近日,國家互聯網信息辦公室正式公布《數據出境安全評估辦法》,就個人信息和重要數據的出境安全評估管理措施提供具體的法律解決方案,明確了數據出境安全評估的目的、原則、范圍、程序和監督機制等具體規定,對保護我國國家安全、公共利益、個人合法權益和促進數字經濟發展具有重要的里程碑意義。本期聚焦“數據出境安全”。
全力保障數據依法有序自由流動
近期,國家互聯網信息辦公室公布《數據出境安全評估辦法》(以下簡稱《辦法》),自2022年9月1日起施行?!掇k法》旨在落實《網絡安全法》《數據安全法》《個人信息保護法》的規定,規范數據出境活動,保護個人信息權益,維護國家安全和社會公共利益,促進數據跨境安全、自由流動,切實以安全保發展、以發展促安全。
近年來,隨著數字經濟的蓬勃發展,數據跨境活動日益頻繁,數據處理者的數據出境需求快速增長。明確數據出境安全評估的具體規定,是促進數字經濟健康發展、防范化解數據出境安全風險的需要,是維護國家安全和社會公共利益的需要,是保護個人信息權益的需要?!掇k法》規定了數據出境安全評估的范圍、條件和程序,為數據出境安全評估工作提供了具體指引。
《辦法》明確,數據處理者向境外提供在中華人民共和國境內運營中收集和產生的重要數據和個人信息的安全評估適用本辦法。提出數據出境安全評估堅持事前評估和持續監督相結合、風險自評估與安全評估相結合等原則。
同時,《辦法》規定了應當申報數據出境安全評估的情形,包括數據處理者向境外提供重要數據、關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者向境外提供個人信息、自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息以及國家網信部門規定的其他需要申報數據出境安全評估的情形。
此外,《辦法》提出了數據出境安全評估的具體要求,規定數據處理者在申報數據出境安全評估前應當開展數據出境風險自評估并明確了重點評估事項。規定數據處理者在與境外接收方訂立的法律文件中明確約定數據安全保護責任義務,在數據出境安全評估有效期內發生影響數據出境安全的情形應當重新申報評估。此外,還明確了數據出境安全評估程序、監督管理制度、法律責任以及合規整改要求等。
《辦法》對保護我國國家安全、公共利益、個人合法權益和促進數字經濟發展具有重要的里程碑意義。第一,《辦法》是落實數字治理頂層設計的重要配套規章。當前,數字經濟加快高質量發展,完善數字經濟立法頂層設計及配套制度,是推動數字經濟更好服務和融入新發展格局的必然要求。中國作為負責任的數據大國,積極開展數據相關立法,營造數字經濟發展良好環境。自2016年起,陸續出臺《網絡安全法》《數據安全法》《個人信息保護法》等,基本構建了數據治理頂層法律制度,有效回應數字經濟發展中各類問題。其中,數據出境作為國內外高度關注的數字經濟發展議題,在有關頂層立法中均作出制度安排,明確了總體性要求?!掇k法》的出臺,對數據出境管理中最為重要的“安全評估”手段予以明確,實現了規則性立法落地,是完善數字治理頂層制度設計的重要配套性規章。
第二,《辦法》是促進數字經濟外循環的關鍵舉措。數字技術、數字經濟可以推動各類資源要素快速流動、各類市場主體加速融合,幫助市場主體重構組織模式,實現跨界發展,打破時空限制,延伸產業鏈條,暢通國內外經濟循環。中國信息通信研究院政策與經濟研究所所長辛勇飛表示,《辦法》以實現數據跨境安全、自由流動為重要立法目標之一,明確了安全評估的對象、程序、要求、期限等主要因素,通過法治途徑提升產業預期,給予規范指引,有利于數據出境活動的依法有序進行,保障數據安全出境,推動形成數字經濟外循環的重要模式和路徑。
