隋静
工业和信息化部网络安全管理局局长
党中央高度重视数据跨境流动工作,《中华人民共和国数据安全法》(以下简称《数据安全法》)将数据出境安全管理明确为一项重要制度。近年来,国家在数据出境安全评估方面出台了一系列政策,开展了有益的实践探索。当前,社会各界对更加高效便捷的数据跨境流动制度机制需求日益迫切,出台《促进和规范数据跨境流动规定》(以下简称《规定》)必要而及时。工业和信息化领域(以下简称“工信领域”)数据跨境流动频繁活跃,已成为国际关注的重点领域之一。工业和信息化部坚决贯彻落实习近平总书记重要指示精神,坚持总体国家安全观,统筹发展和安全,大力推动《数据安全法》落地实施,促进数据要素安全有序流动和合理开发利用,为扩大对外开放合作、促进数字经济高质量发展、维护国家安全等贡献工信力量。
充分认识新形势下促进和规范工信领域数据跨境流动的必要性和重要性
做好数据跨境流动工作是贯彻落实党中央重大决策部署的必然要求。习近平总书记高度重视数据跨境流动相关工作,强调要“加快构建数据基础制度体系”“促进数据高效流通使用”“促进各类资源要素跨境流动便利化”。2023年中央经济工作会议指出,要认真解决数据跨境流动等问题,强调统筹高质量发展和高水平安全。近期,国务院办公厅印发的《扎实推进高水平对外开放更大力度吸引和利用外资行动方案》提出,规范数据跨境安全管理,健全数据跨境流动规则。2024年,“数据跨境流动”首次写入《政府工作报告》。《规定》贯彻落实党中央要求,有效回应了社会关切,降低了数据处理者的合规成本,进一步完善了我国数据跨境流动制度架构。工信领域数据规模大、跨境场景多,促进工信领域数据处理者落实《规定》是切实提升数据跨境流动效率的重要举措,也是贯彻党中央决策部署的使命担当。
做好数据跨境流动工作是加快推进新型工业化、主动服务和融入新发展格局的重要途径。工信领域涉及行业多、企业多、数据类型多,大量企业特别是外资、合资企业数据跨境流动需求大,跨国协同研发、联合生产制造、远程技术支持与运维等场景下的数据跨境流动深度融入企业正常生产经营活动。数字化是新型工业化的重要特征,数据是新型工业化发展的内生驱动力,扩大开放合作是新型工业化发展的重要方法路径。加强数据跨境流动,就是在工信领域加强产业链供应链开放合作、发展新质生产力、在更高水平对外开放中实现新型工业化更好发展的重要举措。《规定》列举了几种免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的个人信息出境情形,有利于增强对国内外数据要素资源的吸引力,形成数据顺畅流动和高效配置的发展格局,促进新型工业化行稳致远。
做好数据跨境流动工作是维护国家安全、增强国际竞争力的关键举措。数据安全是国家安全的重要组成,数据安全有序跨境流动是现阶段数据安全工作的重点难点。当前,世界各国纷纷将数据跨境流动上升为国家战略,出台相关法规政策,积极开展数据跨境流动多双边合作,推动建立国际数据流动新标准、新规则、新秩序,我国亟须在数据跨境流动、数据安全等领域加强国际合作,发出中国声音、提出中国方案。工信领域拥有大量关系国计民生和国家安全的数据,解决好哪些数据可自由跨境流动、哪些数据需要受控跨境流动等问题,是维护国家安全、增强国际竞争力的重大挑战和迫切需求。《规定》进一步细化了企业数据出境的业务合规标准和操作规范,充分反映了我国在数据跨境安全管理领域的创新思路,坚持畅通数据跨境流动渠道和保障数据安全两者并举,打造繁荣稳定的跨境数字贸易新格局,为促进全球数字经济发展贡献中国智慧和实践路径。
科学把握新时期工信领域数据跨境流动安全管理工作重点
工业和信息化部作为工业、电信行业主管部门,依法承担工信领域数据安全监管职责,在国家数据出境安全管理制度框架下,坚持高质量发展和高水平安全良性互动,以制度创新指导为牵引,以数据分类分级为基础,以数据出境安全评估为抓手,以重点场景防控为手段,以技术产品供给为保障,加速推进工信领域数据跨境流动安全管理工作走深走实。
