非涉密测绘数据需要本地化存储吗?出境是否有特殊要求?
实践中,基于成本等诸多复杂因素的考量,企业在海外建立研发中心或工厂,并将境内数据传输至境外以开展自动驾驶算法/模型训练,其中可能涉及在中国境内收集的测绘数据。
《测绘通知》发布之前,如不考虑测绘数据可能的重要数据属性,仅《测绘成果管理条例》第十八条针对涉密测绘成果提出了跨境传输前应取得相关部门审批的限制性要求;针对一般测绘数据(非涉密测绘数据)出境,尽管在理念上可能会引发企业关于合规的担忧,但从规范层面,没有直接关于本地化以及跨境传输的合规要求。
《测绘通知》第五条规定,“地理信息数据必须存储于境内,所使用的存储设备、网络和云服务等必须符合国家有关安全和保密要求。申请向境外提供地理信息数据的,必须严格履行对外提供审批或地图审核程序,并落实数据出境安全评估等有关规定。”
至此,对于一般测绘数据出境合规的话题不再讳莫如深。根据《测绘通知》,至少需包含如下义务:
首先,测绘数据应当在中国境内进行本地化。具体而言,需要先在境内建立服务器或租赁云服务器进行存储,不得直接将测绘数据传输至境外服务器;所使用的存储设备、网络和云服务等必须符合国家有关安全和保密要求,具体是否会对应到网络系统的等保备案、可信云认证机制等尚不清楚。
其次,向境外传输测绘数据采取申请制。《测绘通知》提到了两种路径,即“对外提供审批”与“地图审核程序”,且二者关系的表述为“或”,即仅适用其一。针对前者,我们理解主要是衔接现行规范中关于对外提供涉密测绘成果的要求,对于一般测绘数据,现行规范尚未建立审批机制;针对后者,如前所述,现有规定对审图的适用场景为“公开前”,而非出境前,且仅适用于地图类测绘数据。未来主管部门是否会参照现有对外提供涉密测绘成果的要求,建立一般性的测绘数据的对外提供审批机制,有待进一步观察。
最后,关于数据出境安全评估的适用,其与上述申请是“并”的关系,即同时适用。根据《数据出境安全评估办法》,如向境外提供重要数据的,申报数据出境安全评估系法定适用。因此,即使企业已履行前述对外提供审批或审图程序,如果拟出境测绘数据落入重要数据的,仍需安全评估。不过,这也会带来一个老问题,即谁是判断相关测绘数据是否落入重要数据的主体?我们理解,根据《促进和规范数据跨境流动规定》第二条,对于未落入公开发布的重要数据目录且未被明确告知构成重要数据的部分(截止目前,测绘数据领域明确落入重要数据的部分为《汽车数据安全管理若干规定(试行)》项下的重要敏感区域的地理信息以及包含人脸信息、车牌信息的车外视频),企业无主动申报的义务。当然,如果测绘主管部门在开展前述对外提供审批/审图过程中认为属于重要数据的,其可以要求企业履行安全评估义务。
