首个GDPR认证机制GDPR-CARPA详解
在2022年5月13日的《2022年第15号决定》中,卢森堡数据保护监管机构(CNPD)采用了新的认证机制GDPR-CARPA(General Data Protection Regulation - Certified Assurance Report-Based Processing Activities),使卢森堡成为GDPR(《通用数据保护条例》)下第一个在国家和国际层面采用的认证机制,并将于2022年6月28日14:00举行GDPR-CARPA启动会议。
1. GDPR-CARPA认证机制的制定背景
GDPR-CARPA是GDPR第四十二条规定的认证机制,旨在证明数据持有人和数据处理方个人的数据处理行为符合GDPR的要求。因此,GDPR-CARPA为控制者和处理者提供了认证所涵盖的数据处理活动的高度合规性。
认证机制的实施可以促进GDPR的透明度和合规性,并允许数据主体更好地衡量处理其个人数据的组织所使用或提供的产品、服务、流程或系统的保护程度。GDPR认证机制并不认证一个组织,而是认证具体的处理操作。
利益相关的组织可以根据GDPR-CARPA获得主管认证机构的认证。这些认证机构将由卢森堡CNPD根据CNPD在2020年4月3日发布的《2020年第8号决定》中已通过的标准(卢森堡认证机构的认证要求中第四十三条第一款第a项的规定)进行审批通过。预计卢森堡CNPD将在未来公布此类认证机构的名单。
迄今为止,卢森堡CNPD是唯一采用了GDPR认证机制的欧洲监管机构。作为制定这些认证标准的实体,卢森堡CNPD是该认证机制的所有者。卢森堡CNPD认为,GDPR-CARPA是与数据保护领域的众多利益相关方多年合作的成果。自GDPR于2018年生效以来,卢森堡CNPD与专业人士进行了多次交流,这有助于确定卢森堡GDPR认证的价值,以及在卢森堡生态系统中可能有用的GDPR认证类型。在与这些行为者的协调下,卢森堡CNPD公布了第一版认证机制。首次就GDPR-CARPA公开征求意见是在2018年6月,欧洲数据保护委员会(EDPB)于2022年2月1日就GDPR-CARPA提出意见(《2022年第1号意见》)。
2. GDPR-CARPA认证机制的适用范围
GDPR-CARPA的认证主体只针对在卢森堡设立的有处理个人数据行为的公司、管理机构、组织或其他实体,其认证对象是申请认证主体实施的个人数据处理活动。
卢森堡CNPD建议根据处理活动的要素从四个级别定义个人信息处理活动:
第1级:定义相关组织及其特定的法律生态系统(例如:金融机构);
第2级:定义处理的情况和目的(例如:人事部门);
第3级:定义用于实现上述目的和功能的应用程序(例如:企业管理人力资源管理模块SAP-HR);
第4级:定义用于此类处理的网络基础架构(例如:Windows、服务器群、Oracle DB数据库)。
卢森堡CNPD声明GDPR-CARPA认证机制不适用于:
证明专门处理16岁以下的未成年人个人信息数据;
证明在共同控制下的个人数据处理活动;
GDPR 第十条规定的处理活动(即处理与刑事定罪和犯罪有关的个人数据);
以及GDPR第三十七条规定的尚未正式设立数据保护官(DPO)的实体。
且GDPR-CARPA认证机制并非GDPR第四十六条第二款第f项所述的用于保护个人数据跨境传输的认证机制。
3. GDPR-CARPA认证适用标准与程序
3.1 标准
GDPR-CARPA认证标准包含了申请认证的实体应遵循的规则。这些实体必须确保其内部措施的设计、实施和运作方式能够使其满足这些认证标准中规定的要求。在认证审核过程中,认证机构应核实这些措施的设计、实施和运行是否符合认证标准所规定的要求。
认证机构的评估任务结构包括:
设计和实施:审核员将检查措施的设计或描述文件,并核实理论上这一措施是否能满足按照认证标准的要求,并核实其设计是否符合认证标准。
操作有效性:在检查了一项措施的设计和实施后,审计师将通过观察、评估、抽样、访谈、链接(如用接口)等方式,检查实践中控制或措施是否满足要求和文件的规定,从而核验措施的有效性。
如果一项标准不适用于实体内的特定环境,认证机构将说明并记录不适用的原因。
