国际IAPP认证对我国个人信息保护认证制度的启示

白丽芳 崔占华

摘   要：在欧盟GDPR和我国国家标准《个人信息安全规范》正式实施的背景下，个人信息保护进入新时代，成为当前国家网络安全治理的重要内容。在建立个人信息保护体系的过程中，有关部门已经试点开展了个人信息保护认证制度，但目前并不成熟，只限于個人信息安全管理体系认证。国际惯例则是对个人信息保护专业人员开展认证。论文分析了国外有关工作的进展，对建立我国个人信息保护专业人员认证提出了建议。

关键词：GDPR;个人信息保护;认证

中图分类号：N01          文献标识码：B

Abstract： With the enforcement of General Data Protection Regulation （GDPR） and the China national standard Information security technology-Personal information security specification （GB/T 35273-2017）， the personal information protection has entered a new era， and currently become the key part of the national cyber security governance. In the establishment of the personal information protection system， the related governments have piloted the personal information protection certification， focusing on the certification for the personal information security management system which is still immature. Whereas， the best practice in the world emphasizes on the certification for the personal information protection experts. This work reviewed the international development of the personal information protection certification， and proposed to the certification scheme for China personal information protection professionals.

Key words： GDPR;personal information protection;certification

1 引言

近年来，非法收集、滥用个人信息现象愈演愈烈，成为互联网发展的顽疾，引发全球关注。为此，世界各国都在采取各种措施加大个人信息保护力度。特别是，2018年5月欧盟正式实施《通用数据保护条例（GDPR）》产生巨大影响。而我国也于同月实施国家标准GB/T 35273-2017《信息安全技术 个人信息安全规范》，标志着有中国特色的个人信息保护体系开始建立。与此同时，基于法规和标准的数据安全认证开始提上议事日程，相关部门在制定政策时对此多有考虑。2019年2月，中国网络安全审查技术与认证中心基于GB/T 35273-2017，对10家企业颁发了“个人信息安全管理体系”认证证书。但此项工作仍处于试点阶段，加之认证过程不透明，认证结果与大型互联网企业的日常表现有明显差异（多家屡受公众批评的互联网企业获证），因而也引发了一些争议。

从全球看，在数据安全领域推行认证制度，这已成为一种最佳实践。但与国内不同的是，国外目前主要开展了个人信息保护专业人员认证，其他方面的数据安全认证仍处于酝酿阶段。

本文首先介绍了GDPR的内容和影响，以及我国个人隐私保护现状和存在的问题，并分析了国际影响力最大的个人信息保护专业人员认证制度IAPP（国际隐私保护专业人士协会）认证，在借鉴的基础上提出了建立我国个人信息保护专业人员认证制度的启示与建议。

2 背景

2.1欧盟GDPR

欧盟议会于2016年4月通过了GDPR新规，并于2018年5月25日正式生效，用于取代1995年发布的数据保护指令（DPD）。自生效之日起，所有成员国的法规将立即适用于GDPR。GDPR的目标是保护欧盟公民免受隐私和数据泄露的影响，同时重塑欧盟组织机构处理隐私和数据保护的方式。

与1995年的DPD相比较，GDPR在内容上加强了对于数据主体的权利保护，主要体现在控制者或处理者的适用范围变大，增加了数据主体的删除权（被遗忘权）和数据可携带权等，加重了数据控制者和处理者的义务，完善了跨境数据传输机制，增设了高额行政罚款等。这些严格的规定和要求，将对跨国企业处理个人信息产生很大影响，尤其是在个人信息自决权、严格的数据处理问责机制、数据跨境传输等方面提出了严峻挑战。但同时，也为各国个人信息保护提供了很好的借鉴参考和实践经验。

在信息时代，信息流引领技术流、资金流、物资流、人才流。对个人信息的保护要求，特别是对数据跨境流动的要求，在某种程度上直接影响着全球贸易，成为全球性问题。因此，GDPR一经实施，便在全球引发高度关注，甚至有可能重构全球贸易格局。

