尊敬的京涛副主任,各位领导,各位来宾,女士们、先生们、朋友们:大家下午好!
我是国家互联网信息办公室网络数据管理局胡啸,很高兴与各位来宾相聚在美丽的乌镇,共同参加“数据治理推动全球数字经济发展论坛”。在此,我谨代表国家互联网信息办公室网络数据管理局,向参与此次论坛的各位领导、嘉宾及朋友们,表示诚挚欢迎和衷心感谢。对各位嘉宾、各位朋友长期以来对数据安全、个人信息保护、数据跨境流动工作给予的支持表示衷心的感谢。习近平主席在本次互联网大会开幕致辞中强调,深化数字领域国际交流合作,习近平主席的重要指示为我们数据治理工作指明了方向,提供了根本遵循,令我们备受鼓舞、倍感振奋。
近年来,数字经济发展速度之快、辐射范围之广、影响程度之深前所未有,正在成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量。作为数字经济的重要推动者、积极践行者,中国愿同国际社会一道,共同推进国际数据治理工作,促进数据安全有序流动,推动数字经济健康发展。
为落实《网络安全法》《数据安全法》《个人信息保护法》,国家互联网信息办公室会同相关部门,先后出台组织实施了《数据出境安全评估办法》、《个人信息出境标准合同办法》,《关于实施个人信息保护认证的公告》,近期还对研究起草的《规范和促进数据跨境流动规定》公开征求意见,在实践中不断完善数据出境安全管理制度。
本次论坛由国家互联网信息办公室主办,由中国网络空间安全协会、国家互联网信息办公室数据与技术保障中心协办,以“深化数据跨境流动合作,赋能全球数字经济发展”为主题,邀请国内外数据领域的精英,围绕数据跨境流动合作的方法途径、实践经验开展交流研讨,以共襄智慧,促进数据跨境安全、自由流动,在互动交流中增进智慧、凝聚共识。
今天,莅临论坛现场的领导有:
国家互联网信息办公室副主任 王京涛先生;
香港特区政府咨讯科技总监 黄志光先生;
全球移动通信系统协会(GSMA)大中华区总裁 斯寒女士;
出席本次分论坛的嘉宾还有:
国际数据空间协会、国家互联网信息办公室安全中心、新加坡资讯通信媒体发展局、香港个人资料隐私办公室、澳门特区政府个人资料保护办公室、澳门科技大学、大湾区国际信息科技协会、工业和信息化部、金融监管总局、外交部、国家工业信息安全发展研究中心、国家信息技术安全研究中心、电子科技大学、中电科网络安全科技股份有限公司、诺华诚信集团、杭州安恒信息技术股份有限公司公司、蚂蚁集团股份有限公司、北京现代汽车股份有限公司、汇丰银行等国内外政府、知名企业、科研院所的近百位高管、专家、学者代表。在此不再一一介绍。
让我们以热烈掌声欢迎各位领导和嘉宾的到来!
首先,进行第一项议程,国家互联网信息办公室副主任王京涛先生致辞!
直播员:
国家互联网信息办公室副主任王京涛致辞。
主持人(胡啸):
感谢王京涛先生的的致辞!
下面,让我们以热烈的掌声有请香港特区政府资讯科技总监黄志光先生致辞。
黄志光:
尊敬的王京涛先生、各位嘉宾、各位领导、各位朋友:大家好!感谢国家网信办的邀请,让我来到乌镇,可以跟大家分享一下香港特区政府在强化数据要素,以驱动经济和社会发展的策略。
国务院今年初发表了《数字中国建设整体布局规划》,强调建设数字中国是数据时代推进中国式现代化的重要引擎,也是构建国家竞争新优势的有力支撑。国家“十四五”规划纲要提出要发展数字经济,明确的支持香港建设国际创新科技中心,为配合国家发展大局,香港特区政府去年公布了香港创新科技发展蓝图,提出了时代发展方向,其中一个就是要推动数字经济发展,建设智慧香港,以数据驱动创客和智慧城市的发展。
2018年,政府开放数据政策,大力鼓励数据的开放、流通,目前各政府部门和私营机构在政府的开放数据网站已经开放了5200多个数据集,让公众免费的使用,不但是在香港,全世界都可以。单单是去年有关数据下载量已经高达500亿次,广受欢迎,也可见社会各界对数据驱动应用需求殷切。
此外,空间数据的应用也可以进一步提升政府的运作效率,改善城市的管理成效,香港特区政府去年底推出空间数据共享平台,推动空间数据的创新应用,网站整合了不同的政府以及全港的空间数据,至今已经提供了超过700种空间数据集,涵盖规划、地震、污雨、工程、人口、运输等不同的范畴,以支持各界开放更多创新的应用方案,达到利民便商的目的。我们为技术开放政府的数据,共同鼓励公私营机构广泛的参与,让业界有更多的数据可以创新应用。
为进一步促进政府部门的数据共享,我们也积极地构建“授权数据交换闸”,在取得市民的授权以后,各政府部门可以互通数据,分享市民已经储存在其他部门系统内的个人资料,让市民无需重复递交相同的资料,也可以确保民众的隐私保护。
“授权数据交换闸”将会连接香港金融管理局的商业数据通,也促进了政府和金融机构的数据共享,从而为客户提供更多更方便的服务。我们也全力推进政府服务到2025年全面的采用之方便个人数码身份认证平台,实现政府服务一网通办,便于市民可以使用一站的数据服务。
我们正在积极地更新流动应用平台,包括已在上个月全新的方便流动应用城市的界面,让市民可以通过这个城市获得一系列与生活息息相关的资讯,连接超过300项公私营机构的网上服务。
我们完成了既方便与广东省统一身份认证平台的对接,可以让香港的民众更方便快捷的享受多项广东省提供的政务服务,促进两地政务服务跨境通办。
大数据、人工智能的迅速发展掀起了全球第四次的科技革命,这股势不可的浪潮,重塑国家及香港技术的领域、产业的结构、经济的主轴,为此我们正积极开展香港人工智能超算中心的筹备工作,目标是在明年起分阶段投入运作,以支持本地科研和相关企业强大算力需求,推动产业的发展。
为推动数据跨境流动,感谢国家网信办的支持,在今年6月份与香港特区政府签订了合作备忘录,促进数据在大湾区内安全流动,我们与广东网信办落实了在大湾区以先行先试的方式准备便利措施,简化内地个人数据流动到香港的合规安排,大大便利大湾区内包括银行业、金融业、医疗业等民众有殷切需求的跨境服务的提供。
上个月公布的报告里面也提出了成立数据政策办公室,由数据监测专员领导,制定数据政府、数据治理的政策,提出以数据推进数据政府的建设。数据政策办公室从上而下的推动使用数据,引领部门与业界开放共享,数据推动数据科技的运用,从而推出更多数据服务,提升公共服务的水平,以助力香港数据经济的发展。
香港是亚太区金融贸易的中心、物流的枢纽,落户在香港的跨国企业为香港带来了国际的数据流,通过促进大湾区数据跨境流动,我们也可以引领内地的数据更便利地流动到香港,在充分掌握数据资源的优势之下,香港可以为各方数据源,结合内地与香港科技研发的优势,全力发展成为国际的创客中心,同时更好的融入大湾区和国家发展的大局,为大湾区创客与数据经济的发展和国家高质量的发展做出贡献。
我在这里邀请内地的企业多关注香港特区创客与数字经济的发展,用好香港,背靠祖国,面向世界高端国际化的环境和优势,把你们优秀的产品和服务,把国家数据的事业推向世界,一同做好国家的创客故事。
最后,我祝愿今天的论坛圆满成功,祝各位身体健康,工作顺利。
主持人(胡啸):
感谢黄志光先生的致辞!
