数据跨境安全课题复杂,邬贺铨院士:合规规则落实需要更多技术手段支持

南方财经全媒体记者马嘉璐 广州报道

数据是网络空间的“血液”,相比于传统的网络安全,数据安全是融合了法律、经济、国际关系等的跨领域课题,集中体现在数据跨境这一场景之中。9月10日,粤港澳大湾区数据跨境流动合作会议在2024年国家网络安全宣传周期间举办,多位参会专家指出,数据跨境对于数据流动的需求,带来了更高的安全复杂性。中国工程院院士邬贺铨指出,国家数据跨境规则制度的落实,还需要更多技术手段来支持。

数据流动带来更高的安全复杂性

数据安全与网络安全既有区别又有联系。中国科学院院士管晓宏曾撰文厘清数据安全的内涵,指出网络空间的安全不仅包括网络本身的安全,而且包括数据、信息系统、智能系统、信息物理融合系统等多个方面的广义安全,数据安全是网络空间安全的基础。

会上,360数字安全集团数据安全业务负责人张建新表示,数据安全不再依附于网络安全,而是超越了网络安全。这是因为数据需要流动,传统网络安全“扎篱笆”的老办法在面对数据安全需求时,在设计思想、方法、制度、技术平台等多方面存在瓶颈,达不到保护“多应用、大数据、全流动”的新安全要求。

具体到数据跨境这一场景,数据流动是必然要求,数据安全的复杂性更高。澳门特区政府个人资料保护局(前个人资料保护办公室)局长杨崇蔚指出,站在不同的立场,如数据出境方、监管部门、乃至不同法域或不同国家的监管部门,对于数据跨境的安全考量也不尽相同,涉及信息技术、法律、管理、经济、国际关系等多个领域。

“数据无界,安全有疆。”香港科技大学(广州)校长倪明选表示,数据的安全跨境流动对于提升科技创新竞争力,以及加强国际技术产业创新合作具有至关重要的作用。粤港澳大湾区作为全球数据体量最大的地区之一,有责任、有义务率先探索数据在跨境场景下的安全便利和有序流动。兼顾安全与发展,“两手都要硬”。

当前,我国已初步建立起数据跨境流动的相关政策体系。今年3月22日,国家网信办公布实施了《促进和规范数据跨境流动规定》,适当放宽数据跨境流动条件,收窄数据出境安全评估范围,在保障国家数据安全的前提下,进一步释放数据要素价值。

在会议举办的同一天,国家网信办与澳门经济及科技发展局、澳门个人资料保护局共同制定公布了《粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同实施指引》。此前,内地与香港版的标准合同实施指引已于去年12月公布。中央网信办网络数据管理局综合处处长曾丽丽强调,大湾区数据跨境流动应当切实把握国家政策导向,结合湾区实际及时制定相关配套政策,探索建立既便利数据流动又保障安全的机制。

合规规则落地需要技术赋能

在企业实践中,对数据跨境的安全保护往往面临着成本的考量。广东华进律师事务所合伙人陈晓薇分享了一个案例:一家印度公司在中国境内设立了子公司,此前将中国员工的信息都存储在印度。为了满足合规要求,需要对信息系统进行整改。但经过财务测算,发现整改的成本过高,于是决定干脆将中国子公司关闭。随着《促进和规范数据跨境流动规定》的出台,跨境人力资源管理的数据有望通过豁免出境,又给这家中国子公司带来了转机。

在一些大型企业中,数据跨境的安全合规还存在数据规模巨大、企业需要“自证清白”等难题。安信集团战略规划设计院院长林玉波认为,应该通过技术为数据出境合规监测赋能,保障数据出境持续合规。天融信科技集团副总裁王鹏也认为,将制度要求转化为技术要求,有助于企业在跨境协同治理方面降低成本。

中国工程院院士邬贺铨指出,对于数据跨境规则制度的落实,仍然需要更多技术手段的支持。比如,如何保证数据的接收方就是约定好的接收方?如何防止数据被劫持出境?如何检测跨境数据中是否包含个人信息而且不超过规定的数量?目前已有多种技术手段可用于对数据流动的溯源、隔离、追踪和脱敏处理,例如去中心化的数据空间、APN6等技术实践,这些都是未来进一步研究的重要方向。他提出,当前隐私计算、数据空间等技术成本较高,中小企业难以负担,可以由政府牵头建设,再提供给中小企业使用。

新技术的出现给数据跨境安全管理带来更多可能。会上,北京古盘创世科技有限公司总经理张海鹰介绍了一种“零知数据安全技术”,通过碎片化的隐私存储、隐私计算、多链路传输、防泄漏投射沙箱等,实现多方共管式的数权保护和控制,可以在数据分享、高速读写、泄露防护、复制防护、长臂审计、数据销毁等方面,提供更加便捷的安全管理方式。