上回說(shuō)到GDPR法規(guī)不是歐盟汽車市場(chǎng)的準(zhǔn)入要求，但卻是歐盟市場(chǎng)準(zhǔn)入時(shí)不得不考慮的因素。

因?yàn)椴粌H歐盟汽車產(chǎn)品的一些準(zhǔn)入法規(guī)已經(jīng)將GDPR法規(guī)中的部分要求，按照“Data Protection by Design and by Default”的思路將其轉(zhuǎn)化為產(chǎn)品的技術(shù)法規(guī)要求，而且為了確保后續(xù)業(yè)務(wù)過(guò)程中對(duì)GDPR法規(guī)的符合性，企業(yè)可能有必要在產(chǎn)品的設(shè)計(jì)中植入更多的（超出產(chǎn)品認(rèn)證要求的）技術(shù)措施。

通用數(shù)據(jù)保護(hù)法規(guī)（GDPR）的發(fā)布，使得在歐盟境內(nèi)運(yùn)營(yíng)的汽車生產(chǎn)及售后服務(wù)企業(yè)不得不重視個(gè)人數(shù)據(jù)保護(hù)的合規(guī)性。忽視GDPR的后果，不僅是法律上的，還包括財(cái)務(wù)方面的風(fēng)險(xiǎn)。

為此，不少企業(yè)希望能通過(guò)認(rèn)證來(lái)消除，或者至少是緩解這方面的運(yùn)營(yíng)風(fēng)險(xiǎn)。

但是，很可惜，這種想法大多是基于對(duì)“產(chǎn)品認(rèn)證”的了解來(lái)看待“GDPR認(rèn)證”。而事實(shí)上，這兩種認(rèn)證是截然不同的。

與強(qiáng)制性的產(chǎn)品認(rèn)證在市場(chǎng)準(zhǔn)入方面具備相應(yīng)的法律效力不同，GDPR認(rèn)證在GDPR法規(guī)的合規(guī)方面則不具有任何的法律效力，因?yàn)閷?duì)GDPR法規(guī)來(lái)說(shuō)GDPR認(rèn)證既不完整，也不必要。

目前，市場(chǎng)上已經(jīng)發(fā)現(xiàn)了多種形式的“GDPR認(rèn)證”，讀者可以對(duì)以下提到的一些示例進(jìn)行分析，并參照后面的介紹了解它們?cè)谧C明GDPR法規(guī)的合規(guī)方面存在什么樣的問(wèn)題。

第一個(gè)例子是針對(duì)管理體系的“GDPR認(rèn)證”，格式看起來(lái)蠻正規(guī)的：

第二個(gè)例子是針對(duì)產(chǎn)品的“GDPR認(rèn)證”，格式看起來(lái)雖然不那么正規(guī)，但是證書的腳注卻絕對(duì)值得稱道。

第三個(gè)例子是針對(duì)數(shù)據(jù)處理活動(dòng)的“GDPR認(rèn)證”，是Europrivacy在2024年由其成員機(jī)構(gòu)TAM Cert頒發(fā)的一份證書，證書內(nèi)容不詳（https://www.eetrend.com/），只截屏了部分介紹內(nèi)容供讀者研究。

問(wèn)題來(lái)了，這些證書有效嗎？能用于證明GDPR法規(guī)的符合性嗎？

為了說(shuō)明上面的問(wèn)題，我們以一個(gè)實(shí)施GDPR認(rèn)證的“官方”認(rèn)證方案Europrivacy為例，來(lái)了解一下GDPR認(rèn)證對(duì)企業(yè)來(lái)說(shuō)到底意味著什么。

Europrivacy 概述

Europrivacy是獲得歐洲數(shù)據(jù)保護(hù)管理局EDPB批準(zhǔn)的一個(gè)認(rèn)證方案，雖然不是唯一的，但卻是目前在該領(lǐng)域最具權(quán)威性、被最廣泛認(rèn)可的一套認(rèn)證管理制度。

Europrivacy旨在對(duì)GDPR的符合性進(jìn)行評(píng)估、記錄和認(rèn)證，在此基礎(chǔ)上還可以拓展到包含其他的數(shù)據(jù)保護(hù)補(bǔ)充法規(guī)（歐盟/國(guó)家的其他法規(guī)）。它由位于盧森堡的European Centre for Certification and Privacy ("ECCP")負(fù)責(zé)維護(hù)管理，受到數(shù)據(jù)保護(hù)國(guó)際專家委員會(huì)的監(jiān)督。

Europrivacy運(yùn)行的根據(jù)是ISO/IEC 17065以及GDPR法規(guī)中的第42條，旨在證明“管理者和處理者的處理活動(dòng)滿足GDPR法規(guī)的要求”。

“for the purpose of demonstrating compliance with this Regulation of processing operations by controllers and processors”

Europrivacy在自己的官方網(wǎng)站中的說(shuō)明如下：（經(jīng)整理，并非對(duì)原文的編譯，如需準(zhǔn)確地了解官網(wǎng)信息，請(qǐng)?jiān)L問(wèn)https://www.europrivacy.com/）

