大数据时代,数据被誉为“21 世纪的石油和金矿”。随着数据的基础性战略资源地位日益凸显,数据安全对国家安全的影响日益深刻,数据逐渐成为各国新一轮国际政治博弈中争夺的重要资源,数据跨境流动和出境安全管理也成为各方关注的敏感议题。本文选取了欧盟、美国、澳大利亚三个在数据出境安全管理方面有着突出特点的国家,分析各自的基本情况和主要特点,结合国内实际,思考我国如何构建数据出境安全管理体系。
典型国家或地区数据出境安全管理基本情况 欧盟欧盟长期以来注重个人数据的跨境流动管理。从 1995 年的《数据保护指令》(Directive95/46/EC)到今年生效的《一般数据保护条例》(GDPR),在第 29 条工作组持续努力下,欧盟已经逐步建立起一套较为完善的个人信息出境管理体系,为业务涉及个人数据出境的企业或机构提供了多种合规渠道和工具。其中包括:
数据保护“充分性”认定欧盟委员会预先对数据出境接收国或地区的数据保护水平进行评估,数据可不受限制地传输至被认定为具有充分数据保护水平的国家或地区。在 GDPR 中,欧盟可评估的对象类型得到了进一步扩展,一个国家的特定地区、行业领域或国际组织也可以成为“充分性”认定的对象。
约束性公司规则(BCR)约束性公司规则适用于跨国公司不同地区分支机构之间的数据传输,需要规定数据保护原则、数据主体的权利、跨国企业的责任及争议解决方式和救济措施等事项,并获得企业分支机构所在国数据监管部门批准方能生效,成为企业向不具备“充分性”保护水平的国家或地区传输数据的法律依据。
标准合同条款迄今,欧盟第 29 条工作组已经发布三个标准合同范文,其中明确数据发送方、接收方的职责和义务。采纳标准合同条款的企业可将数据出境至不具有充分数据保护水平的国家或地区。GDPR 增加了成员国数据监管机构制定其他标准合同条款的渠道,以期为企业提供更多的符合实际需求的合同文本选择。
此外,基于贸易发展的诉求,欧盟也通过签订双边协议的方式,为欧盟与特定国家之间的个人数据跨境流动开通便利的合法渠道,最著名的即是欧盟与美国之间签订的《隐私盾协议》。
美国美国的数据管理和数据出境安全管理项目的制度主要包括受控非密信息清单(CUI)和商业出口管制制度。
受控非密信息清单(CUI)美国按照不同保护程度将政府数据资源划分为保密数据、敏感数据与公开数据三类,并对其分别采取相应的管理措施。其中,敏感数据介于保密数据与公开数据之间,不属于国家秘密,但一旦公开却有可能造成某种损害或潜在损害,需要限制公开或控制其传播。美国将该类数据定义为“受控非密信息”,即“根据法律、法规和政府范围内的政策,需要进行保护和控制传播的信息”。
为改善美国政府文件规定的受控非密信息过于分散、行业自治且无统一要求的现状,2010年 11 月 4 日,奥巴马总统发布《受控非密信息》13556 号总统令,要求由美国档案局牵头,各相关政府部门协同参与梳理,统一美国法律、规定、政府政策规定的受控非密信息分类及依据,形成受控非密信息清单(CUI)。同时,13556 号总统令设计了一套统一登记、统一标识等严密制度规范对受控非密信息进行管理。
美国对受控非密信息推行登记备案及标识管理制度,由美国文件和档案管理局牵头负责,由实际掌握受控非密信息的政府部门具体执行。文件和档案管理局负责制定发布受控非密信息识别指南、标识指南、保护方法等文件,建设受控非密信息登记系统。目前,档案和文件管理局已发布 7 个指南及公告 , 其中有 6 个是公开的 ,1 个非公开――受控非密信息标识办法。实际掌握受控非密信息的政府部门根据上述文件,识别确定本部门掌握的受控非密信息类型,提交档案与文件管理局批准,然后在受控非密信息登记系统进行注册登记。
商业出口管制制度美国商业出口管制主要针对军民两用产品和技术,如核、生化、电子设备等敏感物项和技术。在实践中,美国以《出口管理法》作为基础立法,在原有商业出口管制的基本制度基础上,制定了《出口管理条例》(EAR, Export Administration Regulation),并由商务部工业与安全局 (BIS) 负责执行。美国的商业出口管制主要通过对特定产品和特定对象(包括特定的国家、社团组织、公司、个人)的禁运来进行监管,被禁运的产品或对象需要在取得出口许可证的情况下才能进行交易,从而控制相关产品和技术及其数据的出口和出境传播。
美国商业出口管制制度已经成为美国控制高新技术数据出境的重要手段。在 2017 年 12月美国发布的《国家安全战略报告》中,将“美国优先”作为美国国家安全的首要出发点,强调要保持美国在网络空间和数据资源上的优势,特别将专利技术、知识网络等数据资源列为美国在网络信息领域创新基础的核心保护内容。不到一年,在 2018 年 11 月 19 日,美国商务部工业和安全局(BIS)公布拟议规则制定的预先通知,征求对拟议的 14 项新兴技术出口管制意见,其中包括人工智能和机器学习、生物技术、机器人技术、先进计算技术、量子信息和传感技术、数据分析技术等。由此可见,美国未来对高新技术数据出口管制(出境管理)将更为严格。