接下来,让我们以热烈的掌声有请全球移动通信系统协会(GSMA)大中华区总裁斯寒女士致辞!大家欢迎。
斯寒:
我们今天讲的话题就是数据治理推动全球数字经济发展。我来自GSMA,如果您不知道它的话,我想介绍一下它。它是全球移动通信系统协会,我们涉及全球一千多家运营商,之前来自巴塞罗那。我们在全球范围内推动我们的业务发展,包括大中华地区。我们和CAC有着非常紧密的合作,我们参与乌镇峰会十年了,今天非常荣幸能够来到这里,讲一下未来的数据,以及它怎么样推动更美好的未来。
数字经济现在是经济增长的关键推动力,为许多行业创新的蓬勃发展奠定了基础,现在的世界变的越来越数字化,手机移动技术是一个极大的赋能因素,推动数字经济的发展,并且为很多的创新奠定了基础。截止2021年底,14亿人使用了移动互联网,到了2022年,移动技术和服务占全球GDP的5%,贡献了5.2万亿美元的经济附加值,并为更广泛的移动生态系统提供了2800万个就业岗位。5G将在持续部署和采用的基础上,支撑未来的移动创新和服务,并将在2030年为全球经济增加近一万亿美元,惠及各行各业。在5G和其他数字技术的支持下,数据量呈指数级增长。数据已成为世界增长的基本要素。
一个具有数字竞争力的国家不能孤立存在,提高数字化的主要动机之一,是承诺帮助当地消费者和企业进入新市场,并建立全球联系。这提供了巨大的经济机会。实现这一目标的关键推动因素是数据跨境的自由流动,数据的自由流动使人们能够获得全球范围和高质量的服务,并允许企业降低客户的成本和价格,它还通过让数字经济蓬勃发展,更快的为个人企业和政府带来社会和经济效益。
根据国际商会的数据,数据传输预计将为全球GDP贡献2.8万亿美元,这一份额超过全球货物贸易,预计到2025年将增长到11万亿美元。值得注意的是,它不仅限于互联网和数字服务,这个价值是由传统行业共享的,如农业、物流和制造业,他们实现了数据传输价值的75%。到2022年,全球GDP的60%将实现数字化,每个行业的增长都由数字技术驱动。跨境数据流的中段,将产生广泛的影响,这可能导致潜在的GDP收益减少,并且会对国家数字生态系统产生不利影响。当前经济增长已成为各国政府的首要议程,这一巨大的经济机遇,推动了简化国际数据传输的巨大努力,同时坚持严格的标准,以增强信任。随着中国努力加入DEPA还有CPTPP等进展,这种势头不仅在区域层面上很明显,而且在全球范围内也很明显,源自亚太金合组织的跨境隐私工作的全球CBPR论坛就很好的证明了这一点。这些事态的发展都凸现了全球将推动建立畅通无阻的数据流,作为一个突出的政策目标,及全球机制之间的融合。
为了在数字时代真正实现繁荣,各国必须提高各自的治理标准,强调透明度、参与性和推动数据自由流动。这也是GSMA长期倡导的原则,我们需要让我们的社会拥抱数字化未来,实现进步和繁荣,在此我建议进一步行动的三个重点领域。
首先,合作。协议和伙伴关系可以增强跨境数据流动的潜力,并成为简化贸易的驱动力。促进跨国家系统的互操作新,并协调监管要求,可以促进跨境数据流更广泛的采用统一的数据隐私策略。
其次,加强区域框架,区域数据隐私框架在促进国家和地区之间更好的协调对其方面发挥着重要作用,这种一致性不仅能促进区域间数据流动,而且还支持采用国际公认的原则和行业最佳实践。
最后但并非最不重要的一点,提高营商便利度。我们相信只要有足够的保障措施和指导方针,政府就应该避免对跨境数据流施加限制。只有在实现合法公共政策目标绝对必要时,才应施加限制。
在此我想要赞扬中国网信办,在其最近的规则中采取积极措施,澄清并促进跨境数据流通流程。GSMA认为跨境数据流动非常重要,出于社会和经济的原因,如果没有他们,经济增长以及数字化转型给社会带来的潜在利益可能会受到阻碍,因此政府、监管机构和行业,有责任更紧密的合作,促进和增强数据的更大流动,以实现数字未来的繁荣。
预祝今天的论坛取得圆满成功,我也相信它是一个很好的合作平台,谢谢各位。
主持人(胡啸):
感谢斯寒女士的致辞!
下面进入论坛主旨发言环节,请中国网络空间安全协会秘书长郝晓伟先生继续为大家主持,大家欢迎。
主持人(郝晓伟):
大家好!深化数字领域交流合作 构建网络空间命运共同体,已经在国际社会形成广泛共识,加强数据治理推动全球数字经济发展也是未来的发展趋势。国际数据空间协会(International Data Spaces Association)是全球知名数据领域标准组织,该协会旨在将全球创新者聚集在一起,使所有成员都可以自行确定其数据的使用规则,并在安全、可信、平等的伙伴关系中实现数据的价值最大化,激发基于数据流通的创新。首先,有请国际数据空间协会总干事Thorsten Hülsmann(托森·豪斯曼)先生对欧盟跨境数据流动实践发表主题演讲,大家欢迎!
托森·豪斯曼:
大家好,非常感谢您的介绍,也感谢网信办能够举办此次论坛,非常高兴各位的邀请,女士们、先生们,数据专家还有各位其他行业的领导,非常感谢各位,也想和大家分享一下我们IDSA最近的新进展。大概17年前,之前总部是在德国的柏林,我想和大家讲讲分布式、可扩展和互联的数据空间,以及这样的数据空间可以如何更加真实。简单介绍一下国际数据空间协会,我们在全世界有150个成员,遍布28个国家,我们有12位中国的成员,在行业当中都是领先人物,也有一些学术机构。我们讨论数据共享,从商业的角度来看,我们的协会也是由行业所支持的,我们面临的困境就在于,一方面我们所有人都理解,数据是新时代的石油,是宝贵的资源,能够促进经济发展,数据共享衍生除了很多智慧的应用,也能够提供更多的服务。
但是另一方面,在商业当中很多企业对于分享数据都非常的犹豫,其实数据是有价值的,数据的安全问题也需要进行考虑。还有一些新型的商业模型其实也是完全依赖于数据的。一方面我们能够促进数据在全球范围内的流通。另一方面也希望可以保护个人信息,我们谈论的是整个信息,不仅是个人的信息。其实在企业当中,很多的数据都是一些日常数据,并不包括个人的信息,像GDPR也不在我们的探讨范围当中。在欧洲政府并不会干预数据的共享,他们鼓励企业共享数据,他们也非常希望可以让数据发挥更大的价值。当我们成立IDSA的时候,我们就希望创造一个数据的空间,能够实现点到点、人到人的数据传输,端到端的传输,能够得以建立这种连接。IDSA的成员在过去这些年里有很多的发展,他们都是希望能够作为IDSA的连接者,我们一方面是数据的提供者,一方面是数据的消费者,所以我们都有不同的角色,希望更好的去理解我们的模型是如何运作的,这是一个参考的架构。我们建立了这样的参考架构模型,现在已经是第五代版本。我们也有一个认证方案,对于这些软件或者行业文件感兴趣的都可以去申请认证,能够提供验证,得到合规性的确认。
我们也有兼容的构件块,这也是商业设置的基础,这样商业企业可以在这些模块的基础之上去建立他们的商业产品,并且我们的参考模型可以得到进一步的发展应用,它能够建立一系列的商业的软件,我们也发布了IDSA的规则手册,进一步解释了我们参考的架构,提供了建立数据空间的附加服务。我们想建立一种端到端、点对点的服务,个体或者组织是数据的提供方是数据的拥有者,但在另一方,其实是数据的消费者、使用者,他们往往也是个人或者是组织,所以他们需要承担责任,需要更好的使用和保护数据,也需要确保合规,在各自的国家和地区。这是数据空间的架构基本的理解,我们也有一个分层模型。在不同的管辖区和框架下共享这些法律约束条件下的数据,在欧洲的数据法律,在中国、日本可能有很多不同,我们需要确保法律层面是能够达成共识的,在组织层面利益相关者也需要调整,对齐我们的目标、期望、责任和业务流程,当我们谈论数据的时候,不同的数据集也需要能够互相理解,所以在语义层面也需要确保能够保留共享数据的格式和含义,并理解。
最后在技术层面,我们要为得到控制、拥有主权和安全的数据共享提供软件和硬件的组件,这是我们整体分层模型的架构。当我们谈论不同的数据情景,一方面由内部的这些数据共享,还有互通的数据共享,我们需要考虑到数据的主权问题,有很多的组织可能都在一个数据空间当中,数据的管理者可能是数据的提供方,能够去辅助数据空间的使用。并且在这其中有很多不同的参与方,利益和相关方,他们需要能够认同组织者或者说领导者的作用。比如说政府承担起了权威者、领导者的职责,能够确保数据得到安全的传输,或者是采用公私合营的方式等等,还有可扩展和互联的数据空间。刚刚我的同事也有讲到,当我们谈论精益化的数据,对于全球的供应链,往往这些数据可能并不是那么的安全,需要共享,另一方面需要确保它的安全性,我们也需要确保不同的数据空间之间能够得以共享和互联。
我认为在多年的发展中,现在可以看到数据在云中的作用。目前来说这是非常重要的,因为我们都需要实现数据的连接性以及可分享性,因此我们必须要关注我们现在所面临的这些云技术的供应商,并且让他们加入到我们的倡议当中来。
