摘要:
[目的/意义]数据出境为数字经济全球化发展带来新的增长和机遇,但无序的数据流动可能损害国家安全利益,故有必要研究数据出境的审查规则从以实现国家安全维护的需要。[方法/过程]将数据进一步划分为原始数据、统计数据和大数据,通过案例研究和文献研究,阐释了数据出境与国家安全的关系。通过比较研究即借鉴美式和欧盟数据出境审查机制,为我国完善数据出境安全审查规则提供参考。[结果/结论]通过研究发现,数据出境可能损害国家安全利益。在数据出境审查规则的构建上,我国应当建立统一的数据出境安全审核机构和数据分类分级审核策略,完善数据出境审查程序建设,落实数据出境审查中相关主体的责任,实现数据出境与国家安全的激励相容。
关键词:
国家安全;数据出境;数字贸易;数据分类;安全审查;主体责任
引言
2021年7月2日,网络安全审查办公室将“国家数据安全冶上升到国家安全的高度,并宣布对“滴滴出行冶进行网络安全审查,进一步引发了数据出境背景下国家安全的维护问题。数据出境引发的国家安全担忧并非仅仅出现在中国,此前美国和印度就以本国数据传输至中国可能损害本国国家安全为由,禁止了中国应用Tiktok和Wechat在美国和印度境内的使用。在数字经济全球化持续发展的背景下,数据安全与国家安全的关系日益紧密,如何平衡好数据出境需求与国家安全维护之间的关系已经成为各国必须解决的课题。从数据出境安全审查、数字经济发展和国家安全的关系来说,数据出境审查的宽严程度与数字经济发展的效率呈负相关,而与国家安全的保障程度呈正相关。从世界范围内看,不同国家或地区在数据出境审查机制上存在差异,背后暗含着各自不同的数字经济利益诉求。美国凭借产业先发优势,对外主张全球数据的自由流动,但同时又在本国内通过《出口管理条例》《非密受控清单》围绕敏感技术、产品以及关联数据构建起严格的安全审查机制;欧盟构筑“数据主权”概念,将数据作为独立的出境审查对象,通过《通用数据保护条例(GDPR)》《非个人数据自由流动条例》保护数据出境安全。
我国也非常重视数据出境可能对国家安全带来的风险挑战,通过《网络安全法》《数据安全法》初步建立起了个人数据和重要数据出境安全评估的基本要求。但仍存在着审查模式过于单一、重要数据概念不清、安全审查或评估要求和程序不明确、不完善等诸多不足,难以适应我国数字经济全球化发展的需求以及国家安全保障需要。为此,我国亟需进一步细化并改进现有的数据出境安全审查机制,既要吸收美国和欧盟现有的制度成果,又要结合自身的数字产业发展状况和国家安全风险防范需要,科学的制定数据出境审查规则,实现本国数字产业国际化发展与国家安全保障的激励相容。
1 数据出境的发展需要及其对国家安全的挑战
1.1 数据出境对我国经济发展的必要性及安全保障跟进 首先,数据出境是在发展大前提下的必然选择。在加快培育和发展数据要素市场、构建以数据为关键要素的数字经济大背景下,货物贸易和服务贸易的数字化是我国对外贸易的一大趋势。随着我国数字经济国际化进程的推进,越来越多的国外企业在中国利用其本国的信息基础设施开展业务,数据需要从国外流入中国;中国企业也在对外开放过程中不断走出去,在海外建立数据处理中心,用以处理世界范围内的业务数据,数据需要从中国流入其他国家。因此,数据的跨境流动是顺应数字经济发展和经济开展的必然趋势,数据出境也是不断提高我国企业海外市场拓展能力,增强我国经济影响力的必然要求。其次,数据出境可能影响国家安全,需要落实数据出境过程中的安全保障。具言之,数据出境虽然有利于数字经济全球化发展,但无序的数据流动可能增加国家安全风险控制难度,损害国家安全利益。为此,在数据出境的实施过程中,我国既要满足自身经济发展的需要,又要兼顾国家安全保障要求。
1.2 数据出境对国家安全的挑战 根据数据产生的方式及与国家安全利益关联的样态,数据可分为原始数据与衍生数据。原始数据是指不依赖于现有数据而产生的数据,其本身与国家安全紧密相连。衍生数据是由对原始数据进行处理而得到的数据,又可以进一步细分为统计数据和大数据。统计数据与大数据都是基于原始数据产生,但在应用理论、方法和技术等方面存在区别。构成统计数据和大数据的原始数据本身与国家安全没有关联或联系较弱,但经过技术处理后得到的衍生数据也即统计数据和大数据则与国家安全利益相关。本文将数据进一步细分为的三种样态即原始数据、统计数据、大数据,各种样态数据影响国家安全的机理并不相同,厘清其与国家安全的关系是建立数据出境审查制度的前提。
