其他
数据出境安全评估基本框架的构建
笔者按:
这篇文章其实2016年中就写完,2017年2月发表于《信息安全与通信保密》。提出了对如何构建《网络安全法》第37条规定的数据出境安全评估的基本框架。目前看来,文章的设想还是和中央网信办制定的几个版本的《个人信息和重要数据出境安全评估办法(征求意见稿)》比较契合的。【《个人信息和重要数据出境安全评估办法》实现了安全与发展的平衡】
当然,文章写得早,且发表于一年前,很多新的形势非常值得关注。例如【欧盟对数据的战略性“玩法”】、【TPP对跨境金融数据“另眼相看”?】、【看清APEC“跨境隐私保护规则”体系背后的政治和经济】等。但是总的看来,下文提出的框架还是基本站得住脚。
但是最近美欧在执法跨境调取数据方面(cross-border access to datafor law enforcement purposes)的频频动作【微软VS美国政府:他们到底在争什么】、【美国Cloud Act法案到底说了什么】、【欧洲将立法允许执法跨境直接调取数据】等,一个新的问题就浮出水面:是否对《网络安全法》第37条,不能仅仅从“在评估和管控运营过程中与境外的数据共享、转让等业务的安全风险”(即下文的角度),还应该从执法跨境调取数据中这个另外的角度来考虑:“执法所需的数据恰好存储在国外;外国执法部门需要调取存储在本国的数据”。
如果业务合作中的数据安全和执法跨境调取数据这两个角度,都是《网络安全法》第37条必须考虑的题中之意,那安全评估的框架该如何构建?在探讨此问题之前,贴出此旧文的主要目的,是回顾仅从业务合作角度出发的评估框架应该是什么样的。