近日,国家互联网信息办公室正式公布《数据出境安全评估办法》,就个人信息和重要数据的出境安全评估管理措施提供具体的法律解决方案,明确了数据出境安全评估的目的、原则、范围、程序和监督机制等具体规定,对保护我国国家安全、公共利益、个人合法权益和促进数字经济发展具有重要的里程碑意义。本期聚焦“数据出境安全”。
全力保障数据依法有序自由流动
近期,国家互联网信息办公室公布《数据出境安全评估办法》(以下简称《办法》),自2022年9月1日起施行。《办法》旨在落实《网络安全法》《数据安全法》《个人信息保护法》的规定,规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,切实以安全保发展、以发展促安全。
近年来,随着数字经济的蓬勃发展,数据跨境活动日益频繁,数据处理者的数据出境需求快速增长。明确数据出境安全评估的具体规定,是促进数字经济健康发展、防范化解数据出境安全风险的需要,是维护国家安全和社会公共利益的需要,是保护个人信息权益的需要。《办法》规定了数据出境安全评估的范围、条件和程序,为数据出境安全评估工作提供了具体指引。
《办法》明确,数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估适用本办法。提出数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合等原则。
同时,《办法》规定了应当申报数据出境安全评估的情形,包括数据处理者向境外提供重要数据、关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息、自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息以及国家网信部门规定的其他需要申报数据出境安全评估的情形。
此外,《办法》提出了数据出境安全评估的具体要求,规定数据处理者在申报数据出境安全评估前应当开展数据出境风险自评估并明确了重点评估事项。规定数据处理者在与境外接收方订立的法律文件中明确约定数据安全保护责任义务,在数据出境安全评估有效期内发生影响数据出境安全的情形应当重新申报评估。此外,还明确了数据出境安全评估程序、监督管理制度、法律责任以及合规整改要求等。
《办法》对保护我国国家安全、公共利益、个人合法权益和促进数字经济发展具有重要的里程碑意义。第一,《办法》是落实数字治理顶层设计的重要配套规章。当前,数字经济加快高质量发展,完善数字经济立法顶层设计及配套制度,是推动数字经济更好服务和融入新发展格局的必然要求。中国作为负责任的数据大国,积极开展数据相关立法,营造数字经济发展良好环境。自2016年起,陆续出台《网络安全法》《数据安全法》《个人信息保护法》等,基本构建了数据治理顶层法律制度,有效回应数字经济发展中各类问题。其中,数据出境作为国内外高度关注的数字经济发展议题,在有关顶层立法中均作出制度安排,明确了总体性要求。《办法》的出台,对数据出境管理中最为重要的“安全评估”手段予以明确,实现了规则性立法落地,是完善数字治理顶层制度设计的重要配套性规章。
第二,《办法》是促进数字经济外循环的关键举措。数字技术、数字经济可以推动各类资源要素快速流动、各类市场主体加速融合,帮助市场主体重构组织模式,实现跨界发展,打破时空限制,延伸产业链条,畅通国内外经济循环。中国信息通信研究院政策与经济研究所所长辛勇飞表示,《办法》以实现数据跨境安全、自由流动为重要立法目标之一,明确了安全评估的对象、程序、要求、期限等主要因素,通过法治途径提升产业预期,给予规范指引,有利于数据出境活动的依法有序进行,保障数据安全出境,推动形成数字经济外循环的重要模式和路径。
第三,《办法》是保障国家安全和数据安全的有效手段。从全球来看,主要国家和地区均通过采取多种措施确保数据安全、有序出境。欧盟以“充分性保护认定”为核心,构建个人数据的出境管理制度,以实现保护个人数据的基本价值观;美国以出口管制、外资安全审查、受控非密信息管理等手段确保重要数据不出境;俄罗斯以数据本地化备份为主要措施,实现数据在境内的存储。中国依法对数据进行分类分级管理,通过顶层立法针对重要数据、个人信息等出境要求,提供了丰富多样的跨境流动方案。其中,最具特色的就是建立了数据出境安全评估制度,重点实现对国家安全、数据安全具有重要影响的数据出境管理。《办法》以上位法为基础,确定了安全评估的规则要求,切实保障数据安全,规范数据跨境有序流动。
数据出境安全制度的新探索
自2022年9月1日起施行的《数据出境安全评估办法》吸引了专家学者的关注。《办法》第三条提到,数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动;第十四条提到,通过数据出境安全评估的结果有效期为2年。这两个细节充分展现了对数据安全出境的有益探索。
中央财经大学副教授张金平认为,提出数据安全评估的两大原则,即事前评估和持续监督相结合原则、风险自评估与安全评估相结合原则,既可以明确数据出境的主体责任,又能实现监管闭环。相较2017年和2019年有关数据出境安全评估的草案,《办法》第三条首次明确提出数据出境安全评估的两大原则。
其中,事前评估和持续监督相结合原则明确,安全评估不仅关注数据出境前对出境后可能出现的风险的评估和所要采取的安全保障措施,还关注数据出境后风险发生的变化以及原有措施的有效性,因而该原则建立了动态评估法则。
风险自评估和安全评估相结合原则,明确数据处理者的主体责任,即通过自评估的形式对自己的数据出境行为负责,确保根据数据出境风险采取相适应且有效的安全保障措施。
