2022年6月9日，国家市场监督管理总局、国家互联网信息办公室发布了《关于开展数据安全管理认证工作的公告》，在数据成为新的生产要素的背景下，为了使数据安全认证真正能够客观、公正地发挥第三方评定职能，需要对数据安全认证体制机制进行整体的法治构建。

【资料图】

个人信息是数字时代涉及面最为广泛的数据，本文将主要以个人信息保护为视角，对数据安全认证的必要性、认证机构资质、认证机制运行、认证与政府规制的关系等问题进行系统研究，以期探索数据安全认证的法治之道。

01

数据安全认证的界定及价值

(一)数据安全认证：第三方规制

数据安全认证，是指由认证机构证明网络服务、数据产品、管理体系等符合相关法律规范、技术标准、行业准则的评定活动，也称为信息安全认证。数据安全认证主要面向数字经济产业，通过第三方机构客观评定互联网企业数据处理行为的安全性，以提升互联网企业的数据安全保障水平。

(二)数据安全认证的时代价值

其一，数据安全认证有利于引导、激励数据处理者不断提高数据安全保障水平。

其二，数据安全认证可以增强用户对中小微互联网企业和新兴数字产业的信任感。

其三，数据安全认证可以避免政府严格的检查监控，可以缓解政府设定更严厉的法律义务与责任的压力，防止政府出于保障数据安全实施“一刀切”的规制而阻碍数字科技的创新。

其四，数据安全认证发挥着声誉评价的功能，可以运用专业知识帮助用户作出更好的选择，有利于满足社会公众多元的数据安全需求。

02

数据安全认证实施程序和认证标准

数据安全认证行为具有公共性，不仅直接关系到个人信息安全，而且对整个数据要素市场的安全性与诚信度会产生直接影响。为了有效保障数据安全认证的客观性与公正性，更好地实现其第三方规制功能，需要科学合理确定认证机构的资质。

(一)数据安全认证机构应具有独立性

首先，数据安全认证机构应具有独立性，同互联网企业间不应存在利益关联。对于数据安全认证机构资质的规定，应特别注意消除企业型认证机构可能存在的弊端。

(二)认证机构应具有高度专业性

数据安全认证是一项专业性极强的工作，只有符合相应专业资质并得到政府认可的机构，才能从事认证工作。当前数据滥用违法犯罪行为种类多样且日新月异，具有极强的隐蔽性与复杂性。数据安全认证不同于对普通产品、服务或管理体系的认证，认证人员既须精通法律又须熟知数字科技。没有高度专业性的认证机构，难以作出权威客观的认证。

数据安全认证机构可以通过同检测机构合作，弥补自身专业性不足。为了更高效、更负责任地开展数据安全认证工作，应不断提高认证机构的专业知识与技术能力，逐渐实现认证机构与检测机构的合一。

协

会

总

结

数据安全认证工作，主要从法律法规以及标准层面，严格规范了监管的落地及方向，认证工作的推出将增强有关组织对数据安全落地的积极性，以及围数据安全行业提供新路径。企业开展认证工作后，可以证明网络运营者在网络数据处理活动、网络数据安全保护等方面，符合相关标准规范，可以说是对自身数据安全的全方位验证和保障，了解更多详情，可通过后台留言等方式与我们联系。

精彩回顾