导读:2022年12月26日,由中国网络安全产业联盟主办,天翼安全科技有限公司(以下简称“中国电信安全公司”)承办的主题为“筑牢数据出境安全屏障,坚守国家数据安全底线”的技术沙龙在线上举行。会上,国家信息中心首席工程师李新友发表了题为“数据跨境流动安全的法律要求、挑战与应对”的主题演讲。本文根据演讲内容整理。
一、重视跨境数据安全的重要意义
1、数据本身的交易价值
数据已经成为生产要素的一种重要的形态。互联网应用的飞速发展产生了大量的网络数据,对网络数据的收集整理和加工利用可以创造超值价值,大数据分析更能产生高额回报。拥有数据就等于拥有了财富。数据交易的出现,对数据安全提出了新挑战。对于跨境数据,更要重视数据的价值。
2、数据开放和流动,数据的保护难度增大
数据存在万物互联的网络环境里面,数据更加开放和共享。相对于物理隔离的电子政务系统,数据在网络中流动,互联网中的数据更容易获得,数据的保护难点明显增大。
3、数据安全威胁国家安全
人口身份库、法人库、宏观经济数据库、地理和自然资源数据库等基础数据已成为重要的国家战略资源。大数据技术与人工智能技术有机结合,能够从海量网络数据中挖掘出很多能够威胁到国家安全的信息。
4、数据安全威胁数字经济的健康发展
《2022年中国数字经济发展白皮书》2021年,我国数字经济增加值规模达到45.5万亿元。数字经济地位凸显。网上购物、移动支付、智慧城市、工业互联网等,都跟数据安全息息相关。
5、数据安全涉及个人隐私保护
移动APP广泛应用,个人日常线下活动已离不开线上的全面支持,个人数据已广泛沉淀在网络应用中,从这些应用中的个人活动数据就能挖掘出个人隐私信息。
二、相关法律法规标准条文分析
1、《数据安全法》
《数据安全法》有三个条款涉及数据跨境安全、促进数据出境安全管理。第十一条,国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。第二十四条,国家对于维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。第三十一条涉及数据出境管理,对出境和跨境数据流动安全做了宏观上的法律层面上的规定。
2、《个人信息保护法》
《个人信息保护法》第三章个人信息跨境提供的规则,完整地列出了数据出境的4个必要条件。这4个条件在国家后续出台的很多下位文件里都有继承:
(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
(四)法律、行政法规或者国家网信部门规定的其他条件。
即数据要想出境的话,要通过国家网信部门组织的安全评估;或由指定的专业机构进行个人信息保护认证;或与境外的接收方订立合同,这个合同是有制式的;或国家规定的其他条件。
在《个人信息保护法》第三章中,还有第三十九条的告知、同意条款,第四十条的境内存储要求,尤其是一些关键信息基础设施的数据一定要在境内存储,第四十二条的限制、禁止条款,有些重要数据是不能够流到国外去的,要禁止流到国外去。
3、构建数据基础制度更好发挥数据要素的作用的意见
《构建数据基础制度更好发挥数据要素作用的意见》2022年12月初刚刚由中共中央和国务院共同发布。这里面提出了四个制度,非常有意义,总结很清晰。
1)建立保障权益、合规使用的数据产权制度
要建立能够保障权益、合规使用的数据产权制度。包括:(1)数据产权结构性分置制度,数据产权中,处理权、拥有权、使用权,要分置出来,各自享有各自的产权权益;(2)公共数据、企业数据、个人信息确权授权机制;(3)各参与方合法权益保护制度。
《意见》中提出的这些数据产权制度或者机制,非常重要,但真正实现起来还是很困难的。例如分置制度,怎么去分置,哪些是属于我的产权,哪些是属于你的产权。参与方的合法权益怎么样去保护。被收集信息的个体是否拥有数据产权。这些都需要认真研究。
