【摘要】大数据技术通过数据聚合、关联分析得以发现海量数据中的隐藏模式,导致数据出境国家安全风险的泛化。当前我国数据出境国家安全监管存在监管宽度有余而确定性不足、管控有余而比例性不足等局限,难以适应风险泛化背景下的监管需求。从安全与效率的平衡角度出发,应将“风险为本”的方法适用于数据出境国家安全监管中,以提高风险泛化下的国家安全监管的针对性。针对大数据分析导致国家安全风险的场景,可构建以数据特性、技术应用及使用场景为核心的动态监管体系。
【关键字】数据出境;国家安全监管;法治进路
一、问题的提出:大数据分析与国家数据安全风险的泛化
数据已经成为数字经济时代的重要生产要素和国家重要的战略资源,数据安全问题不但关乎经济社会发展的整体福利,而且与国家数据安全息息相关,尤其是大数据分析技术的发展为国家数据安全带来了新的挑战和机遇。2022年6月22日,习近平总书记在中央全面深化改革委员会第二十六次会议中强调,要切实保障国家数据安全,强化国家关键数据资源保护能力,夯实国家数据安全管控能力。具体来说,一旦我国数据不经监管地被他国大量获取,他国就可能利用大数据分析窥探我国经济社会运行的薄弱环节、居民消费习惯和财务状况等,以进行针对性的金融攻击、经济监视或政治讹诈,损害我国国家数据安全。如仅在2023年,我国不法分子就通过Telegram向境外售卖多家金融机构涉及千万余条中国客户的金融数据,这可能导致数量庞大的个人敏感信息为他国掌控,构成国家数据安全威胁。
然而大数据技术的出现使原本并无关联、难以产生使用价值的数据进一步转化为生产要素,大大扩展了数据的边际价值,这就导致如滴滴打车的时间、目的地、频次等传统上认为不会导致国家数据安全风险的数据类型,经过大数据分析后可能威胁国家数据安全。正如美国研究者所言,在大数据分析、人工智能和高性能计算等先进技术(以下统称为“大数据分析”技术)的应用下,几乎所有类型的数据都可能导致国家数据安全风险,而数据的丰富又进一步促进了大数据模型功能的开发和完善,从而提高数据利用主体分析原始数据的能力,加剧国家数据安全风险。
当前我国数据出境国家安全监管主要通过《数据安全法》《个人信息保护法》《数据出境安全评估办法》进行,但仍存在制度适配性不足问题,未能有效回应大数据技术带来的国家安全泛化挑战。现有研究尽管部分关注到大数据分析带来的数据出境国家安全风险及监管挑战,多数从数据分类分级、出境安全义务分配、出境安全审查等不同方面展开,但在针对性、可行性、有效性等方面还存在局限。本文则通过解构大数据分析价值的实现逻辑,从国家数据安全风险的源头规制出发,统筹发展和安全,构建与完善基于“风险为本”原则的数据出境国家安全监管机制。
二、数据出境国家安全监管制度错位暨国家安全风险泛化挑战
安全风险泛化以及不确定性带来的关键性监管挑战是如何使安全风险与监管措施相匹配。在处处都有风险以及风险可变的情况下,一方面需要留足安全监管措施的灵活介入空间以避免监管漏洞,另一方面也要保证安全监管措施的确定性和合比例性以避免过度监管。
(一)监管宽度有余而确定性不足
