查看原文
其他

数据安全 | GDPR数据保护认证制度系列之一:GDPR数据保护认证制度概述

曹杨欣柳 LEGAL EYE 看法见法 2024-01-09

关键词:区块链;人工智能;大数据;智能合约;涉外法律服务;专业律师


本期关键词:数据安全;GDPR;数据认证;跨境;个人信息


本文约5256字,大概需要阅读8分钟。



一、GDPR数据认证目标

欧盟数据认证的目标是鼓励成员国及其数据保护机构、欧盟数据理事会以及欧盟委员会在欧盟层面建立数据保护认证机制,以证明数据控制者和处理者的数据处理操作过程遵循 GDPR 的规定,同时兼顾到中小微企业的特殊需求。[i]
二、GDPR数据认证具体规定
欧盟 GDPR 在数据认证机制设计上采取接纳、开放的态度,建立了数据保护机构监管下的第三方认证机制。第 42、43 条是数据保护认证机制的基石,并由第 57、58、64、70、83 条进行补充,明确了数据保护认证的目标,并对认证程序、认证机构及其监督机制提出了基本要求。
欧盟GDPR第42条和第43条规定了对数据控制者和处理者的数据处理操作进行合规性认证的制度,提出了认证框架、明确了相关角色。第42(1)款规定:“成员国、监管机构、欧盟数据保护委员会和欧盟委员会应鼓励建立数据保护认证机制,设立数据保护印章、标识,特别是欧盟级别的印章和标识,以便证明数据控制者和处理者的数据处理操作符合本条例要求。应考虑中小微型企业的特定需求。”第43(1)款规定:“在不减损第57、58条所述监管机构的任务和权力的情况下,在数据保护方面具有相应专业水平的认证组织可在告知有权限的监管机构后(以便其根据第58条(2)(h)项行使自身权力)签发和续期认证。成员国应确保这些认证组织获得以下机构(至少其中一类)的认可:(a)第55,56条所述,有权限的监管机构;(b)根据欧盟议会、欧盟委员会第765/2008号条例指定的国家认可机构,依据EN-ISO/IEC17065/2012标准规定和本条例第55,56条所述有权限的监管机构所提附加要求.”
三、GDPR数据认证相关角色职能
GDPR数据保护认证机制涉及的角色主要包括:数据控制者或处理者、认证机构、国家认可机构(NAB)、数据保护监管机构(DPA)、欧盟数据保护委员会(EDPB)和欧盟委员会。[ii]

(一)数据控制者或处理者

自愿申请对其数据处理操作进行认证,向认证机构提供必要信息和对其数据处理活动的访问权。
(二)认证机构
基于认证方案和通过审批的认证标准颁发、审查、更新和撤销认证;有权制定认证标准草案,提请DPA(如为国家级认证标准)或EDPB(如为欧盟通用认证标准)批准。在发证、续期或撤销认证前,认证机构通知监管机构,以便监管机构行使相应职权。

(三)国家认可机构(NAB)

在成员国指定由NAB进行认可的模式下,根据EN-ISO/IEC17065/2012标准和监管机构提出的附加要求对认证机构进行认可或撤销认可。各成员国根据欧盟第765/2008号条例(认可条例)指定本国的国家认可机构。
(四)数据保护监管机构(DPA)
DPA承担以下几方面职能:一是认证职能,DPA自身有权颁发、审查、更新和撤销认证;二是监管职能,负责批准认证标准(不包括欧盟通用认证标准)、了解认证机构签发的认证、定期对本机构签发的认证进行复查、有权要求认证机构不得颁发某个认证或撤销其已颁发的认证;三是认可职能,起草和发布认可要求、在成员国指定DPA承担该国认可职能的情况下对其辖区内的认证机构进行认可或撤销认可。
(五)欧盟数据保护委员会(EDPB)
EDPB主要负责批准欧盟通用认证的标准、以及负责核对、登记欧盟所有的数据保护认证机制、印章和标识,并以适当方式向公众公开。EDPB根据条例第70(1)(q)项和第43(8)款,就认证要求向欧盟委员会提出意见建议。
(六)欧盟委员会
GDPR第42、43条以及其他相关要求解决了GDPR认证机制的一些重点问题,但是规定的并不全面。为确保认证认可机制的顺利推行和统一实施,GDPR为欧盟委员会预留了相关权限,具体如下:一是欧盟委员会应鼓励建立认证机制,特别是欧盟通用认证;二是欧盟委员会有权采用规章条例来明确GDPR认证机制的相关要求,即对认证机制进行补充;三是欧盟委员会有权采用实施细则来明确技术标准,包括认证机制、数据保护印章和标识使用的技术标准,以及用于认证机制、印章与标识推广和互认的技术标准。



