摘要:随着信息技术的迅猛发展,数据跨境流动日益频繁。在这种背景下,数据出境带来的国家安全风险也日益凸显,对我国国家安全构成了严重威胁。从总体国家安全观视角出发,数据安全与国家安全都是一种系统化风险,牵一发而动全身,需要引起高度重视。当前,我国数据出境安全管理制度尚不完善,数据出境安全管理制度的国际合作与协调机制尚存不足,因而亟需完善相关制度,以确保数据安全和国家安全。完善我国数据出境安全管理制度,要加强我国数据出境法律法规的制定与修订,健全数据出境的审批与监管机制,推动数据出境管理的跨部门协同治理,增强数据跨境流动的国际合作与协调。
关键词:国家安全;数据安全;数据跨境流动;数据出境安全管理制度
总体国家安全观是新形势下维护国家安全的重要指导思想,它把国家安全看成一个系统工程,使我们认识到必须建立更完善的国家安全体系,才能有效维护国家安全。数据已经成为经济活动中新的并且十分重要的生产要素,在互联网引致的全球性交往活动十分便捷的条件下,全球性经济交往非常频繁,数据跨境流动不断增强,数据安全与国家安全成为高度关联的问题,数据安全成为国家安全的一个重要领域。以总体国家安全观为视角,数据出境安全作为数据跨境流动安全治理的重点面向,与国家安全具有极强的关联性。这样,构建数据出境安全管理制度成为加强国家安全治理能力的重要环节。
一、数据出境对国家安全的影响:从总体国家安全观出发
数据安全与国家安全的关系非常紧密,数据安全已经成为国家安全的重要组成部分。在总体国家安全观视角下,国家安全的范围大大扩展。总体国家安全观既吸收了传统国家安全观的理论资源,又结合新时代国内外形势的变化,丰富了国家安全的内涵,将信息安全与数据安全纳入到了国家安全的范畴。数据出境安全问题是数据安全的重要领域,必定对国家安全产生影响。构建完善的数据出境安全管理制度,不仅有助于我国抓住数字经济发展机遇,推动我国积极参与世界经济发展进程并掌握相应的话语权,而且有助于维护我国的国家安全,提升我国安全治理能力。
(一)数据安全:互联网时代国家安全内涵的扩展
总体国家安全观是以习近平总书记为核心的党中央对国家安全理论的重大创新和重要发展。2014年4月15日,习近平总书记在中央国家安全委员会第一次全体会议上首次提出“总体国家安全观”。他指出:“当前我国国家安全内涵和外延比历史上任何时候都要丰富,时空领域比历史上任何时候都要宽广,内外因素比历史上任何时候都要复杂,必须坚持总体国家安全观,以人民安全为宗旨,以政治安全为根本,以经济安全为基础,以军事、文化、社会安全为保障,以促进国际安全为依托,走出一条中国特色国家安全道路。” [[1]]
总体国家安全观强调安全问题的整体性、综合性和系统性,其将传统安全和非传统安全问题有机地结合起来,包括政治、军事、经济、社会、科技、环境、信息等诸多安全领域。总体国家安全观关注各个安全领域之间的平衡和协调。它要求我们,在维护国家安全的过程中,不能片面强调某一领域的安全问题,而忽视其他领域的安全问题;只有在平衡各个领域安全需求的基础上,才能实现国家整体安全的目标。总体国家安全观强调预防预判和有效应对安全威胁,在安全问题出现之前,通过制定全面长远的安全战略,以预防和减少安全风险。总体国家安全观重视国际间的安全合作与协调,在面对共同安全威胁和挑战时,通过对话、磋商和协商解决人类面临的共同问题。
总体国家安全观对国家安全战略制定具有重要指导意义,它要求我们充分认识安全问题的复杂性,采取有效的协调和预防手段,以保障国家安全。国家安全的根本目的是保障人民的安全和福祉,任何安全措施都应以人民的利益为出发点和归宿。人民安全是总体国家安全观的第一要义,没有人民的安全,一个国家不可能有长期的发展。总体国家安全观将人民的生命安全、财产安全和基本利益置于首位。政治安全关系到中国特色社会主义制度的稳定与发展。在国家治理能力建设中,必须提高政治方面的安全能力,不断完善制度,反腐倡廉,维护意识形态安全,加强社会主义思想道德建设。风险管理是处理安全问题十分重要的能力。面对复杂的社会事务和社会问题,风险一旦形成或者危机一旦爆发,就可能迅速扩散,造成巨大影响,这会对国家的应急反应能力提出严峻挑战。
