本文來自開放群島開源社區(qū)。
數(shù)字經(jīng)濟時代,數(shù)字貿(mào)易是外向型數(shù)字經(jīng)濟的核心內(nèi)容和重要載體,正成為國際貿(mào)易增長新引擎。數(shù)字貿(mào)易的繁榮,離不開跨境數(shù)據(jù)的安全有序流通。一方面,加速數(shù)字貿(mào)易的發(fā)展,需要讓跨境數(shù)據(jù)自由便利地流通;另一方面,數(shù)據(jù)的跨境流通往往涉及到數(shù)據(jù)安全、個人隱私保護等問題。
2022年12月19日國務(wù)院《關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見》指出“深化開放合作,實現(xiàn)互利共贏。積極參與數(shù)據(jù)跨境流動國際規(guī)則制定,探索加入?yún)^(qū)域性國際數(shù)據(jù)跨境流動制度安排。推動數(shù)據(jù)跨境流動雙邊多邊協(xié)商,推進建立互利互惠的規(guī)則等制度安排。鼓勵探索數(shù)據(jù)跨境流動與合作的新途徑新模式”。加強數(shù)據(jù)跨境流動的探索,成為我國在全球數(shù)字經(jīng)濟發(fā)展格局中建立優(yōu)勢的關(guān)鍵。
《跨境數(shù)據(jù)流通合規(guī)與技術(shù)應(yīng)用白皮書》以跨境數(shù)據(jù)流通線下合規(guī)與線上技術(shù)解決方案相結(jié)合為特色,在研究分析數(shù)據(jù)出境接受國或地區(qū)的法律環(huán)境和調(diào)研行業(yè)數(shù)據(jù)跨境實踐的基礎(chǔ)上,探索用技術(shù)手段實現(xiàn)跨境數(shù)據(jù)的高效流轉(zhuǎn),也是跨境數(shù)據(jù)流通技術(shù)解決方案的首次集中展示。
01
跨境數(shù)據(jù)流通需求與意義
在信息時代的大背景下,數(shù)據(jù)作為新興資源要素得到了各國重視,我國《數(shù)據(jù)安全法》中,將“數(shù)據(jù)”定義為任何以電子或者其他方式對信息的記錄。全球數(shù)據(jù)的跨境流通也愈發(fā)頻繁,國際上對數(shù)據(jù)跨境概念的界定尚未形成統(tǒng)一的標準。我國在《數(shù)據(jù)出境安全評估辦法》中,將數(shù)據(jù)處理者向境外提供在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)和個人信息視為數(shù)據(jù)出境活動。
跨境數(shù)據(jù)流通是推動人才流、物流、資金流和信息流跨域自由流轉(zhuǎn)的基礎(chǔ),在促進經(jīng)濟增長、加速技術(shù)創(chuàng)新、推動企業(yè)全球化等方面發(fā)揮了積極作用。
當(dāng)前,數(shù)據(jù)跨境流動也成為全球數(shù)字經(jīng)濟發(fā)展中各國數(shù)據(jù)博弈的核心。依托數(shù)字技術(shù)和信息網(wǎng)絡(luò)推動數(shù)據(jù)跨境流動,可帶動各類資源要素快捷流動、各類市場主體加速融合,幫助企業(yè)重構(gòu)組織模式實現(xiàn)跨界發(fā)展,促進數(shù)字經(jīng)濟做強做優(yōu)做大。
02
我國跨境數(shù)據(jù)流通發(fā)展現(xiàn)狀
隨著國際貿(mào)易和數(shù)字服務(wù)進出口規(guī)模的持續(xù)擴大,跨境流通的數(shù)據(jù)量持續(xù)增加,我國跨境數(shù)據(jù)流通呈現(xiàn)規(guī)?;?、區(qū)域化的特點。
01
完善數(shù)據(jù)跨境流通法律法規(guī)體系
