此类认证主要针对数字经济行业,通过第三方机构客观评估企业数据处理行为的安全性,提高企业数据安全保障水平。

与企业的自我约束和政府的行政约束相比,数据安全管理认证属于第三方认证,认证过程更加客观,更具有公正性、有效性。

与传统认证不同,数据安全管理认证的对象主要是网络服务或数据产品,具有虚拟性和动态可变性的特点,认证难度更大。

在认证标准方面,数据安全管理认证侧重于对公司现有数据安全管理能力和过往数据处理合规性的评估。

海外数据安全管理认证现状

伴随全球数字化进程日益加快以及新冠肺炎疫情的影响,全球数据体量呈现指数型增长态势,不断扩大的数据规模促使社会各方将注意力投向数据安全管理,资本市场对数据安全管理企业的关注度明显提升。

同时,目前国外有近四百家企业提供了数据安全管理和隐私保护相关产品及服务,数据安全管理产品呈现出快速适应新场景、新模式并不断迭代优化等特点。

各国/地区为了有效实现数据安全管理的目标,鼓励企业/组织开发符合国家标准的数据保护认证产品/服务,用来帮助个人、企业和国家,保护他们的信息与信息系统安全。

本文收集了各国/地区数据安全管理认证产品/服务开发清单(见附表)。

国外很多开展这些服务的有影响力的数据安全管理认证组织都是非政府机构,市场化程度很高。

比如,在美国为微软、苹果、雅虎等众多网站提供隐私认证服务的TRUSTe,是美国商务网络财团和电子前线基金会共同发起设立的独立非盈利性组织;在欧洲,Europrivacy 作为第一个通过EDPB批准的符合GDPR规定的认证机制,其前身也是非盈利性组织资助的研究项目。

国内数据安全管理认证发展现状

近年来,互联网、云计算等业务高速发展,经济全球化进程不断加速,在促进国家信息技术创新和数字经济产业发展的同时,也带来了国家安全、产业安全以及个人隐私权等诸多问题,我国在网络安全和数据治理方面的政策不断出台,立法体系不断完善,对于数据安全管理的监管力度不断提升,即将正式实施的《数据安全管理认证实施规则》《数据出境安全评估办法》,更是进一步对我国数据安全管理工作做出了明确的规定,对于促进我国经济平稳发展,促进我国社会稳定起到了非常积极的作用。

但是,与此同时我国还应尽快推动建立健全数据安全管理认证国际互认体系,打破壁垒,促进我国数据安全管理活动更好地在海外发展。

另外,据全国认证认可信息公共服务平台公开数据显示,目前有效的认证机构有904个,既包括事业单位,也包括国有企业和民营企业,还包括社会组织。

其中,社会组织的数量最少,事业单位、国有企业和民营企业占绝大部分。

因此我国认证体制需要更加市场化,培养更多有独立性的社会组织型数据安全管理认证机构。

未来我国数据安全管理认证发展建议

未来,我国应坚持以构建网络空间命运共同体理念为指引,同国际社会一道,加强团结协作,推动构建更加公平合理、开放包容、安全稳定、富有生机的网络空间。

2022年11月7日,国务院新闻办公室发布的《携手构建网络空间命运共同体》白皮书强调了网络空间命运共同体是信息时代的必然选择,同时也阐明了中国的贡献和主张。

数据安全管理是个系统性工程,需要国家立法部门、政策制定部门、监管部门引导和组织相关企业相互协作,合力应对数字经济时代的数据安全管理风险和挑战,尽快为我国建立和发展数据安全管理生态体系,保证数字经济健康有序发展。

认证检测行业在此肩负重要责任,需要聚焦数据实际操作问题,例如数据水印、同态加密、多方安全计算、可信区块链技术等, 并邀请数据使用企业实质参与,加快建设实施标准和认证规则,同时借助有外资背景的第三方认证机构,帮助国内数据安全管理认证“走出去”,获得国际认可,在数字经济中保持竞争力。