原創 | 數據出境評估:為全球數據跨境流動貢獻中國智慧和中國方案
數據跨境安全有序流動對促進數字技術創新和數字經濟發展、增進人類社會福祉至關重要。近年來,各國圍繞數據出境監管規則的博弈明顯加強,數字技術和產業發展不平衡使各國在保護水平和數據出境門檻問題上存在嚴重分歧,數據跨境監管規則呈碎片化狀態。特別是部分國家或者地區通過技術霸權掠奪他國數據資源,通過壟斷數據資源遏制競爭對手,限制業務目的出境以鉗制執法部門調取數據,全球數據流動體系的巴爾干效應凸顯。2022年7月7日,國家互聯網信息辦公室發布《數據出境安全評估辦法》(以下稱“評估辦法”),自2022年9月1日起施行。在建設網絡強國、數字中國、智慧社會的關鍵時刻,評估辦法作為統籌數據安全與自由流動、符合國際法基本準則的“中國方案”,將引領數據跨境流動國際治理規則的構建。
一、評估辦法出臺的重要意義
數據是未來國際競爭的制高點。美國、歐盟都在推行有利于自身發展的數據出境監管方案并積極擴展“朋友圈”。美國推行“寬入嚴出”的“雙重標準”,在保障國家安全的前提下大肆掠奪他國數據資源;歐盟采用“外緊內松”的內循環模式,以建設統一數字市場的名義構建內部數據自由流動體系,進而實現保護本土產業發展的目的。中國沒有選擇美國以技術霸權為支撐的“任性”規則,也沒有選擇歐盟通過筑墻彌補技術和產業短板的缺陷,而是以公平利用數據資源、增進人類社會福祉為目的,探索出一套開放、平等,符合數字經濟發展規律的雙循環模式。
(一)維護國家數據主權
數據是數字技術持續創新的核心要素,高端制造、人工智能等技術高度依賴海量數據的累積并形成數據循環。在數據成為生產要數與戰略資源的背景下,數據主權應運而生,對數據跨境流動的管理是數據主權的應有之義。數據主權在數據出境領域表現為一國可以自主決定什么類型的數據可以出境及其出境條件,什么類型的數據不得出境以及違反數據出境監管要求的法律責任。評估辦法中規定的應當申報數據出境安全評估的情形、具體的評估事項、數據處理者與境外接收方的安全保障要求、評估的有效期限以及監督管理措施,特別是通過評估事項事實上賦予了數據提供者對于出境后的數據享有支配權和要求境外接收方應當采取有效措施切實保障數據安全等制度的構建和實施,有賴于數據主權的支持,同時上述規定也塑造著國家數據主權。
數據只有在流動中才能最大限度發揮數據的價值。經濟全球化要求各國在數據跨境流動標準方面達成基本共識,避免各國因為對數據主權邊界認知不同而影響正常的業務開展。中國方案著眼于總體國家安全觀下的數據安全,遵守各國普遍認同的安全例外原則,以國家安全、社會公共利益和個人信息權益作為數據主權介入數據出境活動的正當性理由和邊界,在安全可控的前提下促進數據自由流動,充分釋放數據流動、匯聚利用產生的數據動能。
(二)開放、平等彰顯大國擔當與責任
規則一致是網絡空間命運共同體的認同感和基礎。作為參與全球治理的戰略部署,我國一直以來都反對保護主義、單邊主義,同時也堅持規則導向,由國際社會共同制定規則來完善全球治理。在經濟全球化遭遇逆流,世界進入新的動蕩變革期,作為網絡空間命運共同體的倡導者和數據資源大國,中國以開放的姿態倡導數據資源公平利用、促進數據安全有序流動,彰顯了大國擔當與責任,再次證明中國提出并倡導的網絡空間命運共同體是惠及整個人類社會福祉的正義方案。
