在ISC2022大會(huì)的城市數(shù)字化轉(zhuǎn)型安全發(fā)展論壇中,,來自中國(guó)科學(xué)技術(shù)大學(xué)公共事務(wù)學(xué)院,、網(wǎng)絡(luò)空間安全學(xué)院教授左曉棟圍繞數(shù)據(jù)出境安全這一當(dāng)前社會(huì)討論較多的熱點(diǎn)話題展開了分享,。
左曉棟表示,,網(wǎng)絡(luò)安全法,、數(shù)據(jù)安全法和個(gè)人信息保護(hù)法共同建立了我國(guó)數(shù)據(jù)出境安全管理制度的框架,經(jīng)梳理后,,其關(guān)系主要如下:
網(wǎng)絡(luò)安全法第37條,,明確了“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要,確需向境外提供的,,應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估”,。左曉棟指出,當(dāng)時(shí)的范圍是把它限定到關(guān)基運(yùn)營(yíng)者,,但需要注意的是,,實(shí)際上涉及出境的大量數(shù)據(jù)是發(fā)生在非關(guān)基運(yùn)營(yíng)者,也就是非重點(diǎn)行業(yè)的中小企業(yè)中,,因此從某種角度看,,當(dāng)時(shí)的規(guī)定并不是非常全面。
因此,,在后續(xù)出臺(tái)的數(shù)據(jù)安全法中,,在重要數(shù)據(jù)領(lǐng)域方面進(jìn)行了擴(kuò)展,也就是從非關(guān)基擴(kuò)展到所有的重要數(shù)據(jù),,而個(gè)人信息保護(hù)法,,則把規(guī)范的對(duì)象由關(guān)基運(yùn)營(yíng)者收集產(chǎn)生的個(gè)人信息擴(kuò)展到了所有的個(gè)人信息。
數(shù)據(jù)出境安全管理的“3+1”個(gè)條件
左曉棟總結(jié)道,,我國(guó)數(shù)據(jù)出境安全管理制度實(shí)際上是“3+1”個(gè)條件,,其中的“3”具體指的是以下內(nèi)容:
1、通過國(guó)家網(wǎng)信部門組織的數(shù)據(jù)出境安全評(píng)估,;
2,、通過專業(yè)機(jī)構(gòu)進(jìn)行的個(gè)人信息保護(hù)認(rèn)證;
3,、按照與接收方簽訂的合同(該合同須是經(jīng)過網(wǎng)信部門確定的標(biāo)準(zhǔn)合同),。
除了上述3個(gè)條件之外,另外的那個(gè)“1”則是指需滿足國(guó)家網(wǎng)信部門規(guī)定的其他條件,。
左曉棟指出,,前述的3個(gè)條件并非是并列的,首先要判斷是不是應(yīng)當(dāng)進(jìn)行評(píng)估,,實(shí)際上對(duì)于數(shù)據(jù)出境進(jìn)行安全評(píng)估需要具備以下幾個(gè)條件:
1,、相關(guān)數(shù)據(jù)是否屬于重要數(shù)據(jù),如是重要數(shù)據(jù),,則必須要經(jīng)過網(wǎng)信部門組織安全評(píng)估,。
2、只要是關(guān)基運(yùn)營(yíng)者收集產(chǎn)生的個(gè)人信息,,無論數(shù)據(jù)量的大小,,都必須經(jīng)過安全評(píng)估,
3,、非關(guān)基運(yùn)營(yíng)者處理個(gè)人信息達(dá)到特定門檻,,也必須要經(jīng)過安全評(píng)估,。
其中第3條所涉及的門檻,如中小企業(yè)或其他機(jī)構(gòu),,如果涉及到個(gè)人信息出境,,那么需要看其歷史上是否為掌握100萬個(gè)人信息的運(yùn)營(yíng)者,或是自2021年1月1日以來,,其出境的個(gè)人信息是否達(dá)到10萬或出境的敏感個(gè)人信息是否達(dá)到1萬,,如果沒有達(dá)到這些門檻,則無需評(píng)估,,如超過門檻,,則必須要走評(píng)估。
另外,,如果沒有滿足安全評(píng)估的條件,,那么涉及數(shù)據(jù)出境就要經(jīng)過個(gè)人信息保護(hù)認(rèn)證或標(biāo)準(zhǔn)合同的途徑。
左曉棟介紹到,,關(guān)于第1種也就是要經(jīng)過國(guó)家網(wǎng)信部門組織評(píng)估的安全評(píng)估的情況,,已經(jīng)在今年7月正式發(fā)布的《數(shù)據(jù)出境安全評(píng)估辦法》已經(jīng)有了明確規(guī)定,并將于今年9月1日起施行,。
