小贝案语

■ 小贝说安全已经很久不更新了,我们在等待一个极其重要的数据安全政策的出台。这个政策重要到了什么程度呢?它关系国家经济发展的大局,牵动一系列对外谈判与磋商,它值得日日夜夜的翘首期盼……现在,它终于正式出台了!

2024年3月22日,盼望已久的《促进和规范数据跨境流动规定》(以下简称《规定》)正式出台

自从国家互联网信息办公室于2023年9月28日发布该文件征求意见稿以来,其已成为国际国内焦点。文件释放的进一步加快开放、促进数字经济发展的政策导向,以及守住安全底线的决心,吸引了全社会的目光,也使大家高度关注文件对数据跨境流动管理所作的新规定能否起到效果。我们依然采用Q&A的方式,对这一重要文件谈一谈我们的理解。

一、《规定》重要性体现在何处?

习近平总书记指出,网络信息是跨国界流动的,信息流引领技术流、资金流、人才流。亦即,当今时代,没有数据的流动,就不会人的流动、物的流动、资金的流动,以及一切的流动,世界将会陷入静止状态。特别是,在经济全球化背景下,跨境贸易必然引发数据跨境流动,不存在没有数据跨境流动支撑的跨境贸易场景(即使是对传统贸易而言)。因此,数据跨境流动绝不仅仅是数据自身的问题,也不是技术问题,而是经济发展问题。而且,由于数据议题自身的全局性与广泛渗透性,及其与当前蓬勃发展、潜力极大的人工智能的深入联系,国与国之间外交、经贸、科技、文化、军事等方面的交往都会涉及到数据跨境流动问题,且多数情况下成为制约国际谈判成效的关键因素。

因此,一个国家的数据跨境流动政策,必然对该国经济发展与对外交往产生重大影响,并受到其他国家的高度关注。我国此前已经建立了数据跨境流动安全管理的框架,并针对不同的数据出境途径发布了相关文件。面对新的形势变化,这一制度框架有进一步完善和优化的必要,以进一步促进和规范数据跨境流动,故国家网信部门又专门制定了《规定》。

二、如何看待《规定》的定位?

《规定》坚持开放与安全并重。其强调了开放与发展的总基调,但同时严守国家安全底线。如,《规定》对个人信息跨境流动的监管做了大量豁免,极大地减轻了相关企业的合规成本,同时也要求对个人信息履行告知、取得单独同意等义务,对关键信息基础设施运营者不作豁免,对重要数据不作直接豁免,强调要强化事前事中事后全链条全领域监管。

人们有一个误区,认为这些年来网络安全、数据安全在某种程度上阻碍了发展。这种认识是不负责任的。事实上,是由于网络安全、数据安全具有很强的专业性,且这个领域受关注度高、发展快,关于安全和治理的一些研究还没有跟上发展的速度,导致一些安全管理要求可能存在模糊性、粗放性,细则缺失。近年来大量非专业性的意见也常常参与到一些相关法律法规和政策制定的讨论之中,导致这个领域的“专业讨论舆论场”比较混乱。因此,不是网络安全和数据安全“不该管”“管的过严”,而是需要科学管理、精细管理。在某种角度看,恰恰还应该“加强管理”“该管的坚决管住,该放的坚决放开”。因此,将安全与发展对立的观点是不正确的。《规定》也不是为了一味迎合开放、发展的需求而放松对安全的要求,只是对安全管理更加优化和科学、更加突出重点而已。

三、如何理解《规定》第二条所述重要数据识别与数据跨境流动的关系?

长期以来,人们对我国数据跨境流动安全管理制度提出的一项重点关切(实际上是批评)是,既然数据出境评估针对的是重要数据和特定的个人信息,那么什么是重要数据呢?但前几年,受限于三方面的情况,这个问题没有得到解决,在很大程度上影响了人们对数据跨境流动安全管理制度的预期,也确实对一些方面的工作带来了被动:

一是关于重要数据识别的国家标准没有制定出台(最新情况是,相关国标已刚刚于3月15日发布,2024年10月1日期实施,后文有述)。

二是根据《数据安全法》的要求,各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录。这些工作一直在推进之中,但并未见该目录发布。

三是各行业主管监管部门正在制定本行业、本领域的重要数据识别指南,或数据分类分级要求(各部委制定文件的名称各异,但核心问题还是重要数据的识别),这些指南也多数没有公布。

正是因为重要数据与数据跨境流动关系极大,《扎实推进高水平对外开放更大力度吸引和利用外资行动方案》(国办发〔2024〕9号)要求“科学界定重要数据的范围”

