數安條例百問71、72、73:關于數據出境安全技術監管措施
小貝案語
11月14日,國家互聯網信息辦公布了《網絡數據安全管理條例(征求意見稿)》。為此,小貝說安全設立《網絡數據安全管理條例(征求意見稿)》(后文簡稱《條例》)解讀專欄,以百問百答的形式對《條例》進行系列解讀。
需要指出,這些解讀只是專家個人觀點,不代表官方意見;且這些解讀針對的是征求意見稿,未來條文本身可能會發生變化,不排除會有新增和刪除
對應條款
第四十一條 國家建立數據跨境安全網關,對來源于中華人民共和國境外、法律和行政法規禁止發布或者傳輸的信息予以阻斷傳播。
任何個人和組織不得提供用于穿透、繞過數據跨境安全網關的程序、工具、線路等,不得為穿透、繞過數據跨境安全網關提供互聯網接入、服務器托管、技術支持、傳播推廣、支付結算、應用下載等服務。
境內用戶訪問境內網絡的,其流量不得被路由至境外。
解讀
網絡是跨越國境的,從抵御外部風險而言,網絡邊境自然應當擔負重要職能。傳統上,對外部威脅的防范主要體現在兩個方面:一是防止違法有害信息入境,二是抵御來自于境外的網絡攻擊。這都要“御敵于國門之外”。
為此,《網絡安全法》第五十條規定,國家網信部門和有關部門依法履行網絡信息安全監督管理職責,發現法律、行政法規禁止發布或者傳輸的信息的,應當要求網絡運營者停止傳輸,采取消除等處置措施,保存有關記錄;對來源于中華人民共和國境外的上述信息,應當通知有關機構采取技術措施和其他必要措施阻斷傳播。這意味著,國家在法律層面明確,建立阻斷違法有害信息傳播的技術設施。
此外,《網絡安全法》第七十五條規定,境外的機構、組織、個人從事攻擊、侵入、干擾、破壞等危害中華人民共和國的關鍵信息基礎設施的活動,造成嚴重后果的,依法追究法律責任;國務院公安部門和有關部門并可以決定對該機構、組織、個人采取凍結財產或者其他必要的制裁措施。該條雖然沒有指明要建立抵御外部攻擊的安全網關,但作為維護網絡安全的常規手段,網絡安全監測、預警、反應、恢復等功能都是普遍存在的,在網絡邊境處更不例外。
于是就引出了一個新的問題:為了抵御外部風險,以上手段是不是足夠了?
現在看來,數據的非法出境也是一種新的與外部有關的國家安全風險。但其與傳統風險不同的是,這時候要監測“內到外”的情況,而且也要建立在邊境處。就如同在網絡安全體系中最初要部署防火墻,后來人們逐漸增加部署“防水墻”一樣。前者防范外部攻擊,后者防范內部數據外泄和非法外聯。
為此,《條例》提出了“國家建立數據跨境安全網關”的要求。但從內容上看,第四十一條第一款仍指向的是對外部違法有害信息的防范,還是“外到內”,與“內到外”的考量不一樣。因此,如何定位“國家建立數據跨境安全網關”,這可能需要繼續研究討論。
一些人認為,第四十一條第二款的要求過于嚴格,且擔心在執法時會出現因服務器上有違法程序而導致整個服務器被關停的情況。
拋開“內到外”和“外到內”的問題不談。無論對于哪一種目的,第四十一條第二款的要求都是合適的。幫助實施違法犯罪的行為也要受到打擊,這早已是共識,且《刑法》中早就增加了“幫助信息網絡犯罪活動罪”。《網絡安全法》第二十七條規定,任何個人和組織不得從事非法侵入他人網絡、干擾他人網絡正常功能、竊取網絡數據等危害網絡安全的活動;不得提供專門用于從事侵入網絡、干擾網絡正常功能及防護措施、竊取網絡數據等危害網絡安全活動的程序、工具;明知他人從事危害網絡安全的活動的,不得為其提供技術支持、廣告推廣、支付結算等幫助。故《條例》的規定絕非首創。
至于一些人擔心執法擴大化的問題,這已超出《條例》的范疇,屬于執行層面,有關刑事、行政執法的程序性規定中會有相應的原則和具體要求。
對應條款
第四十一條 國家建立數據跨境安全網關,對來源于中華人民共和國境外、法律和行政法規禁止發布或者傳輸的信息予以阻斷傳播。
任何個人和組織不得提供用于穿透、繞過數據跨境安全網關的程序、工具、線路等,不得為穿透、繞過數據跨境安全網關提供互聯網接入、服務器托管、技術支持、傳播推廣、支付結算、應用下載等服務。
境內用戶訪問境內網絡的,其流量不得被路由至境外。
解讀
一些人提出疑問,《條例》第四十一條第三款的立法目的是什么?境內用戶訪問境內網絡,流量怎么會路由至境外呢?這是一種什么場景?要防范什么風險?
