在ISC2022大會的城市數(shù)字化轉型安全發(fā)展論壇中,來自中國科學技術大學公共事務學院、網(wǎng)絡空間安全學院教授左曉棟圍繞數(shù)據(jù)出境安全這一當前社會討論較多的熱點話題展開了分享。
左曉棟表示,網(wǎng)絡安全法、數(shù)據(jù)安全法和個人信息保護法共同建立了我國數(shù)據(jù)出境安全管理制度的框架,經(jīng)梳理后,其關系主要如下:
網(wǎng)絡安全法第37條,明確了“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數(shù)據(jù)應當在境內存儲。因業(yè)務需要,確需向境外提供的,應當按照國家網(wǎng)信部門會同國務院有關部門制定的辦法進行安全評估”。左曉棟指出,當時的范圍是把它限定到關基運營者,但需要注意的是,實際上涉及出境的大量數(shù)據(jù)是發(fā)生在非關基運營者,也就是非重點行業(yè)的中小企業(yè)中,因此從某種角度看,當時的規(guī)定并不是非常全面。
因此,在后續(xù)出臺的數(shù)據(jù)安全法中,在重要數(shù)據(jù)領域方面進行了擴展,也就是從非關基擴展到所有的重要數(shù)據(jù),而個人信息保護法,則把規(guī)范的對象由關基運營者收集產生的個人信息擴展到了所有的個人信息。
數(shù)據(jù)出境安全管理的“3+1”個條件
左曉棟總結道,我國數(shù)據(jù)出境安全管理制度實際上是“3+1”個條件,其中的“3”具體指的是以下內容:
1、通過國家網(wǎng)信部門組織的數(shù)據(jù)出境安全評估;
2、通過專業(yè)機構進行的個人信息保護認證;
3、按照與接收方簽訂的合同(該合同須是經(jīng)過網(wǎng)信部門確定的標準合同)。
除了上述3個條件之外,另外的那個“1”則是指需滿足國家網(wǎng)信部門規(guī)定的其他條件。
左曉棟指出,前述的3個條件并非是并列的,首先要判斷是不是應當進行評估,實際上對于數(shù)據(jù)出境進行安全評估需要具備以下幾個條件:
1、相關數(shù)據(jù)是否屬于重要數(shù)據(jù),如是重要數(shù)據(jù),則必須要經(jīng)過網(wǎng)信部門組織安全評估。
2、只要是關基運營者收集產生的個人信息,無論數(shù)據(jù)量的大小,都必須經(jīng)過安全評估,
3、非關基運營者處理個人信息達到特定門檻,也必須要經(jīng)過安全評估。
其中第3條所涉及的門檻,如中小企業(yè)或其他機構,如果涉及到個人信息出境,那么需要看其歷史上是否為掌握100萬個人信息的運營者,或是自2021年1月1日以來,其出境的個人信息是否達到10萬或出境的敏感個人信息是否達到1萬,如果沒有達到這些門檻,則無需評估,如超過門檻,則必須要走評估。
另外,如果沒有滿足安全評估的條件,那么涉及數(shù)據(jù)出境就要經(jīng)過個人信息保護認證或標準合同的途徑。
左曉棟介紹到,關于第1種也就是要經(jīng)過國家網(wǎng)信部門組織評估的安全評估的情況,已經(jīng)在今年7月正式發(fā)布的《數(shù)據(jù)出境安全評估辦法》已經(jīng)有了明確規(guī)定,并將于今年9月1日起施行。
那么關于第2、3種條件的相關制度進展,左曉棟也在發(fā)言中也做了介紹。首先是關于“通過專業(yè)機構進行的個人信息保護認證”方面,全國信安標委秘書處發(fā)布了一份正式文件——《網(wǎng)絡安全標準實踐指南》,就個人信息跨境處理活動中的認證規(guī)范做了要求。隨后是“按照與接收方簽訂的合同”也就是標準合同途徑方面,2022年6月30日,國家網(wǎng)信辦將《個人信息出境標準合同規(guī)定》(征求意見稿)向社會公開征求意見。以上內容就是關于法律規(guī)定的數(shù)據(jù)出境安全管理方面相關制度的總體進展情況。
對數(shù)據(jù)出境施加條件不等于限制數(shù)據(jù)出境
而是確保數(shù)據(jù)要合法合規(guī)出境
左曉棟在發(fā)言中表示,對于包括數(shù)據(jù)出境安全管理制度在內的這些制度本身,因為大家有著不同的理解,從而會產生一些想法和分歧,因此他也進行了簡單的總結并做了較為詳盡的解讀,具體如下:
一、不是所有的數(shù)據(jù)出境,都必須經(jīng)過前述途徑。
