数据出境安全评估: 保护我国基础性战略资源的重要一环
“数据已成为国家基础性战略资源”,这是指导我国未来经济社会发展的两份基础性文件——《促进大数据发展行动纲要》和“十三五规划纲要”的共同认识。《促进大数据发展行动纲要》还进一步指出,“大数据正日益对全球生产、流通、分配、消费活动以及经济运行机制、社会生活方式和国家治理能力产生重要影响。”
事实上,在国务院和各部门的发文中,有资格被称为“基础性战略资源”的只有数据(或大数据)和档案。而冠以“战略资源”的,则有土地、草原、稀土、石油、天然气、粮食、水、森林、矿产、煤炭等。从字面上来看,加上“基础性”这样的限定,自然意味着更加重要。这也从另一个侧面体现了我国党和政府对数据的高度定位以及对其作用的深刻认识。但这样的对比也同时凸显出一个严峻的现实:我国对稀土、石油、天然气、矿产、森林等战略资源已经配套建立了相对成熟的保护体系,而与之相比,国家对数据资源显然尚未形成一套科学完备的、与其重要性相匹配的保护体系。
习近平总书记在多个场合一再强调,“网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施”。因此,在按照“十三五规划纲要”的要求,“全面实施促进大数据发展行动,加快推动数据资源共享开放和开发应用,助力产业转型升级和社会治理创新”时,如何对数据这样一种宝贵的国家基础性战略资源进行有效保护,成为我国政府必须正视的当务之急。
随着《网络安全法》于2017年6月1日正式开始实施,我国网络安全工作的基本框架、网络安全工作的重点任务和要求得到明确。而具体到数据安全保护,《网络安全法》在37条非常有特色地规定了个人信息和重要数据的出境安全评估制度。如何理解这样一个制度创新,这一制度的落实将对建设我国数据资源保护体系具有怎样的重要意义等问题,将是本文讨论的重点。
一、《网络安全法》数据安全保护体系的三层次设计
综合《网络安全法》有关数据安全保护的条文,根据其保护维度不同,大概可划分出三个层次。如下表所示。
首先,保障数据完整性、保密性和可用性,亦即传统信息安全所称的CIA三性,在《网络安全法》的总则部分第10条就予以明确。第21条规定了网络运营者(包括关键信息基础设施的运营者)的安全保护义务,明确提出“防止网络数据泄露或者被窃取、篡改”的要求。第31条更是从数据泄露可能造成的危害这个角度来界定关键信息基础设施的范围。
其次,个人信息保护方面。《网络安全法》不仅继承了我国现有法律关于个人信息保护的主要条款内容,而且根据新的时代特征、发展需求和保护理念,创造性地增加了部分规定,例如第40条明确将收集和使用个人信息的网络运营者,设定为个人信息保护的责任主体;第41条增加了最少够用原则;第42条增设了个人信息共享的条件;第43条增加了个人在一定情形下删除、更正其个人数据的权利;第44条在法律层面首次给予个人信息交易一定的合法空间。可以说,五条关于个人信息的规定,注重保障个人对自己信息的自主权和支配权,且条条有创新,与现行国际规则及美欧个人信息保护方面的立法实现了理念上、原则上的全面接轨。
最后,国家层面的数据保护。第51、52条对网络安全信息做出了规定,要求国家网信部门及有关部门加强网络安全信息的收集,并要求负责关键信息基础设施安全保护工作的部门及时报送网络安全信息。这就意味着对于网络安全信息这一类重要数据,包括私营部门掌握的网络安全信息,《网络安全法》赋予了国家有关部门收集、分析的权力。而第37条则要求关键信息基础设施的运营者在境内运营中收集和产生的个人信息和重要数据,应当在境内存储。若要将个人信息和重要数据向境外提供,则应首先经过安全评估。
综上,《网络安全法》对数据安全保护的要求可总结如下:
二、准确理解重要数据背后的重大意义
在讨论《网络安全法》第37条提出的数据出境安全评估制度前,有必要重点分析“重要数据”这个概念。
