我国重要数据安全法律规制的现实路径
——基于国家安全视角
2022-11-08徐玉梅王欣宇
徐玉梅,王欣宇
(东北农业大学 公共管理与法学院,哈尔滨 150030)
数据技术时代对于数据资源的掌控与利用能力,已经成为国家的核心竞争力。重要数据资源事关国家安全,若对于重要数据治理不当,很可能导致其在收集、存储和跨境过程中出现安全风险,威胁国家经济安全、社会秩序稳定和政治安全。2021年6月《中华人民共和国数据安全法》颁布,有效地弥补了数据安全统一立法的缺失,是对数据安全法律保障极其重大的进步。重要数据蕴含着巨大的经济价值,若是不采取严格的法律规制,可能会导致企业等数据持有者忽视重要数据的保护,导致数据泄露等非法事件频发。因此,重要数据自身的重要性和风险性,使得研究重要数据法律规制符合法理的正当性和实践的必要性。目前,我国重要数据法律规制立场仍需以国家安全为前提,同时兼顾数据安全与自由流动平衡,秉持公共利益至上理念,把握公益保护和私益保护之间的限度。
一、重要数据安全关乎国家安全及其生成原因
(一)重要数据来源关乎国家安全
《数据安全法》第32条特别强调数据来源应当“合法”“正当”。数据来源合法合规才能创造更高的经济价值,尤其是重要数据事关电信、金融、能源等多个关键领域,若重要数据来源缺乏合法性、合规性,则国家经济安全将遭受巨大威胁,对国家安全造成严重冲击。
重要数据来源关乎国家经济安全。究其原因,第一,重要数据具有财产权属性质。数据在交易过程显示出其特有的商品属性,具有价值和使用价值,具有财产属性。数据收集后控制者进行处理分析、应用可得到经济价值,而重要数据质量好坏和有效性将会直接影响数据经济价值。第二,重要数据极易遭受不法收集和篡改。重要数据相较与普通数据经济价值更高,部分企业利用非法手段抓取或故意篡改重要数据,罔顾国家和人民利益于不顾,以期获取更高的利益。第三,重要数据来源的合法性是制约数字经济良好发展的根本前提。在数据交易过程中,各主体应保证其重要数据来源的合法性,比如数据原始取得手段是否合法、数据权属是否明确、交易时是否获得授权等。否则,若发生侵权事件,将对交易秩序造成不小打击。
(二)重要数据泄露关乎国家安全
防止无授权入侵以及数据泄露是重要数据安全保护的重心。我国针对数据泄露问题实施数据分类分级保护制度,重点保护“重要数据”,但数据泄露事件仍频繁发生。电信员工违法售卖用户信息,滴滴出行严重违法违规收集个人信息等,使我们意识到数据泄露严重影响人们经济生活、社会安定秩序。在国外,日本政府系统供应商后台被黑导致政府大量敏感数据泄露,Facebook因管理不当导致约8 700万用户信息遭受泄露,让越来越多国家认识到数字安全不只是个人信息保护的问题,而是更深入地涉及政治权力的攫取和社会的根本稳定,折射的是国家安全所遭受的严峻考验。
重要数据泄露关乎社会安定。一方面,对重要数据重视程度不足是数据泄露的首要原因。国内数据泄露事件频发,恰是折射出我国对数据安全保护优先级过低的现实。在数据技术时代,数据大量地被各企业占据,且各企业掌握的重要数据很可能对于国家社会和个人的价值更高,尤其是涉及国计民生的行业;另一方面,重要数据泄露严重影响社会安全治理。网络平台存储着大体量的用户信息数据,通过特定方式可以直间或间接定位出特定自然人,对其财产权和隐私权造成严重侵犯。比如电信员工非法泄露用户信息,使得多名用户遭受广告推销、电信诈骗,对国家、社会安全治理造成严重威胁。
(三)重要数据跨境流动关乎国家安全
美国“棱镜计划”曝光后,美国非法获取他国数据资源跨境转移的做法,让大多国家开始通过法律规制或者其他手段进行数据出境管制,印度的数据流动管控力度是其中最为严格的。主要原因在于数字技术的落后和法律保护的不完善,只能通过严格限制重要数据出境来保护国家安全和国家政治稳定。
