2023-12-14
摘自:《网络安全技术和产业动态》2023年第9期,总第39期。
数据跨境规则是指约束数据跨境行为的法律法规、政策和标准等准则和规范。数据跨境包括数据出境和数据入境,各国家和地区主要约束数据出境行为。随着数字经济的快速发展,数据跨境规则已成为各国家、地区推动经济发展的重要手段,同时也是各国开展政治博弈的重要领域。
迄今为止,全球近60个国家或地区出台了数据跨境相关规则,主要分为国内法律法规、国际条约或协定两类,目的是实现“数据自由流动”和“数据安全保护”之间的平衡。
欧盟是数据跨境规则制定的先行者,但是其大型数字平台基本来自美国、中国等其他国家,因此欧盟立法致力在成员国内部实现数据自由流动,对数据流出欧盟施加限制以保护自身数字产业,并提出数据单一市场战略以提高欧盟整体经济实力。对于个人数据流出成员国,《通用数据保护条例》(以下简称“GDPR”)确立了以“充分性保护”为核心的数据跨境白名单制度。对于数据传输到未被欧盟认定为充分性保护的国家或地区,数据传输方需采取标准合同条款、约束性公司规则、行为规范和认证等其他措施。对于非个人数据流出成员国,欧盟通过《数据治理法案》明确了非个人数据的跨境传输或政府访问应满足的条件。
与欧盟不同,美国的信息技术产业十分发达,因此需要数据高度自由流动以支撑产业发展。美国试图掌握全球数据跨境规则话语权,以扩大美国企业在全球的市场份额来推行“数据霸权”。对于国内立法,美国联邦和州层面的数据立法并未明确对数据跨境流动进行限制,而是通过《出口管制条例》限制技术数据出境,以及通过《外国投资风险审查现代化法案》和《澄清境外合法使用数据法案》约束商业企业数据出境,加强对关键领域数据的管控。在国际协定层面,美国通过亚太经济合作组织建立《跨境隐私规则体系》(以下简称“CBPR体系”)。CBPR是自我监管型的体系,建立的仅仅是底线标准,有利于扩大美国体系的适用,最终实现个人信息向美国聚拢。
日本大力提倡“可信赖的数据自由流动”理念,鼓励和促进在互信的基础上实现数据跨境自由流动。日本对内以《个人信息保护法》为基础,对企业向境外提供个人信息的限制条件类似于GDPR,确立了充分保护“白名单”、标准合同条款、约束性公司规则等制度。对提供非个人信息的限制只涉及影响国家安全的敏感或关键数据。在双边和多边协定层面,日本一方面积极跟随美国的政策主张,参与CBPR体系;另一方面积极对接GDPR框架,同时制定弥补差异的补充规则。日本推动美日欧三方建立数据安全联盟,旨在促进具有相当数据保护水平的国家之间的数据自由流动,并且通过这种方式来限制中国的竞争优势。
在上述国际背景下,我国从自身利益出发,坚守总体国家安全观,提出的数据跨境规则“中国方案”呈现出分层管理的特征,对重要数据和个人信息的合规性管控进行了差异化设计。我国关于数据跨境的要求始于单行立法,《网络安全法》首次对关键信息基础设施运营者的数据跨境流动做出明确规定,《数据安全法》在此基础上,强调加强数据国际交流合作。2021年,《个人信息保护法》明确对重要数据和个人信息出境进行分类分级管理,通过事前强制性审批、事后备案和自愿认证等手段对出境路径进行了差异化设计,标志着我国数据跨境规则基本形成。国家互联网信息办公室、全国信息安全标准化技术委员会等单位陆续发布数据跨境细则、标准指南,明晰了数据跨境管理目标和实践相关要求。
此外,我国积极参与的一些自由贸易协定也涉及数据跨境规范,例如世界贸易组织(WTO)协定、全面与进步跨太平洋伙伴关系协定(CPTPP)、区域全面经济伙伴关系协定(RCEP)。上述协定的目标是加强跨经济体货物和服务贸易,核心是要求缔约国不得对数据跨境流动设置不必要的障碍。虽然自由贸易协定强调共商共治,未提出强制要求,保持对缔约方现有跨境规则的尊重和包容,但却是全球数字治理中为解决国家间差异的积极尝试。
在经济全球化和数字化进程中,企业开展出境业务面临的数据监管形势日益严格,在应对法律合规、数据安全、业务连续性等风险时面临如下难点:
(一)难以全面识别出境数据
以我国数据出境安全评估为例,企业进行申报需要全面梳理出境业务、信息资产、出境数据类型和规模等信息,此过程中准确识别把握出境数据的类别、规模、重要性和失控风险,明确相关方角色和责任等诸多因素落实难度较大。
(二)难以抵御数据安全风险
通过数据分析可能了解国家人口流动、经济状态、资源分布等情况,因此将面临更频繁的攻击。数据出境对国家安全、社会公共利益、数据主体和企业所带来的风险不可控,造成的威胁后果更严重。数据出境情况环境复杂,终端、链路、数据库、应用都面临网络攻击风险,企业需采取更严格的技术和管理措施,付出更高的成本来防止出境数据被篡改、泄露和损毁。
(三)难以实现双向合规
企业全球性业务可能面临数据跨境流动与合规要求冲突带来的隐患,在同一法域的数据处理行为可能需要满足多法域规则,存在“双向合规”的困难。同时,各国出境规则也在动态发展中,随着规则不断明确和细化,企业维护合规体系的成本也会不断提高。
我国数据跨境规则体系逐渐明晰,有出境业务的企业正在采取行动积极应对,并将其变成一项常态性的合规动作。数据出境安全评估是基本要求,截止2023年8月,北京、上海、浙江等6省市已有十余家企业通过国家互联网信息办公室评估。
个人信息出境标准合同非常严苛,备案要求具有明显的行政管理色彩。标准合同的正式文本已公布,企业法务据此与境外数据接收方沟通签订事宜。2023年6月,北京和浙江网信办通过两家企业个人信息出境标准合同备案。
个人信息跨境处理活动安全认证具有长效性和稳定性,适合集团公司内部的个人信息跨境场景。目前,还没有企业通过认证,公布的认证依据也多为原则性内容,非强制性规范,企业如何落实认证要求和认证机构的检查尺度还有待实践探索。
无论选择何种出境路径,企业都需花费大量时间、人力、物力成本调整业务流程和技术方案。因此,很多企业希望通过技术工具提高数据出境合规工作的效率。部分安全厂商提供基于流量检测技术的第三方工具,与律所、咨询公司合作为企业提供“技术 法律”一体的数据出境合规服务。
为了构建安全有序的数据跨境治理规则,提升数据跨境流动水平,创新数据跨境监管方式,建议如下:
(一)加强监管检查
进一步完善监管检查制度,形成针对不同场景采用多种检查手段结合的方式检查,例如针对有大量个人信息或重要数据出境的重点企业重点关注其出境评估报告,定期或不定期开展专项现场检查。发展非侵入性和穿透性的安全监测技术,提升数据安全监管检查技术能力。
(二)积极探索试点
积极开展数据跨境安全管理试点,遴选跨境合规试点地区和企业,探索跨境数据流动分类监管模式。指导企业制定合规方案和计划,鼓励企业参与国际合作,优化自由贸易区的数据跨境机制等。
(三)鼓励创新研究
鼓励产业联盟、技术社区、行业企业针对数据跨境现实需要,广泛深入研究既能满足数据跨境有效流动,又能满足安全要求符合相关管理规则的机制、技术、标准等问题。
中国网络安全产业联盟(CCIA)主办,中电科网络安全科技股份有限公司供稿。
微信公众号