1.2.1 原始数据与国家安全挑战 在数据挖掘、机器学习技术涌现之前,构成国家安全挑战的数据主要即为原始数据本身以及统计数据。对于原始数据而言,无需对数据作进一步的处理,数据本身即与国家安全利益息息相关。典型的如重要目标的地理信息,如重要安全警卫目标、设施和关键基础设施的位置数据;重要机场、机关和单位的地理信息;民用核设施安全监管信息,如设计资料、运行参数等;我国核原料矿产分布、储量信息;金融机构安全信息,如新产品研发方案以及研发过程中产生的相关记录和数据;产品销售信息、市场调研信息、市场营销计划、财务资料、业务分析研究成果等经营资料等等。上述这些原始数据已经构成国家秘密的范畴,无需经过汇聚分析,单独就足以影响到一国的国家安全利益,一旦出境即可能威胁国家安全。
1.2.2 统计数据与国家安全挑战统计数据 主要指的是各个具体领域的属性数据单点可被测定或公开,但集中批量的数据泄露可能会危害国家安全、军事行动或反恐安全。以交通运输为例,关键铁路线路图、车站布局、轨道分布、仓储数据等资料;涉外交通运输工程施工建设过程中的地理、水文、技术资料、统一口径等数据单点均可公开,但此类数据汇集在一起,通过简单的统计手段即可得出一国整体的交通运输状况信息,一旦出境就可能对国家安全利益形成威胁。又如人口普查数据、国家经济数据也属于统计数据,都是由单个普查对象身份或经济数据汇集而成。而其中的单点身份数据或经济数据如果不构成国家秘密就不足以与国家安全紧密相连,但作为单个数据集合的简单推断数据即人口普查数据或国际经济数据等统计数据,前者如国家人口迁移流动数据、社会保障数据、生育率数据,后者如全国单位国内生产总值(GDP)能耗及其降低率、全国及各省、自治区、直辖市农林牧渔业总产值、农业生产资料价格指数、商品零售价格指数、固定资产投资价格指数及主要分类指数等一旦出境则可能造成国家利益损失。当然,统计数据涉及的行业范围众多,除了交通运输、人口普查数据、国家经济数据外,还有其它重要产业如石油天然气、煤炭、电力、通信、钢铁、金融等的数据,都具有原始单点数据与国家安全利益距离较远,而大量原始单点数据汇集而成的集合数据或统计数据则可以反映国家某行业或领域的整体情况,关乎国家安全和社会公共利益。
1.2.3 大数据与国家安全挑战 如上所述,构成国家秘密的原始数据以数据本身反映的内容影响国家安全,重要领域统计数据以原始数据简单汇总而与国家利益紧密关联。大数据则完全跳脱了原始数据自身内容的局限,也不像统计数据那样只是原始数据的简单汇集,而是通过数据挖掘、机器学习等技术将隐藏在原始海量数据中的信息识别出来,反映原始数据或统计数据不能反映或揭示的内容。例如个人消费数据本身与国家安全并不直接关联,但是大量的个人消费数据汇聚出境后,一国通过数据挖掘技术、机器学习技术等就可能推断出他国居民的食物喜好、生活习惯、健康状况、职业选择偏好等情况,形成对他国社会状况的精准画像,并进而有针对性的开展情报收集和研判工作,甚至可能对他国经济社会的薄弱环节进行攻击。实践当中,有些国家已经开始意识到商业数据或个人生活数据的大量出境可能对国家安全造成威胁。例如,除了前述禁止Tiktok和Wechat在美国境内开展业务外,美国同样以国家安全为由对华为公司5G业务进行严格审查,并禁止华为公司在美国开展业务,实际上也是担忧本国消费者大量数据出境后,可能诱发的国家安全威胁。
总的来说,在数字经济全球化的背景下,数据作为国际经贸活动开展的关键生产要素,具有出境的现实需求。但数据本身蕴含的利益或价值具有多样性和交织性,原始数据通过本身的内容可能损害一国国家安全利益,统计数据通过原始单点数据的简单集合也可能与国家安全利益紧密相连,而大数据在数据挖掘和机器学习技术的发展下,在数据量变与质变互相转换的过程可能使数据表征的利益从单个或部分主体的隐私或商业利益迁移至社会和国家层面的安全利益,一旦被不当利用,就可能对一国的国家安全造成威胁。为此,一国尤其是发展中国家必然对本国数据的出境采取谨慎的态度,以保护国家主权以及国家安全不受侵害。
2 我国数据出境审查制度的不足及国际经验镜鉴
数据的价值是随着新近经济数字化转型的不断推进而逐步展现出来的,各国在数据出境的审查上也都是处于不断摸索的完善阶段。我国脱胎于传统经济的数据出境审核制度,难以回应数字经济发展的新特点,存在改进的空间。美国和欧盟作为两大数字经济的经济体,在数据出境安全审查方面形成了各自的策略,可供我国借鉴。
2.1 我国数据出境安全审查规则的特点及不足
