大湾区数据共享迈出重要一步

  11月，全国信息安全标准化技术委员会发布《网络安全标准实践指南——粤港澳大湾区跨境个人信息保护要求（征求意见稿）》，针对粤港澳大湾区范围内的10个城市完善个人信息跨境传输及处理的安全指引，这是大湾区数据共享跨出的重要一步。

  大湾区“一国两制三法系”的特殊性，决定了粤港澳三地在“个人信息”的定义和划分及个人信息处理规则等方面存在差异，也导致在监管范围和力度上存在不同。实践指南界定了适用的地域范围和数据出境行为。适用的地域范围是10个城市，即香港特别行政区、广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市。适用的数据行为是个人信息的跨境传输和跨境处理，即满足《数据出境安全评估申报指南（第一版）》关于“数据出境行为”的定义，并明确境外机构直接采集境内自然人的个人信息且进行处理适用《中华人民共和国个人信息保护法》。数据行为覆盖10个城市的企业在跨境处理个人信息的全生命周期，即收集、存储、使用、加工、传输、提供、公开、删除各个环节。

  实践指南强调接收方不得将接收的个人信息转移至粤港澳大湾区之外的第三方，未来政府部门还将积极促进大湾区内的个人信息处理者之间数据流通，尽可能降低大湾区内数据合规成本。例如，未来大湾区内的数据跨境处理相关认证手续可以简化等。

  实践指南为“一国两制三法系”的复杂环境下降低数据合规成本、促进跨境数据共享定义了规范基线，这不但对大湾区跨境数据共享的先行先试至关重要，而且为未来实现“数字中国”跨领域的数据资源大循环体系和“数字丝路”的跨境数据资源大循环体系提供了重要参考。

  数据跨境要求技术手段能够打消各方的监管顾虑，尽可能得到参与辖区、领域、企业、团体、个人的支持，共建低成本、高效率、可控可信的数据资源大循环体系，夯实“大湾区”乃至“数字中国”“数字丝路”的分布式数字底座。

  技术手段必须做到在操作系统内核层面支持任何人都不可绕过的、可多方实时验证的、多方安全的权限控制机制，支持普遍适用的多方机密计算机制，有效实现数据在境内外的安全使用、安全存储、安全销毁、安全传输。

  数据跨境共享涉及的参与方众多、数据场景丰富，技术上需要一个统一、灵活、支持海量参与方平等参与的跨境数据网络。该数据网络不但必须做到支持辖区/领域隔离（随时切断）、辖区/领域合规（各自符合相关规范），而且还要具备普适通用、高性能、强共识的特点。

  为确保数据跨境各参与方采用合理的安全技术手段，符合相关法律法规，需要建立科学的认证流程。包括中国网络安全审查技术与认证中心在内的相关部门需要帮助湾区尽快建立信息安全认证体系，大力开展信息安全认证工作，覆盖管理体系认证、产品认证、服务认证、人员认证和检测业务支撑。在实践中，认证机构对跨境数据网络、数据平台、场景应用、参与企业适时提出改进完善建议，确保数据跨境自始至终安全合规。

  有实践指南的安全指引、有创新技术实现、有科学的认证流程，就能够支撑安全可控、可信可溯、高效能、低成本的大湾区跨境数据共享。大湾区跨境数据共享的成功实践，能够为“数字中国”特别是“数字丝路”的数据资源大循环体系和“数字丝路”产业数字生态提供合规指引、安全技术、安全运营和审查认证借鉴，服务国家重大数字战略。（唐 成）