解读《数据出境安全评估办法》， 开启API安全跨境支持新时代

2022年7月国家互联网信息办公室公布《数据出境安全评估办法》（以下简称《评估办法》），自2022年9月1日起施行，为我国出入境制度翻开了崭新的新篇章。

《评估办法》明确了数据出境安全评估的目的、原则、范围、程序和监督机制等具体规定，对保护我国国家安全、公共利益、个人合法利益和促进数字经济发展具有重要的里程碑意义。

为贯彻总书记法治思想，国家互联网信息办公室根据我国上述三部法律规定，统筹数据出境监管的国内法治和涉及境外接收方数据处理要求的涉外法治，制定了本《评估办法》，有力维护国家在数据领域的主权、安全和发展利益。

适用安全评估的范围最大程度凝聚了各方共识。《办法》第4条规定数据处理者在四种情形下向境外提供重要数据或者个人信息，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。其中，按照现有立法要求，所有主体的重要数据出境都要申报安全评估。个人信息出境进行安全评估的门槛主要在于执行《个人信息保护法》第40条的规定，明确累计向境外提供个人信息的特定规模设定为年度累计，充分反映了相关主体有关科学设定个人信息出境安全评估范围的诉求，便利其通过认证、标准合同等机制开展个人信息出境。

《评估办法》明确安全评估的程序包括：

（1）数据处理者自评估；

（2）数据处理者申报安全评估；

（3）省级网信部门的申报接收和国家网信部门的申报受理；

（4）国家网信部门组织安全评估，评估过程中可要求数据处理者进行材料补充或更正；

（5）评估结果的告知与申请复评；

（6）通过数据出境安全评估但在有效期内出现特定情形的重新申报评估；

（7）通过数据出境安全评估后的终止数据出境。

相较于2017年和2019年有关数据出境安全评估的草案，《评估办法》第3条首次明确提出数据出境安全评估的两大原则，即事前评估和持续监督相结合原则、风险自评估与安全评估相结合原则。

《评估办法》第三条明确了数据出境总体评估原则：事前评估和持续监督相结合、风险自评估与安全评估相结合，保障数据依法有序自由流动。

作为数字经济驱动的产物，跨境数据流动正受到越来越多国家的重视，然而全球跨境数据流动的治理规则却变得日益复杂。跨境数据流动从过去关注技术问题和个人隐私保护问题，逐渐演变为一个包括国家安全、数据主权、经济要素等综合性议题。为此，要结合双边和多边机制，灵活对接跨境数据流动规则，积极应对新技术所带来的各种挑战，平衡经济自由与数据安全的关系。

其中，作为一种轻量化的技术，API能够起到连接服务的功能，又可以用来传输数据，在全球范围内API受到企业组织的高度青睐，应用接口呈现爆发式增长。由于API的广泛使用和链接为恶意攻击者提供了广阔的攻击面，一旦成功攻击API，就能获取大量企业核心业务逻辑和敏感数据。相对于传统Web窗体，攻击API的成本更低、价值更高。

万物互联时代，API是承载应用数据交换的“血液“，人们需要用数据智能的方法去解决复杂的API安全问题，星阑科技萤火产品的出发点就是构建面向复杂行为的API防护体系。

《评估办法》第五条明确“数据处理者在向境外提供数据前，应事先开展数据出境风险自评估”，该表述中并未强调仅在适用安全评估的情况下才需要事先开展风险自评估。

在具体产品上，星阑科技的萤火安全分析平台可以帮助企业梳理API安全风险，解决API入侵问题、API数据泄露问题，同时提供可视化API资产与风险管理平台。在产品效果层面，星阑科技通过云原生采集/网关/流量分析等方式对企业API进行自动识别和聚合，识别API漏洞并提供修复建议。同时，公司也基于实验室安全专家积累的漏洞分析、应急响应能力，意在为企业提供实时、准确的威胁检测与防护方案，阻断正在发生的攻击事件。此外，由于API的数据传输属性，星阑科技站在API视角通过大数据分析及算法引擎等技术手段为企业数据泄露、数据安全管理、数据资产可视化等场景提供支持。

随着全球化与数字经济的发展，数据作为具有极大经济价值的生产要素，在国际间的流动越来越频繁，而且数量呈逐年增长趋势。然而，数据跨境的无序流动会给数据主体和数据安全带来风险，还关乎国家安全和社会公共利益。《评估办法》坚持建设中国特色社会主义法治体系，积极推进国家安全、涉外法治等重要领域立法；同时要坚持统筹推进国内法治和涉外法治，要加快涉外法治工作战略布局，协调推进国内治理和国际治理，更好维护国家主权、安全、发展利益，要推动全球治理体系变革，推动构建人类命运共同体。