文│大数据协同安全技术国家工程研究中心 钟力 唐会芳 王雨薇

在经济全球化与数字化的大背景下,数据流通共享成为数据要素价值充分释放的关键,必然包含国际间的数据合作。根据联合国贸易和发展会议发布的《2021 年数字经济报告》(Digital Economy Report 2021),跨境数据流动是所有数字技术的核心,全球数据流动量增长十分迅速,数据和跨境数据流动对数字经济发展的重要性与日俱增。然而,数据出境在实现全球数字经济持续性增长的同时,也可能会给一个国家、企业和个人带来很大的安全风险。因此,各国非常关注数据安全,纷纷发布数据出境安全的法规条例。

一、典型国家地区数据出境管理做法

在各主要国家和地区的法规条例中,数据出境多被聚焦于数据的跨境流动这个维度,即数据从一个国家转移到了另一个国家。因此,各国对数据出境安全高度关切,强调数据在本国境内存储与处理、对数据出境进行安全评估。即便美国和欧盟突出数据自由流动,实质上则是采取双重标准,即数据自由流入、严控流出。

1. 中国要求数据境内存储和出境安全审查

中国《网络安全法》首次在法律层面从国家安全角度对数据出境安全提出具体要求,强调在境内收集和产生的个人信息和重要数据应当在境内存储,因业务需要确需向境外提供的,应当进行安全评估。中国的《数据安全法》进一步完善了对数据出境的规定,《个人信息保护法》则具体明确了个人信息出境的管理规则。这三部上位法对数据出境安全管理的基本原则是数据境内存储和数据出境安全评估。在此基础上,中国陆续发布了数据出境安全相关的规范条例并公开征求意见,在落地实施环节对数据跨境流动所涉及的数据处理者、数据对象、评估方法等方面给予明确指导。

2. 欧盟鼓励相同规则体系下的国际数据自由流动

从 2018 年出台的欧盟《非个人数据自由流动条例》(Regulation on the Free Flow of Non-personalData)与《通用数据保护条例》(General DataProtection Regulation,GDPR)可以看出欧盟数据出境安全管理思路。欧盟致力于推动其成员国内部数据的自由流动,而对外要求其他国家只有在具有与欧盟同等保护水平的条件下,才允许将数据传输出境。“充分性认定”是欧盟核心的个人数据出境管控制度,由欧盟委员会负责对欧盟以外国家或地区的数据保护立法实施、执法能力、监管机构设置和国际条约等因素进行综合评估,最终确定数据自由流动的“白名单”国家。可以看到,欧盟这一机制促使其他国家按照 GDPR 的要求进行数据保护,以便本国企业能够与欧盟企业正常进行数据流动,进而有助于欧盟引领全球的数据合作。

3. 俄罗斯强调数据本地存储、处理与严控出境

俄罗斯在《关于信息、信息技术和信息保护法》(Federal Law on Information, InformationTechnologies and Protection of Information)和《俄罗斯联邦个人信息法》(Russian Federal Law onPersonal Data)中,加强了对信息跨境传输的监管,确立了数据本地化存储的基本规则。俄罗斯对个人数据出境控制相当严苛,一是俄罗斯联邦公民个人信息和数据库需要存放在俄罗斯境内;二是对俄罗斯公民个人数据的处理活动必须使用位于俄罗斯境内的数据库;三是处理数据前履行信息告知的义务。俄罗斯同样存在与欧盟相似的“白名单”制度,要求数据接收国必须符合同等保护要求才可进行跨境数据传输,否则,只有在个人数据主体已书面同意其个人数据出境、个人数据主体作为合同当事人履行合同等前提条件下,才可传输数据出境。

4. 美国以最大化自身利益为出发点实施数据出境控制

美国基于其在数字贸易与数字技术领域的优势,极力主张全球数据自由流动,同时为遏制战略竞争对手发展,也严格限制了重要关键技术与特定领域数据出境。2010 年,美国推出“受控非机密信息”列表,并通过《出口管制条例》(ExportAdministration Regulations,EAR),对非个人数据采取严格出境管理措施。2016 年,美国推动的《跨太平洋伙伴关系协定》(Trans-Pacific PartnershipAgreement,TPP)主张,应当允许为数据主体利益而进行的数据跨境传输,以破除许多国家所设置的数据本地化存储等市场准入壁垒。2018 年,美国出台了《澄清境外数据合法使用法案》(ClarifyingLawful Overseas Use of Data Act,CLOUD Act),通过“数据控制者”原则的适用,扩大了美国政府直接调取境外数据的权利,同时又给其他国家调取美国境内个人数据设置“符合资格的外国政府”(qualifying foreign governments)审查门槛。美国积极推行由亚太经合组织(APEC)主导的跨境商业个人隐私保护规则体系(CBPR),致力于促进APEC 各经济体之间无障碍的跨境数据传输与流通,并与欧盟达到互认。

二、当前数据出境及出境安全面临的困难

随着全球数字经济的发展,建立数字经济“朋友圈”的声音将会越来越大,国际间数据开放合作需求强烈。如何在安全合规的前提下促进数据出境,需要理清当前数据出境及出境安全面临的困难,才能有针对性地提出解决方案。