2.1.1 数据出境安全审查依据分散在部门法中我国目前并未形成体系化的数据出境安全审查规则,而主要散见于各行业或领域的规范性文件之中。具体来说,尽管《网络安全法》第三十七条和《数据安全法》第三十一条对个人信息和重要数据的出境提出了安全评估要求,但该两条规范实际上并未明确数据出境的安全审查规则,而是通过转介的方式引入国家网信部门会同国务院有关部门制定的具体办法来明确数据出境安全审查的具体要求。例如对于支付数据,中国人民银行在2018年发布第7号公告中明确支付数据原则上不得出境,因跨境业务需要必须出境的,应当符合监管规定。又如对于网约车收集的乘客信息和生成的业务数据,交通运输部等七部委在《网络预约出租汽车经营服务管理暂行办法》中明确应当在境内存储和使用,除非法律法规另有规定,否则不能出境。故而,我国对数据出境的安全审核主要以行业管理为主,也主要由行业管理规范进行规制。但多头审查的监管机制容易产生监管竞争或监管漏洞,可能会出现出境审查标准和尺度不一,协调不畅的情况,存在损害国家安全利益和数据出境实施主体利益的可能。
2.1.2 数据出境审查规则仍待细化 如上所述,《网络安全法》《数据安全法》并未对数据出境安全审查作出明确规定,而是根据数据所属行业的不同分类分别交由行业主管部门作出监管规定。但即便如此,散见于部门规范中的数据出境监管规则也并未对数据出境审查事项作出细化规定,基本使数据出境安全审查处于无法可依的状态。例如,上述中国人民银行2018年第7号公告,交通运输部等七部委《网络预约出租汽车经营服务管理暂行办法》以及工信部《关于规范云服务市场经营行为的通知》在提到各自行业数据出境的监管规则时,也仅仅规定数据出境应当满足法律法规的要求,甚至并未提出数据出境的安全审查要求,更没有对如何启动数据出境安全审查,数据出境安全审查的具体要求和标准,数据出境安全审查的程序等具体问题作出回应,未形成足够细分颗粒度的数据出境审查策略。这就可能导致行业监管部门在数据出境安全审核的具体实施过程中要么审查过严,实质上阻塞数据出境的路径;要么审查过于随意,或者造成审核漏洞损害国家安全利益,或者打破数据出境实施企业的稳定预期,造成数据出境的混乱和无序,既损害了我国数字经济的全球化发展,又不利于国家安全的维护。
2.1.3 数据出境路径过于单一从我国现有涉及数据出境安全审查的规定看,国家层面的《网络安全法》《数据安全法》均将国家安全审查作为数据合法出境的前置程序。换句话来说,对于与国家安全利益关联的数据,只有经过数据安全审查后方可出境。从性质上看,数据出境安全审查属于行政许可类审查,行业监管机构在审查中发挥着主导作用。正如国家网信办在《个人信息和重要数据出境安全评估办法(征求意见稿)》第六条规定行业主管部门负责本行业的数据出境安全评估工作,定期组织本行业数据出境的安全检查。但我国对可能影响国家安全的数据出境实施一刀切的先审核、后出境的策略,缺乏现实的可操作性。
原因在于,首先,一刀切的事前审查会加重审核机构的工作量,在数字经济成为未来国际经贸往来重要趋势特征的前提下,数据将构成国际贸易尤其是服务贸易的重要供给手段,相应的数据出境需求也将呈现指数级的增加,一刀切的事前审查将是不可能完成的工作,即影响了审查效率又增加了审查负担;其次,不加区分的一刀切的事前审查也会减低数字经济的效率或直接导致经济活动本身无法开展,因为数字产品或数字服务本身就是依赖数据出境作为基本的供给要素或手段,例如在跨境远程医疗服务中,数据传输的中断或者延迟实际上可能导致医服务无法正常开展。尽管医疗数据可能构成个人隐私,但如前所述,服务贸易下产生的少量医疗数据本身不足以构成对国家安全的威胁,为此,对所有可能与国家安全产生关联的数据出境均一体化的开展事前安全审查即没必要也无效率。
总结来说,我国目前还不存在可供操作的统一的数据出境安全审查规则,各部门制定的数据出境监管规则还较为原则,甚至并未明确提出行业数据出境的安全审查规则,造成了无法可依的局面。且一刀切的“审核-出境”模式也并不符合数字经济下我国数据出境的实际和需求。
2.2 数据出境审查模式的国际经验镜鉴
2.2.1 美国外松内紧的审查模式 尽管数据出境可能损害国家安全利益,但美国在国际上却积极主张各国采取数据自由出境的策略。原因在于,美国企业在社交媒体、搜索引擎、电子商务、云计算等互联网产业领域都处于全球领先地位,开放的数据出境格局有利于满足美国数据驱动型企业的发展需要,也可以进一步巩固美国的数字经济领先地位。从美国主导的经贸协定中也能看到这样的特点。例如《美墨加协定》(USMCA)就明确规定成员国间应尽量取消不必要的数据流动限制,包括取消数据本地存储、限制平台企业的民事责任等。此外,美国互联网企业先发优势为美国企业带来数据富集效应,即数据主要由其他国家或地区流向美国,而无需担心会有大规模数据由本国转移到国外,赋予美国天然的数据本地化存储及全球数据管理权。