澳大利亚澳大利亚的数据出境管理涉及政府数据及个人健康数据。对于政府数据,澳大利亚实施数据分类和标识化管理。在管理过程中,政府数据被分为机密数据和非机密数据,通过对数据添加保护性标识,实现对各类数据的恰当保护。
澳大利亚对政府数据出境安全管理体现在它的政府采购外包服务风险评估制度中。《澳大利亚数据安全管理指南―ICT 安排(包括云服务)外包风险管理》制定了一套风险评估流程,为澳大利亚政府非机密数据外包服务中的保密性、完整性和适用性提供了安全风险管理方法;并且对离岸存储或因采购 ICT 外包服务导致的其他数据出境情形,特别指出了可能存在的额外风险,以及风险评估过程应当着重考虑的因素。
典型国家数据出境安全管理的特点分析 数据出境管理服务于国家战略和国家核心利益综合分析世界主要国家行为体的数据出境管理的思路,像美国、欧盟等制度较为成熟的行为主体,其管理思路和具体措施紧密围绕本国核心利益,与国家整体战略高度匹配。美国一直以来采取输出“信息自由流动”等普世价值的外交策略,凭借信息科技优势和互联网巨头,汇聚全球数据资源。同时,利用出口管制手段限制高科技、军民两用技术数据出境。欧盟数据跨境流动管理“内松外紧”, 一方面,出台“数字单一市场”战略,促进欧盟内部数据自由流动;另一方面,通过 GDPR 逐步完善个人数据跨境流动管理体系。
数据出境管理以数据分类分级管理为基础分析上述典型国家数据的出境管理制度可以看出,各国的关注和管理重点基本聚焦于个人数据、政府数据以及可能对国家利益和国家安全产生影响的敏感数据。同时,在实施数据出境管理之前,美国、澳大利亚都选择首先完成数据分类分级这项基本工作。美国建立了受控非密信息清单(CUI),然后再对每个类型的受控非密信息添加标识,确定传播和共享范围。澳大利亚对政府数据也采取了类似措施,并在数据分类基础上,规定了机密数据禁止出境,非机密数据经风险评估后出境的基本管理制度。
体系化构建数据出境管理模式和监管手段从上述典型国家及其他国家的数据出境管理实践工作来看,单一的数据本地化或限制性出境管理模式已经不能满足当下数字经济全球化对数字跨境贸易和数据跨境流动的需求,构建数据禁止出境(数据本地化)、限制性出境、自由流动等多种管理模式和监管机制相结合的数据出境管理体系成为各国的共同选择。例如,澳大利亚对政府数据出境实施风险评估制度,对个人健康数据则禁止出境。此外,美国综合运用外商投资审查、商业出口管制等政府监管手段,实现对数据线上线下出境管控的举措,也为数据出境安全管理开辟了新思路。
对我国数据出境管理工作的启示 加强数据分类分级管理无论是数据安全管理,还是数据出境安全管理,数据分级分类已经成为一项必备的基础性工作。目前,我国政府数据、行业数据、企业数据缺少分类分级管理制度,可能是造成目前重要数据识别难、管理难的一个原因。未来,在完成数据分类分级工作基础上,根据掌握数据的主体类型和数据使用场景类型,确定重要数据判定条件和识别方法,同时加强重要数据识别和管理的组织、人员、资金等配套条件,是开展重要数据安全管理和出境管理的重要前提之一。
建立完善数据出境安全管理体系当前,我国数据出境安全管理工作需要在国家层面完成顶层设计,统筹好金融、气象、地理、医疗健康等行业早期开展的数据出境管理实践,以及《网络安全法》第三十七条关于数据出境安全评估的制度设计,首先形成能够覆盖线上线下数据出境行为、多种管理模式相结合、对各行业各领域均有约束力的国家层面的数据出境安全管理制度,再由相关行业主管部门制定适应于本行业本领域特点的数据出境具体规则和要求。
充分考虑中国企业发展需求在现行法律框架下,适度增加数据出境安全评估的豁免情形和事项。例如,对于个人信息出境的具体场景,特别是在跨境电商和移动支付领域,对用户主动使用服务引发的个人信息出境情形,若出境数据是提供服务所必需的数据,且已取得用户同意,可视为数据出境活动符合合法、正当、必要原则,可被列为出境评估豁免情形,以此减轻企业合规负担,助力企业走出国门。
作者 >>>廖璇, 中国信息通信研究院安全研究所网络安全研究部,工程师,获得公安部等级保护高级测评师、CISSP 等资格认证。研究方向为网络安全科研和技术测评。
陈nI, 中国信息通信研究院安全研究所数据安全研究部,高级工程师,研究方向为数据安全、个人信息保护法律政策研究、技术标准化。
(本文选自《信息安全与通信保密》2018年第十二期)
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。
