文汇报|夏玮、李依琳:筑牢数据跨境安全防线,贡献数据治理“上海方案”

发布者:雷婧发布时间:2024-10-20浏览次数:10

筑牢数据跨境安全防线

贡献数据治理“上海方案”



       数字经济时代,数据的使用是把“双刃剑”。一方面,数据成为不亚于石油和土地的战略资源;另一方面,数据非法获取利用,轻则泄露个人隐私,重则引发国家安全风险。当前数据安全事件频发,仅2024年上半年,全球范围就发生多起数据泄露的重大事件。数据跨境流动作为综合复杂的“大问题”,不仅事关个人隐私保护,更事关国家安全和数据主权。上海作为对外开放的桥头堡,承担着为国家试制度、探新路的重要任务,更应当积极作为,以数据出境的分级分类为抓手,形成系统完整的数据出境规则和安全评估体系,为全国跨境数据管理提供改革样本,贡献数据治理的“上海方案”。

细化数据分级分类和脱敏标准


      
今年5月中国(上海)自由贸易试验区临港新片区发布数据跨境的“正面清单”,为企业在数据跨境流动中的合规性提供了明确的指导。要进一步在临港自贸区尝试制定需进行安全评估、保护认证、标准合同的出境数据清单或目录,豁免清单外数据的出境监管要求。

      
在此基础上,其一,要基于一般数据、重要数据和核心数据的分级分类,形成数据脱敏指引。利用有效的技术手段,将涉及个人隐私、产业安全、国家安全等的敏感数据直接屏蔽或是替换成其他不敏感的数据,并随时动态调整,定期更新优化。其二,要细化敏感数据的识别方式和标注方法。例如,用户的姓名、银行卡号、证件号、手机号、通信地址等字段都属于敏感数据,需要对这些敏感数据建立规则库,实现自动化识别敏感词汇的基础能力。其三,要完善数据分级分类和数据脱敏的监管体系。要明确数据处理者等相关人员的职责义务,要制定符合行业需求的数据脱敏技术流程,要选择合适的脱敏技术以保持数据的可用性和隐私保护,要持续监控脱敏过程并进行效果评估,要确保数据脱敏的效果符合预期,并根据反馈进行调整和优化。

强化数据出境风险评估机制


      
第一,要建设体系化的风险识别和预警机制。这意味着从数据生成,被企业或是商家收集,再到数据被处理用于其他用途,对数据安全的检测需要覆盖数据的整个生命周期。采用先进的技术手段和技术工具,来提高风险识别的效率和准确性。例如,使用数据加密技术保护数据机密性,使用数据完整性验证工具防止数据被篡改,使用入侵检测系统实时监测异常行为等。

      
第二,要设立完备的数据出境风险评估指标。这包括数据出境的目的和范围,数据出境的方式是否经过合法授权,数据传输过程中是否采取了足够的技术保护和管理措施,境外接收方所在的国家和地区是否能对传输过去的数据提供充分的数据保护,是否达到了中华人民共和国法律、行政法规的规定和强制性国家标准的要求等。对于个人信息,考虑改以出境数量而非保有数量作为是否需经出境安全评估的审查因素。原则上,对于非个人信息或不属重要数据的其他数据,以及因跨境购物或国际旅行等需要而订立合同或者为在紧急情况下保护个人生命财产等必须提供个人信息等情况,可以考虑豁免出境安全评估或保护认证或订立标准合同即可出境。

      
第三,着眼于限缩数据出境安全评估时限,增强对企业申报安全评估的事前辅导,提高企业对重要数据、敏感个人信息等数据的识别能力,解决企业不确定是否需申报数据跨境安全评估的实务困惑。在安全评估、标准合同、保护认证等现有数据跨境流动管理措施基础上,考虑增加法律推定标准,即如果一国法律能够对出境数据提供同等或充分保护,则无需对每次数据出境进行安全评估,通过对他国或地区数据保护水平的定期评估,制定数据出境目的地的“白名单”。

      
第四,要构建突发安全风险的恢复重建机制。要预先制定详细的重建恢复计划,明确如何应对自然灾害、黑客攻击、硬件故障等导致的数据安全风险,提出应对措施。要根据行业需求和数据敏感性,制定数据备份计划,包括备份的频率、备份数据存储的位置等,以确保数据安全风险发生后,能及时有效快速地恢复数据,确保数据活动的正常开展。要定期组织数据恢复性测试,以验证备份数据的完整性和恢复流程的可靠性。



构建数据跨境国际数字网络


      
第一,要坚持多边主义立场,反对数字霸权与泛国家安全化,顾及数字化程度较低国家发展利益,为与我国关系较好的发展中国家提供数字技术援助、提高这些国家数字化发展能力。以申请加入《全面与进步跨太平洋伙伴关系协定》(CPTPP)等区域贸易协定为契机,参与塑造数据跨境流动规则,以《全球数据安全倡议》为纲领,督促各国致力于维护开放、公正、非歧视性的营商环境,推动实现互利共赢、共同发展。第二,要加强政府间的合作对话,寻找“志同道合”的数字贸易伙伴,建立互信机制。要充分利用现有政府间经济对话平台,倡导并建立跨境数据流动国际合作与互信体系。也要建立更多的多边对话平台,增进数据治理对话,协调各国在数据跨境流动政策上的差异。第三,主动搭建与数字贸易伙伴的合作框架,推进数据跨境相关国际规则和标准认证体系建设,畅通数据流动。同时,要提倡尊重他国主权、司法管辖权和对数据的安全管理权,反对“长臂管辖”等不当行为,推动数据在全球范围内安全有序流动。



(作者为上海对外经贸大学国际经贸创新与治理研究院副院长夏玮教授、国际经贸创新与治理研究院助理研究员李依琳)



来源:文汇报




X
Baidu
map