数据安全与国家安全存在密切关系。随着数字经济时代的到来,数据已成为经济与社会发展的重要战略资源,并构成数字经济发展的重要生产要素。在这种背景下,数据在现代经济活动中的作用越来越大,随着数据流动性的增强以及数据在生产生活中地位的提升,数据安全成为影响国家安全的重要问题,数据的泄露、篡改或丢失可能会对企业和整个经济体系产生严重影响,从而对国家的经济安全构成威胁。许多国家的关键基础设施,如电网、水供应、交通系统等,现在都依赖于电子数据和计算机系统进行运行和管理。如果这些系统的数据安全受到威胁,那么基础设施的运行可能会受到严重影响,对国家安全构成威胁。在现代社会,网络战争和网络犯罪已经成为严重的安全威胁,这类活动通常涉及到大量的数据攻击和防御,数据安全是防范这种威胁的关键。
数据安全与其他安全领域高度关联。现代社会的发展和数字化进程使得数据变得极为重要,保障数据安全是维护国家安全的重要方面。对于任何一个国家来说,有一些数据和信息是极其重要和敏感的,如国家机密,政策决策等。如果这些信息的安全不能得到保障,可能会对国家的稳定和安全构成威胁。数据作为一个重要的国家安全要素,数据安全构成总体国家安全观中的一个重要领域,涉及到保护国家的信息资源和数据资产免受威胁和损害,以及个人和企业相关权益的有效维护。现代军事活动大量依赖于数据和网络技术,如果这些数据不安全,可能会导致战略信息泄露,军事设施受到攻击,甚至可能影响到国家的军事行动能力。公民个人在越来越多的场合产生和使用数据,包括个人信息、金融信息等,这些信息的安全直接关系到公民的利益,这也成为国家安全的重要组成部分。
数据出境安全问题正在成为国家安全高度重视的新领域。在跨境数据流动中的安全问题不断突出的背景下,应平衡数据流动的自由与国家安全的需要,确保数据的安全和合法使用。数据跨境流动可分为数据入境和数据出境两个方面,数据出境安全涉及到国家安全的许多层面,对经济安全、政治安全、文化安全和军事安全等都会产生很大的影响。数据出境安全是数据安全保障体系建设中的重要环节,要把安全意识贯穿到数据收集、流通、使用全过程,积极有效防范和化解数据出境中的风险。在维护跨境数据流动安全问题上,尊重国家主权仍然是我国要坚守的重要国际法原则。这意味着,每个国家都有权在其辖区内制定和实施数据保护的法律和政策,包括了数据收集、处理、存储和转移等各个环节。对于数据出境的问题,国家也可以要求接收方国家或地区提供与自身法律相等的保护。在保障国家数据安全的基础上,充分实现数据要素价值,驱动数字经济高质量发展,有效提升国家安全治理能力。
(二)数据出境中危及国家安全的主要问题
无序的数据出境会对数据主权及安全产生威胁,增加国家安全风险管控难度,从而损害国家安全、公共利益和个人权益。[[2]] 数据出境对国家安全的影响体现在两个层面:一是数据出境活动本身对国家安全带来的风险,即数据出境的内部性风险;二是数据出境可能影响其他国家安全要素,进而对国家安全造成威胁,即数据安全的外部性风险。
数据出境的内部性风险表现为数据安全直接对国家安全产生重大影响。数据安全作为总体国家安全观中的新安全要素,维护数据安全是维护国家安全的应有之义。数据出境涉及各种技术和网络环境,在这一过程中,数据存在被窃取、被篡改或者被滥用的可能性,还有可能发生数据泄露,这都会导致严重的经济损失和社会问题,对经济安全和社会安全造成威胁。
数据安全对政治安全至关重要,因为数据的泄露或篡改可能导致社会混乱和政治动荡,甚至可能导致军事机密暴露,给国家军事安全带来威胁。数据安全也与社会稳定紧密相关。社会稳定需要维护公民的个人隐私和数据安全,确保公众对政府和社会组织的信任。数据泄露、个人信息被滥用或网络犯罪可能导致社会不安和不信任,对国家社会稳定产生负面影响。个人数据、非个人数据的出境都会给国家安全带来潜在风险。这些风险散布于我国政治、军事、经济、文化等多个领域,对我国国家安全会造成重大威胁,也会给我国数据出境国家安全治理带来挑战。[[3]]出境数据中包含有个人隐私和敏感数据,若这些数量庞大的个人隐私数据在数据出境活动中未得到适当保护而出现泄露或被盗用,就会侵犯个人隐私权,威胁人的安全与社会安全。当前,互联网已经成为生活社会的重要组成部分,它正在挑战建立在国家主权基础上的国家隐私保护权,因为国家主权是建立在物理边界上的。在互联互通的网络世界中,隐私问题无疑已成为国际范围内的重要问题。[[4]]而人的安全与社会安全都是国家安全的重要范畴,因而数据安全问题很容易演变成国家安全问题。
