近日,國家互聯(lián)網(wǎng)信息辦公室正式公布《數(shù)據(jù)出境安全評估辦法》,就個人信息和重要數(shù)據(jù)的出境安全評估管理措施提供具體的法律解決方案,明確了數(shù)據(jù)出境安全評估的目的、原則、范圍、程序和監(jiān)督機制等具體規(guī)定,對保護我國國家安全、公共利益、個人合法權益和促進數(shù)字經(jīng)濟發(fā)展具有重要的里程碑意義。本期聚焦“數(shù)據(jù)出境安全”。
全力保障數(shù)據(jù)依法有序自由流動
近期,國家互聯(lián)網(wǎng)信息辦公室公布《數(shù)據(jù)出境安全評估辦法》(以下簡稱《辦法》),自2022年9月1日起施行?!掇k法》旨在落實《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》的規(guī)定,規(guī)范數(shù)據(jù)出境活動,保護個人信息權益,維護國家安全和社會公共利益,促進數(shù)據(jù)跨境安全、自由流動,切實以安全保發(fā)展、以發(fā)展促安全。
近年來,隨著數(shù)字經(jīng)濟的蓬勃發(fā)展,數(shù)據(jù)跨境活動日益頻繁,數(shù)據(jù)處理者的數(shù)據(jù)出境需求快速增長。明確數(shù)據(jù)出境安全評估的具體規(guī)定,是促進數(shù)字經(jīng)濟健康發(fā)展、防范化解數(shù)據(jù)出境安全風險的需要,是維護國家安全和社會公共利益的需要,是保護個人信息權益的需要?!掇k法》規(guī)定了數(shù)據(jù)出境安全評估的范圍、條件和程序,為數(shù)據(jù)出境安全評估工作提供了具體指引。
《辦法》明確,數(shù)據(jù)處理者向境外提供在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)和個人信息的安全評估適用本辦法。提出數(shù)據(jù)出境安全評估堅持事前評估和持續(xù)監(jiān)督相結(jié)合、風險自評估與安全評估相結(jié)合等原則。
同時,《辦法》規(guī)定了應當申報數(shù)據(jù)出境安全評估的情形,包括數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)、關鍵信息基礎設施運營者和處理100萬人以上個人信息的數(shù)據(jù)處理者向境外提供個人信息、自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數(shù)據(jù)處理者向境外提供個人信息以及國家網(wǎng)信部門規(guī)定的其他需要申報數(shù)據(jù)出境安全評估的情形。
此外,《辦法》提出了數(shù)據(jù)出境安全評估的具體要求,規(guī)定數(shù)據(jù)處理者在申報數(shù)據(jù)出境安全評估前應當開展數(shù)據(jù)出境風險自評估并明確了重點評估事項。規(guī)定數(shù)據(jù)處理者在與境外接收方訂立的法律文件中明確約定數(shù)據(jù)安全保護責任義務,在數(shù)據(jù)出境安全評估有效期內(nèi)發(fā)生影響數(shù)據(jù)出境安全的情形應當重新申報評估。此外,還明確了數(shù)據(jù)出境安全評估程序、監(jiān)督管理制度、法律責任以及合規(guī)整改要求等。
《辦法》對保護我國國家安全、公共利益、個人合法權益和促進數(shù)字經(jīng)濟發(fā)展具有重要的里程碑意義。第一,《辦法》是落實數(shù)字治理頂層設計的重要配套規(guī)章。當前,數(shù)字經(jīng)濟加快高質(zhì)量發(fā)展,完善數(shù)字經(jīng)濟立法頂層設計及配套制度,是推動數(shù)字經(jīng)濟更好服務和融入新發(fā)展格局的必然要求。中國作為負責任的數(shù)據(jù)大國,積極開展數(shù)據(jù)相關立法,營造數(shù)字經(jīng)濟發(fā)展良好環(huán)境。