在ISC2022大會的城市數(shù)字化轉(zhuǎn)型安全發(fā)展論壇中，來自中國科學(xué)技術(shù)大學(xué)公共事務(wù)學(xué)院、網(wǎng)絡(luò)空間安全學(xué)院教授左曉棟圍繞數(shù)據(jù)出境安全這一當(dāng)前社會討論較多的熱點話題展開了分享。

　　左曉棟表示，網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法和個人信息保護法共同建立了我國數(shù)據(jù)出境安全管理制度的框架，經(jīng)梳理后，其關(guān)系主要如下：

　　網(wǎng)絡(luò)安全法第37條，明確了“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進行安全評估”。左曉棟指出，當(dāng)時的范圍是把它限定到關(guān)基運營者，但需要注意的是，實際上涉及出境的大量數(shù)據(jù)是發(fā)生在非關(guān)基運營者，也就是非重點行業(yè)的中小企業(yè)中，因此從某種角度看，當(dāng)時的規(guī)定并不是非常全面。

　　因此，在后續(xù)出臺的數(shù)據(jù)安全法中，在重要數(shù)據(jù)領(lǐng)域方面進行了擴展，也就是從非關(guān)基擴展到所有的重要數(shù)據(jù)，而個人信息保護法，則把規(guī)范的對象由關(guān)基運營者收集產(chǎn)生的個人信息擴展到了所有的個人信息。

　　數(shù)據(jù)出境安全管理的“3+1”個條件

　　左曉棟總結(jié)道，我國數(shù)據(jù)出境安全管理制度實際上是“3+1”個條件，其中的“3”具體指的是以下內(nèi)容：

　　1、通過國家網(wǎng)信部門組織的數(shù)據(jù)出境安全評估；

　　2、通過專業(yè)機構(gòu)進行的個人信息保護認證；

　　3、按照與接收方簽訂的合同（該合同須是經(jīng)過網(wǎng)信部門確定的標準合同）。

　　除了上述3個條件之外，另外的那個“1”則是指需滿足國家網(wǎng)信部門規(guī)定的其他條件。

　　左曉棟指出，前述的3個條件并非是并列的，首先要判斷是不是應(yīng)當(dāng)進行評估，實際上對于數(shù)據(jù)出境進行安全評估需要具備以下幾個條件：

　　1、相關(guān)數(shù)據(jù)是否屬于重要數(shù)據(jù)，如是重要數(shù)據(jù)，則必須要經(jīng)過網(wǎng)信部門組織安全評估。

　　2、只要是關(guān)基運營者收集產(chǎn)生的個人信息，無論數(shù)據(jù)量的大小，都必須經(jīng)過安全評估，

　　3、非關(guān)基運營者處理個人信息達到特定門檻，也必須要經(jīng)過安全評估。

　　其中第3條所涉及的門檻，如中小企業(yè)或其他機構(gòu)，如果涉及到個人信息出境，那么需要看其歷史上是否為掌握100萬個人信息的運營者，或是自2021年1月1日以來，其出境的個人信息是否達到10萬或出境的敏感個人信息是否達到1萬，如果沒有達到這些門檻，則無需評估，如超過門檻，則必須要走評估。

　　另外，如果沒有滿足安全評估的條件，那么涉及數(shù)據(jù)出境就要經(jīng)過個人信息保護認證或標準合同的途徑。

　　左曉棟介紹到，關(guān)于第1種也就是要經(jīng)過國家網(wǎng)信部門組織評估的安全評估的情況，已經(jīng)在今年7月正式發(fā)布的《數(shù)據(jù)出境安全評估辦法》已經(jīng)有了明確規(guī)定，并將于今年9月1日起施行。

　　那么關(guān)于第2、3種條件的相關(guān)制度進展，左曉棟也在發(fā)言中也做了介紹。首先是關(guān)于“通過專業(yè)機構(gòu)進行的個人信息保護認證”方面，全國信安標委秘書處發(fā)布了一份正式文件——《網(wǎng)絡(luò)安全標準實踐指南》，就個人信息跨境處理活動中的認證規(guī)范做了要求。隨后是“按照與接收方簽訂的合同”也就是標準合同途徑方面，2022年6月30日，國家網(wǎng)信辦將《個人信息出境標準合同規(guī)定》（征求意見稿）向社會公開征求意見。以上內(nèi)容就是關(guān)于法律規(guī)定的數(shù)據(jù)出境安全管理方面相關(guān)制度的總體進展情況。

　　對數(shù)據(jù)出境施加條件不等于限制數(shù)據(jù)出境

　　而是確保數(shù)據(jù)要合法合規(guī)出境

　　左曉棟在發(fā)言中表示，對于包括數(shù)據(jù)出境安全管理制度在內(nèi)的這些制度本身，因為大家有著不同的理解，從而會產(chǎn)生一些想法和分歧，因此他也進行了簡單的總結(jié)并做了較為詳盡的解讀，具體如下：

　　一、不是所有的數(shù)據(jù)出境，都必須經(jīng)過前述途徑。

　　左曉棟表示，在相關(guān)制度的出臺以及相關(guān)進展披露后，有人認為這些嚴格的條件會給數(shù)字經(jīng)濟的自由發(fā)展帶來限制，但在他看來，這一觀點非常錯誤。左曉棟指出，圍繞這些政策法規(guī)，無論是專家解讀還是媒體報道，往往都聚焦于法律法規(guī)所規(guī)定的要求本身，但實際上在相關(guān)政策規(guī)定的內(nèi)容中，指的是重要數(shù)據(jù)和個人信息出境必須要經(jīng)過評估或認證，而如果企業(yè)或機構(gòu)的數(shù)據(jù)屬性不屬于這些分類，那么在出境方面是沒有施加條件要求的。因此，從這個角度看，并不會對數(shù)字經(jīng)濟的整體發(fā)展帶來負面影響。

