在ISC2022大會的城市數(shù)字化轉(zhuǎn)型安全發(fā)展論壇中,來自中國科學(xué)技術(shù)大學(xué)公共事務(wù)學(xué)院、網(wǎng)絡(luò)空間安全學(xué)院教授左曉棟圍繞數(shù)據(jù)出境安全這一當前社會討論較多的熱點話題展開了分享。
左曉棟表示,,網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法和個人信息保護法共同建立了我國數(shù)據(jù)出境安全管理制度的框架,,經(jīng)梳理后,,其關(guān)系主要如下:
網(wǎng)絡(luò)安全法第37條,明確了“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當在境內(nèi)存儲,。因業(yè)務(wù)需要,,確需向境外提供的,應(yīng)當按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進行安全評估”,。左曉棟指出,,當時的范圍是把它限定到關(guān)基運營者,但需要注意的是,,實際上涉及出境的大量數(shù)據(jù)是發(fā)生在非關(guān)基運營者,,也就是非重點行業(yè)的中小企業(yè)中,因此從某種角度看,,當時的規(guī)定并不是非常全面,。
因此,在后續(xù)出臺的數(shù)據(jù)安全法中,,在重要數(shù)據(jù)領(lǐng)域方面進行了擴展,,也就是從非關(guān)基擴展到所有的重要數(shù)據(jù),而個人信息保護法,,則把規(guī)范的對象由關(guān)基運營者收集產(chǎn)生的個人信息擴展到了所有的個人信息,。
數(shù)據(jù)出境安全管理的“3+1”個條件
左曉棟總結(jié)道,,我國數(shù)據(jù)出境安全管理制度實際上是“3+1”個條件,其中的“3”具體指的是以下內(nèi)容:
1,、通過國家網(wǎng)信部門組織的數(shù)據(jù)出境安全評估,;
2、通過專業(yè)機構(gòu)進行的個人信息保護認證,;
3,、按照與接收方簽訂的合同(該合同須是經(jīng)過網(wǎng)信部門確定的標準合同)。
除了上述3個條件之外,,另外的那個“1”則是指需滿足國家網(wǎng)信部門規(guī)定的其他條件,。
左曉棟指出,前述的3個條件并非是并列的,,首先要判斷是不是應(yīng)當進行評估,,實際上對于數(shù)據(jù)出境進行安全評估需要具備以下幾個條件:
1、相關(guān)數(shù)據(jù)是否屬于重要數(shù)據(jù),,如是重要數(shù)據(jù),,則必須要經(jīng)過網(wǎng)信部門組織安全評估。
2,、只要是關(guān)基運營者收集產(chǎn)生的個人信息,,無論數(shù)據(jù)量的大小,都必須經(jīng)過安全評估,,
3,、非關(guān)基運營者處理個人信息達到特定門檻,也必須要經(jīng)過安全評估,。
其中第3條所涉及的門檻,,如中小企業(yè)或其他機構(gòu),如果涉及到個人信息出境,,那么需要看其歷史上是否為掌握100萬個人信息的運營者,,或是自2021年1月1日以來,其出境的個人信息是否達到10萬或出境的敏感個人信息是否達到1萬,,如果沒有達到這些門檻,,則無需評估,如超過門檻,,則必須要走評估,。
另外,如果沒有滿足安全評估的條件,,那么涉及數(shù)據(jù)出境就要經(jīng)過個人信息保護認證或標準合同的途徑,。
左曉棟介紹到,關(guān)于第1種也就是要經(jīng)過國家網(wǎng)信部門組織評估的安全評估的情況,,已經(jīng)在今年7月正式發(fā)布的《數(shù)據(jù)出境安全評估辦法》已經(jīng)有了明確規(guī)定,,并將于今年9月1日起施行,。
那么關(guān)于第2、3種條件的相關(guān)制度進展,,左曉棟也在發(fā)言中也做了介紹,。首先是關(guān)于“通過專業(yè)機構(gòu)進行的個人信息保護認證”方面,全國信安標委秘書處發(fā)布了一份正式文件——《網(wǎng)絡(luò)安全標準實踐指南》,,就個人信息跨境處理活動中的認證規(guī)范做了要求,。隨后是“按照與接收方簽訂的合同”也就是標準合同途徑方面,2022年6月30日,,國家網(wǎng)信辦將《個人信息出境標準合同規(guī)定》(征求意見稿)向社會公開征求意見,。以上內(nèi)容就是關(guān)于法律規(guī)定的數(shù)據(jù)出境安全管理方面相關(guān)制度的總體進展情況。
對數(shù)據(jù)出境施加條件不等于限制數(shù)據(jù)出境
而是確保數(shù)據(jù)要合法合規(guī)出境
左曉棟在發(fā)言中表示,,對于包括數(shù)據(jù)出境安全管理制度在內(nèi)的這些制度本身,,因為大家有著不同的理解,從而會產(chǎn)生一些想法和分歧,,因此他也進行了簡單的總結(jié)并做了較為詳盡的解讀,,具體如下:
一、不是所有的數(shù)據(jù)出境,,都必須經(jīng)過前述途徑,。
