根據內地於2017年通過的《網絡安全法》,關鍵資訊基礎設施運營者應在中國境內存儲重要數據,如必須向境外提供數據,事前應進行安全評估;而今年實施的《數據安全法》對違反上述規定向境外提供重要數據的運營者,訂立了處罰法則。
上周國家互聯網信息辦公室發布了《數據出境安全評估辦法(徵求意見稿)》,向社會公開徵求意見,內容提及數據處理者向境外提供數據前,應事先開展數據出境風險自我評估及持續監督相結合,表面上看責任主要在數據發出者,但事實上關鍵是確保接收方的資料安全防控能力,當然評估《辦法》目的是加強防範數據出境安全風險,保障數據依法有序自由流動。
因此《辦法》指出數據處理者應該在向境外提供數據之前,對數據的數量、範圍、種類、敏感程度,數據出境可能對國家安全、公共利益、個人或組織合法權益帶來的風險等,都作充分理解。
若符合以下情況,應向網信辦申報數據出境安全評估:一、關鍵資訊基礎設施的運營者收集和產生的個人資訊和重要數據;二、出境數據中包含重要數據;三、處理個人訊息達到100萬人的個人資訊處理者向境外提供個人資訊;四、累計向境外提供超過10萬人以上個人資訊或者1萬人以上敏感個人資訊;五、國家網信部門規定的其他需要申報數據出境安全的需求。但以上條件有幾個關鍵詞的定義需要準確釐定和及時更新,例如什麼是重要數據、基礎設施營運者、敏感個人資訊等。
別以為這與香港無關,因為「一國兩制」的關係,香港作為「國內境外」城市之一,徵求意見稿雖對港澳企業及其他國外城市的影響力沒有差別,但在商業合作上,香港遠比其他地區需要有更多的業務聯繫,那管是資金流、人流和物流,無不涉及數據的流通。
再說粵港澳大灣區內9+2城市的未來高速發展大趨勢下,關於灣區城市之間的跨境數據流通,必須找到更有效的處理方式。幾年來筆者一直在這個話題上努力,希望找到折衷方案,簡化數據跨境流通的機制。
車品覺_紅杉資本中國專家合夥人、阿里巴巴商學院特聘教授暨學術委員會委員