數據安全有序流動的障礙源于各國監管層面的信任缺失,缺乏信任的直接原因是監管差異,彌合監管差異、建立充分信任的跨境數據流動合作框架需要以規則為基礎。在數據大規模流動、聚合和分析的過程中,中國方案將數據出境產生的安全風險維持在一種可接受、可控制的范圍內,在開放中實現了安全和發展的平衡。在安全可控的基礎上促進數據自由流動、最大限度的發揮數據價值,是各國在數據跨境流動領域的共同安全訴求。以共同認可、形成共識的規則為基礎推動各國間跨境數據流動合作,有助于避免在價值體系和監管模式上發生沖突,克服可能危及數字市場發展和數字技術創新的挑戰,建立多邊、民主、透明的數字關系。
中國方案跳出利益和制度博弈的思維定式,對各方一視同仁,解決了在實現數據功能的同時最大限度減少負外部性這一各方根本關切。具有巨大的號召力的中國方案為全球數據流動國際規則提供了制度性公共產品,有利于緩解國際社會集體行動的困境,防止全球數據圈的“巴爾干化”趨勢蔓延。
(三)安全有序流動盡顯中國智慧
當前,美歐的數據跨境流動治理范式分歧明顯,形成了新的“數字鴻溝”。中國方案摒棄美國打著數據自由流動的幌子掠奪他國數據資源不公正的數據跨境流動方案、歐盟以同等保護水平為由限制數據自由流動的“地區自由流動方案”,提出公平對待任何國家和地區、鼓勵數據在全球安全自由流動的方案。在國際數據跨境流動治理規則日益碎片化的至暗時刻,在數據跨境國際規則推進陷入僵局之際,中國方案為解決各國之間的根本分歧提供了有益的嘗試和積極探索。
從國際數據跨境流動發展趨勢來看,美國和歐盟都在推行反映自身利益的數據跨境流動“小圈子”。小圈子式的合作、通過雙邊協定排擠競爭對手等亂象嚴重制約了數據跨境國際統一規則的進程。國際層面的談判并未從安全可控的角度出發構建可信的數據跨境流動體系,而是將數據跨境流動監管規則作為利益和制度博弈的工具和場域。中國方案堅持數據是惠及人類福祉的基礎資源而非競爭、博弈工具,更不能利用數據威脅他國國家安全和侵害個人合法權益這一理念,提出在安全可控的前提下促進數據自由流動。中國方案是對歐盟、APEC、東盟等主要區域經濟體的數據跨境規則進行利弊研判,在深刻認識數據的本質特征和流通規律的基礎上,結合中國國情與國家發展利益做出更為縝密的制度設計。
二、申報安全評估的情形和評估原則
評估辦法在規定應當申報安全評估的數據出境情形的基礎上,緊扣數據安全、自由流動這一核心原則,明確堅持事前評估和持續監督相結合、風險自評估與安全評估相結合的原則,構建了涵蓋整個數據出境生命周期,確保出境數據安全可控的評估框架和具體制度。
(一)申報情形的理解與適用
對應當申報安全評估的情形,評估辦法針對數據類型設置了不同門檻,具體適用如下:
1.重要數據出境。依照評估辦法第四條,所有的重要數據出境都應當向國家網信部門申報安全評估。重要數據本身關涉國家安全、經濟運行和社會穩定以及公共健康和安全,因此任何重要數據出境都需要進行安全評估。通過安全評估防控重要數據在出境過程中或者出境后遭篡改、破壞、泄露或者非法獲取、非法利用而危害國家安全、經濟運行、社會穩定、公共健康和安全的風險。
2.個人信息出境。評估辦法采用主體和數量標準確定個人信息出境應當申報安全評估的情形。依照主體標準,關鍵信息基礎設施運營者或者處理100萬人以上個人信息的處理者向境外提供個人信息的,應當向國家網信部門申報安全評估。“100萬人以上個人信息”是細化《中華人民共和國個人信息保護法》第十四條規定的結果,考慮到100萬人以上的個人信息可能持續反復向境外提供個人信息會導致大量個人信息的匯聚,通過分析可能得出重要數據或者能夠利用上述個人信息進行輿論操控等危害國家安全,處理超過100萬人以上的個人信息處理者應當將在境內收集和產生的個人信息存儲在境內。確需向境外提供的,應當經過國家網信部門組織的安全評估。主體標準并不限定出境個人信息的數量,只要被認定為關鍵信息基礎設施或者處理100萬人以上的個人信息的處理者,即使向境外提供一條個人信息,也應當進行安全評估。