一是国家安全标准的原则化。国家安全既包含客观的安全要求如国家重大利益没有危险和不受威胁的状态,也暗含着主观因素的影响,如决策者的安全观念、国家战略、社会文化背景等。由于国家安全的政治话语特征和决策的集中性,有学者认为国家安全具有相对性和暂时性,是行为体与其他行为体或所处国际环境相互建构的结果。在国际贸易实践中(如俄罗斯诉乌克兰案),尽管存在针对“国家安全例外”的规制如“必要性”约束,但在国家安全与否的判断以及安全措施的选取上,依然需要尊重甚至取决于主权国家的判断。国家安全标准的模糊化始终是把双刃剑,对监管者来说,一方面有利于应对数据安全风险泛化可能导致的监管缺漏,另一方面却存在权力寻租和操作性不强的问题;对被监管者来说,也有监管预期性不足的困扰。为了避免国家安全的泛化,我国已经完善了国家安全法治体系、政策体系,但仍难以满足数据时代国家数据安全确定性需求。例如《数据安全法》虽然将国家安全风险概括为数据遭到篡改、破坏、泄露或者非法获取、非法利用,并将国家安全保障作为主要立法目的之一,但对国家安全风险的具体表现、数据安全风险对国家安全风险的传导作用机制却鲜有涉及。
二是安全监管工具的混淆适用。就数据出境而言,国家安全监管主要在于防止外国政府获取我国特定类型或数量庞大的数据危害我国国家安全的行为;社会公共利益和个人信息权益监管并不关注特定违法行为主体的数据利用行为,更多关注公共健康、环境保护、社会秩序等社会整体利益及个人权益保护。但现有监管制度,除了数据安全审查制度外,数据出境安全评估制度、个人信息保护认证制度、个人信息出境标准合同制度尽管已内嵌国家安全考量,但却均不专门针对国家安全,而《数据安全法》第24条确立的国家数据安全审查制度仅为宣示性规定,对审查对象、范围、标准、程序等具体规则并未涉及,难以为数据出境国家安全监管提供可操作指引。
三是部门法与数据法的适用关系不清。大数据技术下,数据既可以作为劳动工具又可能作为劳动对象,具备了双重属性。对比来说,作为劳动工具的数据提供的是直观的信息,甚至是知识产权,此时的数据更多体现的是部门法利益;而作为劳动对象的数据是潜在的资源,不经大数据分析,难以获得想要的信息或知识,此时的数据更应受到数据法涵射。在大数据技术出现前,数据通常是作为劳动工具出现。从国家安全监管的角度,无论何种属性的数据,只要存在威胁国家安全的风险,均有规制的必要性;但在风险的隐蔽性和规制策略上,却存在显著的差异。作为劳动工具的数据的国家安全风险较为直观,或者直接体现为国家秘密而应受到《国家秘密法》的规制,或者与特定的物品如核两用物项或服务如支付服务关联而应受到《核两用品及相关技术出口管制条例》《非银行支付机构网络支付业务管理办法》等的规制;作为劳动对象的数据的国家安全风险较为隐蔽,其风险类型和程度取决于数据到信息的技术处理过程,无法直接与特定行业安全监管或国家秘密保护规范关联。
(二)管控有余而“比例”性不足
在大数据技术引发的风险泛化背景下,比例原则的适用面临空前挑战。比例原则作为限制行政权的传统工具,要求监管措施必须与所欲达成的合法目标(即维护国家安全)相称,并进一步体现为适当性(措施能有效实现目的)、必要性(选择对公民权益限制最小的手段)和均衡性(措施带来的负担与追求的利益成比例)三个子原则。然而,检视现行制度可发现,当前数据出境国家安全监管在应对泛化、不确定的风险时,呈现出“一刀切”的粗放式管控特征,因此难以实现精准化、差异化的规制,最终导致监管手段与目的之间的结构性失衡。