那么關(guān)于第2,、3種條件的相關(guān)制度進(jìn)展,左曉棟也在發(fā)言中也做了介紹,。首先是關(guān)于“通過專業(yè)機(jī)構(gòu)進(jìn)行的個(gè)人信息保護(hù)認(rèn)證”方面,,全國(guó)信安標(biāo)委秘書處發(fā)布了一份正式文件——《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南》,就個(gè)人信息跨境處理活動(dòng)中的認(rèn)證規(guī)范做了要求,。隨后是“按照與接收方簽訂的合同”也就是標(biāo)準(zhǔn)合同途徑方面,,2022年6月30日,國(guó)家網(wǎng)信辦將《個(gè)人信息出境標(biāo)準(zhǔn)合同規(guī)定》(征求意見稿)向社會(huì)公開征求意見,。以上內(nèi)容就是關(guān)于法律規(guī)定的數(shù)據(jù)出境安全管理方面相關(guān)制度的總體進(jìn)展情況,。
對(duì)數(shù)據(jù)出境施加條件不等于限制數(shù)據(jù)出境
而是確保數(shù)據(jù)要合法合規(guī)出境
左曉棟在發(fā)言中表示,對(duì)于包括數(shù)據(jù)出境安全管理制度在內(nèi)的這些制度本身,,因?yàn)榇蠹矣兄煌睦斫?,從而?huì)產(chǎn)生一些想法和分歧,因此他也進(jìn)行了簡(jiǎn)單的總結(jié)并做了較為詳盡的解讀,,具體如下:
一,、不是所有的數(shù)據(jù)出境,都必須經(jīng)過前述途徑,。
左曉棟表示,,在相關(guān)制度的出臺(tái)以及相關(guān)進(jìn)展披露后,有人認(rèn)為這些嚴(yán)格的條件會(huì)給數(shù)字經(jīng)濟(jì)的自由發(fā)展帶來限制,,但在他看來,,這一觀點(diǎn)非常錯(cuò)誤,。左曉棟指出,,圍繞這些政策法規(guī),,無論是專家解讀還是媒體報(bào)道,往往都聚焦于法律法規(guī)所規(guī)定的要求本身,,但實(shí)際上在相關(guān)政策規(guī)定的內(nèi)容中,,指的是重要數(shù)據(jù)和個(gè)人信息出境必須要經(jīng)過評(píng)估或認(rèn)證,而如果企業(yè)或機(jī)構(gòu)的數(shù)據(jù)屬性不屬于這些分類,,那么在出境方面是沒有施加條件要求的,。因此,從這個(gè)角度看,,并不會(huì)對(duì)數(shù)字經(jīng)濟(jì)的整體發(fā)展帶來負(fù)面影響,。
?二、個(gè)人信息保護(hù)認(rèn)證不等于個(gè)人信息出境安全認(rèn)證,。
關(guān)于個(gè)人信息保護(hù)認(rèn)證這一點(diǎn),,左曉棟認(rèn)為應(yīng)當(dāng)對(duì)其給予正確的理解。首先國(guó)家要建立個(gè)人信息保護(hù)認(rèn)證制度,,盡管該制度是從個(gè)人數(shù)據(jù)出境的角度提出來的,,一方面它可以用在數(shù)據(jù)出境的安全管理方面,但另一方面看,,也不是涉及數(shù)據(jù)出境就非用它不可,,簡(jiǎn)單表述就是可以理解為該制度是一個(gè)全集,而個(gè)人信息出境的安全認(rèn)證制度是一個(gè)子集,。簡(jiǎn)單來看,,就是企業(yè)、機(jī)構(gòu)即便是不涉及數(shù)據(jù)出境,,也可以去申請(qǐng)個(gè)人信息保護(hù)認(rèn)證,,因?yàn)樵撜J(rèn)證可以體現(xiàn)出企業(yè)、機(jī)構(gòu)在個(gè)人信息保護(hù)合規(guī)或數(shù)據(jù)安全能力方面的良好能力或優(yōu)勢(shì)實(shí)力,。
但當(dāng)企業(yè),、機(jī)構(gòu)要通過這種途徑進(jìn)行個(gè)人信息數(shù)據(jù)出境時(shí),那么在個(gè)人信息保護(hù)認(rèn)證之下,,還需做個(gè)人信息數(shù)據(jù)出境的認(rèn)證,。“個(gè)人信息保護(hù)認(rèn)證和個(gè)人信息安全認(rèn)證應(yīng)分別申請(qǐng),,但前者是后者的基礎(chǔ),。”左曉棟解釋道,。
三,、通過安全評(píng)估,、認(rèn)證出境也需要簽署合同,這與出境標(biāo)準(zhǔn)合同并非一回事
左曉棟指出,,通過簽署標(biāo)準(zhǔn)合同實(shí)施數(shù)據(jù)出境,,是全世界的慣例,而且經(jīng)過實(shí)踐證明是有效的,。但是當(dāng)大家看到即便是通過國(guó)家網(wǎng)信部門組織的數(shù)據(jù)出境安全評(píng)估以及通過專業(yè)機(jī)構(gòu)進(jìn)行的個(gè)人信息保護(hù)認(rèn)證這兩種方式也需要簽訂合同,,就提出了自己的問題——既然這兩個(gè)條件也要簽訂合同,那么為什么還會(huì)有一個(gè)專門通過標(biāo)準(zhǔn)合同實(shí)現(xiàn)數(shù)據(jù)出境的途徑呢,?它們之間的關(guān)系又是怎樣的呢,?