总结一下,从不同的层面来解释我所有的内容,比如它的应用、制造、全球的供应、数据的应用,还有IDSA这个虚拟层,可信的数字分析层。在最下面大家可以看到是关键的这些服务以及相应的提供商,比如来自云和IT的服务供应商,我们可以称他们为服务供应商。我之前也介绍过了我们的一些项目,是有中国的成员组成的,他们对我们的数据中心贡献也非常之大。我们有一个澳港大湾区的科研科技协同创新平台,基于IDSA的架构,可以进行数据的分享,可以在澳门和大陆之间进行数据的传输,这个项目也得到了双方的共享,得到了中国和欧洲合作伙伴的支持。
接下来讲一下数据空间的业务价值。之前谈到了,这就是由业务驱动的一些技术发展,在这边我列出了业务方面的理由,比如说通过这样一种技术我们可以实现降本,共同创新,共同发力,共享市场以及为了人类的共同福祉,这些都是我们推动行业当中和公司合作方面的一些应用案例背后的驱动因素。
我们也看到了市场的扩大,现在也有了一些来自欧洲的倡议,现在越来越需要在国际层面的项目对齐和认知的共识的打造,把中国、美国以及其他地方的意见都纳入到我们的倡议当中。我们也希望欧盟在这块继续发力,也希望在欧盟有更好的项目的执行。比如我们有平台的搭建,跟具体行业相关的这些数据空间,在私营部门,在多年的投资之下,在过去的八到十年当中,我们可以看到有很多技术公司的崛起,并且它加入到了我们的倡议当中,使得我们在行业方面的发展进步迅速。当然还需要一定的时间,让私营部门继续进行的赋能,进行继续的提升,需要继续进行投资和投入。
现状的评估,有些优势和资产,在右边列出了待改进的部分。我们通过持有这样一些重要的资产,也就是数据,相信大家可能也是这个方面的专家了。我们现在也是有风险的,可能在数据创新方面的机遇一定要捕捉住,数据的环境并不是这么一致性的,或者是均质性的,因此我们需要了解各个发展方面的缺口,作为全球社区当中的一个成员,我们要继续助力数据的分享,去搭建平台,来推动它在商业价值方面的实现。
在这边我也呼吁需要通力合作,我们在这个领域已经有了很多的进展,尤其是过去几年,我们现在也推出了新的方法论,也希望更加的开源。因为通过开源,业界发展将会更加的快速。我们也在关注相关的重点活动,这些活动也希望在全球范围内进行推广,进行数据方面的合作。比如说欧洲的总部也打造了一个开源的软件开发平台。其他的市场也在不断的加速。
最后一个部分,总结一下我们几个工作重点,是我们需要推荐给大家的。首先我们需要关注用户为中心的方法,最终还是用户来决定全球的标准是否可行可接受,因此我们的行为和倡议当中,必须以用户为中心。
第二个,我们需要去关注我们所说的关键的技术,我们必须要了解这些法律框架、监管的一些法律法规,欧洲、美国、中国、相应的这些法律法规都需要考量。因此我们需要相应的法律法规的框架,这点也是非常重要的,我们也必须使我们的所有技术发展和应用,是能够符合法律法规的。
除此之外,欧盟委员会最近也建立了一个数据中心、汇报中心,为大家提供知识的分享,数据中心也能够为很多企业赋能,他们能够使用我们的数据平台获得一些市场洞察。我们在中间列出了粉红色的一块,授信的数据分享,也就是IDSA架构。我们相信一个全球的标准,全球的互操作性,是需要我们重点关注的。这个方法论意味着我们不仅要关注国家层面的标准,其实我也不是特别推荐仅仅是做国家层面的数据分享,因为数据分享和数据流是全球性的事务,因此我们需要在全球范围内建立一个通用的标准。需要在技术层面数据的标准达成一致,在长期来说,我们也需要对数据的采用和网络安全进行进一步的投资,来实现一些标准的制订,比如使ISO在欧洲的标准委员会以及I triple E组织,都必须在全球化的标准方面做一些工作,在标准化方面其实他们也做了好多年的工作了。我们相信每个人都必须加入到这个工作的讨论当中,我们需要建立相应的工作组,建立相应的协议,当然我们也需要更加具有包容性。
第三个重点事项就是市场的渗透率,我们其实也是积极的跟云的服务供应商进行磋商和沟通,在中国和阿里巴巴、百度,我们也在跟他们讨论,华为也是IDSA的成员,我们现在也在不断的和全球的这些云供应商进行合作,他们其实最终就是这些服务的运营商,因此最终的执行还是要靠他们。我们也要高质量的执行项目。我也非常高兴看到中国有很多的数据分享和数据空间的分享正在推出。我们要对运营层面的MPO达成共识。
这些都是总结,在全球范围内我们对IDSA标准化的项目,现在正在推动它们的开展,非常热切的期待能够实现从概念到实现的转变,我们相信IDSA的基础已经很好了,来自欧洲、中国、日本、美国的同事,正在对架构达成共识,并且发挥了他们在这方面的领导作用。我相信通过这样的一个举措,我们在全球范围内应该能够实现这样一种国际化的标准,我也相信随着中国的加入,全球性的可操性和标准化将会有一个更好的基础,实现全球的成功达成。
再次感谢大家的倾听,感谢大家邀请我来到这里,非常高兴会后跟大家多做交流,谢谢。
主持人(郝晓伟):
刚才豪斯曼先生为我们做了精彩的分享,从欧盟数据空间架构模型的发展,到欧盟数据交换的国际标准等方面做了精彩分享。感谢豪斯曼先生分享!
数据跨境流动在数字经济发展中发挥着重要作用,如何加强数据跨境流动安全管理,保障数据安全有序流动,受到国际社会广泛关注和高度重视。
下面,有请国家互联网应急中心研究二室副主任卓子寒先生分享我国跨境数据流动实践,大家欢迎!
卓子寒:
尊敬的各位领导、各位嘉宾,大家下午好!很荣幸有机会跟大家分享,我发言的题目是《中国跨境数据流动实践》。
数据作为新型生产要素是数字化、网络化、智能化的基础,中国数字经济呈现持续高位增长的态势,2022年数字经济规模首次突破50万亿元,数字经济占GDP的比重达41.5%,数字经济在国民经济中的地位更加稳固,已经成为推动经济增长的主要引擎之一。
数字跨境流动在数字经济发展中发挥着重要作用,如何加强数据跨境流动安全管理,保障数据安全有序流动,成为数字经济发展面临的重要课题,受到国际社会广泛关注和各国的高度重视。
中国在积极开展数据跨境流动安全管理的探索与实践,中国的数据出境监管工作是以维护国家的数据安全、广大网民的个人信息安全为出发点,同时也把促进数据自由流动发挥数据作用作为我们重要的目标。
中国依法加强数据出境安全管理,为加强重要数据和个人信息出境安全管理,保障数据安全,维护公民的个人信息权益,《中国网络安全法》《数据安全法》和《个人信息保护法规定》,数据处理者因业务需要确需向境外提供重要数据的,应当通过国家网信部门组织的安全评估,向境外提供个人信息应当通过国家网信部门组织的安全评估或通过个人信息保护认证,或与境外接收方订立个人信息出境标准合同。
法律做出这样的规定,目的不是要阻止数据跨境流动,更不是要限制国际贸易,其目的是为了维护国家网络和数据安全,保护人民群众的利益,数据出境安全管理并不是针对所有的数据,只限于重要数据和个人信息,这里的重要数据是对国家而言,而不是针对企业和个人,对于确需出境的重要数据,法律做了制度上的安排,经过安全评估认为不会危害国家和社会公共利益的可以出境。
对于个人信息,法律规定了安全评估、个人信息保护认证,按照国家网信部门制定的标准合同,与境外接触方订立合同等多种路径。
落实法律有关数据出境的制度安排,国家网信办按照数据分类分级管理,促进数据安全有序流动的思路,加快建立健全中国数据出境安全制度体系。
一是针对重要数据和大量个人信息出境活动。
2022年7月出台《数据出境安全评估办法》,明确关键信息基础设施运营者和处理个人信息超过100万人的个人信息处理者,向境外提供重要数据和个人信息,应当通过网信部门组织的数据出境安全评估。
二是针对小规模个人信息的境活动。
2022年11月,联合市场监管总局发布《关于实施个人信息保护认证的公告》及《个人信息出境的实施规则》,2023年2月出台个人信息出境标准合同办法,发布个人信息出境标准合同范本,明确未达到评估规定的个人信息,可以通过认证和订立标准合同进行出境。
三是探索建立既便利数据流动又保障安全的机制。
2023年6月,国家网信办与香港创新科技及工业局签订了《关于促进粤港澳大湾区数据跨境流动的合作备忘录》,双方在国家数据跨境安全管理制度框架下,在以下几个方面推动粤港澳大湾区数据跨境流动工作:
1.落实国家数据境安全评估制度要求,严格按照重要数据出境安全评估要求,积极组织开展重要数据出境安全评估工作,切实保证国家重要数据安全。
2.积极推动粤港澳大湾区个人信息跨境安全认证结果和标准合同互认,在保障个人信息安全的前提下,便利粤港澳大湾区个人信息的跨境流动。
3.支持不含重要数据和个人信息的一般数据在粤港澳大湾区内自由流动,促进粤港澳大湾区高质量发展。
双方分别作为内地和香港特别行政区的数据跨境安全主管部门采取以下措施,加强粤港澳大湾区的数据跨境流动工作。
