2022数据跨境流动安全《网络安全审查办法》
来源:“广东瑞辉律师事务所”公众号
2021年11月16日,国家互联网信息办公室审议通过《网络安全审查办法》新修订(以下简称“《办法》”),经国家发改委、工业和信息化部、国家安全部等12个部门同意,决定自2022年2月15日起正式施行。
笔者认为本次修订的最大亮点在于补充了对数据跨境流动风险的预防控制规定,具体体现在《办法》新增第七条提到的“掌握大量个人信息的网络平台运营者赴国外上市必须申报网络安全审查”,第十条第五项和第六项中提及的“网络安全审查应当重点评估核心重要数据被非法利用、非法出境的风险”,“上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险”。
一、数据跨境流动的风险
数据跨境流动涉及多个国家和地区,直接关系到各个国家的切身利益,但目前国际上并没有统一的数据安全保障制度和数据权属划分制度,而是呈现一种“各管各”的局面,这使得各国的公民隐私权和国家安全都面临着一定的风险。
(一)对国家安全的风险
自人类社会进入互联网时代以来,网络科技发展迅速,瞬息万变,数据价值也愈发引起人们的关注。然而在全球化数字经济中的国家发展不平衡问题一直没有得到解决,这也导致了数据产业在不同国家也同样存在发展不平衡的现象。某些发达国家利用自己在国际形势上的强势地位,通过设置贸易壁垒等方式给网络运营者施压,迫使其交出掌握的大量直接关系到国家安全的数据信息。同时,也有些企业为了能够在他国获得良好发展的机会,不顾国家安全,随意交出关键重要的数据信息。这些泄露的数据很容易被他国恶意利用,通过网络技术对此进行分析可以得出一个国家的社会、国防和科技动态,这些信息都有可能成为未来恶意攻击我国的情报来源。
以“滴滴事件”为例,滴滴出行是一家提供出行服务的企业,其利用大数据构建了线上和线下相融合的出行方式,同时也掌握了海量的用户个人信息、生物识别信息和我国高精度地图数据等重要数据。笔者认为滴滴出行被网络安全审查的主要原因在于国家担忧该公司存在数据泄露、滥用、毁损等风险,如果放任滴滴公司在他国上市,很难保证其所掌握的大量关键数据不会被他国获取,从而泄露我国的国防部署和地理测绘信息等机密,置我国于国际不利地位。
因此,在面对数据流动全球化的趋势中,国家与企业应该各尽其力,一方面制定相关规则规范防御风险,另一方面合法合规开展业务,共同维护国家安全与主权。
(二)对个人隐私的风险
宏观上数据跨境泄露会对国家安全产生一定影响,而微观上,数据跨境流动的安全直接影响公民个人信息的安全。网络平台运营者在运营的过程中会获取大量的用户个人数据信息,包括用户的联系地址、支付信息、生物识别信息等。并且网络平台运营者可以通过分析这些数据轻易得出用户个人的日常作息规律、兴趣爱好、家庭信息、经济信息等一系列关乎个人人身安全和财产安全的信息。因此,如果数据的跨境流动的安全性没有得到有效保障,那么用户个人信息就会随着数据流动,泄露在各处,甚至可能引发大量跨国诈骗案件。
当然,数据的跨境流动在一定程度上也给人们的生活带来了许多便利,加强了各国人民的文化交流,同时促进了互联网企业的快速发展,但是兼顾效率与公平是始终引领互联网健康发展的重要原则,因此网络运营商在快速发展的同时,应当充分保障用户个人隐私权,担起社会责任。
网络平台运营者
如何应对数据跨境流动风险
此次《办法》的新修订新增了关于数据跨境流动安全的规定,在修订之前,我国也出台了《数据安全法》,明确规定国家建立数据安全审查制度。由此说明了我国关于网络安全和数据安全的法律法规制度正在逐步完善。在此背景下,作为网络关键数据的直接掌握者——网络平台运营商应当促进数据合规,与国家携手抵御数据跨境流动风险,万万不可僭越法律。
(一)遵守数据出境安全评估义务
为了进一步保障网络安全和数据安全,维护国家安全,网络平台运营商在日常运营过程中应当依法依规对自己所掌握的核心数据、重要数据和大量个人信息进行定时安全评估,形成并长时间保留安全自评估报告,及时上报相关行业主管部门。最后,因业务需要,确需对境外提供数据或者携带大量关键数据在境外上市时,应当主动申报网络安全审查,待相关部门审查通过后再出境。
(二)建立健全数据管理机制体制
为防止他国运用不正当手段恶意攻击网络平台,从而非法获取、利用我国关键重要数据信息,网络平台运营商应当建立健全安全可靠的数据管理机制体制,加强网络平台的风险抵御能力,对不明来源的攻击以及可疑现象进行记录,并做好预防方案。此外,还应当加强数据安全部门的人员管理,对数据安全工作人员进行相关法律法规宣讲,增强员工的法律意识和工作责任感,避免“灯下黑”的情况发生。
(三)合法合理收集数据信息
数据合法收集是企业数据合规的关键所在。具体而言,网络平台运营商在收集用户个人信息前应当充分告知用户收集的信息范围、收集信息的用途以及可能出现的风险,并且应当承诺对用户个人信息的保密,避免违规收集、过度收集以及泄露、损毁用户信息。此外,在使用用户个人信息前应当对用户进行合理提示,不得擅自向无关机构或未经认证的国外机构提供数据信息,以防出现不必要的风险。
结语
随着数据时代的到来,数据跨境流动也迎来了一定的风险,对数据跨境流动进行规制是各国发展的趋势所在。在此背景下,我国愈发关注数据安全问题,即将施行的《办法》就充分体现了这一点。然而徒法不足以自行,除了相关部门要贯彻落实《办法》和其他有关法律法规以外,作为直接掌握关键数据的网络平台运营商也应当自觉履行自己的义务,认清数据发展与国家安全的关系,将国家安全与社会责任扛在肩上,砥砺前行。