数安条例百问71、72、73：关于数据出境安全技术监管措施

数据安全君

小贝案语
11月14日，国家互联网信息办公布了《网络数据安全管理条例（征求意见稿）》。为此，小贝说安全设立《网络数据安全管理条例（征求意见稿）》（后文简称《条例》）解读专栏，以百问百答的形式对《条例》进行系列解读。

需要指出，这些解读只是专家个人观点，不代表官方意见；且这些解读针对的是征求意见稿，未来条文本身可能会发生变化，不排除会有新增和删除

对应条款
第四十一条 国家建立数据跨境安全网关，对来源于中华人民共和国境外、法律和行政法规禁止发布或者传输的信息予以阻断传播。

任何个人和组织不得提供用于穿透、绕过数据跨境安全网关的程序、工具、线路等，不得为穿透、绕过数据跨境安全网关提供互联网接入、服务器托管、技术支持、传播推广、支付结算、应用下载等服务。
境内用户访问境内网络的，其流量不得被路由至境外。

解读
网络是跨越国境的，从抵御外部风险而言，网络边境自然应当担负重要职能。传统上，对外部威胁的防范主要体现在两个方面：一是防止违法有害信息入境，二是抵御来自于境外的网络攻击。这都要“御敌于国门之外”。

为此，《网络安全法》第五十条规定，国家网信部门和有关部门依法履行网络信息安全监督管理职责，发现法律、行政法规禁止发布或者传输的信息的，应当要求网络运营者停止传输，采取消除等处置措施，保存有关记录；对来源于中华人民共和国境外的上述信息，应当通知有关机构采取技术措施和其他必要措施阻断传播。这意味着，国家在法律层面明确，建立阻断违法有害信息传播的技术设施。

此外，《网络安全法》第七十五条规定，境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动，造成严重后果的，依法追究法律责任；国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。该条虽然没有指明要建立抵御外部攻击的安全网关，但作为维护网络安全的常规手段，网络安全监测、预警、反应、恢复等功能都是普遍存在的，在网络边境处更不例外。

于是就引出了一个新的问题：为了抵御外部风险，以上手段是不是足够了？
  
现在看来，数据的非法出境也是一种新的与外部有关的国家安全风险。但其与传统风险不同的是，这时候要监测“内到外”的情况，而且也要建立在边境处。就如同在网络安全体系中最初要部署防火墙，后来人们逐渐增加部署“防水墙”一样。前者防范外部攻击，后者防范内部数据外泄和非法外联。
  
为此，《条例》提出了“国家建立数据跨境安全网关”的要求。但从内容上看，第四十一条第一款仍指向的是对外部违法有害信息的防范，还是“外到内”，与“内到外”的考量不一样。因此，如何定位“国家建立数据跨境安全网关”，这可能需要继续研究讨论。
  
一些人认为，第四十一条第二款的要求过于严格，且担心在执法时会出现因服务器上有违法程序而导致整个服务器被关停的情况。
  
抛开“内到外”和“外到内”的问题不谈。无论对于哪一种目的，第四十一条第二款的要求都是合适的。帮助实施违法犯罪的行为也要受到打击，这早已是共识，且《刑法》中早就增加了“帮助信息网络犯罪活动罪”。《网络安全法》第二十七条规定，任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具；明知他人从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助。故《条例》的规定绝非首创。
  
至于一些人担心执法扩大化的问题，这已超出《条例》的范畴，属于执行层面，有关刑事、行政执法的程序性规定中会有相应的原则和具体要求。

对应条款
第四十一条 国家建立数据跨境安全网关，对来源于中华人民共和国境外、法律和行政法规禁止发布或者传输的信息予以阻断传播。

任何个人和组织不得提供用于穿透、绕过数据跨境安全网关的程序、工具、线路等，不得为穿透、绕过数据跨境安全网关提供互联网接入、服务器托管、技术支持、传播推广、支付结算、应用下载等服务。
境内用户访问境内网络的，其流量不得被路由至境外。