一是加强企业、机构落实国家数据出境安全评估制度的监督指导,督促相关企业、机构严格按照有关规定如实、及时申报重要数据出境安全评估。
二是共同建立粤港澳大湾区个人信息跨境流动安全规则,明确个人信息不得转移至国外和其他地区,个人信息跨境流动需经个人信息主体同意等安全要求,并督促相关企业、机构严格落实。
三是在现有个人信息保护认证的基础上,共同组织相关部门研究制定粤港澳大湾区内个人信息跨境安全认证标准和基本规范,并推动开展认证工作。
四是共同制定粤港澳大湾区个人信息跨境标准合同并组织加强个人信息跨境标准合同备案管理。
五是共同在粤港澳大湾区开展个人信息跨境流动安全管理试点,推动个人信息跨境安全认证结果互认和个人信息跨境标准合同互认。
正在按程序推动出台的网络数据安全管理条例,对网络数据跨境安全管理做了专章规定,进一步明确了数据处理者向境外提供数据应当履行的义务,以及重要数据和个人信息出境管理等要求。
上述法律法规和政策文件的出台实施,标志着中国数据出境安全管理的制度体系已基本建立,目前数据出境安全评估、个人信息出境标准合同备案、个人信息出境保护认证等制度正在有序组织实施。
《数据出境安全评估办法》自去年9月1日施行至今已满一年,一年来,国家网信办有序受理各地上报的数据安全评估项目,会同国务院有关部门,依法依规开展评估工作,这些申报项目涉及金融、航空、医疗、汽车、工业、跨境电商、零售等领域。
个人信息出境标准合同办法自今年6月1日施行至今,已经满了四个月,目前已经有多地发布通过标准合同备案的具体案例。
为进一步规范和促进数据依法有序自由动,依据有关法律,结合当前数据出境安全管理工作情况,国家网信办研究起草了《规范和促进数据跨境流动规定》,征求意见,重点解决以下问题:
1.未被告知或公开发布为重要数据的数据处理者不需要作为重要数据申报安全评估。
2.明确6种不需要申报数据安全评估的情形。
3.给自贸区更大的授权,明确自贸区可以结合自身需求制定负面清单,清单外的数据出境可以不申报数据出境安全评估,订立个人信息出境标准合同,通过个人信息保护认证。
4.明确不是在境内收集产生的个人信息,向境外提供不需要申报数据。出境安全评估订立个人信息出境标准合同。通过个人信息保护认证。
5.提出国家机关和关键信息基础设施运营者向境外提供个人信息和重要数据的,以及向境外提供涉及党政军和涉密单位敏感信息、敏感个人信息的,依照有关法律、行政法规、部门规章规定执行。
6.进一步明确数据处理者向境外提供重要数据和个人信息应当履行的数据安全保护义务以及各地方网信部门数据出境活动监督制造职责。发布规定回应社会关切,进一步完善数据跨境流动规则,促进数据依法有序流动,推动数字经济发展健康发展,具有重要意义。
数据出境安全管理是一项重要且充满挑战的工作,安全评估、保护认证、标准合同等制度施行的时间不长,还有很多难题和问题需要破解,让我们以本次论坛为契机,充分交流,凝聚共识,共同理解和把握好中国数据跨境安全管理的立法精神,共同贯彻和执行好中国数据跨境安全管理的制度要求,共同宣传和推广好数据出境安全管理实践中的好经验、好做法,促进中国数据跨境安全有序流动,助力数字经济蓬勃健康发展。
我的发言结束,谢谢大家!
主持人(郝晓伟):
我国为保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,先后出台了多部法律和部门规章,依法加强数据跨境流动安全管理,不断建立健全数据出境安全管理制度体系。让我们再次感谢感谢卓子寒先生的精彩演讲。
刚才黄志光先生致辞中提到,今年6月29日,国家互联网信息办公室与香港特区政府创新科技及工业局签署《关于促进粤港澳大湾区数据跨境流动的合作备忘录》,备忘录的目的就是在国家数据跨境安全管理制度框架下,建立粤港澳大湾区数据跨境流动安全规则,促进粤港澳大湾区数据跨境安全有序流动,推动粤港澳大湾区高质量发展。
下面,有请大湾区国际信息科技协会香港会长杨德斌先生对粤港澳大湾区数据跨境流动合作实践发表主题演讲,大家欢迎!
杨德斌:
各位嘉宾,各位朋友大家下午好。很高兴在这里跟大家分享一下跨境数据有序流动大湾区的实践经验。数据是一个非常重要的数字经济推手,也在我们国家“十四五”跟广东省“十四五”的文件里面明确其重要性。我相信今天在座的各位朋友,也对这方面都是坚定的相信者跟支持者。在粤港澳大湾区,我们有一国两制的法律和不同的制度,在不同的法律和海关制度下,我们希望建立一个非常强的大湾区的一体化经济体,我们要推动一小时生活圈,需要不同程度上的打通,人流、物流、资金流,最重要的是信息流。信息包括了生活的方方面面,包括了医疗信息、征信信息、金融信息、科研信息跟商业信息。这些跟我们在大湾区生活是非常紧密的,而且跟我们推动大湾区的建设是密不可分的。
前不久国家主席在“一带一路”峰会的时候提到“八项行动”,这里建议建立一个立体的互联互通的网络,互联互通当然不只是有桥、有路、有公路、有铁路的,还有数字化的互联互通。希望以大湾区作为一个试点,做这方面的探索,未来这方面的探索可以延伸到“一带一路”国家。
在这里李家超特首在参与“一带一路”峰会的时候,也坚定相信香港是可以助力国家在推动“一带一路”互联互通上作出一定的贡献。
大湾区跨境数据有三大意义:
1,数据已经是经济社会发展的重要战略资源,在发现新知识、创造新价值、提升新能力上面都是非常关键的。
2,大数据已经成为地区竞争优势提升的非常重要的抓手,尤其在数据的规模方面、数据质量方面,还有应用的水平方面。
3,数据互联互通是推动八项行动落地的重要驱动力,在构建立体互联互通的网络上面,支持建设开放型世界的经济上,和推动科技创新上,都是非常重要的关键。
我们也意识到,当前做跨境数据有一定的困难,这些困难是存在三大问题和四大风险。三大问题是:
1,不敢共享,不知道安全和法律责任如何分配的问题。
2,不愿共享,利益分配上面不是很清楚如何做到公平公正。
3,不会共享,主要还是因为缺乏技术标准的制订。
四大风险:
1,数据的持有方,从输出到接收有一些确权上面的分别,
2,法律法规,由输出方到了接收方,是使用不同的法律法规来归管。
3,境外主体管辖权。这个权力跟输出方很不一样。
4,维护权益渠道。在输出和接入方也是产生不平衡。
面对当前这样一些困难,我们必须进行一些探索。利用我们在过去几年粤港澳大湾区的实践经验,可以找出一些启示。
一,在过去三年,疫情大家随意往来有很多的不方便,在香港有很多的居民在广东省就生活下来,也不可以回到香港去看医生。透过港大深圳的医院做了一个托管,把香港的一些医疗健康记录,从香港方的医管局放到了深圳的港大医院。透过这个托管,把这个健康记录可以在深圳看得到,这样的话就是把一个托管方,大家觉得可信可靠,而且不会去滥用个人的医疗记录,让这个事情得以解决,也能够让这些市民到了不同的地方,把过去的健康记录可以被新的地方的医生了解他的问题,得以做到最好的医疗。
二,粤康码跟澳康码的互认。透过双方的政府做了很多的技术上,利用Blockchange做了非常保护隐私的手段,把澳门政府作出的工作传到广东省,相反也从广东省传到澳门,作为健康码的互认,把当时疫情下需要过境的这些居民得以很方便得到处理。这也是一个非常好的经验。
三,广东跟香港做过电子签名证书互认。在香港做了港方政府的备书,做了电子签名的认证之后,到了广东省通过的认证,可以把当地的签名在广东省执行。相反,广东省的电子签名也可以在香港生效,这样的话也是非常好的机制。透过前面三个例子,在跨境的经验上,最主要的还是要有一个非常可靠、可信的备书,从这方面来进行比较大量的个人信息的传输跟互认,这方面其实可以为我们未来跨境数据作为一个蓝本和参考。
我在这里跟大家分享一个想法,我们在粤港澳是可以先行制订一个个人数据保护标准的合同办法。
第二,可以制订大湾区数据跨境的安全标准。
透过这些尝试,加上充分的参考全球跨境的案例跟已经在实施的实例,我们可以为大湾区做一个更完整的机制。这个机制的设立,其实不单只是为了大湾区的流通,我们还可以用这个作为一个试点,能够把它延展到一带一路这样一个范围。这是第一步。
第二步,建立可靠、可信的互认,透过大家的互认机制,可以在不同的地方,粤港澳三地都可以有不同的认证机构,为这三个地方进行跨境数据的认证,有了这个认证的互认之后,三地就可以各自展开跨境数据安全的评估和考核。
最后,有了这样一个经验,有了实际的操作,大家就可以一步一步的往更大的范围去延展。包括国内的省市,也包括东南亚一带一路的国家。希望未来可以跟各位在这方面共同去探索,大家把跨境数据能够有序做到很好的推动,让全球的数字经济可以一起发展起来。谢谢各位。
主持人(郝晓伟):
杨德斌先生认为数据互联互通是推动数据落地的重要驱动力,从安全和法律、利益分配、技术标准等方面阐述了数据跨境存在的困难和风险.并提出粤港澳的数据互通试点是探索全球安全规范的跨境数据流通理想模式。感谢杨德斌会长!
