欧盟：通用数据保护法GDPR的认证

上回说到GDPR法规不是欧盟汽车市场的准入要求，但却是欧盟市场准入时不得不考虑的因素。

因为不仅欧盟汽车产品的一些准入法规已经将GDPR法规中的部分要求，按照“Data Protection by Design and by Default”的思路将其转化为产品的技术法规要求，而且为了确保后续业务过程中对GDPR法规的符合性，企业可能有必要在产品的设计中植入更多的（超出产品认证要求的）技术措施。

通用数据保护法规（GDPR）的发布，使得在欧盟境内运营的汽车生产及售后服务企业不得不重视个人数据保护的合规性。忽视GDPR的后果，不仅是法律上的，还包括财务方面的风险。

为此，不少企业希望能通过认证来消除，或者至少是缓解这方面的运营风险。

但是，很可惜，这种想法大多是基于对“产品认证”的了解来看待“GDPR认证”。而事实上，这两种认证是截然不同的。

与强制性的产品认证在市场准入方面具备相应的法律效力不同，GDPR认证在GDPR法规的合规方面则不具有任何的法律效力，因为对GDPR法规来说GDPR认证既不完整，也不必要。

目前，市场上已经发现了多种形式的“GDPR认证”，读者可以对以下提到的一些示例进行分析，并参照后面的介绍了解它们在证明GDPR法规的合规方面存在什么样的问题。

第一个例子是针对管理体系的“GDPR认证”，格式看起来蛮正规的：

第二个例子是针对产品的“GDPR认证”，格式看起来虽然不那么正规，但是证书的脚注却绝对值得称道。

第三个例子是针对数据处理活动的“GDPR认证”，是Europrivacy在2024年由其成员机构TAM Cert颁发的一份证书，证书内容不详（https://www.eetrend.com/），只截屏了部分介绍内容供读者研究。

问题来了，这些证书有效吗？能用于证明GDPR法规的符合性吗？

为了说明上面的问题，我们以一个实施GDPR认证的“官方”认证方案Europrivacy为例，来了解一下GDPR认证对企业来说到底意味着什么。

Europrivacy 概述

Europrivacy是获得欧洲数据保护管理局EDPB批准的一个认证方案，虽然不是唯一的，但却是目前在该领域最具权威性、被最广泛认可的一套认证管理制度。

Europrivacy旨在对GDPR的符合性进行评估、记录和认证，在此基础上还可以拓展到包含其他的数据保护补充法规（欧盟/国家的其他法规）。它由位于卢森堡的European Centre for Certification and Privacy ("ECCP")负责维护管理，受到数据保护国际专家委员会的监督。

Europrivacy运行的根据是ISO/IEC 17065以及GDPR法规中的第42条，旨在证明“管理者和处理者的处理活动满足GDPR法规的要求”。

“for the purpose of demonstrating compliance with this Regulation of processing operations by controllers and processors”

Europrivacy在自己的官方网站中的说明如下：（经整理，并非对原文的编译，如需准确地了解官网信息，请访问https://www.europrivacy.com/）

目的：Europrivacy可以帮助企业：

局限：虽然 Europrivacy可以应用于不同的评估目标，但根据GDPR法规的第42条，只有数据处理活动才能获得认证，不能对整个公司或者是公司的整个管理体系进行认证。

地域限制：Europrivacy证书的交付不适用于jurisdictions that do not provide adequate and sufficient guarantees for the rights and freedoms of data subjects。（此处引用原文，以避免不必要的争议）。

至此，相信读者对前述问题的答案已经有了自己的想法。

为了更加明确一些，我们再分享一个爱尔兰数据保护监管机构在2024年发布的一份指南文件，该文件的主题就是GDPR认证：“Guidance Note: GDPR Certification-2024”

GDPR认证指南（爱尔兰）的摘要

在爱尔兰，数据保护委员会（DPC）是GDPR法规中定义的国家数据保护监管机构，负责批准认证方案中的数据保护标准，而实施GDPR认证的认证机构则由爱尔兰国家认可管理局（INAB）负责。

在2024年发布的认证指南中，DPC对GDPR法规中的认证规定进行了阐释，并对企业的一些常见的问题进行了解答。（以下是整理后的结果，获得准确信息请按文后说明下载所述指南文件。）

a)GDPR中的认证是什么？

在ISO标准中认证是指“与产品、过程、体系或人员有关的第三方证明”，但在GDPR法规中的认证是一种“问责工具”，其范围限定在与个人数据有关的处理活动。

“In the context of the General Data Protection Regulation (GDPR) certification under Articles 42 and 43 GDPR is an accountability tool, with supervisory authority approved data protection criteria, that is limited in scope to processing operations involving personal data.“

b)认证的对象是什么？

对于GDPR认证，认证对象是指管理者（Controller）或处理者（Processor）的相关处理活动。

c)进行认证的好处是什么？

GDPR认证是企业在承担法定责任时可以利用的一个工具。通过认证（过程）企业可以强化其对个人数据处理的活动，借助认证（结果）企业可以证明其采取的合规措施，有助于企业获得数据主体和业务伙伴的信赖。

d)GDPR认证与GDPR的合规有什么关系？

法规不要求企业进行GDPR认证，但企业可以将GDPR认证作为其业务合规的一种证据。

获得GDPR认证并不代表企业的数据处理活动满足GDPR法规的要求，只有国家数据保护监管机构才能做出是否满足GDPR法规的决定。

企业可以利用GDPR认证来证明某个处理活动的某些方面以及相关的风险缓解措施（认证的对象）是用来满足GDPR法规的。

e)GDPR认证与其他认证有什么差异？

GDPR认证是按照GDPR法规的第42条和第43条的规定实施的认证方案。

其他的与个人数据处理活动或者服务不相关的所有认证，例如对数据保护官（Data Protection Officer）的资质认证或者对企业的管理体系认证等，都不属于GDPR认证，不需要考虑GDPR法规中的第42条和第43条的规定。

小结一下

GDPR认证仅限于对个人数据的处理活动，且受到地域的限制。

GDPR认证在合规证明方面，既不是必要的，也不是充分的。

更多信息，请在公众号中发送“指南文件”下载GDPR认证指南（爱尔兰）。