首先,在监管触发机制上,现行制度存在以预设风险替代风险评估的问题,违背了适当性与必要性原则。具体来说,当前监管的启动多以静态、量化的门槛为核心判断标准(例如数据量级、涉及人数、是否属于“重要数据”),而非基于数据出境具体场景的动态风险评估。这种做法的直接后果是,无法有效捕捉大数据“技术处理后才显现”的隐性国家安全风险。举例来说,一个数据包本身可能不触达任何出境门槛,但经过境外主体的聚合分析后,可能产生危及国家安全的巨大风险,如地图导航APP收集的单个用户位置数据,远低于任何国家安全监管门槛,但通过轨迹聚合分析,他国可能识别经常出入敏感场所的人员身份,建立“关键人员数据库”。过于依赖事前预设,缺乏对数据出境后实际使用目的、技术处理能力和最终风险后果的持续关注和动态评估,必然导致监管资源错配——低风险行为受到过度约束,而高风险漏洞可能未被覆盖。此外,比例监管要求评估风险时应当考虑数据接收方的可信度这一关键变量,但现行制度未能充分纳入并细化对数据接收者所在国的法律环境、政治关系、其自身资质与信誉等变量的系统性评估,最终导致监管缺乏精准性和必要性。
其次,在监管工具的设计上,现行制度缺乏梯度化的措施谱系,显然违背了必要性原则。面对不同程度的风险,理应存在从轻到重的梯度化监管工具选项,但现行制度提供的工具选择存在“跳跃”问题。具体表现为:对于不触发安全评估的数据出境,主要依赖标准合同与认证等低强度工具;而一旦触发门槛,则直接进入行政主导的高强度安全评估。缺乏介于二者之间的、强度可调的中间性监管工具,例如基于不同风险等级的差异化标准合同条款、强制性的保险或担保机制、针对特定高风险领域的专项认证等。这种结构性缺失意味着监管无法根据风险的细微差别进行微调,只能进行“开关式”调控,必然导致对中低风险场景的监管过度。将其统一适用于所有达到量化门槛的出境行为,而未根据数据敏感程度、出境目的、企业规模与合规能力等因素进行区别对待,使得大量合规意愿强但数据处理量大的中小企业承担了与其实际风险不相称的、巨大的合规成本,有违均衡性原则。
最后,在责任设定与执行层面,现行制度未能充分体现代际公平与风险分配理念,有违均衡性原则。国家风险泛化的特点之一是风险后果的潜在性和长期性。一方面,监管压力过度集中于境内数据处理者,而对境外接收方的义务约束和追责手段相对薄弱。这使得境内企业承担了过重的担保责任,而真正的风险制造者却规避国家安全责任,导致责任分配的失衡。另一方面,对于由大数据技术发展带来的未知风险或延迟性风险判断,也缺乏合理的责任豁免或风险社会化分担机制。其结果就是,企业面临国家安全风险的不确定性,从而进一步加剧了监管的僵化效应。
三、数据出境安全监管的“风险为本”逻辑
大数据技术所引发的国家安全风险泛化现象,已然从本质上动摇了传统监管模式得以有效运行的逻辑基础。风险的不可预知性、动态演化性及其与行为主体意图和能力的高度关联性,共同导致了倚重静态规则与形式合规的过程控制模式陷入系统性失灵。但是,此种失灵绝非执行层面的偶然偏差,而恰恰是范式层面难以克服的深层次错配,需要从监管逻辑上进行根本性的重构。
(一)应对不确定风险的“风险为本”监管
在应对不确定性风险的监管理论中,主要存在“规则本位”“原则本位”“风险为本”三种范式。“规则本位”监管依赖于事先明确、具体化的禁止性规定和强制性要求(如正面/负面清单),其理论根基是经典法治理念所追求的明确性、稳定性和可预测性。然而,大数据分析技术的颠覆性在于其风险生成机制的涌现性——单一数据元本身可能不具有风险,但通过机器学习算法的多维关联、模式识别和深度学习,海量数据聚合后可能产生意想不到的敏感信息。例如,基于协同过滤的推荐算法能够通过分析看似无害的用户行为数据,精确推断出用户的身份特征、政治倾向甚至健康状况。这种分析价值的不可预见性使得试图通过静态规则穷尽风险场景的努力难以奏效。“规则本位”监管在面对技术快速迭代时,不可避免地陷入制定即落后的困境。“原则本位”监管通过确立一般性原则(如“数据安全”“国家安全”)为监管提供弹性空间,其法理基础源于德沃金的理论,强调通过法律原则的解释适用应对新情况。这一模式虽然缓解了规则僵化的问题,但在大数据环境下却面临裁量权过度和标准模糊的质疑。
