■ 数据出境安全管理是数据安全工作中的一项重要制度。这项制度由《网络安全法》《数据安全法》和《个人信息保护法》三部法律规定,本身事关重大。尤其最近发生了“滴滴”受网络安全审查事件,更使数据出境安全受到关注。近日,香港特别行政区财政司长陈茂波表示内地赴港IPO企业不存在数据安全忧虑,保证避免突然监管。但陈的发言引起业内一些疑虑。为此,我们邀请到内地-香港数据出境安全专家组内地组长左晓栋博士接受访谈,首次公开内地数据入港传输制度的现状。


最近,香港特别行政区财政司长陈茂波受《南华早报》采访时的发言引起社会关注。随着滴滴等赴美IPO企业受网络安全审查、美证监会对中概股出台新政等一系列事件的发生,内地企业赴港上市的意愿激增,这对香港经济发展是利好。陈接受采访时指,他向内地公司保证,若选择赴港上市,不会受突如其来的监管,也不存在数据安全问题。

陈司长上述发言有向内地企业抛橄榄枝之意,其作为香港特区政府重要岗位官员,言出“保证”自是非同凡响。“滴滴事件”阻止了一大批内地企业赴美上市步伐,有的企业因未能如期上市而面临“对赌”失败的结果,故任何有关香港股市的消息特别是数据安全监管消息都会刺激敏感的市场神经。

但这是香港方面能保证的事吗?

我第一次遇到陈司长便是在贵阳大数据博览会上,此后每周都收到其助理发来的《司长随笔》。陈司长工作勤勉,文风严谨,我本人对其十分钦佩。我不知道他对《南华早报》所说的原话是什么,但至少就媒体报道而言,虽然其表态体现了特区政府的诚意,但确实还不能反映内地和香港之间数据安全问题的实质。

首先,“滴滴”事件中,“(突如其来的)监管”是中央政府的举措,特区政府无权保证类似监管不再发生。

其次,内地企业赴港,有没有数据安全问题?这也不是香港方面说了算。

作这两个判断,我有充足的依据,因为我见证了内地与香港关于数据跨境合作的全部过程。当然,我并不否认内地企业在香港上市的美好前景,但即使在“一国两制”框架内,数据安全问题也十分复杂,不宜大而化之、粗线条处理。

2016年初,应香港方面邀请,特区政府资讯科技总监办公室与中央网信办网络安全协调局达成网络安全合作共识,此后连续举办了内地-香港网络安全论坛;

2017年1,在两地网络安全合作机制下,双方合作成立内地-香港专家组,共同商议促进数据安全有序流动事宜,内地专家组长由我担任,香港专家组长由时任特区政府资讯科技总监杨德斌先生担任。

2018年6,双方决定启动中国联通香港公司数据出境安全评估项目,并于2019年1结项;

2021年4,以大湾区国际信息科技协会和全国信息安全标准化技术委员会的名义,召开了大湾区数据要素流通研讨会,全国政协副主席梁振英、中央网信办副主任赵泽良出席,会后中央网信办委托香港方面牵头起草数据跨境研究报告。

以上过程,本身就体现了中央政府对数据入港的大力支持,问题是要尽快找到合理的方案。

一、香港专家组最初的方案十分大胆,甚至可以说极具想象力,虽落地困难,但中央政府全力支持香港的立场始终未变

香港专家组所提方案的核心,就是使香港成为“国际数据港”。道理很简单,在其国际金融中心、贸易中心、航运中心的地位受到挑战且经济下行压力巨大的情况下,香港经济的未来出路在哪里?一定是数字经济。而数字经济是由数据要素驱动的,因此必须使香港成为国际数据中心。

怎么使香港成为国际数据中心?香港专家组最初建议是,中央政府认可数据存在香港,视同存在境内,或至少认可一部分数据有这样的地位。这样,根据《网络安全法》第三十七条提出的重要数据、个人信息应在境内存储的要求,在华运营的国际企业会优先将服务器放在香港,使其快速成为事实上的“国际数据港”。

显然,在现有条件下,这一建议是无法落地的,因为还欠缺一大批相应的制度性安排(例如,内地执法机关可以直接调取香港服务器上的数据吗)。

但在内地-香港数据跨境问题上,中央政府的态度非常明确。那就是,虽然我国正在建立数据出境安全管理制度,但数据从内地进入香港的程序,一定是有别于常规的数据出境安全管理制度的,一定是简化的、便利的,一定是支持香港经济发展的。

二、数据无论以何种便利方式入港,必须保障两点:内地要有决策权,以及由爱国者监管入港后的数据

2017年4月11日,国家互联网信息办公室对《个人信息和重要数据出境安全评估办法》公开征求意见。其中第十五条规定,我国政府与其他国家、地区签署的关于数据出境的协议,按照协议的规定执行。请注意时间,该条款提出的时间,正是两地专家组密切磋商之际。可以明确地说,上文第十五条就是给香港预留的。而且现在还可以继续说,如果将来我国与其他国家和地区签署了数据安全协议,那么第一个一定是香港