下面,有请澳门科技大学下一代互联网国际研究院院长刘东先生对澳门数据跨境流动实践发表主题演讲,大家欢迎!
刘东:
尊敬的各位领导、各位专家,大家下午好!非常高兴能够代表澳门科技大学在这里分享在澳门和内地之间跨境数据流动的实践和探索。
可以看到,在过去的十年当中,数据量在全球是爆炸性的增长,三年内全球数据增长了60倍,过程当中我国的数据居全球首位。
对经济增长的比例来看,全球超过60%的GDP是由数字化驱动产生的,再次从主体看,在国外以谷歌、苹果、亚马逊等为代表的数字科技企业已成为数据主要的来源方,以AI大模型为代表的新业态、迅速成为数据的主要需求方。全球涌现出来权威的国际数据组织,像IDAC产业推动组织,全球数据产业正在进入一个快速发展期。
数据要素流动也得到全球各大经济体的关注,非常重视数据流通产生的价值,目前已经超过113个经济体都制定了跨境数据的规则,180多个区域贸易协定当中都对跨境数据有了专门的章节和专门的条例。跨境数据不仅需要规则,同时也需要技术标准的支撑,比如说在IEEE、W3C、RETF相关组织开展相关的技术和标准化的工作。
大家都对澳门或多或少都有一些了解,澳门特区政府也是在大力推进数字化的转型和升级,澳门在当前数字产业结构当中不太均衡,博彩业的比例占到了25%,香港特区政府也提出到2028年把非博彩的比重提高到80%,产业结构有一个巨大的变化,大力增强人才的培养,非博彩产业人数增加对人才进行培育,大力发展大健康、现代金融、高新科技、会展商贸和文化体育四大支柱产业,加快澳门数字经济、数字社会的建设和发展。
对于跨境数据流通,澳门特区政府也非常重视,专门设立了个人资料保护办公室,2012年就出台了个人资料保护法在数据出境管理方面,有白名单申请登记、申请许可等机制。与此同时,澳门在法律体系和行政体系下处于多方的联系人的位置,特别是与葡语国家,与欧盟、东南亚的渊源,因而在法律衔接、监管协调、国际合作等方面有一些独特的优势。在粤港澳一体化的大背景下,随着琴澳深合区、粤港澳大湾区政策和建设方案的出台,澳门积极参与大湾区的流动规则和便利化机制的衔接工作。
接下来想分享一下澳门科技大学在具体这方面的实践。
澳门科技大学是一个新的学校,伴随着1999年回归大陆,成立了一个新兴的学校,目前在亚洲排名第32位,在大湾区多地办学的背景下,澳门科技大学在珠海横琴、广州南沙都建有研究院,开展联合科研和科研成果的转化工作。
为了解决三校之间的网络互联、数据胡同工作,2021年开始就启动了科研专网建设和探索的性质工作,目前已服务于太空科学、人工智能、珠海人民医院附属医院及中药基地等多机构、多学院之间的数据流通共享。
具体来看,粤澳处于两个司法辖区,根据内地和澳门跨境的相关法律规定,保护规则和管理机制构建了IPV6+数据空间、科研科创、流通平台的体系,通过规则+管理+技术,三位一体的机制,全方位地尝试保证科研数据的跨境流通。
根据数据跨境的场景,澳门科技大学选择了适用性和扩展性更为灵活的个人信息出境认证作为路径,在境内向认证主管部门提交了申请,目前已经进行了认证和技术验证的现场检查工作,同时向澳门个人资料保护办公室递交了数据跨境转移的许可,目前已经获得批准。
同时,立足澳门,开展澳门和欧盟之间的科研数据流通的实践,以IPV6和数据空间等技术为底座,以相关的法律法规为原则,建立一个中国澳门香港科技大学和欧洲研究院之间的科研数据跨境流通的案例,这个也非常荣幸地去年荣获了网络命运共同体的精品案例之一。
同时,在大湾区也是我们定位为全球科研创新的前沿和中心,在这里面有很多高校在内地进行办学,我们希望能够共同在平台上构建一个六校联盟,进行数据的流通、共享,解决数据未来跨境流通的一些方法,同时通过这样的实验验证,能够为其他行业提供一些经验和技术的支撑,也非常希望能够关注这样项目的同仁、专家、领导给予我们项目多多的指导和批评。
着眼未来,澳门在金融、健康医疗、会展商贸等多个行业在跨境方面有强烈的刚需。截止到去年底,在澳门特区经营的银行、金融机构达32家,其中12家是澳门本土注册的,20家是跨国银行的分支机构,比如说葡萄牙的海通银行、中国银行等等。
总结来看,从区域来讲,粤港澳大湾区独特的优势,从区域来说,澳门是连接大湾区数据跨境的便利化,另外一方面是连接葡雨国家,欧盟、东盟的数据合作,可充分利用区域优势连通内外,打造国际数据空间的桥头堡和试验床。
通过在澳门跨境流通的实践,我想提一些个人的建议,一是打通澳门流通的规则的通道,为内地和澳门与国际之间的流通奠定一些基础。
二是打通数据在澳门流通基础设施的通道,提升澳门网络基础设施的能力和数据处理能力。
三是充分发挥其独有的区域优势,开展科研科创、跨境电商、健康医疗、跨境金融等方面领域的先行先试的试点。
以上是我的分享,很不成熟,希望继续跟大家进行探讨,谢谢大家!
主持人(郝晓伟):
澳门在法律体系、行政制度上处于多方共同信任的“超级联系人”位置,在联通内外数据跨境流动方面大有可为。对此,刘东院长进一步提出了打通数据在澳门流通汇聚的“规则通道”、“基础设施通路”,“发挥琴澳深合区资源禀赋优势、以数据加速澳门跨境电商、跨境金融科技等新业态发展”三点建议。感谢刘东院长!
2022年12月,中共中央、国务院发布《关于构建数据基础制度更好发挥数据要素作用的意见》,意见中指出,要构建数据安全合规有序跨境流通机制,坚持开放发展,推动数据跨境双向有序流动,鼓励探索数据跨境流动与合作的新途径新模式。然而,数据在跨境流动过程中还存在诸多安全问题。下面,有请电子科技大学网络空间安全学院教授、国家重大人才工程特聘教授李洪伟教授对数据跨境安全流动-科技创新布局与思考发表主题演讲,大家欢迎!
