上回說到GDPR法規(guī)不是歐盟汽車市場的準入要求，但卻是歐盟市場準入時不得不考慮的因素。

因為不僅歐盟汽車產(chǎn)品的一些準入法規(guī)已經(jīng)將GDPR法規(guī)中的部分要求，按照“Data Protection by Design and by Default”的思路將其轉(zhuǎn)化為產(chǎn)品的技術(shù)法規(guī)要求，而且為了確保后續(xù)業(yè)務(wù)過程中對GDPR法規(guī)的符合性，企業(yè)可能有必要在產(chǎn)品的設(shè)計中植入更多的（超出產(chǎn)品認證要求的）技術(shù)措施。

通用數(shù)據(jù)保護法規(guī)（GDPR）的發(fā)布，使得在歐盟境內(nèi)運營的汽車生產(chǎn)及售后服務(wù)企業(yè)不得不重視個人數(shù)據(jù)保護的合規(guī)性。忽視GDPR的后果，不僅是法律上的，還包括財務(wù)方面的風(fēng)險。

為此，不少企業(yè)希望能通過認證來消除，或者至少是緩解這方面的運營風(fēng)險。

但是，很可惜，這種想法大多是基于對“產(chǎn)品認證”的了解來看待“GDPR認證”。而事實上，這兩種認證是截然不同的。

與強制性的產(chǎn)品認證在市場準入方面具備相應(yīng)的法律效力不同，GDPR認證在GDPR法規(guī)的合規(guī)方面則不具有任何的法律效力，因為對GDPR法規(guī)來說GDPR認證既不完整，也不必要。

目前，市場上已經(jīng)發(fā)現(xiàn)了多種形式的“GDPR認證”，讀者可以對以下提到的一些示例進行分析，并參照后面的介紹了解它們在證明GDPR法規(guī)的合規(guī)方面存在什么樣的問題。

第一個例子是針對管理體系的“GDPR認證”，格式看起來蠻正規(guī)的：

第二個例子是針對產(chǎn)品的“GDPR認證”，格式看起來雖然不那么正規(guī)，但是證書的腳注卻絕對值得稱道。

第三個例子是針對數(shù)據(jù)處理活動的“GDPR認證”，是Europrivacy在2024年由其成員機構(gòu)TAM Cert頒發(fā)的一份證書，證書內(nèi)容不詳（https://www.eetrend.com/），只截屏了部分介紹內(nèi)容供讀者研究。

問題來了，這些證書有效嗎？能用于證明GDPR法規(guī)的符合性嗎？

為了說明上面的問題，我們以一個實施GDPR認證的“官方”認證方案Europrivacy為例，來了解一下GDPR認證對企業(yè)來說到底意味著什么。

Europrivacy 概述

Europrivacy是獲得歐洲數(shù)據(jù)保護管理局EDPB批準的一個認證方案，雖然不是唯一的，但卻是目前在該領(lǐng)域最具權(quán)威性、被最廣泛認可的一套認證管理制度。

Europrivacy旨在對GDPR的符合性進行評估、記錄和認證，在此基礎(chǔ)上還可以拓展到包含其他的數(shù)據(jù)保護補充法規(guī)（歐盟/國家的其他法規(guī)）。它由位于盧森堡的European Centre for Certification and Privacy ("ECCP")負責(zé)維護管理，受到數(shù)據(jù)保護國際專家委員會的監(jiān)督。

Europrivacy運行的根據(jù)是ISO/IEC 17065以及GDPR法規(guī)中的第42條，旨在證明“管理者和處理者的處理活動滿足GDPR法規(guī)的要求”。

“for the purpose of demonstrating compliance with this Regulation of processing operations by controllers and processors”

Europrivacy在自己的官方網(wǎng)站中的說明如下：（經(jīng)整理，并非對原文的編譯，如需準確地了解官網(wǎng)信息，請訪問https://www.europrivacy.com/）