2016年11月7日人大通过的《网络安全法》,删除了原本三审稿中的“重要业务数据”中的“业务”两字,体现了立法者最后时刻的考量:重要数据的重要性,针对的是整体层面的利益保护,即保护国家安全、国计民生、公共利益。因此,只要网络运营者的数据不涉及整体层面利益,不属于“重要数据”的范畴。例如,一家互联网公司的高层会议纪要,对这家公司来说非常重要,但如果不涉及国家、公共利益,显然不属于“重要数据”的范畴,这样的数据就能够自由出境。但是一家生产战备物资的企业,其信息系统形成的进出货记录、库存水平等,可能就涉及国家安全事项,应当认定其为“重要数据”,《网络安全法》要求其在出境前进行安全评估。
从“重要业务数据”转变为“重要数据”,说明《网络安全法》超越了相对为人所熟悉的“个人数据、企业数据、国家数据”的分类方法,进而从数据所影响的价值着手。换句话说,不论是个人数据或是企业数据,只要有可能危及整体层面的利益,也会被认定为“重要数据”。因此,在中央网信办近期公布的《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下简称“出境安全评估办法”)中,重要数据被定义为“与国家安全、经济发展,以及社会公共利益密切相关的数据”。制定过程中的国家标准《数据出境安全评估指南》在附录中给出了重要数据的示例以及识别指南。
如果用一句话来解释,“重要数据”这个概念的提出,实质上是在大数据时代下维护国家安全、社会公众利益的客观要求,也是国家层面的数据安全保护对大数据时代特点的一种自然反应。在过去,“个人数据、企业数据、国家数据”的分类存在一定的意义,因为往往只有国家掌握的数据,往往才有可能影响到整体层面的利益。但在大数据时代,数据收集、汇聚、流转等,大量地发生在公共部门之外,许多企业掌握着海量的数据资源。这些数据,已经具备了影响国家、公共利益的可能性。如阿里巴巴掌握的海量用户信息,首先肯定是个人信息,同时也是企业拥有的数据,但是由于其规模和颗粒度均可比拟公安机关的国家人口基础信息库,准确性甚至更胜一筹。对国家来说,这样规模的人口基础数据一旦泄露,很可能对国家安全造成严重危害。
再如为金融、能源、交通、电信等重要行业中的关键基础设施提供网络安全防护过程中产生的数据,包括系统架构、安全防护计划、策略、实施方案、漏洞等信息。这些数据虽然掌握在网络安全服务提供者手中,但这些数据一旦泄露,将大幅增加这些关键基础设施面临的网络安全风险。因此这些数据,从国家层面来说,肯定属于“重要数据”,哪怕这些数据掌握在私营部门手中。综上来说,判定重要数据,要求我们放弃从“谁掌握数据”来着手,而是从数据可能影响的价值、利益来判断。
三、个人信息和重要数据的出境安全评估
目前,“出境安全评估办法”已经完成了向社会公开征求意见的阶段。中央网信办于5月18、19日两天就“出境安全评估办法”还分别召开与内资、外资企业的交流讨论会。虽然最终文本还未公布,但“出境安全评估办法”构建出的制度框架应该不太会有大的变化。本文余下部分将从三方面解读该制度框架。
1、数据出境控制措施的国际趋势
首先从地域范围来说。据统计,目前全球有超过60个国家和地区提出了数据出境控制的要求。美国信息技术与创新基金会(ITIF)2017年5月1日发布的关于数据跨境流动的研究报告《跨境数据流动:障碍在哪里?代价是什么?》指出,实施数据出境控制的国家遍布各个大洲,既有加拿大、澳大利亚、欧盟等发达国家和地区,也包括俄罗斯、尼日利亚、印度等发展中国家。当然,各国实施的出境控制所适用的数据范围、控制程度各有不同。
从时间维度来看,现有的数据本地化存储规定,大多数是在2000年后做出的。从下图可以发现很有趣的一点:数据本地化存储的兴起,恰恰与以互联网、分布式系统、云计算、大数据等信息技术发展同步。
该图转引自:MartinaFrancesca Ferracane, Data Localization Trends, European Centre forInternational Political Economy, Presentation in Beijing, 19 JULY 2016
一方面,随着云计算、分布式系统等被大规模采用,数据占有者控制数据的能力在削弱,中间环节在增多。原本在单机时代非常明了的问题,例如数据种类有多少、规模有多大、存在哪里、谁能访问等,现在已经变得不那么容易回答了。