2.2 我国个人信息保护现状

近年来，我国个人信息泄露和非法滥用事件屡见不鲜，成为重大社会问题。据推测，目前我国网络非法从业人员已超150万人，相关产业市场规模已达到千亿元级别，有相当多的“黑产”与个人信息有关，已经形成了信息需求、盗取、交易等一条完整的黑色链条。

2018年6月1日实施的《网络安全法》对公民个人信息保护设立了多项条款。此外，国家标准委还发布并实施了GB/T 35273-2017《信息安全技术 个人信息安全规范》，对个人信息收集、使用、共享、披露、存储和删除等各处理活动提出了具体保护要求。

但从总体看，我国个人信息保护形势严峻，如法律法规不够完善、个人信息保护和监控技术手段与工具不能满足实际需求、企业合规意愿不强等，解决这些问题需要综合考虑多种因素。目前，我国开展了个人信息安全管理体系认证试点。但本着先易后难、急用先上的原则，借鉴国外经验建立个人信息保护专业人员认证制度是当务之急。

3 IAPP认证

3.1 IAPP

IAPP（International Association of Privacy Professionals），即国际隐私保护专业人士协会，成立于2000年，是一个非盈利性组织，也是全球最大的隐私信息保护社区和资源库，致力于提升隐私保护从业人员职业技能，帮助不同组织提高管理和保护隐私数据的能力。

IAPP设计开发了唯一全球认可的隐私保护执业资格认证项目，包括隐私保护专业人员认证（CIPP）、隐私保护经理认证（CIPM）、隐私保护技术专家认证（CIPT）。这三个认证是目前全球顶级的隐私保护认证，服务于数据保护、信息审计、信息安全、组织合规与风险管理等领域成千上万的专业人士。

3.2 I APP认证项目

目前，IAPP认证已获得美国国家标准研究所（ANSI）认可。ANSI在此基础上开展了美国第一个人员认证认可项目，也是唯一一个满足国际标准ISO/IEC 17011《合格评定-认可合格评定机构的认可组织的一般要求》的项目，为全球认可机构在个人信息安全认证领域确立了标杆。

3.2.1 CIPP

IAPP的CIPP认证主要适用于隐私保护法律法规、合规性审查、信息管理、数据治理、人力资源等领域的从业人员。获得CIPP表明掌握了全球和特定领域（部门）的隐私与数据保护的法律法规、标准规范和实践知识等。目前，CIPP认证包括CIPP/A、CIPP/US、CIPP/C、CIPP/E和CIPP/G等五种认证。

（1）CIPP/A

CIPP/A（Asia）认证服务于主要亚洲经济体隐私保护相关法律法规和实踐知识领域的认证需求，表明了在亚洲和全球范围理解和应用隐私保护知识和实践的能力。获得CIPP/A认证需要掌握的知识体系和考试大纲如表1所示，主要包括隐私保护基本原则和通用知识，以及新加坡、印度、中国香港的隐私保护法律和实践。

（2）CIPP/US

CIPP/US（U.S. private-sector）认证开始于2004年，因与美国有关，故已成为隐私保护领域最知名的资质认证，已有数千名获证者。该认证表明了获证者能够熟练掌握美国隐私保护法律法规，以及对于敏感个人数据出入美国、欧盟和其他司法管辖区域各种要求的能力。

获得CIPP/US认证需要掌握的知识体系和考试大纲如表2所示，主要包括美国隐私保护环境、私有部门收集和使用个人信息的限制、政府和法院对私有部门信息的访问、公共场所的隐私保护以及各州隐私保护法律等。

（3）CIPP/G

CIPP/G（U.S. Government）是第一个用于美国联邦、州、县和地方政府机构雇员的隐私保护认证。同时，也适用于为政府提供服务的零售商、供应商和咨询师等。CIPP/G主要涉及美国政府隐私保护法律法规和政策，尤其是涉及政府实践，以及适用于美国公共和私营部门更广泛的隐私保护相关内容。CIPP/G也涉及美国政府标准方面的实践，包括隐私保护项目开发与管理、合规与审计，以及相关记录管理和机构上报责任等，具体内容如表3所示。

