日前,国家互联网信息办公室公布《数据出境安全评估办法》(以下简称《办法》),自2022年9月1日起施行。《办法》旨在落实《网络安全法》《数据安全法》《个人信息保护法》的规定,规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,切实以安全保发展、以发展促安全。
近年来,随着数字经济的蓬勃发展,数据跨境活动日益频繁,数据处理者的数据出境需求快速增长。明确数据出境安全评估的具体规定,是促进数字经济健康发展、防范化解数据出境安全风险的需要,是维护国家安全和社会公共利益的需要,是保护个人信息权益的需要。
一、数据出境安全制度的新探索
《办法》第三条提到,数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动;第十四条提到,通过数据出境安全评估的结果有效期为2年。这两个细节充分展现了对数据安全出境的有益探索。
中央财经大学副教授张金平认为,提出数据安全评估的两大原则,即事前评估和持续监督相结合原则、风险自评估与安全评估相结合原则,既可以明确数据出境的主体责任,又能实现监管闭环。
其中,事前评估和持续监督相结合原则明确,安全评估不仅关注数据出境前对出境后可能出现的风险的评估和所要采取的安全保障措施,还关注数据出境后风险发生的变化以及原有措施的有效性,因而该原则建立了动态评估法则。
风险自评估和安全评估相结合原则,明确数据处理者的主体责任,即通过自评估的形式对自己的数据出境行为负责,确保根据数据出境风险采取相适应且有效的安全保障措施。
然而,数据出境关涉国家利益、公共利益和个人权益,而且数据处理者的自评估结论倾向于通过评估,因此《网络安全法》《数据安全法》《个人信息保护法》都要求通过国家网信部门安全评估,确认数据处理者是否切实承担主体责任,以及评估数据出境风险和所采取措施的充分性、有效性。
而评估结果2年有效期的规定则保障了企业参与全球数字经济建设的持续性和连贯性。《办法》第十四条明确安全评估结果有效期为2年,意味着数据处理者可以申报2年内对特定境外接收方的数据出境计划,帮助企业开展连续性数据出境业务,促进全球数字经济发展。
《办法》的正式出台和实施,将为国家数据安全工作筑牢坚实“防线”。国家工业信息安全发展研究中心总工程师黄鹏认为,未来随着标准合同条款、数据出境安全认证等其他数据跨境监管措施的落实,我国的数据跨境管理制度体系将更为完善,可形成全球数据跨境流动的中国方案。他表示,积极参与全球数据规则制定,在当前双边、多边贸易谈判中增加关于数据跨境流动条款,可以为我国数字企业“走出去”奠定基础。依托G20峰会、世界互联网大会等多边对话机制和国际性会议,宣传我国数据跨境流动的主张,吸引更多国家支持和参与《全球数据安全倡议》,能够促进达成数据合法、安全、有序跨境流动相关共识。
此外,黄鹏提到,未来需要持续完善我国数据跨境管理的配套规范,设置标准合同、保护能力认证、例外事项等多元数据出境途径,兼顾数据安全与数据跨境流动应用。同时,根据出境国家及地区政治环境、国际关系、数据保护水平等因素,划分数据出境风险等级,制定差异化的数据出境管理要求。
二、抓牢织好数字安全防护网
随着数字经济的蓬勃发展,数据作为新型生产要素的重要作用日益凸显。数据不仅是数字化、网络化、智能化的基础,也已经成为社会各领域广泛关注的重要资源,更是国家安全的重要组成部分。
数字经济正在成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量。与此同时,数据的无序流动、泄露等问题给个人和社会安全带来了潜在危害,数据安全风险日益成为影响产业发展、网络安全甚至国家安全的重要因素。
今年6月22日,中央全面深化改革委员会审议通过了《关于构建数据基础制度更好发挥数据要素作用的意见》。会议强调,要把安全贯穿数据治理全过程,守住安全底线,明确监管红线,加强重点领域执法司法,把必须管住的坚决管到位。近期,国家网信办出台的《数据出境安全评估办法》明确了出境数据的评估范围、评估机制以及各参与主体的责任,为有效保障数据出境安全提供坚实屏障和有力抓手。
从数据安全的角度出发,数据最为敏感的当属关键信息基础设施数据。去年7月发布的《关键信息基础设施安全保护条例》就明确界定了关键信息基础设施的具体范畴。受复杂的国际形势影响,提升公民国家安全意识和防范抵御敌对势力渗透腐蚀的能力显得尤为重要。以高校为例,受疫情影响,许多学校面临师生异地访问校园内网的挑战,使得业务端口极易遭受攻击。
《数据出境安全评估办法》不仅明确了数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性,也明确了出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险。纵观关于数据安全的各类法律法规可以看出,关键信息基础设施数据等重要数据最为敏感,此类数据一旦处理不当特别是在出境过程中被非法获取、非法利用,将给国家安全带来严重威胁。
当前,境外不法分子通过电子邮件窃取科研技术成果及个人信息的情况时有发生。钓鱼邮件是最普遍的一种攻击方式,黑客在通过钓鱼邮件攻击得到立足点后,继而又通过失陷的系统,向整个网络发起攻击渗透。
保障学校教育机构官网、电子邮件系统数据安全,安装SSL证书是很有必要的。葫芦娃集团推出的SSL证书是全球信任顶级根证书,支持所有浏览器和移动终端,适用于多域名、多服务器、负载均衡等不同应用场景。通过HTTPS安全通道可实现服务端到客户端的信息全程加密传输,确保数据的保密性、完整性、真实性及不可篡改性,进一步提高系统信息安全系数,为长远发展奠定安全根基。
识别数据出境的安全风险,抓牢织好数字安全防护网,要从两方面着手。一方面,要统筹规范数据相关各方,完善数据出境安全的顶层设计。另一方面,要兼顾数据出境各方责任与义务,动态评估与防范化解外部风险。从全球来看,中国作为一个负责任的大国,《数据出境安全评估办法》为全球数据治理提供了中国智慧与中国方案,是助力构建网络空间命运共同体浓墨重彩的一笔。