1. 数据出境被狭义理解为数据跨境流动

当前各界对数据出境的界定仍存在差异、尚未统一。数据出境通常会被狭义地认为是物理上的跨境流动,也就是数据跨越国境,提供给境外的主体,数据被流转到境外。随着数字经济和数据安全技术的不断发展,仅以是否跨越边境这一地理维度作为数据出境的判断标准显然已经无法适应当前各式各样的数据出境形式。实际上,数据出境至少可以有两种形式:一是通过网络传输、存储介质、开展业务、提供服务与产品销售等方式实现数据跨境流动,二是数据虽然存储在境内,但境外主体能够访问、使用和操纵境内数据。

2. 确需跨境数据流动的情形有待澄清

数据跨境流动将日益频繁,无论是因投资贸易、业务合作、跨境服务而产生的数据流动,还是跨国公司内部经营管理所需要的数据转移,都是维系正常经济活动的基础,属于确需跨境流动的情况。此外,企业在面临境外司法案件时,也会需要数据跨境流动。但是,在现有的安全相关法律法规层面,并没有明确指出哪些需求属于确需向境外提供数据的情形,大多仅以“因业务需要”草草概括,这可能造成许多企业或组织无法准确识别内部数据出境场景,从而导致不必要的数据跨境流动,徒增安全风险。而且,还需明确的是数据出境目的、范围、方式和用途,这样才能消除模糊区间,有效防范数据泄露和滥用风险。

3. 对重要数据的定义及范围识别难

对我国来说,并非所有的数据出境都需要安全管理,三部上位法明确了重要数据和个人信息出境应当进行安全评估。美国则强调对重要关键技术与特定领域数据出境的严格限制。因此,对重要数据的定义及识别就成为一个迫切需要回答的基础性问题。从目前的全球情况看,对重要数据的定义尚未统一,不同法域对重要数据的定义存在差异。中国国家标准《重要数据识别指南》尚处于征求意见稿阶段,离正式发布实施还有较长的路要走,而且,虽然这个指南给出了识别的基本原则和方法,但是仍需制定具体执行的实施细则,重要数据具体目录在每个行业或地方都存在区别。

三、对策建议

针对上述问题和困难,需要在保障数据安全和促进全球数据开放利用协调发展的原则指导下,充分利用数据安全技术进步带来的支撑,加强安全监管审计,促进全球数据合作。

1. 加强安全评估,严控数据复制转移出境

采用传统的数据跨境流动方式,数据复制直接通过物理介质或互联网传输出境后,由于数据的复制和传播成本较低,数据将变得不再受控。同时,全球日益成熟的数据黑色产业链,加大了离境数据被恶意利用和买卖的风险,会给国家安全、企业利益和个人隐私带来不可估量的潜在威胁。因此,对数据复制离境这类型的出境形式,国家有关部门和行业主管部门应从严要求,将法律法规和监管要求逐项分解落实到数据出境全过程的各个环节,严格落实数据出境安全评估,确保数据跨境流动安全。

2. 用隐私计算技术实现数据出境合规利用

目前,安全多方计算、可信执行环境、联邦学习等隐私计算技术和产品发展迅猛,这些作为一类希望达成数据“可用不可见”为最终效果的前沿技术,为数据出境的安全合规利用提供了一种切实可行的新方式。在隐私计算的框架下,各计算参与方的数据不出本地,能够在不泄露各自数据的前提下通过协同计算实现多源数据的跨域合作。因此,针对有出境需求的数据,通过采用隐私计算方案,在数据本身不出境的情况下,跨境进行模型训练、安全统计等多中心联合分析,可替代传统的数据复制跨境流动方式,以数据可利用实现安全合规的数据出境。

隐私计算的另一个优势在于将数据的“控制权”和“使用权”相分离,允许参与主体以约定的使用行为对数据进行处理,同时,还可将该使用行为进行市场化交易,有效规避了权属问题。目前,我国多地大数据交易中心陆续成立,也有力地支持了这一点。因此,建议依托国际大数据交易中心,以向境外交易数据“使用权”的方式试点数据出境,既能规避数据安全风险,同时又能激励全球的数据价值挖掘。

3. 加强安全监管,确保数据出境依法合规安全

无论是数据复制形式的出境以及境外仅可访问使用境内数据,还是隐私计算支持的数据跨境合作,都需要进行安全监管审计,确保数据出境行为的依法合规安全,建议构建国家级的数据出境安全监管体系,具体包括以下三个方面。

一是建设数据出境安全监管审计平台,在国家层面和各行业领域形成对各类数据处理活动特别是数据出境行为的监管审计能力,能够重点针对具有跨境业务往来的企业以及国际数据交易中心,主动对其各类关系国家安全和公共安全的数据平台进行安全监管,及时发现数据出境行为的安全风险。

二是建立专门的数据出境安全监管队伍,负责开展出境数据流通的评估、审查和监管等工作,帮助数据处理者明确各个环节的具体责任人并建立问责机制。同时,要求企业设立数据安全官岗位,负责与监管部门的对接和沟通,并做好覆盖数据出境全流程安全管理制度的整体统筹。

三是建立数据出境认定的“白名单”机制。借鉴欧盟的“充分性认定”“充分保障措施”等模式,考虑根据数据保护情况及对等措施,积极推进在“一带一路”合作框架下的双边或多边数据流通协议及机制,通过根据数据安全能力成熟度模型对数据接收方进行数据安全测评,将相关国家和地区的企业或组织纳入可自由流动的数据接收“白名单”,构建数据出境的安全信任体系。

(本文刊登于《中国信息安全》杂志2022年第3期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。