观点热搜
随着全球数字经济的迅速发展,数据跨境流动将成为不可避免的趋势。从全球范围来看,世界各国对数据资源的争夺日益激烈,数据跨境流动的治理规则在很大程度上关系着国家安全和数据主权,数据跨境流动安全治理问题也成为全球数据治理的焦点议题。2021年9月1日起施行的数据安全法为我国的数据跨境流动提供了有力的法律保障,这充分彰显了党和国家高度重视数据安全。习近平总书记强调,要切实保障国家数据安全。要加强关键信息基础设施安全保护,强化国家关键数据资源保护能力,增强数据安全预警与溯源能力。当前,加强数据跨境流动的安全评估已经成为维护国家安全和国家竞争力的需要。我们应兼顾发展和安全,制定符合我国国情的数据跨境流动治理战略,完善数据跨境流动监管政策,加快构建数据跨境流动安全治理评估体系。
健全数据分级分类分业和隐私保护制度
数据分级保护和分类保护是数据保护的两大维度。数据分级侧重于划定数据所具有的某种后果性标准,并构建相应的技术保护体系;数据分类侧重于把具有共同属性和特征的数据归并在一起,通过其类别特征和属性将之纳入不同的分级保护体系中。两者从不同的角度明确数据安全的责任和边界,亟待建立完善政府主导、多方参与的数据分级分类保护制度,健全数据隐私保护和安全审查制度,落实政府、企事业单位、社会公众的数据安全保护责任。加强顶层设计,确定重要数据目录清单,各地方、各部门按照规定确定本地区、本部门以及相关行业、领域的重要数据具体细则,对重要数据采取分级分类管理措施,并进行分行业管理。完善相关配套制度予以明确重要数据目录的内容、格式和标准。探索制定低风险跨境流动数据目录,确定不同数据的出境安全管理规则,构建以数据分级分类为基础的数据跨境流动分类监管模式。对关系国家安全、国家秘密的重要数据严格禁止跨境,必须在境内的数据中心存储和处理;对关于社会公共利益的政府公共数据,实施数据跨境流动的条件限制。
构建企业数据保护能力的第三方认证机制
企业数据保护能力是指企业能满足数据合规和内控要求,在管理和技术保障层面避免存储在企业中的用户数据发生盗用、泄漏和篡改等情况。构建企业数据保护能力的认证机制可以从源头减少数据泄漏风险。在条件具备的自由贸易试验区内,立足企业数据跨境流动实际需求,积极探索针对企业的跨境数据保护能力的第三方认证机制,推动数据跨境自由流动。探索选取部分企业作为试点,制定分级分类的细则和企业数据保护能力认证办法,确定认证标准,明确认证机构,细化认证流程,第三方认证机构按照企业申请的数据保护等级进行数据保护能力认证。探索建立公共数据管理“数据安全官”制度,进一步完善企业数据专管员制度,在重点领域内开展数据跨境流动安全评估、数据保护能力认证、数据流通备份审查等安全机制。统筹不同行业主管部门联合开展针对数据跨境流动的安全检查和交易风险评估,督促指导各责任主体落实数据安全防护和出境管理相关要求,建立健全数据安全突发事件应急处置机制。
完善数据跨境流动管辖与信任体系
当前,数据跨境流动规制存在数据跨境流动安全评估具体规则和数据跨境流动监管方式形式单一、数据跨境流动监管的包容性不足、数据跨境流动单一维度的监管难度大成效低等问题。网络安全法确定了本地化存储和数据出境安全评估相结合的方式,有待结合数据跨境流动的具体场景进行多层次、差异化监管,提高可操作性。我国可效仿并依据具体场景适当延长“长臂管辖”的适用范围,制定出台重要数据出境的管理框架,为重要数据的保护、管理、利用完善政策法规环境。可借鉴欧盟模式的“充分性认定”与“白名单制度”,在数据跨境流动前,对流出的数据和输入的国家进行审查和评估,根据不同的安全属性进行梯度管理。此外,加快出台数据跨境流动规则体系及相关细则,研究制定数据跨境流动的指示性范本和标准格式合同管理模式,探索建设离岸数据中心和数据跨境流动安全治理示范区域。
推动建立数据跨境流动的全球治理框架
当前,全球数字经济的竞争热点已经由平台竞争转为数据掌控能力的竞争,数据掌控能力的核心在于对数据跨境流动治理的话语权和主动权。数据跨境流动具有天然的“国际属性”,构筑数据跨境流动的规则体系必须立足于全球视野。一方面,数据跨境流动有利于全球数字经济的发展,也有利于构建全球网络空间命运共同体;另一方面,数据跨境流动必须在维护国家安全和捍卫国家数据主权的框架下进行。当前,尽管已有相关的国际标准或范本,但不同国家的模式及执行方式存在很大差异。因此,急需加快探索实施数据证书和电子签名的国际互认,积极推动建立数据跨境流动全球治理框架,加强数据跨境流动的国际合作。建立数据跨境流动治理国际执法协作机制,构建面向未来的全球数字贸易规则及数字治理框架,在发展和平衡中寻求数据跨境流动治理的“中国方案”。(作者系广东药科大学副教授)