近日,國家互聯(lián)網(wǎng)信息辦公室正式公布《數據出境安全評估辦法》,就個(gè)人信息和重要數據的出境安全評估管理措施提供具體的法律解決方案,明確了數據出境安全評估的目的、原則、范圍、程序和監督機制等具體規定,對保護我國國家安全、公共利益、個(gè)人合法權益和促進(jìn)數字經(jīng)濟發(fā)展具有重要的里程碑意義。本期聚焦“數據出境安全”。
全力保障數據依法有序自由流動(dòng)
近期,國家互聯(lián)網(wǎng)信息辦公室公布《數據出境安全評估辦法》(以下簡(jiǎn)稱(chēng)《辦法》),自2022年9月1日起施行。《辦法》旨在落實(shí)《網(wǎng)絡(luò )安全法》《數據安全法》《個(gè)人信息保護法》的規定,規范數據出境活動(dòng),保護個(gè)人信息權益,維護國家安全和社會(huì )公共利益,促進(jìn)數據跨境安全、自由流動(dòng),切實(shí)以安全保發(fā)展、以發(fā)展促安全。
近年來(lái),隨著(zhù)數字經(jīng)濟的蓬勃發(fā)展,數據跨境活動(dòng)日益頻繁,數據處理者的數據出境需求快速增長(cháng)。明確數據出境安全評估的具體規定,是促進(jìn)數字經(jīng)濟健康發(fā)展、防范化解數據出境安全風(fēng)險的需要,是維護國家安全和社會(huì )公共利益的需要,是保護個(gè)人信息權益的需要。《辦法》規定了數據出境安全評估的范圍、條件和程序,為數據出境安全評估工作提供了具體指引。
《辦法》明確,數據處理者向境外提供在中華人民共和國境內運營(yíng)中收集和產(chǎn)生的重要數據和個(gè)人信息的安全評估適用本辦法。提出數據出境安全評估堅持事前評估和持續監督相結合、風(fēng)險自評估與安全評估相結合等原則。
同時(shí),《辦法》規定了應當申報數據出境安全評估的情形,包括數據處理者向境外提供重要數據、關(guān)鍵信息基礎設施運營(yíng)者和處理100萬(wàn)人以上個(gè)人信息的數據處理者向境外提供個(gè)人信息、自上年1月1日起累計向境外提供10萬(wàn)人個(gè)人信息或者1萬(wàn)人敏感個(gè)人信息的數據處理者向境外提供個(gè)人信息以及國家網(wǎng)信部門(mén)規定的其他需要申報數據出境安全評估的情形。
此外,《辦法》提出了數據出境安全評估的具體要求,規定數據處理者在申報數據出境安全評估前應當開(kāi)展數據出境風(fēng)險自評估并明確了重點(diǎn)評估事項。規定數據處理者在與境外接收方訂立的法律文件中明確約定數據安全保護責任義務(wù),在數據出境安全評估有效期內發(fā)生影響數據出境安全的情形應當重新申報評估。此外,還明確了數據出境安全評估程序、監督管理制度、法律責任以及合規整改要求等。
《辦法》對保護我國國家安全、公共利益、個(gè)人合法權益和促進(jìn)數字經(jīng)濟發(fā)展具有重要的里程碑意義。第一,《辦法》是落實(shí)數字治理頂層設計的重要配套規章。當前,數字經(jīng)濟加快高質(zhì)量發(fā)展,完善數字經(jīng)濟立法頂層設計及配套制度,是推動(dòng)數字經(jīng)濟更好服務(wù)和融入新發(fā)展格局的必然要求。中國作為負責任的數據大國,積極開(kāi)展數據相關(guān)立法,營(yíng)造數字經(jīng)濟發(fā)展良好環(huán)境。自2016年起,陸續出臺《網(wǎng)絡(luò )安全法》《數據安全法》《個(gè)人信息保護法》等,基本構建了數據治理頂層法律制度,有效回應數字經(jīng)濟發(fā)展中各類(lèi)問(wèn)題。其中,數據出境作為國內外高度關(guān)注的數字經(jīng)濟發(fā)展議題,在有關(guān)頂層立法中均作出制度安排,明確了總體性要求。《辦法》的出臺,對數據出境管理中最為重要的“安全評估”手段予以明確,實(shí)現了規則性立法落地,是完善數字治理頂層制度設計的重要配套性規章。
