正邦印刷厂咨询:010-123456789
印刷产品分类:
您当前所在位置: > 凯发娱乐备用网 >

跨境数据流通合规与技术应用白皮书(2022年)

  数字经济时代,数字贸易是外向型数字经济的核心内容和重要载体,正成为国际贸易增长新引擎。数字贸易的繁荣,离不开跨境数据的安全有序流通。一方面,加速数字贸易的发展,需要让跨境数据自由便利地流通;另一方面,数据的跨境流通往往涉及到数据安全、个人隐私保护等问题。

  2022 年 12 月 19 日国务院《关于构建数据基础制度更好发挥数据要素作用的意见》指出“深化开放合作,实现互利共赢。积极参与数据跨境流动国际规则制定,探索加入区域性国际数据跨境流动制度安排。推动数据跨境流动双边多边协商,推进建立互利互惠的规则等制度安排。鼓励探索数据跨境流动与合作的新途径新模式”。加强数据跨境流动的探索,成为我国在全球数字经济发展格局中建立优势的关键。

  《跨境数据流通合规与技术应用白皮书》以跨境数据流通线下合规与线上技术解决方案相结合为特色,在研究分析数据出境接受国或地区的法律环境和调研行业数据跨境实践的基础上,探索用技术手段实现跨境数据的高效流转,也是跨境数据流通技术解决方案的首次集中展示。

  跨境数据流通需求与意义在信息时代的大背景下,数据作为新兴资源要素得到了各国重视,我国《数据安全法》中,将“数据”定义为任何以电子或者其他方式对信息的记录。全球数据的跨境流通也愈发频繁,国际上对数据跨境概念的界定尚未形成统一的标准。我国在《数据出境安全评估办法》中,将数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息视为数据出境活动。

  跨境数据流通是推动人才流、物流、资金流和信息流跨域自由流转的基础,在促进经济增长、加速技术创新、推动企业全球化等方面发挥了积极作用。

  当前,数据跨境流动也成为全球数字经济发展中各国数据博弈的核心。依托数字技术和信息网络推动数据跨境流动,可带动各类资源要素快捷流动、各类市场主体加速融合,帮助企业重构组织模式实现跨界发展,促进数字经济做强做优做大。

  我国跨境数据流通发展现状随着国际贸易和数字服务进出口规模的持续扩大,跨境流通的数据量持续增加,我国跨境数据流通呈现规模化、区域化的特点。

  我国积极完善数据安全保护及数据跨境流通法律法规体系,立法覆盖面逐渐扩展,初步形成较为完整的数据安全保护、个人信息保护和跨境数据依法有序流通的法律体系。《网络安全法》《数据安全法》等就数据出境作出了相关规定,构建起安全条件下促进数据自由有序高效流动的基本管理制度。2022年7月发布的《数据出境安全评估办法》,就我国个人信息和重要数据出境安全审查评估等提出全面系统的要求、提供具体的法律解决方案,是我国破题数据跨境流动管理规则的重要实践。

  目前,对于数据跨境的界定在法律层面仍不够清晰。但仍然无法明确某些具体场景下,数据处理活动是否构成数据出境活动。对于数据跨境场景界定的不清晰,将陷入数据处理者无法准确识别自身合规义务、监管部门无法明确监管事项的困境。

  当前国家核心数据、重要数据的识别标准模糊,导致部分跨境数据流通或交易对于国家核心数据、重要数据的判定存在差异而造成违规或合规压力。

  《数据出境安全评估办法》规定在申报数据出境安全评估前,应当开展数据出境风险自评估。特别是在监管趋严的情况下,为确保数据依法依规跨境流通,尽快达到前述办法明确的合规要求,数据处理者通常自我施压,主动“加码”,来应对可能出现的风险,最终致使有数据跨境传输需求的数据处理者合规义务陡增。

  根据现行有效的法律法规等规范文件,对于数据出境链路及数据接收方的数据安全保障能力均有相应的要求,但在实际业务开展中,域外法律识别、政策法规和安全环境评价、接收方数据安全保障能力、数据处理全流程等事项均涉及域外核查,开展实地调研及核查存在一定难度及较高成本,企业落实存在一定困难。

  对于拟通过数据出境安全评估路径传输数据出境的企业,需对自身及境外数据接收方的数据处理安全保障能力进行描述,但是对于应当采取何种类型的安全措施以及应当在数据跨境传输过程中部署哪些安全保障策略等问题,《数据出境安全评估办法》《数据出境安全评估申报指南(第一版)》等规范文件中均未明确。

