將於9月1日開始實施的《數據安全法》,提出建立數據分級分類管理制度,對國家核心數據更加嚴格保護。個人信息保護法已經過人大常委會二審,按計劃將於今年年內通過審議。據支振鋒介紹,中國的《數據安全法》從立法一審到三審,只用了1年多時間,「出台很快但並不代表立法倉促,對數據安全的監管早在幾年前就開始醞釀。」

翻查資料,早在2015年頒布的《國家安全法》已將數據安全納入國家安全的範疇。2016年發布、於2017年正式實施的《網絡安全法》引入了網絡數據的概念。2020年6月,12部委聯合發布《網絡安全審查辦法》,推動建立國家網絡安全審查工作機制,以確保關鍵信息基礎設施供應鏈安全,維護國家安全。而此次對滴滴等平台的網絡安全審查,正是《網絡安全法》《網絡安全審查辦法》生效之後首次公開進行的網絡安全審查程序。

對於未來監管趨勢,「《網絡安全法》的規定仍然相對比較籠統,並未對重要數據出境安全的評估範圍、標準、等級和程序等進行明確規定等,也沒有數據跨境流動監管的國際合作機制,難以滿足數據多樣化的數據出境需求。」支振鋒指,未來需要出台很多相關配套法規。就數據跨境流動而言,從國家安全、商業利益、個人信息權益等角度出發,可以按來源和重要程度,將跨境數據劃分為個人數據、商業數據、特種行業數據,並設定不同的數據出境審核要求和監管標準。

敏感行業數據出境需更審慎

不少專家指出,雖然中國圍繞數據安全的法律體系不斷完善,但在涉及數字產品和服務的存儲使用、內容審查、隱私保護等方面的基礎立法尚不完善,相關標準規範存在滯後,具體監管制度也有待細化。此外,有業內專家建議,針對電信、金融、石油、電力等關鍵行業數據跨境流動,應採取更審慎的安全風險評估制度,並進一步明確安全風險評估機構的資格認定、評估標準、程序及結果管理等。

支振鋒也認為,「無論是個人信息數據還是企業商業數據,凡涉及國家安全、公共利益的數據原則禁止出境,對僅涉及數據主體利益、商業利益的數據應允許有條件出境,並可以要求數據控制主體履行一定的自查義務。」