如何保證跨境數據流動的安全？

文/ 本刊記者 劉檀

隨著數字經濟的蓬勃發展，數據跨境活動日益頻繁，數據出境需求快速增長。明確數據出境安全評估的具體規定，是促進數字經濟健康發展、防范化解數據跨境安全風險的需要。

近日，國家網信辦公布《數據出境安全評估辦法》（下稱《辦法》），自9 月1 日起施行。網信辦有關負責人表示，出臺《辦法》旨在落實《網絡安全法》《數據安全法》《個人信息保護法》的規定，規范數據出境活動，保護個人信息權益，維護國家安全和社會公共利益，促進數據跨境安全、自由流動，切實以安全保發展、以發展促安全。

全球化背景下，數據出境呈常態化

在全球化背景下，數據出境已呈常態化趨勢。中國科技大學公共事務學院、網絡空間安全學院教授左曉棟稱：“數據是國家的戰略資源。如果一個國家對于數據出境不設防，相當于國家安全大門洞開。”

如何保證數據跨境流動的安全，是一個全球性命題。

歐盟的數據跨境規則主要集中在《通用數據保護條例》（GDPR）中。GDPR 強調，向歐盟境外提供個人信息，不得削弱對個人信息的保護力度。GDPR 規定，需要獲得歐盟充分保護認定，這種認定實質上是歐盟對他國法律制度、監管機構設置、參加國際條約等方面的評估，是最嚴格的方式。

“一旦進入這一白名單，數據跨境的便利性極大。目前，只有新加坡、瑞士、日本等極少數國家通過了認定。”左曉棟說。

美國則有不同的處理方式。美國雖然自稱數據自由流動，對數據跨境沒有嚴格的法律限制，更多通過市場機制來解決，但今年4 月，美國宣布了全球跨境隱私規則（CBPR）聲明，試圖將APEC 框架下的數據跨境傳輸機制的適用擴展至全球范圍。

近年，中國也在逐步完善對于數據出境的相關立法。2016 年，《網絡安全法》出臺，其中第37 條規定，關鍵信息基礎設施的運營者在境內收集和產生的個人信息和重要數據應當在境內存儲；因業務需要，確需向境外提供的，應進行安全評估。2021 年，《數據安全法》和《個人信息保護法》先后出臺，將數據出境安全評估制度的實施范圍作出擴展，不再局限于關鍵信息基礎設施運營者。

中國社科院法學所網絡與信息法室副主任周輝指出，此前，國內不少機構的數據出境活動基本處于“裸奔”狀態，嚴重威脅著個人信息權益、社會公共利益乃至國家安全?！稊祿踩ā泛汀秱€人信息保護法》建立了中國數據出境安全管理的基本框架，但具體細則還有待明確，《辦法》由此應運而生。

多位專家近日表示，《辦法》彌補了數據出境的安全漏洞，健全了數據出境安全屏障。他們建議，相關企業在數據出境活動發生前，應依法開展風險自評估、申報，并通過數據出境安全評估。

《辦法》為數據安全出境提供指引

對于數據出境活動，《辦法》作出具體規定，一是數據處理者將在境內運營中收集和產生的數據傳輸、存儲至境外；二是數據處理者收集和產生的數據存儲在境內，境外的機構、組織或者個人可以訪問或者調用。

《辦法》明確了4 種應當申報數據出境安全評估的情形：一是數據處理者向境外提供重要數據。二是關鍵信息基礎設施運營者和處理100 萬人以上個人信息的數據處理者向境外提供個人信息。三是自上年1 月1 日起累計向境外提供10 萬人個人信息或者1 萬人敏感個人信息的數據處理者向境外提供個人信息。四是國家網信部門規定的其他需要申報數據出境安全評估的情形。

數據出境安全評估具體包括哪些內容？網信辦負責人介紹，一是數據出境的目的、范圍、方式等的合法性、正當性、必要性。二是境外接收方所在國家或地區的數據安全保護政策法規和網絡安全環境對出境數據安全的影響；境外接收方的數據保護水平是否達到中國法律、行政法規的規定和強制性國家標準的要求。三是出境數據的規模、范圍、種類、敏感程度，出境中和出境后遭到篡改、破壞、泄露、丟失、轉移或被非法獲取、非法利用等風險。四是數據安全和個人信息權益是否能夠得到充分有效保障。五是數據處理者與境外接收方擬訂立的法律文件中是否充分約定了數據安全保護責任義務。六是遵守中國法律、行政法規、部門規章情況。七是國家網信部門認為需要評估的其他事項。

為了規范數據出境安全評估活動，《辦法》還明確了具體流程。一是事前評估，數據處理者在向境外提供數據前，應首先開展數據出境風險自評估。二是申報評估，符合申報數據出境安全評估情形的，數據處理者應通過所在地省級網信部門向國家網信部門申報。三是開展評估，國家網信部門自收到申報材料之日起7 個工作日內確定是否受理評估；自出具書面受理通知書之日起45 個工作日內完成數據出境安全評估；情況復雜或需要補充、更正材料的，可以適當延長并告知數據處理者預計延長的時間。四是重新評估和終止出境，評估結果有效期屆滿或在有效期內出現需重新評估情形的，數據處理者應當重新申報數據出境安全評估。

網信辦負責人提醒道，實踐中，數據處理者宜在與境外接收方簽訂數據出境相關合同或其他具有法律效力的文件前，申報數據出境安全評估。如果在簽訂法律文件后申報評估，建議在法律文件中注明“此文件須在通過數據出境安全評估后生效”，以避免可能因未通過評估而造成損失。

數據安全或撬動百億市場

實踐中，數據處理者宜在與境外接收方簽訂數據出境相關合同或其他具有法律效力的文件前，申報數據出境安全評估。

《辦法》出臺的當日，奇安信與普華永道舉行戰略合作簽約儀式。雙方將圍繞國際化戰略布局、打造網絡安全產品和專業安全服務能力的聯合解決方案、推進全產業數字化網絡安全咨詢服務開拓等三個方向展開深入合作，加速中國網絡安全產業布局海外市場。

奇安信集團副總裁、創新BG 負責人孔德亮表示，新規實施后，明確了監管的要求和細則。當下，企業急需把自己的短板補上，保障數據的基礎安全防護問題。

“數據安全是國家戰略，企業的數字化轉型是大勢所趨，而合法合規保障流動和使用數據是前提，因此企業建設數據安全的意愿非常強烈。”孔德亮說。他認為，企業數據安全保護的市場空間預計將以百億元起。

金杜律師事務所方面表示，《辦法》對安全評估的程序性規則和實體評估內容均進行了規定。所規定的自評估—申請評估—重新評估，以及評估材料、評估時間、評估通知、評估材料補充更正、評估結果撤銷等均屬于程序性規定。這些規定能夠幫助數據處理者定位自己在開展數據出境安全評估工作中所處的時間點位。

周輝指出，《辦法》實施后，將對達到評估申報標準的數據處理者產生約束性影響，尤其是金融、電信、衛生健康、能源、民航等重要行業和領域。這些領域的機構向境外提供的數據，一方面可能涉及國家安全、經濟運行、社會穩定、公共健康和安全的重要數據；另一方面因自身被確定為關鍵信息基礎設施運營者，其處理數據的量級輕易即可達到“100 萬人以上”。

周輝建議，上述相關行業，應盡快適應《辦法》的要求，在數據出境活動發生前依法開展自評估、申報并通過評估。如果目前不符合《辦法》的管理要求，在《辦法》規定的期限（2023 年3 月1 日）前盡快完成整改。