發展香港數據安全港 打造區域數位經濟樞紐

背景

國家主席習近平在多次提及抓住資訊化的歷史機遇,維護網絡安全,主動參與網絡空間國際治理進程,自主創新推動網絡強國建設。推動實施國家大數據戰略,加快建設數字中國。國家發展大數據、促進資訊流動對經濟發展的重要性是不言而喻的。 資訊平台的建設、資訊的流動及共用,也是十分重要。在粵港澳大灣區的數字建設上,我們需要處理區內的資訊流通及共用。在數位經濟快速發展的過程中,網路安全時時威脅著數據的正當流通和應用,私隱的安全保護、數據脫敏處理等,都是影響著整個數據產業的發展。

為了應對網路安全威脅,不同國家都制定了多個數據保護條例和管理辦法,涉及隱私和重要數據、跨境數據傳輸的要求等,為相關數據的合法使用提出了具體的要求和指引。美國、歐盟、澳洲、印度、俄羅斯、中國都相繼通過了保護網路安全和數據安全的法律。其中全國人大常委會於2016年11月通過了《中華人民共和國網路安全法》,於2017年6月1日起全面實施。借鑒歐盟的GDPR和其他有關國家地區國際組織在個人資訊保護方面的先例經驗起草的《國家標準個人資訊安全規範》也於去年底正式發佈,今年5月1日起正式實施,增加內地個人資料保護的規範水平,為促進大灣區的數據流動提供良好的基礎。

國家《網路安全法》規定,在網路安全等級保護制度的基礎上,國家對關鍵資訊基礎設施實行重點保護。關鍵資訊基礎設施的運營者在中國境內運營中收集和產生的個人資訊和重要數據應當在境內存儲。但是在全球化及電商年代,數據跨境傳輸已成為必然趨勢。筆者建議,可以利用“一國兩制”的優勢,發展香港成為國際數據安全港,打造香港成為區域數位經濟樞紐

香港的優勢

香港兼備“一國”和“兩制”雙重優勢,一向是連接中國內地與世界各國之間的橋樑。香港擁有完善的法律制度,於1996 年實施的《個人資料(隱私)條例》是亞洲首個就個人資料隱私專門制訂的法例。從人才角度來看,香港擁有大量資訊及通訊科技專業人才,熟練掌握兩文三語。而且數據安全相對於網路安全不完全是一個概念,其中更需要的是合規人才,而香港恰恰有不少的合規和法律人才。此外,由於許多海底光纖都是在香港上岸,香港的國際通訊費用相對低廉,網路的延遲(Laterncy)和丟包(“Packet Lost”) 問題也比許多臨近地區要好的多。完善的基礎架構設施,包括通訊,電力供應和物業管理為香港建設國際數據中心樞紐提供了保障。而香港的電費,比起深圳和廣州也不差太遠。

如果能夠先爭取中央認可香港的國際數據安全港地位,下一步香港可以爭取與歐盟及其他國家進行協商,希望他們也把香港放進白名單,這樣香港就能夠成為資料中的「瑞士」。通過擔當國際數據安全港這個角色,香港將肩負起國際數據中心交換合規、安全的責任,在滿足各國數據出境監管要求的基礎上,提供最便捷、最優化的數據交換路徑,為眾多企業、機構和個人指明數據出入境安全合規路線。

大灣區對數據流程動的需求

大灣區對數據流程動的需求主要來自三個方面,第一是從安全的角度看,如何做到更充分的數據共享及共用。大灣區具有一個國家兩種制度三種不同法域的特殊條件,客觀上大灣區數據流動起來面臨很多現實問題解決,尤為重要的是粵港澳三地的網路安全政策,特別是在數據管理和數據安全政策上,也是影響著數據的流通。三地的影響安全管理政策也是需要協調。在政府內政府的影響安全也是一個大問題。三地要既要影響共用的機制,也要建立屬於大灣區數據分享平台,這個涉及數據跨境的問題,單單是粵港澳努力是未必能夠解決,需要中央更高層次的協調。

第二從便捷的跨境流動來看。《網路安全法》37條規定了個人資訊和重要數據處境的安全評估制度,這個制度給香港和澳門同樣的發展機遇,我們能否藉著這個制度來促進內地的數據更便利地流入香港和澳門,這是一個需要深入研究的課題。

第三是更加精准數據管控來看。將來大灣區是更加頻繁的人流物流,這麼大的人流來內地,一些外網的應用怎麼上,這需要有法律依據。網路安全法第50條規定,對來源與境外的違法資訊應該通知有關機構採取必要的措施阻斷傳播。現在我們阻斷的技術如何更加精准放行更多的沒有違反安全的經濟類的、科技類的、文化類的數據,是大灣區未來要解決的問題。簡而言之,大灣區的建設與發展,數據流程動是客觀需求,甚至是最重要的最強勁的需求,但是安全是重要的保證。

具體建議

首先成立香港數據行業協會,制定有約束力的行業行為守則(Code of Practice),並自願跟隨國家網路安全法規,並與國家監管部門達成共識。數據擁有人只有在受協會認證的數據中心(會員)內儲存數據,才是合規。同時,數據擁有人必須簽署合約,授權數據中心在發現違規或收到國家執法機關要求下,可以暫停數據的傳輸並封存證據。如有違者,數據中心可以申請香港法院頒佈「禁制令」,以暫停數據擁有人對數據的存取。行業協會還會委任監管部門認可的審計公司,每年對這些數據中心進行資訊保安審計,如果不能達標,可以取消認證。

 

在國際商務合作日益升溫,數據跨境傳輸要求也日益增多的今天,把香港建設成為國際數據安全港可以讓全球各地的企業在滿足不同合規的要求下,進行跨境數據傳輸。在香港這個坐擁法律、人才、基建、科技多方優勢的地方,保證數據在合規的情況下自由流通,不但可以保障各國的個人私隱,促進全球的經濟發展,同時也能夠為香港打造全球資訊中心和大數據產業發展提供很好的基礎。香港這個數據中心試點,不單要把現有的技術規範和流程的合理性和規範化,中央的認同只是第一步,也繼續要向中央爭取更好的措施,讓香港可以落實成為大灣區的數據中心。

(刊於《香港資訊科技界慶祝中華人民共和國建國六十九周年國慶晚宴2018》)