（4）CIPP/C

CIPP/C（Canada）认证始于2006年，是第一个加拿大国家级数据保护认证项目。获得CIPP/C认证，证明了在联邦、省和地区层面上，对加拿大隐私保护法律、原则和最佳实践理解和应用的能力。

获得CIPP/C认证需要掌握的知识体系和考试大纲如表4所示，主要包括加拿大隐私保护基本原则，以及私营部门、公共部门和医疗结构隐私保护法律和实践。

（5）CIPP/E

CIPP/E（Europe）认证开始于2011年，是第一个针对欧盟数据保护专业人士的资质认证，是欧盟隐私保护综合原则框架和知识库的组成部分。获得CIPP/E认证，表明已掌握欧盟隐私保护法律法规，以及对于个人敏感数据出入美国、欧盟和其他司法管辖区域的各种要求。

获得CIPP/E认证需要掌握的知识体系和考试大纲如表5所示，主要包括欧盟数据保护基本原则、法律法规、合规要求等内容。

3.2.2 CIPM

CIPM认证开始于2013年，是目前全球唯一的隐私项目管理方面的认证，主要满足隐私项目生命周期内风险管理、隐私运行、审计与追责、隐私分析等方面的需求。获得CIPM认证，表明了获证者在组织内的隐私管理工作中运用相关管理措施和技术的能力。

获得CIPM认证需要掌握的知识体系和考试大纲如表6所示，主要包括隐私项目管理、生命周期管理等。

3.2.3 CIPT

CIPT是第一个IT从业者全球隐私保护认证，证明在IT产品和服务的开发、工程、部署与审计方面，对于隐私和数据保护实践的理解程度，以及管理和建立隐私保护要求和控制措施的能力。

CIPT主要适用于负责IT产品和服务开发、工程、部署和审计的专业人士。获得CIPT认证需要掌握的知识体系和考试大纲如表7所示，主要包括IT环境下隐私保护需求、核心概念、信息生命周期内隐私保护考虑、系统和应用中的隐私保护、隐私保护技术、在线隐私保护等。

3.3 IAPP认证过程

获得IAPP认证的过程包括申请、准备、考试、发证、认证维持等环节。

（1）申请

在IAPP网站上注册申请适合的考试项目和考试形式（笔考和机考）。IAPP在全球各地设置了800多个机考考试点，可以根据自己的需求选择合适的地点和时间;对于笔考，现在主要是在美国全球隐私峰会、美国隐私安全风险、欧洲数据保护会议三个国际会议期间进行，可在会议的注册窗口期申请考试安排。

（2）准备

根据不同认证项目，在IAPP网站下载学习相应的知识体系和考试大纲。也可选择参加IAPP提供的在线和线下培训以及模拟考试。

IAPP为每个认证指定了一本通用参考书，同时也为每个认证提供了一个授权资源和补充阅读的书籍列表，以及其他一些在线资源。这些资源圈定了考试内容，并为涉及隐私保护和数据处理的专业人士提供了相关工具。

（3）考试

所有考试采用英语，对于CIPP/E也可采用法语和德语。机考和笔考的考试内容相同，但考试程序、规则以及考题数量和考试时间有所不同，如表8所示。

（4）发证

考生成功通过指定考试后（机考结束后即可知道考试成绩，而笔考要等4周），IAPP将授予其认证证书，并在考生邮件收到考试成绩的3周内进行邮寄。

（5）认证维持

IAPP采用持续隐私教育（CPE）政策维持认证证书的有效性。证书有效期内（一般为2年），为了维持认证资格，所有證书持有人必须至少满足两个要求：一是每年缴纳证书维持费;二是以2年为周期，每种证书持有人应完成规定课时的CPE。IAPP为获得CPE课时提供了多种方式，如参加隐私保护相关国际会议、学术演讲、学习资料、参加IAP的培训等。

