專家解讀|數據安全治理的中國智慧
大數據技術快速發(fā)展不斷催生新業(yè)態(tài),正成為經濟社會發(fā)展的新動能。2022年第2期《求是》雜志刊發(fā)了習近平總書記的重要文章《不斷做強做優(yōu)做大我國數字經濟》,指出數字經濟正在成為重組全球要素資源、重塑全球經濟結構、改變全球競爭格局的關鍵力量。與此同時,數據的無序流動、泄露等問題給個人和社會安全帶來了潛在危害,數據安全風險日益成為影響產業(yè)發(fā)展、網絡安全甚至國家安全的重要因素。因此,亟需以系統(tǒng)觀同步探索數據治理體系,防范和化解風險挑戰(zhàn),有效實現(xiàn)數據安全與經濟發(fā)展的統(tǒng)籌協(xié)調。近期,國家網信辦出臺的《數據出境安全評估辦法》明確了出境數據的評估范圍、評估機制以及各參與主體的責任,為有效保障數據出境安全提供堅實的屏障和有力抓手。
一、強調數據出境的長效評估,全方位筑牢數字安全長城
(一)明晰需要申報評估的數據范圍,提供出境評估長效動能
從數據安全的角度出發(fā),數據最為敏感的當屬關鍵信息基礎設施數據。2021年7月發(fā)布的《關鍵信息基礎設施安全保護條例》中明確指出,關鍵信息基礎設施是指:“公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業(yè)等重要行業(yè)和領域的,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統(tǒng)等”。2022年2月15日開始施行的《網絡安全審查辦法》提出“掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市,必須向網絡安全審查辦公室申報網絡安全審查”,這使得“100萬用戶的個人信息”成為了一道紅線。縱觀關于數據安全的各類法律法規(guī)可以看出,關鍵信息基礎設施數據等重要數據不僅最為敏感,數據也最為廣泛,涵蓋了國計民生的方方面面。此類數據一旦處理不當特別是在出境過程中被非法獲取、非法利用,將對國家安全帶來嚴重威脅。因此,《數據出境安全評估辦法》明確和界定需要申報評估的數據范圍是非常重要的,這對數據處理者自覺遵守法律法規(guī)要求,主動申報出境評估工作具有重要意義。
(二)全面評估出境數據的安全風險,筑牢數字安全的制度屏障
數據跨境流通蘊含潛在風險,不僅會影響到數據處理者的經濟利益,還會對數據出境國家?guī)聿豢深A估的安全隱患。因此,有必要從全面風險管理的角度來分析《數據出境安全評估辦法》中關于風險的長效評估。首先,在數據出境之前,數據處理者要先對出境數據的規(guī)模、范圍、種類、敏感程度,數據出境可能對國家安全、公共利益、個人或者組織合法權益帶來的風險做到全面和系統(tǒng)的風險自評估;其次,在數據出境過程中,明確規(guī)定了雙方簽訂法律文件中必須含有數據安全保護責任義務的條款,以約束數據接收者保障數據安全。最后,規(guī)定數據出境評估結果有效期為二年,亦規(guī)定了需要重新評估的三種情形:(1)向境外提供數據的初次評估內容和境外接收方處理數據的初次評估內容發(fā)生變更;(2)境外接收方所在國家或者地區(qū)政策法規(guī)和網絡安全環(huán)境發(fā)生變化、實際控制權發(fā)生變化、法律文件變更等可能影響出境數據安全的情形;以及(3)影響出境數據安全的其他情形等。簡言之,只有做好事前、事中、事后的全流程、全方位風險評估部署,才能系統(tǒng)性做好風險防范與應對。
二、識別數據出境的安全風險,抓牢織好數字安全防護網
(一)統(tǒng)籌規(guī)范數據相關各方,完善數據出境安全的頂層設計
數據出境涉及主體包括國內數據處理者和國外數據接收者。在跨境數據流動中,通常數據競爭力較弱的國家是數據的主要提供者,數據競爭力較強的國家則是數據的主要接收者。因此,《數據出境安全評估辦法》不僅明確指出了數據出境及境外接收方處理數據的目的、范圍、方式等的合法性、正當性、必要性,也明確了出境數據的規(guī)模、范圍、種類、敏感程度,出境中和出境后遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等風險。這兩項規(guī)定是對數據出境安全的頂層設計,不僅保障了我國涉及數據出境相關方利益,也對境外數據接收方提出了安全要求。只有明確數據相關各方的風險點位、風險等級,才能做好出境安全評估,從而確保每個階段的工作都有理可循、有法可依。
(二)兼顧數據出境各方責任與義務,動態(tài)評估與防范化解外部風險
對于數據出境,不僅僅對數據處理者,還要對數據接收者進行評估。面對復雜的國際形勢,我國出于維護自身數據安全需要,對數據接收者進行嚴格的評估是極其必要的。特別是,境外接收方所在國家或者地區(qū)的數據安全保護政策法規(guī)及網絡安全環(huán)境對出境數據安全的影響,以及境外接收方的數據保護水平是否達到我國法律、行政法規(guī)規(guī)定和強制性國家標準的要求,應是評估重點。此外,針對法律文件的簽訂,明確要求境外接收方在實際控制權或者經營范圍發(fā)生實質性變化,或者所在國家、地區(qū)數據安全保護政策法規(guī)和網絡安全環(huán)境發(fā)生變化導致難以保障數據安全時,應當采取安全措施。這兩項規(guī)定,能夠更好避免出境數據被惡意利用而產生各類風險。
三、小結
數據安全是國家安全的重要組成部分。從國內來看,《數據出境安全評估辦法》完善了數據出境安全評估的具體制度,在數據治理領域踐行了總體國家安全觀。從全球來看,中國作為一個負責任的大國,《數據出境安全評估辦法》為全球數據治理提供了中國智慧與中國方案,是助力構建網絡空間命運共同體濃墨重彩的一筆。(作者:孫曉蕾 中國科學院科技戰(zhàn)略咨詢研究院系統(tǒng)分析與管理研究所副所長、研究員)
掃一掃在手機端打開當前頁
京公網安備11040102700079號