一、GDPR數(shù)據(jù)認證目標

歐盟數(shù)據(jù)認證的目標是鼓勵成員國及其數(shù)據(jù)保護機構、歐盟數(shù)據(jù)理事會以及歐盟委員會在歐盟層面建立數(shù)據(jù)保護認證機制，以證明數(shù)據(jù)控制者和處理者的數(shù)據(jù)處理操作過程遵循 GDPR 的規(guī)定，同時兼顧到中小微企業(yè)的特殊需求。[i]二、GDPR數(shù)據(jù)認證具體規(guī)定歐盟 GDPR 在數(shù)據(jù)認證機制設計上采取接納、開放的態(tài)度，建立了數(shù)據(jù)保護機構監(jiān)管下的第三方認證機制。第 42、43 條是數(shù)據(jù)保護認證機制的基石，并由第 57、58、64、70、83 條進行補充，明確了數(shù)據(jù)保護認證的目標，并對認證程序、認證機構及其監(jiān)督機制提出了基本要求。歐盟GDPR第42條和第43條規(guī)定了對數(shù)據(jù)控制者和處理者的數(shù)據(jù)處理操作進行合規(guī)性認證的制度，提出了認證框架、明確了相關角色。第42(1)款規(guī)定：“成員國、監(jiān)管機構、歐盟數(shù)據(jù)保護委員會和歐盟委員會應鼓勵建立數(shù)據(jù)保護認證機制，設立數(shù)據(jù)保護印章、標識，特別是歐盟級別的印章和標識，以便證明數(shù)據(jù)控制者和處理者的數(shù)據(jù)處理操作符合本條例要求。應考慮中小微型企業(yè)的特定需求。”第43(1)款規(guī)定：“在不減損第57、58條所述監(jiān)管機構的任務和權力的情況下，在數(shù)據(jù)保護方面具有相應專業(yè)水平的認證組織可在告知有權限的監(jiān)管機構后（以便其根據(jù)第58條(2)(h)項行使自身權力）簽發(fā)和續(xù)期認證。成員國應確保這些認證組織獲得以下機構（至少其中一類）的認可：(a)第55，56條所述，有權限的監(jiān)管機構；(b)根據(jù)歐盟議會、歐盟委員會第765/2008號條例指定的國家認可機構，依據(jù)EN-ISO/IEC17065/2012標準規(guī)定和本條例第55，56條所述有權限的監(jiān)管機構所提附加要求．”三、GDPR數(shù)據(jù)認證相關角色職能GDPR數(shù)據(jù)保護認證機制涉及的角色主要包括：數(shù)據(jù)控制者或處理者、認證機構、國家認可機構（NAB）、數(shù)據(jù)保護監(jiān)管機構（DPA）、歐盟數(shù)據(jù)保護委員會（EDPB）和歐盟委員會。[ii]

（一）數(shù)據(jù)控制者或處理者

自愿申請對其數(shù)據(jù)處理操作進行認證，向認證機構提供必要信息和對其數(shù)據(jù)處理活動的訪問權。（二）認證機構基于認證方案和通過審批的認證標準頒發(fā)、審查、更新和撤銷認證；有權制定認證標準草案，提請DPA（如為國家級認證標準）或EDPB（如為歐盟通用認證標準）批準。在發(fā)證、續(xù)期或撤銷認證前，認證機構通知監(jiān)管機構，以便監(jiān)管機構行使相應職權。

（三）國家認可機構（NAB）

在成員國指定由NAB進行認可的模式下，根據(jù)EN-ISO/IEC17065/2012標準和監(jiān)管機構提出的附加要求對認證機構進行認可或撤銷認可。各成員國根據(jù)歐盟第765/2008號條例（認可條例）指定本國的國家認可機構。（四）數(shù)據(jù)保護監(jiān)管機構（DPA）DPA承擔以下幾方面職能：一是認證職能，DPA自身有權頒發(fā)、審查、更新和撤銷認證；二是監(jiān)管職能，負責批準認證標準（不包括歐盟通用認證標準）、了解認證機構簽發(fā)的認證、定期對本機構簽發(fā)的認證進行復查、有權要求認證機構不得頒發(fā)某個認證或撤銷其已頒發(fā)的認證；三是認可職能，起草和發(fā)布認可要求、在成員國指定DPA承擔該國認可職能的情況下對其轄區(qū)內(nèi)的認證機構進行認可或撤銷認可。

（五）歐盟數(shù)據(jù)保護委員會（EDPB）EDPB主要負責批準歐盟通用認證的標準、以及負責核對、登記歐盟所有的數(shù)據(jù)保護認證機制、印章和標識，并以適當方式向公眾公開。EDPB根據(jù)條例第70(1)(q)項和第43(8)款，就認證要求向歐盟委員會提出意見建議。

（六）歐盟委員會GDPR第42、43條以及其他相關要求解決了GDPR認證機制的一些重點問題，但是規(guī)定的并不全面。為確保認證認可機制的順利推行和統(tǒng)一實施，GDPR為歐盟委員會預留了相關權限，具體如下：一是歐盟委員會應鼓勵建立認證機制，特別是歐盟通用認證；二是歐盟委員會有權采用規(guī)章條例來明確GDPR認證機制的相關要求，即對認證機制進行補充；三是歐盟委員會有權采用實施細則來明確技術標準，包括認證機制、數(shù)據(jù)保護印章和標識使用的技術標準，以及用于認證機制、印章與標識推廣和互認的技術標準。

咨詢辦理認證：19935569065（同微信）