依照數量標準,累計向境外提供10萬人個人信息或者1萬人敏感個人信息,應當向國家網信部門申報安全評估。數量標準并不限定個人信息處理者的類型,無論任何組織和個人,只要達到累計向境外提供10萬人個人信息或者1萬人敏感個人信息的標準后,即應向國家網信部門申報安全評估。考慮到安全評估的有效期為兩年,評估辦法規定累計的起始點為上一年度1月1日。
考慮到數據出境風險的動態變化,評估辦法采用“具體列舉+概括描述”的方式,明確國家網信部門可以根據實際情況確定其他需要評估的情形,如重要數據和個人信息以外的其他類型的數據,或者累計提供敏感個人信息不足1萬人的情形,確保了申報情形的開放性。以個人信息為例,特定的主體范圍和數量標準可能忽視定性結果,如向境外提供不足1萬人的人臉識別信息,雖然達不到評估辦法第四條第(三)項規定的申報標準,但在國際形勢緊張的時期,結合個人信息主體的職業和職務、接收方的用途和處理方式等,即使未達到1萬人的標準,也可能存在危及國家安全的風險而實質上達到申報安全評估的標準,國家網信部門可以要求數據處理者向其申報安全評估。
出境的數據中既包括重要數據,也包括個人信息,如果同時符合評估標準,可以一并申請安全評估。
(二)評估原則
1.事前評估和持續監督相結合
數據出境安全治理需要堅持風險導向構建涵蓋整個數據出境生命周期的風險防控機制,不僅要識別和判斷數據出境的風險,還要關注相關風險在數據出境過程中特別是出境后能否得到持續有效控制。事前評估與持續監督相結合,遵循識別、分析和控制的風險治理邏輯結構,通過事前評估實現在風險最小的前提下向境外提供數據,通過事后監督判斷數據處理者與境外接收方采取安全措施的有效性,能否有效避免潛在的風險轉化成安全事件,達到數據出境安全可控的目的。需要指出的是,評估自身不是對出境進行限制,而是認定數據出境的安全風險是否可控。真正阻止數據出境的原因和事由不是出境評估,而是數據出境活動的安全和風險隱患。
2.風險自評估與安全評估相結合
自評估是國際通行的數據風險管理方法。風險自評估是安全評估的前置程序和要求,意味著數據處理者要對數據出境的安全性負責。由于企業對自身以及境外接收方的情況更為清楚,通過自評估促使企業更加謹慎的對待數據出境,并采取有效措施降低風險,如采取有效措施降低數據敏感程度、縮小出境數據的范圍、減少出境數據的數量以及更換接收方,控制再轉移等。同時,自評估報告作為國家網信部門進行安全評估的重要參考材料,有助于提升安全評估的效率。
風險自評估的結論應包括出境數據的重要程度、出境數據面臨的各種風險以及現有數據安全防護措施的有效性和差距性。風險自評估報告是數據處理者對監管部門和個人信息主體的承諾,如果故意隱瞞、遺漏相關風險隱患或者過分夸大安全保障措施,可以依照評估辦法第十一條的規定認定為故意提交虛假材料,按照評估不通過處理,并依法承擔相應法律責任。
