​专家建议加强数据全生命周期安全保护管理

□　本报记者 侯建斌

国家互联网信息办公室近日公布《数据出境安全评估办法》（以下简称《办法》），自2022年9月1日起施行。《办法》要求，通过数据出境安全评估的结果有效期为两年，自评估结果出具之日起计算。

国家网信办有关负责人表示，出台《办法》旨在落实网络安全法、数据安全法、个人信息保护法的规定，规范数据出境活动，保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全、自由流动，切实以安全保发展、以发展促安全。

专家认为，《办法》坚持安全和发展并重，明确了数据出境安全评估的目的、原则、范围、程序和监督机制等具体规定，对保护我国国家安全、公共利益、个人合法利益和促进数字经济发展具有重要的里程碑意义，标志着我国数据治理法治实践走出关键一步。专家建议，建立数据全生命周期安全保护管理措施，加强出境数据全生命周期的备案、防护、检测评估和安全监管。

防范数据出境安全风险

伴随数字经济蓬勃发展，融入全球数据跨境流动的趋势不可避免。我国作为世界数据资源大国之一，面临的数据安全风险相较于其他国家也更为严峻。国家工业信息安全发展研究中心总工程师黄鹏认为，《办法》构建了我国数据出境安全评估的制度，有利于防范数据出境安全风险，保障数据依法有序自由流动。

黄鹏介绍，由于数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险，因而《办法》对需要进行安全评估的适用情形进行了限定，框定出真正可能影响国家安全和公共利益等的情形，尽量减轻安全评估流程对数据处理者和数据出境业务的影响。

从出境数据的类型看，若向境外提供重要数据，需要进行安全评估，这是由数据性质决定的安全评估情形。

从数据处理者来看，关键信息基础设施运营者和处理个人信息达到特定数量的个人信息的数据处理者（处理100万人以上个人信息的数据处理者、自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者）向境外提供个人信息，也需要进行安全评估，这是由处理者本身的属性、个人信息规模等因素决定的安全评估情形。

除上述情形外，《办法》设有兜底条款，不排除将来会根据工作需要提出其他的评估条件，亦可能根据评估实践作出例外的制度安排。

《办法》第14条明确安全评估结果有效期为2年。中央财经大学副教授张金平指出，这种设置带来了相对的制度优势。意味着数据处理者可以申报2年内对特定境外接收方的数据出境计划，极大方便企业开展连续性数据出境业务，促进全球数字经济发展。

数据出境风险全程动态评估

令张金平印象深刻的是，《办法》第3条首次明确提出数据出境安全评估的两大原则，即事前评估和持续监督相结合原则、风险自评估与安全评估相结合原则。

其中，事前评估和持续监督相结合原则明确安全评估不仅关注数据出境前对出境后可能出现的风险的评估和所要采取的安全保障措施，还关注数据出境后风险发生的变化以及原有措施的有效性，因而该原则建立起数据出境风险全过程的动态评估要求。

张金平谈到，风险自评估和安全评估相结合原则明确数据处理者的主体责任，即通过自评估的形式对自己的数据出境行为负责，确保根据数据出境风险采取相适应且有效的安全保障措施。然而，数据出境关涉国家利益、公共利益和个人权益，而且数据处理者自评估的结论倾向于通过评估，因此网络安全法、数据安全法、个人信息保护法都要求通过国家网信部门安全评估，确认数据处理者是否切实承担主体责任，以及评估数据出境风险和所采取措施的充分性、有效性。

数据出境涉及主体包括国内数据处理者和国外数据接收者。在跨境数据流动中，通常数据竞争力较弱的国家是数据的主要提供者，数据竞争力较强的国家则是数据的主要接收者。

中国科学院科技战略咨询研究院系统分析与管理研究所副所长、研究员孙晓蕾介绍，《办法》不仅明确指出了数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性，也明确了出境数据的规模、范围、种类、敏感程度，出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险。

孙晓蕾特别提到，对于数据出境，不仅仅对数据处理者，还要对数据接收者进行评估。面对复杂的国际形势，我国出于维护自身数据安全需要，对数据接收者进行严格的评估是极其必要的。

特别是，境外接收方所在国家或者地区的数据安全保护政策法规及网络安全环境对出境数据安全的影响，以及境外接收方的数据保护水平是否达到我国法律、行政法规规定和强制性国家标准的要求，应是评估重点。

针对法律文件的签订，明确要求境外接收方在实际控制权或者经营范围发生实质性变化，或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化导致难以保障数据安全时，应当采取安全措施。孙晓蕾认为，这两项规定，能够更好避免出境数据被恶意利用而产生各类风险。

加强出境数据全周期监管

《办法》不仅是对网络安全法、数据安全法、个人信息保护法等法律法规中“出境数据安全评估”规定的细化落实，也是保护我国基础性战略资源和国家安全的关键措施。这意味着，随着《办法》的正式出台和实施，国家数据安全工作将筑起坚实“防线”。

黄鹏表示，未来，随着标准合同条款、数据出境安全认证等其他数据跨境监管措施的落实，我国的数据跨境管理制度体系将更为完善，乃至形成全球数据跨境流动规则的中国方案。

黄鹏建议，一方面，加快完善数据跨境流动管理制度。按照数据安全和个人信息保护的顶层立法，持续完善我国数据跨境管理的配套规范，设置标准合同、保护能力认证、例外事项等多元数据出境途径，兼顾数据安全与数据跨境流动应用。

另一方面，建立数据跨境流动技术保障体系。坚持管理制度与技术措施相结合，将制度要求转化为技术要求进行落实。针对企业数据跨境传输和应用需求，加强数据安全防护技术能力建设，保障数据跨境流动安全。

此外，加强数据跨境流动管理国际合作。依托G20、世界互联网大会等多边对话机制和国际性会议，宣传我国数据跨境流动的主张，吸引更多国家支持和参与《全球数据安全倡议》，促进达成数据合法、安全有序跨境流动相关共识。积极参与全球数据规则制定，在当前双边、多边贸易谈判中增加关于数据跨境流动条款，为我国数字企业“走出去”奠定基础。