第08版:每经热评

<上一版

日期:[2022年07月15日] -- 每日经济新闻 -- 版次:[08]

每经热评|事关国家安全与话语权 数据跨境应以合规为本

每经特约评论员 盘和林
  在新技术奔腾、新应用爆炸的数字时代,数据不仅成为企业竞争力的核心,更是国家安全和国际话语权的基础。在这一背景下,单纯的个人信息的认知盈余时代已淹没在数字洪流中,取而代之的是跨国境、跨区域的数据流动和共享,其中既涉及到个人信息权益,也关系到国家安全和社会公共利益。针对以上问题,国家互联网信息办公室日前公布了《数据出境安全评估办法》(以下简称《办法》),为数字经济发展带来新的保障和机遇。
 
 数据跨境流动的国际探索
  具体来看,数据出境活动主要是指数据处理者将在境内运营中收集和产生的数据传输、存储至境外。或是数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。数字经济全球浪潮背景下,无序的数据跨境流动可能损害国家安全、公共利益、企业利益和数据主体权益,如何就数据跨境问题达成一致是各方关注的关键议题。
  部分发达国家已经开启了数据跨境流动的法律实践,回溯他们规制数据传输的立法脉络,在保障安全的前提下,无一例外都重视数据流动自由的重要性。如美国主导的《美墨加协定》数字贸易部分、美国与欧盟达成的《欧盟-美国隐私盾协议》、欧盟的《通用数据保护条例》,这三部规范中有关数据跨境流动的规则,均为数据跨境共享提供了制度示范和参考。就我国而言,随着《网络安全法》《数据安全法》《个人信息保护法》三大基础性法律的确立,以及相关法律法规征求意见稿的出台,我国数据跨境制度法律框架也已经完成了基础搭建。
 
 数据跨境流动的风险识别
  多年来对数据重要性以及数据安全的认知盲区使得很多企业缺少必要的数据管理和前期投入,但由于数据特有的科技属性与流动隐蔽性,数据呈现出“数量海量化、种类多样化、处理快速化、价值密度低”的特点,治理难度大、成本高,使得数据的主动出境和被动出境,都会给国家安全治理带来挑战。因而,数据安全合法合规已经成为企业对数据进行处理的基本原则和底线,数据出境安全评估成为我国对数据出境安全管理的重要措施。
  此次《办法》的出台,明确了数据出境安全评估的目的、原则、门槛、程序、评估决定的有效期、出境的终止和重新申报评估等内容,体现出了监管有度、规则合理透明的初衷。但还存在一种可能,即数据可能由于管理不当导致被动出境。具体来看,虽然数据控制者已经严格遵守法律法规并履行了数据安全保障义务,由不能预见或不可抗拒的网络攻击、数据爬虫或技术故障等可能引发数据被动出境。从这一角度看,随着《办法》的实践和探索,未来数据被动出境风险,也必须纳入国家安全治理范围。从而应对在数据技术发展日新月异现状下国家安全外延的快速扩展,防范由于技术差异导致的数据被动出境中潜在的国家安全风险。
 
 数据跨境流动的价值重申
  数据的跨境流动绝不能以让渡安全利益为代价,《办法》的出台对实现数据的自由流动具有重要意义,其影响主要体现在两个方面。
  一方面是对于非法的数据跨境交易,通过数据安全评估进行监管,可以有效减少数据安全风险。主要是由于现阶段我国的数据安全问题比较突出,而跨境数据流动中的个体公民权利保护与一般信息保护的最大差异在于,数据使用人很可能处于司法管辖范围之外,数据一旦出境,数据主体有更大概率陷入无法找到侵权人或者司法无法管辖的困境。所以在数据出境之前对其安全进行评估,既能够保护个人隐私和商业机密,也维护了国家安全。
  另一方面,安全评估也是为了促进数据的跨境流通,数据使用并非都是恶。强调数据要素流通,是针对那些没有安全风险的数据要让其流转到需要的地方,通过跨境数据流动,数据流转会有进有出,这样有利于我国数字经济的发展,尤其是需要数据训练的人工智能等技术,需要加强与国外数据的交流与合作。从这一角度看,《办法》平衡了跨境数据应用和数据安全之间的关系,让数据安全评估更有可执行性,将会成为我国数据流通和数据监管方面的一项重要措施,对于国内数据安全和流通方面,也极具借鉴和启发意义。
 
 数据跨境流动的规则导向
  数据跨境流动是数字经济时代的数据价值最大化的必然趋势,维护核心数据、重要数据安全、确保国家经济金融安全是数据跨境流动的底线。未来随着数字经济的不断发展,数据的财产权属性将会进一步凸显,那么在个人数据、重要数据得到“安全性”重视的同时,理应将视野转向商业数据的“自由性”。针对不同类型数据,探索多层次数据出境体系,在保证合规的基础上,应提高商用数据出境效率,力争实现安全与效率的平衡,避免由于行政程序过于繁琐降低数据出境效率。
  当然,数据资产类型呈多样化,数据载体分布广、数据源众多,这些都给数据识别和分类分级造成困难,制定合理而巧妙的数据出境安全评估实施细则也绝非易事。由此需进一步探讨的问题是,如何总结实践经验,不断强化数据跨境流动风险评估工作闭环,以期在数据安全风险评估关键环节、关键业务场景、关键网络产品和服务等方面进一步细化规范,妥善解决数据自由流动与国家安全、企业利益、个人权利保护之间的矛盾。
  (作者系浙江大学国际联合商学院数字经济与金融创新研究中心联席主任、研究员;工信部信息通信经济专家委员会委员)