本文章纯属作者本人的看法,不代表官方态度。作者也不是相关单位/行业的技术人员。本文章纯属作者基于网上的看法和作者个人的理解进行整
浅谈一下《企业跨境数据流动安全合规白皮书》的作用和看法警告:本文章纯属作者本人的看法,不代表官方态度。作者也不是相关单位/行业的技术人员。本文章纯属作者基于网上的看法和作者个人的理解进行整理,如果你有不同意见,以你为准。2023年2月20日中国移动在京发布了《企业跨境数据流动安全合规白皮书(2023)》。根据新华社的报道:“白皮书涵盖数据出境管理政策背景和完整的数据治理方法论,旨在为有“出海”需求的企业和社会组织提供相关知识和实操指导。”所以,这份白皮书到底都说了些什么?以及由“合规性驱动”转向“业务价值驱动”又是什么?在此之前,让我们来了解一下这份《白皮书》的背景:近年来,随着新一代ICT技术快速发展和广泛应用,全球经贸规则也迎来了数字化时代。数据的跨境流动是全球数字贸易的基本前提,不过各国对此都存在种种顾虑,推出了一系列管控法规。随着国际贸易和数字服务进出口规模的持续扩大,中国与境外的数据流动量持续增加,呈现出显著的规模化、区域化特点。2020年8月,商务部在《全面深化服务贸易创新发展试点总体方案》中提出,要积极开展数据跨境传输安全管理试点。2022年1月,国家发改委、商务部宣布将放宽跨境数据业务等相关领域市场准入,开展数据跨境传输(出境)安全管理试点,加速数据要素跨境市场建设,为促进跨境数据的自由、高效、有序流动奠定了良好基础。也就是说,本次《白皮书》推出的背景是中国将放宽跨境数据业务等相关领域市场准入。但是,由于历史原因,具体在数据跨境业务该怎么做的问题上,这份《白皮书》给了一个参考方案。这份白皮书设计了两个场景,分别是:“境内企业收集境内数据后向境外传输”和“境外企业直接收集并处理境内数据”。分别对应了国内企业“出海”和国外企业“进入”两种情况。本分《白皮书》重点强调了国内企业“出海”的相关规范。《白皮书》设计了一套国内企业出海的方案:该方案包括“境内总平台”和“境外子平台”两个部分。首先,国内企业在境内活动所收集的个人信息储存在境内。国内企业需设计一个“跨境数据供给区”对所以跨境数据进行“管控”与“风险评估”。其次,利用“跨境数据服务总线”统一为提供给境外的数据进行“数据脱敏”,同时“跨境数据服务总线”还将拥有“数据接口管控、数据获取权限控制”等能力。这就是“境内总平台”。“境外子平台”包括:“跨境数据管控子平台、跨境数据能力支撑组件建设两部分。跨境数据流动管控子平台对企业境外子公司数据安全资产、数据安全策略、数据安全能力进行统一管理,对跨境数据使用情况和风险进行上报。跨境数据能力组件围绕具体业务场景对境外子公司的数据安全行为进行保护。”总而言之:“企业需以数据为中心基于场景化的思路,根据具体场景开展跨境数据流动管控。企业一方面要遵循公司跨境数据流动管控和上级单位监管方面的场景要求,另一方面要围绕跨境数据出境后在境外子平台数据使用的相关场景开展数据安全保护,防止数据泄露。以身份为中心围绕跨境数据的采集、存储、使用等场景,对接口、人员进行基于身份的行为管控。”而对于“境外企业直接收集并处理境内数据”的情况由于没有直接给出方案或者看法,所以这里一笔带过。那由“合规性驱动”转向“业务价值驱动”又是什么?《白皮书》是这么表述的:“未来企业关注点将从满足监管要求转向为企业发展产生实际效能。企业跨境数据流动合规体系建设将从合规性驱动转向业务价值驱动,从而让合规投入从“成本投入”转变成“价值投资”。”简单来说,从作者的角度看,之后中国在对跨境数据的管控上,将会更加规范化,并进一步降低监管。《白皮书》中预测,未来五年企业跨境数据流动的监管规则将逐渐细化,不同行业会有不同的要求。同时,合规的数据流动技术也会日趋成熟并实现广泛应用,企业合规体系建设因此会逐步从“合规性驱动”转向“业务价值驱动”,帮助中国企业从数字贸易中赢得越来越多的收益,充分释放数字经济的生机与活力。参考信息:https://www.fromgeek.com/telecom/519437.htmlhttp://www.news.cn/fortune/2023-02/20/c_1129381449.htmhttp://221.179.172.81/images/20230220/38841676875798184.pdf