4 IAPP认证对我国个人信息保护专业人员认证的启示

通过对IAPP认证制度和我国目前个人信息保护现状的分析，针对我国个人信息保护专业人员认证制度的建立与运营管理，提出以下建议。

一是尽快建立我国个人信息保护专业人员认证制度。我国该项认证制度的建立可以充分借鉴IAPP认证模式与认证项目，建立或指定一个（国内唯一）权威机构作为认证机构，运行与管理人员认证制度。初期设立三个认证项目（可根据实际需要进行扩展），分别是个人信息保护专业人士（Personal Information Protection Professional，PIPP）、个人信息保护项目经理（Personal Information Project Manager，PIPM）和个人信息保护技术专家（Personal Information Protection Technologist，PIPT）。PIPP认证主要适用于个人信息保护法律法规、合规审查、信息管理、数据治理、人力资源等领域的从业人员;PIPM认证主要适用于来自政府、监管部门以及企事业单位等从事个人信息保护项目管理人员;而PIPT认证则主要服务于负责IT产品和服务开发、工程、部署、运维和审计的专业人士。

二是抓紧完善我国个人信息保护专业人员认证的知识体系和考试大纲。根据我国个人信息保护法律法规、标准规范以及实践基础，知识体系的建立可以借鉴IAPP的内容框架，并着重将我国《网络安全法》、GB/T 35273-2017《信息安全技术 个人信息安全规范》等我国法规标准与实践情况融入到具体内容中。

三是逐步建立我国个人信息保护专业人员认证持续教育政策。持续教育主要服务于人员认证制度，用于支撑认证证书有效期的维持;也可以服务于国内个人信息保护相关教育、培训等需求。持续教育的执行机构可以为国内的权威认证机构、测评实验室或者企业等。

四是以网站形式建立一个以个人信息保护专业人员认证为主题的交流平台，并借此在国内推广个人信息保护的文化。该平台主要聚焦四个功能。

（1）服务于个人信息保护专业人员认证制度，作为注册申请、参考资料发布、认证结果发布、认证制度资料公开等工作的载体。

（2）作为个人信息保护相关技术活动的媒介，主要服务于每年举办一次“交流大会”。“交流大会”可以作为国内外个人信息保护的技术交流与研讨平台，提供个人信息保护专业人员认证考试在线注册申请等，颁布每年新发证书等。

（3）持续教育载体，提供各种在线培训服务和发布相关学习资料。

（4）积极与IAPP沟通，建立适合我国的CIPP认证项目，并建立IAPP认证考点。这既有利于学习借鉴IAPP经验，跟踪国际隐私保护法律法规和技术发展，也有利于为国内有意获得IAPP认证的人员提供服务。

5 结束语

在我国个人信息保护工作中引入认证制度是一项有积极意义的举措，但究竟是针对产品、服务、管理体系还是人员进行认证，目前各国的实践各不一样。从对国外情况的研究看，个人信息保护专业人员认证的可操作性较强，且在我国的实施条件已经成熟。其与本地政策法规、产业发展需求紧密结合，且分类实施的策略，值得我们充分借鉴，这项工作宜尽快开展。

参考文献

[1] 段久惠.个人信息及隐私保护体系国家认证来了[EB/OL]. http：//www.sohu.com/a/293150182_177992，2019.

[2] 市场监管总局.市场监管总局中央网信办公告开展App安全认证工作[EB/OL]. http：//www.gov.cn/xinwen/2019-03/15/content_5373928.htm，2019.

[3] IAPP.IAPP privacy certification candidate handbook[EB/OL]. https：//iapp.org/certify/，2018.

[4] 中国互联网络信息中心.第41次中国互联网络发展状况统计报告[EB/OL]. http：//cnnic.cn/hlwfzyj/hlwxzbg/hlwtjbg/201803/t20180305_70249.htm，2018.

[5] We are social.DIGITAL IN 2018[EB/OL]. https：//wearesocial.com/uk/blog/2018/01/global-digital-report-2018，2018.