中国工信部周四再度公开征求《工业和信息化领域数据安全管理办法(试行)》的意见,意见提出,重要工信数据需向境外提供的,应依法规进行安全评估,之前对于核心数据不得出境的规定则已删除。
这次工信部征求意见的管理办法提出,工业和信息化领域数据处理者在国内收集、产生的“重要数据”和“核心数据”,依法规应于境内储存。确实需要向境外提供的数据,则应当依法依规进行数据出境安全评估。
此外,非经工信部批准,工业和信息化领域数据处理者,不得向外国执法机构提供存储于中国境内的工业和信息化领域数据。工信部去年九月发布工业和信息化领域数据安全管理办法的征求意见稿,如今再次向社会征求意见。去年九月的征求意见稿中曾经明确要求,对中国国家和经济利益构成严重威胁的“核心数据”不得出境,不过这项要求在2月10日公布的版本中已被删除。
各类数据需进行分级防护
专研科技和网络政策的美国哈佛大学贝尔弗科学与国际事务中心(Harvard University Belfer Center for Science and International Affairs)研究员李之安向本台分析:“技术面和政策面的人要互相沟通,就像MIIT(工信部)会跟像是TC260(全国信息安全标准化技术委员会)的组织沟通,确保写政策的人跟工程师有同一个认知标准。”
在公告中,工信部要求对各类数据实行分级防护,分别为一般数据、重要数据和核心数据,相关领域数据处理者,应将重要数据和核心数据向地方工业和信息化主管部门(工业领域)或通信管理局(电信领域)或无线电管理机构(无线电领域)备案,备案内容包括数据类别、规模、使用范围、跨境传输、安全保护措施等基本情况,不包括数据内容本身。
同时工信部规定,工业和信息化领域数据处理者,应在数据公开前分析研判可能对公共利益、国家安全产生的影响,存在重大影响数据则不得公开。
美国南卡大学商务教授谢田指,中国政府对“危害国家安全”的定义广泛,许多在国外能够开诚布公的数据,在中国有可能影响到中共治理,反而会被定义“对国家安全产生影响”:“实际上任何数据都可能是威胁国家安全,用这个借口就可以禁止任何数据出口,说白了就是拿不到数据。”
防数据出境 外资选择出走
近期中国各监管部门防堵核心数据出境动作不断,相较于这次主要关注工业和信息化领域的数据,中国政府在去年十月就已经发布过《数据出境安全评估办法(征求意见稿)》,以个人信息和重要数据为主要管理对象,拟规定数据处理者向境外提供在中国境内营运中收集和产生的重要数据及个人资料,应依规进行安全评估。李之安强调,中国境内的任何重要数据要跨境输出很困难,即使能依法依规进行数据出境安全评估,评估标准仍然模糊不清,有些外资甚至选择离开中国。
“因为这不确定性太高了,”李之安说,“企业数据跨境规则繁多且标准不清,而在中国设立数据中心成本太高之下,有些外资选择离开中国市场。”
去年十一月,互联网企业雅虎(Yahoo)因应中国收紧规管措施,宣告退出中国市场,该公司表示,这一决定的原因是中国具有一个“越来越有难度的营商和法律环境”。去年11月1日生效的《个人信息保护法》堪称国际最严格的个资保护法之一,规定公司可以收集个人数据的条件,包括获得个人的同意,并规定在将数据传输到国外时确保数据保护的准则,个资出境须通过事前安全评估。
另一个严格要求个资保护的欧盟《通用数据保护条例》(GDPR)在2016年通过,规定在欧盟范围内收集用户数据的公司需要在欧洲的服务器上保存和处理数据,近年来还因此与美国互联网巨头有摩擦。不过李之安说,欧盟的个资法强调人权、隐私至上,但在中国个资法中“国家安全”则是首要考量。