9月16日,由北京市人民政府、工业和信息化部、公安部、交通运输部、中国科学技术协会联合主办的2022世界智能网联汽车大会,在北京中国国际展览中心(顺义馆)开幕。
(资料图片)
本届大会以“智能加速度 网联新生态”为主题,包含1场开幕式暨主论坛、7场主题峰会、6个特色专场、2场闭门会及1场实地调研活动。
在9月18日主题峰会五——网络安全与数据安全中,中国科学技术大学公共数据学院网络空间安全学院教授左晓栋发表了题为“中国数据安全政策观察”的主题演讲。
(图源:2022世界智能网联汽车大会)
以下内容为现场演讲实录:
各位嘉宾、各位领导、各位专家大家上午好!首先感谢主办方的邀请,我向大家汇报当前数据出境政策进展的有关情况,主要是我个人的一些认识。
数据出境政策主要来自于三部法律的要求,第一部是2017年6月1日起施行的网络安全法第37条,确立了数据本地化存储和数据出境安全管理的政策。此后数据安全法和个人信息保护法都设置了相关条款,怎么理解这三部法律的关系?主要看具体条文。在网络安全法中,当时只是设计到关键信息基础设施在境内运营收集和产生的个人信息和重要数据在境内存储,要出境的应当经过安全评估。
但事实上,大量的数据出境不仅仅发生在关键信息基础设施领域,因此实践来看,网络安全法的规定是不全面的。为此,后来在数据安全法和个人信息保护法中,实际上是辅助完善网络安全法的规定。那怎么补充完善?数据安全法提出了,如果你是重要数据,那对于关键重要数据就按照法律来就行,因为已经明确了。如果不要关键重要数据那就按照有关办法实行,但这个办法实际上也不是特殊的办法,和关键重要数据是一模一样的,目的就是为了补充当时法律不全的问题,没有特殊考虑,这需要声明一下,重要数据的出境这就明确了。
我们看到了文件,汽车数据安全管理办法中谈到了汽车数据重要数据出境的问题,实际上和这些法律规定是相关的。个人信息保护也是在网络安全法的基础上进行扩展。网络安全法明确了关键掌握的个人信息出境应当经过安全评估,这个问题已经解决了,那非关键的怎么办?所以个人信息保护法设置了几种不同条件,这是和欧盟制定的是GDPR衔接的,参照了GDPR的规定,明确了要不你走安全评估,要不可以走安全认证的途径,或者走标准合作的途径。个人信息出境不仅仅是走安全评估,还可以走其他途径,这和重要途径是不一样的。
什么情况下走评估,什么情况下走认证和标准合同?法律进一步作出了规定。现在看来经过评估的是三种条件,第一种是重要数据必须经过评估。第二是关键运营者掌握的个人信息必须经过评估。如果是非关键运营者,那你个人信息达到一定量,如果运营者掌握100万人的个人信息,或者从去年1月1日以来,已经出境10万人的个人信息或者1万人的敏感信息,那就走安全评估。如果不是这个情况,那就做选择题,或者通过认证途径,或者通过标准合同的途径。此外,法律还开了一个“口子”,如果我们国家和其他国家签订的国际协议中涉及到个人信息出境地按国际协议优先,相当于开了绿色通道。
为了落实法律规定,当前政策制定和实施进展是怎样的?对评估来讲,国家网信部门已经出台了办法,在今年9月1日起已经正式实行,所以汽车数据中的重要数据出境和达到一定量的个人信息出境要经过安全评估。如果不属于出境评估的条件,那就可以走认证,这是评估办法之前的几个征求意见稿,正式稿在今年发布以后会实施。
如果走认证,前不久,全国标委网站上发布了个人信息跨境处理活动安全认证规范,这表明我们国家正在考虑建立个人信息保护的认证制度,该认证制度有一部分要服务于个人信息的出境,技术规范已经初步明确了。我了解了这个规范还要进一步修改,而且最近官方可能会发布个人信息保护认证的文件。
第三个是标准合同,目前网信部门也已经发布了标准合同的征求意见稿,现在正在根据社会反馈意见进行修改。从上可以看出来,法律规定已经明确,制度框架也正在逐步建全。
最后需要澄清的是,有人说中国政策过于严格会影响到经济发展等,甚至和国外的经济政策进行对比,我个人认为要全面看待数据评估和出境安全管理政策,不是所有数据都必须经过以上途径,而且数据出境安全管理政策不是限制数据出境,而是规范数据出境。
具体而言,如果不是重要数据又不是重要信息,那自然不在以上的法律规定和政策框架范围之内,就可以自由出。数据出境之前有没有经过梳理、处理,在出境数据中个人信息能不能做到匿名化,或者事先剥离开,这都是值得考虑的,因为如果不是重要数据和个人信息,确实是可以自由出境的,以上的政策法律不涉及到这个问题。
第二个是如果是个人事务出境,比如说去买国际机票,到国际旅行报账号,这实际上不在规范范围之内。第三个就是国际协议,如果有了,那它一定是绿色通道,一定比法律规定要便利,这方面工作也是当务之急。不排除将来和某些国家地区,在某些业务上是不是可以签订国际协议,我认为都可以研究。
针对于智能网联汽车这种特殊场景和特定国家地区来建立数据中国的通道是不是可以,我认为都可以值得探讨,因为法律并没有把这条路封死,是开口了的。
最后是给大家报道一下,我个人认为重要数据的概念在不断变化中,因为我本人也是国家标准重要数据识别规则的第一起草人,汽车数据安全管理办法已经给出了汽车数据重要数据的范围和定义。现在我们依然在研究起草重要数据识别规范的国家标准,所以我认为这是与时俱进的过程。包括原来文件规定的汽车数据中德重要数据定义是不是可以有新的变化,我认为这也是可以研究的。
以上是我对数据出境有关政策的个人认识,请大家批评指正,谢谢大家!
(注:本文根据现场速记整理,未经演讲嘉宾审阅)