我國積極完善數(shù)據(jù)安全保護及數(shù)據(jù)跨境流通法律法規(guī)體系,立法覆蓋面逐漸擴展,初步形成較為完整的數(shù)據(jù)安全保護、個人信息保護和跨境數(shù)據(jù)依法有序流通的法律體系?!毒W(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等就數(shù)據(jù)出境作出了相關(guān)規(guī)定,構(gòu)建起安全條件下促進數(shù)據(jù)自由有序高效流動的基本管理制度。2022年7月發(fā)布的《數(shù)據(jù)出境安全評估辦法》,就我國個人信息和重要數(shù)據(jù)出境安全審查評估等提出全面系統(tǒng)的要求、提供具體的法律解決方案,是我國破題數(shù)據(jù)跨境流動管理規(guī)則的重要實踐。
02
探索數(shù)據(jù)跨境流通實施路徑
我國高度重視跨境數(shù)據(jù)流通工作,堅持數(shù)據(jù)安全流通和數(shù)字經(jīng)濟發(fā)展并重,積極探索跨境數(shù)據(jù)流通的實施路徑。從中央到地方的實踐探索,為促進跨境數(shù)據(jù)自由高效有序流動奠定了良好基礎(chǔ)。
03
提升數(shù)據(jù)跨境流通規(guī)則制定話語權(quán)
我國積極提升全球數(shù)據(jù)跨境流通規(guī)則制定話語權(quán)。在我國已經(jīng)陸續(xù)加入的中韓自貿(mào)協(xié)定、區(qū)域全面經(jīng)濟伙伴關(guān)系協(xié)定(RCEP)中,關(guān)于數(shù)據(jù)跨境流通議題被各方廣泛關(guān)注。積極開展多邊框架下的國際數(shù)字貿(mào)易合作,有利于提升我國在數(shù)據(jù)跨境流通等關(guān)鍵議題的國際話語權(quán)。
04
挖掘數(shù)據(jù)跨境流通場景應(yīng)用與技術(shù)
全球數(shù)據(jù)量以59%以上的年增長率快速增長,其中80%是非結(jié)構(gòu)化和半結(jié)構(gòu)化數(shù)據(jù),非結(jié)構(gòu)化數(shù)據(jù)的利用率和可見度尚具有很大的挖掘空間。在跨境數(shù)據(jù)流通中數(shù)據(jù)正從“匯聚可用”向“鏈接可用”的技術(shù)路線發(fā)展。
03
我國跨境數(shù)據(jù)流通實踐存在的問題
數(shù)據(jù)跨境界定不清晰
目前,對于數(shù)據(jù)跨境的界定在法律層面仍不夠清晰。但仍然無法明確某些具體場景下,數(shù)據(jù)處理活動是否構(gòu)成數(shù)據(jù)出境活動。對于數(shù)據(jù)跨境場景界定的不清晰,將陷入數(shù)據(jù)處理者無法準確識別自身合規(guī)義務(wù)、監(jiān)管部門無法明確監(jiān)管事項的困境。
市場對于國家核心數(shù)據(jù)、重要數(shù)據(jù)的判定存在差異
當(dāng)前國家核心數(shù)據(jù)、重要數(shù)據(jù)的識別標準模糊,導(dǎo)致部分跨境數(shù)據(jù)流通或交易對于國家核心數(shù)據(jù)、重要數(shù)據(jù)的判定存在差異而造成違規(guī)或合規(guī)壓力。
數(shù)據(jù)出境業(yè)務(wù)開展成本高
《數(shù)據(jù)出境安全評估辦法》規(guī)定在申報數(shù)據(jù)出境安全評估前,應(yīng)當(dāng)開展數(shù)據(jù)出境風(fēng)險自評估。特別是在監(jiān)管趨嚴的情況下,為確保數(shù)據(jù)依法依規(guī)跨境流通,盡快達到前述辦法明確的合規(guī)要求,數(shù)據(jù)處理者通常自我施壓,主動“加碼”,來應(yīng)對可能出現(xiàn)的風(fēng)險,最終致使有數(shù)據(jù)跨境傳輸需求的數(shù)據(jù)處理者合規(guī)義務(wù)陡增。
數(shù)據(jù)接收方的合規(guī)義務(wù)核查難
根據(jù)現(xiàn)行有效的法律法規(guī)等規(guī)范文件,對于數(shù)據(jù)出境鏈路及數(shù)據(jù)接收方的數(shù)據(jù)安全保障能力均有相應(yīng)的要求,但在實際業(yè)務(wù)開展中,域外法律識別、政策法規(guī)和安全環(huán)境評價、接收方數(shù)據(jù)安全保障能力、數(shù)據(jù)處理全流程等事項均涉及域外核查,開展實地調(diào)研及核查存在一定難度及較高成本,企業(yè)落實存在一定困難。
