“新石油”开发记④:数据跨境,鼓励流动无法以让渡安全为代价
编者按:已然来临的数字时代,数据是核心驱动要素。围绕数据的开发利用,一场新的生产与认知革命正在展开。想要了解这个时代,必须要先认识数据。21世纪经济报道准备了数据要素市场系列报道,以期为行业和社会公众提供理解数据的敲门砖。
新一轮国际竞争力
欧盟与美国采用的规则便各有侧重,一方强调的是事前防御,一方则是事后监管。粤港澳大湾区大数据研究院总规划师王新玉向记者分析,欧盟将个人隐私保护视为开展跨境数据流动的前提条件,并将构建法律规制体系作为保护个人隐私必不可少的手段,采用的是“以地理区域为基准、充分保护为前提”的事前防御规制模式。
关键词:安全
从我国跨境数据流动的现有规则来看,2017年之前,对金融、征信、人口健康、互联网地图、网约车等特定领域的数据出境,通过行政法规、部门规章和规范性文件等进行了规范。2017年之后发布的《网络安全法》《数据安全法》《个人信息保护法》,从法律法规层面制定的数据出境管理制度。
“安全”一词贯穿始终。2020年,我国发起《全球数据安全倡议》,倡导安全共享,更就推进全球数据安全治理提出了中国方案。
“我国呈现出‘分散立法’与‘专门规定’相结合的跨境数据流动制度框架,体现了‘禁止流动为原则、允许流动为例外’的制度特点,在跨境数据流动属性方面,我国主要基于‘属地原则’。”王新玉说。
对于企业合规,我国数据跨境政策坚持维护国家安全、公共利益和个人信息权益。从安全监管角度出发,竞天公诚律师事务所合伙人周杨列举,由三个方面立体考察数据跨境的合规性——分别是数据处理者身份,即是否为关键信息基础设施运营者;数据类型,即是否为重要数据或个人信息;数据处理活动类型,即是否涉及国家安全。
从支持经济发展的角度而言,国家为个人信息的跨境提供了除数据安全评估之外的其他可行路径,但也必须符合两组合规要件。第一组为满足网信部门的合规控制条件,即出境安全评估、认证和标准合同三大合规路径;第二组为出境方自身需要完成的企业自主合规条件。
“包括保障境外接收方处理个人信息达到《个人信息保护法》标准,按照法定要求告知个人信息主体并取得其单独同意,完成个人信息保护影响评估等。”周杨提到,两组必要条件均需要满足,否则企业无法完成个人信息出境合规工作。
总体而言,数据跨境政策在涉及国家安全方面采取事前许可的趋严管理策略,支持经济活动方面采取相对宽松的事后监管尺度。
“不过,对比其他国家的个人信息流动政策可知,我国《个人信息保护法》对于个人信息监管仍属于较为严格的类型。”周杨表示,并不像日本或新加坡一样,承认个人信息主体的同意可以作为个人信息跨境的单一合法理由。
由于《数据出境安全评估办法》的实施,处理个人信息达到一定量级的企业在出境较小数额的个人信息时也同样需要经过评估,这让一些企业承担着高规格的合规义务。例如,某跨国企业由于处理用户数据达到了100万因而需要履行数据出境安全评估义务,但实际上企业只需要出境数百条员工数据至境外母公司,并不需要出境任何客户数据。
先行先试
当前,国家层面已经初步建立跨境数据流动规则体系,但在落实执行方面仍然欠缺具体操作指引,未来需要进一步强化数据跨境流通制度建设,以突破数据要素市场培育发展的关键瓶颈。
王新玉认为,下一步应当建立健全数据分级分类管理、数据目录管理、出境数据评估和管理办法等基本制度,并通过在一些地区先行先试,探索数据跨境流动的管理机制。
事实上,各地已初步布局数据跨境的试点工作。2020年8月,商务部发布《关于印发全面深化服务贸易创新发展试点总体方案的通知》,提出北京、天津、上海、广州、深圳等28个省市区开展数据跨境传输安全管理试点,明确要求支持试点开展数据跨境流动安全评估。
根据北京、上海、浙江、海南等地的自贸试验区方案,以及上海、重庆等地的数据条例,多地均对数据跨境流动进行创新探索。例如,北京提出数据产品跨境交易模式,设立了北京国家大数据交易所;上海首提在临港新片区内探索制定低风险跨境流动数据目录,促进数据跨境安全有序流动;与澳门仅一水之隔的横琴,去年则被赋予了“促进国际互联网数据跨境安全有序流动”的责任。
“上海临港新片区率先探索制定低风险跨境流动数据目录,实际上是设定好风险范围,让低风险范围内的跨境数据更加自由地流动,便利数据的安全评估流程。”惠志斌说,一方面是压力测试,一旦发现问题也处于可控范围,并能积累经验为完善跨境数据安全流动制度提供指引;另一方面,也为其他省市的跨境数据管理有启示,起到示范性作用。
基于各地政策的支持,数据跨境流通技术能力也逐步强化,筑牢数据要素市场安全底座。
联易融隐私计算技术负责人陈曦向记者介绍,根据跨境业务场景和流通数据的种类,用于数据跨境合规方面的技术主要有以下几类:文件加密技术,用以解决非敏感跨境数据安全传输问题;数据脱敏技术,用以解决低敏感工业数据的跨境使用问题;隐私计算技术,用以解决敏感数据限制跨境流通的问题;区块链技术,利用存证溯源用以解决隐私信息跨境流转的问题;传统的访问控制和身份认证技术,用以解决跨境数据合规使用控制的问题。
依托数据交易所开展跨境数据业务,建设离岸数据交易平台,在金融、科研、物流等重点行业数据跨境流通机制试点,也将成为未来的主要发展方向。
王新玉建议,数据交易所应积极参与数据流动、数据安全、数字货币、数字经济税收等国际规则和数字技术标准制定,聚焦跨境电商、跨境支付、供应链管理等典型应用场景,利用人工智能、区块链等技术探索建立数据“可用不可见”跨境流通环境。同时,以国际互联网转接等核心业态,带动发展数字贸易、离岸数据服务外包、互联网创新孵化等关联业态,汇聚国际数据资源。
END