安全評估作為監管部門介入數據出境活動的風險管控工具,著眼于數據出境活動的整體風險情況及其風險防控措施的有效性。安全評估既可以避免數據處理者基于自身利益考慮掩蓋風險的不足之處,也可以發揮安全評估的專業優勢彌補數據處理者在識別特定風險方面的能力不足。從評估辦法的具體規定看,安全評估與風險自評估的評估事項雖然在形式上存在交叉,但安全評估的內容能夠涵蓋自評估事項。在境外接收方所在國家或者地區的政策法規和網絡安全環境、境外接收方是否達到同等保護的標準、數據安全與個人信息權益是否獲得有效保障以及雙方的守法情況等方面,監管部門較之數據處理者有更大的優勢。
三、安全評估事項
數據出境意味著數據鏈條上的環節增多,因而數據的保密性、完整性、可用性被破壞以及數據被濫用的可能性在增大。安全評估內容圍繞著出境行為及其后續的處理可能面臨的風險展開,在判斷出境行為是否合法、正當、必要的基礎上,評估數據出境過程中和出境后面臨的法律政策、網絡安全環境等風險以及風險控制措施的有效性,上述評估的具體事項是一個層層遞進的邏輯結構。
(一)數據出境的合法、正當和必要性
數據出境的合法性、正當性、必要性是安全評估的首要考量因素。數據出境活動不滿足合法性、正當性和必要性的要求,不得出境,無需再考慮風險大小及其風險是否可控。
合法性是指數據出境應當根據我國法律規定的原則、規則或者我國締結或者參加的國際條約、協定進行,不能違反法律的強制性規定,不屬于國家網信部門依法認定不能出境的情形。涉及個人信息出境的,數據處理者應當依照個人信息保護法第三十九條的規定取得個人的單獨同意;涉及重要數據出境的,應當符合國家有關規定。
正當性是指向境外提供數據的目的和手段應當是合理且符合正向價值判斷。目的正當要求數據出境應當以增進個人利益或者社會公共利益為目的,手段正當要求數據出境應當以符合社會公眾期待的合理手段進行,數據處理者不得通過誤導、欺詐、脅迫等方式向境外提供數據。
必要性是指數據出境在合法、正當的目的下,就實現該目的而言向境外提供的數據是必要的,在數據類別、精度等方面不得超過合理限度。換言之,沒有出境或者僅在境內處理無法實現正當的目的,必須將數據移轉至境外。數據出境限定在必要性的原因在于算力增強導致“大數據”變為“小數據”,數據濫用的門檻降低但危害后果更加嚴重,必要性可以最大限度的減少數據出境活動對國家安全、社會公共利益和個人信息權益的威脅。具體而言,數據出境是數據處理者開展合法業務所必需、履行有效合同所必需、履行法定義務以及其他維護我國網絡空間主權和國家安全、社會公共利益、保護公民合法權益所必需。
(二)數據出境安全風險
風險是損害發生的可能性。影響數據安全風險的主要因素有兩個:一是數據資產的重要性。數據本身的價值與被竊取、濫用的幾率成正比;二是數據面臨的各種威脅。數據出境評估重點圍繞出境數據資產的重要性和面臨的各種威脅進行。
1. 出境數據的規模和敏感程度
數據資產特征(重要性)是風險評估的邏輯起點。就數據出境而言,數據資產特征包括出境數據的規模、范圍、種類、敏感程度。通過評估數據的規模、范圍、種類和敏感程度判斷數據價值進而確定存在被竊取、濫用的風險程度。
數據的規模即數量,大量的數量出境行為本身就意味著風險,同時要考慮少量數據出境后被匯聚發生不當分析、利用的風險。數據種類評估應當在區分重要數據和個人信息的基礎上,重要數據重點評估是否包含核設施、國防軍工、人口健康等領域數據以及敏感地理信息、關鍵信息基礎設施系統漏洞等出境后出現泄露或濫用,將對國家安全和社會公共利益產生嚴重影響的重要數據;個人信息評估應識別個人信息的具體類型,并與數量、敏感程度等特征綜合判斷風險程度。