但美国在本国内却对数据出境进行严格的管控。表现为美国通过模糊国家安全的概念,通过立法赋予政府部门灵活运用国家安全维护事由对数据出境进行审查的权力。例如美国《出口管理条例》下,美国商务部可以变相出口国家禁止出口的技术或产品为由禁止数据的跨境传输。又如美国2018年《外国投资风险审查现代化法》下,直接或间接收集或持有敏感或重要数据的美国企业属于“敏感行业美国企业”,外国投资者如要进行投资需要经过美国外国投资审查委员会的安全审查。如果美国外国投资审查委员会认为数据被外国投资者控制后(包括数据出境)可能损害美国国家安全利益,就会禁止投资交易的开展。又如,美国国会通过《国际紧急经济权力法》授权总统可以国家安全威胁为由采取广泛的应对措施包括规制和禁止国际贸易的开展,当然也包括禁止数据的出境。
2.2.2 欧盟提出“数据主权”概念,强化数据出境审核制度 在云计算、人工智能和5G等技术的发展下,数据的经济效益和网络效应日益凸显,欧盟在人工智能领域的私人投资以及在量子计算技术专利方面落后于中国与美国。新冠疫情的冲击却进一步凸显了数字化的重要意义,包括大数据分析用于跟踪和控制疾病传播,人工智能在疫苗研发中的模拟作用等等。在数字竞争的危机之下,欧盟一方面通过提高关键数字技术的公共投资以弥补产业的劣势,另一方面则通过出台一系列的政策和法规如GDPR、《数字服务法》《数字市场法》来强化对数据的控制和数据安全的维护。2020年7月欧盟发布了《欧洲的数字主权》报告,强调“数字主权”应是指欧洲在数字世界中自主行动的能力,需要将其理解为促进数字创新的保护机制和防御性工具,以应对数据窃取和基于数据的不当的价值评估。
在数字主权的背景下,就要求欧盟以外企业的数据利用行为必须符合欧盟的价值观和原则,当然也就包括不得损害欧盟的安全利益。但是需要明确的是国家安全属于欧盟成员国的事权范畴,在数据出境是否损害国家安全的判断上,欧盟层面难以制定统一的判断标准。例如在欧盟《非个人数据自由流动条例》中就明确指出,欧盟成员国可以国家安全为由采取数据本地化措施,只不过额外施加了“比例”原则的约束。尽管GDPR通过第五章“向第三国或国际组织转移个人数据”专章规定数据出境的具体规则,包括由欧盟委员会统一履行相应的评估职责以及设定充分性标准、适当保障措施等概括的出境策略等等。但是需要注意的是,GDPR关注的是个人权益的保护,其关于充分性和适当保障措施的评估标准均是以个人隐私为对象,实际上并不涉及国家安全的评估程序。因此,欧盟对数据出境的国家安全审查上并没有形成较为统一的规制思路和路径,还是交由各成员国具体规定。但其提出“数据主权”的概念,无疑将数据与国家利益包括安全利益紧密结合起来。
总结来看,美国和欧盟在数据出境安全审查的策略上存在显著差异(见表1)。美国依靠数字产业的先发优势形成了实施全球数据存储,且其在数据安全管理中的霸权主义和长臂策略,促使其只需以敏感技术为核心实施数据出境管制就基本可以堵塞国家安全的隐患。美国更多是将数据作为技术或产品的附属,相应的出境规则也散见于国家产品、技术出口管理条例及国家行业立法中。所以其以敏感行业的规制顺带实现数据出境的规制,并主要采用一事一议的出境审核方针就有其自身的现实逻辑;而欧盟数字产业发展不如美国甚至不如中国,数据呈现出流出量大于流入量的特征,为此欧盟提出了数字主权的概念,希望实现对数据本身增强控制力,而不只是将数据作为投资、产品或技术的附属,并全面审核数据出境可能带来的国家安全威胁。尽管欧盟并未明确数据出境的安全审查策略,但在全面控制的情况下一事一议的出境审核制度必然需要得到松绑和改进,这在GDPR关于个人数据出境方面的充分性标准和适当性保障措施就是典型的例证。
我国与欧盟较为类似,尽管已经在数字产业上呈现出了赶超甚至部分业务的超越态势,但并未形成美国的全球数据汇集态势。面对美国、欧盟企业的进一步发展,在对外开放不断升级的情况下,数据出境已成必然。为此,我国在数据出境安全审核规则构建上,应当参照欧盟,以数据为独立的对象开展审核,并建立相对统一的审核部门;在一事一议的出境审查策略外,进一步丰富数据出境审查模式;并不断完善和细化我国出境审核的标准和程序要求。尽管我国并不具有没有的数字产业先发优势,但在构建数据出境安全审查规则国际话语权等领域,应当借鉴美国经验,积极参与国际经贸规则的制定,输出数据出境审查规则的中国方案。此外,需要进一步说明的是数据出境审查规则本身是治理国家安全风险的“术冶,我国不但要在“术冶上进行相应完善,还强化国家安全保障的“道冶,也即从规则变化或驱动的根本因素上寻找应对策略,包括增强有关部门和人员的风险意识等。
