以《习近平关于网络强国论述》指引数据跨境监管工作推进

2021-03-07张泰李盛葆

网络安全技术与应用 2021年9期

◆张泰李盛葆

◆张泰李盛葆

（国家计算机网络应急技术处理协调中心山东分中心山东 250002）

作为一线的网信工作者，学习好、研究好、宣传好、运用好《习近平关于网络强国论述摘编》是一项重要政治任务。《摘编》中总书记对于数据跨境传输的一系列重要论述，对我国做好数据跨境传输相关法律及制度建设具有重要指导意义。本文分析了相关论述的内在逻辑与联系，指出了监管跨境数据传输的重要意义及相关部门立法等当前进展。

网络强国论述；理论研究；数据安全；跨境数据传输；监管政策

党的十八大以来，习近平总书记高度重视网络安全和信息化工作，从信息化发展大势和国际国内大局出发，将马克思主义基本原理与我国互联网发展治理实践相结合，就网信工作提出了一系列新思想新观点新论断，深刻回答了一系列方向性、根本性、全局性、战略性重大问题，形成了内涵丰富、科学系统的习近平总书记关于网络强国的重要思想[1]。

通过学习《习近平关于网络强国论述摘编》，我们应当认真理解总结习近平总书记对网络主权及数据跨境的观点与主张，并将其作为做好新时代网络安全和信息化相关工作的基本遵循。

1 网络主权是国家主权的一部分

习近平总书记指出，推进全球互联网治理体系变革，首要原则就是尊重网络主权。《联合国宪章》确立的主权平等原则是当代国际关系的基本准则，覆盖国与国交往各个领域，其原则和精神也应该适用于网络空间[2]。

1.1 互联网发展深刻改变了世界格局

习近平总书记指出，纵观世界文明史，人类先后经历了农业革命、工业革命、信息革命。每一次产业技术革命，都给人类生产生活带来巨大而深刻的影响。现在，以互联网为代表的信息技术日新月异，引领了社会生产新变革，创造了人类生活新空间，拓展了国家治理新领域，极大提高了人类认识世界、改造世界的能力。互联网让世界变成了“鸡犬之声相闻”的地球村，相隔万里的人们不再“老死不相往来”。世界因互联网而更多彩，生活因互联网而更丰富[2]。

2020年，蔓延的新冠肺炎疫情给世界带来了深重的灾难，与此同时，网络信息技术大显身手，大数据有力支撑疫情防控和复工复产、复商复学，数字经济异军突起，不断催生新模式、新业态，电子商务、智慧物流、“宅经济”等无接触经济蓬勃发展，有效保障了疫情期间基本经济活动和物资供应，有力对冲了疫情给经济社会运行造成的不利影响[3]。

1.2 各国信息主权不容侵犯

习近平总书记指出，互联网发展对国家主权、安全、发展利益提出了新的挑战，必须认真应对。虽然互联网具有高度全球化的特征，但每一个国家在信息领域的主权权益都不应受到侵犯，互联网技术再发展也不能侵犯他国的信息主权。在信息领域没有双重标准，各国都有权维护自己的信息安全[2]。

网络主权是一国主权在网络空间的延伸，在信息技术快速发展的时代，各国通过网络已连接成一个整体，但这并不意味着各国网络主权可以被模糊甚至被遗忘。在不少人的观念中，网络空间是虚拟的。但一个不争的事实是，与网络相关的设施和使用者都处在特定主权国家的管辖范围之内[4]。

1.3 我国提出网络空间命运共同体的理念主张

习近平在第二届世界互联网大会提出坚持尊重网络主权、维护和平安全、促进开放合作、构建良好秩序的“四项原则”、加快全球网络基础设施建设、打造网上文化交流共享平台、推动网络经济创新发展、保障网络安全、构建互联网治理体系等构建网络空间命运共同体的“五点主张”，倡导尊重网络主权，推动构建网络空间命运共同体，为全球互联网发展治理贡献了中国智慧、中国方案。这“四项原则”、“五点主张”，成为习近平总书记构建人类命运共同体的重要思想的重要组成部分，充分体现了总书记对信息时代的科学把握、对人类福祉的高度关切、对未来发展的远见卓识，反映了世界绝大多数国家特别是广大发展中国家的共同心声，为全球互联网发展治理贡献了中国智慧和中国方案[1]。