“风险为本”监管是强调监管的强度与方式理应取决于数据出境的风险等级,但国家安全风险等级又不能由数据的某些静态属性或固定的程序性要求来单一地决定。“风险为本”监管广泛应用于反洗钱等金融实践中,并扩展至信息安全与网络安全领域,既是对“命令—控制”型监管模式的反思,也是对“风险社会”的法学回应。其并不试图预先规定所有可能的风险情形,而是构建能够持续识别、评估和响应风险的机制。并通过三重机制应对大数据技术挑战:一是建立基于数据特性、处理方式和应用场景的多维风险评估框架,取代单一的数据分类标准;二是引入持续监测和回溯审查机制,通过监管科技实现对大数据处理全流程的动态感知;三是确立梯度化的响应措施,使监管强度与风险等级精确匹配,避免“一刀切”带来的效率损失或安全漏洞。
当然,“规则本位”“原则本位”“风险为本”的划分更多是理论层面的,不同国家在应对数据出境国家安全的不确定风险时多采用混合监管模式,但日益重视“风险为本”监管的应用。如欧盟模式体现了“原则本位”为体、“规则本位”为用的立场。以《通用数据保护条例》中的基本原则为核心,通过充分性认定、标准合同条款等具体规则落地,同时融入“风险为本”要素(如数据保护影响评估)。美国模式呈现部门分散、规则与风险混合的特征。在特定领域(如医疗、金融)依赖明确规则,同时普遍采用基于风险的执法策略,强调监管资源的风险导向配置。
中国模式正在经历从“规则本位”向“风险为本”的转型。我国的数据出境监管框架,特别是《数据出境安全评估办法》《个人信息出境标准合同办法》等,已经吸纳和体现了“风险为本”的核心思想。主要体现在以下两个方面:一是分级分类管理思路。构建了安全评估、标准合同、认证等多条出境路径,本身就是将监管资源根据预估风险等级进行差异化配置的体现。二是安全评估中的风险考量。在安全评估的实质审查中,监管机关并非仅进行形式审查,而是要求企业提交风险自评估报告,并重点考察数据本身的风险、境外接收方风险、技术与管理风险等综合因素。尽管融入了风险理念,我国现行监管模式仍深度依赖于预设的、相对静态的规则和门槛,与“风险为本”监管仍有显著差距。
(二)“风险为本”监管的确定性问题
“风险为本”监管对确定性问题的回应,不是通过提供传统法治所追求的“事前的、静态的、规则的”确定性,而是通过重构一种过程中的、动态的、程序的新确定性来实现的。任何试图通过立法穷尽所有风险场景、为每一种数据出境行为提供事前的是非对错标准,不仅是徒劳的,而且会因为规则僵化而无法应对新型风险。既然无法确保行为结果的绝对确定性,“风险为本”监管就将确定性的锚点从行为的结果转移到了行为的过程和标准上。有观点认为,这种强调裁量、标准和过程的模式损害了法律的明确性和可预测性,有违法治原则。但法治的真正目的并非规则至上,而是约束权力、保障权利、维护秩序。当静态规则无法有效维护国家安全时,“风险为本”监管更符合实质法治的要求。“风险为本”通过承认不确定性,并用法定的程序、标准和义务来约束它,实际上为社会提供了一种更可靠、更稳健的系统性安全确定性。
(三)“风险为本”监管的合比例性问题
合比例性作为一项基本的行政法原则,要求国家所采取的任何干预措施都必须与其所欲达成的正当目的相称。正如前文所述,传统静态的过程控制模式因其“一刀切”的特性而常常导致干预手段与目的之间出现失衡。