《规定》充分考虑了当前的实际情况,一是要求数据处理者按照相关规定识别、申报重要数据。这里的“规定”,主要指《数据安全法》的规定、国家数据安全工作协调机制的有关要求,以及行业主管监管部门制定的重要数据识别(或数据分类分级)要求。这里的“申报”,指报送重要数据目录。

二是规定,未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。这一规定需要从两方面来看:

首先,这极大减轻了数据处理者的压力,使数据处理者不用再“战战兢兢”,充分体现了支持发展、支持开放的初衷。

其次,这要求相关部门、地区抓紧工作。否则,如果一些机构确有重要数据,而未被相关部门、地区告知,这会形成明显的国家安全风险,相关部门、地区要承担责任。近年来,有几个问题一直悬而未决:重要数据目录是否能公开?部门或地区的重要数据识别(数据分类分级)规范是否能公开?不公开自然有其道理,但这是一项面向全社会、主要针对商业领域活动的政策,“不公开”与市场经济活动的特征不相符合。《规定》的措辞对此很有讲究。要么公开(“公开发布为重要数据的”),要么向企业逐个告知(“被相关部门、地区告知”),《规定》允许自选动作。如此,将在相当大程度上解决数据跨境流动安全管理制度中的这一“硬骨头”难题。当然,相信随着《规定》的发布实施,各部门及有关地区的重要数据识别(数据分类分级)规范制定工作会提速。

四、最新发布的国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》与重要数据识别是什么关系?

重要数据国家标准的制定已经有5年的历史。《网络安全法》第37条曾最早提到了“重要数据”,为此,全国信息安全标准化技术委员会(已更名为全国网络安全标准化技术委员会)于2019年7月批准了“重要数据识别指南”研究项目。在此基础上,全国信安标委于2020年7月正式立项制定国家标准《重要数据识别指南》,由中国科学技术大学承担。2023年下半年,该标准经多轮征求意见并修改完善后向国标委报批。报批过程中,有关部门的专家提出,其与另一由中国电子技术标准化研究院承担的国标《数据分类分级要求》强相关。经研究后,两个国标进行了合并,此即2024年3月15日国标委批准发布的国家标准GB/T 43697-2024《数据安全技术数据分类分级规则》。原《重要数据识别指南》为现标准的附录G,以后不会再发布单独的重要数据识别国标。

第二部正在制定中的国标是《重要数据处理安全要求》,也由中国科学技术大学牵头。据悉,该标准也与中国电子技术标准化研究院承担的《数据分类分级保护要求》进行了合并,相关起草工作正在抓紧推进。

既然重要数据识别的国标已经制定,各部门、地区制定的重要数据识别规范与国家标准是何种关系呢?这就涉及到重要数据识别国标的制定思路问题了。重要数据识别国标没有按照行业分类去提出重要数据的特征,而是分别从“总体国家安全观”中各类国家安全的角度提出了重要数据可能对国家安全产生的影响。这样的处理办法,势必影响到重要数据识别国标的可操作性。但这是合理的,重要数据识别国标不能解决普适性和可操作性问题,其可供各地区、各部门制定各自的重要数据识别规范时进行参考,为其提供了确定本部门、本地区重要数据特征的思路,可操作性问题要由各部门、各地区去解决。当然,这也要求,地区、各部门的重要数据识别规范应当是尽可能详细的,不能过于原则。

五、如何理解《规定》第三条所述应予豁免的场景?

《规定》第三条的形式大于内容,但在当前经贸形势下有意义。事实上,数据跨境流动安全管理制度,只规范个人信息和重要数据(国家秘密信息、核心数据不再讨论之列)。那么,如果不含个人信息、重要数据,则当然可以不用纳入数据跨境流动安全管理制度的监管了,即免于申报数据出境安全评估、订立标准合同、通过认证,无论是出于何种原因,无论什么场景下的数据出境。

但以上事实也常被误解,特别是一些人“妖魔化”了我国的这一制度。为此,《规定》针对商贸、生产、学术交流等数据跨境流动最为频繁的领域做了强调,再次释放了支持开放和国际合作的信号。

六、如何理解《规定》第四条所述外来数据境内处理后再出境的场景?

“来数加工”等是对外贸易中的常见业务,特别是在人工智能时代(如数据标注业务)。境外数据传入我国,经加工处理后传输回境外,这在概念上不属于“数据出境”。理论上,这样的活动不在数据跨境流动安全监管之列。《规定》的征求意见稿曾对此作了简单化处理。但在实际工作中,确有一些境外数据的处理涉及到境内数据的参与,或有可能使用境内特定的数据处理技术。这种情况下,就不能简单地认定其作为“境外数据”不受监管了。故,“来数加工”等免于监管是有条件的,要确保处理过程中“没有引入境内个人信息或者重要数据”。

七、如何理解《规定》第五条所列向境外传输个人信息的豁免场景?