2.境外接收方所在地的法律、網絡安全環境
在國際形勢發生深刻變革的背景下,情報部門、金融監管部門等政府部門訪問和調取數據后發生的濫用行為成為數據安全的主要威脅。雖然政府部門訪問、調取數據應當獲得法律的授權并依照法定程序進行,但收集后的分析和利用行為往往不受法律的約束,政府濫用數據的行為已成為威脅數據安全的主要因素。“9·11”事件發生后,美國通過《愛國者法》《外國情報監控法》等法律編織了一張巨大的網絡情報監視網。美國政府利用法律、行政等手段獲取傳輸至其境內的數據特別是敏感數據,對位于美國境外的人員進行秘密監控。雖然美國的做法遭遇其他國家的強烈反對,但美國的情報監控制度似乎沒有改變的余地。
為防范他國主權之手不當獲取數據,分析、挖掘后用于破壞活動,境外接收方所在地的法律環境應當納入安全評估事項并作為評估的重點內容。具體評估所在地的執法部門等調取數據的條件、必要性、是否符合比例原則以及監督措施和救濟措施的有效性,特別是國家安全機關、情報機構是否存在大規模、不符合目的限制和比例原則的收集行為。通過評估境外接收方所在地的法律環境,防控數據出境后被外國政府影響、控制和惡意利用的風險。
網絡安全環境是指數據的支撐環境,包括通信環境、存儲環境、計算環境、供應鏈等。網絡安全環境評估的重點是所在國是否頻發數據泄露事件以及黑客組織活動情況對數據安全的威脅等。
3.數據安全威脅
數據安全威脅是除所在地法律政策、網絡安全環境以外的其他威脅數據安全的因素,是境外接收方所面臨的最直接威脅,包括內部人員竊取數據或者因過失導致數據泄露等內部威脅,也有物理環境影響導致的數據毀損,技術因素導致數據泄露、被篡改、丟失等,管理不當引發的數據濫用。
數據安全風險評估需要在分析威脅的基礎上綜合判斷已知威脅利用數據資產脆弱性的可能性。資產脆弱性要考慮基于實際業務場景的數據安全脆弱性,包括識別的系統、數據或支撐環境的脆弱性;可能性分析要綜合考慮利用系統漏洞的難度、外部威脅程度,判斷成功攻擊的可能性。如果采用數據加密傳輸,采用隱私計算等新型的數據共享模式,就可以有效降低數據出境過程中的風險;數據出境后采取一些使用限制、安全審計等措施,就可以有效降低數據出境后的風險。
(三)風險防控措施的有效性
數據安全與數據流動同步、數據主體權利平等、數據主體權利不因數據跨境流動而減損等原則,應當成為數據跨境流動的基本準則。為實現上述目的,安全評估不僅要評估出境數據面臨的威脅,還要評估風險防控措施是否有效。境外接收方的保護水平、通過合同等具有法律效力的文件約定的安全保障義務、救濟途徑的通暢性以及數據處理者和境外接收方的守法情況是判斷風險防控措施有效性的重要因素。
1.接收方的數據保護水平
遵循“數據不因出境而降低保護水平”原則,安全評估從管理措施、技術措施等方面判斷境外接收方的數據保護水平(能力)是否達到中華人民共和國法律、行政法規的規定和強制性國家標準的要求,防止數據轉移后因保護水平降低而增加泄露和被濫用的風險。保護水平的重點是信息系統被攻破、數據被竊取的風險,要求境外接收方具有安全的信息系統以及對數據安全風險的預防、檢測及響應能力。
境外接收方應當成立數據安全管理機構或者指定數據安全負責人,建立數據接收、存儲、使用、傳輸、銷毀等涵蓋整個數據生命周期的安全管理制度,定期開展數據安全評估,建立和完善數據安全風險預警、防范、應急處置和問責機制,定期開展數據安全培訓,提升數據安全管理人員的安全意識和能力。