另一方面,大数据技术的发展则大大增强了数据占有者对数据控制的需求。一旦海量数据对外界披露,无论是主动的共享开放,还是信息系统被攻破而导致的数据被动泄露,都可能被恶意使用,例如敌对势力将海量数据与其他数据集组合,用各种算法进行数据挖掘等,分析掌握了能威胁国家安全的信息。
从这两个方面就不难理解,国家建立数据出境控制措施,在很大程度上是面对上述两难时的一种反应。
2、在发展和安全之间实现平衡
如今,数据天然地跨国界流动,数据因流动而获得价值,数据流能引领技术流、资金流、人才流,已经成为基本共识。因此,数据流动是原则,限制流动的情形是例外。这一点在“出境安全评估办法”中得到很好的体现。
首先,“出境安全评估办法” 符合公权力行使必须遵循的正当性和必要性的基本原则。按照最新的规定,出境安全评估,评的是数据出境可能对整体层面(包括国家和社会)和个人层面的安全利益所造成的风险:这一方面是由于个人是弱者需要法律保护,另一方面则因为国家安全和社会公共利益是公共产品(public goods),自然人、企业都不会主动提供,只能靠公权力来组织产出这样的公共产品。因此,“出境安全评估办法”最新版本在开篇中直言,其目的是为“维护维护网络空间主权和国家安全、社会公共利益,保护公民合法利益”。至于在现实中占绝大多数的、仅仅涉及纯粹单个企业或组织安全利益的数据出境,“出境安全评估办法”并没有强制要求进行安全评估。试想,如果出境的数据不涉及个人和整体层面的安全利益,国家却规定企业必须对仅涉及其自身利益的商业秘密、知识产权等进行出境评估,显然,这样做不仅没必要,还会吃力不讨好。企业也会觉得政府管得太宽、太多,干涉企业的经营自由。政府也会觉得无从下手,毕竟在“什么数据对企业来说最该保护”这个问题上,企业一定会比政府有发言权,判断也更为准确。
其次,“出境安全评估办法”坚持自评估为主原则。对于个人信息出境,以个人知情同意为主要情形。个人在完整、准确了解数据出境的目的、范围、类型、接收方所在国家或地区,以及可能出现的风险后,可以授权同意其个人信息出境。“出境安全评估办法”还规定了网络运营者在涉及个人信息和重要数据出境前,自行组织或委托网络安全服务机构进行出境安全评估。出境存在涉及可能影响国家安全和社会公共利益的情形时,需要主动报行业主管部门。
再次,从“出境安全评估办法”有关数据不得出境的规定来看,危害国家安全和社会公共利益为主要情形,同时还规定了未经个人同意,其个人信息不得出境。
综上看来,“出境安全评估办法”重点关注了整体层面的安全利益,也正是通过抓住这个数据出境风险中最重要的塔尖——重要数据的出境安全,“出境安全评估办法”很好地实现了发展与安全的平衡。
3、科学的评估设计
“出境安全评估办法”对安全评估的设计兼具科学性和完备性。按照规定,出境评估首先评估数据出境活动是否具有合法性和正当性;在此基础上再评估数据出境计划是否风险可控。对于后者,“出境安全评估办法”从两个方面入手,一是评估出境数据的属性,亦即传统风险评估中的资产重要性,包括数据的数量、范围、类型、敏感程度等;二是评估数据出境发生安全事件的可能性,评估针对的环节包括:数据发送方实施数据出境的技术和管理能力、数据传输的过程、数据接收方对接受所接受的数据的安全保护能力,以及数据接收方所在国家或地区的政治法律风险等。通过评估数据的属性和数据出境各环节中发生安全事件的可能性,网络运营者能预估数据出境的风险,并采取相应的安全措施。制定过程中的国家标准《数据出境安全评估指南》对上述思路进行了细化。
四、展望
数据出境安全评估,作为《网络安全法》设计的在国家层面数据安全保护层面的重要一环,迈出了我国建立全方面、多层次的数据资源保护体系的关键一步。但对数据这样一种“基础性战略资源”来说,《网络安全法》现有的设计还不厚实、充分,例如对重要数据的支配权,《网络安全法》仅仅规定了网络安全信息一种,至于防止重要数据遭恶意使用对国家安全的威胁,《网络安全法》仅规定了出境安全评估。《网络安全法》开了个好头,但显然我们还需要通过制定《数据安全管理办法》等措施,使安全真正地赶上大数据发展的步伐。
本文发表于《中国信息安全》2017年第6期。