重要数据跨境流动关乎国家政治安全。首先,数据跨境流动的复杂性影响国家政治安全。跨境数据包括个人、商业、政府数据,若政府数据中的“重要数据”“敏感数据”被他国非法获取,通过对我国重要数据进行算法技术分析,获取到国家机密信息、未来发展规划等,将会对我国政治安全造成毁灭性打击。其次,重要数据主权分歧引发政治危机。数据时代国家主权延伸至网络空间,数据主权本质上是网络空间主权的一部分。信息技术水平高的国家可以通过重要数据,解构出事关他国政治、经济等重要信息,倘若其在数据跨境流动中进行不法干涉或监管,很可能导致他国国家主权丧失,影响他国政治安全。再次,重要数据跨境流动安全治理有利于保障本国政治安全。为保护本国数据权益免受他国的侵犯,在安全与发展的基础上对重要数据跨境流动进行合理限制,同时兼顾法律与技术层面。成熟的数据跨境流动治理模式可抵御发达国家的数据霸凌,有利于保障本国政治安全、国家安全。
二、我国重要数据安全法律规制困境
(一)困境一:法律规制价值冲突
价值问题是法律所不能回避的,法律规则背后总有各种互相冲突或重叠的价值取向。换言之,任何法律制度都必须直面法律价值的考验。我国数据安全法律制度研究时间相对较短,法律制度不太成熟,尤其是针对重要数据的法律规制态度还比较保守。因此,有必要研究其法律规制的价值平衡问题。
数据时代,各国十分重视对重要数据经济价值的开发利用,但也愈发凸显出数据利用中的价值冲突。一方面是数据安全价值与数据自由价值之间的冲突。《数据安全法》立法宗旨主要在于两方面:一是规范数据安全处理活动,加强数据安全法律保护;二是促进数据的自由流动,以创造更多的经济价值。重要数据安全的目标价值是国家安全,但其经济价值也同样重要,当数据安全价值与自由价值出现冲突时如何平衡,是重要数据法律规制价值冲突最直接表现另一方面是安全价值下公共利益与个人利益的冲突。数据安全核心值目标是国家安全,国家安全的本质内核是人民安全与利益。人民利益包括公共利益和个人利益,当两者出现冲突时,应该以谁为优位价值,是重要数据法律规制冲突最深层次上的核心问题。
(二)困境二:法律保护倾向原则化
立法者制定的法律其基本预设应是:法律理所应当能够被理性的公民和政府所识别、理解、回应。开展数据安全治理的起点应从“重要数据”展开,《数据安全法》围绕其展开充分的制度设计,却没有进一步提出具体的实施细则和落实方案,存在过于原则化的问题。
良好的法律制度是数据安全有效治理的法律基础,“重要数据”保护过于原则化。第一,关于数据分类分级保护制度。“重要数据”的识别是数据分类分级保护起点。国家刚出台的《重要数据识别指南》意见稿,只规定了重要数据的识别原则,要提供指导性内容,未规定各行业进行数据分级分类的实施规则;第二,关于数据安全标准体系。分类分级需要数据安全标准体系支撑,使企业充分了解自身数据安全能力,减少重要数据泄露等安全事件发生。但重要数据来源十分广泛,不同行业领域的数据对于国家安全、公共利益威胁程度不同,国家如何构建统一的数据安全标准法律体系,是一大难题;第三,关于数据安全审查制度。重要数据相较一般数据对国家安全威胁更大,其审查应更为严格。目前,我国还尚未形成系统的数据审查规则,且部分规定还比较原则化,需要明确规定审查细则以及救济保障工作。
(三)困境三:行政监管不到位
良法需善治,善治需监管。数据安全涉及的领域甚广,尤其是事关国家政治经济领域的重要数据,其安全存在着极大的隐患。若仅靠企业自我监管是不现实的。因此,行政监管是不可或缺的,政府可以运用“看得见的手”及时把控数据安全治理的法律秩序,并引导各企业、数据持有者进行自我监管。
从重要数据安全治理的现状来看,我国行政监管模式存在可改进之处。一是数据安全管理主体分散。我国并未设立专门的数据监管部门,主要是由国家网信办负责网络数据监管工作,其他各部门负责自身领域的数据监督。各部门的职责分配并不明确,导致相互推诿现象时有发生。二是对行政执法主体监督力度不够。严格的法治应对行政权进行严格控制,一旦发生执法主体滥用职权,致使重要数据泄露等事件发生,将会严重威胁国家安全。虽然数据安全执法人员受其内部和公检法的监督,但缺乏一定的社会、舆论监督。三是行业自我监管能力较弱。企业手握大体量的数据,其中不少数据事关国家利益,若政府能引导企业形成良好的行业自律氛围,对重要数据保护的法律成本将大幅度下降。
三、域外重要数据安全法律规制经验
(一)美国:分散立法+行业自律
