Expert Interpretation: Preventing Data Outbound Security Risks and Protecting National Data Security

随着数字经济快速发展，数据作为数字经济的核心要素，已经成为国家之间争夺的重要战略资源，“数据主权”、“数据隐私”、“数据跨境流通规则”等越来越受到国际的关注。欧美已经形成较为体系化的数据跨境管理制度，完善我国数据出境管理规则势在必行。2022年7月7日，国家互联网信息办公室正式公布《数据出境安全评估办法》（以下简称《评估办法》），就个人信息和重要数据的出境安全评估管理措施提供具体的法律解决方案，是我国破题数据跨境流动管理规则的重要实践。《评估办法》不仅是对《网络安全法》《数据安全法》《个人信息保护法》等法律法规中“出境数据安全评估”规定的细化落实，也是保护我国基础性战略资源和国家安全的关键措施。<br> 一、加强数据跨境流动管理成为主要国家的共识<br> 数字技术的蓬勃发展多层次地影响着世界经济格局，数据逐渐成为各国新一轮国际政治博弈中争夺的重要资源。当前，数据资源的全球竞争中，越来越多的国家或地区立足于发展利益，制定了相应的数据跨境管理规则。<br> （一）美国推动基于信任的数据跨境自由流动<br> 美国积极推进有利于自身的跨境数据流动规则，在倡导数据自由流动的同时，也对关键领域数据出境施加限制措施，EO 13556号行政令严格限定了关键基础设施、金融、税收等近20个门类数据的传播范围，《外国投资风险审查现代化法》《出口管制条例》等法律通过外商投资安全审查、出口管制等手段对人工智能关键技术、敏感个人数据等采取相关跨境限制措施。<br> （二）欧盟建立高水平保护的数据跨境流动规则<br> 欧盟的跨境数据流动政策主要体现在对个人数据的保护和限制，其《通用数据保护条例》（GDPR）构建了一套高标准的数据保护机制，并为涉及个人数据出境业务的企业或机构提供了数据保护充分性认定、约束性公司规则（BCR）和标准合同条款（SCC）等多种合规渠道和工具，而充分性认定是通过建立“白名单”对其数据流入国进行严格限定。同时，为满足安全和执法诉求，欧盟也提出了数据的域外管辖要求。<br> （三）其他国家加紧完善数据跨境流动政策<br> 除日本、韩国、澳大利亚等已经加入美国数据跨境规则阵营的国家外，其他国家普遍采纳谨慎的数据跨境流动政策。印度、巴西等国家参照欧盟GDPR建立了要求较为严格的数据跨境传输规定。俄罗斯将数据本地化作为跨境传输的前提，奉行较为严格数据跨境传输管控措施。根据有关数据，从2017年到2021年，要求数字信息存储在特定国家的法律、法规和政府政策的数量增加了一倍多，达到144个。<br> 二、我国数据出境安全评估形成国家数据安全重要防线<br> 伴随数字经济蓬勃发展，融入全球数据跨境流动的趋势不可避免。我国作为世界数据资源大国之一，面临的数据安全风险相较于其他国家也更为严峻，亟需建立健全数据跨境管理规则。《评估办法》立足维护国家安全和社会公共利益、保护个人信息权益，构建了我国数据出境安全评估的制度，将事前评估和持续监督相结合、风险自评估与安全评估相结合，防范数据出境安全风险，保障数据依法有序自由流动。<br> （一）《评估办法》落实上位法的数据出境安全评估要求<br> 《网络安全法》第37条要求，关键信息基础设施运营者向境外提供个人信息和重要数据应当进行安全评估，首次从法律层面提出了数据出境安全评估要求。《数据安全法》第31条将重要数据出境管辖范围由关键信息基础设施运营者拓展至所有数据处理者，《个人信息保护法》第40条要求达到规定数量的个人信息处理者向境外提供个人信息需要进行安全评估，进一步完善了数据出境安全评估的范围和合规机制。本次出台的《评估办法》落实这三部法律的数据出境管理规定和要求，明确了数据出境安全评估的适用条件、评估流程、管理机制等，使数据出境安全评估制度具体落地。<br> （二）《评估办法》划定可能影响国家安全的数据出境行为<br> 由于数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险，因而《评估办法》对需要进行安全评估的适用情形进行了限定，框定出真正可能影响国家安全和公共利益等的情形，尽量减轻安全评估流程对数据处理者和数据出境业务的影响。<br> 从出境数据的类型看，若向境外提供重要数据，需要进行安全评估，这是由数据性质决定的安全评估情形。从数据处理者来看，关键信息基础设施运营者和处理个人信息达到特定数量的个人信息的数据处理者（处理100万人以上个人信息的数据处理者、自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者）向境外提供个人信息，也需要进行安全评估，这是由处理者本身的属性、个人信息规模等因素决定的安全评估情形。除上述情形外，《评估办法》设有兜底条款，不排除将来会根据工作需要提出其他的评估条件，亦可能根据评估实践作出例外的制度安排。<br> （三）《评估办法》强化数据处理者的数据出境风险自评估义务<br> 《评估办法》除了规定必须向网信部门申请安全评估的数据出境情形外，还要求所有数据处理者需要在向境外提供数据之前开展数据安全风险的自评估，其主要目的在于要求数据处理者开展事先评估，将合规监管前置，预防数据出境安全风险。其要点包括：数据出境的合法、正当、必要性，数据出境中和出境后可能存在的安全风险，境外数据接收方承担数据保护义务的能力，所签署法律效力文件约定责任义务的充分性等，为数据处理者开展数据出境业务提供了详细参考。<br> 三、我国数据跨境流动管理的展望<br> 《评估办法》的正式出台和实施，将为国家数据安全工作筑牢坚实“防线”。未来，随着标准合同条款、数据出境安全认证等其他数据跨境监管措施的落实，我国的数据跨境管理制度体系将更为完善，乃至形成全球数据跨境流动规则的中国方案。<br> （一）加快完善数据跨境流动管理制度<br> 按照数据安全和个人信息保护的顶层立法，持续完善我国数据跨境管理的配套规范，设置标准合同、保护能力认证、例外事项等多元数据出境途径，兼顾数据安全与数据跨境流动应用。同时，针对出境国家地区政治环境、国际关系、数据保护水平等因素，划分数据出境风险等级，制定差异化的数据出境管理要求，保障我国数据出境安全。<br> （二）建立数据跨境流动技术保障体系<br> 坚持管理制度与技术措施相结合，将制度要求转化为技术要求进行落实。建立数据全生命周期安全保护管理措施，加强出境数据全生命周期的备案、防护、检测评估和安全监管。针对企业数据跨境传输和应用需求，加强数据安全防护技术能力建设，保障数据跨境流动安全。<br> （三）加强数据跨境流动管理国际合作<br> 依托G20、世界互联网大会等多边对话机制和国际性会议，宣传我国数据跨境流动的主张，吸引更多国家支持和参与《全球数据安全倡议》，促进达成数据合法、安全有序跨境流动相关共识。积极参与全球数据规则制定，在当前双边、多边贸易谈判中增加关于数据跨境流动条款，为我国数字企业“走出去”奠定基础。（作者：黄鹏 国家工业信息安全发展研究中心总工程师）