■ 中国信息通信研究院 张郁安 宋恺
当前,世界多极化、经济全球化深入发展,全球进入变革调整期,危机的酝酿和发生成为新常态,加强风险因素的感知、预测、防范能力,全面提升风险应对水平刻不容缓。在推动实施国家大数据战略的进程中,中央明确指出要切实保障国家数据安全,强化国家关键数据资源保护能力。数据出境涉及主体众多,流转路径复杂,不可控因素强,易引发外界关注,目前已成为数据安全治理领域亟需规范的关键环节。特别是在当前我国深化对外开放,全力推进制造强国、网络强国发展的大时代背景下,数据出境风险应对更具复杂性和挑战性。
一、新时期数据出境势头活跃,风险积聚
全球数据爆发增长、海量聚集,数据流增长速度远超全球商品流、贸易流和资金流的增长速度。数据出境活动日益频繁,遍及经济发展、社会治理、国家管理、人民生活的各个场景,引发各个国家的高度重视与积极布局。
从国际看,国家间数据资源争夺和保护不断升级,企业主体责任趋严,“长臂管辖”原则、法律的“域外效力”等扩张本国管辖权的制度一再出现,数据出境领域近二十年相对稳定的国际规则制度被不断推倒重建,进入了新的动荡变革时期。世界主要国家加紧利用数据出境的限制与反制措施争夺数据资源。一方面,欧盟实施《通用数据保护条例》(GDPR)、美国加州出台《加州消费者隐私法案》,对企业提出比以往更为严格的个人信息保护要求,同时,积极扩大对非本国企业的司法管辖权,加强对本国数据的保护力度。另一方面,美国总统特朗普签署《澄清境外数据合法使用法案》(CLOUD法案),赋予美国政府调取存储于他国境内数据的合法权力,为获取他国数据扫清制度性障碍。从国内看,数据出境进入快速增长通道。我国加大力度,积极推进新一轮对外开放,大幅度放宽金融业、汽车行业等外商投资准入,相关行业海量数据加速涌入对外开放流动的大池。同时,中央明确提出加快实施国家大数据战略,进一步加强数据资源整合与开放共享,国内外各类主体之间数据合作增多,境内外数据交互将进入新的活跃期。
随着数据出境活动日渐活跃,各类风险逐步显性化,主要有三个方面的影响:一是情报层面,本国重要信息被他国掌握。智能化终端应用广泛,不断感知并收集地理、气象等外界数据,海量信息汇聚交叉,经过大数据技术处理和分析,潜在的国家重要信息即可显露。当前我国正处于大力推进工业化和信息化深度融合的历史进程中,工业大数据成为企业核心资产和重要资源,也随之成为黑客攻击和网络战的靶心,仅2017年上半年,就发现约18000种针对工控系统的恶意软件,工业数据泄露风险不可估量。二是决策层面,本国未来监管政策被他国所预期。大数据技术可以在分析的基础上预测未来可能发生的事件,呈现事物发展趋势。2008年金融危机之后,美国在金融监管领域大力推广微观数据的汇聚分析,来预测系统性金融风险的发生。同样,只要掌握他国的海量微观金融数据,便可以提前获知他国金融系统性风险的发生和应对举措,在国际金融博弈中占得先机。三是技术层面,数据挖掘能力的“鸿沟”进一步扩大。数据的样本量越大,种类越丰富,机器学习、统计分析方法等数据挖掘技术得到“喂养”和“锻炼”越强,进步越快。西方发达国家企业已经在工业互联网等领域开展布局,苹果、亚马逊等跨国企业在对外提供服务的过程中,充分利用平台优势汇集各国数据信息加以分析挖掘,进一步提升企业综合实力。我国作为世界第二大经济体,人口众多,数据资源极为丰富,应当强化数据资源保护能力,为我国数据挖掘技术实力的进步和领先争取宝贵先机。
二、我国数据出境管理制度初具雏形
面对数据出境风险隐患逐步累积,我国近年来立足自身特点,借鉴世界主要国家管理制度和经验,在立法、管理和监督执法领域初步建立起数据出境管理框架。一是立法先行,《网络安全法》第37条针对数据出境管理的适用对象,明确了个人信息和重要数据的本地存储、出境评估等法律义务。国家互联网信息办公室组织起草《个人信息和重要数据出境安全评估办法(征求意见稿)》,进一步细化落实《网络安全法》第37条的规定,为企业落实数据出境评估责任提供指引。二是管理明确,信息通信、金融、卫生、交通、科技等各部门分别对本行业部分重要数据出境管理提出要求。三是执法亮剑,网信、信息通信等部门开展数据出境安全执法检查和专项审查等工作,要求企业落实数据出境管理相关要求。苹果公司便与我国云上贵州公司达成协议,自2018年2月起,将中国内地用户在iCloud上保存的数据全部交由云上贵州在中国境内设立的数据中心存储。
