见习记者郑雪实习生骆婷北京报道
数据跨境已成为各企业关注的焦点。数据跨境的监管重点在何处?数据出境合规路径是否明确?数据安全又如何来保障?
(相关资料图)
9月21日,由中国互联网协会、国际商会中国国家委员会秘书局主办,中国IGF协办的数据跨境流动安全治理讲座开讲,与会专家表示,重要数据是目前监管重点,数据出境申报涉及数据安全管理认证和安全评估两项工作,数据运营者亟需加强自身的数据安全能力建设。挑战
根据Statista的统计和预测,全球数据圈正在经历急剧扩张,2025年全球数据产生总量预计达到174ZB,2035年将达到2142ZB。其中,中国数据圈增速最为迅速,预计到2025年将增至48.6ZB,占全球份额的27.8%,中国将成为全球数据容量最大的区域。“数据圈”是指每年被创建、采集或是复制的数据集合。
各国对于数据和包括数据出境在内的数据安全高度关注。各国政府都在强化数据安全监管,如欧盟的《通用数据保护条例》(GDPR),美国等一众经济体搭建的《跨境隐私规则体系》(CBPR)和其境内实施的《海外数据使用权明确法》(CLOUD)。
“数据跨境自由流动,意味着市场开放、贸易互惠、科研互信和创新共享。全球经济正从实物贸易逐渐走向数字贸易,这个大趋势是非常确定的。”网络安全应急技术国家工程研究中心常务副主任何跃鹰介绍道。
与此同时,全球数字贸易仍面临着三大挑战:一是各国依照本国政治或经济传统而加入不同的“数据圈”并探索制定符合自身利益的数据跨境流动规则,以争夺国际数字贸易秩序的主导权,这就给未来的国际数字贸易带来诸多不确定因素。二是随着全球数字经济规模日益增长,需要保护的数据急剧上升,相关机构与企业的数据安全保护水平和能力亟需提升。三是为保障全球数字贸易的健康可持续发展,亟需建立全球统一的数据跨境流动规则。
何跃鹰表示,从国内的监管来看,政府监管重点集中于重要数据。总体而言,数据运营者需要落实三个方面的工作,一是明确数据安全责任制,设立首席数据安全官并成立相应的数据安全保护部门;二是持续做好自身的数据安全风险评估,这可以对照《数据安全管理认证》的相关要求来做,三是如果有数据出境需求,有必要事先开展数据出境风险自评估。
如何判断某个行业或领域的某类数据是否属于重要数据?“这个问题需要相关主管或监管部门组织专家进行专题研讨才能判定。”何跃鹰表示。以生物数据为例,并非全部的生物数据都是重要数据,但人类遗传资源信息、基因测序原始数据等都属于重要数据。路径
2022年6月,国家市场监督管理总局、国家互联网信息办公室共同发布《关于开展数据安全管理认证工作的公告》,鼓励网络运营者通过认证方式规范网络数据处理活动,加强网络数据安全保护。7月,国家互联网信息办公室发布《数据出境安全评估办法》(第11号令),随后又公布了《数据出境安全评估申报指南(第一版)》,具体阐释了申报方式及流程。
何跃鹰指出,具体在数据出境申报的实操层面,相关企业需要重点关注数据安全管理认证和数据出境安全评估两项工作。
数据出境合规路径上,数据处理者要先做好数据安全保障建设、出境数据分类分级、出境数据风险自评估等工作。按照《数据出境安全评估申报指南(第一版)》先由地方网信进行完备性查验地方网信,再经由国家网信部门、行业监管部门进行安全评估,重要数据安全评估完成后,与一般数据一起签订数据出境法律文件,便可开始跨境传输。而国家互联网应急中心将会同步对企业的日常数据出境活动进行安全检测和风险预警,并将相关结果通报给国家网信部门和行业监管部门。破局
何跃鹰表示,在前期的企业走访与调研过程中发现,数据运营者在安全合规方面确实仍面临着不少难题,如数据安全保障建设成本高,数据分类分级识别标准及技术不成熟,数据出境风险自评估缺乏规范性指引等等。
针对这些问题,在市委网信办的指导下,自2020年起国家互联网应急中心北京分中心牵头承担了北京市数据出境的试点工作。2021年,在大兴临空区管委会的大力支持下,国家互联网应急中心联合清华大学智联出行研究院(ICMA)、信联科技等专业机构,组建了“数据跨境安全与产业发展协同创新中心”,共同研究数据跨境安全管理政策及实施路径、探索安全评估服务与检测技术的创新。
何跃鹰介绍,经过一年多的实践探索,目前已经在大兴临空区建设形成了两个创新平台:一是建设形成数据出境的合规服务平台,集成提供数据出境合规咨询、数据安全保护、数据安全管理认证、数据出境风险自评估等一站式服务,从而有效降低企业合规成本,提升行业监管效率。二是建设形成央地协同的安全监管平台,落实国家监管要求,实现国家与地方、网信与行业、评估与检测的协同联动,形成监管合力,从而有效控制数据出境的风险,筑牢国家的数据安全防线。生态
数据跨境流动安全管理有利于各国数据的有序开放,也是各国保护自身重要数据向境外流失的“安全阀”。数据出境安全管理的核心在于运用科学的发展理念和先进的管理技术来解决数据出境放得开、管得出的监管难题。
在大数据协同安全技术国家工程研究中心常务副主任杜跃进看来,在大数据和智能化时代下,关注的是数据本身的安全,即防盗取、破坏,防滥用,防误用。系统漏洞导致数据泄露只是一部分,“内鬼”窃取数据同样严重。
在他看来,要建立多方参与的数据安全治理生态,政府和行业主管部门通过加强顶层设计和政策制定;拥有数据的企业或者其他组织要提升数据安全能力、做好业务支撑;安全产业界的协会和联盟则要做好安全测评、认证认可、标准实践等工作。