专家解读|数据安全治理的中国智慧
(2024-09-09 )

来源: 中国网信网

大数据技术快速发展不断催生新业态,正成为经济社会发展的新动能。2022年第2期《求是》杂志刊发了习近平总书记的重要文章《不断做强做优做大我国数字经济》,指出数字经济正在成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量。与此同时,数据的无序流动、泄露等问题给个人和社会安全带来了潜在危害,数据安全风险日益成为影响产业发展、网络安全甚至国家安全的重要因素。因此,亟需以系统观同步探索数据治理体系,防范和化解风险挑战,有效实现数据安全与经济发展的统筹协调。近期,国家网信办出台的《数据出境安全评估办法》明确了出境数据的评估范围、评估机制以及各参与主体的责任,为有效保障数据出境安全提供坚实的屏障和有力抓手。

一、强调数据出境的长效评估,全方位筑牢数字安全长城

(一)明晰需要申报评估的数据范围,提供出境评估长效动能

从数据安全的角度出发,数据最为敏感的当属关键信息基础设施数据。2021年7月发布的《关键信息基础设施安全保护条例》中明确指出,关键信息基础设施是指:“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等”。2022年2月15日开始施行的《网络安全审查办法》提出“掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”,这使得“100万用户的个人信息”成为了一道红线。纵观关于数据安全的各类法律法规可以看出,关键信息基础设施数据等重要数据不仅最为敏感,数据也最为广泛,涵盖了国计民生的方方面面。此类数据一旦处理不当特别是在出境过程中被非法获取、非法利用,将对国家安全带来严重威胁。因此,《数据出境安全评估办法》明确和界定需要申报评估的数据范围是非常重要的,这对数据处理者自觉遵守法律法规要求,主动申报出境评估工作具有重要意义。

(二)全面评估出境数据的安全风险,筑牢数字安全的制度屏障

数据跨境流通蕴含潜在风险,不仅会影响到数据处理者的经济利益,还会对数据出境国家带来不可预估的安全隐患。因此,有必要从全面风险管理的角度来分析《数据出境安全评估办法》中关于风险的长效评估。首先,在数据出境之前,数据处理者要先对出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险做到全面和系统的风险自评估;其次,在数据出境过程中,明确规定了双方签订法律文件中必须含有数据安全保护责任义务的条款,以约束数据接收者保障数据安全。最后,规定数据出境评估结果有效期为二年,亦规定了需要重新评估的三种情形:(1)向境外提供数据的初次评估内容和境外接收方处理数据的初次评估内容发生变更;(2)境外接收方所在国家或者地区政策法规和网络安全环境发生变化、实际控制权发生变化、法律文件变更等可能影响出境数据安全的情形;以及(3)影响出境数据安全的其他情形等。简言之,只有做好事前、事中、事后的全流程、全方位风险评估部署,才能系统性做好风险防范与应对。

二、识别数据出境的安全风险,抓牢织好数字安全防护网

(一)统筹规范数据相关各方,完善数据出境安全的顶层设计

数据出境涉及主体包括国内数据处理者和国外数据接收者。在跨境数据流动中,通常数据竞争力较弱的国家是数据的主要提供者,数据竞争力较强的国家则是数据的主要接收者。因此,《数据出境安全评估办法》不仅明确指出了数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性,也明确了出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险。这两项规定是对数据出境安全的顶层设计,不仅保障了我国涉及数据出境相关方利益,也对境外数据接收方提出了安全要求。只有明确数据相关各方的风险点位、风险等级,才能做好出境安全评估,从而确保每个阶段的工作都有理可循、有法可依。

(二)兼顾数据出境各方责任与义务,动态评估与防范化解外部风险

对于数据出境,不仅仅对数据处理者,还要对数据接收者进行评估。面对复杂的国际形势,我国出于维护自身数据安全需要,对数据接收者进行严格的评估是极其必要的。特别是,境外接收方所在国家或者地区的数据安全保护政策法规及网络安全环境对出境数据安全的影响,以及境外接收方的数据保护水平是否达到我国法律、行政法规规定和强制性国家标准的要求,应是评估重点。此外,针对法律文件的签订,明确要求境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化导致难以保障数据安全时,应当采取安全措施。这两项规定,能够更好避免出境数据被恶意利用而产生各类风险。

三、小结

数据安全是国家安全的重要组成部分。从国内来看,《数据出境安全评估办法》完善了数据出境安全评估的具体制度,在数据治理领域践行了总体国家安全观。从全球来看,中国作为一个负责任的大国,《数据出境安全评估办法》为全球数据治理提供了中国智慧与中国方案,是助力构建网络空间命运共同体浓墨重彩的一笔。(作者:孙晓蕾 中国科学院科技战略咨询研究院系统分析与管理研究所副所长、研究员)