第三,《辦法》是保障國家安全和數據安全的有效手段。從全球來看,主要國家和地區均通過采取多種措施確保數據安全、有序出境。歐盟以“充分性保護認定”為核心,構建個人數據的出境管理制度,以實現保護個人數據的基本價值觀;美國以出口管制、外資安全審查、受控非密信息管理等手段確保重要數據不出境;俄羅斯以數據本地化備份為主要措施,實現數據在境內的存儲。中國依法對數據進行分類分級管理,通過頂層立法針對重要數據、個人信息等出境要求,提供了豐富多樣的跨境流動方案。其中,最具特色的就是建立了數據出境安全評估制度,重點實現對國家安全、數據安全具有重要影響的數據出境管理?!掇k法》以上位法為基礎,確定了安全評估的規則要求,切實保障數據安全,規范數據跨境有序流動。
數據出境安全制度的新探索
自2022年9月1日起施行的《數據出境安全評估辦法》吸引了專家學者的關注?!掇k法》第三條提到,數據出境安全評估堅持事前評估和持續監督相結合、風險自評估與安全評估相結合,防范數據出境安全風險,保障數據依法有序自由流動;第十四條提到,通過數據出境安全評估的結果有效期為2年。這兩個細節充分展現了對數據安全出境的有益探索。
中央財經大學副教授張金平認為,提出數據安全評估的兩大原則,即事前評估和持續監督相結合原則、風險自評估與安全評估相結合原則,既可以明確數據出境的主體責任,又能實現監管閉環。相較2017年和2019年有關數據出境安全評估的草案,《辦法》第三條首次明確提出數據出境安全評估的兩大原則。
其中,事前評估和持續監督相結合原則明確,安全評估不僅關注數據出境前對出境后可能出現的風險的評估和所要采取的安全保障措施,還關注數據出境后風險發生的變化以及原有措施的有效性,因而該原則建立了動態評估法則。
風險自評估和安全評估相結合原則,明確數據處理者的主體責任,即通過自評估的形式對自己的數據出境行為負責,確保根據數據出境風險采取相適應且有效的安全保障措施。
然而,數據出境關涉國家利益、公共利益和個人權益,而且數據處理者的自評估結論傾向于通過評估,因此《網絡安全法》《數據安全法》《個人信息保護法》都要求通過國家網信部門安全評估,確認數據處理者是否切實承擔主體責任,以及評估數據出境風險和所采取措施的充分性、有效性。
而評估結果2年有效期的規定則保障了企業參與全球數字經濟建設的持續性和連貫性?!掇k法》第十四條明確安全評估結果有效期為2年,意味著數據處理者可以申報2年內對特定境外接收方的數據出境計劃,幫助企業開展連續性數據出境業務,促進全球數字經濟發展。
張金平表示,這種設置帶來了相對的制度優勢。以個人信息出境為例,歐盟雖然設置了充分性認定、企業有效規則、標準合同條款等合法機制,但目前通過充分性認定的只有14個國家,企業有效規則難獲審批(中國企業尚未有獲批的案例),采用標準合同并不免除數據處理者根據數據出境個案的風險采取額外補充措施的義務。相較而言,跨國企業在我國開展個人信息出境業務,如果符合安全評估的情形,那么其通過安全評估的確定性要顯著增強,而且還可以提供2年有效期的穩定預期,極大方便了企業開展跨境業務。
《辦法》在充分平衡各方利益的基礎上對數據出境安全管理作出新探索,既著力于維護國家安全、公共利益和個人與組織合法權益,也為全球數字經濟健康發展提供了中國方案。
《辦法》的正式出臺和實施,將為國家數據安全工作筑牢堅實“防線”。國家工業信息安全發展研究中心總工程師黃鵬認為,未來隨著標準合同條款、數據出境安全認證等其他數據跨境監管措施的落實,我國的數據跨境管理制度體系將更為完善,可形成全球數據跨境流動的中國方案。他表示,積極參與全球數據規則制定,在當前雙邊、多邊貿易談判中增加關于數據跨境流動條款,可以為我國數字企業“走出去”奠定基礎。依托G20峰會、世界互聯網大會等多邊對話機制和國際性會議,宣傳我國數據跨境流動的主張,吸引更多國家支持和參與《全球數據安全倡議》,能夠促進達成數據合法、安全、有序跨境流動相關共識。