打基础:持续扩大数据分类分级覆盖面,进一步摸清行业重要数据底数和出境需求。《规定》提出“数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估”,重申了“识别-申报-告知”的三步工作程序。应该认识到,数据分类分级和重要数据识别是《数据安全法》明确要求数据处理者落实的责任和义务,也是判断是否需要申报重要数据出境安全评估的前提和基础。各类数据处理者要切实承担主体责任,认真对照重要数据识别指南等标准规范,深入开展数据分类分级和重要数据识别工作,准确形成重要数据目录,并按照相关规定主动向行业主管部门报备。行业主管部门从目录的准确性、全面性、科学性等方面进行审核确认,并以适当方式告知企业。申报数据未被行业主管部门告知为重要数据的,企业无需作为重要数据申报出境评估。需要特别说明的是,企业应当做好与行业主管部门的沟通衔接,报备重要数据要主动、及时、准确,不能瞒报、漏报。行业主管部门加强日常监管,引导企业准确理解重要数据识别规则等要求,规范填报重要数据目录。
工业和信息化部立足行业实际,分业施策,印发工业、电信领域重要数据识别指南等制度文件,组织各地工业和信息化主管部门、通信管理局指导行业重点企业率先推进。目前正抓紧推进重要数据识别行业标准研制,近期将公开发布实施,为行业企业识别重要数据提供参考依据。从电信领域看,基础电信企业和大型互联网企业普遍重视数据安全工作,在制度建设、技术防护等方面已有一定积累,行业领域较为聚焦,具备较好的数据分类分级和重要数据识别备案工作基础。从工业领域看,行业门类多,数据安全底子相对薄弱,数据分类分级和重要数据识别备案工作情况复杂、难度较大,需要进一步指导工业企业加强重要数据识别和目录报备。2024年2月,工业和信息化部印发《工业领域数据安全能力提升实施方案(2024-2026年)》,提出3年内实现数据分类分级覆盖年营收在各省(区、市)行业排名前10%的规上工业企业等目标。我们将持续迭代更新行业重要数据目录,明确企业需要申报出境评估的重要数据范围。
《工业领域数据安全能力提升实施方案(2024-2026年)》的总体目标。
促评估:在数据出境安全评估等工作中积极发挥行业担当,引导行业企业切实履行数据出境安全相关责任义务。《规定》明确了需要申报数据出境安全评估、订立个人信息出境标准合同的情形,细化了相关工作要求。数据出境安全评估由国家网信部门牵头,行业主管部门协同推进。工业和信息化部积极配合牵头部门,共同推动完善数据出境安全评估等制度机制,为行业企业数据出境安全评估做好引导和服务。强化政策宣贯,指导行业企业提升数据出境安全评估意识和能力,吃透《规定》要求,按程序开展出境评估工作,切实做到“应评尽评”。强化典型引领,提炼分析通过评估的重要数据清单、出境方式方法等内容,形成数据出境典型案例,加强案例教学和经验做法的宣传推广,指导行业企业提高数据出境安全评估工作效率和质量。强化衔接融合,将数据出境作为数据处理的重点环节,纳入行业数据全生命周期安全管理体系,推动数据出境安全评估与重要数据识别备案、分类分级保护、风险评估等工作同谋划、同部署、同落实。同时,我们也将加强总结行业数据出境的类型、场景、模式等特点和规律,向牵头部门反映企业生产经营、产业发展涉及的业务布局、资源调度、统筹管理等方面的数据跨境流动需求,支持企业的正当诉求。
行业企业要严格落实相关政策要求,主动与牵头部门和行业主管部门加强衔接,依法依规履行数据出境安全评估等义务。重要数据处理者还需要按照《数据安全法》《工业和信息化领域数据安全管理办法(试行)》等要求,自行或委托第三方评估机构,每年对其数据处理活动至少开展一次数据安全风险评估,并在风险评估工作中关注数据出境环节的安全问题。
强保护:深入摸排数据出境场景特点和安全风险,精准施策强化行业数据跨境流动安全风险防控。《规定》侧重针对特定场景的业务需求,在不包含个人信息或者重要数据的前提下,允许跨国生产制造等活动中产生的数据出境活动免予数据出境安全评估、个人信息标准合同和个人信息保护认证机制管理。同时,提出强化事前事中事后全链条全领域监管,发生或者可能发生数据安全事件的,要求及时向省级以上网信部门和其他有关主管部门报告,发现数据出境活动存在较大风险或发生数据安全事件的,要进行整改。工业和信息化部“点面结合”强化数据安全风险防控,构建上下联动、多方协同的行业数据安全风险信息报送与共享机制,打造“数安护航”专项行动等品牌,持续建立完善风险监测等技术能力,强化“以技管数”。我们将充分利用现有的机制手段,组织摸排工信领域数据出境典型场景面临的问题和风险,研究制定相应的数据保护实践指南,统筹技术资源赋能行业数据出境安全风险监测,为企业加强数据出境活动安全保障提供实操指引和技术支持。
