數位經濟時代,數據的使用是把「雙刃劍」。一方面,數據成為不亞於石油和土地的戰略資源;另一方面,數據非法獲取利用,輕則泄露個人私密,重則引發國家安全風險。當前數據安全事件頻發,僅2024年上半年,全球範圍就發生多起數據泄露的重大事件。數據跨境流動作為綜合復雜的「大問題」,不僅事關個人私密保護,更事關國家安全和數據主權。上海作為對外開放的橋頭堡,承擔著為國家試制度、探新路的重要任務,更應當積極作為,以數據出境的分級分類為抓手,形成系統完整的數據出境規則和安全評估體系,為全國跨境數據管理提供改革樣本,貢獻數據治理的「上海方案」。
細化數據分級分類和脫敏標準
今年5月中國(上海)自由貿易試驗區臨港新片區釋出數據跨境的「正面清單」,為企業在數據跨境流動中的合規性提供了明確的指導。要進一步在臨港自貿區嘗試制定需進行安全評估、保護認證、標準合約的出境數據清單或目錄,豁免清單外數據的出境監管要求。
在此基礎上,其一,要基於一般數據、重要數據和核心數據的分級分類,形成數據脫敏指引。利用有效的技術手段,將涉及個人私密、產業安全、國家安全等的敏感數據直接遮蔽或是替換成其他不敏感的數據,並隨時動態調整,定期更新最佳化。其二,要細化敏感數據的辨識方式和標註方法。例如,使用者的姓名、銀行卡號、證件號、手機號、通訊地址等欄位都屬於敏感數據,需要對這些敏感數據建立規則庫,實作自動化辨識敏感詞匯的基礎能力。其三,要完善數據分級分類和數據脫敏的監管體系。要明確數據處理者等相關人員的職責義務,要制定符合行業需求的數據脫敏技術流程,要選擇合適的脫敏技術以保持數據的可用性和私密保護,要持續監控脫敏過程並進行效果評估,要確保數據脫敏的效果符合預期,並根據反饋進行調整和最佳化。
強化數據出境風險評估機制
第一,要建設體系化的風險辨識和預警機制。這意味著從數據生成,被企業或是商家收集,再到數據被處理用於其他用途,對數據安全的檢測需要覆蓋數據的整個生命周期。采用先進的技術手段和技術工具,來提高風險辨識的效率和準確性。例如,使用數據加密技術保護數據機密性,使用數據完整性驗證工具防止數據被篡改,使用入侵檢測系統即時監測異常行為等。
第二,要設立完備的數據出境風險評估指標。這包括數據出境的目的和範圍,數據出境的方式是否經過合法授權,數據傳輸過程中是否采取了足夠的技術保護和管理措施,境外接收方所在的國家和地區是否能對傳輸過去的數據提供充分的數據保護,是否達到了中華人民共和國法律、行政法規的規定和強制性國家標準的要求等。對於個人資訊,考慮改以出境數量而非保有數量作為是否需經出境安全評估的審查因素。原則上,對於非個人資訊或不屬重要數據的其他數據,以及因跨境購物或國際旅行等需要而訂立合約或者為在緊急情況下保護個人生命財產等必須提供個人資訊等情況,可以考慮豁免出境安全評估或保護認證或訂立標準合約即可出境。
第三,著眼於限縮數據出境安全評估時限,增強對企業申報安全評估的事前輔導,提高企業對重要數據、敏感個人資訊等數據的辨識能力,解決企業不確定是否需申報數據跨境安全評估的實務困惑。在安全評估、標準合約、保護認證等現有數據跨境流動管理措施基礎上,考慮增加法律推定標準,即如果一國法律能夠對出境數據提供同等或充分保護,則無需對每次數據出境進行安全評估,透過對他國或地區數據保護水平的定期評估,制定數據出境目的地的「白名單」。
第四,要構建突發安全風險的恢復重建機制。要預先制定詳細的重建恢復計劃,明確如何應對自然災害、黑客攻擊、硬體故障等導致的數據安全風險,提出應對措施。要根據行業需求和數據敏感性,制定數據備份計劃,包括備份的頻率、備份數據儲存的位置等,以確保數據安全風險發生後,能及時有效快速地恢復數據,確保數據活動的正常開展。要定期組織數據恢復性測試,以驗證備份數據的完整性和恢復流程的可靠性。
構建數據跨境國際數位網路
第一,要堅持多邊主義立場,反對數位霸權與泛國家安全化,顧及數位化程度較低國家發展利益,為與中國關系較好的開發中國家提供數位技術援助、提高這些國家數位化發展能力。以申請加入【全面與進步跨太平洋夥伴關系協定】(CPTPP)等區域貿易協定為契機,參與塑造數據跨境流動規則,以【全球數據安全倡議】為綱領,督促各國致力於維護開放、公正、非歧視性的營商環境,推動實作互利共贏、共同發展。第二,要加強政府間的合作對話,尋找「誌同道合」的數位貿易夥伴,建立互信機制。要充分利用現有政府間經濟對話平台,倡導並建立跨境數據流動國際合作與互信體系。也要建立更多的多邊對話平台,增進數據治理對話,協調各國在數據跨境流動政策上的差異。第三,主動搭建與數位貿易夥伴的合作框架,推進數據跨境相關國際規則和標準認證體系建設,暢通數據流動。同時,要提倡尊重他國主權、司法管轄權和對數據的安全管理權,反對「長臂管轄」等不當行為,推動數據在全球範圍內安全有序流動。
(作者分別為上海對外經貿大學國際經貿創新與治理研究院副院長、教授;助理研究員)
作者:
文:夏瑋 李依琳圖:邢千裏編輯:陳瑜責任編輯:楊逸淇
轉載此文請註明出處。