然而,数据出境关涉国家利益、公共利益和个人权益,而且数据处理者的自评估结论倾向于通过评估,因此《网络安全法》《数据安全法》《个人信息保护法》都要求通过国家网信部门安全评估,确认数据处理者是否切实承担主体责任,以及评估数据出境风险和所采取措施的充分性、有效性。
而评估结果2年有效期的规定则保障了企业参与全球数字经济建设的持续性和连贯性。《办法》第十四条明确安全评估结果有效期为2年,意味着数据处理者可以申报2年内对特定境外接收方的数据出境计划,帮助企业开展连续性数据出境业务,促进全球数字经济发展。
张金平表示,这种设置带来了相对的制度优势。以个人信息出境为例,欧盟虽然设置了充分性认定、企业有效规则、标准合同条款等合法机制,但目前通过充分性认定的只有14个国家,企业有效规则难获审批(中国企业尚未有获批的案例),采用标准合同并不免除数据处理者根据数据出境个案的风险采取额外补充措施的义务。相较而言,跨国企业在我国开展个人信息出境业务,如果符合安全评估的情形,那么其通过安全评估的确定性要显著增强,而且还可以提供2年有效期的稳定预期,极大方便了企业开展跨境业务。
《办法》在充分平衡各方利益的基础上对数据出境安全管理作出新探索,既着力于维护国家安全、公共利益和个人与组织合法权益,也为全球数字经济健康发展提供了中国方案。
《办法》的正式出台和实施,将为国家数据安全工作筑牢坚实“防线”。国家工业信息安全发展研究中心总工程师黄鹏认为,未来随着标准合同条款、数据出境安全认证等其他数据跨境监管措施的落实,我国的数据跨境管理制度体系将更为完善,可形成全球数据跨境流动的中国方案。他表示,积极参与全球数据规则制定,在当前双边、多边贸易谈判中增加关于数据跨境流动条款,可以为我国数字企业“走出去”奠定基础。依托G20峰会、世界互联网大会等多边对话机制和国际性会议,宣传我国数据跨境流动的主张,吸引更多国家支持和参与《全球数据安全倡议》,能够促进达成数据合法、安全、有序跨境流动相关共识。
此外,黄鹏提到,未来需要持续完善我国数据跨境管理的配套规范,设置标准合同、保护能力认证、例外事项等多元数据出境途径,兼顾数据安全与数据跨境流动应用。同时,根据出境国家及地区政治环境、国际关系、数据保护水平等因素,划分数据出境风险等级,制定差异化的数据出境管理要求。
抓牢织好数字安全防护网
随着数字经济的蓬勃发展,数据作为新型生产要素的重要作用日益凸显。数据不仅是数字化、网络化、智能化的基础,也已经成为社会各领域广泛关注的重要资源,更是国家安全的重要组成部分。
数字经济正在成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量。与此同时,数据的无序流动、泄露等问题给个人和社会安全带来了潜在危害,数据安全风险日益成为影响产业发展、网络安全甚至国家安全的重要因素。
今年6月22日,中央全面深化改革委员会审议通过了《关于构建数据基础制度更好发挥数据要素作用的意见》。会议强调,要把安全贯穿数据治理全过程,守住安全底线,明确监管红线,加强重点领域执法司法,把必须管住的坚决管到位。近期,国家网信办出台的《数据出境安全评估办法》明确了出境数据的评估范围、评估机制以及各参与主体的责任,为有效保障数据出境安全提供坚实屏障和有力抓手。
从数据安全的角度出发,数据最为敏感的当属关键信息基础设施数据。去年7月发布的《关键信息基础设施安全保护条例》就明确界定了关键信息基础设施的具体范畴。受复杂的国际形势影响,提升公民国家安全意识和防范抵御敌对势力渗透腐蚀的能力显得尤为重要。以高校为例,受疫情影响,许多学校面临师生异地访问校园内网的挑战,使得业务端口极易遭受攻击。为此,国内某知名大学在腾讯零信任安全管理系统(iOA)的护航下,采用动态安全策略,以终端、身份、软件、目标为核心元素,持续验证访问环境安全,有效避免了黑客入侵等风险。
《数据出境安全评估办法》不仅明确了数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性,也明确了出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险。纵观关于数据安全的各类法律法规可以看出,关键信息基础设施数据等重要数据最为敏感,此类数据一旦处理不当特别是在出境过程中被非法获取、非法利用,将给国家安全带来严重威胁。当前,境外不法分子通过电子邮件窃取科研技术成果及个人信息的情况时有发生。腾讯安全专家李铁军告诉记者,钓鱼邮件是最普遍的一种攻击方式,黑客在通过钓鱼邮件攻击得到立足点后,继而又通过失陷的系统,向整个网络发起攻击渗透。李铁军建议,要对陌生邮件保持高度警惕,切勿点击邮件中的链接及附件,同时及时安装相关操作系统和应用软件补丁,切勿轻易启用文档提示的宏功能。
数据跨境流通蕴含潜在风险,不仅会影响数据处理者的经济利益,还会给数据出境国家带来不可预估的安全隐患。中国科学院科技战略咨询研究院系统分析与管理研究所副所长、研究员孙晓蕾表示,《数据出境安全评估办法》明确和界定需要申报评估的数据范围是非常重要的,这对数据处理者自觉遵守法律法规、主动申报出境评估工作具有重要意义。要从全面风险管理的角度来分析《数据出境安全评估办法》中关于风险的长效评估,只有做好事前、事中、事后的全流程、全方位风险评估部署,才能系统性做好风险防范与应对。
识别数据出境的安全风险,抓牢织好数字安全防护网,要从两方面着手。一方面,要统筹规范数据相关各方,完善数据出境安全的顶层设计。另一方面,要兼顾数据出境各方责任与义务,动态评估与防范化解外部风险。从全球来看,中国作为一个负责任的大国,《数据出境安全评估办法》为全球数据治理提供了中国智慧与中国方案,是助力构建网络空间命运共同体浓墨重彩的一笔。