随着数据成为第五大生产要素,数据跨境的合规传输成为我国保障国家主权、国家安全的重要一环。
作为对外开放的高地,上海市临港新片区被称为“国际数据试验田”。2021年印发的《中国(上海)自由贸易试验区临港新片区发展“十四五”规划》提出,临港将先行先试扩大增值电信、数据跨境流动等领域对外开放,加快发展信息通讯、跨境数据交易等服务贸易,并着力打造国际数据港,建设数字经济高地。2022年1月起实施的《上海市数据条例》明确聚焦临港新片区建设国际数据港,在临港新片区内探索制定低风险跨境流动数据目录,促进数据跨境安全、自由流动。2022年3月正式发布的《中国(上海)自由贸易试验区临港新片区条例》设有“数据流动”专章,明确了打造国际数据港、推动重点领域数据跨境流动、推动数据产业国际化及数字贸易等。
(资料图片)
在临港新片区国际数据港建设过程中,上海临港新片区跨境数据科技有限公司(以下简称“临港跨境数科”)是数据跨境流通创新试点的排头兵,从2020年就开始做前期摸索,率先探索行业性低风险跨境流动数据目录,其试点工作为《数据出境安全评估办法》及相关评估工作提供了参考。近日,21世纪经济报道记者专访临港跨境数科总经理李晶,他表示在金融、总部管理、数字贸易与数字服务等场景下数据跨境需求非常强烈,面对“重要数据识别”这一难点,临港跨境数科正在以“小步快走”的方式缩小负面清单和正面清单中间的混沌区域,探索建立低风险跨境流动数据目录。
数据跨境流通亟需合规落地
21世纪:临港新片区明确要打造国际数据港、推动重点领域数据跨境流动、推动数据产业国际化及数字贸易等等,2020年成立以来,跨境数科做了哪些探索?
李晶:跨境数科从2020年开始做前期摸索准备,2021年在中央网信办、临港经济管委会指导下,我们在临港做了一些试点工作,为有关部门出台《数据出境安全评估办法》以及相关评估工作有一定的间接意义。
一开始,数据出境的安全评估是没有上位法支持的,跨境数科帮助有数据出境需求的企业,在梳理整合相关诉求后,我们帮助企业将报告提交给有关部门,再根据有关部门的审核意见帮助其落实整改,最终完成数据跨境的动作。临港的创新实践工作最终获评新片区制度创新三等奖。
21世纪:在还没有相关评估办法时,跨境数科是如何帮助企业做数据出境评估的?
李晶:在最初阶段,数据出境没有明确的法律规范和操作办法,哪些数据能出、哪些绝对不能出,没有明确的要求,我们做了两个方面的探索。
一是探索了事前-事中-事后的操作模式,在数据出境评估的前、中、后三个阶段为其提供服务;第二是提出了“备份存证”的概念。在数据出境经过安全评估后,有关部门可能还需要进一步核查数据是否按照申报内容传输,需要有数据备份。在实际操作过程中,将海量数据全部备份并不现实,因此我们提出了“存证”的做法,即在备份数据中提取特征值递交有关部门保存,通过特征值可以追溯、检验备份数据是否可信,帮助有关部门将数据出境的工作梳理成闭环。
21世纪:目前数据跨境需求比较集中的场景有哪些?
李晶:需求比较集中的主要有6个场景。
第一就是金融场景,金融产品非常丰富,如果数据跨境流通问题没有解决,会影响到很多机构的展业情况。比如在风控业务上,有的外资机构帮助中国客户在全球投资,建设全球风控系统需要掌握的数据比较敏感,因此针对风控场景,哪些数据是安全的、展业需要的最小数据有哪些,都是需要解决的问题,可以帮助他们以最小数据传输量完成业务。
第二是总部管理。跨国公司总部需要了解中国分公司的日常经营情况,例如员工信息、工资情况、营业收入等等,虽然这些数据对国家安全没有太大影响,但在上位法尚未明确的情况下,企业不敢去做,所以也需要有场景化试点工作探路。
第三是数字贸易和数字服务。数字贸易需要将与贸易有关的供应链可视化,实现境内外的数据统一管理,这方面需求非常强烈。而在数字服务方面,数字内容、数字技术服务、数字云平台服务等等,都涉及到大量的数据跨境工作,此外有一些数字产品在输出后存在交易结汇、包括虚拟货币结算等等一系列问题,都需要相关政策落地。因此跨境数科也在尝试一些探索。
第四是制造业。目前汽车、港口机械等设备运营情况、销售对象、销售用户、客户服务等都需要数据跨境传输,这是中国企业参与国际竞争非常重要的一个场景,所以我们也优先在给制造业做低风险数据目录。
第五是数据入境。数据的跨境传输不仅包括出境,入境的安全合规也非常重要。这个场景主要是在全球性的科创协作方面,我们在探索做一些功能,让跨境的科创协作在安全合规的前提下尽量满足各方科研需求。
第六是数据的合规出境。基于区块链、隐私计算等技术来实现数据“可用不可见”,在原有数据不出域的情况下实现国际互联互通。
推进低风险跨境流动数据目录
21世纪:在我们对企业调研时,很多有数据出境需求的企业都反映,重要数据的识别标准存在难点,跨境数科是怎样解决这个问题的?