虽然我国在数据出境管理方面积极行动,弥补短板,但与美国和欧盟等世界发达国家相比,仍存不足,主要体现在三方面:一是制度零散,未统筹建立顶层设计下的规范体系。我国目前仅有1条法律条款针对数据出境做出明确规定,其余规定散落于若干行业管理规范中,制度操作性和协调性不足。相比欧盟,以一部数据保护法案为牵引,带动4到5部配套规范合力构成数据出境顶层制度;再看美国,将本国各行业关于重要敏感数据管理、保护、控制的规范性文件梳理汇编,形成《非秘受控数据列表》(CUI),推动重要敏感数据使用、处理、保护的全流程、全环节规范化操作。二是管理手段单一,未形成覆盖数据全生命周期的闭环监管体系。目前我国有关部门主要以单纯行政禁令的方式,要求企业将特定数据留存在本地,政策执行落实效果不一,综合施措有待加强。而欧盟在数据保护法案的全面规范之下,建立起审查、认证、标准合同等一系列配套措施,覆盖事前、事中、事后,形成体系化、全方位的监管流程。三是处罚不严,未对违法违规企业形成有效震慑。近年来我国大规模泄露、转卖、滥用数据事件频发,但对涉事企业的实际处罚与事件的危害后果往往不相匹配,数据安全社会意识和公众重视程度普遍不强。相比之下,2018年,欧盟大幅提升企业违反数据保护法令的处罚金额,最高可至2000万欧元或年营业额的4%; 同年,Facebook导致5000万用户信息泄露被披露后,美国政府立即开展调查、国会听证,不断对企业施压。
三、我国数据出境风险应对面临内忧外患
在当前形势下,数据出境风险跨机构、跨行业传递已成常态,更可能通过数据分享、交叉汇聚、分析加工等渠道引发风险放大和扩散,导致单个、局部风险演化成公共、全局风险,由最初的“灰犀牛”聚集,最终触发一系列“黑天鹅”事件。风险主要来源于以下五方面。
(一)基础不牢,尚不具备数据保护关键技术、设备、标准的掌控能力
当前,信息系统的系统安全和应用安全都有一些传统的解决方案,可以在一定程度上较好地解决安全问题,但数据安全目前尚无较为成熟的解决方案,业界公认数据安全已成为物联网等信息系统的突出安全问题。此外,数据安全领域高度依赖外国技术。以数据库技术为例,我国数据库多年来一直使用外国技术,相当于把数据装到别人建的仓库里,雇用别人的仓库管理员(CPU),按照别人的规则使用数据,其中不乏涉及我国经济命脉行业的重要数据。
(二)边界不清,数据出境情况多样复杂难以界定
数据出境管理的众多基本问题尚未形成普遍共识,以重要数据出境为例:一是重要数据范围难以划定。以对国家利益、公共利益的影响程度为标准,将海量数据区分为重要数据与一般数据,实属不易。在近期进行的第七次世贸组织对中国贸易政策审议中,有些国家针对我国重要数据识别的规范性文件提出质疑,认为划分标准不合理、划定范围不清晰,这方面的争论凸显问题的复杂性、艰巨性。二是“出境”的场景多样难以归类。以地理上的国家边境,数据接收方的国籍或控制权作为基本尺度,至少可将数据出境活动划分为数十种不同场景,如何以风险水平为标准对其归类,并进一步提出针对性的安全要求,是一大难题。三是风险动态变化难以预判。数据出境风险很大程度上取决于数据分析、挖掘的水平,未来数据价值随着数据分析挖掘技术能力的提升而提升,这使得当下准确判断数据出境对国家、社会、公民的影响非常困难。
(三)转换战场,数据出境风险由个人信息蔓延至国家重要数据
大数据在众多行业赋能经济创新发展,在国家重大需求、国民经济发展主战场,数据要素的生产和流动更为旺盛。20世纪70年代,数据出境风险管理制度起源于对信息跨境流动下的个人权益保护。时至今日,在巨量数据资源中,个人信息、采购交易、地理位置等数据一应俱全,衍生价值难以估量,其中相当一部分涉及国家安全、公共安全。以互联网信息服务为例,2018年1月美国五角大楼称,一款名为Strava的跑步健身App利用全球定位系统记录并公布用户的日常运动轨迹等数据,泄露了全球范围的一些敏感军事设施的位置、巡逻方式等信息。以信息化联网为例,整个车联网是高速移动的信息系统,用户驾驶车辆所到之处,沿途交通、地理、气象等重要信息皆可收入囊中,海量车联网数据出境将增加国家空间地理基础信息暴露的风险。
(四)难于平衡,一边倒的数据出境风险管理政策不利于大数据发展战略的实施