3 国家安全观下我国数据出境审查规则的完善
3.1 在政府层面渐进推动数据出境审核的组织建设 如前所述,数据直接或衍生内容均可能与国家安全关联,对数据审查本身即意味着专业的人才和技术保障。为此,原则上我国宜将数据出境的安全审查纳入到统一的审核部门进行,既可以实现审核能力的集中投入,又可以实现审核标准和尺度的统一,防止不同部门审核造成的协调不畅,又更加符合数据的规律,便于在整体上判断数据可能带来的国家安全风险。但从监管惯例上看,我国基本形成了行业归口监管的体系,例如在金融领域以行业为主的机构监管,在数据出境的监管上实行以行业主管部门为主的审核体制更符合我国的监管体制惯性,同时行业数据本身体现着各自的专业属性,维持现有的分业审核模式也便利不同监管部门专业优势的发挥。为体现渐进改革的优势,现阶段我国不宜另起炉灶,可视数据的种类分别将数据出境审核权授予网信办、公安部门、中国人民银行、银保监会、工信部等具体业务部门。但需要指出的是归口行业审核机制的实施需要充分发挥并完善中央网信办的数据出境审查协调功能,合理分配网信办和其他行业主管部门的权限和责任,建立中央网信办协调下的分业审核组织架构,以克服数据出境审查中的监管竞争和监管漏洞,保证审查政策的专业性、完整性和连续性。
3.2 建立数据出境分类审核制度 原始数据、统计数据、大数据对国家安全影响的方式存在差别。从规范上,原始数据为不依赖于现有数据而产生的数据,包括足以危害国家关键基础设施、关键信息基础设施、政府系统信息系统安全的位置或参数数据等,这些数据一旦出境即便不经过加工和处理就足以造成国家安全损害。统计数据和大数据是衍生数据,是原始数据经过算法加工、计算和聚合而成的数据。例如前述敏感行业的统计数据,通过数据挖掘而产生的社会精准画像数据,这些衍生数据的原始数据本身都不足以危害国家安全,但形成统计数据或大数据后就具有了衍生价值进而可能损害国家安全。为此,在数据出境审核中,应当依据原始数据与国家安全联系的紧密程度,进行进一步的细分。区分为本身与国家安全紧密关联的原始数据(类型一数据),形成统计数据后与国家安全紧密关联的原始数据(类型二数据),通过数据挖掘后与国家安全紧密关联的原始数据(类型三数据)等。
对于类型一数据,因为其本身已经构成了国家秘密或与国家安全紧密关联,本身就属于法律法规禁止出境的数据,原则上不允许其出境。而对于类型二和类型三的数据,因为其本身与国家安全相对较远,可以允许其出境。但由于类型二数据经过简单集聚后产生的衍生价值就可能对国家安全造成严重威胁。例如针对电信、金融、石油、电力等关键行业数据出境应采取审慎的安全风险评估制度,德国在2016年针对电信元数据提出了数据本地化存储的要求,法国在医疗、信息通信等领域也存在相关的数据出境限制要求。又如在金融行业,针对电子银行的跨境业务活动,个人金融信息的储存、处理和分析,跨境外包,以及征信数据的整理、保存和加工等活动进行严格的规定,强调了数据的本地化存储要求,原则上不得向境外提供。这些关键行业的原始数据可能均不足于影响国家安全,之所以禁止其出境,也是担忧其数据集聚后产生的衍生国家安全风险。故对类型二数据应当采取审慎的安全风险评估。但对于类型三数据,在出境审查模式上则可以有所变通,因类型三数据通常不属于国家秘密也不属于敏感行业数据,故而在传统的事前审查模式的基础上,可以增加额外的变通审查模式,如下文所述的白名单机制和充分性保障机制,可以不经事先审查或仅需事后备案的方式开展审查。
总之,由于数据本身的多样性,不同性质的数据在国家安全上的影响存在差异,故而在数据出境的安全审查上应当区分数据体现的不同国家安全利益进行分类管理。但是应当明确的是,在数据出境分类审核的制度建设中应当在法律层面上明确不同类型数据的具体种类,形成对应的数据出境安全审查策略,根据数据的安全属性及包含的利益类型进行梯度性管理,灵活采用事后备案和事前审查相结合的宽严相济的审查方式,以实现数据出境便利化与国家安全有效保障的统一。
3.3 完善数据出境审核的具体流程 在出境审核程序的构建上,主要可以包括出境审核程序的启动、评估流程管理以及评估结果认定等三个层次。