自2016年起,陸續(xù)出臺《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》等,基本構建了數(shù)據(jù)治理頂層法律制度,有效回應數(shù)字經(jīng)濟發(fā)展中各類問題。其中,數(shù)據(jù)出境作為國內(nèi)外高度關注的數(shù)字經(jīng)濟發(fā)展議題,在有關頂層立法中均作出制度安排,明確了總體性要求?!掇k法》的出臺,對數(shù)據(jù)出境管理中最為重要的“安全評估”手段予以明確,實現(xiàn)了規(guī)則性立法落地,是完善數(shù)字治理頂層制度設計的重要配套性規(guī)章。
第二,《辦法》是促進數(shù)字經(jīng)濟外循環(huán)的關鍵舉措。數(shù)字技術、數(shù)字經(jīng)濟可以推動各類資源要素快速流動、各類市場主體加速融合,幫助市場主體重構組織模式,實現(xiàn)跨界發(fā)展,打破時空限制,延伸產(chǎn)業(yè)鏈條,暢通國內(nèi)外經(jīng)濟循環(huán)。中國信息通信研究院政策與經(jīng)濟研究所所長辛勇飛表示,《辦法》以實現(xiàn)數(shù)據(jù)跨境安全、自由流動為重要立法目標之一,明確了安全評估的對象、程序、要求、期限等主要因素,通過法治途徑提升產(chǎn)業(yè)預期,給予規(guī)范指引,有利于數(shù)據(jù)出境活動的依法有序進行,保障數(shù)據(jù)安全出境,推動形成數(shù)字經(jīng)濟外循環(huán)的重要模式和路徑。
第三,《辦法》是保障國家安全和數(shù)據(jù)安全的有效手段。從全球來看,主要國家和地區(qū)均通過采取多種措施確保數(shù)據(jù)安全、有序出境。歐盟以“充分性保護認定”為核心,構建個人數(shù)據(jù)的出境管理制度,以實現(xiàn)保護個人數(shù)據(jù)的基本價值觀;美國以出口管制、外資安全審查、受控非密信息管理等手段確保重要數(shù)據(jù)不出境;俄羅斯以數(shù)據(jù)本地化備份為主要措施,實現(xiàn)數(shù)據(jù)在境內(nèi)的存儲。中國依法對數(shù)據(jù)進行分類分級管理,通過頂層立法針對重要數(shù)據(jù)、個人信息等出境要求,提供了豐富多樣的跨境流動方案。其中,最具特色的就是建立了數(shù)據(jù)出境安全評估制度,重點實現(xiàn)對國家安全、數(shù)據(jù)安全具有重要影響的數(shù)據(jù)出境管理。《辦法》以上位法為基礎,確定了安全評估的規(guī)則要求,切實保障數(shù)據(jù)安全,規(guī)范數(shù)據(jù)跨境有序流動。
數(shù)據(jù)出境安全制度的新探索
自2022年9月1日起施行的《數(shù)據(jù)出境安全評估辦法》吸引了專家學者的關注?!掇k法》第三條提到,數(shù)據(jù)出境安全評估堅持事前評估和持續(xù)監(jiān)督相結(jié)合、風險自評估與安全評估相結(jié)合,防范數(shù)據(jù)出境安全風險,保障數(shù)據(jù)依法有序自由流動;第十四條提到,通過數(shù)據(jù)出境安全評估的結(jié)果有效期為2年。這兩個細節(jié)充分展現(xiàn)了對數(shù)據(jù)安全出境的有益探索。
中央財經(jīng)大學副教授張金平認為,提出數(shù)據(jù)安全評估的兩大原則,即事前評估和持續(xù)監(jiān)督相結(jié)合原則、風險自評估與安全評估相結(jié)合原則,既可以明確數(shù)據(jù)出境的主體責任,又能實現(xiàn)監(jiān)管閉環(huán)。相較2017年和2019年有關數(shù)據(jù)出境安全評估的草案,《辦法》第三條首次明確提出數(shù)據(jù)出境安全評估的兩大原則。
其中,事前評估和持續(xù)監(jiān)督相結(jié)合原則明確,安全評估不僅關注數(shù)據(jù)出境前對出境后可能出現(xiàn)的風險的評估和所要采取的安全保障措施,還關注數(shù)據(jù)出境后風險發(fā)生的變化以及原有措施的有效性,因而該原則建立了動態(tài)評估法則。