在适当性方面,该监管逻辑下的一切监管工具设计都以“防止实质性国家安全危害”为直接目标,这就使得工具与目标之间形成了高度关联。监管不再针对数据的静态标签,而是针对数据的“动态风险”。在必要性方面,通过构建梯度化、差异化的监管工具箱,实现了干预强度的精细校准。对于任一风险等级,所采用的工具都是在能有效控制该等级风险的前提下,对数据自由流动限制最小的选项。至于均衡性方面,通过动态的风险评估过程,确保了监管措施所带来的社会成本与所追求的国家安全利益成比例,实现了手段与目的的相称。
四、“风险为本”下数据出境国家安全监管的制度展开
(一)完善国家数据安全的评估机制
从“国家安全”到“国家数据安全”,不仅是话语的演进,更是安全内涵与风险形态的深刻转型。国际数据安全与传统国家安全的根本区别在于前者的不确定性,而这种不确定性就蕴含在“数据—信息—知识—能力—潜在危害”的链条之中。为了提升国家数据安全评估的确定性与科学性,应回归上述风险的传导链条之中,一方面要对其进行要素化的综合评价,另一方面也应构建基于集体决策的程序化评估机制。
1. 国家数据安全的评估原则
开展安全风险评估工作必须遵循以下三项基本原则。一是实质重于形式原则,即评估须穿透数据表象,深入审查其经聚合、关联、分析后的潜在效用与最终可能产生的衍生价值,而非仅仅关注其原始状态或是否被列入某个预设目录。二是动态演进原则,意味着风险评估不是一次性的、以获批为终点的行为,而必须是伴随数据出境全生命周期的、持续不断的监控与再评估过程,以应对风险的动态变化。三是多因素综合权衡原则,防止以数据量级等单一指标作为决定国家安全风险的依据,转而要求对下述多个维度的因素进行综合性、整体性的研判,以得出相对准确的国家风险等级。
2. 构建多维度的国家安全风险动态评估矩阵
国家安全风险等级应由综合性的、可量化的评估矩阵动态生成,并至少应包含以下四个核心维度。
在数据维度上,评估必须超越简单的静态分类分级。鉴于数据既可作为“劳动工具”也可作为“劳动对象”,因其风险迥异,应引入衍生风险评级机制。这意味着评估重点不在于数据本身是否敏感,而在于其经大规模聚合、挖掘与分析后,是否可能还原或推断出涉及国家宏观经济运行态势、关键技术设施布局细节、未公开战略资源分布、核心产业链薄弱环节等高度敏感的信息。
在主体维度上,必须建立对数据接收方的背景与能力风险评级制度。例如其是否受类似美国《云法案》等具有长臂管辖效力的法律约束,其与中国当前的外交与战略关系态势,接收方企业自身的股权结构、实际控制人背景、过往是否有涉及国家安全的事件记录,以及最为关键的数据存储与分析的技术能力。美国的外国投资委员会、司法部、联邦贸易委员会在国际投资、国际贸易等领域审查涉及关键技术和数据的交易时,就对交易对手的背景进行极其严格的审查,并提出了受关注国家及相关受控实体的范围和判断标准,殊值借鉴。
在目的与场景维度上,评估必须严格区分数据出境的最终使用意图与应用场景。这意味着必须在制度上明确区分用于国际供应链管理、合规商业合作、开源学术科研等普遍认为的善意目的,与用途模糊或可能服务于境外特定机构的情报搜集、认知战与不正当竞争等恶意目的的场景,并对它们赋予截然不同的风险权重系数。例如,欧盟《数据治理法案》鼓励为以“数据利他主义”为目的的数据共享提供便利通道,体现了对目的的区分。