2)建立合规高效、场内外结合的数据要素流通和交易制度
这里关注的是数据怎么样去流通,包括数据跨境流通。这里要建立的机制有四项:(1)数据全流程合规与监管规则体系;(2) 规范高效的数据交易场所,现在数据交易场所有很多,比较知名的有贵阳数据交易所、京津冀数据交易所等,但运行的都不怎么景气;(3)数据要素流通和交易服务生态;(4)数据安全合规有序跨境流通机制
我们要重点关注其中的关于构建数据安全合规有序跨境流通机制的意见,有以下几点:(1)开展数据交互、业务互通、监管互认、服务共享等方面国际交流合作,推进跨境数字贸易基础设施建设,积极参与国际规则和数字技术标准制定。(2)坚持开放发展,推动数据跨境双向有序流动,鼓励国内外业务合作,支持外资依法依规进入开放领域,推动形成公平竞争的国际化市场。(3)针对跨境电商、跨境支付、供应链管理、服务外包等典型应用场景,探索安全规范的数据跨境流动方式。(4)统筹数据开发利用和数据安全保护,探索建立跨境数据分类分级管理机制和安全审查。(5)探索构建多渠道、便利化的数据跨境流动监管机制,健全多部门协调配合的数据跨境流动监管体系。(6)反对数据霸权和数据保护主义,有效应对数据领域“长臂管辖”。
3)建立体现效率、促进公平的数据要素收益分配制度
由市场评价贡献、按贡献决定报酬机制,实际上就是由市场决定数据的价格,而不是说由交易所或者评估中心,评估出一个价格。政府在数据要素收益分配中的引导调节作用,这也是很难落实的。
4)建立安全可控、弹性包容的数据要素治理制度
创新政府数据治理机制,包括认证、审查、监管、反垄断机制;压实企业的数据治理责任,即数据跨境主要责任由跨境的数据企业承担,要压实它的主责;充分发挥社会力量多方参与的协同治理作用,协会、团体等要参与协同治理。
4、《网络数据安全管理条例(征求意见稿)》
在《网络数据安全管理条例(征求意见稿)》中第五章专门涉及跨界数据安全管理,这一章继承了《个人信息保护法》,有很多类似的说法。例如涉及数据出境的条文有4条,文字与《个人信息保护法》基本相同,要有评估、要有认证、要有合同、要有其他条件。
在该条例中还应注意对数据处理者向境外提供数据应当履行的义务有9款;第四十条提出了数据出境安全报告的要求,这个非常重要的,通过报告进行监管;第四十一条就国家要建立数据跨境的安全网关,对境外、法律和行政法规禁止发布或者传输的信息予以阻断和传播;第四十二条数据处理者从事跨境数据活动应当按照国家数据跨境安全监管要求,建立健全相关技术和管理措施。
5、《数据出境安全评估办法》
这个评估办法简称20条,规定很详细,但实施起来还有很多细节特例要注意,有这些条款值得关注。第三条数据出境安全评估要坚持事前评估和持续监督、风险自评估与安全评估相结合。第四条是讲评估流程,要先申报,申报之前需要先做自评估,然后提交材料,并且确保材料完整。第七条、第十条、第十二条和第十四条,对评估的期限进行了规定,省级5个工作日,国家级17个工作日,45个工作日完成数据促进安全的评估,评估报告有效期是两年。第八条涉及数据出境安全评估,重点评估什么内容,例如目的、规模、范围、方式、种类、敏感程度,境外接收方的数据安全保护政策法规,可能的风险,保障措施保护责任义务等。第九条是数据处理者应当在与境外接收方订立的法律文件中明确约定数据安全保护责任义务。第十五条是保密条款,第十六条是举报条款。第十七条是终止条款,就是申请了评估报告,在执行过程中企业可能有变化或者国外的安全形势有变化,国内的相关政策有变化,那么就要需要终止。终止以后,企业就需要去做相应的整改,然后重新申报评估。第十八条是追责条款,第十九条定义了什么是重要数据。