此外,黃鵬提到,未來需要持續完善我國數據跨境管理的配套規范,設置標準合同、保護能力認證、例外事項等多元數據出境途徑,兼顧數據安全與數據跨境流動應用。同時,根據出境國家及地區政治環境、國際關系、數據保護水平等因素,劃分數據出境風險等級,制定差異化的數據出境管理要求。
抓牢織好數字安全防護網
隨著數字經濟的蓬勃發展,數據作為新型生產要素的重要作用日益凸顯。數據不僅是數字化、網絡化、智能化的基礎,也已經成為社會各領域廣泛關注的重要資源,更是國家安全的重要組成部分。
數字經濟正在成為重組全球要素資源、重塑全球經濟結構、改變全球競爭格局的關鍵力量。與此同時,數據的無序流動、泄露等問題給個人和社會安全帶來了潛在危害,數據安全風險日益成為影響產業發展、網絡安全甚至國家安全的重要因素。
今年6月22日,中央全面深化改革委員會審議通過了《關于構建數據基礎制度更好發揮數據要素作用的意見》。會議強調,要把安全貫穿數據治理全過程,守住安全底線,明確監管紅線,加強重點領域執法司法,把必須管住的堅決管到位。近期,國家網信辦出臺的《數據出境安全評估辦法》明確了出境數據的評估范圍、評估機制以及各參與主體的責任,為有效保障數據出境安全提供堅實屏障和有力抓手。
從數據安全的角度出發,數據最為敏感的當屬關鍵信息基礎設施數據。去年7月發布的《關鍵信息基礎設施安全保護條例》就明確界定了關鍵信息基礎設施的具體范疇。受復雜的國際形勢影響,提升公民國家安全意識和防范抵御敵對勢力滲透腐蝕的能力顯得尤為重要。以高校為例,受疫情影響,許多學校面臨師生異地訪問校園內網的挑戰,使得業務端口極易遭受攻擊。為此,國內某知名大學在騰訊零信任安全管理系統(iOA)的護航下,采用動態安全策略,以終端、身份、軟件、目標為核心元素,持續驗證訪問環境安全,有效避免了黑客入侵等風險。
《數據出境安全評估辦法》不僅明確了數據出境及境外接收方處理數據的目的、范圍、方式等的合法性、正當性、必要性,也明確了出境數據的規模、范圍、種類、敏感程度,出境中和出境后遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等風險??v觀關于數據安全的各類法律法規可以看出,關鍵信息基礎設施數據等重要數據最為敏感,此類數據一旦處理不當特別是在出境過程中被非法獲取、非法利用,將給國家安全帶來嚴重威脅。當前,境外不法分子通過電子郵件竊取科研技術成果及個人信息的情況時有發生。騰訊安全專家李鐵軍告訴記者,釣魚郵件是最普遍的一種攻擊方式,黑客在通過釣魚郵件攻擊得到立足點后,繼而又通過失陷的系統,向整個網絡發起攻擊滲透。李鐵軍建議,要對陌生郵件保持高度警惕,切勿點擊郵件中的鏈接及附件,同時及時安裝相關操作系統和應用軟件補丁,切勿輕易啟用文檔提示的宏功能。
數據跨境流通蘊含潛在風險,不僅會影響數據處理者的經濟利益,還會給數據出境國家帶來不可預估的安全隱患。中國科學院科技戰略咨詢研究院系統分析與管理研究所副所長、研究員孫曉蕾表示,《數據出境安全評估辦法》明確和界定需要申報評估的數據范圍是非常重要的,這對數據處理者自覺遵守法律法規、主動申報出境評估工作具有重要意義。要從全面風險管理的角度來分析《數據出境安全評估辦法》中關于風險的長效評估,只有做好事前、事中、事后的全流程、全方位風險評估部署,才能系統性做好風險防范與應對。
識別數據出境的安全風險,抓牢織好數字安全防護網,要從兩方面著手。一方面,要統籌規范數據相關各方,完善數據出境安全的頂層設計。另一方面,要兼顧數據出境各方責任與義務,動態評估與防范化解外部風險。從全球來看,中國作為一個負責任的大國,《數據出境安全評估辦法》為全球數據治理提供了中國智慧與中國方案,是助力構建網絡空間命運共同體濃墨重彩的一筆。