数据跨境安全课题复杂，邬贺铨院士：合规规则落实需要更多技术手段支持

南方财经全媒体记者马嘉璐 广州报道

数据是网络空间的“血液”，相比于传统的网络安全，数据安全是融合了法律、经济、国际关系等的跨领域课题，集中体现在数据跨境这一场景之中。9月10日，粤港澳大湾区数据跨境流动合作会议在2024年国家网络安全宣传周期间举办，多位参会专家指出，数据跨境对于数据流动的需求，带来了更高的安全复杂性。中国工程院院士邬贺铨指出，国家数据跨境规则制度的落实，还需要更多技术手段来支持。

数据流动带来更高的安全复杂性

数据安全与网络安全既有区别又有联系。中国科学院院士管晓宏曾撰文厘清数据安全的内涵，指出网络空间的安全不仅包括网络本身的安全，而且包括数据、信息系统、智能系统、信息物理融合系统等多个方面的广义安全，数据安全是网络空间安全的基础。

会上，360数字安全集团数据安全业务负责人张建新表示，数据安全不再依附于网络安全，而是超越了网络安全。这是因为数据需要流动，传统网络安全“扎篱笆”的老办法在面对数据安全需求时，在设计思想、方法、制度、技术平台等多方面存在瓶颈，达不到保护“多应用、大数据、全流动”的新安全要求。

具体到数据跨境这一场景，数据流动是必然要求，数据安全的复杂性更高。澳门特区政府个人资料保护局（前个人资料保护办公室）局长杨崇蔚指出，站在不同的立场，如数据出境方、监管部门、乃至不同法域或不同国家的监管部门，对于数据跨境的安全考量也不尽相同，涉及信息技术、法律、管理、经济、国际关系等多个领域。

“数据无界，安全有疆。”香港科技大学（广州）校长倪明选表示，数据的安全跨境流动对于提升科技创新竞争力，以及加强国际技术产业创新合作具有至关重要的作用。粤港澳大湾区作为全球数据体量最大的地区之一，有责任、有义务率先探索数据在跨境场景下的安全便利和有序流动。兼顾安全与发展，“两手都要硬”。

当前，我国已初步建立起数据跨境流动的相关政策体系。今年3月22日，国家网信办公布实施了《促进和规范数据跨境流动规定》，适当放宽数据跨境流动条件，收窄数据出境安全评估范围，在保障国家数据安全的前提下，进一步释放数据要素价值。

在会议举办的同一天，国家网信办与澳门经济及科技发展局、澳门个人资料保护局共同制定公布了《粤港澳大湾区（内地、澳门）个人信息跨境流动标准合同实施指引》。此前，内地与香港版的标准合同实施指引已于去年12月公布。中央网信办网络数据管理局综合处处长曾丽丽强调，大湾区数据跨境流动应当切实把握国家政策导向，结合湾区实际及时制定相关配套政策，探索建立既便利数据流动又保障安全的机制。

合规规则落地需要技术赋能

在企业实践中，对数据跨境的安全保护往往面临着成本的考量。广东华进律师事务所合伙人陈晓薇分享了一个案例：一家印度公司在中国境内设立了子公司，此前将中国员工的信息都存储在印度。为了满足合规要求，需要对信息系统进行整改。但经过财务测算，发现整改的成本过高，于是决定干脆将中国子公司关闭。随着《促进和规范数据跨境流动规定》的出台，跨境人力资源管理的数据有望通过豁免出境，又给这家中国子公司带来了转机。

在一些大型企业中，数据跨境的安全合规还存在数据规模巨大、企业需要“自证清白”等难题。安信集团战略规划设计院院长林玉波认为，应该通过技术为数据出境合规监测赋能，保障数据出境持续合规。天融信科技集团副总裁王鹏也认为，将制度要求转化为技术要求，有助于企业在跨境协同治理方面降低成本。

中国工程院院士邬贺铨指出，对于数据跨境规则制度的落实，仍然需要更多技术手段的支持。比如，如何保证数据的接收方就是约定好的接收方？如何防止数据被劫持出境？如何检测跨境数据中是否包含个人信息而且不超过规定的数量？目前已有多种技术手段可用于对数据流动的溯源、隔离、追踪和脱敏处理，例如去中心化的数据空间、APN6等技术实践，这些都是未来进一步研究的重要方向。他提出，当前隐私计算、数据空间等技术成本较高，中小企业难以负担，可以由政府牵头建设，再提供给中小企业使用。

新技术的出现给数据跨境安全管理带来更多可能。会上，北京古盘创世科技有限公司总经理张海鹰介绍了一种“零知数据安全技术”，通过碎片化的隐私存储、隐私计算、多链路传输、防泄漏投射沙箱等，实现多方共管式的数权保护和控制，可以在数据分享、高速读写、泄露防护、复制防护、长臂审计、数据销毁等方面，提供更加便捷的安全管理方式。