世界互联网大会组委会呼吁，各国政府、国际组织、互联网企业、技术社群、社会组织和公民个人坚持共商共建共享的全球治理观，秉持“发展共同推进、安全共同维护、治理共同参与、成果共同分享”的理念，把网络空间建设成为造福全人类的发展共同体、安全共同体、责任共同体、利益共同体[5]。

2 数据安全直接关系网络主权

习近平总书记指出，网络信息是跨国界流动的，信息流引领技术流、资金流、人才流，信息资源日益成为重要生产要素和社会财富，信息掌握的多寡成为国家软实力和竞争力的重要标志[2]。

进入信息时代，随着信息技术和人类生产生活交汇融合，互联网快速普及，全球数据呈现爆发增长、海量集聚的特点，数据日益成为重要战略资源和新生产要素，对经济发展、国家治理、社会管理、人民生活都产生重大影响，数据掌控能力日益成为衡量国家竞争力的关键因素。

2.1 我国提出《全球数据安全倡议》

习近平总书记指出，中国提出《全球数据安全倡议》，并愿以此为基础，同各方探讨并制定全球数字治理规则。[2]

《全球数据安全倡议》认为，各国都有权依法保护本国的数据安全，保护数据安全对数字经济健康发展至关重要。各国应以事实为依据全面客观看待数据安全问题，积极维护全球信息技术产品和服务的供应链开放、安全、稳定。各国应反对利用信息技术破坏他国关键基础设施或窃取重要数据，以及利用其从事危害他国国家安全和社会公共利益的行为。

2.2 我国网络空间国际话语权有待进一步提升

习近平总书记指出，大国网络安全博弈，不单是技术博弈，还是理念博弈、话语权博弈。从国际治理看，全球互联网治理规则不健全、秩序不合理等问题突出，我国网络空间国际话语权和影响力有待进一步提升[2]。

例如，部分国家推行所谓“清洁网络”计划，企图在国际互联网平台复制霸权战略，以“清洁”之名行“清洗”之实，打着“安全”的幌子围猎他国领先企业。这种置国际公义于不顾的“惊世”贪婪，这种人为建立数字屏障、割裂全球网络空间的疯狂霸道，严重干扰和阻碍全球数字合作与发展。

2.3 要切实保障国家数据安全

习近平总书记指出，要切实保障国家数据安全。要加强关键信息基础设施安全保护，强化国家关键数据资源保护能力，增强数据安全预警和溯源能力。要加强政策、监管、法律的统筹协调，加快法规制度建设。要制定数据资源确权、开放、流通、交易相关制度，完善数据产权保护制度。要加大对技术专利、数字版权、数字内容产品及个人隐私等的保护力度，维护人民群众利益、社会稳定、国家安全[2]。

我国是数据大国，维护数据安全任务艰巨，既面临加强数据全生命周期管理的迫切问题，又面临数据赖以承载的硬件设备、基础设施等方面的短板难题，亟须加强顶层涉及、统筹推进。

3 数据跨境对数据安全带来的不利影响

数据跨境流动，是指通过各种技术和方法，实现数据跨越国境（地理疆域）的流动。随着数字经济的发展，数据跨境流动成为关系各国政治、经济、社会的核心议题。

3.1 数据跨境关乎政治安全

包括个人、企业和国家数据等在内的数据早已不仅是国家“软实力”体现，更关涉情报、军事、国防等国家安全领域。

用户画像、算法推荐等大数据技术，在深刻改变网络信息传播方式的同时，也对国家安全带来隐患。例如，2016年，英国剑桥分析大数据公司利用脸书搜集了超过5000万用户资料，通过大数据分析手段对用户精准画像，并向他们推送定制广告甚至假新闻，在特朗普当选美国总统和英国脱欧公投中都起了推波助澜作用。

3.2 国外企业在我国收集数据行为多发

微软、苹果、亚马逊等国外科技巨头通过在我国境内开展业务、与企业开展合作等方式，大量获取数据资源。随着电动汽车技术的发展，搭载各种摄像头及智能芯片的特斯拉汽车将终端获取到的数据传回美国。另外，高端工业控制系统使用私有通信协议、专用交换接口和特殊数据格式，一些外国企业常以技术维护、检测等为理由传输设备数据，例如机电设备公司在我国境内收集的风电监控诊断数据可直接传输到其设立于欧洲的数据中心；医疗设备公司的医疗影响数据可直接传输到境外服务器。