左曉棟表示,在相關制度的出臺以及相關進展披露后,有人認為這些嚴格的條件會給數(shù)字經(jīng)濟的自由發(fā)展帶來限制,但在他看來,這一觀點非常錯誤。左曉棟指出,圍繞這些政策法規(guī),無論是專家解讀還是媒體報道,往往都聚焦于法律法規(guī)所規(guī)定的要求本身,但實際上在相關政策規(guī)定的內容中,指的是重要數(shù)據(jù)和個人信息出境必須要經(jīng)過評估或認證,而如果企業(yè)或機構的數(shù)據(jù)屬性不屬于這些分類,那么在出境方面是沒有施加條件要求的。因此,從這個角度看,并不會對數(shù)字經(jīng)濟的整體發(fā)展帶來負面影響。
?二、個人信息保護認證不等于個人信息出境安全認證。
關于個人信息保護認證這一點,左曉棟認為應當對其給予正確的理解。首先國家要建立個人信息保護認證制度,盡管該制度是從個人數(shù)據(jù)出境的角度提出來的,一方面它可以用在數(shù)據(jù)出境的安全管理方面,但另一方面看,也不是涉及數(shù)據(jù)出境就非用它不可,簡單表述就是可以理解為該制度是一個全集,而個人信息出境的安全認證制度是一個子集。簡單來看,就是企業(yè)、機構即便是不涉及數(shù)據(jù)出境,也可以去申請個人信息保護認證,因為該認證可以體現(xiàn)出企業(yè)、機構在個人信息保護合規(guī)或數(shù)據(jù)安全能力方面的良好能力或優(yōu)勢實力。
但當企業(yè)、機構要通過這種途徑進行個人信息數(shù)據(jù)出境時,那么在個人信息保護認證之下,還需做個人信息數(shù)據(jù)出境的認證。“個人信息保護認證和個人信息安全認證應分別申請,但前者是后者的基礎?!弊髸詶澖忉尩馈?/p>
三、通過安全評估、認證出境也需要簽署合同,這與出境標準合同并非一回事
左曉棟指出,通過簽署標準合同實施數(shù)據(jù)出境,是全世界的慣例,而且經(jīng)過實踐證明是有效的。但是當大家看到即便是通過國家網(wǎng)信部門組織的數(shù)據(jù)出境安全評估以及通過專業(yè)機構進行的個人信息保護認證這兩種方式也需要簽訂合同,就提出了自己的問題——既然這兩個條件也要簽訂合同,那么為什么還會有一個專門通過標準合同實現(xiàn)數(shù)據(jù)出境的途徑呢?它們之間的關系又是怎樣的呢?
對于該問題,左曉棟闡述道,之所以會有這樣的問題,主要是在于對于這些合同所涉及的內容依然不是十分了解。他介紹到,當選擇個人信息保護認證途徑時,所作的認證是一個靜態(tài)的過程,也是一個一次性的過程,但數(shù)據(jù)出境是一個多次、持續(xù)的動態(tài)活動,這個時候用一個一次性的證書去為一個多次、持續(xù)的動態(tài)活動做背書顯然是不夠的。因此在具體到數(shù)據(jù)出境的時候,所簽訂的合同內容肯定要和評估、認證途徑時所需簽訂的合同是不一樣的,而且在嚴格的程度上也會有很大的區(qū)別。
至于它們之間的不一樣之處具體體現(xiàn)在哪里,這在目前還處在研究的過程之中,畢竟《個人信息出境標準合同規(guī)定》(征求意見稿)仍然處在征求意見的階段,但他認為,對于數(shù)據(jù)出境需要簽訂的非標準合同規(guī)定,也應會有一個官方導向,因為要和標準合同內容做區(qū)分,如果彼此之間內容相似的話,就會出現(xiàn)悖論。
四、數(shù)據(jù)出境安全管理制度和本地化存儲制度是兩個完全不同的制度。
左曉棟表示,網(wǎng)絡安全法的第37條,實際上為我國確定了兩個制度,除了前面所說的數(shù)據(jù)出境的制度之外,另一個就是本地化存儲的制度。“這兩個制度經(jīng)常被混為一談,原因則在于既然數(shù)據(jù)出境要有這樣那樣的條件,其目的無非就是不讓它出去,既然如此那不就是本地化存儲嗎?”左曉棟談道,“這種想法肯定是不對的,因為它們是不一樣的?!比缜拔乃?,對數(shù)據(jù)出境施加條件并不等于限制數(shù)據(jù)出境,而是要確保數(shù)據(jù)要合法合規(guī)的出境。
因此,左曉棟認為,數(shù)據(jù)出境安全管理制度和本地化存儲制度是兩個完全不同的制度,“我看到很多人對此提出異議,認為本地化存儲制度給企業(yè)帶來了很高的成本,尤其是對于那些出海企業(yè),如果每個國家都要求本地化存儲,那么企業(yè)的運營成本將會非常高昂。可事實上,在我國網(wǎng)絡安全法第37條提出本地化存儲的制度要求之后,在建立我國數(shù)據(jù)出境安全管理制度時,并沒有再強調數(shù)據(jù)本地化存儲,關于這一點,我認為要有一個正確的認知?!?/p>
除此之外,未來對于數(shù)據(jù)本地化存儲的要求,左曉棟認為一定是特定的數(shù)據(jù),而不會是所有的數(shù)據(jù)都要求本地存儲,因為這同數(shù)字經(jīng)濟發(fā)展的方向是不一致的,但他同時也認為,針對那些特定的數(shù)據(jù),我國未來一定會專門對數(shù)據(jù)本地化存儲的提出要求。
更多信息可以來這里獲取==>>電子技術應用-AET<<