在以往的互聯網技術架構中,境內用戶訪問境內網絡,流量的確不太會路由至境外。當然,之所以說“不太會”,是因為使用互聯網服務時,受一些基礎功能運行、協議的原理所決定,有時仍不免有些信息出境。例如,即使訪問國內的某個“.com”網站,也有可能到境外的根域名服務器上去尋求解析(后來國內的根域名服務器備份系統解決了這一問題,但本質上我們不能擺脫對境外的依賴)。但總體而言,這些情況下風險都是可控的,至少我們沒有主動把流量發送到境外。
但衛星互聯網的出現,改變了這一局面,甚至改變了傳統的觀念,包括連什么叫“境外”都不得不重新審視。
衛星互聯網是基于衛星通信的互聯網,通過發射一定數量的衛星形成規模組網,從而輻射全球,構建具備實時信息處理的大衛星系統,是一種能夠完成向地面和空中終端提供寬帶互聯網接入等通信服務的新型網絡,具有廣覆蓋、低延時、寬帶化、低成本等特點。目前,全球衛星互聯網規模穩定增長,有報告顯示,至2030年全球衛星互聯網市場規模將達到約454億美元,屆時中國衛星互聯網總體市場規模可達到千億規模。目前,SpaceX、OneWeb、Telesat等多家國外企業已提出衛星互聯網計劃。其中,SpaceX已于2020年6月成功發射第九批58顆星鏈衛星,截至第九批發射已累計發射超500顆衛星。
為此,在衛星互聯網等新型互聯網接入模式不斷出現的背景下,就必須考慮到下一步的網絡安全管理需求,這是《條例》第四十一條第三款的立法目的。那么,目前該款的規定能不能達到預期目的?這則可以進一步討論。但無論如何,作為一部層級較高的數據安全法律文件,應該對這類問題予以關注。
對應條款
第四十二條 數據處理者從事跨境數據活動應當按照國家數據跨境安全監管要求,建立健全相關技術和管理措施。
解讀
人們對《條例》第四十二條的關切主要包括兩方面:一是,“國家數據跨境安全監管要求”是什么?二是,“相關技術和管理措施”指什么?
上述規定與《條例》第四十一條相對應,延伸自第四十一條的“數據跨境安全網關”。即,按照防范“內到外”的數據外泄風險的設計,需要在邊境處建立技術設施,監測數據違法出境情況。必要時,這些技術設施要與數據出境企業相連通。或者至少,企業自己也要具備監測自身數據違法違規外泄的技術手段。實際工作中,一些企業聲稱,其并未在境外開展業務,無數據出境場景。但是,如果是員工利用工作便利,私自下載業務數據并傳輸到境外呢?這時企業依然有數據跨境傳輸安全保護義務。
當然,如何更好理解《條例》第四十二條的要求,最終還要看第四十一條“數據跨境安全網關”的進展情況。
相關文章:
數安條例百問15、16、17、18、19:關于數據處理者安全保護義務
數安條例百問27、28、29、30:關于“一般要求”中的幾個特定考慮
數安條例百問46、47、48:關于生物特征應用和一百萬人以上個人信息處理者的適用
數安條例百問55、56、57、58、59:關于年度評估與對外提供數據的風險評估
數安條例百問60、61:關于征得主管部門同意要求及云安全評估要求
數安條例百問66、67、68:關于數據出境的單獨同意、評估條件與國際協議
數安條例百問74、75、76、77、78:關于平臺規則、隱私政策和算法策略
