随着经济全球化进程不断发展,数据作为具有重要价值的生产要素,在跨境业务中的流动越来越频繁,如个人在进行跨境购物和跨境汇款等业务场景、央企境内员工出境办公或境外数据中心数据回传等业务场景下,均不可避免涉及到数据跨境的情况。
目前,世界各国均高度重视数据安全领域,欧美等国家纷纷制定相关的数据安全保护法律及政策。
如上表中所示,以欧盟、俄罗斯为代表的跨境数据保护政策相对严苛,其中欧盟推行统一的数据安全保护规则,要求数据出口国必须提供与欧盟相当的数据保护水平,以确保个人数据在境外受到充分保护,以较高的数据保护标准引领全球重建数据保护规则体系。俄罗斯制定了数据本地化政策,要求以本地化存储为前提,支持数据在允许范围内跨境流动。以美国、APEC为代表的跨境数据保护政策相对宽松,旨在推动个人数据跨境自由流动。
自2016年至今,我国也针对跨境数据安全发布了一系列的法律法规及政策要求。
我国关于跨境数据安全法律体系较为健全,其中《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》三部法律构建了中国数据保护领域的核心法律体系,对于保护跨境数据安全、促进数据开发利用、维护公民合法权益具有重要意义。为了落实三部法律中关于跨境数据安全保护和安全评估的要求,国家网信办制定了《数据出境安全评估办法》,对跨境数据安全评估要求进行明确,并针对个人信息跨境签订标准合同的情况制定了《个人信息出境标准合同办法》。
以上法律法规的出台对数据无序出境起到了一定的遏制作用,但由于上述政策法规中设立的跨境数据安全评估门槛较低,使得大量的数据出境场景都需要进行数据出境安全评估或签订标准合同,导致巨大的数据出境需求与有限的监管部门行政资源产生冲突。为了解决该问题,网信办于2023年9月发布了《规范和促进数据跨境流动规定(征求意见稿)》,对一些无需申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的场景进行了明确规定,降低了相关主体在数据出境时的合规成本,推动了数据依法有序自由流动。
《数据出境安全评估办法》等国家相关法律法规完整地规定了跨境数据安全评估的相关要求,保障了数据出境场景下的数据合规需求。下面对《数据出境安全评估办法》等国家相关法律法规中规定的跨境数据分类、数据出境安全评估情形、数据出境安全评估流程、提交材料及评估重点分别进行介绍。
跨境数据按照数据的重要和敏感程度,一般可以分为以下几类:
1)一般数据(指不涉及国家安全、社会公众利益、行业敏感信息及个人信息的数据)。
2)重要数据(指与国家安全、经济发展,以及社会公共利益密切相关的数据)。
3)行业敏感信息(涉及党政军、涉密单位、重点行业的相关数据)。
4)个人信息(指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。其中,个人信息中又区分了敏感个人信息,主要指一旦泄露或被非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息)。
其中一般数据可以按照国家相关法律法规要求有序自由流动,重要数据、行业敏感信息、个人信息需要根据不同的适用范围选择相应的方式(如申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证)进行评估后流动。
根据《数据出境安全评估办法》的相关规定,向境外提供的数据符合一定的情形才需要申请数据出境安全评估,包括以下几种情形:
1)数据处理者向境外提供重要数据;
2)数据处理者为关键信息基础设施运营者;
3)数据处理者处理100万人以上个人信息的数据处理者向境外提供个人信息;
4)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
5)国家网信部门规定的其他需要申报数据出境安全评估的情形。
以上几种情形主要区分为针对数据处理主体(即数据处理者)和数据处理客体(即被处理的数据)的要求。
为了指导和帮助数据处理者规范、有序申报数据出境安全评估,国家互联网信息办公室于2022年8月31日编制了《数据出境安全评估申报指南(第一版)》,对数据出境安全评估申报方式、申报流程、申报材料等具体要求作出了说明。数据处理者因业务需要确需向境外提供数据,符合数据出境安全评估适用情形的,应根据《数据出境安全评估办法》规定,按照申报指南申报数据出境安全评估。
1)申报流程
数据处理者按照下图中流程申报数据出境安全评估,在向省级网信部门提交申报材料之前,需要首先开展数据出境风险自评估,并形成数据出境风险自评估报告,评估重点主要围绕数据处理目的、范围、规模、接收方承诺责任义务、出境后数据可能的风险、个人权益风险等内容。
国家网信部门在受理数据出境风险评估后,将组织国务院有关部门、省级网信部门、专门机构对数据出境风险情况进行评估,评估重点主要围绕数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险等内容。
