或国际组织传输个人数据的行为提供指导,文件主要对认证机构实施认证要求、证明存在适当的保障措施特定认证标准以及具有约束力和可执行的承诺等作出探讨。
(二)EuroPriSe和Europrivacy数据保护认证机制建立
2022年9月,欧盟数据保护委员会审议了德国北莱茵-威斯特法伦州数据保护监管机构提交的关于EuroPriSe认证计划的意见,认为EuroPriSe认证标准可能会导致GDPR的应用不一致,需要调整EuroPriSe认证标准内容满足GDPR第42条的要求。2024年7月16号,欧盟数据保护委员会审议通过了EuroPriSe欧盟数据保护认证机制。
2022年10月10日,欧洲数据保护委员会发布《第28/2022号关于欧洲隐私认证标准的意见》(“《意见》”),该意见批准通过了卢森堡的监管机构根据GDPR第64条第(2)项所提交的“欧洲隐私认证标准”(Europrivacy criteria of certification)。Europrivacy成为根据GDPR第42条项下首个获得批准的欧盟数据保护认证机制。Europrivacy认证机制内容相对较为完善,EuroPriSe认证机制内容具体如何开展尚需相关机构进一步解释,因此,下文将主要介绍Europrivacy认证机制。
二、Europrivacy认证机制内容
(一)认证适用地域范围和适用对象
数据控制者和处理者都可以申请Europrivacy认证,Europrivacy认证可以在任何地方用于评估对GDPR合规义务的遵守情况,但证书交付只限于位于欧盟或欧洲经济区的申请方。
(二)认证计划管理方
欧盟认证隐私中心(European Centre for Certification and Privacy,“ECCP”)承担认证计划管理者的职能,负责Europrivacy认证方案管理和更新流程,确保认证计划与法规及技术进步保持一致。ECCP不作为认证机构颁发证书,计划开展保护个人信息的合格认证机构可向ECCP申请成为Europrivacy的认证机构。
(三)认证优势
1、降低合规风险
GDPR规定违反GDPR合规义务的组织最高可被处2000万欧元或上一年度营业额4%的罚款。Europrivacy认证将帮助认证组织重新评估合规现状,及时更新和调整组织可能或已经不符合GDPR和最佳实践的相关组织政策、流程等文件,识别和减少与现有合规差距相关的法律风险和财务风险。
2、增强组织透明度
鉴于Europrivacy涉及由独立第三方对经欧洲数据保护委员会确认的标准开展评估,以评价组织对GDPR的遵守情况,因此获得Europrivacy认证不仅能提高组织数据保护能力透明度,还能促进与个人信息主体、客户、商业伙伴间建立信任。
3、保持组织竞争优势
增加数据保护能力透明度可以提高组织在潜在客户和业务合作伙伴中的声誉,从而在市场竞争中保持优势。数据保护是欧盟监管执法重点,当潜在消费者选择产品或服务以及潜在合作伙伴在选择数据处理者或可能作为共同控制者时,认证对于向潜在消费者和潜在业务合作伙伴表明组织致力于并已采取适当措施遵守GDPR十分重要。
(四)认证对象
GDPR只允许对数据处理活动进行认证,而不允许对组织、产品或服务进行认证。因此Europrivacy认证是组织数据处理活动,而不是组织本身。因此,Europrivacy作为认证计划,允许数据控制者和处理者证明一些选定的数据处理活动符合GDPR。
GDPR第五章第46条第2款(f)项规定组织如经GDPR第42条批准的认证机制,可将个人数据传输至境外。然而,根据《意见》,Europrivacy认证目前不属于个人数据跨境传输认证,事实上,只有遵守GDPR第五章的其他规定(境外第三国属于白名单国家,签订欧盟批准的数据跨境传输标准合同、具备有约束力的公司行为守则,取得个人信息主体同意等),才能将个人数据转移到第三国或国际组织;Europrivacy也不适用于生物医学数据的处理情况。
(五)认证标准