1.重要数据安全立法现状。 美国采取分散立法模式,根据数据类别分别立法具有较强的针对性、可操作性,联邦也可根据数据行业新变化随时调整法律制度。美国关于重要数据的立法体现两方面特点。一是围绕“受控非密信息”(简称CUI)制定的重要数据保护制度。用于保护政府所持有或活动产生的重要信息,尤其是关于个人隐私、国家安全、商业利益、执法调查的敏感信息主要是通过总统颁布的总统令来保护,并对“受控非密信息”划分大类别和子类别进行严格保护。2001年“9·11”事件发生后,小布什政府开始颁布一系列关于受控非密信息的法律规则,详细规定了联邦政府对“非密信息”处理、存储或传输规则;奥巴马政府于2010年颁布CUI 13556号总统令,进一步扩大受控非密信息范围,要求政府和非联邦机构都必须按照相关法律制度严格保护受控非密信息。2016年,颁布《美国联邦法规》第32条“最终条例”规定了政府处理受控非密信息的安全范式和基本遵循;2017年,特朗普政府在此基础上,围绕非政府机构受控非密信息的管控方式、范围、处理要求等颁布诸多法律政策。二是体现在数据安全一般立法上。美国对数据安全采取分类分级保护,针对各业领域的不同特点去制定法律,并对重要数据采取严格保护制度。根据美国国会研究服务局于2020年初发布的两份报告,其重要数据相关立法集中于金融、电信、医疗健康、家庭教育等重要领域。
2.重要数据安全监管。 关于“受控非密信息”的安全监管,主要由政府特设专门机构进行监管。受控非密信息所涵括的数据关乎国家安全,一旦出现安全事件将会引发政治、社会风险。联邦方面特设信息安全监督局(简称ISOO)总揽其监管工作,并授权其制定相关保护政策及程序,下设受控非密信息专门办公室负责具体工作。
关于重要数据安全的监管,美国采取的是政府监管,行业自律模式。一是采取数据官制度。联邦层面实施政府首席数据官制度,并成立首席数据官委员会,负责宏观层面数据政策的制定。各州设立数据官职位,负责本州数据法律法规的制定和落实以及监管工作;二是实施分业监管制度。针对不同领域、行业分别设置监管机构,配合联邦和各州监管工作,达成双重监管效果。三是成立行业协会加强行业自律。行业联盟、协会可根据本行业特征制定相关数据治理保护细则,设立数据职位,以实现企业数据治理工作自我监督。
3.重要数据法律规制立场。 法律规制的立场取决于该制度的价值诉求。自由是美国立国之本,美国数据法律规制立场是以“自由”价值为核心,即主张数据自由流动,商业利益至上。从自由主义的角度来说,美国数据自由也并非“完全自由”。自由权与隐私权冲突时,两相衡量美国更倾向于个人隐私权的保护,这一点从重要数据相关立法可以看出。因此,美国所主张的数据自由流动也并非是“完全自由”,而是在不侵犯个人隐私和国家安全的前提下;从国家战略角度来说,美国奉行经济利益高于安全利益,甚至高于政治利益。因此,美国更关注重要数据的经济属性和商业价值。尤其是商业至上的理念,致使美国数据霸权无限扩张,美国利用其数字技术优势,对外以促进数据自由流通为由,通过长臂管辖干涉他国数据主权,以维护本国的经济利益和数字市场垄断地位。
(二)欧盟:专门立法+政府主导
1.重要数据安全立法模式。 欧盟制定统一的数据安全专门法律,给成员国提供法律指导和立法框架,成员国负责法律法规的实施与落实,并参照联邦立法制定本国数据安全法律与政策。重要数据安全立法框架以《通用数据保护条例》(简称GDPR)为基础,法律规制重点在于个人数据安全保护,严格限制重要数据跨境流动。欧盟对重要数据保护是以“个人数据保护”展开的。从《通用数据保护条例》的演进,可看出欧盟为个人数据保护而作出的努力。1995年颁布的《个人数据保护指令》,系统地规定了个人数据处理和跨境转移应遵循的基本原则,以及监督方式和司法救济方式;2002年颁布《隐私与电子通信指令》,提出电子通信企业使用个人数据必须经主体明示同意;2016年正式颁布《通用数据保护条例》,专门增设数据认证、监督机构,以加强个人数据保护,规定企业数据处理约束性条款、保护义务性条款,并对严重侵犯个人权利行为施加严厉处罚。在数据跨境流动方面,必须以符合充分性保护标准、适当性保护措施为前提,并强化企业对于重要数据跨境流动的保护责任。
此外,以《通用数据保护条例》为立法框架,欧盟也颁布了一系列重要数据配套法律法规。例如,为保证数字企业能严格保护数据安全,提议制定《数字市场法案》和《数字服务法案》,严格规制和监督大型企业对重要数据的处理活动。为保证非个人数据在欧盟境内安全流通,制定了《非个人数据自由流动条例》,促进可公开的敏感数据流动。