3.3.1 出境审核程序的启动 主要是指在什么情况下由谁来开启数据是否损害国家安全的审核。从理论上只要产品或服务涉及向境外机构、组织或个人提供数据的就应当触发数据出境的审核。由于数据出境实施主体与数据出境利益关切,且对出境数据的情况和是否实施数据出境具有一定的主导力,为此其应当作为数据出境审核启动的第一责任人,包括启动自评或者主动向有权部门申请评估等。当然,作为数据出境监督审核的部门,也可依职权针对可疑的出境数据主动进行审核。当然需要明确的是,由于对出境数据的审核不应仅仅采用凡出境必审核这样一刀切的方式进行,例如对已经完成数据出境安全评估的同类数据出境就可能并不诱发数据出境的审核,除非所涉及的数据出境,在目的、范围、类型、数量等方面发生较大变化、数据接收方变更或发生重大安全事件等等。此外对于类型三数据还可以灵活采取白名单机制或充分性保障机制,进而豁免事前审查。
3.3.2 评估流程管理参照全国信息安全标准化技术委员会《信息安全技术数据出境安全评估指南(草案)》,评估流程管理包括在评估过程中要求数据出境实施主体报送数据出境计划、评估的要点和流程等三大方面。网络运营者应首先制定数据出境计划,计划的内容包括但不限于:数据出境目的、范围、类型、规模;涉及的信息系统;中转国家和地区(如存在);数据接收方及其所在的国家或地区的基本情况;安全控制措施等。
评估的要点包括合法正当和风险可控。其中合法性主要是指出境数据不属于依法不能出境的数据,例如个人数据已经获得个人信息主体的授权同意或者存在其他可以合法处理数据的理由;正当性主要是要满足数据利用的最小化和必要性原则,包括网络运营者在合法的经营范围内从事正常业务活动所必需的;履行合同义务所必需等等。风险可控主要是应当评估数据出境计划的风险可控,应综合考虑出境数据的属性和数据出境发生安全事件的可能性。从理论上讲,数据自身的性质越敏感、数量越多、类型越广泛一旦出境就越可能损害国家安全,但如果数据发送方和数据接收方拥有完备的数据出境的安全保护技术和管理能力,数据接收方所在国家或区域的政治法律环境较为健全又可能在一定程度上缓解甚至消除国家安全风险。
在数据出境的评估流程中,首先判断数据出境的合法性和正当性,对于不满足合法和正当要件的禁止其出境;其次判断数据出境对国家安全可能造成的威胁,在综合考量出境数据属性和安全事件发生的可能性的基础上,如果认为数据出境可能损害国家利益且风险不可控,即便满足合法性和正当性要求亦可以禁止其出境(见图1)。
3.3.3 评估结果的认定 对于出境数据是否违法的判断上,由于存在明确的法律规定,故不存在难点。在正当性的判断上,主要涉及到“比例”原则的运用,也即判断出境数据是否满足合目的性、适当性等基本原则的要求,并注意国际惯例的吸收借鉴。因为“比例”原则已经成为判断合理性的被广泛认同的重要工具,审核机构较为熟悉,因此在正当性的判断上亦不存在适用上的疑问。为此,在数据出境审核结果的认定上,主要即为风险可控的认定。如前所述,在风险可控认定的模型中存在着两类作用变量,一类是出境数据与国家安全的紧密程度,一类是数据出境发生安全事件如不当泄露或被不当获取及利用的可能性。
对于出境数据与国安安全的紧密程度判断,又可从类型、数量等去衡量。如果出境的原始数据包含核设施、国防军工、人口健康、敏感地理、关键信息基础设施的系统漏洞等信息,由于此类数据本身与国家利益紧密关联,故可以认定为对国家安全和社会公共利益产生严重影响的重要数据。从数量上看,尽管有些原始数据比如前述的个人消费数据本身与国家利益相距较远,但经过汇聚形成大数据后,其所蕴含的社会、经济价值可能发生性质转变。总体来说,出境数据数量越大,发生泄漏或滥用时,造成的国家安全危害和社会公共利益风险越大。
从发生安全事件的可能性上判断,又可从数据发送方与接收方的安全保障能力、数据接收国的政治法律环境等方面去判断。对于前者来讲,如果发送方和接收方具备较先进的安全技术能力,例如采用了数据传输保护、边界防护等总体安全防护技术手段,并建立数据出境日志留存机制;且发送方和接收方具备完备的管理制度、应急机制、审计机制、投诉与处置策略、安全事件上报机制等管理机制,能够有效保护数据安全,那么就可以认定发生安全事件的风险较低。对于后者而言,如果数据接收方所在国网络安全或数据安全方面的法律法规标准完备,主管或监管部门具备较强的监督和执法能力,数据安全事件发生后具备多层次、多方面的有效追责和监督机制。政府调取数据的权力受法律的严格约束,且做到了公开透明,过往不存在相关的负面报道,那么也可以认定发生安全事件的风险较低。