选择用于认证的处理活动称为评估目标(Target of Evaluation, “ToE”)。Europrivacy建议组织先选择部分关键的处理活动开展认证,并逐步扩大认证处理活动范围。前期认证活动流程完成后,后续开展认证活动可以借鉴此前认证的资料,后续认证活动可以更加高效。控制者和处理者可以选择认证特定业务职能、特定部门或整个组织的所有处理活动,也可以决定认证某些处理活动而不认证其他活动。
Europrivacy提供了一种创新的混合认证模式,根据评估对象包括综合性的认证标准和附加的特定领域和技术标准。附加的特定领域和技术标准是为了解决下列三类风险:为数据主体解决特殊义务和风险,包括特定技术领域风险,如人工智能、区块链、物联网等领域的数据处理;特定领域的风险,如与工作环境、智慧城市、金融服务或健康的风险;对数据主体存在高风险的处理活动(处理与刑事指控有关的特殊数据、未成年个人数据、对自然人权利和自由产生高风险)。
Europrivacy认证标准内容包括:
1、GDPR合规义务
Europrivacy标准的核心是遵守GDPR核心法律要求,组织的数据处活动必须遵守GDPR核心要求。Europrivacy标准的核心内容主要包括以下方面。
(1)数据处理的合法性:被评估的数据处理活动必须遵守GDPR第六条的合法性要求,包括获得个人同意、为履行合同所需或为法定义务所需等。
(2)特殊类型个人数据处理:特殊类型数据包括显示种族或民族背景、政治观念、宗教或哲学信仰或工会成员的个人数据、基因数据、为了特定识别自然人的生物性识别数据、以及和自然人健康、个人性生活或性取向相关的数据,特殊数据处理需要遵守特定义务,以更安全的方式保护数据主体权益。
(3)数据主体的权利:组织必须证明其能够响应数据主体的能力,包括查阅、更正、删除、限制处理等权利。
(4)数据控制者责任:“数据控制者”是决定数据处理目的的组织,包括数据的收集、存储和使用方式等,以及处理活动是否符合GDPR合规义务。数据控制者的主要责任是确保所有受监管流程的合规性。
(5)数据处理者和次处理者:“数据处理者”是根据数据控制者指示处理数据的组织,不能单独决定数据处理目的。数据处理者也应遵守GDPR要求。与数据控制者相比,数据处理者的义务会略有减少。
(6)设计处理和数据保护的安全性:数据处理流程和相关系统设计和维护都必须从处理活动开始考虑安全性和隐私性。
(7)数据泄露管理:组织必须制定流程和政策来管理数据泄露,预防、采取补救措施和向监管或个人通知数据泄露。
(8)数据保护影响评估:组织应通过开展数据保护影响评估(DPIA),识别处理个人数据的风险,以及减轻这些风险。
(9)数据保护官:组织应设立数据保护官(DPO)来监督组织内的数据处理活动,增强组织内数据保护意识并开展培训等。
(10)个人信息跨境传输是否提供适当安全保障。将个人数据传输至欧盟境外第三国是否采取了GDPR第五章规定的保护措施。
2. 补充检查和控制(Complementary Checks and Controls)
GDPR核心标准由“补充检查和控制”补充,以评估申请人是否符合可能适用于评估对象的特定领域和特定技术的义务。
3. 技术和组织措施(Technical and Organisational Measures)检查和控制
技术和组织措施检查和控制旨在评估保护处理数据的措施的充分性。除高风险数据处理外,获得ISO/IEC 27001认证,可以证明处理措施满足本项标准要求的充分性。
4. 监督审核清单(Surveillance Audits Checklist)
清单规定了监督审核的一些附加标准,以评估和确保长期持续的合规性。
5. 国内法义务
Europrivacy通过两种工具支持对补充性国家义务的遵守情况进行评估。
(1)欧洲经济区各成员国的国内法合规义务简介。这些资源可用于编写国家义务合规性评估报告(NOCAR)。
