数据跨境流动、个人信息保护与数字韧性建设
AI智能总结
数据跨境流动、个人信息保护与数字韧性建设 江天骄姚旭主编复旦大学发展研究院2024年10月 报告主编: 江天骄复旦大学发展研究院副教授金砖国家研究中心副主任 姚旭复旦大学发展研究院青年副研究员上海数据研究院特聘研究员 行业导师: 陈文昊植德律师事务所数据合规业务合伙人、合规部负责人 报告组成员: 金子韫复旦大学外国语言文学学院吴致远复旦大学社会发展与公共政策学院邢嘉耀复旦大学国际关系与公共事务学院姚媛复旦大学哲学学院马怡宁复旦大学中国语言文学系陈梓培复旦大学哲学学院郎瑾怡复旦大学法学院张桐语复旦大学护理学院 目 前言前言:中国企业数据出境与安全监管的平衡:降低合规成本,释放经济活力。以实践为导向的跨境数据流动治理:全球经验与中国方案12我国个人信息删除权保护的优化路径一一基于个体、企业、政府三视角,21应对数据再识别风险:个人信息匿名化的问题与对策.31“数字韧性”在企业发展中的运用..38关于推动上海市数据安全技术发展,进一步朝产研协同方向发展的政策建议.44打造良好数字运营模式,推动城市数字化转型..51数字化环境下大型活动组织面临的挑战与应对措施:以交通领域为例。.57 前言一 过程中扮演着至关重要的角色。而如何让数据自由有序的流动是各国在制定监管政策中的难点。过去儿年,我国基本建立了以《网全法律体系,并在统筹发展与安全的原则下于2022年9月1日开始实施《数据出境安全评估办法》。2022年12月,中共中央、国务院发布《关于构建数据基础制度更好发展数据要素作用的意见》(简称“数据二十条”),鼓励探索促进数据自由有序高效流动的新模式。2023年中央经济工作会议强调“扩大高水平对外开放”,加快完善跨境数据流动监管体系制度势在必行。今年3月,“推动解决数据跨境流动等问题”更是首次写入两会政府工作报告。 在此背景下,国家网信办于2024年3月22日公布了《促进和规范数据跨境流动规定》,进一步推动了数据跨境流动问题的解决,为我国经济实现高水平对外开放奠定了重要的制度和法律基础。与此同时,新规依旧强调企业对于个人信息保护方面的合规要求,筑牢数据安全底座。在党的二十届三中全会上通过的《中共中央关于进一步全面深化改革推进中国式现代化的决定》也对 “提开数据安全治理监管能力,建立高效便利安全的数据跨境流动机制”做出了明确要求。 围绕“数据跨境流动”和“个人信息保护”这两个高频词,本报告课题组就如何在自由有序的数据流动中兼顾发展与安全这一问题走访相关企业和监管部门,开展一线调研。从更为宏观的视角来看,所谓的兼顾与平衡其实是一座城市甚至是国家在积极推动数字化转型过程中的“数字韧性”建设。这是应对未来地缘政治、地缘经济、地缘技术发展不确定性的竞争力所在, 江天骄 复旦大学发展研究院副教授 前言二 随看全球城市化进程的加速和数学技术的迅猛发展,城市治理的复杂性不断增加。在现代数字社会中,数据治理作为城市管理的重要手段,已成为提开城市运行效率、推动可持续发展的关键环节。数据的收集、存储、分析和使用,不仅影响到城市日常运营,还涉及到数据安全、隐私保护、跨境数据流动以及数字韧性城市建设等多个维度。在这一背景下,探讨数据治理在城市治理中的重要性,以及它与数据跨境流动、个人数据保护和数字韧性城市建设之间的关系,具有现实的指导意义。 数据治理的核心在于通过制定有效的政策、标准和程序,确保数据在全生命周期内被妥善管理。数据已成为现代城市运营的“新石油”,贯穿于交通管理、公共服务、应急响应、环境保护等多个领域。城市通过对数据的科学分析和合理利用,能够提升决策效率、优化资源配置、降低运行成本,进而推动智慧城市的发展。 从对外向度看,随着全球化和数字化的深度融合,跨境数据流动带来了丰富的技术资源和国际合作机会,特别是在智慧城市建设中,全球领先的技术公司可以通过数据和技术的共享,助力城市提开治理水平。然而,数据跨境流动也伴随看法律和监管的 挑战。