数据安全的外部性风险指数据安全对他人和社会带来的在非数据层面上的深远影响。换言之,数据会成为影响其他国家安全的因素,进而间接危及国家安全。当前,数据出境是数字经济时代企业全球经营的必要条件,在推动国家经济发展方面的作用日益显著,但数据跨境流动的风险不断加据,数据出境活动产生的数据保护问题会深刻影响国家安全。以滴滴出行为例,滴滴拥有乘客出行的大规模用户数据和运行数据,收集了大量的包括但不限于交通领域的核心数据,甚至能够通过分析这些数据对国家政策走向进行判断。这些关乎互联网基础设施建设和国家发展的底层数据,实际上危及到高度依赖于数据网络的国家安全信息体系。[[5]]美国根据《外国公司问责法案》(Holding Foreign Companies Accountable Act),外国公司在美国上市需要披露一定的信息,包括审计底稿。这导致拟在美上市的外国公司可能面临泄露重要数据的风险。基于技术漏洞的主动信息泄露和企业境外运营的被动信息披露,滴滴的海量数据基于主动或被动原因泄露,会造成严重的国家安全问题,这些海量数据相当于国家机密信息,一旦泄露将侵犯国家数据主权,使外国政府或公司可能在掌握这些数据的基础上结合其已掌握的其他信息对我国社会进行精准画像,并有针对性的开展情报收集与分析工作,从而威胁我国国家安全。
世界各国数据产业发展水平层次良莠不齐,甚至差距很大,由此为数据霸权主义的形成提供了土壤,也对其他国家数据安全与国家安全形成了威胁。在当前全球数字经济发展格局中,美国处于绝对优势地位,中国仅次于美国,日本和西欧洲国家则紧随其后,非洲、拉丁美洲和中东欧国家经济竞争力较弱。[[6]] 由于这种全球数字产业发展的差异,数据产业竞争力较强的国家成为数据产品与服务的重要提供者和消费者,而数据产业竞争力较弱的国家则主要表现为数据产品与服务的消费者或需求者。在不对数据流动施加限制的情况下,数据自然会向产业竞争力强国流动,若产业竞争力弱国拒绝数据跨境流动,其数字经济的发展将受到损害,但若允许数据不受限制的自由流动则将造成数据资源的流失,其数据主权和安全将会受到侵害,进而威胁国家安全。同时,数据产业竞争力强国基于产业与技术优势吸引越来越多的数据流入,产生一种聚集效应,在世界范围内造成一种数据的不平等占有现象,并基于“社会量化部门的垄断地位、全球化的监控体系以及一系列配套的知识产权制度、法律条文和贸易体系”[[7]]获得其他国家难以企及的“数据霸权”,从而形成数据霸权主义,并将其作为单边主义的武器之一,造成世界经济发展进一步失衡,威胁国家经济安全甚至是国家政治安全。
二、完善我国数据出境安全管理制度的必要性
在总体国家安全观视域下,数据出境安全问题与国家安全高度关联在一起。由于我国数据出境管理制度建设尚处于起步阶段,有关数据出境安全管理制度尚不完善,数据出境活动对国家安全带来了严峻挑战。
(一)我国数据出境安全管理制度尚不完善
我国数据跨境流动制度建设起步较晚,尚未形成一套完整的法律法规体系。同时,我国数据出境安全管理制度的可操作性不强,导致许多安全管理措施难以发挥作用。
第一,完备的数据出境管理法律法规体系尚未形成。我国数据跨境流动治理坚持“数据安全自由流动”的基本原则,既“数据自由流动”和“数据安全流动”原则。[[8]] 数据自由流动与数据安全流动原则是我国建立健全数据出境安全管理制度的出发点。在数据出境治理过程中,要坚持发展和安全并重,既要保障数据出境的安全又要促进数据的自由出境。
我国有关数据出境安全的基础法律规范可以归纳为“三法一条例”,即:《个人信息保护法》《数据安全法》《网络安全法》和《关键信息基础设施安全保护条例》。我国已初步建立了数据出境安全管理制度框架。2021年11月,国家互联网信息办公室发布了《网络数据安全管理条例(征求意见稿)》(以下简称《条例》)。2023年6月,国务院办公厅发布的《国务院2023年度立法工作计划》,提出要制定《网络数据安全管理条例》。这是即将制定的较为完备的有关网络数据安全管理制度的法律文件。虽然其将对数据出境进行一定程度的规范,但对于具体的数据出境安全管理与审查机制、跨境数据传输要求等方面还存在许多不明确之处。
第二,数据出境监管机制相对薄弱。我国数据出境安全管理制度包括一系列制度,其中主要有:数据安全标准制度、数据出境安全评估制度、数据安全审查制度、数据安全应急处置机制,以及数据市场交易管理制度、数据技术人才培养制度等有关的支撑性制度。《数据安全法》第27条规定,我国要建立全流程数据安全管理制度,有针对性的保障数据安全。国家推进数据安全标准体系建设,并支持企业、社会团体和教育科研机构等多方主体参与标准制定,推动数据安全标准体系的建立。但是,相关部门在数据出境监管方面职责划分不明确,导致监管工作难以有效协调,缺乏有效的监管手段。