對(duì)于該問題,左曉棟闡述道,,之所以會(huì)有這樣的問題,,主要是在于對(duì)于這些合同所涉及的內(nèi)容依然不是十分了解。他介紹到,,當(dāng)選擇個(gè)人信息保護(hù)認(rèn)證途徑時(shí),,所作的認(rèn)證是一個(gè)靜態(tài)的過程,也是一個(gè)一次性的過程,,但數(shù)據(jù)出境是一個(gè)多次,、持續(xù)的動(dòng)態(tài)活動(dòng),這個(gè)時(shí)候用一個(gè)一次性的證書去為一個(gè)多次,、持續(xù)的動(dòng)態(tài)活動(dòng)做背書顯然是不夠的,。因此在具體到數(shù)據(jù)出境的時(shí)候,所簽訂的合同內(nèi)容肯定要和評(píng)估,、認(rèn)證途徑時(shí)所需簽訂的合同是不一樣的,,而且在嚴(yán)格的程度上也會(huì)有很大的區(qū)別。
至于它們之間的不一樣之處具體體現(xiàn)在哪里,,這在目前還處在研究的過程之中,,畢竟《個(gè)人信息出境標(biāo)準(zhǔn)合同規(guī)定》(征求意見稿)仍然處在征求意見的階段,但他認(rèn)為,,對(duì)于數(shù)據(jù)出境需要簽訂的非標(biāo)準(zhǔn)合同規(guī)定,,也應(yīng)會(huì)有一個(gè)官方導(dǎo)向,因?yàn)橐蜆?biāo)準(zhǔn)合同內(nèi)容做區(qū)分,,如果彼此之間內(nèi)容相似的話,,就會(huì)出現(xiàn)悖論。
四,、數(shù)據(jù)出境安全管理制度和本地化存儲(chǔ)制度是兩個(gè)完全不同的制度,。
左曉棟表示,網(wǎng)絡(luò)安全法的第37條,實(shí)際上為我國(guó)確定了兩個(gè)制度,,除了前面所說的數(shù)據(jù)出境的制度之外,,另一個(gè)就是本地化存儲(chǔ)的制度?!斑@兩個(gè)制度經(jīng)常被混為一談,,原因則在于既然數(shù)據(jù)出境要有這樣那樣的條件,其目的無非就是不讓它出去,,既然如此那不就是本地化存儲(chǔ)嗎,?”左曉棟談道,,“這種想法肯定是不對(duì)的,,因?yàn)樗鼈兪遣灰粯拥摹,!比缜拔乃?,?duì)數(shù)據(jù)出境施加條件并不等于限制數(shù)據(jù)出境,而是要確保數(shù)據(jù)要合法合規(guī)的出境,。
因此,,左曉棟認(rèn)為,數(shù)據(jù)出境安全管理制度和本地化存儲(chǔ)制度是兩個(gè)完全不同的制度,,“我看到很多人對(duì)此提出異議,,認(rèn)為本地化存儲(chǔ)制度給企業(yè)帶來了很高的成本,尤其是對(duì)于那些出海企業(yè),,如果每個(gè)國(guó)家都要求本地化存儲(chǔ),,那么企業(yè)的運(yùn)營(yíng)成本將會(huì)非常高昂??墒聦?shí)上,,在我國(guó)網(wǎng)絡(luò)安全法第37條提出本地化存儲(chǔ)的制度要求之后,在建立我國(guó)數(shù)據(jù)出境安全管理制度時(shí),,并沒有再?gòu)?qiáng)調(diào)數(shù)據(jù)本地化存儲(chǔ),,關(guān)于這一點(diǎn),我認(rèn)為要有一個(gè)正確的認(rèn)知,?!?/p>
除此之外,未來對(duì)于數(shù)據(jù)本地化存儲(chǔ)的要求,,左曉棟認(rèn)為一定是特定的數(shù)據(jù),,而不會(huì)是所有的數(shù)據(jù)都要求本地存儲(chǔ),因?yàn)檫@同數(shù)字經(jīng)濟(jì)發(fā)展的方向是不一致的,,但他同時(shí)也認(rèn)為,,針對(duì)那些特定的數(shù)據(jù),我國(guó)未來一定會(huì)專門對(duì)數(shù)據(jù)本地化存儲(chǔ)的提出要求,。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<
