推荐 | 跨境数据流通合规与技术应用白皮书(2022年)
每天两块钱,实时获取全球数据合规风险预警
👇
❑ 导 读
数字贸易的繁荣,离不开跨境数据的安全有序流通。一方面,加速数字贸易的发展,需要让跨境数据自由便利地流通;另一方面,数据的跨境流通往往涉及到数据安全、个人隐私保护等问题。
来源 | 开放群岛开源社区(转载请注明来源)
数字经济时代,数字贸易是外向型数字经济的核心内容和重要载体,正成为国际贸易增长新引擎。数字贸易的繁荣,离不开跨境数据的安全有序流通。一方面,加速数字贸易的发展,需要让跨境数据自由便利地流通;另一方面,数据的跨境流通往往涉及到数据安全、个人隐私保护等问题。
2022 年 12 月 19 日国务院《关于构建数据基础制度更好发挥数据要素作用的意见》指出“深化开放合作,实现互利共赢。积极参与数据跨境流动国际规则制定,探索加入区域性国际数据跨境流动制度安排。推动数据跨境流动双边多边协商,推进建立互利互惠的规则等制度安排。鼓励探索数据跨境流动与合作的新途径新模式”。加强数据跨境流动的探索,成为我国在全球数字经济发展格局中建立优势的关键。
《跨境数据流通合规与技术应用白皮书》以跨境数据流通线下合规与线上技术解决方案相结合为特色,在研究分析数据出境接受国或地区的法律环境和调研行业数据跨境实践的基础上,探索用技术手段实现跨境数据的高效流转,也是跨境数据流通技术解决方案的首次集中展示。
01跨境数据流通需求与意义在信息时代的大背景下,数据作为新兴资源要素得到了各国重视,我国《数据安全法》中,将“数据”定义为任何以电子或者其他方式对信息的记录。全球数据的跨境流通也愈发频繁,国际上对数据跨境概念的界定尚未形成统一的标准。我国在《数据出境安全评估办法》中,将数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息视为数据出境活动。
跨境数据流通是推动人才流、物流、资金流和信息流跨域自由流转的基础,在促进经济增长、加速技术创新、推动企业全球化等方面发挥了积极作用。
当前,数据跨境流动也成为全球数字经济发展中各国数据博弈的核心。依托数字技术和信息网络推动数据跨境流动,可带动各类资源要素快捷流动、各类市场主体加速融合,帮助企业重构组织模式实现跨界发展,促进数字经济做强做优做大。
随着国际贸易和数字服务进出口规模的持续扩大,跨境流通的数据量持续增加,我国跨境数据流通呈现规模化、区域化的特点。
01
完善数据跨境流通法律法规体系
我国积极完善数据安全保护及数据跨境流通法律法规体系,立法覆盖面逐渐扩展,初步形成较为完整的数据安全保护、个人信息保护和跨境数据依法有序流通的法律体系。《网络安全法》《数据安全法》等就数据出境作出了相关规定,构建起安全条件下促进数据自由有序高效流动的基本管理制度。2022年7月发布的《数据出境安全评估办法》,就我国个人信息和重要数据出境安全审查评估等提出全面系统的要求、提供具体的法律解决方案,是我国破题数据跨境流动管理规则的重要实践。
02
探索数据跨境流通实施路径
我国高度重视跨境数据流通工作,坚持数据安全流通和数字经济发展并重,积极探索跨境数据流通的实施路径。从中央到地方的实践探索,为促进跨境数据自由高效有序流动奠定了良好基础。
03
提升数据跨境流通规则制定话语权
我国积极提升全球数据跨境流通规则制定话语权。在我国已经陆续加入的中韩自贸协定、区域全面经济伙伴关系协定(RCEP)中,关于数据跨境流通议题被各方广泛关注。积极开展多边框架下的国际数字贸易合作,有利于提升我国在数据跨境流通等关键议题的国际话语权。
04
挖掘数据跨境流通场景应用与技术
全球数据量以59%以上的年增长率快速增长,其中80%是非结构化和半结构化数据,非结构化数据的利用率和可见度尚具有很大的挖掘空间。在跨境数据流通中数据正从“汇聚可用”向“链接可用”的技术路线发展。
03我国跨境数据流通实践存在的问题
数据跨境界定不清晰
目前,对于数据跨境的界定在法律层面仍不够清晰。但仍然无法明确某些具体场景下,数据处理活动是否构成数据出境活动。对于数据跨境场景界定的不清晰,将陷入数据处理者无法准确识别自身合规义务、监管部门无法明确监管事项的困境。
市场对于国家核心数据、重要数据的判定存在差异
当前国家核心数据、重要数据的识别标准模糊,导致部分跨境数据流通或交易对于国家核心数据、重要数据的判定存在差异而造成违规或合规压力。
数据出境业务开展成本高
《数据出境安全评估办法》规定在申报数据出境安全评估前,应当开展数据出境风险自评估。特别是在监管趋严的情况下,为确保数据依法依规跨境流通,尽快达到前述办法明确的合规要求,数据处理者通常自我施压,主动“加码”,来应对可能出现的风险,最终致使有数据跨境传输需求的数据处理者合规义务陡增。
数据接收方的合规义务核查难
根据现行有效的法律法规等规范文件,对于数据出境链路及数据接收方的数据安全保障能力均有相应的要求,但在实际业务开展中,域外法律识别、政策法规和安全环境评价、接收方数据安全保障能力、数据处理全流程等事项均涉及域外核查,开展实地调研及核查存在一定难度及较高成本,企业落实存在一定困难。
数据跨境安全义务评价标准缺失
