2017年11月27日,欧盟网络和信息安全局(“ ENISA”)发布了 关于欧洲数据保护认证建议书的报告 (“报告”)。该报告的目的是确定和分析《通用数据保护条例》(“ GDPR”)引入的数据保护认证机制的挑战和机遇。

该报告概述了现有的数据保护认证机制,并研究了GDPR认证第42条和第43条中与GDPR认证有关的术语和澄清的概念。该报告还提供了对各种认证计划的研究和分析,包括欧盟ePrivacyseal,EuroPrise,CNIL标签和ICO隐私印章。它进一步关注与成功采用认证有关的一些问题,以及认证在GDPR下作为透明度和问责制工具的作用。报告还指出,鉴于现有数据保护认证的多样性,GDPR下的数据保护认证机制可能会面临挑战。

该报告提出了几项建议,旨在为数据保护机构,认证机构和数据控制器/处理器提供高级指导。主要建议包括:

  • 国家认证机构和数据保护机构(“ DPA”)在欧盟委员会和欧洲数据保护委员会(“ EDPB”)的指导和支持下,应采用 常用方法 GDPR认证机制的建立和部署.

报告指出,GDPR中与认证有关的某些术语尚不清楚,可能会引起混淆,尤其是在已经建立认证流程的行业中。这以及采用多种认证流程可能引起的问题,意味着DPA采用通用方法至关重要。此外,报告建议针对DPA和EDPB批准的标准采用通用方法。如果在一个欧盟成员国中发布的认证在另一个成员国中使用,则还需要执行程序。例如,可以建立一个通用注册簿,以列出整个欧盟成员国内所有已发行/已撤销的认证机制。

  • 国家认证机构和DPA在欧洲委员会和EDPB的支持下,应提供指导并推广最佳做法,以确保 一致性和协调性 部署GDPR认证机制。

该报告重点介绍了可以从进一步指导中受益的几个领域,包括:

–DPA相互承认的程序

–基于国际标准(例如ISO / IEC)的认证与具有GDPR的非欧盟认证的兼容性

–认证模式和程序

–透明度阈值和投诉机制

–进一步明确公共登记簿(例如,是否向公众开放)

–DPA和EDPB应遵循的程序通用准则

–DPA和EDPB批准的认证标准

–认证后监督措施

  • 欧盟委员会和EDPB应该鼓励建立保障措施,以确保 可信赖度 认证过程。

GDPR允许DPA以不同的方式参与认证和认证过程,包括DPA选择双重角色的地方。如果监管机构负责评估和签发证书,同时又被授予对数据控制器或处理器的相同处理操作的监管权,则可能导致潜在的利益冲突。因此,报告建议DPA不应是唯一的认证和认证机构。如果是这样,则应采取适当的防护措施以避免功能蠕变(例如,将认证人员与进行监督活动的人员分开)。

  • 欧盟委员会和EDPB应该鼓励建立保障措施,以确保 透明度 认证过程。

报告建议推广质量认证计划,以防止市场被不可信的认证所淹没。

  • EDP​​B应与国家认证机构和DPA密切合作,促进 欧盟可扩展方法 具有批准并被广泛接受的标准。

报告指出,由于认证可能是一个漫长而昂贵的过程,中小型企业可能会由于资源限制而选择不采用这种方法。但是,具有低风险处理操作的中小企业可能会受益于使用已发布的已批准标准作为自我评估工具。尽管这不会导致获得正式认证,但它可能仍为中小企业以及如何向监管机构证明合规性增加了附加值。

  • 欧盟委员会和EDPB应与国家认证机构和DPA密切合作,以促进 交流最佳做法 以及从其他行之有效的领域(例如,网络安全)的认证实践中获得的经验教训。

尽管GDPR仅规定了 加工作业报告认为,与其说是诸如ICT安全计划之类的产品或服务,不如说是其他行业的最佳实践和积累的经验可以支持GDPR下认证机制的发展。

替代认证

除了报告中讨论的认证计划外,还有其他认证。国际标准化组织,国际电工委员会和国际电信联盟这三个主要的国际标准机构最近发布了“保护个人身份信息的行为准则”。共同开发的ISO / IEC 29151 | ITU-T X.1058标准制定了旨在最小化个人数据泄露风险的控制措施。

评论

该报告对GDPR下数据保护认证机制的潜在挑战提供了一些有用的分析。毫无疑问,企业将急切地希望看到该领域的发展,因为如果有效实施,认证将获得明显的商业利益。但是,要使其既可以用作有效的风险管理工具,又可以作为可行的商业主张,则DPA在开发GDPR数据保护认证机制时,必须解决该报告中概述的问题。在这方面,DPA需要采用一种共同的方法并相互承认,以便在整个欧盟范围内开展业务的企业都可以对特定计划进行认证,并确信这将适用于每个司法管辖区。没有这样的保证,企业可能会选择不花费时间和金钱来坚持认证计划,而是专注于其他数据保护机制或寻求替代认证。最后,企业应该记住,尽管是证明其加工操作符合GDPR的机制,但认证并不会减少其遵守GDPR的责任。