ISC2022回顾 | 左晓栋:对数据出境施加条件不等于限制数据出境

首页 / 业界 / 资讯 /  正文
作者:laos
来源:安全419
发布于:2022-08-05
在ISC2022大会的城市数字化转型安全发展论坛中,来自中国科学技术大学公共事务学院、网络空间安全学院教授左晓栋围绕数据出境安全这一当前社会讨论较多的热点话题展开了分享。
 
 
左晓栋表示,网络安全法、数据安全法和个人信息保护法共同建立了我国数据出境安全管理制度的框架,经梳理后,其关系主要如下:
 
网络安全法第37条,明确了“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”。左晓东指出,当时的范围是把它限定到关基运营者,但需要注意的是,实际上涉及出境的大量数据是发生在非关基运营者,也就是非重点行业的中小企业中,因此从某种角度看,当时的规定并不是非常全面。
 
因此,在后续出台的数据安全法中,在重要数据领域方面进行了扩展,也就是从非关基扩展到所有的重要数据,而个人信息保护法,则把规范的对象由关基运营者收集产生的个人信息扩展到了所有的个人信息。
 
数据出境安全管理的“3+1”个条件
 
左晓栋总结道,我国数据出境安全管理制度实际上是“3+1”个条件,其中的“3”具体指的是以下内容
 
1、通过国家网信部门组织的数据出境安全评估;
2、通过专业机构进行的个人信息保护认证;
3、按照与接收方签订的合同(该合同须是经过网信部门确定的标准合同)。
 
除了上述3个条件之外,另外的那个“1”则是指需满足国家网信部门规定的其他条件
 
左晓栋指出,前述的3个条件并非是并列的,首先要判断是不是应当进行评估,实际上对于数据出境进行安全评估需要具备以下几个条件:
 
1、相关数据是否属于重要数据,如是重要数据,则必须要经过网信部门组织安全评估。
2、只要是关基运营者收集产生的个人信息,‍‍无论数据量的大小,都必须经过安全评估,
3、非关基运营者处理个人信息达到特定门槛,也必须要经过安全评估。
 
其中第3条所涉及的门槛,如中小企业或其他机构,如果涉及到个人信息出境,那么需要看其历史上是否为掌握100万个人信息的运营者,或是自2021年1月1日以来,其出境的个人信息是否达到10万或出境的敏感个人信息是否达到1万,如果没有达到这些门槛,则无需评估,如超过门槛,则必须要走评估。
 
另外,如果没有满足安全评估的条件,那么涉及数据出境就要经过个人信息保护认证或标准合同的途径。
 
左晓栋介绍到,关于第1种也就是要经过国家网信部门组织评估的安全评估的情况,已经在今年7月正式发布的《数据出境安全评估办法》已经有了明确规定,并将于今年9月1日期施行
 
那么关于第2、3种条件的相关制度进展,左晓栋也在发言中也做了介绍。首先是关于“通过专业机构进行的个人信息保护认证”方面,全国信安标委秘书处发布了一份正式文件——《网络安全标准实践指南》,就个人信息跨境处理活动中的认证规范做了要求。随后是“按照与接收方签订的合同”也就是标准合同途径方面,2022年6月30日,国家网信办将《个人信息出境标准合同规定》(征求意见稿)向社会公开征求意见。以上内容就是关于法律规定的数据出境安全管理方面相关制度的总体进展情况。
 
对数据出境施加条件不等于限制数据出境 而是确保数据要合法合规出境
 
左晓栋在发言中表示,对于包括数据出境安全管理制度在内的这些制度本身,因为大家有着不同的理解,从而会产生一些想法和分歧,因此他也进行了简单的总结并做了较为详尽的解读,具体如下:
 
一、不是所有的数据出境,都必须经过前述途径。
 
左晓栋表示,在相关制度的出台以及相关进展披露后,有人认为这些严格的条件会给数字经济的自由发展带来限制,但在他看来,这一观点非常错误。左晓栋指出,围绕这些政策法规,无论是专家解读还是媒体报道,往往都聚焦于法律法规所规定的要求本身,但实际上在相关政策规定的内容中,指的是重要数据和个人信息出境必须要经过评估或认证,而如果企业或机构的数据属性不属于这些分类,那么在出境方面是没有施加条件要求的。因此,从这个角度看,并不会对数字经济的整体发展带来负面影响。
 