李洪伟:
各位领导,前面各位嘉宾主要从跨境实践的角度做了演讲,我主要从科技创新的角度来做演讲。分为背景意义、技术纬度、管理纬度和未来展望四方面做一下分享。国家在十四五规划里面,包括2035远景目标纲要里面也提到了,要推进数据跨境安全的有序流动,开展数据跨境传输的安全管理试点。另一方面,在2021年国家的数据二十条里面也提到了,要构建数据安全的合规有序跨境流通机制,鼓励探索数据跨境的合作新途径和新模式。但是另一方面,目前数据跨境安全的形势是非常严峻的,在META,也是今年刚刚发生的事情,META因为在今年违反了GDPR的保护条例,向美国跨境传输大量的欧盟用户的数据,被罚款12亿欧元。瑞典四家公司违反使用谷歌的Analytics将数据传输到美国,被罚款1230万瑞典克朗。从科技的角度、技术的角度来讲,我们也是需要安全的数据跨境的传输的监管机制,来克服传统方案的局限和缺陷,来保障国家的重要数据,还有个人数据的安全。
我们国家已经有颁布了许多跨境数据安全相关的法律法规,包括2021年的数据安全法,数据出境安全评估办法、个人信息出境标准合同办法,都对跨境数据相关的评估或者相应的都有规章办法出来。俄罗斯、美国、欧盟也颁布了相应的法律法规。
下面从技术纬度做一个阐述。在数据出境安全这块目前考虑三个方面,包括数据出境监测的架构还有数据出境的风险评估以及数据出境的异常处置。在数据出境的监测架构层面,在国际上面包括欧盟有一个KONFIDO项目,提出了对数字医疗服务基础设施间跨过互操作规范,美国爱因斯坦计划也做了一些相应的探索。我们国家信工所提出了插件化风险采集与数据流转全周期监测架构。
在出境的风险评估层面,包括英国的信息专员办公室、国际隐私专业协会等等也提出了一些相应的方法。国内包括工信部的信息安全发展中心、中科院大学也提出了一些安全风险评估的分析方法。
在出境的异常处置层面,国际层面包括跨境流转,也提出了数据流转关系异常分析和违章跨境传输动态阻断等系列产品。
当前在这三块还存在一些不足,包括一体化的数据出境的监测架构,数据出境全周期的风险演化规律等等,这块在技术层面还是有些不足的。
下面看看在管理纬度最近两年的布局和思考。首先我们关注重点行业和领域的数据出境将危害国家安全。?关键技术成果数据出境也会影响经济社会的稳定运行,但是目前跨境数据评估和监管能力还需要进一步提升。在2022和2023年布局了三个项目,主要从三个方向考虑。
第一个,重要数据的分类、识别与安全评估是困难的。我们结合法律法规布局了数据分类分级、数据特征提取、数据违规监测等技术来做这样一个事情。
第二个,跨境数据评估和监管能力缺失。我们布局了跨境数据识别、评估、预警、监管等技术。
第三个,非可控环境下数据资产保护困难。我们布局了数据访问控制和数据管理的技术。
在2022年,布局的行业大数据分类、识别与安全评估技术,主要是研究重要数据的分类特征提取和评估,最终将形成专用行业的特征识别,一些比对库,服务重要数据的分类工作。
今年我们主要研究数据出境安全风险评估和预警技术,当初专门去征求过网信办的意见。这块主要考虑的是重点领域的敏感数据出境会面临风险难以评估、态势难以预警的问题,所以我们布局了这样一个项目。主要要达到的目标是不少于30项的关键风险要素,构建不少于两种数据出境场景的风险要素和安全事件库。
目前布局的项目2022年已经初步见到成效,布局的两个项目首先已经制订了两部国家标准,一部已经报批,一部已经完成征求意见,分别是重要数据的识别指南,还有重要数据处理的安全要求。两部标准直接会支撑我们数据出境安全评估制度的实施。另一个是研制了基于属性加密的文件加密系统,也获得了商用密码的认证证书,将支撑数据文件在非收控云上存储分化。
最后是未来展望。在国家战略层面,看到我们国家许多的相应的数据出境办法已经在落地实施了。另一个是响应全球数据安全倡议,总书记提到的一带一路,这块数据跨境的共享。再一个也需要科普宣传和加强企业的监管,在技术层面,我们还在路上,还要继续努力,包括数据的出境安全监测、风险评估、异常处置等等,还有许多要去做的事,技术上也有很多难度要去推进。
行业层面,在各类型信息产品中高度重视数据出境安全,包括网信办提到的一些办法,重要数据和个人数据要分类别的重视它。最后是技术层,人员的安全意识和培训。
我的演讲到这里,谢谢。
主持人(张鹏):
各位领导、各位来宾下午好!现在,我们进入圆桌对话环节。这一环节将围绕“数据跨境流动合规及合作”展开讨论。首先我向大家介绍参加圆桌讨论的嘉宾,他们是:诺华诚信行政总裁 何佳意
安恒信息高级副总裁、首席科学家、CTO 刘博
汇丰银行(中国)首席法律顾问 姚建波
北京现代汽车有限公司常任副总经理 吴周涛
蚂蚁集团技术合规负责人 宋铮
非常高兴能够和各位嘉宾坐在一起交流。
《网络安全法》《数据安全法》《个人信息保护法》颁布实施后,国家互联网信息办公室紧接着制定出台了《数据出境安全评估办法》《个人信息出境标准合同办法》等规章制度,受到境内外广泛关注。各行各业的数据处理者、个人信息处理者纷纷行动起来,积极开展数据出境安全评估申报以及个人信息出境标准合同备案等工作。诺华诚信作为一家香港的征信服务公司,通过境内合作伙伴北京德亿信数据有限公司完成了个人信息出境标准合同备案,为全国首例。
主持人:请问诺华诚信的何总,对准备开展个人信息出境标准合同备案的企业,有什么样的意见建议?
何佳意:
国家互联网信息办公室公布的《个人信息出境标准合同办法》内已清晰指引备案方式、流程以及所需的材料提交,并附范本,由于个人信息出境标准合同办法是为了保护个人信息权益,规范个人信息出境活动,不同企业所需求的目的不同,申请备案的情况有所差异,难以一概而论,但也首先必须要锁定业务场景,根据业务场景作延伸,列出有那些个人信息出境,以“最小必要”作原则,控制个人信息在不超出该场景下使用,并根据规定,对出境个人信息进行分类,做好从内到外的数据出境安全风险评估和持续监测,如过程中有难题,国家网信办设有多个公开查询的热线及服务窗口解答大家申请备案的查询。 主持人(张鹏):
另外,您觉得香港特区企业,在哪些方面的数据出境需求较为迫切?
何佳意:
根据与各行各业的沟通,不同的香港企业对不同跨境数据有不同需求。
香港企业与内地机构进行商务往来时,对企业的了解非常重要。企业报告中包含的公司注册及经营情况等资料对香港企业了解内地企业运营情况及合作风险尤其重要。对香港的金融机构来说,除了个人身份核验需求外,如能通过国内企业征信报告了解内地企业的信贷情况,将可提高香港金融机构为其提供不同的金融产品的种类及成功申请率,以加速企业在香港的发展速度,振兴两地经济。
随着香港抢人才计划的推出,截至7月底,各项吸引人才措施共收到约12万份申请,超过7.5万份获批。不同的海外人才来港面试时,香港企业对人才提供的学历及工作信息核验需求亦持续增长。
其他涉及的跨境数据需求还包括证券投资、资金来源、医疗数据等。由于这些数据不能单纯通过跨境核验方式满足香港企业的需求,对不同行业的发展也形成了不同程度的影响。
主持人(张鹏):
感谢何总裁的分享!人们常说,安全是发展的前提,发展是安全的保障。下面,我们向安恒信息的刘总请教一下,在数据跨境流动中,需要关注的数据安全问题有哪些?
刘博:
数据泄露和攻击是跨境数据流动过程中最需要关注的问题之一。黑客攻击、内部人员失误、合作伙伴的安全漏洞等都可能导致敏感数据的泄露和滥用。数据安全风险评估和管控:在跨境数据流动之前,需要对数据的来源、收集、存储和使用等各个环节进行全面的安全风险评估,并采取相应的措施进行管理和控制。
数据隐私和合规性:跨境数据流动需要符合相关隐私法律和合规性要求。不同国家和地区的数据保护法律和标准可能存在差异,因此需要对跨境数据流动进行全面的合规性评估和审查。
数据完整性和可用性:在跨境数据流动过程中,需要确保数据的完整性和可用性。数据的完整性和可用性包括数据的真实性、可读性、可写入性和可传输性等方面。
数据安全意识和培训:数据安全意识和培训是保障跨境数据流动安全的重要措施之一。企业和政府部门需要加强对员工的数据安全意识和培训,提高员工对数据安全的重视程度。
主持人(张鹏):
众所周知,技术能力是数据治理、数据安全风险防范的关键环节。请问刘总,有哪些技术方案,可以为数据跨境提供安全保障,有没有一些实践案例?