  根据国家互联网信息办公室 2022 年 6 月 30 日发布的《个人信息出境标准合同规定(征求意见稿)》,如个人信息处理者处理个人信息超过 100 万人次,将无法适用该标准合同传输数据出境,但实践中众多小微企业经营跨境电商等业务时,都会处理超过100万人次的个人信息。

  我国跨境数据流通的需求正从事件与合规驱动向业务驱动演进,跨境数据流通在技术上需要性能稳定、简单易用的全链条平台工具释放阻力。跨境数据还存在数据壁垒突出、碎片化问题严重等瓶颈。现有结构性数据为主治理方式,在数据质量、数据字段丰富度、数据分布和数据实时性等维度还难以满足跨境领域AI应用对数据的高质量要求。

  我国跨境数据流通合规与技术应用建议随着数字经济时代的到来,数据跨境已成为全球发展的必然趋势。为促进数据跨境流动、保护数据跨境安全,我国制定并颁布的数据领域的法律、法规、规章及标准中,均对数据跨境予以规定。同时,应充分发挥技术保障作用,运用技术手段构建安全风险防控体系,促进数据安全有序跨境流通。

  重要数据和符合条件的个人信息出境前需主动申报。从我国向境外提供数据,需要进行数据出境安全评估申报的数据类型有两类:一类是重要数据,另一类是满足条件的个人信息。

  需进行数据出境安全评估申报的数据类型从立法层面来看,我国已明确规定数据出境前需主动申报的数据类型及相关情形;但从实践角度来看,如何判断待出境的数据是否为重要数据仍具有不确定性。

  数据出境风险自评估与数据出境安全评估的重点评估事项大体相同,主要考核评估以下几个方面:1)客体角度:出境数据本身,包括规模、范围、种类、敏感程度、潜在风险;2)行为角度:数据出境行为,主要指数据出境的目的、范围、方式等是否合法正当必要;3)主体角度:境外接收方,包括境外接收方当地的保护政策及保护水平是否达到我国标准;4)技术保障角度:数据出境中及出境后数据安全和个人信息权益保护途径是否畅通有效;5)法律文件角度:与境外接收方拟订立的数据出境相关合 同或其他法律文件。

  《数据出境安全评估办法》明确指出,企业在数据出境过程中,需要评估出境数据的规模、范围、种类、敏感程度。随着企业的数据资产规模越来越大,基于人工梳理方式的分类分级工作投入巨大,已经无法满足企业安全合规的要求。

  数据脱敏或去标识化是指对敏感信息通过脱敏规则进行数据的变形,实现敏感隐私数据的可靠保护。个人信息去标识化过程一般涉及个人数据预处理,数据去标识化,去标识化结果评级这几个阶段。数据预处理阶段可以采用数据抽样,减小数据集的规模,减少结果集中的个人信息。数据去标识化阶段可以采用统计技术、密码技术、抑制技术、假名化技术、泛化技术、随机化技术、数据合成技术等。

  境外系统可能通过 API 接口的方式访问境内数据中心,在此过程中为了合法合规,一般需要引入数据安全网关对接口进行纳管。数据安全网关能够对涉及 60 敏感数据流量接口进行识别,并对敏感数据接口的动态防护,通过对相关调用进行脱敏、拦截、限流、限频等事中控制措施,确保个人隐私数据、行业重要数据得到安全保障。

  针对出境业务数据,数据处理者应当在与境外接收方订立的法律文件中明确约定数据安全保护责任义务,包括数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施。为确保数据在存储侧的安全,需要数据存储加密技术,一方面对数据库存储层透明加密,另一方面对应用层的数据进行加密。

  隐私计算是指在保证数据提供方不泄露原始数据的前提下,对数据进行分析处理与计算的一系列信息技术,保障数据在流通与应用过程中“可用不可见”。隐私计算由于其技术特性,可在数据跨境场景中提供原始数据不出域的解决方案。

  区块链存证在数据要素流通场景上,可将数据在采集、存储、流通、分析、应用等各个环节的行为进行存证上链,达到防篡改、可追溯、可信任的目的。

公司简介

…… 更多>>

欢迎来电来厂咨询

  • 地址:深圳市福田区燕南路桑达工业区30栋东3楼
  • 联系人:郭先生
  • 手机:13856274230
  • 总机:0755-83344438
  • 传真:0755-83267528
  • 邮箱:print55@print86.com
    • QQ咨询

    • 在线咨询
    • 点击这里给我发消息
    • 点击这里给我发消息
    • 点击这里给我发消息
    • 电话咨询

    • 010-123456789