境外接收方應當對接收數據進行分類分級,信息系統應具備備份及權限管理、風險管理、應急管理、日志管理等保障數據安全的能力。采取防范網絡攻擊、網絡侵入等技術措施以及備份和加密等措施,確保所接收數據的保密性、完整性、一致性、可用性、可追溯性、真實性。此外,境外接收方的數據處理設備和系統應具有充分的開放性、透明性、來源多樣性,防止被非法控制、干擾或者破壞。
2.安全保障義務
通過評估數據處理者與境外接收方擬訂立法律效力文件中安全保障義務的充分性,一方面可以確保在數據出境后,數據原始控制者的安全保護義務持續有效;另一方面,通過設定私法義務將數據安全保護這一公法義務的履行標準予以細化并延伸至境外接收方,以契約義務“補強”域外數據保護水平之不足,以契約條款“固定”我國數據保護法律的基本要求,從而靈活應對個人數據跨境后的損害風險。此外,通過契約最大限度對抗國家審查和國家監控,如應當約定境外接收方在回應監管部門信息披露要求時,只提供法律強制規定所需的最低限度的信息。
數據處理者與境外接收方應當明確約定以下數據安全保護義務:(1)數據出境的目的、方式、范圍和境外保存地點、期限以及保存期限屆滿、出境目的實現、契約終止或者無效后的處理措施,境外接收方處理數據的用途、方式等;(2) 數據再轉移的條件、安全保護義務責任等;(3)境外接收方在實際控制權或者經營范圍發生實質性變化,或者所在國家、地區數據安全保護政策法規和網絡安全環境發生變化以及發生其他不可抗力情形導致難以保障數據安全時,應當采取的安全措施;(4)發生數據泄露等風險時,妥善開展應急處置的要求和保障個人維護其個人信息權益的途徑和方式;(5)違反法律文件約定的數據安全保護義務的補救措施、違約責任和爭議解決方式。
3.救濟渠道是否通暢
數據出境后面臨著適用法律發生變化、管轄權喪失、個人維權渠道減少以及增加困難。一些國家的法院在裁決個人與政府之間的數據調取糾紛時,以“自愿向第三方提供數據的個人沒有合理的隱私期待”為由,不當剝奪了數據主體挑戰政府訪問數據權力的機會。依照數據保護水平不得因出境而減損的原則,數據出境后數據主體應當獲得與在境內同樣的救濟機會,有必要通過評估境外接收方是否為數據主體提供便捷的投訴舉報渠道、境外接收方所在地法律是否提供了便捷有效的訴訟、司法監督等維權渠道,確保數據安全和個人信息權益能夠得到充分有效保障。
4.合規情況
法律是數據最強的保護措施。數據處理者與境外接收方遵守中國法律、行政法規、部門規章情況,不僅反映數據處理者與境外接收方對我國數據保護要求的認可程度,更是數據處理者與境外接收方保護能力的反映,直接影響數據出境安全風險的大小。合規情況主要評估數據處理者與境外接收方有無重大違法記錄,包括大規模數據泄露事件以及違法違規處理數據的記錄等。
數據保護水平的差異和分歧,背后的實質是是否認可數據安全有序流動、公平競爭、公平利用數據資源、共享數據紅利等數據正義問題。在已有多邊機制未能及時回應各國在政策訴求、價值理念和監管模式上重大分歧的背景下,中國方案無疑是獲得最大共識的有益探索,是經得起時間和實踐考驗的數據跨境流動治理方案。我們要站在統籌中華民族偉大復興戰略全局和世界百年未有之大變局的高度認識評估辦法;要從超越中國國家安全和發展利益的全球意義認識評估辦法;要從推動形成全面開放新格局、全面參與全球治理的高度認識評估辦法。評估辦法出臺,意義重大,影響深遠!