目的：Europrivacy可以幫助企業(yè)：

局限：雖然 Europrivacy可以應(yīng)用于不同的評估目標，但根據(jù)GDPR法規(guī)的第42條，只有數(shù)據(jù)處理活動才能獲得認證，不能對整個公司或者是公司的整個管理體系進行認證。

地域限制：Europrivacy證書的交付不適用于jurisdictions that do not provide adequate and sufficient guarantees for the rights and freedoms of data subjects。（此處引用原文，以避免不必要的爭議）。

至此，相信讀者對前述問題的答案已經(jīng)有了自己的想法。

為了更加明確一些，我們再分享一個愛爾蘭數(shù)據(jù)保護監(jiān)管機構(gòu)在2024年發(fā)布的一份指南文件，該文件的主題就是GDPR認證：“Guidance Note: GDPR Certification-2024”

GDPR認證指南（愛爾蘭）的摘要

在愛爾蘭，數(shù)據(jù)保護委員會（DPC）是GDPR法規(guī)中定義的國家數(shù)據(jù)保護監(jiān)管機構(gòu)，負責(zé)批準認證方案中的數(shù)據(jù)保護標準，而實施GDPR認證的認證機構(gòu)則由愛爾蘭國家認可管理局（INAB）負責(zé)。

在2024年發(fā)布的認證指南中，DPC對GDPR法規(guī)中的認證規(guī)定進行了闡釋，并對企業(yè)的一些常見的問題進行了解答。（以下是整理后的結(jié)果，獲得準確信息請按文后說明下載所述指南文件。）

a)GDPR中的認證是什么？

在ISO標準中認證是指“與產(chǎn)品、過程、體系或人員有關(guān)的第三方證明”，但在GDPR法規(guī)中的認證是一種“問責(zé)工具”，其范圍限定在與個人數(shù)據(jù)有關(guān)的處理活動。

“In the context of the General Data Protection Regulation (GDPR) certification under Articles 42 and 43 GDPR is an accountability tool, with supervisory authority approved data protection criteria, that is limited in scope to processing operations involving personal data.“

b)認證的對象是什么？

對于GDPR認證，認證對象是指管理者（Controller）或處理者（Processor）的相關(guān)處理活動。

c)進行認證的好處是什么？

GDPR認證是企業(yè)在承擔(dān)法定責(zé)任時可以利用的一個工具。通過認證（過程）企業(yè)可以強化其對個人數(shù)據(jù)處理的活動，借助認證（結(jié)果）企業(yè)可以證明其采取的合規(guī)措施，有助于企業(yè)獲得數(shù)據(jù)主體和業(yè)務(wù)伙伴的信賴。

d)GDPR認證與GDPR的合規(guī)有什么關(guān)系？

法規(guī)不要求企業(yè)進行GDPR認證，但企業(yè)可以將GDPR認證作為其業(yè)務(wù)合規(guī)的一種證據(jù)。

獲得GDPR認證并不代表企業(yè)的數(shù)據(jù)處理活動滿足GDPR法規(guī)的要求，只有國家數(shù)據(jù)保護監(jiān)管機構(gòu)才能做出是否滿足GDPR法規(guī)的決定。

企業(yè)可以利用GDPR認證來證明某個處理活動的某些方面以及相關(guān)的風(fēng)險緩解措施（認證的對象）是用來滿足GDPR法規(guī)的。

e)GDPR認證與其他認證有什么差異？

GDPR認證是按照GDPR法規(guī)的第42條和第43條的規(guī)定實施的認證方案。

其他的與個人數(shù)據(jù)處理活動或者服務(wù)不相關(guān)的所有認證，例如對數(shù)據(jù)保護官（Data Protection Officer）的資質(zhì)認證或者對企業(yè)的管理體系認證等，都不屬于GDPR認證，不需要考慮GDPR法規(guī)中的第42條和第43條的規(guī)定。

小結(jié)一下

GDPR認證僅限于對個人數(shù)據(jù)的處理活動，且受到地域的限制。

GDPR認證在合規(guī)證明方面，既不是必要的，也不是充分的。

更多信息，請在公眾號中發(fā)送“指南文件”下載GDPR認證指南（愛爾蘭）。