三、 国外跨境数据流动管理最新趋势
一在管理范围上突出关注政府和公共部门数据的跨境流动管理。一些国家已经开始针对政府和公共部门的数据跨境流动制定专门的管理制度。例如,澳大利亚制定了《政府信息外包、离岸存储和处理ICT安排政策与风险管理指南》,对政府数据进行分级管理,并对政府数据的离岸存储及其风险管理作出了明确规定。加拿大负责管理联邦政府部门个人信息保护工作的财政委员会颁布了《关于解决美国爱国者法案和跨境数据流动问题的联邦战略》,针对由美国爱国者法案引起的数据保护安全问题以及跨境数据流动安全的管理问题,向加拿大160个联邦政府提出了相关数据安全管理建议。
二在管理对象上重点加强对跨境服务提供的监管。数据的跨境流动主要依托于服务在网络上的跨境提供。作为服务贸易的四种模式之一,各WTO成员国最初对电信业务的跨境提供并没有做特别限制。这主要是因为WTO制度构建于上个世纪,而互联网到上世纪90年代才刚刚步入商业化阶段,跨境服务的安全风险尚不足为虑。但近年来,随着云计算等新业务的发展给跨境贸易带来前所未有的机遇,以及其在经济社会各领域的广泛应用,各国逐步意识到云计算发展所伴随的安全风险。为此,主要国家在新签署的自由贸易协定或双边投资协定中,对电信新业务、甚至所有新业务的跨境服务承诺都变得极为谨慎,美国、加拿大、日本、瑞士等国家在负面清单中均保留了对跨境服务采取管理措施的权力。
三在管理机制上着力推进跨境执法合作,增进各国用户对跨境数据流动的信任。由于各国对跨境数据流动的管理制度各不相同,这在一定程度上限制了跨境贸易的发展,因此一些国际组织试图在国际层面建立协调机制。目前,在亚太地区的APEC机制下建立了跨境隐私执法协作机制(Cross-border Privacy Enforcement Arrangement (CPEA)),旨在促进APEC经济体的数据保护管理机构之间的信息共享和跨境隐私执法协作。CPEA的成员包括来自美国、加拿大、日本、韩国、新西兰、澳大利亚等国家的数据保护机构。OECD成员国也建立了一个全球隐私执法网络(Global Privacy Enforcement Network (GPEN)),旨在解决跨境隐私执法的挑战,加强跨境隐私联合执法合作,参与的国家包括加拿大、美国、法国、新西兰、意大利、以色列、澳大利亚、爱尔兰、西班牙、英国、荷兰和德国等。
四、 对我国的启示
随着美国亚马逊、微软等公司通过跨境提供服务、境内提供技术支持等方式陆续进入我国云服务市场,跨境数据流动管理已成为一个现实议题,潜在的国家信息安全和用户信息安全风险值得关注。从国外经验来看,我国可以从以下几个方面来构建跨境数据流动管理制度体系。
一是在法律中明确跨境数据流动的概念和管理模式。
目前,我国的网络安全和保密相关的法律禁止涉及国家秘密和国家安全的数据跨境,对于一般的个人数据和企业数据,除了在《征信管理条例》中第24条规定“征信机构在中国境内采集的信息的整理、保存和加工,应当在中国境内进行”以外,其他行业的法律规定基本没有对数据限制跨境的要求。因此,有必要在网络安全法中对跨境数据流动的概念进行规定,对跨境数据流动实行分类管理,明确政府可以采取的管理手段以及相关各方主体的安全保护责任。
二是建立跨境数据流动多元化的管理手段。
从国外来看,在立法的授权下,跨境数据流动的管理是依靠多重管理手段。那么在我国,可以建立的管理手段包括:
对跨境数据流动进行分级分类管理。对政府和公共部门、企业及个人数据进行分级分类:涉及国家秘密、国家安全以及经济安全的数据严格禁止跨境,必须在境内的数据中心存储和处理;对政府和公共部门掌握的其他数据实施跨境数据流动的条件限制。对普通的个人数据通过落实数据控制主体的安全责任及合同监管实施保护。
跨境数据流动格式合同管理。由政府相关部门制定跨境数据流动的标准格式合同,明确数据转移各方的安全保护责任,建立对跨境数据流动合同的监督机制。
跨境数据流动安全风险评估。对涉及政府、重要行业的数据跨境转移,要建立事前和事中的安全风险评估机制。建立政府和公共部门数据处理服务商的安全认证制度,安全风险较高的数据只能由符合资质的服务商处理。
跨境数据流动安全协议控制。外资企业提供服务更有可能带来数据的跨境流动。在立法尚不完善的情况下,借鉴国外安全审查机制及签订安全协议的方式,通过协议对外资的数据安全管理人员、数据存储地址、数据处理方式、服务的范围等内容提出特殊要求,实现对外资企业的跨境数据流动管理。同时,加紧研究跨境提供服务模式的监管制度,通过对服务资质进行限制,对数据跨境流动提出要求,建立对跨境提供服务的事前、事中、事后的全生命周期管理,保护数据安全。(石月 中国信息通信研究院)