在数字经济时代，数据蕴含独立的经济价值乃至国家安全价值已成为共识，与此同时，数据滥用、个人信息泄露、异常流量攻击、“大数据杀熟”等数据安全问题的社会关注度也日益提升。对于实施数据处理活动的主体而言，面对数据安全合规的新态势，如何提高数据安全管理水平的公信力成为其需要考量的重要问题，而通过专业性、独立性、权威性的第三方机构认证，按照有关规定在广告等宣传中使用认证标志，有助于数据处理相关业务获得竞争优势。

2019年5月28日，国家互联网信息办公室（以下简称“网信办”）发布的《数据安全管理办法（征求意见稿）》中首次提出了数据安全管理认证[1]；随后，2019年6月28日，工业和信息化部于发布的《电信和互联网行业提升网络数据安全保护能力专项行动方案》提及了App数据安全管理认证[2]；2019年6月1日10日发布并于9月1日生效的《数据安全法》从法律层面正式确定了数据安全管理认证[3]。但前述法律文件对数据安全管理认证的规定较为原则，缺乏具体的操作性规定。

2022年6月9日，国家市场监督管理总局、网信办联合发布了《关于开展数据安全管理认证工作的公告》及其附件《数据安全管理认证实施规则》，规定了数据安全管理认证的依据、模式、实施程序、证书和标志、实施细则以及认证责任，进一步推动了数据安全管理认证的落地执行。

根据《数据安全管理认证实施规则》第1条规定：“本规则依据《中华人民共和国认证认可条例》制定，规定了对网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等处理活动进行认证的基本原则和要求”，数据安全管理认证的适用对象为“网络运营者”。

 “网络运营者”是《网络安全法》《儿童个人信息网络保护规定》《移动互联网应用程序（App）安全认证实施规则》[4]等法律规定中的称谓，即网络的所有者、管理者和网络服务提供者。而其他法律法规、规范性文件中对于实施数据处理活动的主体还有不同的称谓，比如，推荐性国家标准《信息安全技术 个人信息安全规范》（以下简称“《个人信息安全规范》”）中，将实施数据收集、存储、使用、加工、传输、提供、公开等活动的主体称为“个人信息控制者”；《数据安全法》定义了数据处理的概念，从而可以归纳，实施数据处理活动的主体为数据处理主体[5]；《个人信息保护法》直接定义了“个人信息处理者”这一法定概念，即在个人信息处理活动中自主决定处理目的、处理方式的组织、个人[6]。如前述“个人信息控制者”、数据处理主体、“个人信息处理者”开展网络数据处理活动，基于自身防范数据安全治理的需求，也可以依法申请数据安全管理认证。

根据《数据安全管理认证实施规则》第2条规定，数据安全管理认证的依据为《信息安全技术 网络数据处理安全要求》（GB/T 41479，以下简称“《网络数据处理安全要求》”）及相关标准规范。

《网络数据处理安全要求》系数据安全管理认证依据的主要标准规范，该规范已于2022年4月15日发布，并将于2022年11月1日实施，起草单位主要包括中国网络安全审查技术与认证中心（以下简称“CCRC”）、中国信息通信研究院等，主要内容包括数据处理安全的总体要求、技术要求、管理要求。

需要注意的是，APP安全认证系与数据管理安全认证并行的认证机制，根据国家市场监督管理总局、网信办于2019年3月13日发布的《移动互联网应用程序（App）安全认证实施规则》，APP安全认证的主要依据为标准规范《个人信息安全规范》”[7]，App安全认证机构CCRC要求认证申请方提交《<个人信息安全规范>自评价表》,该表格详尽列明了《个人信息安全规范》的规范要点，认证申请方需逐个条款进行自查[8]。CCRC官网显示：“根据有关任务安排，中国网络安全审查技术与认证中心负责数据安全管理认证制度的具体建设和实施工作”,数据安全管理认证机构的确定估计也由CCRC牵头（最终以主管机关正式法律文件中指定的数据安全管理认证机构为准）。参照前述App安全认证的自查模式，认证机构届时可能同样会要求数据安全管理认证申请方逐一按照《网络数据处理安全要求》的规范要点进行自查。