目的：Europrivacy可以幫助企業(yè)：

局限：雖然 Europrivacy可以應(yīng)用于不同的評(píng)估目標(biāo)，但根據(jù)GDPR法規(guī)的第42條，只有數(shù)據(jù)處理活動(dòng)才能獲得認(rèn)證，不能對(duì)整個(gè)公司或者是公司的整個(gè)管理體系進(jìn)行認(rèn)證。

地域限制：Europrivacy證書的交付不適用于jurisdictions that do not provide adequate and sufficient guarantees for the rights and freedoms of data subjects。（此處引用原文，以避免不必要的爭(zhēng)議）。

至此，相信讀者對(duì)前述問(wèn)題的答案已經(jīng)有了自己的想法。

為了更加明確一些，我們?cè)俜窒硪粋€(gè)愛(ài)爾蘭數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)在2024年發(fā)布的一份指南文件，該文件的主題就是GDPR認(rèn)證：“Guidance Note: GDPR Certification-2024”

GDPR認(rèn)證指南（愛(ài)爾蘭）的摘要

在愛(ài)爾蘭，數(shù)據(jù)保護(hù)委員會(huì)（DPC）是GDPR法規(guī)中定義的國(guó)家數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)，負(fù)責(zé)批準(zhǔn)認(rèn)證方案中的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)，而實(shí)施GDPR認(rèn)證的認(rèn)證機(jī)構(gòu)則由愛(ài)爾蘭國(guó)家認(rèn)可管理局（INAB）負(fù)責(zé)。

在2024年發(fā)布的認(rèn)證指南中，DPC對(duì)GDPR法規(guī)中的認(rèn)證規(guī)定進(jìn)行了闡釋，并對(duì)企業(yè)的一些常見(jiàn)的問(wèn)題進(jìn)行了解答。（以下是整理后的結(jié)果，獲得準(zhǔn)確信息請(qǐng)按文后說(shuō)明下載所述指南文件。）

a)GDPR中的認(rèn)證是什么？

在ISO標(biāo)準(zhǔn)中認(rèn)證是指“與產(chǎn)品、過(guò)程、體系或人員有關(guān)的第三方證明”，但在GDPR法規(guī)中的認(rèn)證是一種“問(wèn)責(zé)工具”，其范圍限定在與個(gè)人數(shù)據(jù)有關(guān)的處理活動(dòng)。

“In the context of the General Data Protection Regulation (GDPR) certification under Articles 42 and 43 GDPR is an accountability tool, with supervisory authority approved data protection criteria, that is limited in scope to processing operations involving personal data.“

b)認(rèn)證的對(duì)象是什么？

對(duì)于GDPR認(rèn)證，認(rèn)證對(duì)象是指管理者（Controller）或處理者（Processor）的相關(guān)處理活動(dòng)。

c)進(jìn)行認(rèn)證的好處是什么？

GDPR認(rèn)證是企業(yè)在承擔(dān)法定責(zé)任時(shí)可以利用的一個(gè)工具。通過(guò)認(rèn)證（過(guò)程）企業(yè)可以強(qiáng)化其對(duì)個(gè)人數(shù)據(jù)處理的活動(dòng)，借助認(rèn)證（結(jié)果）企業(yè)可以證明其采取的合規(guī)措施，有助于企業(yè)獲得數(shù)據(jù)主體和業(yè)務(wù)伙伴的信賴。

d)GDPR認(rèn)證與GDPR的合規(guī)有什么關(guān)系？

法規(guī)不要求企業(yè)進(jìn)行GDPR認(rèn)證，但企業(yè)可以將GDPR認(rèn)證作為其業(yè)務(wù)合規(guī)的一種證據(jù)。

獲得GDPR認(rèn)證并不代表企業(yè)的數(shù)據(jù)處理活動(dòng)滿足GDPR法規(guī)的要求，只有國(guó)家數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)才能做出是否滿足GDPR法規(guī)的決定。

企業(yè)可以利用GDPR認(rèn)證來(lái)證明某個(gè)處理活動(dòng)的某些方面以及相關(guān)的風(fēng)險(xiǎn)緩解措施（認(rèn)證的對(duì)象）是用來(lái)滿足GDPR法規(guī)的。

e)GDPR認(rèn)證與其他認(rèn)證有什么差異？

GDPR認(rèn)證是按照GDPR法規(guī)的第42條和第43條的規(guī)定實(shí)施的認(rèn)證方案。

其他的與個(gè)人數(shù)據(jù)處理活動(dòng)或者服務(wù)不相關(guān)的所有認(rèn)證，例如對(duì)數(shù)據(jù)保護(hù)官（Data Protection Officer）的資質(zhì)認(rèn)證或者對(duì)企業(yè)的管理體系認(rèn)證等，都不屬于GDPR認(rèn)證，不需要考慮GDPR法規(guī)中的第42條和第43條的規(guī)定。

小結(jié)一下

GDPR認(rèn)證僅限于對(duì)個(gè)人數(shù)據(jù)的處理活動(dòng)，且受到地域的限制。

GDPR認(rèn)證在合規(guī)證明方面，既不是必要的，也不是充分的。

更多信息，請(qǐng)?jiān)诠娞?hào)中發(fā)送“指南文件”下載GDPR認(rèn)證指南（愛(ài)爾蘭）。