不同国家和地区对数据隐私、数据安全的法律框架各不相司,这为数据跨境传输设立了诸多障碍。对于上海这样的开放前沿城市来说,意味看需要在全球化合作与安全治理之间找到平衡点。 从对内向度看,个人数据保护也逐渐成为城市数据治理中的焦点议题。在智慧城市的运行中,个人数据的收集和使用无处不在,从市民的出行记录到医疗健康信息,数据的利用为城市服务的精准性和效率带来了显著提升。然而,如何在不损害个人隐私的前提下合理利用数据,是现代城市治理必须面对的难题。 城市的数字韧性建设在此背景下显得尤为重要。具有数字韧性的城市,能够通过强大的数据治理体系,迅速应对各种挑战,确保城市运行的连续性和稳定性。数据跨境流动、个人数据保护和数字韧性城市建设相互交织,构成了现代城市治理不可分割的一部分。未来,城市必须继续强化数据治理框架,在全球数据合作、隐私保护和数字安全之间找到平衡点,才能更好地应对数字时代的复杂挑战,推动城市的可持续发展。 姚旭 复旦大学发展研究院青年副研究员 中国企业数据出境与安全监管的平衡: 降低合规成本,释放经济活力 金子 在数字经济迅猛发展的今大,数据无疑已成为推动社会进步和助力经济增长的核心要素。随着中国企业在全球市场的跨境贸易活动愈发频繁,数据跨境流动的需求也随之激增。然而,这种大规模的数据流动不可避免地带来了数据安全隐患,如何在数据的自由流动与国家安全之间找到平衡点,成为我国当前呕待解决的问题。尽管我国已经建立了完备的数据安全法律体系和监管架构,但在实际操作层面,企业依然面临着合规成本高昂、监管要求与企业实际需求不匹配等难题。本文探讨在严格保障数据安全的基础上,如何有效降低企业合规成本,从而更充分地释放数据跨境流动所蕴含的巨大经济价值,为我国经济的持续稳健发展注入新的活力。 一、数据出境的背景与现状 1.数据治理体系的演进。我国为了保护国家利益,对跨境数据流动实行严格监管。近年来,中国通过《网络安全法》《数据安全法》和《个人信息保护法》建立了较为完备的数据出境监管体系。根据《数据安全法》第三十一条,跨境数据流动主要由国家网信 办和国务院有关部门监管。然而,尽管法律体系已然基本完备,但在实际操作层面仍存在诸多挑战,驱待解决。 2.企业与政府之间的诉求差异。在数据出境问题上,监管部门以保障数据安全为首要任务,而企业则更注重业务开展的便利性和效率。因此,国家监管部门的保障数据安全的使命与出海企业的数据流动诉求之间存在一定冲突。这种立场上的差异导致了双方在实际操作中的矛盾,如监管部门的要求与企业运营模式存在冲突、监管规定与技术操作之间存在误区、安全评估流程几长繁琐等,这些都增加了企业的合规成本。 二、现存问题的深入剖析 1.监管部门与企业间的信息不对称。关于企业数据出境问题在实务操作中,监管部门会先行评估数据出境的必要性,进而审核其合法性。然而,因对企业业务模式的深入了解有所欠缺,监管部门与企业之间在“必要性”的判定上可能会出现偏差。以某外国酒店企业为例,该企业在华运营时,因其数据库服务器位于海外,使得中国客户在国内预订酒店时亦产生数据出境的情形监管部门因判断此类数据出境为“非必要”,故要求该企业在我压境内建立独立的预订系统。但值得注意的是,跨国酒店企业在海外经营时通常仅享有经营权而无产权。若遵循监管部门之指示,企业将面临极高的合规成本,甚至可能因此被迫退出市场。显然 监管部门对行业的了解不足,已对数据出境的实际操作构成影响,加大了企业在合规过程中的难度与成本负担。 2.法律规定与技术操作之间的误区。尽管相关法律对数据出境活动已经提出了清晰明确的规范性要求,然而,在实际的技术操作过程中却显露出诸多误区。以敏感信息的处理为例,法律条文虽明确要求对其进行删除,但并未提供详尽的操作指南,这使得企业在面对物理删除与逻辑删除两种选项时陷入两难境地。物理删除代表看数据的永久性、不可恢复性擦除;相较之下,逻辑删除仅仅是让数据在系统中呈现为不可见状态,而数据本体依旧留存于系统内部。