第二,《辦法》是促進(jìn)數字經(jīng)濟外循環(huán)的關(guān)鍵舉措。數字技術(shù)、數字經(jīng)濟可以推動(dòng)各類(lèi)資源要素快速流動(dòng)、各類(lèi)市場(chǎng)主體加速融合,幫助市場(chǎng)主體重構組織模式,實(shí)現跨界發(fā)展,打破時(shí)空限制,延伸產(chǎn)業(yè)鏈條,暢通國內外經(jīng)濟循環(huán)。中國信息通信研究院政策與經(jīng)濟研究所所長(cháng)辛勇飛表示,《辦法》以實(shí)現數據跨境安全、自由流動(dòng)為重要立法目標之一,明確了安全評估的對象、程序、要求、期限等主要因素,通過(guò)法治途徑提升產(chǎn)業(yè)預期,給予規范指引,有利于數據出境活動(dòng)的依法有序進(jìn)行,保障數據安全出境,推動(dòng)形成數字經(jīng)濟外循環(huán)的重要模式和路徑。
第三,《辦法》是保障國家安全和數據安全的有效手段。從全球來(lái)看,主要國家和地區均通過(guò)采取多種措施確保數據安全、有序出境。歐盟以“充分性保護認定”為核心,構建個(gè)人數據的出境管理制度,以實(shí)現保護個(gè)人數據的基本價(jià)值觀(guān);美國以出口管制、外資安全審查、受控非密信息管理等手段確保重要數據不出境;俄羅斯以數據本地化備份為主要措施,實(shí)現數據在境內的存儲。中國依法對數據進(jìn)行分類(lèi)分級管理,通過(guò)頂層立法針對重要數據、個(gè)人信息等出境要求,提供了豐富多樣的跨境流動(dòng)方案。其中,最具特色的就是建立了數據出境安全評估制度,重點(diǎn)實(shí)現對國家安全、數據安全具有重要影響的數據出境管理。《辦法》以上位法為基礎,確定了安全評估的規則要求,切實(shí)保障數據安全,規范數據跨境有序流動(dòng)。
數據出境安全制度的新探索
自2022年9月1日起施行的《數據出境安全評估辦法》吸引了專(zhuān)家學(xué)者的關(guān)注。《辦法》第三條提到,數據出境安全評估堅持事前評估和持續監督相結合、風(fēng)險自評估與安全評估相結合,防范數據出境安全風(fēng)險,保障數據依法有序自由流動(dòng);第十四條提到,通過(guò)數據出境安全評估的結果有效期為2年。這兩個(gè)細節充分展現了對數據安全出境的有益探索。
中央財經(jīng)大學(xué)副教授張金平認為,提出數據安全評估的兩大原則,即事前評估和持續監督相結合原則、風(fēng)險自評估與安全評估相結合原則,既可以明確數據出境的主體責任,又能實(shí)現監管閉環(huán)。相較2017年和2019年有關(guān)數據出境安全評估的草案,《辦法》第三條首次明確提出數據出境安全評估的兩大原則。
其中,事前評估和持續監督相結合原則明確,安全評估不僅關(guān)注數據出境前對出境后可能出現的風(fēng)險的評估和所要采取的安全保障措施,還關(guān)注數據出境后風(fēng)險發(fā)生的變化以及原有措施的有效性,因而該原則建立了動(dòng)態(tài)評估法則。
風(fēng)險自評估和安全評估相結合原則,明確數據處理者的主體責任,即通過(guò)自評估的形式對自己的數據出境行為負責,確保根據數據出境風(fēng)險采取相適應且有效的安全保障措施。
然而,數據出境關(guān)涉國家利益、公共利益和個(gè)人權益,而且數據處理者的自評估結論傾向于通過(guò)評估,因此《網(wǎng)絡(luò )安全法》《數據安全法》《個(gè)人信息保護法》都要求通過(guò)國家網(wǎng)信部門(mén)安全評估,確認數據處理者是否切實(shí)承擔主體責任,以及評估數據出境風(fēng)險和所采取措施的充分性、有效性。
