以數(shù)據(jù)安全認證促進數(shù)字經濟高質量發(fā)展
2025-01-17 12:54:11
來源:法治日報
-標準+
2025年1月1日起施行的《網(wǎng)絡數(shù)據(jù)安全管理條例》明確規(guī)定“統(tǒng)籌促進網(wǎng)絡數(shù)據(jù)開發(fā)利用與保障網(wǎng)絡數(shù)據(jù)安全”��。數(shù)據(jù)已經成為新的生產要素�,具有重要的商業(yè)價值,但不當開發(fā)利用數(shù)據(jù)會對個人��、社會甚至國家造成難以彌補的損害����,數(shù)據(jù)安全保障至關重要。數(shù)據(jù)安全認證已逐漸成為保障數(shù)據(jù)安全��,同時又能促進數(shù)據(jù)開發(fā)利用的重要手段�����?����!毒W(wǎng)絡數(shù)據(jù)安全管理條例》多處提及“認證”�����,數(shù)據(jù)安全法第18條規(guī)定“國家促進數(shù)據(jù)安全檢測評估��、認證等服務的發(fā)展”��,個人信息保護法第62條要求“支持有關機構開展個人信息保護評估、認證服務”����。
數(shù)據(jù)安全認證,是指由認證機構證明網(wǎng)絡服務����、數(shù)據(jù)產品、管理體系等符合相關法律規(guī)范�、技術標準、行業(yè)準則的評定活動�,也稱為信息安全認證。數(shù)據(jù)安全認證主要面向數(shù)字經濟產業(yè)�����,通過第三方機構客觀評定互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)處理行為的安全性�����,以提升互聯(lián)網(wǎng)企業(yè)的數(shù)據(jù)安全保障水平��。數(shù)據(jù)安全認證本質上為第三方提供的社會化服務��,承擔著第三方規(guī)制的角色��。
數(shù)據(jù)安全認證有利于引導�����、激勵數(shù)據(jù)處理者不斷提高數(shù)據(jù)安全保障水平����。為了防止得不到認證或被撤銷認證,互聯(lián)網(wǎng)企業(yè)在外在壓力下會不斷提高自身的數(shù)據(jù)安全保障水平��,以便不失去并不斷獲取更多的網(wǎng)絡用戶����。數(shù)據(jù)安全認證通過聲譽評價機制,可以增強用戶對中小微互聯(lián)網(wǎng)企業(yè)和新興數(shù)字產業(yè)的信任感����,可以避免政府為保障數(shù)據(jù)安全而實施“一刀切”的規(guī)制,可以滿足社會公眾多元的數(shù)據(jù)安全需求�����。
數(shù)據(jù)安全認證行為具有公共性�,不僅直接關系到個人信息安全,而且對整個數(shù)據(jù)要素市場的安全性與誠信度會產生直接影響��。為了有效保障數(shù)據(jù)安全認證的客觀性與公正性,數(shù)據(jù)安全認證機構應具有獨立性����。首先,數(shù)據(jù)安全認證機構同互聯(lián)網(wǎng)企業(yè)間不應有利益關聯(lián)�。在傳統(tǒng)認證的一些領域,認證亂象橫生�����,認證變成了利益交換��?�!罢J證變認錢”并不少見����,“給錢就能過,不給就刁難”�����。對于數(shù)據(jù)安全認證機構資質的規(guī)定�,應特別注意消除企業(yè)型認證機構可能存在的弊端�����。其次,數(shù)據(jù)安全認證機構應獨立于政府��。如果認證機構同政府有關聯(lián)��,會產生諸多消極后果����。其一,可能會導致“認證變管理”��,甚至導致“認證異化為審批”����。其二,可能會引發(fā)利益輸送�、權錢交易等腐敗行為。其三�����,不利于提高認證服務效率與質量�。
認證機構應具有高度專業(yè)性。數(shù)據(jù)安全認證不同于對普通產品�、服務或管理體系的認證�,認證人員既須精通法律又須熟知數(shù)字科技��。應防止數(shù)據(jù)安全認證機構“有名無實”不承擔實質認證工作�����,變相將認證業(yè)務“轉包”“分包”給相關檢測機構��。
客觀公正的數(shù)據(jù)安全認證不僅有賴于獨立����、專業(yè)的認證機構,而且需要科學合理的認證機制��。應當保障認證過程具有充分的透明性和公眾參與度����。對于數(shù)據(jù)安全的認證標準,除了包括具有強制力的國家法律規(guī)范��,還應包括國家推薦性標準�、行業(yè)標準、國際通用標準�����、認證機構制定的標準等�。
在數(shù)據(jù)安全認證的時間跨度上,既應對互聯(lián)網(wǎng)企業(yè)過去合理期間內守法合規(guī)情況進行審查��,也應對認證當時的組織機構設置�����、人員配備�����、隱私政策����、技術措施等數(shù)據(jù)安全保障制度作出評估。跟蹤監(jiān)督對于數(shù)據(jù)安全認證尤其重要�,因為數(shù)字科技瞬息萬變,網(wǎng)絡安全新隱患不斷出現(xiàn)�。“認證即過時”可能是常態(tài)����。而且,網(wǎng)絡服務��、數(shù)字產品更新?lián)Q代很快,被認證對象在獲得認證后會有很多新辦法濫用數(shù)據(jù)�。
數(shù)據(jù)安全認證有一定的特殊性,應科學合理確立數(shù)據(jù)安全認證機構的法律責任����。數(shù)據(jù)安全認證機構的責任,主要分為數(shù)據(jù)安全認證責任和認證后的跟蹤監(jiān)督責任����,分別對應相應的賠償責任和連帶責任。對于數(shù)據(jù)安全認證的歸責原則����,應確立過錯責任原則,而非嚴格責任原則����。為了更好地保障數(shù)據(jù)安全認證的客觀準確性,應加強對數(shù)據(jù)安全認證違法行為的公法責任的設置與追究��。
在深入推進國家治理能力現(xiàn)代化的背景下�����,構建法治化的數(shù)據(jù)安全認證體制機制,不僅是保障數(shù)據(jù)安全的現(xiàn)實需要�,而且是彌補數(shù)字時代政府規(guī)制缺陷的迫切需求。面對數(shù)字經濟日新月異的新業(yè)態(tài)����、新科技�,傳統(tǒng)的政府規(guī)制往往“捉襟見肘、力不從心”�。作為第三方規(guī)制的數(shù)據(jù)安全認證,可以彌補數(shù)字時代政府規(guī)制的缺陷�����,減輕政府保障數(shù)據(jù)安全的公共任務負擔����。然而,無論是政府規(guī)制�,還是企業(yè)的自我規(guī)制,抑或第三方規(guī)制�����,都各自存在難以克服的內在缺陷����。
在數(shù)據(jù)成為新生產要素的數(shù)字時代�����,需要政府��、互聯(lián)網(wǎng)企業(yè)�����、數(shù)據(jù)安全認證機構�、網(wǎng)絡用戶�����、社會公眾等多方主體開展公私合作治理��,全面落實各自的主體責任��,協(xié)同完成促進網(wǎng)絡數(shù)據(jù)開發(fā)利用與保障網(wǎng)絡數(shù)據(jù)安全的公共任務����,以促進數(shù)字經濟高質量發(fā)展。
(作者劉權系中央財經大學法學院副院長��、教授、博士生導師��,中央財經大學數(shù)字經濟與法治研究中心執(zhí)行主任)
編輯:李立娟
法治號
