左晓栋:对数据出境安全管理制度的几点思考

VSole2022-08-06 14:23:01

左晓栋,中国科学技术大学公共事务学院、网络空间安全学院教授

7月24日,中国电动汽车百人会、中国信息化百人会在北京联合召开2022年度第19期高端研讨会,主题为“智能网联汽车数据管理如何平衡安全与创新”。中国科学技术大学公共事务学院、网络空间安全学院教授左晓栋受邀出席,并发表演讲。以下为左晓栋发言整理。

【核心观点】:

当前,我国政策并未明确强调要实施数据本地化存储。对数据出境施加一些条件要求甚至是条件限制,并不等于不让数据出境,也不等于数据必须存在境内。在数据管理方面,我国正在建立重要数据出境安全监管制度,相关政策仍处于动态调整阶段。特别是,对重要数据的定义存在不一致是该阶段的特定现象,未来将逐步达成共识。

PART.01 如何理解我国当前的数据出境安全管理制度

理解我国当前的数据出境安全管理制度,主要有以下几个要点:

一是当前我国政策并未明确强调要实施数据本地化存储。

数据本地化存储的概念最早来自于2017年6月1日起正式实施的《网络安全法》第37条:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”。

即,《网络安全法》第37条同时提及两个制度:一个是本地化存储制度;另一个是数据的出境评估制度。很多人认为,既然要对数据出境设定规矩,那就是最好不要出去,也就是本地化存储。但其实这是两个概念。

对数据出境施加一些条件要求,甚至有时候是条件限制,并不等于不让数据出境,也不等于数据必须存在境内。必须看到,除了《网络安全法》外,后续出台的法律法规的确没有再强调数据本地化存储的概念。在个别场合下,可能数据还是要坚持本地化存储,但这一定是某种特定的数据,而不是针对所有的数据。

二是对数据出境安全管理政策的认定,不是所有的数据出境都按现在的数据出境条件来实施。

《网络安全法》和《数据安全法》明确了重要数据的出境条件,即必须经过网信部门组织的安全评估,《个人信息保护法》与《网络安全法》也明确了个人信息出境的条件。

个人信息出境有四条不同的途径:第一,经过网信部门组织的安全评估,主要是关键信息基础设施运营者和处理100万人以上个人信息的数据处理者,或者自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者。第二,如果不属于以上情况的个人信息出境,可以通过安全认证,就是由国家网信部门牵头组织的个人信息保护认证,进行数据出境。第三,通过标准合同,这个标准合同由国家网信部门确定,数据发送方和数据接收方签订。第四,法律法规或者网信部门规定的其他条件。

那么,不属于上面的情况,按照目前法律法规规定,这是可以自由出的(涉密信息或行业有特殊要求的除外)。大家的注意力都被前一阶段国家政策的数据出境安全要求吸引过去了,误以为数据必须这么出境。实际上还有相当多的数据是不必通过以上路径就可以出境,即,既非重要数据也非个人信息。目前的法律没有规定所有的数据出境都必须经过评估、标准合同或者认证。当企业进行数据出境时,可以对数据进行梳理,将重要数据、个人信息与其他出境数据分类处理。

PART.02 重要数据定义存在冲突是政策调整的结果

重要数据是出境管理的一个重要管理对象,我国正在建立重要数据的安全监管制度,重要数据识别国家标准已经进入送审稿阶段,后续标准制定的进程也会加快。

除了国家标准外,2021年,我国出台了首部针对汽车数据安全制定的法规——《汽车数据安全若干管理规定》,其中也对汽车重要数据进行了定义,包括“涉及个人信息主体超过10万人的个人信息”。这与其他法规中对于重要数据的定义不完全一致。从事物发展的客观规律来看,《汽车数据安全若干管理规定》是在智能汽车发展迅速、数据安全风险隐患急剧增加的背景下出台的试行规定,当时对重要数据的认识并没有现在这样深刻。随着时间的发展、政策的不断调整,未来将逐步达成共识。

PART.03 我国加强数据安全工作可借鉴美国对TIKTOK的管理方式

近期美国对TikTok的管理方式,对我国加强数据安全工作具有借鉴意义。经常有人提出,我国的数据管理对象范围太大、太细,例如一些人认为有些数据不应该作为重要数据和敏感信息。还有人提出,对一些数据的本地存储要求也没有必要,且不应该对达到一定量的数据进行严格监管。比如,在国外收集100万人的数据并不容易,但在我国一个车企掌握的数据量就能轻松达到100万人。所以有人提出,这个100万是不是应该提高一下门槛呢?100万人的数据有那么敏感吗?