而評估結果2年有效期的規定則保障了企業(yè)參與全球數字經(jīng)濟建設的持續性和連貫性。《辦法》第十四條明確安全評估結果有效期為2年,意味著(zhù)數據處理者可以申報2年內對特定境外接收方的數據出境計劃,幫助企業(yè)開(kāi)展連續性數據出境業(yè)務(wù),促進(jìn)全球數字經(jīng)濟發(fā)展。
張金平表示,這種設置帶來(lái)了相對的制度優(yōu)勢。以個(gè)人信息出境為例,歐盟雖然設置了充分性認定、企業(yè)有效規則、標準合同條款等合法機制,但目前通過(guò)充分性認定的只有14個(gè)國家,企業(yè)有效規則難獲審批(中國企業(yè)尚未有獲批的案例),采用標準合同并不免除數據處理者根據數據出境個(gè)案的風(fēng)險采取額外補充措施的義務(wù)。相較而言,跨國企業(yè)在我國開(kāi)展個(gè)人信息出境業(yè)務(wù),如果符合安全評估的情形,那么其通過(guò)安全評估的確定性要顯著(zhù)增強,而且還可以提供2年有效期的穩定預期,極大方便了企業(yè)開(kāi)展跨境業(yè)務(wù)。
《辦法》在充分平衡各方利益的基礎上對數據出境安全管理作出新探索,既著(zhù)力于維護國家安全、公共利益和個(gè)人與組織合法權益,也為全球數字經(jīng)濟健康發(fā)展提供了中國方案。
《辦法》的正式出臺和實(shí)施,將為國家數據安全工作筑牢堅實(shí)“防線(xiàn)”。國家工業(yè)信息安全發(fā)展研究中心總工程師黃鵬認為,未來(lái)隨著(zhù)標準合同條款、數據出境安全認證等其他數據跨境監管措施的落實(shí),我國的數據跨境管理制度體系將更為完善,可形成全球數據跨境流動(dòng)的中國方案。他表示,積極參與全球數據規則制定,在當前雙邊、多邊貿易談判中增加關(guān)于數據跨境流動(dòng)條款,可以為我國數字企業(yè)“走出去”奠定基礎。依托G20峰會(huì )、世界互聯(lián)網(wǎng)大會(huì )等多邊對話(huà)機制和國際性會(huì )議,宣傳我國數據跨境流動(dòng)的主張,吸引更多國家支持和參與《全球數據安全倡議》,能夠促進(jìn)達成數據合法、安全、有序跨境流動(dòng)相關(guān)共識。
此外,黃鵬提到,未來(lái)需要持續完善我國數據跨境管理的配套規范,設置標準合同、保護能力認證、例外事項等多元數據出境途徑,兼顧數據安全與數據跨境流動(dòng)應用。同時(shí),根據出境國家及地區政治環(huán)境、國際關(guān)系、數據保護水平等因素,劃分數據出境風(fēng)險等級,制定差異化的數據出境管理要求。
抓牢織好數字安全防護網(wǎng)
隨著(zhù)數字經(jīng)濟的蓬勃發(fā)展,數據作為新型生產(chǎn)要素的重要作用日益凸顯。數據不僅是數字化、網(wǎng)絡(luò )化、智能化的基礎,也已經(jīng)成為社會(huì )各領(lǐng)域廣泛關(guān)注的重要資源,更是國家安全的重要組成部分。
數字經(jīng)濟正在成為重組全球要素資源、重塑全球經(jīng)濟結構、改變全球競爭格局的關(guān)鍵力量。與此同時(shí),數據的無(wú)序流動(dòng)、泄露等問(wèn)題給個(gè)人和社會(huì )安全帶來(lái)了潛在危害,數據安全風(fēng)險日益成為影響產(chǎn)業(yè)發(fā)展、網(wǎng)絡(luò )安全甚至國家安全的重要因素。
