数据流通究竟需要什么资质以及第三方权威评估报告?
随着《“十四五”数字经济发展规划》《数据二十条》《企业数据资源相关会计处理暂行规定》《“数据要素×”三年行动计划》等一系列国家政策文件发布,各地掀起了对数据利用与数据流通的热潮,例如浙江省数据资产入表“第一单”——数据产品“信贷宝”、数据要素X城市治理经典案例“数智绿波”智慧交通场景、公共数据授权运营应用场景“第一单”的“安诊无忧”等。
由于数据流通牵涉监管部门众多,民间细称“二十龙治水”现状。在国家层面,国家数据局应运而生进一步优化相关数据产业发展决策部署,其主要负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,统筹推进数字中国、数字经济、数字社会规划和建设。另一方面,各大部委办局各司其职,在职责范围内负责数据安全监管、大数据产业相关的通信业等领域。
一、数据流通面临合规困境
在数据发展的快车道上仍存在诸多挑战,其中之一便是数据流通过程中的合规保障问题。以数据流通中所需的资质/评估报告为例,目前具备上位法依据的主要是以下两种评估:
1、个人信息保护影响评估,依据《个人信息保护法》第55条;
2、个人信息或者数据出境安全评估,分别依据《个人信息保护法》第38条的规定,个人信息需要经过安全评估、认证或者订立标准合同;依据《网络安全法》第37条、《数据安全法》第31条的规定,重要数据需要经过安全评估。
此外,《数据安全法》第18条第1款规定,鼓励开展数据安全检测评估、认证等服务;《网络安全法》第17条规定,鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。因此,上位法为上述评估以外的其他合规资质留下了空间。
二、实践所需资质举例
根据实践中出现的资质认证情形,以下例举其中较为常见的几种类型:
实际上,在上位法的框架下,目前除了个人信息保护影响评估和数据出境安全评估是开展相关业务的“硬门槛”,其他资质都不是相关业务场景的强制性要求。更何况,不同单位或机构出具的资质认证内容存在一定程度的重合。合规成本居高不下、合规流程空转成为了数据流通的阻碍,产业界、法学界、政界面临着巨大的“合规旋涡”。即将生效的《GB/T 32914—2023信息安全技术 网络安全服务能力要求》便是为了应对这一问题,落实《关于开展网络安全服务认证工作的实施意见》的精神,以推动统一的认证。
不同行业的主管部门也出台了相应的管理办法。以征信业务场景为例,目前按照央行发布的《征信业务管理办法》,金融机构征信业务进入“断直连”时代,数据需求方均需通过征信持牌机构才能获取个人征信相关数据。而现有征信持牌机构只有百行征信有限公司和朴道征信有限公司,这也就意味着所有想要通过数据开展征信服务的平台机构都需要接入这两家公司。然而征信业务内涵较为宽泛,在泛金融业务场景是否均适用该《管理办法》成为业界关注的焦点。
以反电诈为例,为了应对实践中严重的电信网络诈骗犯罪问题,2022年12月1日,《中华人民共和国反电信网络诈骗法》(以下简称反诈法)正式施行。其中第18条要求客户的相关信息仅用于反电诈。随着反电诈治理的多元化,市面上出现了一些根据个人数据提前预防电诈的反电诈产品,这避不可免涉及获取银行端的相关信息。依照《征信业务管理办法》第3条的规定,这些信息可能被认定为信用信息。
但反电诈产品并非应用于征信业务场景,而是旨在帮助银行减少电诈风险。《反电诈法》第32条也提出支持电信业务经营者、银行业金融机构研究开发电信网络诈骗反制技术。实际上,《征信业务管理办法》主要为了治理金融数据产业、强化数据监管,反电诈产品并没有落入这一范畴;如果强加其接入征信机构的要求,则会不合理地提高合规成本。
三、数安港数据流通合规解决之道
中国(温州)数安港集数据安全技术创新研发、数据产品交易、数据产业孵化、法律服务等功能于一体,提供政府一站式服务,做到“场景明、红线清、数安港、人安心”。温州也将系统构建“九个一”工作体系,以数据为纽带,推动供应链、产业链、资金链、创新链深度融合。
浙江省大数据联合计算中心(以下简称“联合计算中心”)是经浙江省政府批示的数据流通基础设施,秉持着“党管、国有、民营”的理念,采用致力于解决数据要素流转中的问题,从而实现“数据可用不可拥,安全可见又可验,结果可控可计量”。
联合计算中心主要围绕联合计算基础平台、联合计算场景、数据应用场景、数据产品的安全性、合规性等开展综合分析和集体研讨。其中数据安全合规场景论证会作为数安港的特色,严格遵守数据安全风险评估和数据合规审查工作制度,努力保障数据安全合规、促进数据要素价值发挥。
声明
本文版权归属于浙江省大数据联合计算中心数据合规部,解读内容仅供一般参考,不应视为针对特定事件的意见,任何依据本文全部或部分内容做出的判断或决定以及因此造成的法律后果,本单位概不负责。
如有合作意向和任何问题,请联系邮箱business@datampc.com