解读
一些人提出疑问，《条例》第四十一条第三款的立法目的是什么？境内用户访问境内网络，流量怎么会路由至境外呢？这是一种什么场景？要防范什么风险？

在以往的互联网技术架构中，境内用户访问境内网络，流量的确不太会路由至境外。当然，之所以说“不太会”，是因为使用互联网服务时，受一些基础功能运行、协议的原理所决定，有时仍不免有些信息出境。例如，即使访问国内的某个“.com”网站，也有可能到境外的根域名服务器上去寻求解析（后来国内的根域名服务器备份系统解决了这一问题，但本质上我们不能摆脱对境外的依赖）。但总体而言，这些情况下风险都是可控的，至少我们没有主动把流量发送到境外。

但卫星互联网的出现，改变了这一局面，甚至改变了传统的观念，包括连什么叫“境外”都不得不重新审视。

卫星互联网是基于卫星通信的互联网，通过发射一定数量的卫星形成规模组网，从而辐射全球，构建具备实时信息处理的大卫星系统，是一种能够完成向地面和空中终端提供宽带互联网接入等通信服务的新型网络，具有广覆盖、低延时、宽带化、低成本等特点。目前，全球卫星互联网规模稳定增长，有报告显示，至2030年全球卫星互联网市场规模将达到约454亿美元，届时中国卫星互联网总体市场规模可达到千亿规模。目前，SpaceX、OneWeb、Telesat等多家国外企业已提出卫星互联网计划。其中，SpaceX已于2020年6月成功发射第九批58颗星链卫星，截至第九批发射已累计发射超500颗卫星。

为此，在卫星互联网等新型互联网接入模式不断出现的背景下，就必须考虑到下一步的网络安全管理需求，这是《条例》第四十一条第三款的立法目的。那么，目前该款的规定能不能达到预期目的？这则可以进一步讨论。但无论如何，作为一部层级较高的数据安全法律文件，应该对这类问题予以关注。

对应条款
第四十二条 数据处理者从事跨境数据活动应当按照国家数据跨境安全监管要求，建立健全相关技术和管理措施。

解读
人们对《条例》第四十二条的关切主要包括两方面：一是，“国家数据跨境安全监管要求”是什么？二是，“相关技术和管理措施”指什么？

上述规定与《条例》第四十一条相对应，延伸自第四十一条的“数据跨境安全网关”。即，按照防范“内到外”的数据外泄风险的设计，需要在边境处建立技术设施，监测数据违法出境情况。必要时，这些技术设施要与数据出境企业相连通。或者至少，企业自己也要具备监测自身数据违法违规外泄的技术手段。实际工作中，一些企业声称，其并未在境外开展业务，无数据出境场景。但是，如果是员工利用工作便利，私自下载业务数据并传输到境外呢？这时企业依然有数据跨境传输安全保护义务。
  
当然，如何更好理解《条例》第四十二条的要求，最终还要看第四十一条“数据跨境安全网关”的进展情况。

【下期预告】
74、所有网络平台运营者的平台规则、隐私政策、算法都需要进行披露吗？
75、网络平台运营者的规则、隐私政策往往改动频繁，均需公开征求意见吗？
76、官方网站、个人信息保护相关行业协会网站是选择关系还是并列关系？
77、为什么对日活用户超过1亿的大型互联网平台运营者的平台规则、隐私政策提出特殊要求？
78、大型互联网平台与《个人信息保护法》第58条提出的提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者是什么关系？