(2)Europrivacy国家标准扩展,用于评估和认证ToE是否符合补充性国家数据保护法规。这些扩展是可选的,组织可在自愿的基础上用于将欧洲隐私权认证扩展到相应的非欧盟司法管辖区。
(六)认证流程
1、向“合格的合作伙伴”提出申请和/或在Europrivacy官网购买“Welcome Pack”;
2、选择并指定评估目标;
3、使用Europrivacy标准记录合规性并降低风险;
4、选择合格的认证机构对数据处理活动进行认证;
5、通过使用官方认可的“欧洲数据保护印章”来证明组织对数据处理活动合规性的重视并证明数据处理活动合规性;
6、通过在线资源、警报信息和年度监督审核来维护和加强合规性。
以上每个步骤都有专门的在线资源、指南、文档和模板支持,可在官方网站上获取。合格的合作伙伴也将提供解决方案,以简化和加快对Europrivacy标准合规性的记录。一旦第一个评估目标获得认证,则该目标进行认证时所使用的大部分支持文件都可在其他数据处理活动认证中重复使用,从而使后续认证更加便捷。
(七)认证准备
申请人应做好以下准备:
1、承诺保护个人数据并传达承诺(隐私条款);
2、指定一名便于公众和国家监管机构联系的数据保护官员;
3、梳理并记录数据处理活动;
4、检查数据处理活动是否合法(如基于数据主体的同意,确保在数据处理前数据主体已知情,并收到数据主体自由、明确的表达同意处理);
5、评估数据主体的权利和自由所面临的风险,并在适用的情况下执行数据保护影响评估(DPIA);
6、尽量减少个人数据的收集、处理、访问和保留期限;
7、通过适当的技术和组织措施确保数据处理的安全性;
8、采取适当的数据保护政策、规则和程序,包括访问控制、备份和数据保留期、数据主体权利、数据处理者以及跨境传输个人数据;
9、宣传数据保护政策和程序;
10、记录数据主体权利的行使情况;
11、记录任何数据泄露事件和应对措施;
12、定期检查技术和组织措施,更新风险评估;
13、最高管理层应至少每年对内部审计结果和风险评估进行一次审查。最高管理层应针对发现的薄弱环节制定具体的行动计划。
(八)认证费用
Europrivacy认证的成本需要综合多个因素考虑。
在常规流程中,申请人将在整个过程中得到合格服务提供方(咨询机构或律所和认证机构)的支持,合作服务提供方可自行决定服务费用,不同国家的费用也可能因当地成本而异。
完成认证后,合格的认证机构将在ECCP管理的“欧洲隐私证书登记处”公布证书,以验证证书的真伪,防止伪造。Europrivacy官网 “Welcome Pack” 中包含首批证书的公布费用。其他证书的公布费用由合格的认证机构收取并支付给ECCP。
与常规流程相关的费用包括:
1、实施者费用,包括“Welcome Pack”订阅费;
2、合格的认证机构费用,包括适用情况下的证书公布费用;
3、可选项:支持合规性文件的第三方软件或解决方案。
三、Europrivacy认证与我国个人信息保护认证制度对比分析
我国个人信息认证在法律层面上的规定出现在《个人信息保护法》第38条,即个人信息处理者合法传输个人信息的路径之一是通过个人信息保护认证。早在2019年3月15日,国家市场监督管理总局和中央网信办(“两部门”)为规范App收集和使用用户信息,根据《网络安全法》和《认证认可条例》,决定开展App安全认证,并发布了《移动互联网应用程序(App)安全认证实施规则》。2022年6月5日,两部门公布了《数据安全管理认证实施规则》(“《实施规则》”)。2022年11月4日,两部门又发布了《关于实施个人信息保护认证的公告》(“《公告》”)。《实施规则》和《公告》旨在鼓励数据处理者通过认证规范数据处理活动。
(二) Europrivacy认证与我国个人信息保护认证制度内容异同
1、认证对象和申请主体
和GDPR一样,《个人信息保护法》认证的对象也是数据处理活动,即个人信息跨境传输活动,《实施细则》和《公告》也细化明确数据保护认证是对数据处理者开展数据收集、存储、使用、加工、传输、提供、公开等处理活动进行认证。
