美国TRUSTe企业隐私认证的机制概要与价值启示
吴沈括
北京师范大学互联网发展研究院院长助理、博导
中国互联网协会研究中心副主任
周奕达
北京师范大学法学院研究助理
时至今日,全球各国加速推动有关数据安全和个人信息保护的法律规则建构,如何使产品与服务能够实现与不同国家和地区的法律遵从,已成为目前跨国企业开展全球运营和发展中的重大命题。专门为企业提供数据安全合规与个人信息处理合规认证等服务的机构也如雨后春笋,其中源自美国的TRUSTe认证以及源自欧洲的ePrivacy认证是目前国际上主要的机构认证机制,当下也正吸引着全球化运营的中国龙头数字企业的广泛关注。
TRUSTe认证由TrustArc公司推出,该公司自1997年在美国加利福尼亚州创立以来,以帮助企业实现隐私合规为使命,经过20多年的发展,已经成为世界上最具权威的隐私保护认证机构之一,其认证结果获得欧洲数据保护委员会以及欧盟各成员国数据保护机构的较高认可,被作为展示企业合规能力和水平的证明依据之一。截至目前接受其隐私合规服务的企业横跨通讯、新闻、金融、娱乐等各行各业,包括了AT&T、IBM、福布斯杂志、摩根大通等全球超过1500家企业。
TrustArc拥有多种隐私认证与保证业务,包括针对亚太经合组织规定的跨境隐私规则、《加州消费者隐私法案》、欧盟《通用数据保护条例(GDPR)》等法律法规的多种认证项目,以满足不同客户对于合规的多样需求,TrustArc近年来也在推进研发适用于我国《个人信息保护法》的合规产品。目前企业最常见的认证需求是TrustArc提供的TRUSTe Enterprise Privacy认证。
该认证项目以TrustArc隐私与数据治理框架(以下简称:P&DG框架)为标准,并参照OECD隐私准则、APEC隐私框架、欧盟通用数据保护法规、美国健康保险便利和责任法案、ISO27001信息安全管理系统国际标准等具有全球性影响力的隐私保护法律法规和标准规范。TRUSTe认证的内容主要是评判企业的业务实践,在数据收集和处理活动、数据必要性、第三方数据披露和跨境传输、用户权利等多个维度上,是否符合P&DG框架标准并实现合规。
就其价值而言,通过TRUSTe认证对于企业主要能带来监管应对和组织提升两方面的收益:一方面,在监管应对的层面,通过第三方认证使企业降低合规风险,由TrustArc这样的第三方认证专业机构帮助企业实现业务的合规化,更好地避免因违反相关法律法规而受到处罚。而且在研判融汇多地法律规则的P&DG框架下进行的合规处理,因为同时符合跨地区乃至跨国的法律法规,使得数据的跨区域传输合规成为可能。
另一方面,在组织提升的层面,通过开展TRUSTe认证可以提升企业的形象,向其客户、产业链上下游合作方以及公众展现对待隐私问题的负责任态度。并且通过认证可以降低企业合规成本,使其产品、服务以及自身的系统能够在P&DG框架下实现一体化运营,避免在不同国家和地区分别进行合规作业的额外成本支出。
从其流程来看,无论是首次取得TRUSTe企业隐私认证,还是在隐私政策更新后的再认证,主要均需要经过四个阶段,分别是教育、发现、复查分析以及补正。对于首次认证而言,整个流程通常会持续三至六个月,而对于再认证而言,这个流程一般可在九十天内完成