在技术维度上,评估应将出境所采用的技术防护措施的有效性与成熟度作为重要变量纳入考量。这意味着如果企业主动采用并有效部署了隐私增强技术,如联邦学习、同态加密、安全多方计算等,且能够实质性地降低数据被恶意利用的可能性,作为降低整体风险评级的重要正向量化因子。
3. 国家安全监管的程序控制
鉴于国家主权的重要性和排他性,国家数据安全风险的不确定性,难以完全消除国家安全评估的集中性和主观性问题。但是为了避免国家数据安全监管走入铁幕,除了尽可能通过要素化解构而引入量化的国家安全标准外,程序规控成为又一凝聚共识,形成预期的制度安排。在审查流程上,可构建起“机构间磋商—初步决定—听取利益方意见—机构间再次磋商—最终决定”的程序,避免审查结论的武断。在利益人救济程序上,数据的境内输出主体与境外接收主体有权对审查结论提出异议,进而使评估结果反映大多数利益相关者的认识。
(二)健全以风险等级为导向的梯度化监管工具箱
1. 配置层次化的监管工具并明确其触发条件
监管工具箱的设计必须形成清晰的强度阶梯,每一级工具的触发都应由前述动态风险评估矩阵所输出的风险等级自动决定。
对于低风险的活动,可以适用备案告知加标准合同的模式。在此模式下,数据出境者仅需向监管机构进行在线备案,告知其基本信息、风险评估结论及拟采取的措施,即可启动出境流程。在签署的标准合同中内置持续性的合规义务条款,例如数据用途变更的即时报告义务、年度合规审计报告的提交义务,以及接收方背景发生重大变化时的通知义务等。在此情形下,监管机构的职责则转变为“双随机、一公开”式的事后抽查,从而大幅降低合规成本,保障数据要素的正常有序流动。
对于中等风险的活动,则应自动触发强制性安全评估程序。但此处的安全评估须进行范式改革,其核心必须从审查“申请材料是否齐全”的行政流程,转向实质性地评判企业提交的“数据出境风险评估报告”及相应风险处置方案的合理性、有效性与完备性。评估机构应组织专家对企业自评的风险矩阵、各维度打分依据以及所选用的风险缓释措施进行审议,并以此作为批准与否的核心依据。这实质上是将监管重心从“替企业做决定”部分转向“判断企业的决定是否合理”。
对于高风险等级的活动,在通过上述安全评估的基础上,监管机构可以引入附条件的行政许可机制。例如强制要求数据必须在特定等级的加密状态下或仅在联邦学习的框架下才能出境,设定数据出境的频率与总量上限,严格限定境外接收人员的具体范围与访问权限,甚至要求境内企业购买数据出境安全保险等。
而对于那些经评估属于极高风险或明确存在恶意目的的活动,则必须依法果断启动“熔断机制”,即暂停或完全禁止向特定高风险主体、处于地缘政治敏感地区的实体,或涉及极端敏感场景的数据出境。这相当于整个工具箱的“安全阀”,确保国家安全底线。
2. 引入敏捷治理与监管沙盒
规则本身就表现为静态特征,在规则稳定性的要求下,国家安全的泛化就意味着须在规则之外寻找新的监管工具。基于风险社会理论与复杂性系统理论而诞生的敏捷治理与监管沙盒恰恰是为了应对风险不可预测及不确定的社会治理工具。
敏捷治理意味着,监管者可以在风险尚未完全确定之前采取行动,同时通过反馈、迭代等方式不断适应和学习,最终实现监管措施与风险的匹配。但敏捷治理作为一种公共管理理论,在进入法律监管体系之时,在有效性之外面临着可预见性和确定性的本质要求,似乎陷入了一种悖论。