2)申报业务受理时间期限
申报数据出境安全评估主要涉及完备性检查、材料受理、数据出境安全评估、申请复评、评估结果生效几个阶段,各阶段的参与主体、受理时间期限、处理内容见下图。
3)申报材料要求
《数据出境安全评估办法》等国家相关法律法规对数据出境场景下的安全评估要求进行了明确,解决了哪些数据可以出境的数据合规问题,而针对具体跨境业务场景下的数据传输、存储等应用安全需求,则需要采用相应的跨境数据安全保护措施进行安全保障。
跨境业务具有多种场景,以央企跨境业务为例,涉及境内总部、境外移动办公、境外数据中心等多种业务场景,如下图所示。
1)境内总部:境内总部作为企业数据汇聚中心,涉及境外分支机构访问境内总部的数据、境外数据中心数据回传等业务场景。在数据跨境访问和传输的场景下,通常采用明文传输或弱防护机制,存在数据传输过程中数据泄露的风险。
2)境外移动办公:境内员工以个人或团组形式出境办公,涉及跨境移动办公、跨境即时通信、跨境数据传输、终端数据存储等业务场景,存在跨境数据传输和访问过程中商业秘密泄露、跨境通信过程中信息泄露、数据存储载体丢失或在境外被收缴等安全风险。
3)境外数据中心:境外数据中心作为境内央企在境外固定的数据存储和业务场所,涉及与境内总部之间大量的数据传输、境外数据存储等业务场景,存在境外数据中心数据存储泄露、境外监管机构数据安全合规检查、境外数据回传过程中数据泄露等安全风险。
由于跨境业务场景复杂且多样,并且涉及境内和境外不同国家和地区的数据安全保护政策法规要求,导致跨境数据安全防护和管理存在较大难度,存在多方面的安全风险。
1)技术方面:数据在跨境传输的过程中,通常采用明文或弱算法进行保护,导致在跨境传输过程存在安全风险;跨境业务场景下数据应用安全涉及物理环境、网络通信、存储和计算设备等多方面因素,境外数据中心维护、境外存储、境外传输等环节中都存在安全风险。
2)管理方面:跨境业务场景下,涉及境外人员访问境内总部数据的情况,可能因缺乏必要的身份鉴别和授权机制、人员管理措施不足而产生跨境数据安全风险。
3)政策方面:由于跨境业务涉及多个国家和地区,各国和地区具有不同的跨境数据安全保护政策,因此在境内数据在国外入境、跨境数据存储、跨境数据回传等场景下,存在境内数据存储介质在国外入境时被收缴、境外存储数据面临境外监管机构的安全合规检查、境外数据回传过程中受国外监管机构的检查而导致数据泄露等相关安全风险。
因此,提升跨境业务场景下数据应用安全保护能力具有十分重要的意义。密码技术作为网络与信息系统安全的核心技术,在网络空间安全防护中发挥着重要的基础支撑作用,是维护网络安全最有效、最靠谱、最经济的技术手段,探索基于密码技术的跨境数据安全密码保护体系具有十分重要的意义。
下面针对跨境业务场景下的数据应用安全需求,提出跨境数据安全密码保障措施,从密码通用服务保障、数据存储安全、数据传输安全、协同办公业务应用、数据安全监测、管理制度和人员管理等多方面提出相应的密码保障措施。
针对密码通用服务保障,构建基于PKI技术的证书认证系统,实现密码设备、通用设备的统一管理,实现设备操作人员、应用系统业务用户的统一身份认证。
针对数据存储安全,基于密码技术实现数据存储设备、介质的用户身份鉴别,防止非法人员的访问;另外,基于可否认加密等技术实现存储在设备中数据的加密,防止人员在国外入境或在境外被相关监管机构进行检查时数据的泄露。
针对数据传输安全,基于安全网关建立安全通道,结合ukey和CA数字证书,实现客户端的双因素身份鉴别、客户端与服务端双向身份鉴别,实现跨境数据传输、即时通信场景下的数据传输安全保护。
针对协同办公业务应用,将密码技术与业务应用系统结合,实现访问业务应用系统的用户身份鉴别,通过文件加密网关等产品,实现文件的上传解密、下载加密,在满足协同办公业务需求的同时,防止文件数据有意或无意的泄露。
针对数据安全监测,构建安全监测与态势感知平台,对境外密码设备、跨境数据进行全面的安全监控,对密码设备使用的正确合规、设备运行状态、跨境数据安全风险进行实时监测。
针对管理制度和人员管理方面,建立完善的密码应用安全管理制度,针对各国相应的数据安全和密码管理政策对管理制度进行调整,使其符合相关的安全要求。针对关键岗位人员定期进行培训和考核保证其符合相关岗位的要求。
探索跨境开展密码应用安全性评估的可行性,在可行和必要的情况下,针对跨境信息系统开展密码应用安全性评估,保证数据跨境业务场景下的密码应用正确、合规、有效。
一旦相关数据被泄露,将导致个人信息、企业核心秘密被滥用,为个人、企业乃至国家带来巨大的损失。由此可见,跨境数据的无序流动将带来巨大的安全风险,不仅涉及个人隐私、企业安全,更涉及国家安全,因此跨境数据安全问题研究也引起了各国的高度重视。
《数据出境安全评估办法》等国家相关法律法规完整地规定了跨境数据安全评估的相关要求,保障了数据出境场景下的数据合规需求。