一、GDPR數(shù)據(jù)認(rèn)證目標(biāo)

歐盟數(shù)據(jù)認(rèn)證的目標(biāo)是鼓勵(lì)成員國(guó)及其數(shù)據(jù)保護(hù)機(jī)構(gòu)、歐盟數(shù)據(jù)理事會(huì)以及歐盟委員會(huì)在歐盟層面建立數(shù)據(jù)保護(hù)認(rèn)證機(jī)制，以證明數(shù)據(jù)控制者和處理者的數(shù)據(jù)處理操作過(guò)程遵循 GDPR 的規(guī)定，同時(shí)兼顧到中小微企業(yè)的特殊需求。[i]二、GDPR數(shù)據(jù)認(rèn)證具體規(guī)定歐盟 GDPR 在數(shù)據(jù)認(rèn)證機(jī)制設(shè)計(jì)上采取接納、開(kāi)放的態(tài)度，建立了數(shù)據(jù)保護(hù)機(jī)構(gòu)監(jiān)管下的第三方認(rèn)證機(jī)制。第 42、43 條是數(shù)據(jù)保護(hù)認(rèn)證機(jī)制的基石，并由第 57、58、64、70、83 條進(jìn)行補(bǔ)充，明確了數(shù)據(jù)保護(hù)認(rèn)證的目標(biāo)，并對(duì)認(rèn)證程序、認(rèn)證機(jī)構(gòu)及其監(jiān)督機(jī)制提出了基本要求。歐盟GDPR第42條和第43條規(guī)定了對(duì)數(shù)據(jù)控制者和處理者的數(shù)據(jù)處理操作進(jìn)行合規(guī)性認(rèn)證的制度，提出了認(rèn)證框架、明確了相關(guān)角色。第42(1)款規(guī)定：“成員國(guó)、監(jiān)管機(jī)構(gòu)、歐盟數(shù)據(jù)保護(hù)委員會(huì)和歐盟委員會(huì)應(yīng)鼓勵(lì)建立數(shù)據(jù)保護(hù)認(rèn)證機(jī)制，設(shè)立數(shù)據(jù)保護(hù)印章、標(biāo)識(shí)，特別是歐盟級(jí)別的印章和標(biāo)識(shí)，以便證明數(shù)據(jù)控制者和處理者的數(shù)據(jù)處理操作符合本條例要求。應(yīng)考慮中小微型企業(yè)的特定需求。”第43(1)款規(guī)定：“在不減損第57、58條所述監(jiān)管機(jī)構(gòu)的任務(wù)和權(quán)力的情況下，在數(shù)據(jù)保護(hù)方面具有相應(yīng)專(zhuān)業(yè)水平的認(rèn)證組織可在告知有權(quán)限的監(jiān)管機(jī)構(gòu)后（以便其根據(jù)第58條(2)(h)項(xiàng)行使自身權(quán)力）簽發(fā)和續(xù)期認(rèn)證。成員國(guó)應(yīng)確保這些認(rèn)證組織獲得以下機(jī)構(gòu)（至少其中一類(lèi)）的認(rèn)可：(a)第55，56條所述，有權(quán)限的監(jiān)管機(jī)構(gòu)；(b)根據(jù)歐盟議會(huì)、歐盟委員會(huì)第765/2008號(hào)條例指定的國(guó)家認(rèn)可機(jī)構(gòu)，依據(jù)EN-ISO/IEC17065/2012標(biāo)準(zhǔn)規(guī)定和本條例第55，56條所述有權(quán)限的監(jiān)管機(jī)構(gòu)所提附加要求．”三、GDPR數(shù)據(jù)認(rèn)證相關(guān)角色職能GDPR數(shù)據(jù)保護(hù)認(rèn)證機(jī)制涉及的角色主要包括：數(shù)據(jù)控制者或處理者、認(rèn)證機(jī)構(gòu)、國(guó)家認(rèn)可機(jī)構(gòu)（NAB）、數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)（DPA）、歐盟數(shù)據(jù)保護(hù)委員會(huì)（EDPB）和歐盟委員會(huì)。[ii]

