下一步我国应统筹安全与发展,试点探索数据跨境流动安全管理便利化机制,增强数据跨境 流动安全保障能力,推广数据跨境流动治理中国方案,提升全球数据治理话语权。
目前我国依托自由贸易试验区、自贸港等高水平开放平台探索数据跨境流动安全管理试点,如上海自贸 试验区临港新片区、北京自贸试验区、海南自由贸易港、雄安新区片区等都加快推出了包括实施国际互联网 数据跨境安全有序流动、促进数字产业开放发展等制度突破创新等举措。2023 年 9 月 28 日,国家网信办就 《规范和促进数据跨境流动规定(征求意见稿)》公开征求意见,赋予自贸试验区制定数据出境“负面清单” 的权利。下一步应充分发挥开放平台制度创新优势,在数据出境安全评估、个人信息保护认证、标准合同备 案等方面率先探索,逐步探索形成数据跨境流动便利化路径,形成可复制、可推广的经验。支持北京、上 海、粤港澳大湾区等地在实施数据出境安全评估、个人信息保护认证、个人信息出境标准合同备案等制度过 程中,试点探索形成可自由流动的一般数据清单。支持各自贸试验区统筹安全与发展,结合企业数据出境的 实际需求,探索制定数据出境“负面清单”。依托上海数据交易所等数据交易平台,提供数据跨境流动合规服 务,如设立数据安全与治理公共服务平台,吸引一批有数据跨境需求的企业以及优质数据合规的服务机构入 驻,为数据出境企业提供政策咨询、风险评估、安全培训、自评估报告完备性审查等数据安全合规服务。
数据保护可信认证是很多国家和区域及数字贸易协定中常用的数据跨境流动机制,其本质是对数据保护 水平达到一定标准的“白名单”认证。如新加坡建立了数据保护可信任标志,并在 DEPA 中推进成员国对数据 保护可信任标志的互认,促进数据跨境流动。上海作为跨国公司集聚地,可结合企业数据出境实际需求,率 先探索推进数据保护可信认证便利化试点,为已部署数据保护措施并达到数据合规标准的企业提供便利化认 证方式,并探索与主要经济体实现数据保护可信任标志的互认,实现在国际贸易、学术合作、跨国生产制造 和市场营销等活动中产生的非重要非敏感数据跨境自由流动。同时,近年来,区块链、隐私计算等技术的发 展和数据中介的出现为数据跨境传输提供了新的范式。如欧盟基于盖亚云(Gaia-X)建立的欧洲公共数据空 间、日本数据社会联盟建立的数据交换平台(Data-EX)等。此外,隐私增强技术(PETs)、数据监管沙箱等 也为数据跨境流动的应用实践提供了新的选择。下一步,应支持和鼓励各地数据交易所加快新技术新模式的 研究,应用数据空间、数据监管沙箱等新工具,探索数据跨境安全流动新方式。
数据跨境流动将会带来一系列安全风险,如数据泄露、数据滥用等,对国家安全构成威胁。因此推进数 据跨境流动必须增强数据安全保障能力。一方面,支持建设数据安全监测系统。如支持上海数据交易所等平 台建立智能化数据安全监管系统,加强数据安全风险评估、信息共享、监测预警等技术能力建设。支持政府 部门与数据安全企业协作,建设数据跨境流动安全威胁感知和监测预警基础设施,统筹数据安全威胁信息的 获取、分析、研判、预警工作,强化数据安全事件日常监测、通报预警、快速响应、追踪溯源恶意行为等技 术能力。另一方面,强化前沿数据安全技术研发。支持上海数据交易所等平台强化数据安全技术研发,针对 数据跨境流动过程中可能的数据泄露、个人隐私风险、数据滥用等一系列安全风险,支持差分隐私、零知识 证明、同态加密、多方计算、联邦学习等前沿数据安全技术研究,支持安全产品研发及产业化应用,为数据 跨境流动安全提供切实可行的技术方案,降低数据跨境流动安全风险。
目前全球数据跨境流动治理与规则正处于形成过程中,美欧等西方国家正在基于信任关系加速构建将我 国排除在外的数据跨境流动自由圈。而我国尚未明确提出我国数据跨境流动治理方案,也尚未与世界主要经 济体、我国主要贸易伙伴建立数据跨境传输便利化机制,参与数据跨境流动全球治理不足。一方面,我国应 以“一带一路”建设为契机,基于互利互惠、安全便利等原则,提出有利于我国发展的数据跨境流动治理方 案,推动形成可互认的数据保护认证、标准合同条款等机制,实现区域内数据跨境自由流动。另一方面,我 国应积极推进 CPTPP、DEPA 谈判议程。新加坡作为亚太地区重要数据枢纽,是 CPTPP 发起成员,也是 DEPA 的主要推动方。我国应加强同新加坡在数据跨境流动方面的对接与合作,探索数据跨境流动可操作路 径,进而将相关经验推广至 CPTPP、DEPA 其他成员。
目前,《网络安全法》《数据安全法》《个人信息保护法》等立法以及《数据出境安全评估办法》等规章 构建了我国数据跨境流动的安全规则体系,因此企业在数据出境时需按照现有法律要求做好数据出境安全合 规,如进行数据分类分级,涉及核心数据、重要数据等需进行数据出境安全评估等。数据跨境流动不仅涉及 数据出境,还有数据入境,当前全球主要经济出于保障数据主权的需要对本区域内的数据出境进行立法规 制,典型的如欧盟的 GDPR 等。因此企业在将境外的数据引入中国境内时,需按照数据来源国的法律要求做 好安全合规,在满足数据来源国合规的要求的前提下,将数据流入中国境内。
上海数据交易所已经开设运行国际板,建设国际化数据交易平台,探索形成便捷、高效、安全的数据跨 境流动规则体系,积极赋能我国国际数字贸易的发展,为我国参与国际数字贸易规则制定贡献探索实践的经 验,同时服务于企业数据“走出去”与“引进来”。企业在开展数据跨境流动时,可利用上海数交所国际板开展 数据产品合规评估审查,提高数据产品交易效率,同时依托上海数据交易所,加快企业向全球进行数据产品 推介的步伐。