在认证申请主体上,《个人信息保护法》只有“个人信息处理者”的概念,“个人信息处理者”是指在个人信息处理活动中自主决定处理目的和方式的组织,相当于GDPR下的数据控制者,因此严格意义上,《个人信息保护法》个人信息受托者不属于数据保护认证的申请主体。
2、认证依据
在立法目的上,中国数据保护认证机制和GDPR的侧重点是不同的。《个人信息保护法》关注的重点是将个人信息跨境认证作为评估个人信息跨境传输的合法路径,GDPR数据保护认证机制是为增强数据控制者和处理者处理数据的透明度。根据《公告》,我国个人信息保护认证的依据是GB/T 35273-2020《信息安全技术个人信息安全规范》(“35273”),35273的内容与Europrivacy认证核心标准中覆盖范围高度重合,且35273的内容更加细致。2022年12月16日,全国信安标准委员会又发布《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》,对个人信息跨境传输认证处理作出了系统具体的要求。
3、认证机构
Europrivacy公布了符合GDPR的认证机构和咨询辅导机构清单,但《实施规则》和《公告》没有规定认证机构设立的程序,官方目前也尚未公布认证机构完整清单,我国个人信息保护认证实现路径仍需进一步解释。
4、认证流程
从目前Europrivacy公开的信息来看,认证过程以线上服务即订阅“Welcome Pack”的方式进行审核。我国个人信息保护认证流程模式为“技术验证(技术验证机构按照认证方案实施技术验证,并向认证机构和认证委托人出具技术验证报告)+现场审核(认证机构实施现场审核,并向认证委托人出具现场审核报告)”。
5、认证期限
Europrivacy认证和我国个人信息保护认证的期限均是三年,认证机构均将采用获证后监督的方式,Europrivacy认证对到期符合认证要求的组织延长认证期限,我国个人信息保护认证会对到期的组织焕发新证。
四、中国企业如何开展Europrivacy认证
中国企业如涉及在欧盟开展业务,通过Europrivacy认证将有助于提升企业的合规水位。Europrivacy认证机制下符合GDPR第43条规定的认证机构须在欧盟境内注册,目前Europrivacy认证机制下有资质的认证机构包括DNV(挪威船级社管理服务集团,世界领先的认证和风险管理机构之一)、Certop、Eurofins(欧陆集团)等,合规的咨询机构或律所包括Dentons(Dentons在中国优先合作的律所为大成律师事务所)、Osborne Clarke等,专家伙伴包括Archimede Solutions等,技术服务商包括Smart Global Governance等。
企业可选择通过外部认证咨询机构评估数据处理活动的合法性,如梳理处理数据字段类型、核查隐私文本完备性、检查数据保护制度是否有效落实等。通过摸排现状,企业可以更精确地识别风险,优化完善数据保护文件,确保充分理解认证机构要求,及时纠正不合规项以便快速通过认证。
作者:
- 蔡开明,大成律师事务所(北京)高级合伙人;专业领域:跨境投资与贸易、合规与风险控制、知识产权与科技创新、争议解决;联系方式:kaiming.cai@dentons.cn
- 阮东辉,大成律师事务所(北京)合伙人;专业领域:跨境投资与贸易、合规与风险控制、知识产权与科技创新、争议解决;联系方式:donghui.ruan@dentons.cn
- 孙鹏程,大成律师事务所(杭州)律师;专业领域:合规与风险控制、公司与并购重组、知识产权与科技创新、金融;联系方式:pengcheng.sun@dentons.cn
特别声明:大成律师事务所严格遵守对客户的信息保护义务,本篇所涉客户项目内容均取自公开信息或取得客户同意。全文内容、观点仅供参考,不代表大成律师事务所任何立场,亦不应当被视为出具任何形式的法律意见或建议。