域外参考 | GDPR中的认证简介 - 新鲜讯息

GDPR中的规定认证是什么

WHAT IS IT

General Data Protection Regulation（以下简称“GDPR”），即《通用数据保护条例》，是欧盟为强化公民数字隐私权利而制定的一项重要法规。自2018年5月正式生效以来，GDPR不仅对欧盟境内的企业施加了严格的数据保护要求，对全球范围内那些拥有或服务于欧洲客户群体的企业也产生了广泛影响。

在GDPR中，关于认证的规定在第42条和第43条中，根据GDPR第42条第1款规定，成员国、监管机构、欧盟数据保护委员会和欧盟委员会应当鼓励建立数据保护认证机制、数据保护印章和标记，尤其是在欧盟层面，以证明企业的个人数据处理操作符合GDPR要求。但GDPR并没有对“认证”进行定义。国际标准化组织（ISO）提供了一个通用的定义，将认证定义为“由独立机构提供的书面保证（即证书），证明所涉及的产品、服务或系统符合特定要求。”认证也被称为“第三方合格评定”，认证机构也可以被称为“合格评定机构”（CABs）。根据欧洲数据保护委员会（以下简称“EDPB”）发布的《根据条例第42条和第43条制定的关于认证和识别认证标准的指南1/2018》（以下简称“《1/2018指南》”），在GDPR第42条和第43条的背景下，认证应指的是与控制者和处理者的处理操作相关的第三方证明。

但GDPR本身对于认证的规定仍比较原则，故EDPB于2018年5月25日发布了1/2018指南，这份指南详细阐述了认证的目的、关键概念、监管机构和认证机构的角色，以及认证标准的批准和发展等内容。

值得注意的是，GDPR中所规定的认证并非强制性要求，而是采取自愿形式，并通过透明程序进行。但认证并不意味着减轻数据控制和处理者的相关责任，亦不影响主管监督机构的权力及义务。经主管监管机构或欧洲数据保护委员会批准后，申请者可获得欧盟数据保护印章的通用认证。

为什么要做GDPR项下的认证

WHY TO DO IT

如前文所述，GDPR中规定的认证并非强制性要求，而是采取自愿形式，那么企业为什么还要进行认证呢？概括而言，数据控制者和处理者获得认证是其遵守GDPR的有力证明，也是对数据控制者或处理者在向第三国或国际组织传输个人数据时提供了适当安全保护措施的凭证。获得符合GDPR合规要求的认证优势包括但不限于以下方面：

01.风险管理

经由第三方机构进行的系统性分析和公正评估，企业可识别并完善其在GDPR遵守方面可能存在的合规不足，增强相关数据处理活动的规范性和透明度。有助于企业对数据保护相关法规的遵守，减少因违反规定而可能遭遇的法律和财务风险。

02.提升企业声誉和市场优势

获得GDPR所规定的认证不仅说明了企业数据处理活动的合规性，还彰显了其对数据保护的重视程度，这对于消费者和商业伙伴而言至关重要。因此，获得认证将有助于提升数据主体、合作伙伴以及利益相关者对企业的信任，优化并维护企业形象、增强市场竞争力。

03.促进跨境数据流动与成本控制

认证的合规评估可以扩展到非欧盟司法管辖区，为企业在全球范围内的数据处理活动提供保障，促进跨境数据传输，为企业的国际业务提供便利。

04.提升市场估值

通过开展GDPR项下认证评估，企业能有效减轻投资者的担忧和顾虑，显著降低他们面临的风险和不确定性。这种对合规性的认可不仅能够增强投资者对企业的信任，还能在市场中树立企业的正面形象，从而有助于提高企业的整体市场估值。

如何确定GDPR中认证的对象

HOW TO DO IT

EDPB认为，GDPR项下可认证的内容范围十分广泛，只要重点是帮助证明控制者和处理者对处理操作的合规性（第42.1条）的内容一般都可以进行认证。在评估处理操作时，必须考虑以下三个核心组成部分：