当然,在风险是否可控的认定上,不管是出境数据的种类和数量,还是安全事件发生的可能性,作为自变量都是在综合发挥作用。为了实现国家安全风险的精准度量,可考虑采用定量的方式,建立以国家安全威胁的程度为因变量,以出境数据特征、数据发送方安全保障能力、数据接收方安全保障能力、数据接收国政治和法律环境为自变量的数学模型。在定量模型的构建上,可考虑先通过半定量的方式逐步过渡到完全的定量方式。原因在于完全定量的模型构建建立在充分的数据基础上,但由于数据出境审核在我国还处于摸索阶段,前期数据和经验并不完备,甚至在自变量和因变量的赋值上还存在理论上的欠缺,为此完全的定量化可能存在困难和不足。通过半定量化的方式积累经验和数据,既可以为完全的定量化审查作准备又可以在当前阶段实现较为客观化的数据出境审查机制。参照全国信息安全标准化技术委员会《信息安全技术数据出境安全评估指南(草案)》,在半定量化的模型中,对自变量赋值上可考虑将出境数据与国家安全的关系区分为高度相关、中度相关与低度相关,将出境数据的数量进一步区分为少量数据、大数据等,相应组合后确定国家安全影响程度等级为五级以上、四、三、二、一级等;安全事件发生可能性中的相关因变量也可以进一步区分为高、中、低三个层次,并相应组合后确定安全事件发生的可能性等级为三、二、一级;然后将国家安全影响程度与安全事件发生的可能性通过列联表表示,确定具有极高和高安全风险级别的特定区域作为禁止数据出境的情形(见表2)。
3.4 完善数据出境过程中相关主体的国家安全风险管控责任 数据出境安全审查不能仅仅将审查责任加于行政部门,而应建立起政府部门、行业自律组织和数据出境实施主体三位一体的审查组织体系。原因在于,数据出境与经济活动的场景紧密相连,数据具有虚拟的特性,出境的方式也丰富多样既包括通过数据库、网络云盘,又包括即时通讯工具、网络邮件等方式,仅·7·仅依靠行业监管部门难以及时对层出不穷的数据出境场景作出应对,即便是在数据出境安全审查的规则层面上,由于规则本身的抽象性和局限性,难免存在疏漏或者不能从实践层面指导数据出境实施主体的行为而丧失可操作性。鉴于行业自律组织对本行业数据出境的场景和方式较为熟悉,且从实践中看,在其他监管领域尤其是专业性较强的行业协会如证券业协会、基金业协会等行业自律组织通过发布自律规则以及操作性规范的方式都发挥了良好的自律监管作用,为此可以考虑在数据出境安全审查上赋予行业自律组织的自律审查职能,包括自律组织依据本行业数据的具体特点通过制定出境审查操作指南的方式,对有关法律规范中确立的数据出境审查规则作进一步细化,为数据出境实施企业提供详细可操作的合规性指引;并可以对违反数据出境安全审查义务的企业作出自律监管措施。
对于数据出境实施主体来说,其作为数据出境的实施者,通常也是收益者,也应当承担起维护国家安全的责任。从控制能力上来说,数据出境实施主体对所处行业产生的数据与国家安全的关系应该存在充分的认识;从控制义务上来说,数据出境实施主体应当采取必要的审查措施,包括自查是否采取了必要的管理措施包括定期和不定期的数据出境国家安全风险评估,是否在必要的情况下设立了专门的组织负责数据出境安全的全流程监管,是否采用了必要的技术手段如加密措施或匿名化措施以保证数据不被数据流入国未经同意的重新识别或获取等等。对于经过自我评估发现数据出境可能损害国家安全的,就不应当实施数据出境或者应当采取额外的补充保护措施,以防止数据出境带来的国家安全损害。总之,不管是基于风险控制还是利益补偿等角度考量,数据出境实施主体履行相应数据出境安全自查义务。
总的来说,在数据出境的安全管理上,除了政府层面履行审慎审查职能外,其他相关主体也应履行相应的国家安全自查等义务,如行业协会通过自律监管和规则指引为企业自查提供指导,数据出境实施主体积极开展数据出境安全自查等。
3.5 软化数据出境安全审查中的“一事一议”机制 为了满足数据出境需求同时减轻数据出境安全审查负担,在不涉及类型一、类型二数据的情况下,可以考虑在事前审查模式外,为类型三数据的出境审查提供额外变通的审查策略。原因在于,类型三数据更多涉及一般的货物和服务贸易如电子商务的开展,不与国家安全利益直接关联,即便不采取严格的事前审查也不会对国家安全带来明显威胁。在变通审查策略的设定上,可考虑借鉴欧盟GDPR的充分性认定、充分保障措施,作为类型三数据的出境的补充审核机制。也即在数据接收国或数据发送方和接收方满足数据安全保障的具体规定时,可不经事前审查直接实施类型三数据的出境。