其中,彻底删除敏感信息的作业往往涉及复杂的技术流程和操作,增加了企业的技术实施难度与成本支出。由于规定上的不确定性,企业在具体操作时常常感到无所适从,难以把握合规尺度。 此外,在数据出境环节中的用户信息诺名化处理,同样存在着技术操作上的误区。理论上,当信息处理至无法与具体个人信息产生关联的程度时,我们便可认定其达到了名化的标准。但现实情况是,蓓名化技术自前尚缺之一个统一、明确的国家标准,这使得企业在实施时难以找到准确的参考依据。同时,相关部门对诺名化技术的认证持有极为审慎的态度,进一步加剧了操作的复杂性。综上所述,在法律规定与技术落实之间存在着明显的落 差。这些误区不仅让企业在合规工作中步履维艰,更在无形中大幅提升了合规的成本。“,, 3.审核标准的模糊与流程的复杂。监管部门审核标准的不明确性和审核流程的复杂性也显著增加了企业的合规成本,对企业的数据出境效率造成了不利影响。在数据出境安全评估过程中,尽旦两类数据的具体界定标准却模糊不清。这导致企业在对数据进行分类时,往往倾尚于将存疑数据归类为重要数据以提交审查,从而加大了监管部门的审查工作量,同时也提升了企业自身的合规成本。 此外,根据《数据出境安全评估办法》的相关规定,当企业计划将涉及超过100方人的个人信息数据传输出境时,必须履行安全评估申报义务。对于规模较大的公司而言,这一标准相对容易被触发。且即便企业仅传输用户已明确同意共享且符合个人信息保护规定的数据,也仍需按照要求进行安全评估申报,这无疑给企业带来了额外的运营成本。 再者,网信办所规定的安全评估审批流程要求企业在完成自我评估后,进一步提交相关材料以供正式的安全评估。审核流程的繁性和审批周期的漫长性均给企业造成了不小的合规成本负担,并可能影响企业及时把握市场机遇,从而制约其业务发展。 面对此种状况,部分企业或许会考虑通过非止式途径进行数据转移,以规避繁杂的审批流程,但此举无疑增添了潜在风险。 三、针对性的优化措施 1.加强监管部门与企业的有效沟通。为了有效缓解监管部门与企业之间存在的信息不对称问题,建立一个健全的信息共享机制显得至关重要。为了实现这一目标,监管部门应积极采取措施主动与企业携手,共同构建稳定且高效的信息交流桥梁。通过定期组织座谈会、研讨会或利用线上交流平台,双方可以围绕数据出境的必要性、行业发展的最新趋势以及合规面临的挑战等核心议题展开深入探讨。这样的交流不仅有助于监管部门更深入地了解企业的真实需求和独特的运营模式,从而确保所出台的政策更加符合实际情况,更具操作性和针对性。 同时,企业也应承担起相应的责任,主动向监管部门提供详尽的产业商业模式报告,帮助监管部门更全面地掌握行业的整体状况,为其在制定和执行政策时提供有力的数据支撑。通过这样的双向信息交流,可以促进监管部门与企业之间的良性互动,共同推动一个更加高效的数据出境管理环境的形成。 2.细化法规内容以提供明确指导。针对法律规定与实际操作之间可能存在的误区,我们迫切需要采取全面且系统的应对策略。首要任务是对现有的法律条文进行深入的精细化解读与全面释 进而整合形成一套系统、明确且具有高度指导性的技术操作手册,旨在为企业提供清晰的技术操作指引。具体而言,可以制定关于敏感信息删除的详尽操作指南,明确列出步骤和注意事项,以及制定关于名化技术的具体标准和实施细节。通过这些措施,我们能够确保企业在实际操作过程中精准遵循法律规定,避免因理解偏差或操作不当而导致的法律风险。此外,构建数据合规咨询平台也是一项可取的举措。这些平台将实时为企业提供法律咨询和技术支持服务,确保企业在遇到难题或困惑时,能够迅速获得专业、准确的解决方案。 3.简化审批流程以降低合规成本。在审核标准与流程方面,同样需要进一步的优化和完善。首先,监管部门驱需颁布更为详尽的审核准则。具体而言,应进一步阐释“重要数据”与“一般数据”的界定标准,通过法规的细化和具体化,为企业提供清晰的数据分类指引,同时也有助于减少因误判而导致的不必要审查工作量,
