3月2日,由下一代互联网国家工程中心、数据保护官(DPO)沙龙主办,下一代互联网国家工程中心粤港澳大湾区创新中心组织的“数据跨境安全合规与实践研讨会暨数据保护官大湾区沙龙”在广州南沙举办。
作为我国开放程度最高、经济活力最强的区域之一,粤港澳大湾区不仅具有“一国两制三法域”的区位特色,还存在数据跨境流动的大量现实需求和联通国际数据流动的发展潜力。与会专家表示,大湾区未来在数字领域的机制设计,将成为中国谋划数字领域国际合作的重要抓手。
全球数据贸易规则尚未形成
联合国贸发数据显示,2005年至2020年,全球可数字化交付的服务贸易规模1.6倍,在全球服务贸易总额中占比从44.7%增长63.6%。中国已成为世界排名第五的可数字化交付的服务出口大国,金额从2015年的2000亿美元,增长到2021年的3605亿美元,占服务贸易的比重从30.6%增长到43.9%。
随着数字经济成为下一次经济增长的重要引擎,数据作为重要生产要素,它的安全有序流通决定了数字经济发展的走向和速度。伴随着全球数据与个人信息法律、规则的演化和完善,数据流通和数据治理已成为全球重要国家、地区的战略性问题。
数字贸易的快速发展,需要在全球建立全新的数字贸易协定,而WTO目前还没有这样的协定。不过,全球有两个超级的区域贸易协定,一个是“全面与进步跨太平洋伙伴关系协定”(CPTTP),另一个是中国已加入的“区域全面经济伙伴关系协定”(RCEP)。
上述两个区域协定中都有电子商务章节,规定“一缔约方不得阻止涵盖的人为进行商业行为而通过电子方式跨境传输信息”,意即 “如果是从事正常的商业活动,数据交换和跨境的传输不应该被限制,也就是说不能阻止正常的贸易商业行为所需的跨境信息传输。”洪晓东解释。
值得注意的是,数据跨境流动不仅涉及贸易,也关乎国家安全、主权管辖、私权保护等非经济关切,所以世界各国都加强了对数据跨境的监管。
洪晓东认为,政府有监管数据流动的权利,特别是为了实现合规的公共政策目标,可采取与数据跨境自由流动不一致的措施,但必须满足两个条件,一是不构成任意或者不合理的歧视,或对贸易造成变相的限制——表面是监管数据,实际是为了限制贸易;二是对信息传输施加的限制不能超出实现目标所需的限度。
同时,数据监管应该公开透明,不给企业带来不必要负担;监管部门还应该告诉企业具体如何做,才能保证安全的同时扩大数字贸易规模。
“从事正常的贸易需要数据的自由流动,但又需要对数据的出境进行‘安检’,如何处理好两者的关系是国家面临的机遇和挑战。”洪晓东强调,全球数字贸易的快速发展需要数据流动的规则,而数据流动规则的核心是在尊重监管权利的情况下,允许数据自由流动。
大湾区将成为中国谋划数字领域国际合作的重要抓手
在世界跨境贸易规则还未成型的时候,对于数据跨境流动的治理,中国除了积极完善国内立法,推进数字治理国际合作,实现“并跑”,还要进一步探索,积极推动数据跨境流动全球治理体系变革,提出“中国方案”。这既是挑战,也是机遇。
今年2月末发布的《数字中国建设整体布局规划》也强调,要谋划数字领域的国际合作,建立多层面协同、多平台支撑、多主体参与的数字领域的国际交流合作体系;拓展数字领域国际合作空间,积极参与联合国、世界贸易组织、亚太经合组织等多边框架下的数字领域合作平台,高质量搭建数字领域开放合作新平台,积极参与数据跨境流动等相关国际规则构建。
作为我国开放程度最高、经济活力最强的区域之一,粤港澳大湾区不仅具有“一国两制三法域”的区位特色,还存在数据跨境流动的大量现实需求和联通国际数据流动的发展潜力。“大湾区未来在数字领域的机制设计,将成为中国谋划数字领域国际合作的重要抓手。”洪晓东强调。
针对如何建立粤港澳大湾区互认的数据保护要求和跨境制度,洪晓东认为需要注重三方面的安全建设,一是个人数据保护,二是在线消费者保护(消费者不会经常收到垃圾邮件、被线上诈骗等),三是网络和信息安全。
“目前粤港澳三地互认的数据保护要求不会按照‘最大公约数’来做,后期会由内地主导,香港、澳门参与建立三地认可的数据保护标准。” 一位来自标准化系统的与会领导表示。
该领导还建议从以下方向进行研究:一是研究制定粤港澳三地数据安全和个人信息保护基线要求;二是研究粤港澳大湾区数据检测认证互认机制;三是研究制定粤港澳大湾区数据提供者、使用者相关标准;四是研究制定粤港澳大湾区数据安全风险评估和第三方的合规审计标准以及其他标准。
谈及粤港澳大湾区在数据跨境领域的研究进展和成果,下一代互联网国家工程中心主任、澳门科技大学下一代互联网国际研究院院长刘东介绍,2021年澳科大大湾区科研专网正式启动,经过一年的建设,已搭建了贯通粤港澳的科研专网及数据审计平台,正式开启了科研数据在大湾区内的安全有序流动实践。
该科研专网以区块链技术等为底层技术,践行“法律+管理+技术”的三轮驱动机制,开发了一套数据管理平台,实现澳科大科研数据在大湾区各校区、机构中的有序流通,为更多的行业数据的有序流通做出尝试;在此基础上,还联合欧盟国际数据空间协会(IDSA),由工程中心和澳门数字化(发展)协会牵头,以IPv6、隐私增强、区块链等技术为底座,以相关的法规为原则,建设了一条从中国澳门到欧盟的数据跨境流动国际通道,将大湾区与欧盟的科研数据打通,并以IDSA为节点,向全球进行延展。
国内数据跨境制度愈加完善
网络安全法、数据安全法和个人信息保护法已经构筑起我国数据治理与个人信息保护的法律框架;从2022年下半年到今年初,《数据出境安全评估办法》、个人信息跨境处理活动安全认证规范以及个人信息出境标准合同办法也相继发布,我国数据出境的“三条路径”也逐渐清晰和明朗起来。
虽然个人信息保护法第三十八条要求个人信息处理者任选其一“路径”,但其实在选择顺序上需要先评估是否需要申报出境安全评估,不适用时才能考虑适用出境标准合同的机制。
原因在于,《数据出境安全评估办法》第四条指出,向境外提供重要数据等四种情形下的数据处理者,应当申报数据出境安全评估。
实践中,有企业也反馈,法律法规中作为出境安全评估合规门槛的“100万个人信息”,存在数量标准偏低的问题。对于部分行业而言,企业日常业务中很容易达到100万,安全评估覆盖范围过大,其他两种市场化合规路径就没有了空间,且安全评估属于事前许可,非常消耗合规资源。
如何优化“三条路径”的分工合作成为企业关注的焦点问题。一位与会领导透露,“三条路径”的衔接方案正在制定当中,会适时公布。该领导还表示,个人信息出境标准合同的相关配套文件也在同步制定中。
为落实个人信息保护法关于建立个人信息保护认证制度的要求,指导个人信息处理者规范开展个人信息跨境处理活动,全国信安标委发布网络安全标准实践指南、个人信息跨境处理活动安全认证规范,提出了个人信息跨境处理活动安全的基本原则,规范了个人信息跨境处理活动的基本要求和个人信息主体权益的保障要求,同时国家标准《个人信息跨境传输认证要求》已获批立项,正在制定中。
声明:本文来自数字生产力研究,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