左曉棟表示,在相關(guān)制度的出臺以及相關(guān)進展披露后,,有人認為這些嚴格的條件會給數(shù)字經(jīng)濟的自由發(fā)展帶來限制,,但在他看來,這一觀點非常錯誤,。左曉棟指出,,圍繞這些政策法規(guī),無論是專家解讀還是媒體報道,,往往都聚焦于法律法規(guī)所規(guī)定的要求本身,但實際上在相關(guān)政策規(guī)定的內(nèi)容中,,指的是重要數(shù)據(jù)和個人信息出境必須要經(jīng)過評估或認證,,而如果企業(yè)或機構(gòu)的數(shù)據(jù)屬性不屬于這些分類,那么在出境方面是沒有施加條件要求的,。因此,,從這個角度看,并不會對數(shù)字經(jīng)濟的整體發(fā)展帶來負面影響,。
?二,、個人信息保護認證不等于個人信息出境安全認證。
關(guān)于個人信息保護認證這一點,,左曉棟認為應(yīng)當對其給予正確的理解,。首先國家要建立個人信息保護認證制度,,盡管該制度是從個人數(shù)據(jù)出境的角度提出來的,一方面它可以用在數(shù)據(jù)出境的安全管理方面,,但另一方面看,,也不是涉及數(shù)據(jù)出境就非用它不可,簡單表述就是可以理解為該制度是一個全集,,而個人信息出境的安全認證制度是一個子集,。簡單來看,就是企業(yè),、機構(gòu)即便是不涉及數(shù)據(jù)出境,,也可以去申請個人信息保護認證,因為該認證可以體現(xiàn)出企業(yè),、機構(gòu)在個人信息保護合規(guī)或數(shù)據(jù)安全能力方面的良好能力或優(yōu)勢實力,。
但當企業(yè)、機構(gòu)要通過這種途徑進行個人信息數(shù)據(jù)出境時,,那么在個人信息保護認證之下,,還需做個人信息數(shù)據(jù)出境的認證?!皞€人信息保護認證和個人信息安全認證應(yīng)分別申請,,但前者是后者的基礎(chǔ)?!弊髸詶澖忉尩?。
三、通過安全評估,、認證出境也需要簽署合同,,這與出境標準合同并非一回事
左曉棟指出,通過簽署標準合同實施數(shù)據(jù)出境,,是全世界的慣例,,而且經(jīng)過實踐證明是有效的。但是當大家看到即便是通過國家網(wǎng)信部門組織的數(shù)據(jù)出境安全評估以及通過專業(yè)機構(gòu)進行的個人信息保護認證這兩種方式也需要簽訂合同,,就提出了自己的問題——既然這兩個條件也要簽訂合同,,那么為什么還會有一個專門通過標準合同實現(xiàn)數(shù)據(jù)出境的途徑呢?它們之間的關(guān)系又是怎樣的呢,?
對于該問題,,左曉棟闡述道,之所以會有這樣的問題,,主要是在于對于這些合同所涉及的內(nèi)容依然不是十分了解,。他介紹到,當選擇個人信息保護認證途徑時,所作的認證是一個靜態(tài)的過程,,也是一個一次性的過程,,但數(shù)據(jù)出境是一個多次、持續(xù)的動態(tài)活動,,這個時候用一個一次性的證書去為一個多次,、持續(xù)的動態(tài)活動做背書顯然是不夠的。因此在具體到數(shù)據(jù)出境的時候,,所簽訂的合同內(nèi)容肯定要和評估,、認證途徑時所需簽訂的合同是不一樣的,而且在嚴格的程度上也會有很大的區(qū)別,。
至于它們之間的不一樣之處具體體現(xiàn)在哪里,,這在目前還處在研究的過程之中,畢竟《個人信息出境標準合同規(guī)定》(征求意見稿)仍然處在征求意見的階段,,但他認為,,對于數(shù)據(jù)出境需要簽訂的非標準合同規(guī)定,也應(yīng)會有一個官方導(dǎo)向,,因為要和標準合同內(nèi)容做區(qū)分,,如果彼此之間內(nèi)容相似的話,就會出現(xiàn)悖論,。
四,、數(shù)據(jù)出境安全管理制度和本地化存儲制度是兩個完全不同的制度。
左曉棟表示,,網(wǎng)絡(luò)安全法的第37條,,實際上為我國確定了兩個制度,除了前面所說的數(shù)據(jù)出境的制度之外,,另一個就是本地化存儲的制度,。“這兩個制度經(jīng)常被混為一談,,原因則在于既然數(shù)據(jù)出境要有這樣那樣的條件,,其目的無非就是不讓它出去,既然如此那不就是本地化存儲嗎,?”左曉棟談道,,“這種想法肯定是不對的,因為它們是不一樣的,。”如前文所述,,對數(shù)據(jù)出境施加條件并不等于限制數(shù)據(jù)出境,,而是要確保數(shù)據(jù)要合法合規(guī)的出境。
因此,左曉棟認為,,數(shù)據(jù)出境安全管理制度和本地化存儲制度是兩個完全不同的制度,,“我看到很多人對此提出異議,認為本地化存儲制度給企業(yè)帶來了很高的成本,,尤其是對于那些出海企業(yè),,如果每個國家都要求本地化存儲,那么企業(yè)的運營成本將會非常高昂,??墒聦嵣希谖覈W(wǎng)絡(luò)安全法第37條提出本地化存儲的制度要求之后,,在建立我國數(shù)據(jù)出境安全管理制度時,,并沒有再強調(diào)數(shù)據(jù)本地化存儲,關(guān)于這一點,,我認為要有一個正確的認知,。”
除此之外,,未來對于數(shù)據(jù)本地化存儲的要求,,左曉棟認為一定是特定的數(shù)據(jù),而不會是所有的數(shù)據(jù)都要求本地存儲,,因為這同數(shù)字經(jīng)濟發(fā)展的方向是不一致的,,但他同時也認為,針對那些特定的數(shù)據(jù),,我國未來一定會專門對數(shù)據(jù)本地化存儲的提出要求,。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<