数安条例百问71、72、73:关于数据出境安全技术监管措施
小贝案语
11月14日,国家互联网信息办公布了《网络数据安全管理条例(征求意见稿)》。为此,小贝说安全设立《网络数据安全管理条例(征求意见稿)》(后文简称《条例》)解读专栏,以百问百答的形式对《条例》进行系列解读。
需要指出,这些解读只是专家个人观点,不代表官方意见;且这些解读针对的是征求意见稿,未来条文本身可能会发生变化,不排除会有新增和删除
对应条款
第四十一条 国家建立数据跨境安全网关,对来源于中华人民共和国境外、法律和行政法规禁止发布或者传输的信息予以阻断传播。
任何个人和组织不得提供用于穿透、绕过数据跨境安全网关的程序、工具、线路等,不得为穿透、绕过数据跨境安全网关提供互联网接入、服务器托管、技术支持、传播推广、支付结算、应用下载等服务。
境内用户访问境内网络的,其流量不得被路由至境外。
解读
网络是跨越国境的,从抵御外部风险而言,网络边境自然应当担负重要职能。传统上,对外部威胁的防范主要体现在两个方面:一是防止违法有害信息入境,二是抵御来自于境外的网络攻击。这都要“御敌于国门之外”。
为此,《网络安全法》第五十条规定,国家网信部门和有关部门依法履行网络信息安全监督管理职责,发现法律、行政法规禁止发布或者传输的信息的,应当要求网络运营者停止传输,采取消除等处置措施,保存有关记录;对来源于中华人民共和国境外的上述信息,应当通知有关机构采取技术措施和其他必要措施阻断传播。这意味着,国家在法律层面明确,建立阻断违法有害信息传播的技术设施。
此外,《网络安全法》第七十五条规定,境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,依法追究法律责任;国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。该条虽然没有指明要建立抵御外部攻击的安全网关,但作为维护网络安全的常规手段,网络安全监测、预警、反应、恢复等功能都是普遍存在的,在网络边境处更不例外。
于是就引出了一个新的问题:为了抵御外部风险,以上手段是不是足够了?
现在看来,数据的非法出境也是一种新的与外部有关的国家安全风险。但其与传统风险不同的是,这时候要监测“内到外”的情况,而且也要建立在边境处。就如同在网络安全体系中最初要部署防火墙,后来人们逐渐增加部署“防水墙”一样。前者防范外部攻击,后者防范内部数据外泄和非法外联。
为此,《条例》提出了“国家建立数据跨境安全网关”的要求。但从内容上看,第四十一条第一款仍指向的是对外部违法有害信息的防范,还是“外到内”,与“内到外”的考量不一样。因此,如何定位“国家建立数据跨境安全网关”,这可能需要继续研究讨论。
一些人认为,第四十一条第二款的要求过于严格,且担心在执法时会出现因服务器上有违法程序而导致整个服务器被关停的情况。
抛开“内到外”和“外到内”的问题不谈。无论对于哪一种目的,第四十一条第二款的要求都是合适的。帮助实施违法犯罪的行为也要受到打击,这早已是共识,且《刑法》中早就增加了“帮助信息网络犯罪活动罪”。《网络安全法》第二十七条规定,任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。故《条例》的规定绝非首创。
至于一些人担心执法扩大化的问题,这已超出《条例》的范畴,属于执行层面,有关刑事、行政执法的程序性规定中会有相应的原则和具体要求。
对应条款
第四十一条 国家建立数据跨境安全网关,对来源于中华人民共和国境外、法律和行政法规禁止发布或者传输的信息予以阻断传播。
任何个人和组织不得提供用于穿透、绕过数据跨境安全网关的程序、工具、线路等,不得为穿透、绕过数据跨境安全网关提供互联网接入、服务器托管、技术支持、传播推广、支付结算、应用下载等服务。
境内用户访问境内网络的,其流量不得被路由至境外。
解读
一些人提出疑问,《条例》第四十一条第三款的立法目的是什么?境内用户访问境内网络,流量怎么会路由至境外呢?这是一种什么场景?要防范什么风险?
在以往的互联网技术架构中,境内用户访问境内网络,流量的确不太会路由至境外。当然,之所以说“不太会”,是因为使用互联网服务时,受一些基础功能运行、协议的原理所决定,有时仍不免有些信息出境。例如,即使访问国内的某个“.com”网站,也有可能到境外的根域名服务器上去寻求解析(后来国内的根域名服务器备份系统解决了这一问题,但本质上我们不能摆脱对境外的依赖)。但总体而言,这些情况下风险都是可控的,至少我们没有主动把流量发送到境外。
但卫星互联网的出现,改变了这一局面,甚至改变了传统的观念,包括连什么叫“境外”都不得不重新审视。
卫星互联网是基于卫星通信的互联网,通过发射一定数量的卫星形成规模组网,从而辐射全球,构建具备实时信息处理的大卫星系统,是一种能够完成向地面和空中终端提供宽带互联网接入等通信服务的新型网络,具有广覆盖、低延时、宽带化、低成本等特点。目前,全球卫星互联网规模稳定增长,有报告显示,至2030年全球卫星互联网市场规模将达到约454亿美元,届时中国卫星互联网总体市场规模可达到千亿规模。目前,SpaceX、OneWeb、Telesat等多家国外企业已提出卫星互联网计划。其中,SpaceX已于2020年6月成功发射第九批58颗星链卫星,截至第九批发射已累计发射超500颗卫星。
为此,在卫星互联网等新型互联网接入模式不断出现的背景下,就必须考虑到下一步的网络安全管理需求,这是《条例》第四十一条第三款的立法目的。那么,目前该款的规定能不能达到预期目的?这则可以进一步讨论。但无论如何,作为一部层级较高的数据安全法律文件,应该对这类问题予以关注。
对应条款
第四十二条 数据处理者从事跨境数据活动应当按照国家数据跨境安全监管要求,建立健全相关技术和管理措施。
解读
人们对《条例》第四十二条的关切主要包括两方面:一是,“国家数据跨境安全监管要求”是什么?二是,“相关技术和管理措施”指什么?
上述规定与《条例》第四十一条相对应,延伸自第四十一条的“数据跨境安全网关”。即,按照防范“内到外”的数据外泄风险的设计,需要在边境处建立技术设施,监测数据违法出境情况。必要时,这些技术设施要与数据出境企业相连通。或者至少,企业自己也要具备监测自身数据违法违规外泄的技术手段。实际工作中,一些企业声称,其并未在境外开展业务,无数据出境场景。但是,如果是员工利用工作便利,私自下载业务数据并传输到境外呢?这时企业依然有数据跨境传输安全保护义务。
当然,如何更好理解《条例》第四十二条的要求,最终还要看第四十一条“数据跨境安全网关”的进展情况。
相关文章:
数安条例百问15、16、17、18、19:关于数据处理者安全保护义务
数安条例百问27、28、29、30:关于“一般要求”中的几个特定考虑
数安条例百问46、47、48:关于生物特征应用和一百万人以上个人信息处理者的适用
数安条例百问55、56、57、58、59:关于年度评估与对外提供数据的风险评估
数安条例百问60、61:关于征得主管部门同意要求及云安全评估要求
数安条例百问66、67、68:关于数据出境的单独同意、评估条件与国际协议
数安条例百问74、75、76、77、78:关于平台规则、隐私政策和算法策略
