近日,国家互联网信息办公室发布关于《数据出境安全评估办法(征求意见稿)》(以下简称《办法》)公开征求意见的通知。中国信息安全研究院副院长左晓栋接受人民网“强观察”栏目采访时表示,《办法》是《网络安全法》《数据安全法》和《个人信息保护法》共同确立的数据出境安全评估制度的落地细则,数据流动与国家安全和公民权益密切相关,各国都在完备数据出境相关安全管理制度。
《办法》出台的必要性和迫切性体现在哪?
在左晓栋看来,《网络安全法》第37条首次规定了数据出境安全评估制度,但范围只限定在“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据”。事实上,很多数据出境行为未必同关键信息基础设施相关,因此《网络安全法》的规定是不完善的,大量应当规范的数据出境行为没有得到规范,为国家安全留下了漏洞。“据此,《数据安全法》从重要数据出境方面进行弥补,《个人信息保护法》从个人信息出境方面进行弥补。”左晓栋补充说。
《个人信息保护法》第40条规定,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估。这次《办法》即明确了法律提出的处理个人信息达到国家网信部门规定数量。同时,《个人信息保护法》第38条还规定,个人信息处理者因业务等需要,确需向境外提供个人信息的,应当具备该条所列的几种不同的条件,其中的条件之一便是通过网信部门组织的评估。左晓栋指出,与重要数据不同,并非所有的个人信息出境都要经过网信部门的评估。但确需评估时,要依照《办法》进行。
国外关于数据出境安全的通行做法是怎么样的?
在左晓栋看来,数据流动是客观需求,但这个问题又与国家安全和公民权益密切相关,所以各国都在建立自己的数据出境安全管理制度,但在管理模式上,各国做法不尽相同。如美国、日本等国主张数据自由流动,反对施加出境条件,但其他多数国家和地区都在法律层面作出了规制,数据出境安全评估就是其中的一种制度。总体看,我国的数据出境安全管理制度与国外是衔接的,也充分参考了国际通行做法。
电子科技大学公共管理学院副教授贾开认为,应从两个维度来理解数据出境安全管理的制度意义。一方面,数据出境安全管理制度建设是为了在数字经济全球化背景下,维系本国数据安全的重要举措;另一方面,数据出境安全管理制度是与他国进行谈判以实现数据跨境流动,从而融入数字经济全球化的基础与前提。
从融入数字经济全球化的视角来看,贾开还表示,国外针对数据出境的安全管理模式大致可分为两个方面:一方面,尽管本国与他国的数据治理制度不同,但双方仍然相互认可各自制度在数据安全和个人数据权利保护方面的充分性,因而允许数据在双方之间的跨境流动;另一方面,双方并不承认各自制度的充分性,但可就局部区域或特定企业的数据跨境流动达成共识,以形成不同形式的“白名单”制度。
“可以这么认为,《办法》奠定了我国数据出境安全管理的基本制度框架,并在管理机制上与国外实现了衔接与兼容。接下来要做的,便是基于《办法》的制度框架,与其他国家实现互认或局部互认,从而真正发挥《办法》在维系数据安全的前提下推进数字经济全球化的积极作用。”贾开说。
互联网企业今后如何化解合规风险?
贾开分析认为互联网企业化解合规风险,需高度重视以下三项工作。
首先,应加强对各国数据治理制度的研究与学习,将数据治理合规工作视为实现企业价值的关键,而非企业的负担。需要意识到,数字化转型进程的深入使得国家数据安全维系和个人数据隐私保护已经成为企业运行的基准线,更好的数据治理效果将成为推动企业高质量发展的关键。
其次,应主动探索、完善、创新数据跨境流动的合同范本,提升风险自评估的水平并力争转换为国家标准乃至国际标准。数据跨境流动的业务场景十分复杂,企业应积极结合业务特点探索多元化、多重性合同范本,以支撑并丰富国家制度在执行层面的具体内涵。
最后,当不同国家制度差异影响企业数据跨境流动,或者造成企业合规困境时,应杜绝规避思想,在坚持本国数据安全的前提下,灵活地探索创新数据出境管理模式。
|