今年6月22日,中央全面深化改革委員會(huì )審議通過(guò)了《關(guān)于構建數據基礎制度更好發(fā)揮數據要素作用的意見(jiàn)》。會(huì )議強調,要把安全貫穿數據治理全過(guò)程,守住安全底線(xiàn),明確監管紅線(xiàn),加強重點(diǎn)領(lǐng)域執法司法,把必須管住的堅決管到位。近期,國家網(wǎng)信辦出臺的《數據出境安全評估辦法》明確了出境數據的評估范圍、評估機制以及各參與主體的責任,為有效保障數據出境安全提供堅實(shí)屏障和有力抓手。
從數據安全的角度出發(fā),數據最為敏感的當屬關(guān)鍵信息基礎設施數據。去年7月發(fā)布的《關(guān)鍵信息基礎設施安全保護條例》就明確界定了關(guān)鍵信息基礎設施的具體范疇。受復雜的國際形勢影響,提升公民國家安全意識和防范抵御敵對勢力滲透腐蝕的能力顯得尤為重要。以高校為例,受疫情影響,許多學(xué)校面臨師生異地訪(fǎng)問(wèn)校園內網(wǎng)的挑戰,使得業(yè)務(wù)端口極易遭受攻擊。為此,國內某知名大學(xué)在騰訊零信任安全管理系統(iOA)的護航下,采用動(dòng)態(tài)安全策略,以終端、身份、軟件、目標為核心元素,持續驗證訪(fǎng)問(wèn)環(huán)境安全,有效避免了黑客入侵等風(fēng)險。
《數據出境安全評估辦法》不僅明確了數據出境及境外接收方處理數據的目的、范圍、方式等的合法性、正當性、必要性,也明確了出境數據的規模、范圍、種類(lèi)、敏感程度,出境中和出境后遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等風(fēng)險。縱觀(guān)關(guān)于數據安全的各類(lèi)法律法規可以看出,關(guān)鍵信息基礎設施數據等重要數據最為敏感,此類(lèi)數據一旦處理不當特別是在出境過(guò)程中被非法獲取、非法利用,將給國家安全帶來(lái)嚴重威脅。當前,境外不法分子通過(guò)電子郵件竊取科研技術(shù)成果及個(gè)人信息的情況時(shí)有發(fā)生。騰訊安全專(zhuān)家李鐵軍告訴記者,釣魚(yú)郵件是最普遍的一種攻擊方式,黑客在通過(guò)釣魚(yú)郵件攻擊得到立足點(diǎn)后,繼而又通過(guò)失陷的系統,向整個(gè)網(wǎng)絡(luò )發(fā)起攻擊滲透。李鐵軍建議,要對陌生郵件保持高度警惕,切勿點(diǎn)擊郵件中的鏈接及附件,同時(shí)及時(shí)安裝相關(guān)操作系統和應用軟件補丁,切勿輕易啟用文檔提示的宏功能。
數據跨境流通蘊含潛在風(fēng)險,不僅會(huì )影響數據處理者的經(jīng)濟利益,還會(huì )給數據出境國家帶來(lái)不可預估的安全隱患。中國科學(xué)院科技戰略咨詢(xún)研究院系統分析與管理研究所副所長(cháng)、研究員孫曉蕾表示,《數據出境安全評估辦法》明確和界定需要申報評估的數據范圍是非常重要的,這對數據處理者自覺(jué)遵守法律法規、主動(dòng)申報出境評估工作具有重要意義。要從全面風(fēng)險管理的角度來(lái)分析《數據出境安全評估辦法》中關(guān)于風(fēng)險的長(cháng)效評估,只有做好事前、事中、事后的全流程、全方位風(fēng)險評估部署,才能系統性做好風(fēng)險防范與應對。
識別數據出境的安全風(fēng)險,抓牢織好數字安全防護網(wǎng),要從兩方面著(zhù)手。一方面,要統籌規范數據相關(guān)各方,完善數據出境安全的頂層設計。另一方面,要兼顧數據出境各方責任與義務(wù),動(dòng)態(tài)評估與防范化解外部風(fēng)險。從全球來(lái)看,中國作為一個(gè)負責任的大國,《數據出境安全評估辦法》為全球數據治理提供了中國智慧與中國方案,是助力構建網(wǎng)絡(luò )空間命運共同體濃墨重彩的一筆。