[i]京东法律研究院,欧盟数据宪章———《一般数据保护条例》(GDPR)评述及实务指引。

[ii]解彦曦,张弛,欧盟《通用数据保护条例》数据保护认证制度研究。



陆续更新,敬请期待



版权归闪涛律师团队所有,未经许可不得转载。

如认为本文侵犯版权,请及时联系闪涛律师团队。



往期回顾

数据安全

数据安全 | 金融数据安全的标准来了!

数据安全 | 欧洲数据保护委员会EDPB:澄清域外适用与数据跨境传输条款间的相互作用

数据安全 | Vodafone因违反GDPR被西班牙数据保护局罚款4万欧元

数据安全 | 脸书前员工出席欧洲议会听证会,欧盟数字监管步伐加速?

数据安全  |  浅析欧美跨境数据管辖权

数据安全 | 工信部促企业建立个人信息保护“双清单”制度

数据安全 |  网信办拟出规定严管算法推荐:不得利用算法实施流量造假控制热搜

数据安全|最高院明确对于人脸识别技术的民事司法裁判规则, 扩宽个人信息保护救济途径

大数据收集的法律风险

数据安全 | 如何识别关键信息基础设施边界

数据安全 |  步步为营—中国企业“走出去”跨境数据合规要点与步骤

数据安全 | 俄罗斯对Whatsapp违反个人数据法提起行政诉讼

数据安全 | 欧盟对cookie使用的法律规制

数据安全|个人信息处理中的“同意撤回权”

数据安全|网络爬虫技术的法律分析

数据安全|数据侵权问题监管趋势

数据安全 | 售楼处人脸识别系统合规吗?

欧盟数据监管如何救济?

数字人民币的4大法律问题

GDPR赋予数据主体的权利

中国《数据安全法》VS欧盟GDPR

《数据安全法》《网络安全法》《个人信息保护法》的比较分析

数据安全之数据分类分级保护制度

精炼!一文了解《数据安全法》

《数据安全法》中的三大主要变化

欧盟数据监管是谁在执行?

数字人民币的三大优势

美国个人信息保护制度简述

《信息安全技术人脸识别数据安全要求》国家标准征求意见稿 都说了啥?

系列 | 个人信息保护之二:个人信息保护法的基本原则

《数据安全法》二审稿中的三大变化

《个人信息保护法(草案二审稿)》的三大变化

系列|个人信息保护之一:什么是个人信息?

人脸识别需谨慎,个人信息要保护

人脸识别技术下隐私成为奢侈品:谁来保护我们的“脸”?

中国与阿盟发表《中阿数据安全合作倡议》

四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》


涉外法律

涉外法律 | 澳大利亚发布首个消费者数据权利隐私评估

涉外法律|GDPR案例之匈牙利

涉外法律|GDPR案例之挪威

GDPR案例之波兰

GDPR案例之奥地利

GDPR经典案例之捷克

GDPR经典案例之瑞典

涉外法律 | 美国联邦贸易委员会更新金融机构网络安全保障措施规则

涉外法律 | 欧盟《数据法案》影响评估草案带来的几点启示

涉外法律 | EDPB通过GDPR第23条数据主体权利限制指南

涉外法律 | 美国参议员提出关于安全处理人工智能收集的数据的法案

涉外法律|GDPR经典案例之西班牙

涉外法律|GDPR经典案例之罗马尼亚

涉外法律 | 浅析《欧盟两用物项管制条例》对科技领域企业的影响

涉外法律 | 美国数据跨境活动相关规范

涉外法律 | GDPR典型案例之荷兰

涉外法律 | GDPR典型案例之德国

涉外法律 | 亚马逊“封店”事件的再反思,还有什么可以做?