当前,我国迫切需要建立数据安全风险评估、报告、信息共享与监测预警机制,统筹协调有关部门加强数据安全风险信息的获取、分析、研判与预警工作,对涉及重要数据和个人信息的出境流动进行严格审查,通过对数据出境的合规审核,有效规范数据出境行为,从而保障数据安全。2022年7月,国家互联网信息办公室公布《数据出境安全评估办法》。该办法的颁布迈出了我国建设全方位、多层次的数据资源保护体系的关键一步,[[9]]其构建起了“重要数据”和“个人信息”出境规制“双轨并行”分层次的制度框架,[[10]] 即坚持事前评估和持续监督相结合、风险评估与安全评估相结合的防范数据出境安全风险,保障数据依法有序自由流动的数据出境安全评估制度。
第三,数据安全审查制度有待完善。数据安全审查制度适用于影响或可能影响国家安全的数据处理活动,一般在数据出境前,应当进行相关数据的审查,以免重要数据外流或泄露。数据通过安全审查出境后并不意味着可以一劳永逸,在数据出境中一旦出现风险,应通过数据安全应急处置机制进行处置,以便在发生数据安全问题时有关部门依法启动应急预案并采取相应的应急处置措施,防止数据出境中和出境后可能出现的风险和危害,消除数据出境活动中出现安全问题。数据本地化存储制度要求关键信息基础设施的运营者在我国境内运营中收集和产生的重要数据与个人信息要在本地存储,以保障出境数据的可追溯性,是对数据安全评估制度和审查制度的补充。
我国数据出境活动中要求数据出境方遵守对等保护原则,既境外接收方处理个人信息的活动与我国数据提供方对出境的个人信息提供同等的保障措施,这一责任由个人信息处理者承担。我国还规定了针对从事侵害我国公民个人信息权益或危害我国国家安全、公共利益的个人信息处理活动的境外组织、个人的限制或禁止个人信息提供清单,即数据出境的黑名单制度。当前,我国数据出境的审查机制不够完善,导致一些敏感数据和个人信息可能被滥用或非法流出。一些数据出境活动可能涉及个人信息的泄露或滥用,对个人隐私也构成潜在威胁。由于缺乏有效的审查程序和技术手段,使得对数据出境行为的监督和控制相对薄弱。
第四,数据保护和个人信息保护制度需要加强。我国现行法律仍坚持以本土化为主要的数据跨境流动策略,为数据出境设置“评估”环节,对重要程度不同的数据实行相应管理措施,确保流动性和安全性的协调。我国《网络安全法》第 37条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”。我国急需建立健全数据分类分级保护制度,按照一定标准对数据实行分类分级保护,并采取分级差异化保护措施。通过对数据的分级分类以区分不同的保护力度,在数据处理活动中既能提高处理效率,又能保证数据安全。由于跨境贸易是数据出境的主要且重要的渠道之一,我国需要建立健全数据交易市场管理制度,规范跨境数据贸易行为的数据出境活动,既培育数据交易市场,又规范数据出境活动。
同时,个人信息在数据出境中扮演重要角色,但当前个人信息保护在数据出境中存在不足。尽管《个人信息保护法》已经于2021年11月1日开始施行,但是,我国个人信息保护机制仍然存在不足之处。有关部门的职责划分不明确,缺乏协同配合,影响了对个人信息保护的有效执行。对于违反规定的行为缺乏有效的制裁措施,也导致一些组织或个人可以逃避责任。随着数字化时代的到来,个人信息的跨境流动越来越普遍,但不同国家之间的个人信息保护标准存在差异,跨境数据流动面临着法律法规不一致、监管合作不足等问题,也给个人信息的保护带来了挑战。例如:欧盟《通用数据保护条例》(简称 GDPR) 对个人数据的控制者与处理者的责任分别有详细的规定;而中国《个人信息保护法》没有区分个人信息处理过程中控制者与处理者角色,统一称为“个人信息处理者”,并规定个人信息处理者共同处理个人信息将承担连带责任。这样,当出现相关问题时,就需要进行有效协调,否则,就可能遇到难以解决的问题。
(二)我国数据出境安全管理制度的国际合作与协调机制尚存不足
在建立健全数据出境安全管理制度上,我国面临着来自其他国家制定的不合理规则的压力,同时,我国有关数据出境的法律法规与一些通行的国际规则存在难以有效衔接的问题,数据跨境流动国际合作的深度和广度有限。