刘博:
隐私计算是一种能够比较好地平衡数据开发利用和数据安全及隐私保护地技术,针对一些较为敏感的跨境数据,可以利用隐私计算技术,在原始数据不出域,数据可用不可见的前提下,为境外开发利用境内敏感数据提供一种可行方案。我们在某省卫健委和疾控的指导下,做了一个医疗健康数据跨境的探索。在境内搭建隐私计算平台,导入医疗健康相关的数据后,境外的专家学者,可以利用部署在境内的隐私计算平台建模分析。在经过卫健委和疾控审核后,可以拿走最终的统计分析结果,但看不到也拿不走原始数据。
主持人(张鹏):
感谢刘总的分享!近年来,随着数字经济的快速发展,数据作为核心生产要素受到各方高度关注,数据安全的形势也发生新的变化。请问,蚂蚁集团在这种新形势、新变化下,是如何开展数据安全治理的?
宋铮:
面对多样的业务场景和复杂的安全风险,企业需要与时俱进,优化新形势下的数据安全治理体系,蚂蚁集团探索和实践了数据安全复合治理模式。一是强调数据安全与业务发展相辅相成,以发挥数据要素作用为核心,支撑业务合规有序发展,将数据安全与业务发展复合;二是引入生态共治机制,强调与生态伙伴实现联防联控的同时,帮助生态伙伴加固自身安全,从而促进整个行业安全水位提升,将内部治理与生态联动复合;三是升级运营和技术能力,形成了全新的治理环节,包括安全基线、心智运营、原生保护、联合应急、内部认证等,强化治理过程中各环节之间的串联、互补、联动与反馈,达到复合叠加、持续优化的效果,同时加强科技能力建设,以系统能力、数据能力、算法能力为底座,打造围绕数据资产保护与数据要素流通的产品能力,将管理与技术复合。 主持人(张鹏):
另外,在数据跨境流动时,安全管控是企业面临的一个特殊重要场景,在数据跨境管理方面,蚂蚁集团有哪些建议可以和大家分享?
宋铮:
加强对数据出境的合法合规管理,保障用户数据的隐私和安全需要重点关注,为了筑牢数据安全屏障,实现全链路的安全管控,首先需要搭建涵盖资产动态识别、数据链路刻画、出境流量解析、安全隐私计算等底层安全科技能力的整体基座,在此基础上依托风险策略运营、安全监控、链路识别管控等安全运营支撑平台实现常态化的安全评估管控。管控过程需要注意首先,针对数据出境业务场景,要进行合法性、正当性、必要性的评估,评估数据出境是否符合相关法律法规、政策和监管要求,对于用户的个人信息,需要明确用户是否同意数据出境,以及数据出境的目的是否符合用户的正当期望以及必要性,避免违反相关法规和损害用户权益;其次,需要针对数据传输链路进行安全性、一致性、可控性评估,包括是否采用数据加密技术对敏感数据进行加密、脱敏等处理,在数据出境时保障数据的安全性,同时实际传输的数据内容与业务场景是否严格一致,当出现极端情况时,数据链路的可控性如何等;最后,需要建立数据监控和报警机制,对数据出境进行实时监控和预警,发现异常行为和异常数据流量,及时采取处置措施。此外,随着《数据出境安全评估办法》的发布实施,针对满足数据出境安全评估申报的业务场景,需要严格遵照管控原则,完成监管部门的监管申报,确保数据出境安全和合规性。在各级部门的支持下,我们的相关场景严格按照要求进行了申报,并通过了监管部门的安全评审。
数字经济时代,数据已成为一种全新的市场化要素,国际上很多国家对数据跨境提出各种要求,出台数据跨境政策和配套细则,需要及时关注各国政策出台情况及调整变化。
主持人(张鹏):
感谢分享!在汽车领域,数据安全以及个人信息安全一直是一个备受关注的话题。2021年10月1日,《汽车数据安全管理若干规定》施行。对汽车制造商而言,做好数据合规、数据保护等是发展智能网联汽车的基础。我们了解到,北京现代的数据出境项目已顺利通过安全评估。下面有请北京现代的吴总,为我们分享北京现代在数据出境合规方面的经验。
吴周涛:
北京现代于2002年由北京汽车和韩国现代共同出资设立,是中国加入WTO后被批准的第一个汽车生产领域的中外合资项目。历经21年发展,实现整车产销近1200万辆,累计纳税超1300亿元,带动就业约15万人,为北京经济增长和中国汽车工业发展做出了重要贡献。全球汽车产业正处于技术升级、消费升级的变革浪潮中,北京现代通过产品转型、品牌向新、服务创新,推进企业转型发展。数据是企业发展的重要生产要素,数据安全合规是企业数字化转型的重要保障。北京现代作为客户保有量千万级的汽车企业,全力贯彻“以人为本的理念”,一直将客户数据安全作为我们数据安全工作的重中之重。
作为北汽集团下属企业,在中韩双方股东领导下,北京现代始终高度重视,并坚持依法合规经营。基于较早着手数据出境风险评估工作,北京现代有幸成为全国首个全业务场景通过跨境评估的汽车企业。下面,我介绍一下北京现代数据出境合规主要工作:
1.跟踪、研究数据安全相关法规,主动对接监管机构
关于数据安全,个人信息保护,近几年国家陆续颁布了相关法规,北京现代一直在跟踪相关立法动态,并与专业咨询机构共同研究。同时,我们还主动与北京网信办对接,寻求监管部门指导,准确理解汽车数据安全相关法规要求,并在产品研发、生产、销售等方面认真贯彻落实,尤其是数据出境合规要求。
2.建立数据安全管理组织,制定数据安全管理制度,为数据安全管理提供组织、制度保障。
2021年,北京现代建立了数据安全管理组织,包括数据安全管理委员会、数据安全管理办公室,同时通过制度明确公司数据安全责任人、客户数据安全责任人,并明确规定各部门负责人是所在部门数据安全第一责任人,发挥“关键少数”作用。
我们还陆续制定了《数据安全管理制度》等15项制度,将法律规定和监管要求全面嵌入企业规章制度。同时还建立了系统上线、数据资产使用等审批流程,严格管控数据收集、使用等环节风险。
3.与外方建立沟通机制,确保数据出境安全合规
数据出境合规离不开外方的协作,基于韩国现代全球化的管理要求,我们与韩国现代存在数据传输。数据安全相关立法过程中,我们就与韩国现代就数据跨境传输、确保数据安全等方面保持沟通,研讨如何落实中国法规关于数据安全的相关法律要求。法规实施后,我们与韩国现代签署了《数据出境传输协议》,明确约定数据使用、存储等数据安全保护责任与义务,确保数据在境外受到同等保护,切实保障客户数据安全。
4.加强技术防护措施投入,防控数据安全风险
北京现代通过数据加密、访问权限控制、数据资产使用审查、风险监测等措施确保数据安全。同时在流程合规方面,整合全链条业务流程,实现业务流程标准化、规范化,提升数据质量。
以上是北京现代开展数据出境评估的主要工作,再次感谢中央网信办、北京网信办在数据合规方面给予的指导。今后北京现代将继续优化数据安全合规管理体系,以国家安全、客户安全为基线,不断提升数据合规管理水平。
主持人(张鹏):
另外,我们也想向吴总请教一下,中国车企在产品出口的过程中,您认为面临哪些数据安全风险,在数据合规方面,有哪些挑战,要怎么准备和应对?
