Feature网事焦点文│中国科学技术大学公共事务学院、网络空间安全学院教授左晓栋顺势而为——谈我国个人信息保护认证制度的设计2022年11月,国家市场监管总局、国家互联网信息办公室联合印发了《关于实施个人信息保护认证的公告》,并在附件公布了《个人信息保护认证实施规则》。这表明我国正式宣布建立个人信息保护认证制度,是对数据安全认证制度的进一步完善。特别是,由于该项制度与个人信息出境密切关联,因而在更大范围内引发了热议与关注。一、数据安全认证是我国数据安全治理体系的重要组成部分认证认可制度是一种国内外通行的第三方评价制度,由具备专业能力的第三方机构依据标准和技术规范,对产品、服务或企业的管理体系、人员能力等作出评价,从而可供社会对评价结果进行采信。这一制度来源于现代市场经济体制。市场经济的本质是交易的双方能够自由缔结契约,市场经济有效运作的基本前提是交易双方都具有比较充分完备的信息,否则不仅交易难以进行,也难以通过竞争性选择实现优胜劣汰。交易中的信息不对称可能导致各种坑蒙拐骗,严重影响交易的秩序,影响市场配置资源的效率。这一问题早在现代市场经济形成之前就已存在,但只有到了工业革命以后才变得十分普遍和复杂。认证认可制度正是适应解决交易中的信息不对称、降低交易费用、增进市场机制作用要求的一种制度安排。有效的认证认可活动,促进了信息不对称问题的解决,保障了有效的市场竞争,推动了现代市场体制的完善。因此,认证认可是市场经济体制下的一项基础性制度安排,是市场经济体制运行有效性的重要保障。认证认可制度首次出现在我国网络安全工作领域,源于2004年10月的《关于建立国家信息安全产品认证认可体系的通知》。在此之前,政府对社会的治理,更多地采用行政许可手段。这在“大政府”时代是可以理解的,也是可行的。但随着市场经济的进一步发展,凡事进行行政许可会使政府不堪重负,也不符合政府改革的方向。因此,需要理顺政府、市场、社会三者之间的关系,政府侧重法则、规则的制定,把该由市场和社会来做的产品、服务、管理体系等方面的具体性事务交由市场和社会。这便出现了从计划经济的“行政许可”向由社会组织调节的“认证认可”的转变。为此,在规划国家信息安全产品认证认可体系建设时,我国便明确了政事分开、发挥认证认可制度作用的原则,凡可以通过认证认可解决的检测、评审,原则上不再设立行政许可,特殊情况报经国务院审定后仍需保留的行政许可,应...