風險自評估和安全評估相結(jié)合原則,明確數(shù)據(jù)處理者的主體責任,即通過自評估的形式對自己的數(shù)據(jù)出境行為負責,確保根據(jù)數(shù)據(jù)出境風險采取相適應且有效的安全保障措施。
然而,數(shù)據(jù)出境關涉國家利益、公共利益和個人權益,而且數(shù)據(jù)處理者的自評估結(jié)論傾向于通過評估,因此《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》都要求通過國家網(wǎng)信部門安全評估,確認數(shù)據(jù)處理者是否切實承擔主體責任,以及評估數(shù)據(jù)出境風險和所采取措施的充分性、有效性。
而評估結(jié)果2年有效期的規(guī)定則保障了企業(yè)參與全球數(shù)字經(jīng)濟建設的持續(xù)性和連貫性?!掇k法》第十四條明確安全評估結(jié)果有效期為2年,意味著數(shù)據(jù)處理者可以申報2年內(nèi)對特定境外接收方的數(shù)據(jù)出境計劃,幫助企業(yè)開展連續(xù)性數(shù)據(jù)出境業(yè)務,促進全球數(shù)字經(jīng)濟發(fā)展。
張金平表示,這種設置帶來了相對的制度優(yōu)勢。以個人信息出境為例,歐盟雖然設置了充分性認定、企業(yè)有效規(guī)則、標準合同條款等合法機制,但目前通過充分性認定的只有14個國家,企業(yè)有效規(guī)則難獲審批(中國企業(yè)尚未有獲批的案例),采用標準合同并不免除數(shù)據(jù)處理者根據(jù)數(shù)據(jù)出境個案的風險采取額外補充措施的義務。相較而言,跨國企業(yè)在我國開展個人信息出境業(yè)務,如果符合安全評估的情形,那么其通過安全評估的確定性要顯著增強,而且還可以提供2年有效期的穩(wěn)定預期,極大方便了企業(yè)開展跨境業(yè)務。
《辦法》在充分平衡各方利益的基礎上對數(shù)據(jù)出境安全管理作出新探索,既著力于維護國家安全、公共利益和個人與組織合法權益,也為全球數(shù)字經(jīng)濟健康發(fā)展提供了中國方案。
《辦法》的正式出臺和實施,將為國家數(shù)據(jù)安全工作筑牢堅實“防線”。國家工業(yè)信息安全發(fā)展研究中心總工程師黃鵬認為,未來隨著標準合同條款、數(shù)據(jù)出境安全認證等其他數(shù)據(jù)跨境監(jiān)管措施的落實,我國的數(shù)據(jù)跨境管理制度體系將更為完善,可形成全球數(shù)據(jù)跨境流動的中國方案。他表示,積極參與全球數(shù)據(jù)規(guī)則制定,在當前雙邊、多邊貿(mào)易談判中增加關于數(shù)據(jù)跨境流動條款,可以為我國數(shù)字企業(yè)“走出去”奠定基礎。依托G20峰會、世界互聯(lián)網(wǎng)大會等多邊對話機制和國際性會議,宣傳我國數(shù)據(jù)跨境流動的主張,吸引更多國家支持和參與《全球數(shù)據(jù)安全倡議》,能夠促進達成數(shù)據(jù)合法、安全、有序跨境流動相關共識。
此外,黃鵬提到,未來需要持續(xù)完善我國數(shù)據(jù)跨境管理的配套規(guī)范,設置標準合同、保護能力認證、例外事項等多元數(shù)據(jù)出境途徑,兼顧數(shù)據(jù)安全與數(shù)據(jù)跨境流動應用。同時,根據(jù)出境國家及地區(qū)政治環(huán)境、國際關系、數(shù)據(jù)保護水平等因素,劃分數(shù)據(jù)出境風險等級,制定差異化的數(shù)據(jù)出境管理要求。
抓牢織好數(shù)字安全防護網(wǎng)
隨著數(shù)字經(jīng)濟的蓬勃發(fā)展,數(shù)據(jù)作為新型生產(chǎn)要素的重要作用日益凸顯。數(shù)據(jù)不僅是數(shù)字化、網(wǎng)絡化、智能化的基礎,也已經(jīng)成為社會各領域廣泛關注的重要資源,更是國家安全的重要組成部分。