【往期链接】
0、条例正文
1、《条例》的定位及其同《数据安全法》和《个人信息保护法》的关系是什么？
2、如何理解《条例》的结构？
3、如何理解《条例》名称中使用的是“网络数据”？
4、如何理解数据处理者？
5、如何理解《条例》的域外效力？
6、如何理解《条例》的不适用范围？
7、如何理解数据分类分级保护制度？
8、如何理解数据分类分级管理？
9、如何理解重要数据？
10、如何理解重要数据与个人信息的关系？
11、如何组织识别重要数据和核心数据？
12、如何理解重要数据和核心数据目录？
13、如何理解数据开发利用？
14、如何理解数据交易管理制度？
15、如何理解数据处理者的安全保护义务？
16、如何理解等级保护、关键信息基础设施安全保护与数据安全的关系？
17、如何理解对发现安全缺陷、漏洞、风险时提出的补救措施要求？
18、如何理解数据处理者的应急处置义务？
19、如何理解重要数据或者十万人以上个人信息事件的处置义务？
20、如何理解向第三方提供个人信息或发送重要数据的安全要求？
21、如何理解“单独同意”？
22、为什么要求留存个人同意记录？
23、如何理解《条例》提出的网络安全审查要求？
24、《条例》规定的网络安全审查与《数据安全法》规定的数据安全审查是什么关系？
25、为什么对数据处理者赴国外上市和赴香港上市分别提出不同的审查要求？
26、为什么对大型互联网平台运营者在境外设立总部或者运营中心、研发中心提出安全要求？
27、为什么对合并、重组、分立或解散、破产提出数据安全要求？
28、为什么要对国家机关专门提出数据安全要求？
29、如何理解对自动化工具访问、收集数据的安全要求？
30、《条例》提出数据安全情况披露要求是基于什么考虑？
31、如何理解对“合法、正当、必要”提出的要求？
32、为什么增加了对处理个人信息“频次”“时机”的要求？
33、为什么要细化对个人信息处理规则的要求？
34、如何理解对个人信息处理规则提出的“清单形式”？
35、为什么要在个人信息处理规则中对第三方代码、插件提出要求？
36、无法对掌握开源第三方代码的个人信息处理规则怎么办？
37、为什么要细化对“同意”的要求？
38、为什么规定不得以改善服务质量等为由强迫要求用户同意处理个人信息？
39、什么叫做“频繁”征求同意？
40、对个人同意行为有效性存在争议时如何处理？
41、如何理解“十五个”工作日的删除个人信息要求？
42、如何理解“无法避免采集”场景？
43、《条例》从哪些方面保障个人行使查询、复制等权利？
44、如何理解个人信息转移请求？
45、如何理解个人请求直接对外转移个人信息的条件？
46、《条例》对生物特征应用的规定是基于什么考虑？
47、如何理解对生物特征识别的必要性、安全性评估？
48、如何理解重要数据处理者的要求适用于一百万人以上个人信息处理者？
49、如何理解《条例》对建立对个人信息保护制度和重要数据安全制度的侧重点不同？
50、如何理解对数据安全负责人和数据安全管理机构的要求？
51、为什么要求数据安全负责人有权直接向网信部门反映情况？
52、如何理解重要数据处理者的备案要求？
53、如何理解对重要数据处理者的培训要求？
54、如何理解重要数据处理者采购网络产品和服务的要求？
55、如何理解对重要数据处理者和赴境外上市数据处理者的年度数据安全评估要求？
56、如何理解对外提供数据的风险评估要求？
57、对外提供数据前由谁实施风险评估？
58、对外提供数据前所作的风险评估报告怎么使用？
59、《条例》提出的数据安全风险评估与以前的风险评估有什么区别？
60、共享、交易、委托处理重要数据前需要遵循什么规定？
61、如何理解云计算安全评估制度？
62、为什么要单设“数据跨境安全管理”一章？
63、如何理解数据出境？
64、为什么在数据出境的“认证”条件中，要求数据接收方也要经过个人信息保护认证？
65、如何理解个人信息出境的例外要求？
66、如何理解向境外提供个人信息的“单独同意”要求？
67、什么情况下需要通过网信部门评估后数据才可出境？
68、为什么要对国际条约、协定规定例外？
69、如何理解数据出境的安全管理义务？
70、如何理解数据出境安全报告？

  总编辑|小贝