第一,数据出境安全审查或评估制度中有关国际合作机制不完善。我国目前数据出境安全审查规则不成体系。一是尚未形成体系化的数据出境安全审查规则,许多数据出境安全审查规则主要散见于各行业或各领域的规范性文件中,这种多头审查的监管机制容易产生监管漏洞,造成审查标准和尺度不一的不公平现象;二是数据出境审查规则仍有待细化,未形成足够细分的数据出境审查政策,具体表现在散见于部门规范中的数据出境安全审查规则并未对数据出境审查事项作出细化规定。这样,一方面国际上并不存在通行或一致的数据出境安全审查或评估制度,另一方面我国的相关制度措施也不完善,导致遇到跨境数据流动问题时,难以借助相关国际合作机制解决问题。2018 年 3 月,美国国会通过《澄清境外数据合法使用法案》(Clarifying Lawful Overseas Use of Data Act,简称 CLOUD Act), 进一步扩张美国获取存储于境外数据的能力,为美国云数据建立额外保护措施,同时,针对中国等发展快速的国家设置数据壁垒,防范重要领域的数据外流。2019 年,美国制定《美国国家安全与个人数据保护法案》,明确指出禁止向有关国家传输个人数据,尤其提到禁止个人数据流向中国等“威胁美国国家安全”的国家。这些问题都需要我国通过与美国进行沟通协调解决,或者通过加强相应立法进行反制。
《网络安全法》和《个人信息保护法》规定了在我国境内收集和产生的个人信息和重要数据的本地化存储要求。根据《网络安全法》第37条和《个人信息保护法》第40条规定的数据本地化存储要求,一是“关键基础设施运营者在我国境内收集和产生的个人信息和重要信息”,二是“处理个人信息达到国家网信部门规定数量的个人信息处理者在我国境内收集和产生的个人信息”,这些信息需要进行本地化存储。2021年12月31号,全国信息安全标准化技术委员会秘书处发布了《网络安全标准实践指南——网络数据分类分级指引》。这是对“数据分类分级保护制度”的细化,该文件给出了重要数据的定义,但这一定义并不明确。目前我国仍然没有法律对重要数据给出具体定义,由此导致数据出境审查规则的预测性不足,使得企业难以预测审查的结果和标准,给企业带来较大的不确定性。
第二,数据出境安全管理制度中的国际执行和监督机制难以有效对接。虽然我国开始建立初步的数据出境安全管理制度体系,但由于对数据出境的审查和监理流程不严密,导致政府疏于监督造成数据出境的违规行为得不到及时惩处。有关数据出境安全管理制度缺乏相应的配套措施,数据主动出境规则的可操作性有限,数据出境规则中某些概念界定不明确,数据主动出境的配套规则不完善,没有与国际对接的机制措施。例如:在与欧盟的电信运营商合作过程中,国内手机生产商可能会遇到数据合规性问题。欧盟的电信运营商可能需要合作的中国手机制造商提供他们手机设备的诸如IMEI等识别信息,以确保网络运营商能有效地使用设备。根据中国的规定,设备的硬件识别信息是个人信息的一部分,因此,国内的手机制造商会要求欧盟运营商签订数据处理协议。然而,欧盟运营商根据其所在国的法律,认为由于在整个业务过程中,只有硬件识别信息被获取,没有获取其他任何数据,不能通过硬件识别信息识别出特定的硬件用户,这些信息并不具有可识别性,因此不视为个人信息,从而拒绝签订这一数据处理协议。可见,如果不能有效对接跨境数据流动的国际规则,长远来看可能不利于我国数字技术和数字经济的发展,并可能造成我国在新一轮国际竞争中处于劣势。
我国与其他一些国家对个人信息保护与隐私保护在理念和法律层面存在较大差异,由此也造成相关国际执行机制难以有效对接。数据已成为数字化、网络化、智能化的基础资源,并渗透到我们生活的方方面面,公众对自己的个人信息和数据安全越来越关注,但在数据出境安全管理中,公众参与度低和知情权难以得到有效保护。当前,美国和西欧关于数据治理在价值理念和规制模式上存在根本差异,在隐私保护、境外管辖权和数字服务税等问题上也存在难以弥合的分歧。与美国和西欧国家相比,以东盟、印度等为代表的亚洲发展中国家,在制定自己的跨境数据流规则和政策时,非常重视数字产业的发展和国家安全利益。值得注意的是,一些国家要求将特定类型的数据存储在本国境内,或者对数据的流动进行限制,这与其他国家允许跨境数据流动的政策存在严重冲突。
第三,数据出境安全管理制度难以有效协调或处理在国际层面上存在的问题。数字贸易的全球化既没有伴随着产生具有普遍协调性的有关网络法律规范,也没有在全球范围内出现真正的数据保护和数据隐私法的趋同,这些问题在西方两个大集团的美国和欧盟之间存在分歧就是例证。有学者提出:“数字数据及服务的国际贸易既没有出现网络法规的普遍统一,也没有出现数据保护和数据隐私法的趋同,这可以从美国和欧盟这两个西方集团之间的分歧中看出。尽管欧盟数据保护模式在全球范围内的影响力越来越大,包括最近实施的《通用数据保护条例》。更进一步,在跨大西洋背景下,欧洲联盟的地区层面和美国的联邦层面之间在数据隐私法协调方面也存在着障碍。”[[11]]中国网络数据管理模式也与美欧存在差异,同时,虽然我国数字技术和数字经济的发展水平位于世界前列,但有关数据规制不完善,加之国内与国际数据跨境流动规则存在一定脱轨,使得当前我国在全球互联网治理中的地位远不能与自身数字大国身份相匹配。