（一）數(shù)據(jù)控制者或處理者

自愿申請(qǐng)對(duì)其數(shù)據(jù)處理操作進(jìn)行認(rèn)證，向認(rèn)證機(jī)構(gòu)提供必要信息和對(duì)其數(shù)據(jù)處理活動(dòng)的訪問(wèn)權(quán)。（二）認(rèn)證機(jī)構(gòu)基于認(rèn)證方案和通過(guò)審批的認(rèn)證標(biāo)準(zhǔn)頒發(fā)、審查、更新和撤銷(xiāo)認(rèn)證；有權(quán)制定認(rèn)證標(biāo)準(zhǔn)草案，提請(qǐng)DPA（如為國(guó)家級(jí)認(rèn)證標(biāo)準(zhǔn)）或EDPB（如為歐盟通用認(rèn)證標(biāo)準(zhǔn)）批準(zhǔn)。在發(fā)證、續(xù)期或撤銷(xiāo)認(rèn)證前，認(rèn)證機(jī)構(gòu)通知監(jiān)管機(jī)構(gòu)，以便監(jiān)管機(jī)構(gòu)行使相應(yīng)職權(quán)。

（三）國(guó)家認(rèn)可機(jī)構(gòu)（NAB）

在成員國(guó)指定由NAB進(jìn)行認(rèn)可的模式下，根據(jù)EN-ISO/IEC17065/2012標(biāo)準(zhǔn)和監(jiān)管機(jī)構(gòu)提出的附加要求對(duì)認(rèn)證機(jī)構(gòu)進(jìn)行認(rèn)可或撤銷(xiāo)認(rèn)可。各成員國(guó)根據(jù)歐盟第765/2008號(hào)條例（認(rèn)可條例）指定本國(guó)的國(guó)家認(rèn)可機(jī)構(gòu)。（四）數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)（DPA）DPA承擔(dān)以下幾方面職能：一是認(rèn)證職能，DPA自身有權(quán)頒發(fā)、審查、更新和撤銷(xiāo)認(rèn)證；二是監(jiān)管職能，負(fù)責(zé)批準(zhǔn)認(rèn)證標(biāo)準(zhǔn)（不包括歐盟通用認(rèn)證標(biāo)準(zhǔn)）、了解認(rèn)證機(jī)構(gòu)簽發(fā)的認(rèn)證、定期對(duì)本機(jī)構(gòu)簽發(fā)的認(rèn)證進(jìn)行復(fù)查、有權(quán)要求認(rèn)證機(jī)構(gòu)不得頒發(fā)某個(gè)認(rèn)證或撤銷(xiāo)其已頒發(fā)的認(rèn)證；三是認(rèn)可職能，起草和發(fā)布認(rèn)可要求、在成員國(guó)指定DPA承擔(dān)該國(guó)認(rèn)可職能的情況下對(duì)其轄區(qū)內(nèi)的認(rèn)證機(jī)構(gòu)進(jìn)行認(rèn)可或撤銷(xiāo)認(rèn)可。

（五）歐盟數(shù)據(jù)保護(hù)委員會(huì)（EDPB）EDPB主要負(fù)責(zé)批準(zhǔn)歐盟通用認(rèn)證的標(biāo)準(zhǔn)、以及負(fù)責(zé)核對(duì)、登記歐盟所有的數(shù)據(jù)保護(hù)認(rèn)證機(jī)制、印章和標(biāo)識(shí)，并以適當(dāng)方式向公眾公開(kāi)。EDPB根據(jù)條例第70(1)(q)項(xiàng)和第43(8)款，就認(rèn)證要求向歐盟委員會(huì)提出意見(jiàn)建議。

（六）歐盟委員會(huì)GDPR第42、43條以及其他相關(guān)要求解決了GDPR認(rèn)證機(jī)制的一些重點(diǎn)問(wèn)題，但是規(guī)定的并不全面。為確保認(rèn)證認(rèn)可機(jī)制的順利推行和統(tǒng)一實(shí)施，GDPR為歐盟委員會(huì)預(yù)留了相關(guān)權(quán)限，具體如下：一是歐盟委員會(huì)應(yīng)鼓勵(lì)建立認(rèn)證機(jī)制，特別是歐盟通用認(rèn)證；二是歐盟委員會(huì)有權(quán)采用規(guī)章條例來(lái)明確GDPR認(rèn)證機(jī)制的相關(guān)要求，即對(duì)認(rèn)證機(jī)制進(jìn)行補(bǔ)充；三是歐盟委員會(huì)有權(quán)采用實(shí)施細(xì)則來(lái)明確技術(shù)標(biāo)準(zhǔn)，包括認(rèn)證機(jī)制、數(shù)據(jù)保護(hù)印章和標(biāo)識(shí)使用的技術(shù)標(biāo)準(zhǔn)，以及用于認(rèn)證機(jī)制、印章與標(biāo)識(shí)推廣和互認(rèn)的技術(shù)標(biāo)準(zhǔn)。

咨詢辦理認(rèn)證：19935569065（同微信）