1. 我国关于数据本地化存储的规定
目前,金融行业中另一项数据本地化立法草案是中国保险监督管理委员会在2015年10月发布的《保险机构信息化监管规定(征求意见稿)》。其中,第31条规定:“数据来源于中华人民共和国境内的,数据中心的物理位置应当位于境内。”第58条还规定:“外资保险机构信息系统所载数据移至中华人民共和国境外的,应当符合我国有关法律法规。”
在电信行业,据在华经营的外企反映,其在申请ICP备案或许可时,工信部门会要求该组织机构在中国境内设置服务器。这也在事实上构成数据本地化存储的要求。
2. 由基因信息出境的案例说起
2018年10月24日,科技部公布了对华大基因等6家公司及机构的行政处罚。原因包括华大基因旗下的华大科技与华山医院“未经许可与英国牛津大学开展中国人类遗传资源国际合作研究”,以及“华大科技未经许可将14万中国人基因大数据信息从网上传递出境”。
这是科技部首次公开涉及基因违法出境的行政处罚,但是基因数据跨境现象在我国已屡见不鲜。根据国家互联网应急中心的报告,自2017年5月起,我国共发现基因数据跨境传输925余次,涉及境内358万个IP地址,覆盖境内31个省(市、区)。我国基因数据流向境外6个大洲的229个国家和地区,涉及境外IP地址近62万个。该中心还发现了疑似发生基因数据出境行为的境内单位有4300多家,其中生物技术企业、高等院校和科研院所、医疗机构分别占比72%、19%、9%。
目前,我国适用“基因信息违法出境”事件的相关法律法规有《人类遗传资源管理暂行办法》《专利法》《网络安全法》和《个人信息和重要数据出境安全评估办法(征求意见稿)》。其中,《人类遗传资源管理暂行办法》规定,“凡涉及我国人类遗传资源的国际合作项目,须由中方合作单位办理报批手续。中央所属单位按隶属关系报国务院有关部门,地方所属单位及无上级主管部门或隶属关系的单位报该单位所在地的地方主管部门,审查同意后,向中国人类遗传资源管理办公室提出申请,经审核批准后方可正式签约”。《专利法》规定,“对违反法律、行政法规的规定获取或者利用遗传资源,并依赖该遗传资源完成的发明创造,不授予专利权”。《网络安全法》规定,“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定”。人类遗传资源既属于个人信息,又是国家重要数据,其存储和安全评估应当遵守该条款的规定。《个人信息和重要数据出境安全评估办法(征求意见稿)》规定,“个人信息出境,应向个人信息主体说明数据出境的目的、范围、内容、接收方及接收方所在的国家或地区,并经其同意”“行业主管或监管部门负责本行业数据出境安全评估工作,定期组织开展本行业数据出境安全检查”“网络运营者应在数据出境前,自行组织对数据出境进行安全评估,并对评估结果负责”。
这四部法律和规范分别从不同角度对遗传资源开发、利用机构的行为以及数据出境行为进行了规定。但是,从目前公开报道的有关对该事件的处理来看,似乎除了行政处罚以外未涉及其他。这体现了当前我国在数据跨境流动监管和执法方面的滞后与薄弱。事实上,基因作为不可更改、独一无二的生物特征,其数据跨境流动带来的危害不容小觑。早在2016年,《全球威胁评估报告》就已经将“基因编辑”列入“大规模杀伤性与扩散性武器”威胁清单中。所谓基因武器就是用DNA重组技术将本不致病的细菌变得可以致病,将可以用药物预防和治疗的疾病变得难以救治,甚至可以专为某特定种族研发只对其致命的病毒。每个种族都有自己特定的基因。有研究表明,人类DNA中99.7%~99.9%都是相同的,剩下的0.1%~0.3%的不同才是区分各个种族的关键。而每个种族基因中都会有特定的缺陷。在生物技术快速发展的今天,利用基因重组、基因芯片、细胞工程等技术来扩大某一基因缺陷并非危言耸听。因此,对于基因信息出境的行为,相关部门应该引起警惕,企业也应该提高认识,加强自律。
来源:计算机与网络安全