同时,我国企业在跨境经营中面临境外监管问题,因企业的数据跨境流动要同时考虑数据流出国和流入国的相关法律和政策等因素,为减少企业跨国经营,一方面企业自身应当加强合规意识,主动了解跨境经营国家有关数据管理政策;另一方面是企业母国应加强企业合规指引。目前,我国有关企业数据出境的规则尚不完善,有些领域甚至可以说是空白。我国目前数据出境的规制手段多为事前监管,并没有同步考虑这些规制措施对“数据内流”的影响,基本还是一种防御主义。[[12]] 可以说,我国数据出境的监管规则和防范措施不能满足我国数据出境国家安全治理的需要,需要建立全流程数据出境安全管理制度。
三、完善我国数据出境安全管理制度的主要措施
我国数据出境安全管理制度的完善程度与我国在国际数据市场上所占的比例和份额并不相称。这可能限制我国数据出境活动,妨碍我国数字经济的发展。应结合我国数据技术和数字经济发展的现状,借鉴有益的国际经验,完善我国数据出境安全管理制度。
(一)加强数据出境法律法规的制定与修订
信息技术的迅速发展使得数据技术和数据市场不断变化,在数据出境法律规范的制定和修订时应坚持灵活性和可持续性原则,使规则能够适应新兴技术和不断变化的数据环境。虽然数据的自由流动对于推动创新和经济增长起着关键作用,但是,保障国家安全与个人、企业的权益也是至关重要的。跨境数据流动涉及的个人信息和隐私数据量非常巨大,如何确保数据主体的隐私权和个人权益的保护,以及防止个人隐私被非法侵犯,就成为一个突出的议题。为了数据安全,可能需要实施诸如加密和访问控制等防护措施,然而,这可能对个人隐私权产生冲击。同时,保护隐私可能需要限制数据流动或对数据进行去标识化处理,这可能会对数据的合理利用和创新产生阻碍。这样,如何在数据安全和隐私保护之间找到平衡点,便成为非常关键的问题。
数据安全流动是我国数据跨境流动规则构建的出发点之一,建立健全数据出境安全管理制度固然重要,但不能阻碍数据的自由流动,要在兼顾数据自由流动的原则下建立完备的数据安全出境管理制度。我国先后制定了一些保障网络数据安全的法律法规,但是,我国《网络数据安全管理条例》尚未出台。一方面,要加快制定和通过《网络数据安全管理条例》等具有可执行性和可操作性的法律法规,并完善我国网络安全产业保障与促进的相关法律制度[[13]]。另一方面,要加快制定有关网络数据跨境流动安全管理的法律法规,使之涵盖数据出境的各个方面,明确数据出境的评估、审批和监管措施等。
针对数据出境规则分案立法的现状,建议在国家层面加强数据出境管理立法,争取形成统一的、全国性的专门法律。各行业各领域要具体规定符合本行业特点的数据出境安全管理措施,从而形成国家和地方双阶合理配置,弥补数据出境安全管理制度立法方面存在的漏洞。关于数据出境评估制度的救济途径,《数据出境安全评估办法》第13条规定,评估结果的救济途径是向网信部门申请复评,其复评结果为最终结论。这里存在一个问题,从评审结果和复评结果的法律性质上看,究竟其是属于行政机关的行政行为还是非行政行为?由此引申出,若复评结果为最终结论,从法律救济看,这样的救济途径不足以保障数据处理者的权益。行政法学界对此并没有给出相关的见解,因此,至少需要行政法学者继续探讨。在以后相关立法和法律修订中,应增加相关的后续救济措施,比如:对该复评结果不服,可以向法院提起诉讼。
(二)健全数据出境的审批与监管机制
要在数据分类分级基础上对数据出境全过程进行有效的监督管理。数据出境监管是数据出境活动前、中、后阶段保障数据出境安全的重要手段。但单一的数据存储本地化或限制数据出境管理模式已不能满足当下数字经济全球化对数字跨境贸易和数据跨境流动的需求。根据相关法律规范规定可知,数据分级分类是数据出境安全评估制度、数据保护制度等数据安全管理制度的基础,在对数据进行分级分类基础上对数据实行有效保护,制定具有可操作性的数据出境管理要求,细化数据出境安全评估的事项。数据出境后可以分别从监管主体、监管流程与实施机制方面制定不同的监管策略,更有针对性地解决数据出境活动所带来的国家安全威胁,同时提高数据出境管理的效率。
要构建能够覆盖线上线下数据出境行为、融合多种管理手段的数据出境安全管理体系。在国家层面形成对各行业各领域均有约束力的数据出境安全管理制度,消除数据出境安全管理制度分散化带来的问题。在统一国家层面的管理制度基础上,由相关行业主管部门制定符合本行业、本领域特点的数据出境具体规则和要求。例如:地方各行业各领域负责主管部门负责制定相地方性重要数据目录,履行该行业和部门的数据安全监管职责。
