□ 劉權(quán)
2025年1月1日起施行的《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》明確規(guī)定“統(tǒng)籌促進網(wǎng)絡(luò)數(shù)據(jù)開發(fā)利用與保障網(wǎng)絡(luò)數(shù)據(jù)安全”�����。數(shù)據(jù)已經(jīng)成為新的生產(chǎn)要素����,具有重要的商業(yè)價值��,但不當(dāng)開發(fā)利用數(shù)據(jù)會對個人�、社會甚至國家造成難以彌補的損害,數(shù)據(jù)安全保障至關(guān)重要�����。數(shù)據(jù)安全認證已逐漸成為保障數(shù)據(jù)安全��,同時又能促進數(shù)據(jù)開發(fā)利用的重要手段?��!毒W(wǎng)絡(luò)數(shù)據(jù)安全管理條例》多處提及“認證”�,數(shù)據(jù)安全法第18條規(guī)定“國家促進數(shù)據(jù)安全檢測評估���、認證等服務(wù)的發(fā)展”���,個人信息保護法第62條要求“支持有關(guān)機構(gòu)開展個人信息保護評估、認證服務(wù)”�����。
數(shù)據(jù)安全認證��,是指由認證機構(gòu)證明網(wǎng)絡(luò)服務(wù)����、數(shù)據(jù)產(chǎn)品��、管理體系等符合相關(guān)法律規(guī)范�、技術(shù)標(biāo)準(zhǔn)、行業(yè)準(zhǔn)則的評定活動����,也稱為信息安全認證����。數(shù)據(jù)安全認證主要面向數(shù)字經(jīng)濟產(chǎn)業(yè)��,通過第三方機構(gòu)客觀評定互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)處理行為的安全性���,以提升互聯(lián)網(wǎng)企業(yè)的數(shù)據(jù)安全保障水平�。數(shù)據(jù)安全認證本質(zhì)上為第三方提供的社會化服務(wù)���,承擔(dān)著第三方規(guī)制的角色��。
數(shù)據(jù)安全認證有利于引導(dǎo)�����、激勵數(shù)據(jù)處理者不斷提高數(shù)據(jù)安全保障水平�。為了防止得不到認證或被撤銷認證����,互聯(lián)網(wǎng)企業(yè)在外在壓力下會不斷提高自身的數(shù)據(jù)安全保障水平,以便不失去并不斷獲取更多的網(wǎng)絡(luò)用戶。數(shù)據(jù)安全認證通過聲譽評價機制��,可以增強用戶對中小微互聯(lián)網(wǎng)企業(yè)和新興數(shù)字產(chǎn)業(yè)的信任感��,可以避免政府為保障數(shù)據(jù)安全而實施“一刀切”的規(guī)制�����,可以滿足社會公眾多元的數(shù)據(jù)安全需求��。
數(shù)據(jù)安全認證行為具有公共性�,不僅直接關(guān)系到個人信息安全,而且對整個數(shù)據(jù)要素市場的安全性與誠信度會產(chǎn)生直接影響��。為了有效保障數(shù)據(jù)安全認證的客觀性與公正性�,數(shù)據(jù)安全認證機構(gòu)應(yīng)具有獨立性。首先�����,數(shù)據(jù)安全認證機構(gòu)同互聯(lián)網(wǎng)企業(yè)間不應(yīng)有利益關(guān)聯(lián)�。在傳統(tǒng)認證的一些領(lǐng)域,認證亂象橫生���,認證變成了利益交換��?����!罢J證變認錢”并不少見���,“給錢就能過,不給就刁難”����。對于數(shù)據(jù)安全認證機構(gòu)資質(zhì)的規(guī)定,應(yīng)特別注意消除企業(yè)型認證機構(gòu)可能存在的弊端��。其次�����,數(shù)據(jù)安全認證機構(gòu)應(yīng)獨立于政府���。如果認證機構(gòu)同政府有關(guān)聯(lián)��,會產(chǎn)生諸多消極后果����。其一,可能會導(dǎo)致“認證變管理”�����,甚至導(dǎo)致“認證異化為審批”��。其二��,可能會引發(fā)利益輸送��、權(quán)錢交易等腐敗行為��。其三��,不利于提高認證服務(wù)效率與質(zhì)量����。