　　?二、個人信息保護認證不等于個人信息出境安全認證。

　　關(guān)于個人信息保護認證這一點，左曉棟認為應(yīng)當(dāng)對其給予正確的理解。首先國家要建立個人信息保護認證制度，盡管該制度是從個人數(shù)據(jù)出境的角度提出來的，一方面它可以用在數(shù)據(jù)出境的安全管理方面，但另一方面看，也不是涉及數(shù)據(jù)出境就非用它不可，簡單表述就是可以理解為該制度是一個全集，而個人信息出境的安全認證制度是一個子集。簡單來看，就是企業(yè)、機構(gòu)即便是不涉及數(shù)據(jù)出境，也可以去申請個人信息保護認證，因為該認證可以體現(xiàn)出企業(yè)、機構(gòu)在個人信息保護合規(guī)或數(shù)據(jù)安全能力方面的良好能力或優(yōu)勢實力。

　　但當(dāng)企業(yè)、機構(gòu)要通過這種途徑進行個人信息數(shù)據(jù)出境時，那么在個人信息保護認證之下，還需做個人信息數(shù)據(jù)出境的認證?！皞€人信息保護認證和個人信息安全認證應(yīng)分別申請，但前者是后者的基礎(chǔ)?！弊髸詶澖忉尩?。

　　三、通過安全評估、認證出境也需要簽署合同，這與出境標準合同并非一回事

　　左曉棟指出，通過簽署標準合同實施數(shù)據(jù)出境，是全世界的慣例，而且經(jīng)過實踐證明是有效的。但是當(dāng)大家看到即便是通過國家網(wǎng)信部門組織的數(shù)據(jù)出境安全評估以及通過專業(yè)機構(gòu)進行的個人信息保護認證這兩種方式也需要簽訂合同，就提出了自己的問題——既然這兩個條件也要簽訂合同，那么為什么還會有一個專門通過標準合同實現(xiàn)數(shù)據(jù)出境的途徑呢？它們之間的關(guān)系又是怎樣的呢？

　　對于該問題，左曉棟闡述道，之所以會有這樣的問題，主要是在于對于這些合同所涉及的內(nèi)容依然不是十分了解。他介紹到，當(dāng)選擇個人信息保護認證途徑時，所作的認證是一個靜態(tài)的過程，也是一個一次性的過程，但數(shù)據(jù)出境是一個多次、持續(xù)的動態(tài)活動，這個時候用一個一次性的證書去為一個多次、持續(xù)的動態(tài)活動做背書顯然是不夠的。因此在具體到數(shù)據(jù)出境的時候，所簽訂的合同內(nèi)容肯定要和評估、認證途徑時所需簽訂的合同是不一樣的，而且在嚴格的程度上也會有很大的區(qū)別。

　　至于它們之間的不一樣之處具體體現(xiàn)在哪里，這在目前還處在研究的過程之中，畢竟《個人信息出境標準合同規(guī)定》（征求意見稿）仍然處在征求意見的階段，但他認為，對于數(shù)據(jù)出境需要簽訂的非標準合同規(guī)定，也應(yīng)會有一個官方導(dǎo)向，因為要和標準合同內(nèi)容做區(qū)分，如果彼此之間內(nèi)容相似的話，就會出現(xiàn)悖論。

　　四、數(shù)據(jù)出境安全管理制度和本地化存儲制度是兩個完全不同的制度。

　　左曉棟表示，網(wǎng)絡(luò)安全法的第37條，實際上為我國確定了兩個制度，除了前面所說的數(shù)據(jù)出境的制度之外，另一個就是本地化存儲的制度?！斑@兩個制度經(jīng)常被混為一談，原因則在于既然數(shù)據(jù)出境要有這樣那樣的條件，其目的無非就是不讓它出去，既然如此那不就是本地化存儲嗎？”左曉棟談道，“這種想法肯定是不對的，因為它們是不一樣的。”如前文所述，對數(shù)據(jù)出境施加條件并不等于限制數(shù)據(jù)出境，而是要確保數(shù)據(jù)要合法合規(guī)的出境。

　　因此，左曉棟認為，數(shù)據(jù)出境安全管理制度和本地化存儲制度是兩個完全不同的制度，“我看到很多人對此提出異議，認為本地化存儲制度給企業(yè)帶來了很高的成本，尤其是對于那些出海企業(yè)，如果每個國家都要求本地化存儲，那么企業(yè)的運營成本將會非常高昂?？墒聦嵣?，在我國網(wǎng)絡(luò)安全法第37條提出本地化存儲的制度要求之后，在建立我國數(shù)據(jù)出境安全管理制度時，并沒有再強調(diào)數(shù)據(jù)本地化存儲，關(guān)于這一點，我認為要有一個正確的認知?！?/p>

　　除此之外，未來對于數(shù)據(jù)本地化存儲的要求，左曉棟認為一定是特定的數(shù)據(jù)，而不會是所有的數(shù)據(jù)都要求本地存儲，因為這同數(shù)字經(jīng)濟發(fā)展的方向是不一致的，但他同時也認為，針對那些特定的數(shù)據(jù)，我國未來一定會專門對數(shù)據(jù)本地化存儲的提出要求。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<