要建立数据出境撤回、跟踪监督与报告机制。数据通过国家网信部门或其他相关部门的安全评估、个人信息认证或订立标准合同的要求出境后,无法避免数据出境后可能泄露的风险,这就需要建立数据出境的跟踪监督和报告机制。当数据出境后出现威胁国家安全的问题时,国家有关部门应及时通知有关企业,或者企业主动通知有关部门,采取有效渠道将数据及时撤回,通过国内数据出境应急处置机制,及时进行处置。
(三)推动数据出境管理的跨部门协同治理
就数据出境监管统筹体系而言,要着重解决立法和执法部门难以有效合作的问题。按照《数据安全法》的规定,建立健全“有关部门、行业组织、科研机构、企业、个人等共同参与”的数据安全协同治理体系。这就需要建立健全数据出境管理的协同治理体系,由国家网信部门或其他相关部门负责统筹协调网络数据安全与监管工作,加强数据出境的跨部门合作与信息共享,既包括政府部门内部的合作,也包括政府部门和有关行业组织,以及科研机构和企业的协作与信息共享。
要建立数据出境管理的跨部门协调机制,这些部门包括国家网信部门、国家安全机关、商务部、企业等。在该协调机制下,定期召开会议,共同讨论有关数据的出境管理政策和措施。在国家立法的基础上,相关公司或行业组织可制定本公司或本行业的数据保护措施,建立具有可行性的数据管理制度,既给予企业更多灵活空间,又弥补行政机关相关制度的不足。
基于数据共享的目标,我国可建立数据出境管理信息共享平台,用于政府部门之间的信息共享与协作。通过该平台,不同部门可以及时了解到有关数据出境的信息,加强相互之间的合作与协调。为更好推动跨部门信息共享,可以订立具体的信息共享协议,规定信息共享的范围、方式、条件和具体的安全措施,同时明确各部门之间的责任与义务,推动跨部门之间的信息共享。
(四)增强数据跨境流动的国际合作与协调
在国际合作方面,治理数据出境的有效方式之一就是通过制定有针对性的贸易规则进行跨境数据流动治理,制定数据出境管理规则。针对数据安全面临的诸多新问题,通过制定国际贸易规则从而解决跨境数据流动治理问题是首要选项。通过对近年来达成的重要贸易协定的分析,不难发现,通过贸易协定管理跨境数据流动已成为主流趋势。[[14]]当然,我们也应注意到,尽管一些自由贸易协定对跨境数据流动进行了规范,但是,这些规定往往并不具有强制力。有学者以RECP为例指出:“跨境数据流动是第四次工业革命中推动数字经济发展的重要因素,RCEP强调了这一点,其中专门针对跨境数据流动制定了一些条款,旨在促进数据跨境自由传输。然而,不可否认的是,关于跨境数据流动的条款在原则上和倡导上都是一种规范。” [[15]]尽管如此,这些规范对于数据出境管理的制度化仍然发挥着越来越重要的作用。
一些自由贸易协定中包含有关数字贸易和跨境数据流动的规定,特别是2017年以来,包含数据流动规则的自由贸易协定数量大幅增加。目前已缔结的数字协定主要有:《全面与进步跨太平洋伙伴关系协定》(CPTPP)第14章、《美墨加协定》(USMCA)第19章、《美日数字贸易协定》、《新澳自由贸易协定》(SAFTA)第14章、《区域全面经济伙伴关系协定》(RCEP)第12章及《数字经济伙伴关系协定》(DEPA)。同时,一些国家或地区已经签署了双边或多边跨境数据流动协议,以促进数据的安全、畅通和合法流动。例如:2018 年 5 月 25 日生效的欧盟《通用数据保护条例》(GDPR)旨在使欧盟每个数据主体都能更好地控制其数据,同时通过统一欧盟内部的法规来简化对跨国企业的监管环境。GDPR对数据的收集、存储、处理和传输等各个环节都设定了严格的要求,并规定数据出境时必须确保接收方能够提供“足够的保护”。GDPR统一了欧盟内不同的隐私规则,成为一部欧盟范围内直接适用且具有高保护水准的法律。
针对我国跨境数据流动面临的严峻安全问题,应增强我国与其他国家或国际组织在数据跨境流动治理领域的国际合作与协调。尽管我国的数据安全管理模式与美欧模式有很大差异,但是,我国仍然可以借鉴美欧有益的经验,积极寻求数据监管和自由流动之间的价值平衡,构建自己的数据安全监管模式,形成多元化的数据安全管理体系;同时积极参与跨境数据流动治理的国际竞争,在国际上拥有一定的话语权。[[16]]一方面,要宣传我国的数据跨境流动治理的主张。2020年9月,我国提出了《全球数据安全倡议》。该倡议提出,要促进达成数据合法、安全、有序跨境流动的相关共识,秉持共商共建共商理念,齐心协力促进数据安全,宣传反映各方意愿、尊重各方利益的全球数字治理规则。另一方面,要积极参与全球数据规则制定,或争取引领有关数据出境规则的制定,掌握跨境数据规则制定的主动权。我国可以考虑加入现有的一些数据安全区域规则框架,或与“一带一路”沿线国家签订区域数据流通协议,共同应对数据跨境流动安全威胁。我国要积极参与数据跨境流动国际规则的谈判、起草和制定,掌握有利于我国的数据跨境国际规则话语权。