要将敏捷治理落实到国家数据安全监管中,至少需要从两个方面进行完善。一是构建快速响应机制。根据实时风险评估结果,及时调整监管策略和工具。例如,可以设立专门的数据安全风险监测中心,负责收集和分析全球数据安全动态,以便根据大数据技术发展情况、国际关系变化等及时调整国家安全审查措施。二是注重跨部门协作。数据出境安全监管往往涉及多个政府部门,如网络安全、商务、外交等,故需要建立高效的协调机制,确保各部门在监管过程中能够信息共享、行动一致。
监管沙盒意味着提供了在可控环境中测试创新、积累证据、迭代规则的制度试验场。通过沙盒测试,监管机构能够观察新模式或技术的实际影响,评估其可能带来的安全风险,并据此决定是否将其纳入常规监管范畴。这种“先试后行”的方式,既鼓励了技术创新,又有效控制了潜在的安全风险。
应构建“准入—监控—退出”的全周期闭环机制。准入阶段,应保证进入沙盒的数据出境方案采用真正具有创新性的隐私计算技术或数据治理模型,且现有规则无法完全覆盖或可能构成不必要障碍。测试期结束后,根据结果适用差异化的退出机制:若证明方案在保障安全的前提下能创造巨大价值,可在未来申请安全评估时给予该企业“绿色通道”待遇,或将其采用的技术标准和治理范式吸纳为国家推荐标准或行业最佳实践;若测试失败或风险失控,则立即中止测试,并依据预案安全销毁境外数据。
3. 确立全流程持续监控与基于尽责管理的问责制度
监管的闭环绝不能止于批准与否的事前决定,必须贯穿数据出境的全生命周期,这正是动态监管的题中之义。
首先,确立一套相互关联的制度标准作为行为规范。一是确立起标准化风险管理流程。通过国家标准、行业指南等,明确“怎么做才算尽责”。例如,要求企业建立的数据出境风险管理流程必须包括风险识别、分析、评估、处置、监控和持续改进。二是记录与证明义务。要求企业全面记录其风险评估决策过程、所采取的控制措施及其有效性证明。这不仅是为了事后审计,其本身就是一个强制的过程约束。清晰的记录为企业提供了尽责的证据,从而获得了责任上的确定性。
其次,须以立法明确数据出境者的持续监控义务。要求其建立数据出境活动实时监控系统,对数据的流向、流量、访问日志、操作行为进行完整记录与保存,并定期向监管机构提交风险自评报告,报告其承诺的风险管控措施的执行情况以及是否有新的国家风险迹象出现。
最后,建立强制性的回溯审计与问责制度。一旦通过情报、投诉或监测发现出境数据被用于恶意目的或产生了危害国家安全的后果,监管机构应立即启动回溯审计程序。其核心问责标准是“是否履行了与其自我风险定级相匹配的尽责管理义务”。若企业能证明已尽到此种义务,如采用了监管机构认可的标准合同、认证方案或技术措施,或因不可预见的国家行为导致风险实害化,则可构成免责或减责的合法抗辩事由;若未能证明,即便当初形式上加盖了批准印章,企业仍须承担相应的法律责任。
(三)对外反制与主动塑造国际规则相结合
数据流动的全球性与数据主权的地域性之间的张力,为了更好的发挥国内法的作用,一方面需要加强数据领域对外反制的能力,另一方面要进行主动性的国际规则塑造。
1. 完善数据领域的对外反制法律工具箱
首先,在国家安全委员会或中央网信委的统一协调下,打通外交、商务、国安、工信、公安等部门的信息壁垒,并与网络安全企业、高端智库建立情报共享与分析协作机制。其核心任务是精准画像,即识别、归因和预警特定国家行为体利用数据流动进行的、以损害我国国家安全为目标的恶意活动,为启动反制提供合法、精确的情报依据。
其次,基于精准分析,激活反制工具箱。我国的反制工具呈现出多层次的特征:《国家安全法》《反外国制裁法》提供基础支柱;《对外贸易法》第7条(对等措施)、《出口管制法》第48条(反制措施)为限制与数据相关的服务贸易或技术出口提供了直接工具;《不可靠实体清单规定》可直接适用于滥用数据的外国实体,限制其进行数据交换与市场准入。