对于拟通过数据出境安全评估路径传输数据出境的企业,需对自身及境外数据接收方的数据处理安全保障能力进行描述,但是对于应当采取何种类型的安全措施以及应当在数据跨境传输过程中部署哪些安全保障策略等问题,《数据出境安全评估办法》《数据出境安全评估申报指南(第一版)》等规范文件中均未明确。
个人信息出境标准合同适用范围过小
根据国家互联网信息办公室 2022 年 6 月 30 日发布的《个人信息出境标准合同规定(征求意见稿)》,如个人信息处理者处理个人信息超过 100 万人次,将无法适用该标准合同传输数据出境,但实践中众多小微企业经营跨境电商等业务时,都会处理超过100万人次的个人信息。
跨境数据流通技术水平和数据治理能力有待提升
我国跨境数据流通的需求正从事件与合规驱动向业务驱动演进,跨境数据流通在技术上需要性能稳定、简单易用的全链条平台工具释放阻力。跨境数据还存在数据壁垒突出、碎片化问题严重等瓶颈。现有结构性数据为主治理方式,在数据质量、数据字段丰富度、数据分布和数据实时性等维度还难以满足跨境领域AI应用对数据的高质量要求。
04我国跨境数据流通合规与技术应用建议随着数字经济时代的到来,数据跨境已成为全球发展的必然趋势。为促进数据跨境流动、保护数据跨境安全,我国制定并颁布的数据领域的法律、法规、规章及标准中,均对数据跨境予以规定。同时,应充分发挥技术保障作用,运用技术手段构建安全风险防控体系,促进数据安全有序跨境流通。
确定拟出境的数据是否为需申报的数据类型
重要数据和符合条件的个人信息出境前需主动申报。从我国向境外提供数据,需要进行数据出境安全评估申报的数据类型有两类:一类是重要数据,另一类是满足条件的个人信息。
需进行数据出境安全评估申报的数据类型
从立法层面来看,我国已明确规定数据出境前需主动申报的数据类型及相关情形;但从实践角度来看,如何判断待出境的数据是否为重要数据仍具有不确定性。
合规开展数据出境风险自评估与数据出境安全评估工作
数据出境风险自评估与数据出境安全评估的重点评估事项大体相同,主要考核评估以下几个方面:1)客体角度:出境数据本身,包括规模、范围、种类、敏感程度、潜在风险;2)行为角度:数据出境行为,主要指数据出境的目的、范围、方式等是否合法正当必要;3)主体角度:境外接收方,包括境外接收方当地的保护政策及保护水平是否达到我国标准;4)技术保障角度:数据出境中及出境后数据安全和个人信息权益保护途径是否畅通有效;5)法律文件角度:与境外接收方拟订立的数据出境相关合 同或其他法律文件。
数据分类分级技术帮助企业梳理出境数据
《数据出境安全评估办法》明确指出,企业在数据出境过程中,需要评估出境数据的规模、范围、种类、敏感程度。随着企业的数据资产规模越来越大,基于人工梳理方式的分类分级工作投入巨大,已经无法满足企业安全合规的要求。
数据脱敏去标识化保证敏感数据最小使用和安全防护原则
数据脱敏或去标识化是指对敏感信息通过脱敏规则进行数据的变形,实现敏感隐私数据的可靠保护。个人信息去标识化过程一般涉及个人数据预处理,数据去标识化,去标识化结果评级这几个阶段。数据预处理阶段可以采用数据抽样,减小数据集的规模,减少结果集中的个人信息。数据去标识化阶段可以采用统计技术、密码技术、抑制技术、假名化技术、泛化技术、随机化技术、数据合成技术等。
数据安全网关构建安全可控的数据出境链路
境外系统可能通过 API 接口的方式访问境内数据中心,在此过程中为了合法合规,一般需要引入数据安全网关对接口进行纳管。数据安全网关能够对涉及 60 敏感数据流量接口进行识别,并对敏感数据接口的动态防护,通过对相关调用进行脱敏、拦截、限流、限频等事中控制措施,确保个人隐私数据、行业重要数据得到安全保障。
数据安全加密技术保障出境数据存储安全
针对出境业务数据,数据处理者应当在与境外接收方订立的法律文件中明确约定数据安全保护责任义务,包括数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施。为确保数据在存储侧的安全,需要数据存储加密技术,一方面对数据库存储层透明加密,另一方面对应用层的数据进行加密。
隐私计算保护数据出境场景中的原始信息
隐私计算是指在保证数据提供方不泄露原始数据的前提下,对数据进行分析处理与计算的一系列信息技术,保障数据在流通与应用过程中“可用不可见”。隐私计算由于其技术特性,可在数据跨境场景中提供原始数据不出域的解决方案。
基于区块链存证的出境事件稽核溯源
区块链存证在数据要素流通场景上,可将数据在采集、存储、流通、分析、应用等各个环节的行为进行存证上链,达到防篡改、可追溯、可信任的目的。
具体内容如下
联系微信:heguilvshi领取优惠券,加入会员
招募讲师:欢迎加入DPOHUB课程平台
平台介绍:数据合规权威平台之一,数据法盟和数据保护官的专业粉丝超过10万,学员超过2万。 讲师收益:权威平台的免费宣传,塑造讲师个人职业品牌及影响力;收益共享权。 申请条件:只要在数据隐私、安全及治理等方面具有落地经验或理论积累,都可以申请加入。 授课方式:既可以是体系性课程(每讲20-30分钟),也可以是一次在线讲座(60-90分钟)。 申请方式:请将“简历、课程名称及大纲”发送到微信:heguilvshi 或邮箱:11535782@qq.com