四、结语
透过总体国家安全观视角,我们可以更加全面地认清数据出境对国家安全的影响。一方面,数据作为数字经济的关键要素,已成为国家之间争夺的重要战略资源,牢牢把握数据这样一种宝贵的国家基础性战略资源,有助于我国占据数字经济发展的制高点,获得在全球经济格局中的话语权。另一方面,数据承载着与国家安全、社会公共利益、个人权益密切相关的信息,数据安全与国家安全高度关联。如果缺乏相关的数据出境安全管理制度,数据出境过程中产生的安全问题就会引发数据安全与国家安全问题,进而对国家产生重大安全威胁。只有建立起科学、合理、有效的数据出境安全管理制度,我国才能在数据时代中真正实现保护国家安全和促进数字经济发展的平衡。
本文发表于《哈尔滨工业大学学报》(社会科学版)2023年第5期。作者分别为:熊光清,对外经济贸易大学法学院教授、博士生导师;张素敏,对外经济贸易大学法学院博士研究生。
参考文献:
[[1]] 习近平.习近平著作选读 (第1卷)[M],人民出版社,2023:235.
[[2]] 李晓楠,宋阳.国家安全视域下数据出境审查规则研究[J].情报杂志,2021,40(10):75.
[[3]] 马其家,刘飞虎.数据出境中的国家安全治理探讨[J].理论探索,2022,(2):107.
[[4]] LeSieur, Fran?ois. Regulating Cross-Border Data Flows and Privacy in The Networked Digital Environment and Global Knowledge Economy[J]. International Data Privacy Law,2012,2(2): 93.
[[5]] 韩洪灵,陈帅弟,刘杰等.数据伦理、国家安全与海外上市:基于滴滴的案例研究[J].财会月刊,2021,(15): 20.
[[6]] 王振,惠志斌等.数字经济蓝皮书?全球数字经济竞争力发展报告2022 [M].北京:社会科学文献院出版社,2023:1-20.
[[7]] 刘皓琰.数据霸权与数字帝国主义的新型掠夺[J].当代经济研究,2021,(2):28.
[[8]] 许可.自由与安全:数据跨境流动的中国方案[J].环球法律评论,2021,43(1):27.
[[9]] 洪延青.数据出境安全评估:保护我国基础性战略资源的重要一环[J].中国信息安全,2017,(6):76.
[[10]] 刘金瑞.数据安全范式革新及其立法展开[J].环球法律评论,2021,(1):11.
[[11]]Voss, W Gregory.?Cross-Border Data Flows, The GDPR, and Data Governance[J]. Washington International Law Journal,2020,29(3): 485.
[[12]] 刘金瑞.迈向数据跨境流动的全球规制:基本关切与中国方案[J].行政法学研究,2022,(4):83.
[[13]] 360集团法律研究院.中国网络安全法治绿皮书[M].北京:法律出版社,2019: 282.
[[14]] Yik-Chan, Chin; Zhao, Jingwu. Governing Cross-Border Data Flows: International Trade Agreements and Their Limits[J]. Laws,2022,11(4): 63.
[[15]] Huang,Gui;Lei,Yin. The Norms on Cross-Border Data Flows in the RCEP [J]. Asian Journal of Law and Economics, 2022; 13(3): 375.
[[16]] Yang, Xi. Regulatory Approaches of Cross-Border Data Flow in the Big Data Era: China’s Choice[J]. Journal of Physics: Conference Series,2021,1848(1):1.