最后,鉴于数据利用目的和技术能力体现出明显的主体性,而在国家安全层面上这个主体性又最终体现在国家身上,故应当构建“数据出境高风险目的国(地区)名单”制度。将持续存在恶意行为的国家或地区列入名单,对其适用最严格的安全评估标准,采取额外的数据本地化措施,甚至在极端情况下可以直接禁止数据流向名单中的国家或地区。进而,以最小必要范围约束最高风险对象,既避免笼统化,也减少对正常数据流动的外溢影响。
2. 积极参与国际数据治理规则塑造
应在多边和双边议程中推动基于技术标准与认证互认的可信通道,明确跨境传输的最低技术与管理要求,并与国际通行标准建立对接关系。在WTO电子商务谈判、APEC跨境隐私规则以及联合国国际贸易法委员会等平台上,同步推进标准映射、等效采信和第三方审核结果互认,逐步把可验证的合规成果变成各方都能执行的共同规则。
在双边合作中,可探索小范围、可复评、可退出的“白名单”,明确纳入标准、定期评估、“拒绝—撤销—恢复”以及申诉救济的程序,用制度约束政治不确定。与此同时,坚持透明、非歧视、合比例等基本要求,公开一般性的评估原则、流程节点和证据要求,做到事前有告知、事后有说明,并通过年度统计和去标识案例要旨提升外界对监管的可预期性,压缩把国家安全当作保护主义工具的操作空间。
在此基础上,系统输出可执行的中国方案。一方面提供可验证的风险评估矩阵,把数据敏感性、聚合推断风险、接收方合规能力以及境外强制披露和长臂管辖等因素纳入指标并赋予权重。另一方面明确可转换的程序阶梯,在备案或标准合同、安全评估、附条件许可与紧急熔断之间设置明确的触发阈值和转换规则。同时完善可追责的问责安排,并与境外认证合作形成外部校验。通过对外反制筑牢安全边界、降低摩擦成本,叠加标准互认与程序透明带来的确定性增量,为国内监管赢得稳定、可预期的外部环境。
五、结 语
大数据技术已经成为数据出境场景下国家安全风险的关键变量,同时也导致了风险泛化的监管难题。以“风险为本”的国家数据安全监管思路,主张把监管重点从规则对照,转向直接识别和管控实际风险。监管应能随情势变化及时调整以体现适应性,把监管力度用在最有风险的地方以体现精准性,全过程有记录、有解释、能追责以实现问责性,进而在不阻断数据合理流动的同时,守住国家安全底线。
为实现上述目标,第一,建立细化的风险评估体系,把国家安全原则性要求落到可量化、可核验的指标和流程上。第二,搭建分级响应的工具箱,让备案、标准合同、安全评估、附条件许可、紧急熔断等措施与不同风险等级一一对应,避免“一刀切”带来的比例失衡。第三,推进有策略的国际协作。一方面对冲外部将安全问题政治化的冲击,另一方面通过标准互认、程序透明等方式降低企业跨境合规的不确定性。三者衔接起来,既借鉴国际经验,又对接国内实际,形成一套可执行的方案。
制度需要在运行中不断打磨。风险评估的参数如何设定并动态更新,监管沙盒如何进入、监控和退出,国际合作如何因情势变化及时调整,都需要持续优化。此外,监管能力的建设也很关键,尤其是懂技术、懂法律、懂产业的复合型人才培养是落实国家数据安全监管的重要支撑。面向未来,如何在安全与流动之间取得平衡将是考验监管的长期命题,而“风险为本”或许是应对数字时代复杂局面的可行思路,且其不只适用于数据出境,也可为更广泛的数字治理提供借鉴。本研究若能为此略尽绵薄,便达成了学术初衷。
李晓楠,郑州大学法学院副教授,法学博士。