3.3 掌握大量数据的境内企业行为缺乏监督

我国部分企业掌握海量数据，很多涉及关键信息基础设施、地理测绘信息、人口法人基础、人类遗传资源等，在经济运行、内容审核、市场监管、社会治理等方面拥有极大优势。不少企业对数据跨境安全保护不足，国际业务架构设计未充分考虑境内与境外的区别，对数据海外存储、跨境数据流动等缺乏安全管理手段。

4 完善对数据跨境的监管举措

习近平总书记指出，要深入实施网络安全法，加强数据安全管理，加大个人信息保护力度，规范互联网企业和机构对个人信息的采集使用，特别是做好数据跨境流动的安全评估和监管。[2]

在习近平总书记网络强国重要思想的指导下，我国有关部门积极推进数据跨境安全管理相关政策的制定、试点和实施。《网络安全法》第三十七条对关键信息基础设施数据提出了出境安全评估要求，相关主管部门通过规章或规范性文件、标准等不断完善我国数据跨境流动管理政策体系。

4.1 国家网信办制定《个人信息出境安全评估办法（征求意见稿）》

为保障个人信息安全，维护网络空间主权、国家安全、社会公共利益，保护公民、法人的合法权益，2019年，国家互联网信息办公室起草了《个人信息出境安全评估办法（征求意见稿）》。

《个人信息出境安全评估办法（征求意见稿）》建构的个人信息出境安全评估制度以全面的风险管理为基本的制度逻辑，其侧重于事先安全评估、以合同管理机制为中心的跨境流动规范框架旨在最大限度避免可能的数据业务阻碍情形，进而更好地实现具体业务场景中安全与发展的动态平衡关系，反映了国家主管部门对跨境数据业务友好型治理机制的总体思路与努力方向。

4.2 国务院发布《中华人民共和国人类遗传资源管理条例》

2019年，《中华人民共和国人类遗传资源管理条例》发布。条例明确了人类遗传资源相关数据在采集、存储、对外提供和开放使用等方面的具体要求。规定将人类遗传资源信息向外国组织、个人及其设立或者实际控制的机构提供或者开放使用的，须向国务院科学技术行政部门备案并提交信息备份。上述相关规定对我国生物数据安全的治理提供了强有力的支撑。科技部依据《条例》建立了完整的人类遗传资源信息备案及备份的数据管理体系，引导人类遗传资源数据有序的开放共享和科研交流，加强了对个人隐私权及国家数据主权的保护。

4.3 商务部发布《全面深化服务贸易创新发展试点总体方案》

根据《国务院关于同意全面深化服务贸易创新发展试点的批复》，2020年，商务部制定《全面深化服务贸易创新发展试点总体方案》，对标国际高标准高水平，探索构建与我国数字经济创新发展相适应、与我国数字经济国际地位相匹配的数字营商环境。

举措要求，支持试点开展数据跨境流动安全评估，建立数据保护能力认证、数据流通备份审查、跨境数据流动和交易风险评估等数据安全管理机制。鼓励有关试点地区参与数字规则国际合作，加大对数据的保护力度。

4.4 国家网信办发布《网络安全审查办法》

为及早发现并避免采购产品和服务给关键信息基础设施运行带来风险和危害，保障关键信息基础设施供应链安全，维护国家安全。2020年，国家网信办等12部门制定发布《网络安全审查办法》，为我国开展网络安全审查工作提供了重要的制度保障。

办法要求，对于申报网络安全审查的采购活动，运营者应通过采购文件、协议等要求产品和服务提供者配合网络安全审查，包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备，无正当理由不中断产品供应或必要的技术支持服务等。这一条款有效体现了对境外产品提供者的约束力。

4.5 全国人大制定《数据安全法（草案）》与《个人信息保护法（草案）》

为及时回应广大人民群众的呼声和期待，落实党中央部署要求，2020年，全国人大先后制定《数据安全法（草案）》与《个人信息保护法（草案）》。

《数据安全法（草案）》明确各部门对本地区、本部门工作中产生、汇总、加工的数据及数据安全负主体责任。提出国家积极开展数据领域国际交流与合作，参与数据安全相关国际规则和标准的制定，促进数据跨境安全、自由流动。《个人信息保护法（草案）》明确在我国境内处理个人信息的活动适用本法的同时，借鉴有关国家和地区做法，赋予本法必要的域外适用效力，以充分保护我国境内个人的权益。