數據跨境安全課題複雜,鄔賀銓院士:合規規則落實需要更多技術手段支持
南方財經全媒體記者馬嘉璐 廣州報道
數據是網絡空間的“血液”,相比於傳統的網絡安全,數據安全是融合了法律、經濟、國際關係等的跨領域課題,集中體現在數據跨境這一場景之中。9月10日,粵港澳大灣區數據跨境流動合作會議在2024年國家網絡安全宣傳週期間舉辦,多位參會專家指出,數據跨境對於數據流動的需求,帶來了更高的安全複雜性。中國工程院院士鄔賀銓指出,國家數據跨境規則制度的落實,還需要更多技術手段來支持。
數據流動帶來更高的安全複雜性
數據安全與網絡安全既有區別又有聯繫。中國科學院院士管曉宏曾撰文釐清數據安全的內涵,指出網絡空間的安全不僅包括網絡本身的安全,而且包括數據、信息系統、智能系統、信息物理融合系統等多個方面的廣義安全,數據安全是網絡空間安全的基礎。
會上,360數字安全集團數據安全業務負責人張建新表示,數據安全不再依附於網絡安全,而是超越了網絡安全。這是因爲數據需要流動,傳統網絡安全“扎籬笆”的老辦法在面對數據安全需求時,在設計思想、方法、制度、技術平臺等多方面存在瓶頸,達不到保護“多應用、大數據、全流動”的新安全要求。
具體到數據跨境這一場景,數據流動是必然要求,數據安全的複雜性更高。澳門特區政府個人資料保護局(前個人資料保護辦公室)局長楊崇蔚指出,站在不同的立場,如數據出境方、監管部門、乃至不同法域或不同國家的監管部門,對於數據跨境的安全考量也不盡相同,涉及信息技術、法律、管理、經濟、國際關係等多個領域。
“數據無界,安全有疆。”香港科技大學(廣州)校長倪明選表示,數據的安全跨境流動對於提升科技創新競爭力,以及加強國際技術產業創新合作具有至關重要的作用。粵港澳大灣區作爲全球數據體量最大的地區之一,有責任、有義務率先探索數據在跨境場景下的安全便利和有序流動。兼顧安全與發展,“兩手都要硬”。
當前,我國已初步建立起數據跨境流動的相關政策體系。今年3月22日,國家網信辦公佈實施了《促進和規範數據跨境流動規定》,適當放寬數據跨境流動條件,收窄數據出境安全評估範圍,在保障國家數據安全的前提下,進一步釋放數據要素價值。
在會議舉辦的同一天,國家網信辦與澳門經濟及科技發展局、澳門個人資料保護局共同制定公佈了《粵港澳大灣區(內地、澳門)個人信息跨境流動標準合同實施指引》。此前,內地與香港版的標準合同實施指引已於去年12月公佈。中央網信辦網絡數據管理局綜合處處長曾麗麗強調,大灣區數據跨境流動應當切實把握國家政策導向,結合灣區實際及時制定相關配套政策,探索建立既便利數據流動又保障安全的機制。
合規規則落地需要技術賦能
在企業實踐中,對數據跨境的安全保護往往面臨着成本的考量。廣東華進律師事務所合夥人陳曉薇分享了一個案例:一家印度公司在中國境內設立了子公司,此前將中國員工的信息都存儲在印度。爲了滿足合規要求,需要對信息系統進行整改。但經過財務測算,發現整改的成本過高,於是決定乾脆將中國子公司關閉。隨着《促進和規範數據跨境流動規定》的出臺,跨境人力資源管理的數據有望通過豁免出境,又給這家中國子公司帶來了轉機。
在一些大型企業中,數據跨境的安全合規還存在數據規模巨大、企業需要“自證清白”等難題。安信集團戰略規劃設計院院長林玉波認爲,應該通過技術爲數據出境合規監測賦能,保障數據出境持續合規。天融信科技集團副總裁王鵬也認爲,將制度要求轉化爲技術要求,有助於企業在跨境協同治理方面降低成本。
中國工程院院士鄔賀銓指出,對於數據跨境規則制度的落實,仍然需要更多技術手段的支持。比如,如何保證數據的接收方就是約定好的接收方?如何防止數據被劫持出境?如何檢測跨境數據中是否包含個人信息而且不超過規定的數量?目前已有多種技術手段可用於對數據流動的溯源、隔離、追蹤和脫敏處理,例如去中心化的數據空間、APN6等技術實踐,這些都是未來進一步研究的重要方向。他提出,當前隱私計算、數據空間等技術成本較高,中小企業難以負擔,可以由政府牽頭建設,再提供給中小企業使用。
新技術的出現給數據跨境安全管理帶來更多可能。會上,北京古盤創世科技有限公司總經理張海鷹介紹了一種“零知數據安全技術”,通過碎片化的隱私存儲、隱私計算、多鏈路傳輸、防泄漏投射沙箱等,實現多方共管式的數權保護和控制,可以在數據分享、高速讀寫、泄露防護、複製防護、長臂審計、數據銷燬等方面,提供更加便捷的安全管理方式。