要回答上述问题,可以看看美国是如何做的。特别是近期美国对TIKTOK的管理。TIKTOK作为短视频类娱乐企业,按理说没那么多敏感数据,但美国认定其有可能会使中国政府、情报机关获取美国的“受保护数据”。而且这个“受保护数据”的范围是由CFIUS(美国外国投资审查安全委员会)认定,认定重点是哪些数据会影响美国国家安全。美国有人提出,前段时间CFIUS给的范围太窄,大量应该受保护的数据都没有被纳入其中。反观我们国内,我国曾要求特斯拉数据在国内存储,这相比以前是个巨大进步,但跟美国一比还弱的多。美国提出,TIKTOK的数据只是存在美国境内也不行,其还提出了一些限制条件,包括不能由中国背景员工访问、运营由美国人来负责、数据必须存在甲骨文的德克萨斯州计算中心,这是要构建一种数据的管、用分离制度。目前,我国尚未建立该类制度,世界其他国家也少有涉及。

美国在数据安全管理上的举措值得高度关注,也警示我们对数据安全的认识要有更多的国家安全考量。特别是在数据安全博弈日趋激烈的情况下,其背后的意图以及将对全球数据安全管理制度有何影响,需要持续跟踪观察。这对我国的数据安全管理政策有很大的借鉴意义。


信息存储数据安全
本作品采用《CC 协议》,转载必须注明作者和本文链接
云计算技术在计算机安全存储中应用价值较为理想,优势显著,主要是用于分析整理数据,为用户进行智能推送。基于种种计算机存储行业疑难,姚亚军运用云计算技术优化数据存储方法和存储环境,最大程度上降低计算机病毒入侵的可能性,云计算技术还有自动化备份的功能,可以减少用户人为操作失误造成数据丢失情况发生。在这一过程中,数据的存储都是可控的,姚亚军针对存储和提取两个过程进行安全保护。
存储是一个以数据存储和管理为核心的云应用系统,给企业组织提供了一种全新的数据信息存储模式。尽管目前云存储的安全性问题已经有了很大改善,但由于云计算技术自身的特点,决定了它在安全性方面仍然有很大的挑战,一旦云存储的安全防线被攻破,其中存储的数据都将会被泄露。
机器学习使企业的SIEM能够促进跨大型数据集的威胁检测,从而减轻安全团队的一些威胁搜寻责任。为企业的SIEM提供对一个或多个威胁情报源的持续访问,使机器学习技术能够使用威胁情报提供的场景。不幸的是,由简单的机器学习功能支持的SIEM无法与人类的创造力和网络攻击者的集体协作相匹敌。SIEM中的人工智能元素可以通过对所有警报自动应用情境化来识别误报。
个人数据和隐私保护成为关注焦点的当下,网络平台中的生物识别信息过度采集、保存不当、权限滥用和非法交易的问题不断引发热议,生物识别信息保护刻不容缓。需厘清生物识别信息的内涵与特殊性和平台视角下生物识别信息风险的类型,继而通过分析网络平台在基础设施、产业生态和企业三种属性下形成的结构性障碍,倡导树立以平台为中心的治理理念和思想,并提出规范政府授权让渡边界、实现平台权责统一、完善技术和主体的准入...
数据安全是数据的生命线。为应对日益严峻的工业互联网数据安全形势,监管部门需加强对数据安全的监管,推动建设更加有效的数据安全防护体系,保障数据安全。基于区块链的数据安全监管思路,研究了可信数据基础设施、数据安全评估、数据安全监管和数据安全防护 4 个模型,以及对应的数据资产备案登记、数据安全活动评估、数据安全监测预警和区块链数据确权溯源 4 个主要应用流程,对支撑工业互联网数据安全监管工作具有较好的
现代SaaS应用程序提供商每天都在处理敏感的用户信息,从客户姓名和电子邮件地址到应用程序代码和第三方API机密。因此,对于Web应用程序而言,遵守最高安全标准比以往任何时候都更加重要,这不仅是为了维护企业声誉和避免经济损失,而且也是为了保护用户的利益。
当前,区块链技术已成为与人工智能、量子信息、物联网同等重要, 并可能产生颠覆性影响的新一代信息技术,是一座未探明储量的金矿。同其他新兴技术产生后必然应用于军事领域一样,近年来世界发达国家军队纷纷探索区块链的军事应用,以期在新一轮军事革命大潮中占据先机。
公众号后台回复:“220323”,即可下载PDF全文。
2015—2021年两会有关网络安全的提议提案整理,内容涵盖“物联网安全”、“工业互联网安全”、“数据安全”、“网络安全治理”等方面
VSole
网络安全专家