3.5.1 建立白名单机制 从本质上来讲,白名单机制是根据数据流入国的政治法律环境,将部分国家纳入可自由流动的地区,形成白名单国家。具体来说,一国认为白名单国家的数据保护水平达到本国的最低要求,且该他国取数据的权力受法律的严格约束,并做到了公开透明,过往不存在相关负面报告,进而认为本国数据流入他国会得到充分的保护,而不至于损害本国国家安全权益。在国际立法例,欧盟在进行白名单国家认定时,往往将他国的数据保护立法、执法环境、是否存在有效的损害救济机制等作为首要考量因素。美国CLOUD法案则规定能与其进行境外数据执法合作的“适格外国政府”必须符合法治、人权、有充分的数据保护实体和程序立法等核心标准。我国完全可以通过建立白名单机制,畅通类型三数据的出境渠道,实现审核机构和企业合规的双重减负。但是,白名单国家并不是一成不变的,如果白名单中的国家不再满足我国设定的条件如法治环境恶化,出台随意调取数据出境国数据的法律,则我国应当及时将不满足条件的国家剔除,流入该国的数据应当回复到严格的一事一议的事前审查程序中。这同时也要求我国针对白名单中的国家建立定期评估机制,以实现效率与安全的平衡。
3.5.2 充分性保障措施 充分性保障措施是指即便数据流入国并不是我国认可的白名单国家,但如果数据接受主体采取了充分的保障性措施可以避免数据的泄露或者被所在国情报部门随意的获取等可能损害我国国家安全的情形,数据就可以自由流动。充分保障措施与白名单制度有相似之处,即两者机制都是为了保证我国数据流入他国后不被非法用以损害我国国安的活动,不同之处在于白名单制度是针对数据流入国提出要求,而充分性保障措施是针对数据接收主体提出的要求。借鉴GDPR及APEC下CPBR的经验,充分性保证措施大致可以分为三类:一是标准合同,即数据出境实施主体与数据接收主体之间通过合同的方式约定数据接收主体应当采取的数据安全保护责任,包括不得随意向他人(包括所在国政府)泄露来自我国的数据,不得利用来自我国的数据开展危害我国国家安全的行为,采取充分的管理和技术措施保障来自我国的数据的安全等。如果数据控制者、数据处理者等主体间采用了标准合同条款,则合同仅需在主管部门备案而无需主管部门事前审查即可进行数据出境;二是具有约束力的集团企业规则,即如果数据接收方与数据出境实施方同属于一个集团,数据仅仅在跨国集团企业内部进行流动,且整个集团共同遵循我国的数据安全监管规则,承担不得损害我国国家安全的义务,那么整个集团可以被视为“安全港冶,而无需经主管部门的事先批准,类型三数据可以跨境自由流动;三是经批准的认证机制,即数据出境实施方和接收方应当接受政府或其认可的评估机构对其数据安全技术和管理保障能力水平的认证,获得认证的企业之间可以进行类型三数据的跨境交换。
当然,随着实践的不断发展,类型三数据的出境审查机制将超出上述类型,白名单机制与充分性保障措施之间也并不是非此即彼的关系,充分性保障措施下的各类具体机制也可以混合利用。但总的原则是只要数据出境实施主体、数据接收主体、数据接收国为数据安全保护提供了充分的制度工具,能够保障我国的国家安全免受非法侵害,就应当允许类型三数据的跨境流动。
4 结语
我国在构建数据出境安全审查规则的过程中应当处理好国家安全维护与数字经济国际化发展之间的平衡关系。一方面,数据安全与国家安全紧密关联,在数据出境的场景下,只有构建起相对完备的安全审核规则才能为国家安全的有效维护提供坚实的制度基础;另一方面,数据出境又是数字经济国际化发展的重要组成部分,在构建数据出境安全审查规则时,又必须要兼顾数据出境的便利化进行。
鉴于我国在数据出境安全审查上还存在审查模式过于单一,审查规则还未完全建立等局限,为此我国亟需进行有针对性的完善。在数据出境安全审查的具体制度构建上,首先,应在法律层面明晰各类数据的范围,并依据不同数据体现的国家安全利益差异对数据出境进行有区别的分类审查。对直接涉及国家安全的原始数据原则上禁止出境,对可能形成统计数据和大数据的原始数据应当允许有条件的出境;其次完善数据出境安全审查的标准和程序,提供可供操作的审查指引;再次,完善网信部门的审查协调职能,在行业主管部门落实审查职能外,还要充分发挥行业自律组织的具体指导作用,强化数据出境实施主体在数据出境上的安全自查义务;最后,在数据出境安全审查模式上,出于平衡效率与安全的关系出发,应软化数据出境审查中的“一事一议”机制,对于类型三数据的出境审查至少应当补充白名单机制和充分性保障机制,并持续探索建立数据出境安全审查的变通策略,在保障我国国家安全的基础上,最大限度满足我国数字经济发展需要。