此外,可以参考EDPB发布的《GDPR说明指南》(RGPD)的要求,RGPD于2018年5月25日生效在全欧盟范围内建立了平等处理数据的框架。例如,用于组织和技术措施的设计和实际执行,但应注意,在GDPR-CARPA认证方面,实体必须严格遵守认证标准才能获得认证。
在卢森堡,CNPD对将发布GDPR所涵盖的实体进行认证。卢森堡CNPD为这些认证机构制定的关于GDPR-CARPA的认证标准是基于《国际鉴证业务准则第3000号(修订版)——除历史财务信息审核或复核之外的鉴证业务》(ISAE 3000)、《国际质量控制准则第1号》(ISQC 1)(会计师事务所层面的质量管理)和《对产品、过程和服务认证机构的要求》(ISO 17065)。这些认证标准框定了认证实体和专业审计人员所做的工作。
其中,根据大数据治理公会数据治理评估标准,国际审计与鉴证准则理事会(IAASB)于2013年12月9日更新并发布的《国际鉴证业务准则第3000号(修订版)——除历史财务信息审核或复核之外的鉴证业务》(ISAE 3000)涵盖了各种鉴证业务,从内控有效性报告鉴证到可持续发展报告鉴证以及未来可能开展的综合报告鉴证业务。在ISAE 3000的报告框架下,允许使用适当的特定主体标准,例如数据治理评估标准。根据ISAE 3000的要求,数据治理评估标准具有合适性,即满足相关性、完整性、可靠性、中立性和可理解性,以及可获得性,即报告使用者可以通过公开途径或者在特定主体信息或鉴证报告中获得。基于ISAE 3000使GDPR-CARPA认证机制符合控制和处理数据的正确方式,且审计师需要承担正式的责任。这使认证机制更可信,也是让相关行为者,最重要的是让数据主体新人认证机制所认证的个人数据处理活动的关键所在。
卢森堡CNPD批准的GDPR-CARPA认证机制分为三个部分:
第一部分认证申请实体的一般数据处理活动,无论实体是作为数据控制方还是数据处理方。主要规定了以下几个部分:评估对象的定义、问责制、策略和程序、策略和程序的审查和更新、处理活动的记录、对处理活动记录的管理、为行使数据主体的权利提供便利、名称、能力、职位、工作任务、数据泄露、工作人员的培训和能力培养。
第二部分仅涉及作为数据控制方的实体,检查数据控制方是否符合GDPR第5条规定的数据最小化、目的限制及存储限制等数据保护原则。主要规定了以下几个部分:确定有效的法律依据、审查所确定的法律依据是否符合要求、基于同意的处理、基于合同的处理、基于法律义务的处理、基于重大利益的处理、基于公共利益的处理、基于合法利益的处理、特殊类别的个人数据的处理、反对的权利、限制处理的权利、自动的个人决策,包括特征分析、信息的可用性(直接收集)、信息的可用性(间接收集)、信息义务——最新的信息、数据主体的访问权、数据可移植性的权利、第三国转移、目的定义的质量、目的的兼容性、确保数据最小化的过程、替代手段、数据源的可靠性、数据的准确性、纠正的权利、规定的保留期、数据的删除或匿名化、删除的权利(“被遗忘的权利”)、风险分析、风险处理、组织和技术措施的文件化实施、审计、对审计的跟进、DPIA、DPIA——事先咨询、充分性的评估、欧盟或成员国法律规定的合同/法律行为、成员国法律规定的合同/法律行为、政策和程序(外包、关系)、监测、
第三部分仅涉及作为数据处理方的实体,例如涉及其与控制方的合同和分包、安全、个人数据跨境传输等处理活动。主要规定了以下几个部分:欧盟或成员国法律规定的合同或法律行为、外包关系的策略和程序、对文件指示的处理的限制、没有指示的处理、风险分析、风险处理、组织和技术措施的文件化实施、审计、审计的后续工作、充分评估、分包、向第三国传输数据、返回/删除数据。
3.2 程序
GDPR-CARPA认证过程包括以下几个步骤:
申请/适用评估认证。申请认证的实体必须委托认证机构进行评估认证;
认证审核由认证机构根据ISAE 3000标准进行;
对组织进行认证的决定是在考虑 GDPR-CARPA 标准的情况下做出的,并且该决定将传达给卢森堡CNPD。
认证机构颁发GDPR-CARPA认证证书。
监控GDPR-CARPA的合规管理。
值得注意的是,卢森堡CNPD更关注认证机制的实质标准,而不是程序标准。根据GDPR第四十二条第五款,认证机构提供的GDPR-CARPA证书有效期为三年,且卢森堡CNPD规定要成功获得证书需要进行全面的年度审计。
