(资料图片)

在数据成为新的生产要素的背景下，为了使数据安全认证真正能够客观、公正地发挥第三方评定职能，防止认证机构被互联网企业“俘获”或成为政府的“附庸”，需要对数据安全认证体制机制进行整体的法治构建。

对于中国的数据安全认证，宜实行自愿认证和强制认证相结合。其一，尽管数据安全认证对于个人、互联网企业、政府等都有诸多价值，但如果一律实行强制认证，不但会违背认证的第三方评定本质，使得认证异化为另一种形式的审批，而且还会给认证对象造成一定的负担。其二，限定条件实行数据安全强制认证，更有利于保障数据安全。中国目前数据滥用现象还比较突出，数据安全法律体系并不健全，部分领域实行强制性认证，可以为网络用户提供必要的辨明信息，减少重要数据的安全风险。其三，数据安全自愿认证和强制认证相结合，更符合中国认证的法治实践。

实证研究表明，强制认证可以增强创新能力、提升管理能力和增加自愿认证，“对企业生产率具有显著正效应”。《个人信息保护法》对某些信息处理行为，实际上已经确立了强制认证制度。其第38条规定，个人信息处理者因业务等需要向境外提供个人信息的，应当“经专业机构进行个人信息保护认证”。为了更符合中国国情，为了更好地保障数据安全并促进数字经济的规范健康发展，宜实行自愿为主、强制为辅的数据安全认证制度。

可以根据新经济的不同业态和不同的数据处理行为，区分场景确立是否应当强制认证。对于事关个人、组织重要权利的一些重要数据或敏感数据的处理，或许需要进行强制认证。国家对于数据安全强制认证，应定期发布统一目录，统一相关技术标准和合格评定程序，统一认证标志，统一收费标准。强制认证可以弥补自愿认证的不足，有助于防范重大风险，防止造成难以挽回的损害。然而，强制认证只应当是特定阶段的产物。随着“放管服”改革的不断推进和认证制度的不断发展成熟，数据安全强制认证的范围应当不断缩小。

对于申请数据安全认证的条件，需要做一些否定性的排除规定。如果在过去合理期间内发生过数据安全违法违规事件，或存在相关认证标志被撤销等情形，应禁止在特定时期内申请认证。

数字认证的统一认证管理系统已深度应用于“互联网 + 政务”业务，为“数字政府”推进数字化共性应用集约建设提供技术支撑，通过统一的帐号管理，实行分级授权管理，提供“各职其责、杜绝越权”的资源保护等服务，为“数字政府”一体化集约化数字基础设施建设、共性应用支撑能力提升及数字化全面发展添砖加瓦。

数据安全评估咨询电话：18522423120；18302248315

关键词：