數(shù)據(jù)跨境安全義務(wù)評價標準缺失
對于擬通過數(shù)據(jù)出境安全評估路徑傳輸數(shù)據(jù)出境的企業(yè),需對自身及境外數(shù)據(jù)接收方的數(shù)據(jù)處理安全保障能力進行描述,但是對于應(yīng)當(dāng)采取何種類型的安全措施以及應(yīng)當(dāng)在數(shù)據(jù)跨境傳輸過程中部署哪些安全保障策略等問題,《數(shù)據(jù)出境安全評估辦法》《數(shù)據(jù)出境安全評估申報指南(第一版)》等規(guī)范文件中均未明確。
個人信息出境標準合同適用范圍過小
根據(jù)國家互聯(lián)網(wǎng)信息辦公室2022年6月30日發(fā)布的《個人信息出境標準合同規(guī)定(征求意見稿)》,如個人信息處理者處理個人信息超過100萬人次,將無法適用該標準合同傳輸數(shù)據(jù)出境,但實踐中眾多小微企業(yè)經(jīng)營跨境電商等業(yè)務(wù)時,都會處理超過100萬人次的個人信息。
跨境數(shù)據(jù)流通技術(shù)水平和數(shù)據(jù)治理能力有待提升
我國跨境數(shù)據(jù)流通的需求正從事件與合規(guī)驅(qū)動向業(yè)務(wù)驅(qū)動演進,跨境數(shù)據(jù)流通在技術(shù)上需要性能穩(wěn)定、簡單易用的全鏈條平臺工具釋放阻力。跨境數(shù)據(jù)還存在數(shù)據(jù)壁壘突出、碎片化問題嚴重等瓶頸。現(xiàn)有結(jié)構(gòu)性數(shù)據(jù)為主治理方式,在數(shù)據(jù)質(zhì)量、數(shù)據(jù)字段豐富度、數(shù)據(jù)分布和數(shù)據(jù)實時性等維度還難以滿足跨境領(lǐng)域AI應(yīng)用對數(shù)據(jù)的高質(zhì)量要求。
04
我國跨境數(shù)據(jù)流通合規(guī)與技術(shù)應(yīng)用建議
隨著數(shù)字經(jīng)濟時代的到來,數(shù)據(jù)跨境已成為全球發(fā)展的必然趨勢。為促進數(shù)據(jù)跨境流動、保護數(shù)據(jù)跨境安全,我國制定并頒布的數(shù)據(jù)領(lǐng)域的法律、法規(guī)、規(guī)章及標準中,均對數(shù)據(jù)跨境予以規(guī)定。同時,應(yīng)充分發(fā)揮技術(shù)保障作用,運用技術(shù)手段構(gòu)建安全風(fēng)險防控體系,促進數(shù)據(jù)安全有序跨境流通。
法律合規(guī)層面
確定擬出境的數(shù)據(jù)是否為需申報的數(shù)據(jù)類型
重要數(shù)據(jù)和符合條件的個人信息出境前需主動申報。從我國向境外提供數(shù)據(jù),需要進行數(shù)據(jù)出境安全評估申報的數(shù)據(jù)類型有兩類:一類是重要數(shù)據(jù),另一類是滿足條件的個人信息。
需進行數(shù)據(jù)出境安全評估申報的數(shù)據(jù)類型
從立法層面來看,我國已明確規(guī)定數(shù)據(jù)出境前需主動申報的數(shù)據(jù)類型及相關(guān)情形;但從實踐角度來看,如何判斷待出境的數(shù)據(jù)是否為重要數(shù)據(jù)仍具有不確定性。
合規(guī)開展數(shù)據(jù)出境風(fēng)險自評估與數(shù)據(jù)出境安全評估工作
數(shù)據(jù)出境風(fēng)險自評估與數(shù)據(jù)出境安全評估的重點評估事項大體相同,主要考核評估以下幾個方面:1)客體角度:出境數(shù)據(jù)本身,包括規(guī)模、范圍、種類、敏感程度、潛在風(fēng)險;2)行為角度:數(shù)據(jù)出境行為,主要指數(shù)據(jù)出境的目的、范圍、方式等是否合法正當(dāng)必要;3)主體角度:境外接收方,包括境外接收方當(dāng)?shù)氐谋Wo政策及保護水平是否達到我國標準;4)技術(shù)保障角度:數(shù)據(jù)出境中及出境后數(shù)據(jù)安全和個人信息權(quán)益保護途徑是否暢通有效;5)法律文件角度:與境外接收方擬訂立的數(shù)據(jù)出境相關(guān)合同或其他法律文件。