因此,在此后的磋商中,内地和香港专家组的核心工作,就是共同研究出一种既确保安全又程序简单甚至可以有特殊安排的数据入港机制。

近几年来,两地专家组先后探讨了多种机制,甚至研究了如何起草内地和香港的数据安全协议。这项工作目前还没有结束,但无论如何,有两点必须坚持。

一是数据入港过程中,内地要发挥决策作用。在认证机制中,虽然可以由港方的行业协会对在港数据接收者进行认证,经过认证的机构可以直接接收内地数据,但如果认证过程缺少内地的决定性参与,我认为是不妥的。那么,能否改由内地机构同时对位于内地的数据发送者和位于香港的数据接收者进行认证?我认为这则是可以考虑的。

二是数据流入香港后,香港方面应当建立数据监督机制,且这个机制应当由爱国者执行。道理不复杂,数据是战略资源,由谁监管、掌握在谁的手上很关键。“爱国者治港”是中央政府为补上香港特区制度的漏洞而提出的重要政策,应当在数据跨境安全管理问题上有所落实。

三、香港数据安全问题不只是技术问题,香港网络空间的属性认定必有一天要提上议事日程

很多人说,香港有实施多年的《个人私隐条例》,香港关于数据安全的法制环境是在全世界最好的。此话也许不假,陈茂波司长在采访时也提到了这一点。而且我本人每次见到港府前个人资料私隐专员黄继儿大律师,也都希望向其请教特区政府保护个人信息的好做法。

但这只是香港数据安全问题的其中一面。在研究数据入港安全的过程中,我常常感到问题很复杂。

可以举出两个例子。

在香港“反修例”动乱中,乱港分子恣意公布了香港警员及其家人、爱港人士的信息,甚至将其写入区块链,不可删除。为此,特区立法会启动了《个人私隐条例》的修订,建议将“起底”行为刑事化。但这样一种保护个人信息的“基本操作”,居然在香港收到了一大波抗议,其中很多抗议来自西方国家。

(图片来源:香港个人资料私隐专署)

依然是在“反修例”动乱中,西方国家反华势力潜入香港。他们根据收集的个人信息,将香港爱国爱港人士分为18类,针对每类人群拟定“最直击人心”的文宣方案,甚至进驻社区,针对性开展“洗脑”工作。

因此,香港数据安全问题,本质上是已经是政治安全问题、国家安全问题。在现有条件下,香港数据安全不是谁可以保证得了的。

我们常说,网络空间同现实空间紧密交织、相互作用,是国家主权新疆域。那么问题来了,我们早已在1997年对香港恢复行使主权,香港当然位于我们的主权疆域,但香港的网络空间是我们的吗?在我们不掌握香港网络空间主权的情况下,我不认为我们真正收回了香港的主权,这根本就是国家安全的巨大漏洞。在我们已经通过香港国安法,并设立了中央驻港国安公署的情况下,应当择机将此事纳入议事日程。

数据已经被推向维护国家安全第一线。香港数据安全问题,必须在这样一个背景下综合研判。

四、内地数据出境安全管理试点进展缓慢的原因

最后,我认为有必要再讨论一下目前国内开展的数据出境安全管理试点工作。这虽然不属于内地-香港数据出境的范畴,但香港的探索过程可以提供借鉴。

新华社2020年6月1日报道,中共中央、国务院印发了《海南自由贸易港建设总体方案》,要求在国家数据跨境传输安全管理制度框架下,开展数据跨境传输安全管理试点,探索形成既能便利数据流动又能保障安全的机制。特别是,还要创新数据出境安全的制度设计,探索更加便利的个人信息安全出境评估办法,以及积极参与跨境数据流动国际规则制定。

《商务部关于印发全面深化服务贸易创新发展试点总体方案的通知》(商服贸发〔2020〕165号)则进一步提出了四个试点地区,要求在北京、上海、海南、雄安新区等地区探索跨境数据流动分类监管模式,开展数据跨境传输安全管理试点。

显然,内地-香港的数据出境场景要比以上的试点场景简单,但也并非一蹴而就。有些教训,值得借鉴。

尤其是,在上述的试点中,目前存在着政策不同步、两张皮的现象,推进情况很不乐观,这需要及时调整工作思路。有两方面的问题需要注意,一是要和数据出境安全主管部门做好对接,地方方案是在主管部门制度框架下设计,有些事情属于中央事权;二是要意识到,数据出境管理问题既涉及“内”,也涉及“外”,“外”的因素不能不考虑,且应当同步考虑。

总编辑|左晓栋(现任中国信息安全研究院副院长,内地-香港数据出境安全专家组内地组长)

声明:本文来自小贝说安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。