李晶:相比我们的试点探索阶段,现在立法工作往前走了一步,《数据出境安全评估办法》对于个人信息出境管理规则设置了不同的门槛,有很大的进步,对于重要数据的识别也有一些标准出台。
在跨境数科的实践中,我们在探索推进低风险数据目录。我们认为将来对跨境数据的监管应当以负面清单的形式,但目前数据的数量、种类实在是太多了,各个行业主管部门掌握的数据样本基础也不是很丰富,导致负面清单可以涵盖的数据范围相对很小。目前一些关系到国家关键基础设施或国家安全的数据已经被列入负面清单,但在这一清单外的数据,并不意味着就是可以自由、安全传输的,还有十倍、百倍的空间仍处于混沌状态。
低风险数据目录,就是在这一混沌状态中找出一块区域,以正面清单的形式提供给政府、企业,允许在正面清单给定的范围内,企业以安全管理规则传输数据,不会影响到国家安全与个人隐私。
我相信,随着正面清单的逐步完善和扩大,混沌区域会被压缩得越来越小。跨境数科率先探索了汽车行业的低风险跨境流动数据目录,我们在识别低风险数据的过程中,也发现了一些高风险数据,在同步给有关部门后,《汽车行业重要数据识别指南》很快诞生了。
相信我们以这种“小步快走”的方式压缩混沌区域,可以帮助有关部门加速建立负面清单,同时也帮助企业在重要数据识别标准尚不明确时,也不影响核心业务的发展。
21世纪:在推进低风险跨境数据流动目录的过程中,跨境数科遇到过哪些难点?
李晶:目前重要数据与风险因素的识别标准还不够完整,整体建立的重要数据识别指南也不够多。因此需要加紧工作尽可能多的把数据识别出来,这是一个长期工作。我们希望能够“全国一盘棋”,各地一起来做数据要素的登记存证、低风险评估目录,预计在三到五年的时间内把这个难点消除。
21世纪:目前全国各地的低风险数据目录和相关标准会存在重复建设的情况吗?
李晶:还是有很多重复工作、重复建设的情况,各省市各行业都按照自己的需求往前走,相互之间不通气,有一些数据识别的标准规范也尚未成为统一的国家标准。因此我认为这方面要加速制度供给,提供标准化效率,在有关部门指导下增加标准化研究的工作机构,研究制定低风险数据目录研究场景,多方授权进行工作研究。在地方适当释放出一定管理权限,结合各省市的灵活性与中央的集中管理优势共同研究建设。
21世纪:除了重要数据识别的问题,数据跨境流动还有哪些难点需要解决?
李晶:对标国际标准,我们在基础设施和运营方式上还需要做更多的创新更迭。
要把临港打造成国际数据港,其实是对标新加坡、香港,要把上海打造成中国的国际数据枢纽中心,我认为在四个方面还存在不足。
第一是数据传输处理、配置能力不足,第二是基础设施水平和运营能力有一定差距,第三是上海对国际数据市场的影响力有待提升,第四是对全球数据资源的利用率不是很高。
例如在基础设施建设方面,新加坡的海光缆数量大概是我们的3到4倍,海光缆的建设和运营模式也更加灵活多样,充分发挥各方面的力量,充分对接国际数据市场的竞争要求,我国目前在这方面还存在显著短板,导致上海的国际互联网数据传输流量全球排名在10名之外,且难以成为真正的国际数据枢纽。
国际数据市场话语权和全球数据资源利用方面,欧美相继出台如GDPR等很多数据传输相关规则,在缔约国之间实现了数据的开放,中国如果没有加入这些标准制定,我们的全球数据资源配置和使用能力都会受到影响。
上海作为中国国际化程度最高的城市,我认为应当在数字空间上发挥上海优势,对标新加坡建立一个特殊功能区,设计一套国际数据港应有的架构体系,以及与之相匹配的基础设施、有竞争力的数据规则、功能性较强的平台,为中国打通国际数据市场合作、面向国际竞争提供助力。
(文章来源:21世纪经济报道)