技術(shù)應(yīng)用層面
數(shù)據(jù)分類分級技術(shù)幫助企業(yè)梳理出境數(shù)據(jù)
《數(shù)據(jù)出境安全評估辦法》明確指出,企業(yè)在數(shù)據(jù)出境過程中,需要評估出境數(shù)據(jù)的規(guī)模、范圍、種類、敏感程度。隨著企業(yè)的數(shù)據(jù)資產(chǎn)規(guī)模越來越大,基于人工梳理方式的分類分級工作投入巨大,已經(jīng)無法滿足企業(yè)安全合規(guī)的要求。
數(shù)據(jù)脫敏去標識化保證敏感數(shù)據(jù)最小使用和安全防護原則
數(shù)據(jù)脫敏或去標識化是指對敏感信息通過脫敏規(guī)則進行數(shù)據(jù)的變形,實現(xiàn)敏感隱私數(shù)據(jù)的可靠保護。個人信息去標識化過程一般涉及個人數(shù)據(jù)預(yù)處理,數(shù)據(jù)去標識化,去標識化結(jié)果評級這幾個階段。數(shù)據(jù)預(yù)處理階段可以采用數(shù)據(jù)抽樣,減小數(shù)據(jù)集的規(guī)模,減少結(jié)果集中的個人信息。數(shù)據(jù)去標識化階段可以采用統(tǒng)計技術(shù)、密碼技術(shù)、抑制技術(shù)、假名化技術(shù)、泛化技術(shù)、隨機化技術(shù)、數(shù)據(jù)合成技術(shù)等。
數(shù)據(jù)安全網(wǎng)關(guān)構(gòu)建安全可控的數(shù)據(jù)出境鏈路
境外系統(tǒng)可能通過API接口的方式訪問境內(nèi)數(shù)據(jù)中心,在此過程中為了合法合規(guī),一般需要引入數(shù)據(jù)安全網(wǎng)關(guān)對接口進行納管。數(shù)據(jù)安全網(wǎng)關(guān)能夠?qū)ι婕?0敏感數(shù)據(jù)流量接口進行識別,并對敏感數(shù)據(jù)接口的動態(tài)防護,通過對相關(guān)調(diào)用進行脫敏、攔截、限流、限頻等事中控制措施,確保個人隱私數(shù)據(jù)、行業(yè)重要數(shù)據(jù)得到安全保障。
數(shù)據(jù)安全加密技術(shù)保障出境數(shù)據(jù)存儲安全
針對出境業(yè)務(wù)數(shù)據(jù),數(shù)據(jù)處理者應(yīng)當(dāng)在與境外接收方訂立的法律文件中明確約定數(shù)據(jù)安全保護責(zé)任義務(wù),包括數(shù)據(jù)在境外保存地點、期限,以及達到保存期限、完成約定目的或者法律文件終止后出境數(shù)據(jù)的處理措施。為確保數(shù)據(jù)在存儲側(cè)的安全,需要數(shù)據(jù)存儲加密技術(shù),一方面對數(shù)據(jù)庫存儲層透明加密,另一方面對應(yīng)用層的數(shù)據(jù)進行加密。
隱私計算保護數(shù)據(jù)出境場景中的原始信息
隱私計算是指在保證數(shù)據(jù)提供方不泄露原始數(shù)據(jù)的前提下,對數(shù)據(jù)進行分析處理與計算的一系列信息技術(shù),保障數(shù)據(jù)在流通與應(yīng)用過程中“可用不可見”。隱私計算由于其技術(shù)特性,可在數(shù)據(jù)跨境場景中提供原始數(shù)據(jù)不出域的解決方案。
基于區(qū)塊鏈存證的出境事件稽核溯源
區(qū)塊鏈存證在數(shù)據(jù)要素流通場景上,可將數(shù)據(jù)在采集、存儲、流通、分析、應(yīng)用等各個環(huán)節(jié)的行為進行存證上鏈,達到防篡改、可追溯、可信任的目的。
具體內(nèi)容如下
本文來源鏈接:https://mp.weixin.qq.com/s/HcjMbg7O6ESp-eX2N1SsbA