GDPR-CARPA认证可证明实体个人信息处理活动符合GDPR的要求。但是,根据GDPR第四十二条第四款,GDPR-CARPA并不会减轻数据控制方或数据处理方遵守GDPR的责任,也不影响监管机构的任务和权力。
参考文献:
1. 安永观察:《数据治理鉴证机制:大数据时代建立企业间数据互信》,https://www.sohu.com/a/390272984_676545,2022年6月17日最后访问。
2. CNPD: GDPR - Certified Assurance-Report based Processing Activities (CARPA) certification mechanism, last visited on 17 June 2022, https://cnpd.public.lu/dam-assets/fr/actualites/national/2018/gdpr-carpa-criteria-v0-1.pdf.
3. CNPD: THE CNPD ADOPTS THE CERTIFICATION MECHANISM «GDPR-CARPA», last visited on 17 June 2022, https://cnpd.public.lu/en/actualites/national/2022/06/adpoption-gdpr-carpa.html.
4. CNPD: Décision N° 15/2022 du 13 mai 2022 de la Commission nationale pour la protection des données portant exécution de l’article 15 de la loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données, last visited on 17 June 2022, https://cnpd.public.lu/content/dam/cnpd/fr/professionnels/certification/decision-n-15-2022-du-13-mai-2022-criteres-de-certification.pdf.
5. IFAC: International Standard on Quality Control 1, last visited on 17 June 2022, https://www.ifac.org/system/files/downloads/a007-2010-iaasb-handbook-isqc-1.pdf.
6. ISO/IEC 17065: 2012 - Conformity assessment, last visited on 17 June 2022, https://www.iso.org/standard/46568.html.
7. Par Bercy Infos: Le règlement général sur la protection des données (RGPD), mode d’emploi, last visited on 17 June 2022, https://www.economie.gouv.fr/entreprises/reg.
往期文章:
1、欧盟数据治理模式
对数据的监管如何培育数字经济创新和竞争 ——GDPR提供的共同监管工具
EDPB《关于行为守则作为数据跨境传输工具的04/2021号指南》简评(附征求意见前后对比中译本全文)
EDBP《关于对处理者具有约束力的公司规则的工作文件》中译本全文
欧盟的人工智能数据治理方案Gaia-X:下一代数据治理基础设施
2、数据跨境流动治理
欧盟GDPR vs. APEC CBPR:数据跨境传输机制比较分析(下)
欧盟GDPR vs. APEC CBPR:数据跨境传输机制比较分析(上)
数据跨境流动的规则监管与多元治理
3、国际数据空间
全文首发|欧盟委员会《关于欧洲共同数据空间》工作文件(中译本)
合作发布|国际数据空间IDS China Research Lab正式启动
4、全球数据治理观察
数据访问治理:中国、欧盟和印度的发展(附报告全文)作为经济政策的数据治理:中国、欧盟和印度的发展(附报告全文)
5、数据权属与数据治理之争
6、产业数据治理