涉外法律|GDPR典型案例之法国

涉外法律|GDPR典型案例之英国

涉外法律 | CISA指引如何应对勒索软件造成的信息泄露

涉外法律 | 《英国最高法院2021司法年度报告》速览

涉外法律|美国和欧盟对于人脸识别的相关法律规定解读

涉外法律 | 简述美国加州个人隐私保护法案

涉外法律 | 香港私隐公署发布人工智能道德指引

涉外 | 加州公司法剪影——如何在加州注册公司

涉外法律|企业间数据流动中的“三重授权原则”

涉外法律|平台经济的“新”型垄断:轴辐协议

涉外 | 法律英语写作之正确写作:如何写好一份案例摘要

涉外 | 法院及内设部门有正式英文名称了!

涉外法律 | 企业利用投资协定参考指南

涉外法律 | 九个案例为您解析RECP原产地规则

中欧阻断法案比较

热议《阻断外国法律与措施不当域外适用办法》


案例分析

案例分享 | 从蚂蚁微贷诉企查查案看公共数据商业化利用的合法性边界

案例分享 | 广州互联网法院公布涉数据及虚拟财产十大典型案例

案例分享|平台能否根据算法自动化决策进行处罚?看看法院怎么说!

案例分享|管中窥豹:合规之北汽合规管理体系建设

以案说法 |不刷脸不让进小区?

案例分享 | 更新网站隐私政策的法律风险

案例分享|360诉腾讯垄断纠纷案与“假定垄断者测试”

案例分享|优酷诉X浏览器案

案例分享 | 转载已公开的信息侵犯个人信息权吗?

案例分享 | 腾讯音乐版权案——平台经济反垄断新变化

案例分享 | iTunes反垄断案——独家音乐版权是垄断吗?

案例分享 |  大众点评网数据信息不正当竞争纠纷案——数据信息使用行为是否构成不正当竞争的司法认定

案例分享|“电视猫”视频聚合软件不正当竞争纠纷行为保全案

案例分享|德国Adblock Plus白名单案

案例分享|从携程被罚看数据侵权的法律意义

案例分享 | 欧美数据跨境的角力:Facebook诉DPC被驳回

以案说法:比特币能否成为诈骗罪的犯罪对象?

以案说法:全国首例比特币仲裁裁决违反社会公共利益被撤销


立法动态

新法速递 |《上海市数据条例》公布 自2022年1月1日起施行

新闻速递 | 网信办发布《网络数据安全管理条例》(征求意见稿)

立法动态  | 国家互联网信息办公室就《数据出境安全评估办法(征求意见稿)》公开征求意见

新闻速递|《粤港澳大湾区“跨境理财通”业务试点实施细则 》正式发布,一起来看看吧!

立法动态 |蹭热点:《个人信息保护法》个人信息处理者应当遵循的十一条义务

立法动态 | 蹭热点:《个人信息保护法》的八个“不得”

立法动态 | 《关键信息基础设施安全保护条例》,网络安全保护再添坚强后盾

立法动态 | 深圳市、广州市首席数据官制度试点方案出台(全文与简评)

立法动态 |  《全国医疗机构网络信息安全管理办法》即将出台

立法动态|浙江省发布《数字化改革 公共数据分类分级指南》省级地方标准

立法动态|速递!人脸识别,看最高人民法院怎么说?