二、个人信息保护认证不等于个人信息出境安全认证。
 
‍关于个人信息保护认证这一点,左晓栋认为应当对其给予正确的理解。首先国家要建立个人信息保护认证制度,尽管该制度是从个人数据出境的角度提出来的,一方面它可以用在数据出境的安全管理方面,但另一方面看,也不是涉及数据出境就非用它不可,简单表述就是可以理解为该制度是一个全集,而个人信息出境的安全认证制度是一个子集。简单来看,就是企业、机构即便是不涉及数据出境,也可以去申请个人信息保护认证,因为该认证可以体现出企业、机构在个人信息保护合规或数据安全能力方面的良好能力或优势实力。
 
但当企业、机构要通过这种途径进行个人信息数据出境时,那么在个人信息保护认证之下,还需作个人信息数据出境的认证。“个人信息保护认证和个人信息安全认证应分别申请,但前者是后者的基础。”左晓栋解释道。
 
三、通过安全评估、认证出境也需要签署合同,这与出境标准合同并非一回事。
 
左晓栋指出,通过签署标准合同实施数据出境,是全世界的管理,而且经过实践证明是有效的。但是当 大家看到即便是通过国家网信部门组织的数据出境安全评估以及通过专业机构进行的个人信息保护认证这两种方式也需要签订合同,就提出了自己的问题——既然这两个条件也要签订合同,那么为什么还会有一个专门通过标准合同实现数据出境的途径呢?它们之间的关系又是怎样的呢?
 
对于该问题,左晓栋阐述道,之所有会有这样的问题,主要是在于对于这些合同所涉及的内容依然不是十分了解。他介绍到,当选择个人信息保护认证途径时,所作的认证是一个静态的过程,也是一个一次性的过程,但数据出境是一个多次、持续的动态活动,这个时候用一个一次性的证书去为一个多次、持续的动态活动做背书显然是不够的。因此在具体到数据出境的时候,所签订的合同内容肯定要和评估、认证途径时所需签订的合同是不一样的,而且在严格的程度上也会有很大的区别。
 
至于它们之间的不一样之处具体体现在哪里,这在目前还处在研究的过程之中,毕竟《个人信息出境标准合同规定》(征求意见稿)仍然处在征求意见的阶段,但他认为,对于数据出境需要签订的非标准合同规定,也应会有一个官方导向,因为要和标准合同内容做区分,如果彼此之间内容相似的话,就会出现悖论。
 
四、数据出境安全管理制度和本地化存储制度是两个完全不同的制度。
 
左晓栋表示,网络安全法的第37条,实际上为我国确定了两个制度,除了前面所说的数据出境的制度之外,另一个就是本地化存储的制度。“这两个制度经常被混为一谈,原因则在于既然数据出境要有这样那样的条件,其目的无非就是不让它出去,既然如此那不就是本地化存储吗?”左晓栋谈道,“这种想法肯定是不对的,因为它们是不一样的。”如前文所述,对数据出境施加条件并不等于限制数据出境,而是要确保数据要合法合规的出境。
 
因此,左晓栋认为,数据出境安全管理制度和本地化存储制度是两个完全不同的制度,“我看到很多人对此提出异议,认为本地化存储制度给企业带来了很高的成本,尤其是对于那些出海企业,如果每个国家都要求本地化存储,那么企业的运营成本将会非常高昂。可事实上,在我国网络安全法第37条提出本地化存储的制度要求之后,在建立我国数据出境安全管理制度时,并没有再强调数据本地化存储,关于这一点,我认为要有一个正确的认知。”
 
除此之外,未来对于数据本地化存储的要求,左晓栋认为一定是特定的数据,而不会是所有的数据都要求本地存储,因为这同数字经济发展的方向是不一致的,但他同时也认为,针对那些特定的数据,我国未来一定会专门对数据本地化存储的提出要求。