这个评估办法组织专家讨论过多轮,还把各行各业的企业家也邀请过来一起讨论,跨国银行、国际航空公司、远洋运输、一带一路的工程等公司,在跨境的过程中的业务中,实际上他们都已经把跨境的数据做成了一种业务流程。现在如果要按照这个评估办法来实施的话,可能相关企业要增加很大的工作量,也会改变业务的流程,会很麻烦,所以颁布实施的时候一定要慎重。
6、《个人信息跨境处理活动安全认证规范》
这个规范是一个标准应用指南文件。包括基本原则、个人信息处理者和境外接收方在个人信息跨境处理活动的个人信息保护、个人信息主体权益保障等方面内容。为认证机构对个人信息处理者的个人信息跨境处理活动开展认证提供依据。为个人信息处理者规范个人信息跨境处理活动提供参考。
三、挑战性问题
1、数据确权
中央和国务院的指导性文件提出要建立数据确权制度。但数据确权存在很大困难,数据权益到底归属于谁?如何采用数据产权结构性分置制度?数据产权不像软件著作权、知识产权那样清晰。围绕数据产权的较量主要是在政府、互联网企业、网民之间展开,政府拥有大量的公共数据,没有数据权益,政务信息公开和共享缺乏动力。互联网企业占有大量的企业数据和网民的个人数据,就这个权益到底属于谁?谁是数据的所有者,是收集数据的互联网平台还是被收集数据的网民?大型互联网平台垄断了网络数据,互联网平台无限制地收集网民个人信息。网民的数据权益得不到保障。
还有,数据权益的评价主体是谁,这是一个很重要的问题。对没有确权的数据进行跨境流动,这就是一笔糊涂账,出去的数据到底是谁的都不知道。
2、数据交易
数据交易的重点是数据怎么定价,中央和国务院的指导性文件提出的是市场定价,协商、竞价、招标也都可以。数据交易平台需要实现共享、交换、交易的功能。数据监管的重点是防范欺诈和泄密。
3、数据跨境流动的安全
随着数字经济的发展,数据跨境流动将成为常态。哪些数据可跨境,哪些数据不可跨境?跨境数据如何进行安全监管?与数据目的地国家如何达成数据安全共识、协约?这些都需要按照前面介绍的文件精神一一落实。
四、几点建议
1、制度建设
按照《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》加快确权制度、交易制度、分配制度、治理制度的研究和建设,同时研究制定配套的管理办法(条例)、规定等,加强出境数据安全标准化工作。
2、机构建设
适时组建国家数据管理局,统领地方大数据管理局(中心)、地方大数据产业发展局等,指导实施国家数据安全战略,研究制定数据安全重大方针政策,统筹协调网络数据安全和相关安全检查、测评、监管等工作。其主要职能应是指导国家数据安全的战略,研究制定数据安全的重大安全政策,尤其是要统一协调网络数据安全和相关安全检查测评和监管工作。
3、建设“数据海关”
《网络数据安全管理条例》第四十一条提出国家建立数据跨境安全网关,对境外、法律和行政法规禁止发布或者传输的信息予以阻断传播。这只是一个流向,我们要管住数据进出两个流向。所以要依托国家有关部门,建设“数据海关”,负责网络数据跨境流动的审核和安全监管,出入境数据交易的关税,打击网络数据走私,防止危及国家安全的网络数据非法出入境。现在中国海关建设有数字海关,但它是海关业务的数字化,跟“数据海关”不是一个概念。“数据海关”的管理对象是跨境流动的数据。
4、建设“数据交易市场”
在国家网络数据开放和共享平台的基础上,建设“数据交易市场”,为网络数据交易提供一个安全、公开、公平的环境。“数据交易市场”应具有数据鉴别、保全、定价、竞价、交易、追溯等基本功能。
5、建设“网络数据安全监控平台”
分级分行业建设“网络数据安全监控平台”,实时监测和有效控制重要或敏感数据全生命周期的安全状况。智慧城市、“互联网+”政务服务等各类大型网信系统工程应建设“网络数据安全监控平台”。这些监控平台通过各地市、省区、部委的监控平台将监测信息汇总到中央级监控平台,全国形成一个树状结构的网络数据安全监控系统。