《规定》第五条对个人信息出境的四种情况进行了豁免。其中,前三项豁免可以从《个人信息保护法》中推导出。即,根据《个人信息保护法》的相关条款,前三项可以得到出境豁免。但需要指出,这是“推导”。而为了便于公众更准确的理解《规定》的内容,以及为了在实施中更好操作,依然有必要在《个人信息保护法》的规定下细化和明确标示出这些豁免情形。特别是,因个人业务(如购物、汇款、预定机票酒店等)而由当事人主动发起的数据跨境流动非常频繁,跨国公司内部人事信息跨境流动也是常态,甚至一些跨国公司的跨境流动数据主要是人事信息,为此十分有必要单独强调对其豁免。这便利了公众,也极大减轻了跨国公司的合规压力。

《规定》第五条的第四项则是新增的,首次对非关键信息基础设施运营者向境外传输批量个人信息进行了豁免,这是《规定》与征求意见稿相比的重大变化,也意味着数据跨境流动安全管理制度的重大松绑。这种松绑的程度,超出了欧盟,也超出了美国,充分体现了网信部门务实的态度和促进开放与发展的政策初衷。当然,其中不能含敏感个人信息,这一点也很重要。

八、什么是负面清单,为什么《规定》要在第六条规定自贸区可以制定数据负面清单?

“负面清单”(也称“黑名单”)是外商投资领域的专用词汇,即“除了清单上的皆可”。与之相对的是“正面清单”(也称“白名单”),即“只有清单上的才可”。显然,负面清单的开放程度更高,也是国际惯例。规定“负面清单”制度,本身便表明了一种开放的态度。

数据跨境流动的负面清单,指不纳入数据跨境流动安全管理的数据的范围。显然,这是一种更大程度的豁免,即通过负面清单制度,对数据跨境流通进行一揽子豁免。但一旦实施不当,也会带来很大的风险。所以现阶段,负面清单制度不宜全国推广。鉴于自贸区有制度创新、先行先试的政策空间,以及自贸区有着更多外向型企业的双重原因,选择在自贸区实施数据跨境流动负面清单制度是可行的。而且,此前中国天津自贸区已经在天津市委市政府领导下制定出了国内第一份数据跨境流动负面清单,并履行完了相关报批程序,将择机发布,这项工作已经有了试点基础。

需要指出,所谓自贸区的负面清单,面向的是自贸区的企业,关注的是企业的跨境贸易,因此不需要把政府部门的数据列入,自贸区负面清单不能简单理解为是自贸区所辖区域内的全部重要数据和个人信息相关清单。

人们对《规定》第六条的关切点可能还包括,负面清单有没有共通性?是否有必要每一个自贸区都制定自己的负面清单?网信部门应该是考虑到各地自贸区实际情况不同,特别是对外贸易的具体业务不同,所以对自贸区给予了充分的自由度,允许所有的自贸区定制负面清单。这当然也是一种开放的态度。

但在某种程度上,这相当于将权力下放到了自贸区,如果自贸区处置不当呢?为了防止这类情况发生,《规定》其实对负面清单设置了两个高门槛。一是要求由省级网信委批准(而不是省级网信办)。按照现在的工作格局,实际上是要由省委书记批准。另一个是要求报国家网信部门、国家数据管理部门备案。这一备案应该是带有审批性质,即两个部门认为不妥的,可以打回。

在实施中,可能还是要有一个统一的尺度、指南或者标准。各地负面清单中哪些可以有特性?哪些必须保持一致?例如,《规定》中涉及到多个批量个人信息阈值,这个阈值突破了行不行?这还需要进一步明确。

九、如何看待《规定》第七和第八条规定的个人信息阈值?

《规定》第七条和第八条的逻辑,相比征求意见稿而言,又退回了半步,处于征求意见稿和《数据安全评估办法》之间。征求意见稿的逻辑是,以“预计一年内向境外提供”的数据量为监管依据。原《数据出境安全评估办法》的逻辑是,以数据处理者本身拥有多少数据为监管依据。而《规定》则采取了第三种逻辑,以历史上一定时间内数据处理者向境外传输多少数据为监管依据。那么,这三种逻辑哪一种更好呢?理论上,征求意见稿的逻辑似乎更好。但实践中,历史上对外传输数据的行为一定是同未来对外传输数据的行为强关联的,特别是在统计学意义下。因此,当前的逻辑更为科学合理。

《规定》第七条和第八条的另一个进步意义在于,相对于《数据出境安全评估办法》,将阈值做了大幅提升(评估的门槛是100万,标准合同或认证的门槛是10万),这在更大程度上减轻了企业的负担。

小贝结语

省流:重大利好,放手干吧!

总编辑|小贝

声明:本文来自小贝说安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。