立法动态 | 《数字经济对外投资合作工作指引》速览

立法动态 |  上海经信委发布“关于《上海市智能网联汽车测试与示范实施办法(征求意见稿)》公开征询意见的公告

立法动态 | 国家互联网信息办公室发布《网络安全审查办法(修订草案征求意见稿)》

立法动态 | 《关于防范虚拟货币交易活动的风险提示》

立法动态 | 人社部发布《电子劳动合同订立指引》

立法动态 | 重罚防治大数据杀熟

立法动态 | 国内数据领域首部综合性立法-《深圳经济特区数据条例》正式公布

精要解读:《深圳市电子劳动合同争议处理规则(试行)》出台

《信息安全技术人脸识别数据安全要求》(征求意见稿)发布

全国人大法工委举行记者会公布数据安全法草案、个人信息保护法草案最新修改内容

欧盟理事会发布《电子隐私条例2021》


新闻速递

新闻快递 | 让数据成为资产,上海数据交易所正式揭牌!

新闻速递 | 党的十九大以来网络法治典型案事例

新闻速递 | 工信部:下架540款拒不整改的APP,高压震慑违规行为

新闻速递 | 新浪因拒绝许可数据被诉数据垄断

新闻速递  | 中方正式提出申请加入《数字经济伙伴关系协定》(DEPA)

新闻速递 | 国家安全部公布三起危害重要数据安全案例

新闻速递 | DDTP分布式数据传输协议助力个人信息可携带权落地

新闻速递|《国家标准化发展纲要》发布!未来15年我国标准化发展设定目标和蓝图敲定

新闻速递|腾讯安全《车联网数据安全体系建设指南》正式发布!一起来看看吧!

《浙江省电子商务条例》明确“大数据杀熟”认定标准

新闻速递 | 马斯克:特斯拉车主所有个人身份信息都安全地存储在中国国内

新闻速递 | 工信部就《工业和信息化领域数据安全管理办法(试行)》公开征求意见

新闻速递 | 美国民主党议员敦促联邦贸易委员会制定隐私规则

新闻速递 | WhatsApp对DPC的GDPR罚款提出上诉

新闻速递 | 全国首个涉数据纠纷专业合议庭在广州挂牌成立

新闻速递|CPTPP文本目录与加入程序(附官方中英对照PDF全文)

新闻速递 | WhatsApp或将被罚2亿多欧元

胡安明无罪!美“中国行动计划”首例胜诉

新闻速递 | “一国两制”的新实践之“横琴方案”

新闻速递|“一国两制”的新实践之“前海方案”

新闻动态 |  深圳拟设数据交易场所

新闻速递 |  工信部:加强智能网联汽车数据安全管理

新闻速递 | Zoom同意就隐私诉讼支付8500万美元与用户和解

新闻速递 | 菲律宾国家隐私委员会发布实施ISO隐私标准的建议

新闻速递 | 亚马逊因数据泄露面临 8.88 亿美元处罚

新闻速递 | APP开屏弹窗问题整治

行业政策 | 2021年6月中国各省区块链与数字人民币政策速览

人民日报:央行数字货币研发持续推进

速递:公益诉讼与个人信息保护

简评 |  关于腾讯手机管家等84款App违法违规收集使用个人信息情况的通报

全球首个区块链电子发票国际标准诞生

速看热点 | 区块链国内动态速览

新闻速递:近期区块链若干动态

Visa允许客户在传统银行购买和出售数字资产

算力时代下,新计算产业正在成为数字经济的核心驱动产业

速看热点  |  区块链国内动态速览

全国人大常委会法工委:深入研究论证人脸识别等有关问题


其他文章

直播间运营者和直播营销人员的八大合规责任

直播营销平台的十大义务

“十四五”规划与区块链的那些事儿:加快数字发展,建设数字中国

Ripple:XRP是虚拟货币而非证券

案例回顾 | 不用打官司,为客户追回数百万元货款

实用建议七则:企业视角下的区域全面经济伙伴关系协定(RCEP)原产地规则

2020,国内区块链行业发生了这十件大事!

国内区块链政策速览

年末回顾 | LEGAL EYE 2020年区块链与法推文检索目录


继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存