《数据安全管理认证实施规则》第4条对数据安全认证实施程序作出了详细规定，具体程序如下图所示：

数据安全管理认证程序需重点关注的事项主要包括：

一是总体认证程序。网络运营者通过认证需经过 “认证申请-认证受理-技术验证-现场审核-认证决定”的一系列环节，在获证后还需接受认证机构一定频次的持续监督，通过认证仅能代表认证时符合相关标准规范，并不代表以后一直处于合格状态。所以，网络运营者在通过数据安全管理认证后，仍应进行必要的管理与技术投入让自身持续处于合格状态。

二是认证失败的情形。如上图红色方框所示，导致数据安全管理认证失败的情形主要包括：（1）认证委托人提交的认证委托资料未通过认证机构审查；（2）对暂不符合认证要求的，认证委托人在限期整改期间内仍未整改合格；（3）认证委托人存在欺骗、隐瞒信息、故意违反认证要求等严重影响认证实施的行为；（4）未通过获证后监督结果的评价。

三是认证时限、持续监督等待细化事项。《数据安全管理认证实施规则》未明确规定整体认证程序以及资料评审、技术验证、现场审核、认证决定和证书批准以及制作等认证各环节的时限，未明确规定持续监督的方式、频次、内容等，该等实操层面的程序事项同样也影响到认证程序能否顺利执行，该规定第6条赋予了认证机构细化认证程序的权限[9]，建议持续关注主管机关指定的认证机构对此发布的细则文件。

（一）   针对数据安全管理认证中“网络”的界定

如前所述，数据安全管理认证的适用范围为网络运营者开展网络数据处理活动。《网络数据处理安全要求》第3.5条中的“注”将“网络”的范围进一步限缩为“开放公共网络”，这就意味着，企业专用网、政府专网等网络运营者通过内部的专用封闭网络开展数据处理活动可不适用数据安全管理认证。

（二）   数据安全管理认证的自愿性

如前所述，数据安全管理认证的依据为标准规范。不同于由国家强制力保证实施的法律、行政法规、司法解释、部委规章、地方法规等法律法规，标准规范通常并无强制执行效力（除强制性国家标准外），可供相关机构自愿采用[10]。所以，《关于开展数据安全管理认证工作的公告》规定：“主管机关鼓励通过认证方式规范网络数据处理活动”，申请数据安全管理认证由网络运营者自愿参与，而非法律义务。

（三）数据安全管理认证与网络安全等级保护的区别

根据《网络安全法》《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》《公安机关互联网安全监督检查规定》等法律法规，对于网络运营者而言，应按照网络安全等级保护制度的要求履行相应的安全保护义务。进一步，根据《信息安全等级保护管理办法》等信息安全等级保护测评机制（系网络安全等级保护前身）相关的法律规定，系统建设完成后，网络运营者申请符合条件的测评机构开展等级测评具有法律强制性[11]，而如前所述， 申请数据安全管理认证具有自愿性。

同时，根据《认证认可条例》关于“认证”的定义[12]，数据安全管理认证属于管理体系的认证，通过该认证，能证明网络运营者的“数据安全管理体系”达到了相关技术规范的合格要求。结合《信息安全技术 网络安全等级保护基本要求》关于“网络安全”的定义[13]，“网络安全”除了包括确保“网络”处于“稳定可靠运行的状态”外，还包括保障网络“数据”的“完整性、保密性、可用性的能力”。从字面上理解，相较于数据安全管理认证，网络安全等级保护测评的评价对象范围较为宽泛。

综上，在我国数据安全合规监管态势趋严的背景下，出台《数据安全管理认证实施规则》具有积极的意义，一方面，体现了国家对数据安全的高度重视，另一方面，有助于引导各方依法开展数据安全管理认证工作。