数据出境安全管理制度如果未经过发展与安全的统筹与权衡,便可能对国家实施大数据战略产生不利影响。一是增加企业合规成本。严厉的数据出境管理制度要求企业投入更多资源以符合法律要求,数据本地化要求可能迫使企业在本地建设数据中心或分支机构,相对于远程提供服务,经营成本增加。GDPR实施后,有些企业已宣布不再向欧盟公民提供服务,意在规避高昂的合规成本。二是在一定程度上阻碍技术进步。在数据驱动的智能时代,广泛利用机器学习、统计分析方法从数据中发现规律,以改进生产、提供更优产品。数据样本越大,数据可靠性越高,技术提升效果越好。严厉的数据及隐私保护制度影响数据汇集、利用,与提升数据技术能力产生矛盾。三是数据壁垒不利于数据红利释放。数据开放的价值不容低估,据估计,在2015-2024年期间,数据跨境流动价值至少为29.7万亿美元。美国、英国等国家近年来均重视扩大数据资源,尤其是公共数据资源的开放共享,带动全社会信息资源规模化创新应用,培育新的经济增长点,严厉的数据保护政策与数字经济发展趋势背道而驰。
(五)摩擦升级,数据出境管理政策与国际贸易规则捆绑
数据出境管理政策成为近年来国际贸易谈判中的主要议题,频频出现在跨太平洋伙伴关系协定(TPP)、《美-韩自由贸易协定》(美韩FTA)、中国-美国双边投资协定谈判(中-美BIT),以及正在加速推进的《区域全面经济伙伴关系协定》(RCEP)等多项国际贸易谈判中,对跨境贸易产生重要影响。过于严格的数据出境管理政策可能引起他国的不满和对抗,引发贸易争端和国家间反制措施,不利于为本国企业营造良好的“走出去”外部环境。有些国家利用国际贸易争议规则为我国数据出境管理政策实施设置障碍。美国于2017年9月函告世贸组织,提出中国的数据出境政策将对全球尤其是美国的服务贸易提供者产生不利影响;2018年中美贸易摩擦升级后,美方继续酝酿新的贸易诉讼,不断指责中国不公平限制美国在华开展云计算等高科技服务贸易。
四、积极完善我国数据出境管理的政策建议
一是突出重点,制定出台重要数据出境管理规范。重要数据事关国家利益、公共利益,是国家数据资产的核心重要组成部分。重要数据涉及各行各业,管理体制的顶层设计和总体布局尤为重要,数据资源的分类是基础性工作,管理规则的透明度是重要工作,与国际贸易投资的紧密关系决定了它是一项高度国际化的工作,必须充分考虑与国际通行数据管理规则的相互衔接问题。建议在国家层面确定由有关部门开展高效有力的统筹协调工作,指导行业主管部门切实落实重要数据出境管理工作。在政策规范制定中,统筹处理好三个相互关系:一是数据的“出”与“入”、二是数据出境管理的“宽”与“严”、三是数据资源的“集中”与“分散”。同时,加快以法律形式明确重要数据的认定标准,基本范围,保护措施,管理体制,主体责任等内容。官方持续发布指导案例,阐释具体个案中、不同行业背景下的国家利益、公共利益具体含义,为重要数据的保护、管理、利用完善政策环境。
二是多措并举,完善数据出境风险管理综合体系,加强企业主体责任落实。改变以单一行政命令限制数据出境的做法,探索建立数据出境的事中事后监管手段,加强管理规则。建立抽查执法制度,积极开展针对数据出境的监督检查,针对数据出境活动的隐秘性、连续性等特点,尝试建立日常检查、飞行检查、专项督察等结合的综合监督检查制度,发现问题严厉处罚及时整改。建立信用制度,对数据出境合规存在问题的主体,限制其进一步获取、加工、存储数据的资格,督促落实主体责任。注重技管结合,运用互联网、大数据技术管理网上数据出境活动,以技术手段监测、发现问题,监督整改结果。完善应急处置和追责惩处,组织指导网络运营者建立数据出境安全事件应急报告、信息分享和响应制度,发生违规事件的,应当由有关主体承担与所造成后果相当的责任。
三是审时度势,增强数据出境领域国际规则话语权。紧密跟踪国际数据治理规则的变革调整,加强国际数据出境管理政策储备和管理规则研究,结合中国实际情况,提出数据出境管理的中国方案。抓住中国企业“走出去”、“一带一路”等战略实施的有利时机,探索布局海外数据资源的获取和挖掘。利用世贸组织规则和国际贸易谈判,对阻碍我国数据出境管理措施落地实施的限制做法开展反制,积极维护国家数据主权。
(本文刊登于《中国信息安全》杂志2018年第11期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。