認證機構(gòu)應(yīng)具有高度專業(yè)性。數(shù)據(jù)安全認證不同于對普通產(chǎn)品�����、服務(wù)或管理體系的認證���,認證人員既須精通法律又須熟知數(shù)字科技����。應(yīng)防止數(shù)據(jù)安全認證機構(gòu)“有名無實”不承擔(dān)實質(zhì)認證工作,變相將認證業(yè)務(wù)“轉(zhuǎn)包”“分包”給相關(guān)檢測機構(gòu)��。
客觀公正的數(shù)據(jù)安全認證不僅有賴于獨立�����、專業(yè)的認證機構(gòu)����,而且需要科學(xué)合理的認證機制��。應(yīng)當(dāng)保障認證過程具有充分的透明性和公眾參與度����。對于數(shù)據(jù)安全的認證標(biāo)準(zhǔn),除了包括具有強制力的國家法律規(guī)范����,還應(yīng)包括國家推薦性標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)���、國際通用標(biāo)準(zhǔn)����、認證機構(gòu)制定的標(biāo)準(zhǔn)等。
在數(shù)據(jù)安全認證的時間跨度上�����,既應(yīng)對互聯(lián)網(wǎng)企業(yè)過去合理期間內(nèi)守法合規(guī)情況進行審查�����,也應(yīng)對認證當(dāng)時的組織機構(gòu)設(shè)置��、人員配備����、隱私政策、技術(shù)措施等數(shù)據(jù)安全保障制度作出評估����。跟蹤監(jiān)督對于數(shù)據(jù)安全認證尤其重要,因為數(shù)字科技瞬息萬變��,網(wǎng)絡(luò)安全新隱患不斷出現(xiàn)���?!罢J證即過時”可能是常態(tài)。而且��,網(wǎng)絡(luò)服務(wù)����、數(shù)字產(chǎn)品更新?lián)Q代很快,被認證對象在獲得認證后會有很多新辦法濫用數(shù)據(jù)����。
數(shù)據(jù)安全認證有一定的特殊性�����,應(yīng)科學(xué)合理確立數(shù)據(jù)安全認證機構(gòu)的法律責(zé)任����。數(shù)據(jù)安全認證機構(gòu)的責(zé)任,主要分為數(shù)據(jù)安全認證責(zé)任和認證后的跟蹤監(jiān)督責(zé)任��,分別對應(yīng)相應(yīng)的賠償責(zé)任和連帶責(zé)任����。對于數(shù)據(jù)安全認證的歸責(zé)原則,應(yīng)確立過錯責(zé)任原則�,而非嚴格責(zé)任原則���。為了更好地保障數(shù)據(jù)安全認證的客觀準(zhǔn)確性,應(yīng)加強對數(shù)據(jù)安全認證違法行為的公法責(zé)任的設(shè)置與追究��。
在深入推進國家治理能力現(xiàn)代化的背景下�����,構(gòu)建法治化的數(shù)據(jù)安全認證體制機制�,不僅是保障數(shù)據(jù)安全的現(xiàn)實需要,而且是彌補數(shù)字時代政府規(guī)制缺陷的迫切需求�。面對數(shù)字經(jīng)濟日新月異的新業(yè)態(tài)、新科技�����,傳統(tǒng)的政府規(guī)制往往“捉襟見肘��、力不從心”���。作為第三方規(guī)制的數(shù)據(jù)安全認證����,可以彌補數(shù)字時代政府規(guī)制的缺陷�,減輕政府保障數(shù)據(jù)安全的公共任務(wù)負擔(dān)�����。然而�,無論是政府規(guī)制���,還是企業(yè)的自我規(guī)制���,抑或第三方規(guī)制,都各自存在難以克服的內(nèi)在缺陷�。
在數(shù)據(jù)成為新生產(chǎn)要素的數(shù)字時代��,需要政府�����、互聯(lián)網(wǎng)企業(yè)��、數(shù)據(jù)安全認證機構(gòu)�、網(wǎng)絡(luò)用戶、社會公眾等多方主體開展公私合作治理�,全面落實各自的主體責(zé)任,協(xié)同完成促進網(wǎng)絡(luò)數(shù)據(jù)開發(fā)利用與保障網(wǎng)絡(luò)數(shù)據(jù)安全的公共任務(wù)�����,以促進數(shù)字經(jīng)濟高質(zhì)量發(fā)展。
(作者劉權(quán)系中央財經(jīng)大學(xué)法學(xué)院副院長����、教授、博士生導(dǎo)師��,中央財經(jīng)大學(xué)數(shù)字經(jīng)濟與法治研究中心執(zhí)行主任)
法治號