行业企业要加快建立完善覆盖数据全生命周期的技术防护手段,加强数据出境等环节的风险监测、信息报送和应急响应,不断提升数据安全保护水平。要按照规定及时向行业主管部门上报数据出境风险或事件,加强风险防范和事件处置。
推创新:鼓励支持自贸区等创新建立数据跨境流动制度机制,推动行业管理要求纳入新制度新机制。《规定》专门就自贸区的数据跨境流动制度增设了“灵活空间”,自贸区牵头制定并实施的数据跨境负面清单机制,明确自贸区范围内负面清单之外的数据出境免予申报安全评估等,为高标准建设自贸区、打造高水平开放合作平台等提供了制度基础。
从具体实践来看,自贸区在根据自身发展方向建立数据跨境负面清单等制度机制时,应当在国家、行业等数据安全管理政策标准框架下开展,并顺应国内外新形势加强动态管理,确保不出现制度“漏洞”。此外,即使自贸区负面清单外的数据无需履行数据出境安全评估等程序,也要切实做好数据跨境流动安全保护,最大限度降低数据出境安全风险。
育产业:发挥数据安全产业牵头部门作用,促进各方加大数据出境安全相关技术产品供给。《规定》提出,数据处理者向境外提供数据的,应当遵守法律、法规的规定,履行数据安全保护义务,采取技术措施和其他必要措施,保障数据出境安全。具体采用哪些技术可以在数据出境安全保障中发挥作用,就需要“政产学研用”各方加强合作,加快贴合数据出境安全需求和场景的监测、溯源、防御等关键技术产品攻关,提供适配好用的“工具箱”。工业和信息化部承担牵头发展数据安全产业职责使命,前期联合国家网信办、国家发展改革委等十六部门印发《关于促进数据安全产业发展的指导意见》,提出数据安全技术和产品创新突破等重点任务。我们将围绕数据出境安全需求,引导各方加强技术攻关、产品研发和服务模式创新,加快人才培养,同时畅通供需对接渠道,以新需求带动数据出境安全技术产品迭代更新,提升产业供给水平。
协同推动我国数据跨境流动安全工作迈上新台阶
工信领域是我国数据跨境流动安全管理的重点领域之一。《规定》开启了数据跨境流动新阶段,工业和信息化部将与各相关部门加强协同,从宣贯引导、创新举措、国际合作三方面发力,共同开创我国数据跨境流动安全工作新局面。
加强数据跨境流动安全政策宣贯和理念宣导。组织开展《数据安全法》《工业和信息化领域数据安全管理办法(试行)》等法律政策宣贯的同时,加强《数据出境安全评估办法》《规定》等数据跨境流动政策制度宣贯解读,提高行业企业对数据安全及数据跨境流动管理的重视程度,不断提升安全意识和能力。通过多种方式宣传普及我国数据跨境流动安全理念和举措,凝聚业界共识,营造良好的工作氛围。
加快创新高质高效的数据跨境流动举措。贯彻落实《扎实推进高水平对外开放更大力度吸引和利用外资行动方案》要求,研究制定重点行业跨境数据流动一般数据清单,进一步畅通数据跨境流动渠道、扩大开放合作。面向数据跨境需求密集的汽车、跨境电商、互联网等行业,遴选一批行业数据跨境流动的典型案例,加强应用推广,形成引领带动效应。
深入开展数据跨境流动国际合作。推动我国与主要经贸伙伴国家和地区加快建立数据跨境流动合作机制,充分利用《区域全面经济伙伴关系协定》(RCEP)等国际和区域协议开展数据跨境流动国际合作。持续扩大《全球数据安全倡议》影响力,呼吁各国加强合作、摒弃对立。组织行业企事业单位参加数据安全、数据跨境流动等相关国际规则和标准制定,提出国际认可的中国方案,增强我国国际话语权。
《规定》的出台实施对于促进跨境数字贸易、扩大对外开放合作、提升国际数字治理竞争力等方面具有重要意义。工业和信息化部将配合中央网信办切实做好工信领域数据跨境流动相关工作,定期跟踪《规定》在行业领域的落地实施情况,广泛听取各方意见和建议,为进一步完善我国数据跨境流动安全管理制度、促进经济发展和国际合作等贡献工信力量。