吴周涛:
北京现代自2023年起开始汽车产品批量出口,目标市场主要分布在东南亚、南美等国家、地区,出口事业将成为北京现代经营的又一增长点。
我认为中国汽车产品出口面临的数据安全合规方面的挑战主要有以下几方面:
1.在文化认同方面
由于每个国家的文化观念和新技术创新氛围,在汽车产品功能上存在较大差异,从而形成不同的汽车产品配置。例如,中国客户形成了移动支付习惯,国内车型上普遍搭载便捷的支付功能,同时产生相应数据,反观国外移动支付普及比较低,以信用卡消费为主。需要提早研讨相关功能的变更。又例如国内智能座舱发展迅速,车内摄像头搭载程度比较高,但欧洲等海外市场对客户隐私敏感度高,很难接受,因此需要对座舱数据收集做出清晰设计和说明。
对中国车企来说,应加强针对不同国家、地区的市场调研,进行差异化的产品设计,既要展示中国汽车产品新技术,又要尊重目标市场消费习惯。
2.在法规遵守方面
目前中国汽车出口国增多,中国车企需要面向全球法规要求,建立相应的管理体系。我认为中国汽车产品出口可以实施“一国一策”的策略。在制定汽车产品出口规划时,对目标市场的法规,以及未来立法趋势进行全面研究,根据法规要求实施有针对性的产品策略。例如,欧盟 R155 / R156法规和中国即将发布的信息安全和软件升级的新国标相对应。
另外,现在各国都在通过各种规则进行数据主权的博弈,所以数据执法管辖是企业出海面临的重要挑战,世界典型国家对数据跨境监管的理念不同,监管力度不同,目前有三大主流模式:1)以美国为代表的“促进型”模式。鼓励和推行宽松的数据跨境流动政策,在确保国家安全利益的前提下最大程度促进数据自由流动。 2)以欧盟、日本为代表的“平衡型”模式。特定情形下解除对数据流动的禁止,属人原则和属地原则相结合,实现境内外高标准隐私保护。3)以俄罗斯、印度为代表的“严格型”模式。维护国家安全和网络数据安全的需要,推动数据本地化存储、严格限制数据跨境传输的条件。中国车企为了更好“走出去”,需满足国内、外信息安全、数据安全、软件升级法规的管理体系,将法规要求融入产品开发、设计、生产等全生命周期的各个环节,确保产品满足监管要求。
3.在技术应用方面
为提升自动驾驶和智能座舱领域竞争力,在车上搭载了更多感知硬件,实现和环境更多联动,获取了更多数据。在这种背景下,产品在收集、使用、传输、存储数据等阶段需加强重视,投入相应技术研发。例如,在收集和使用数据阶段,采用加密算法确保数据安全,同时通过数据脱敏技术保护客户隐私,从而确保汽车数据流转安全合规。
4.在产业链协同方面
现在各国都在通过各种规则进行数据主权的博弈,数据执法管辖是汽车产品出口面临的重要挑战,智能网联汽车产业链除车企外,还包括芯片解决方案供应商、自动驾驶系统供应商、算法供应商等等,产品的信息安全、数据安全、网络安全需要产业链各方协同努力,提前布局。
总的来说,中国车企产品出口,应当先对目标市场法规、消费习惯等进行调研分析,将数据安全合规等各方面要求,全面融入产品开发、设计、生产等全生命周期的各个环节,确保汽车产品出口合规。
主持人(张鹏):
感谢吴总的分享!作为外资金融机构,汇丰银行的数据出境具有典型性、代表性。前期,我们也了解到,汇丰银行的数据出境需求大、场景多,下面有请汇丰银行的姚建波先生,给大家介绍一下汇丰银行的数据出境需求和主要出境场景。
姚建波:
我们的数据出境需求确实很大,出境场景也很多。之所以这样,有以下原因:首先,我们所处理的业务大多是跨境的,而我们的客户之所以选择我们也大多是看重我们的全球网络。
其次,金融风险是跨境传导的,我们需要在全球范围内统一管理风险,而金融监管机构也要求我们必须进行穿透性管理,母行(甚至母行监管机构)需要对分支机构的情况有充分的了解。
再此,所有的跨国银行都有一个共同的特点,即其主要资产集中在集团或母行所在地本土市场,而每一个境外分支机构规模都相对较小,各海外分支机构在很大程度上需依赖于集团层面的IT系统支持和后台服务。以我行为例,汇丰是中国内地最大的外资银行,但我们的市场份额按照资产计算大概只相当于内地市场的0.2%左右。我们常说中国工商银行是宇宙最大行,但其在中国内地之外每一个市场所占份额都很小。这种情况也适用于其他国际性银行,例如摩根大通, 花旗等等。在这种情况下,各海外分支机构不得不充分利用集团资源以提高效率并节约成本,否则在商业上不具有可行性。
所有这些都要求类似我行的金融机构跨境分享信息,特别是在集团内部分享信息。
基于上述,我们可以把我们的数据出境需求和出境场景大致归纳为三大类型。一是为服务客户之需要而出境,二是为集团内部管理需要而出境,三是为有效利用集团资源而出境。
第一类情况“服务客户需要”又可以进一步分为两类。一是客户的交易本身跨境,例如跨境汇款,如果不告诉境外收款行付款的相关信息,付款就无法完成;二是客户在多个国家和地区和我们有业务关系,如果不同国家和地区的分支机构不能实现数据互通,就无法对同一客户有一致的理解,就不能服务好客户。
第二类情况是“集团内部管理需要”,最典型的情况是集团内风险管理需要。以洗钱风险管理为例,国际上有个反洗钱金融行动特别工作组(FATF),中国是FATF成员国之一,2020年还担任过主席国。FATF的规则要求金融机构集团内部分享客户信息以做好反洗钱、反恐怖融资以及客户尽职调查工作。除内部风险管理涉及数据出境外,其他的内部管理也涉及数据出境,例如财务管理,员工管理等等。
第三类情况是“有效利用集团资源的需要”。这与前面所说的“本土大,海外小”的特点密切相关。既然无法在分支机构所在地建立一套独立的完整系统,就必须利用集团的IT系统和其他资源。相应的也就会有数据出境。
主持人(张鹏):
另外,今天我们会议的主题是数据跨境流动合作,您对促进这样的合作有什么样的意见和建议?
姚建波:
我有两点建议。
第一点是与香港相关的。我们很高兴看到6月国家网信办与香港签订了《关于促进粤港澳大湾区数据跨境流动的合作备忘录》,这对大湾区的发展,对包括我们在内的金融机构在大湾区业务的进一步拓展都有积极意义。但就香港而言,可否考虑更进一步?考虑到香港在连接内外上的特殊地位,建议考虑在横向和纵向两个方面进一步放松。在横向上,可以考虑在时机成熟、安全可靠的情况下积极稳妥在内地范围内促进与香港特区的数据跨境流动。把现在的方式从大湾区推广到全国,让更多的企业受益,在纵向上,可以考虑在符合某些条件的前提下,允许内地与香港之间的数据自由地流动。具体的条件可以继续探讨,例如接收方单位承诺给予同等程度的保护,香港数据不能从香港再出境,如果需要再出境,则须按照中国法律完成相关数据出境流程等等。这对两地的发展都有重要意义。
第二点建议是更多的国际交流和探讨比较统一的国际做法。如何有效规范数据的跨境流动不仅是我国面对的问题,而是所有国家都面对的一个国际性难题。汇丰在全球60几个国家和地区经营,我们注意到许多国家都在关注这个问题,但整体上都比较谨慎。例如印度很早就在谈这个问题,但具体的立法一再推迟,也有国家曾倾向于立法规范,但目前倾向于先等一下。总体来说,经济和社会活动的数字化是一个长期的过程,目前仍然处于持续的快速发展过程中,一方面,数据的价值和影响力持续增长,因此需要更好统筹数据安全与数据利用保护,另一方面,对数据的流动限制越大,其对经济和社会发展的影响也越大。追究适当的平衡将是一个长期的过程。就目前来看,各国对数据出境的规范基本上还集中于个人信息出境问题。而在个人信息出境问题上,欧盟的GDPR仍然有一些借鉴参考价值是全球各国学习和模仿的主要对象。GDPR创制了一整套个人数据出境的规则,包括充分性认定(即白名单制度)、标准合同条款、有约束力的公司准则以及第三方认证等等。目前我们已经引入了标准合同条款以及第三方认证等制度。但是否可以在现有制度的基础上,在具体执行中在确保安全的基础上,结合我国数据流动的实际特点出台一些便利企业数据流动的新举措把白名单制度、有约束力的公司准则融入进来,值得考虑。比如说,以有约束力的公司准则相关制度若能建立为例,实践中外资机构最大的数据跨境需求应该是在集团内部的数据跨境分享需要,如果解决了这个问题,对营商环境的影响将是非常积极的。
主持人(张鹏):
感谢姚先生的分享!
感谢各位专家以及业界代表带来的精彩分享!圆桌对话环节到此结束。
各位领导、各位来宾,今天各位嘉宾在短短的两个多小时里,围绕数据跨境流动合作,在数据安全法律制度、数据安全技术手段、数据跨境流动实践等方面展开深入讨论,为我们继续面对挑战、开拓创新,筑牢数字安全屏障、深化数据跨境流动合作,提供了多方面、多维度的借鉴和参考,提出了富有前瞻性、创新性的理念和思路,我们将以此为契机,继续加强交流,齐心协力,继续深化数据跨境流动合作,共同推动全球数字经济更好更快发展。
2023世界互联网大会数据治理推动全球数字经济发展论坛到此圆满结束!再次感谢各位领导、各位来宾光临论坛!
祝大家工作顺利、身体健康!
谢谢!