數(shù)字經(jīng)濟正在成為重組全球要素資源、重塑全球經(jīng)濟結(jié)構、改變?nèi)蚋偁幐窬值年P鍵力量。與此同時,數(shù)據(jù)的無序流動、泄露等問題給個人和社會安全帶來了潛在危害,數(shù)據(jù)安全風險日益成為影響產(chǎn)業(yè)發(fā)展、網(wǎng)絡安全甚至國家安全的重要因素。
今年6月22日,中央全面深化改革委員會審議通過了《關于構建數(shù)據(jù)基礎制度更好發(fā)揮數(shù)據(jù)要素作用的意見》。會議強調(diào),要把安全貫穿數(shù)據(jù)治理全過程,守住安全底線,明確監(jiān)管紅線,加強重點領域執(zhí)法司法,把必須管住的堅決管到位。近期,國家網(wǎng)信辦出臺的《數(shù)據(jù)出境安全評估辦法》明確了出境數(shù)據(jù)的評估范圍、評估機制以及各參與主體的責任,為有效保障數(shù)據(jù)出境安全提供堅實屏障和有力抓手。
從數(shù)據(jù)安全的角度出發(fā),數(shù)據(jù)最為敏感的當屬關鍵信息基礎設施數(shù)據(jù)。去年7月發(fā)布的《關鍵信息基礎設施安全保護條例》就明確界定了關鍵信息基礎設施的具體范疇。受復雜的國際形勢影響,提升公民國家安全意識和防范抵御敵對勢力滲透腐蝕的能力顯得尤為重要。以高校為例,受疫情影響,許多學校面臨師生異地訪問校園內(nèi)網(wǎng)的挑戰(zhàn),使得業(yè)務端口極易遭受攻擊。為此,國內(nèi)某知名大學在騰訊零信任安全管理系統(tǒng)(iOA)的護航下,采用動態(tài)安全策略,以終端、身份、軟件、目標為核心元素,持續(xù)驗證訪問環(huán)境安全,有效避免了黑客入侵等風險。
《數(shù)據(jù)出境安全評估辦法》不僅明確了數(shù)據(jù)出境及境外接收方處理數(shù)據(jù)的目的、范圍、方式等的合法性、正當性、必要性,也明確了出境數(shù)據(jù)的規(guī)模、范圍、種類、敏感程度,出境中和出境后遭到篡改、破壞、泄露、丟失、轉(zhuǎn)移或者被非法獲取、非法利用等風險??v觀關于數(shù)據(jù)安全的各類法律法規(guī)可以看出,關鍵信息基礎設施數(shù)據(jù)等重要數(shù)據(jù)最為敏感,此類數(shù)據(jù)一旦處理不當特別是在出境過程中被非法獲取、非法利用,將給國家安全帶來嚴重威脅。當前,境外不法分子通過電子郵件竊取科研技術成果及個人信息的情況時有發(fā)生。騰訊安全專家李鐵軍告訴記者,釣魚郵件是最普遍的一種攻擊方式,黑客在通過釣魚郵件攻擊得到立足點后,繼而又通過失陷的系統(tǒng),向整個網(wǎng)絡發(fā)起攻擊滲透。李鐵軍建議,要對陌生郵件保持高度警惕,切勿點擊郵件中的鏈接及附件,同時及時安裝相關操作系統(tǒng)和應用軟件補丁,切勿輕易啟用文檔提示的宏功能。
數(shù)據(jù)跨境流通蘊含潛在風險,不僅會影響數(shù)據(jù)處理者的經(jīng)濟利益,還會給數(shù)據(jù)出境國家?guī)聿豢深A估的安全隱患。中國科學院科技戰(zhàn)略咨詢研究院系統(tǒng)分析與管理研究所副所長、研究員孫曉蕾表示,《數(shù)據(jù)出境安全評估辦法》明確和界定需要申報評估的數(shù)據(jù)范圍是非常重要的,這對數(shù)據(jù)處理者自覺遵守法律法規(guī)、主動申報出境評估工作具有重要意義。要從全面風險管理的角度來分析《數(shù)據(jù)出境安全評估辦法》中關于風險的長效評估,只有做好事前、事中、事后的全流程、全方位風險評估部署,才能系統(tǒng)性做好風險防范與應對。
識別數(shù)據(jù)出境的安全風險,抓牢織好數(shù)字安全防護網(wǎng),要從兩方面著手。一方面,要統(tǒng)籌規(guī)范數(shù)據(jù)相關各方,完善數(shù)據(jù)出境安全的頂層設計。另一方面,要兼顧數(shù)據(jù)出境各方責任與義務,動態(tài)評估與防范化解外部風險。從全球來看,中國作為一個負責任的大國,《數(shù)據(jù)出境安全評估辦法》為全球數(shù)據(jù)治理提供了中國智慧與中國方案,是助力構建網(wǎng)絡空間命運共同體濃墨重彩的一筆。