个人数据（GDPR的数据范围）；
技术系统：用于处理个人数据的基础设施，如硬件和软件；
与处理操作相关的流程和程序。

此外，EDPB还在《1/2018指南》中明确了如何确定认证的对象（也称为认证目标，即ToE）。为了进行有效且可靠的评估，必须精确定义认证项目的具体对象，包括明确哪些处理操作、数据、流程和技术基础设施将被纳入评估。同时，还需要考虑和描述这些对象与其他流程的接口。未知的部分不能被纳入评估，因此也不能被认证。最后，认证对象必须与认证所传达的信息或声明相匹配，不能误导用户、客户或消费者。简而言之，认证过程中需要明确界定和精确描述评估目标，以确保评估的准确性和认证的有效性。

GDPR的认证标准有哪些

TO BE SPECIFIC

EDPB《1/2018指南》附录二中列举了认证机构在起草认证标准时应当考虑的问题或因素，例如：认证机制和认证目标的范围、通用要求、处理活动、合法性基础、GDPR第5条原则、控制者和处理者的一般义务、数据主体权利、对自然人权利和自由的风险、确保数据保护的技术与组织措施等，这些问题或因素，对于数据控制者和处理者而言，可以作为认证工作准备阶段的内部评估考量因素，因而具有重要的参考意义。根据GDPR第43条，认证机构制定的认证标准需经有权监管机构批准，故不同的认证机构所确定并获批准的认证标准不尽相同，如数据控制者或处理者认证前已明确选定认证机构，则可查询选定认证机构的认证标准，作为内部评估的首要依据。

GDPR中认证的流程

CERTIFICATION PROCESS

GDPR所规定的认证大致流程包括：

提交认证申请：控制者或处理者向认证机构（CB）提交认证申请，包括对评估目标（ToE）的详细描述，确保描述明确且完整，包括所有必要的接口信息。
形式审核：认证机构对提交的ToE描述进行形式审核，确保所有文件完整且是最新版本，以决定ToE描述是否可以被接受。
评估前评估：确定适用的标准和评估方法，为ToE的评估做准备。
ToE评估：对ToE进行详细评估，检查其是否符合相关标准，以及其文档是否正确无误。
结果验证：验证评估结果，确保所有相关标准都已指定并反映了ToE的实际情况，评估过程是否已充分记录。
向监管机构提供信息：将评估结果和相关信息提供给监管机构（CSA），包括授予或撤回认证的原因。
认证：如果ToE符合所有标准，认证机构可以颁发证书，并准备发布报告。
监控：持续监控ToE，确保其继续符合标准，并正确使用证书、印章或信任标志。
认证续期：在证书到期前，进行续期评估，确保处理过程仍然符合认证标准，并已解决任何发展领域的问题。

GDPR中认证的有效期及续期、费用

TIMELINESS AND FEES

根据GDPR第42条(7)，认证机构颁发给控制者或处理者的认证的有效期最长是3年，到期后如果相关条件满足，在相同条件下，有效期可以延长。当认证的条件不满足或不再满足时，认证机构或有管辖权的监管机构，可以撤回认证。

控制者或处理者进行认证所涉及的费用，总体上可分为必要费用和潜在费用，必要费用通常包括：认证费用、评估费用、培训费用、法律服务费用、技术产品购买费用等，潜在费用一般包括：咨询费用、维护费用、第三方服务费用、认证续期费用等。

（本文作者：北京观韬中茂（上海）律师事务所王渝伟、王敏）

CCIA数据安全工作委员会单位介绍

观韬中茂律师事务所成立于1994年2月，在法律服务、专业建设和律师团队等方面已成为中国领先的律师事务所之一。观韬中茂拥有一支理论深厚、经验丰富、勤勉尽责、服务诚信、业绩良好、追求卓越的律师工作团队，并拥有多名相关专业的法律专家，能够为不同行业、不同客户提供全过程的综合性法律服务。观韬中茂连续多年被钱伯斯亚洲、亚太法律500强、国际金融法律评论等全球知名法律评级机构评为排名和推荐领域。