2.重要数据安全监管。 欧盟的数据安全监管,主要采取的是欧盟-成员国共同治理模式。欧盟方面,由数据保护委员会(简称EDPB)总揽数据监管工作,并有权发布《通用数据保护条例》相关配套法律文件,提供给各成员国法律实施范本;欧盟内部还设立了数据保护监管局(简称EDPS),负责监督欧盟内部机构数据处理活动,防止官方机构滥用公权力侵犯公民个人数据权。并有权对侵犯公民数据安全的行为给予行政处罚等;设立数据监管机构负责监督各成员《通用数据保护条例》的实践情况,并有权调查相关主体的数据处理违规行为。各成员国方面,根据《通用数据保护条例》的规定设立专门的数据监管机构,完善本国数据安全监管体系。比如德国设立了联邦数据保护专员,监督联邦层面的数据安全和数据维权,并与相关部门协作共同执法。
3.重要数据法律规制立场。 欧洲崇尚人本主义思想,数据法律规制立场是以“人权”价值为核心,主张数据安全流动,个人利益至上。从人本主义角度出发,欧盟承认公民享有“个人数据权”,强调个人数据境内安全流动。《通用数据保护条例》中规定数据控制者、利用者获取公民信息必须遵循“知情—明确同意规则”,并赋予数据主体访问权和拒绝权,以保证企业组织合规处理个人数据。在跨境数据流动方面,接收国必须符合“充分性保护”,即只有在保障数据安全的前提下才可进行跨境转移;从主导规制价值角度来看,欧盟更重视个人利益的保护。欧盟主导的数字经济贸易谈判,将保护“数据主体人格利益”作为基本前提,促进贸易利益平衡,保护数据主体权利并促进数据流动。
(三)对我国重要数据安全法律规制的启示
1.重要数据安全保护法律体系完备。 完备的法律体系可以提升法的全面性和可操作性。纵观欧美制定的数据安全法律中,重要数据保护主要是从国家安全角度出发的,并围绕其设置了完善的法律法规框架,以使重要数据可以安全流通、共享价值。欧盟《通用数据保护条例》围绕个人数据保护,制定了一系列的数据收集、存储、流动规则;美国重要数据保护以“受控非密信息”和一般数据法两线路展开,对于重要数据保护方式、监管、流动方式等制定相关法律法规与指令,形成了完备的法律法规体系。目前我国《数据安全法》已经出台,但围绕重要数据的保护、安全审查、监督等方面还需完善,应尽快制定相关实施细则与《数据安全法》保持一致性、协调性。
2.法律规制以国家安全为价值指向。 对于重要数据进行法律规制过程中,会出现国家安全、公共利益、个人利益等价值的博弈与妥协。美国对内严格规制重要数据的流通,对外鼓吹“行业自律,数据自由流动”,根本目的是在进行跨境数据流动时能获取更多的利益,比如在跨境贸易时可以此为理由反对他国政府强制性数据本地存储,这对于数字技术不成熟的国家是不友善的;欧盟制定的《通用数据保护条例》明确指出,数据跨境流动必须达到欧盟的充分性保护标准,或者保证提供适当的保障措施,以避免发生个人隐私数据等被窃取事件的发生。美国追求“数据自由流动”,欧盟重视“人权保护”,但归根结底,最终价值指向是国家安全。
3.公权力介入重要数据安全监管。 公权力是政府基于维护和增进公共利益而被赋予的权力。契约理论指出,公权力的目的在于保护公民权利和维护公共秩序。政府作为公民权益的理性代言人,可以有效地规范重要数据安全流动,调和公共利益与个人利益之间的冲突。美国在政府监管方面设有“受控非密信息”办公室和首席数据官,欧盟设有专门的数据保护委员会(EDPB)。但公权力介入多与重要数据的保护有关,且需要遵循一定的比例原则。总而言之,在重要数据保护上,因政府部门同时担任数据监督、收集、利用者,所以在对重要数据采取公权力介入时一定要持有谨慎态度,其监督体系的设计一定要重视监督与自我监督,公益与私益的平衡问题,使重要数据在安全环境下实现自由流通。
四、我国重要数据安全法律规制的路径思考
(一)明确我国重要数据法律规制立场
1.平衡原则下:协调重要数据安全价值与自由价值的冲突。 平衡原则是指通过法律的权威来协调各方面冲突因素,使相关各方的利益在共存和相容的基础上达到合理的优化状态。《数据安全法》强调数据安全与数据发展,即主张数据安全价值与自由价值之间并非完全对立关系。因此,在协调两者之间的冲突时,首先应当遵循的是平衡原则。
一方面,保障重要数据安全状态,以促进数据自由价值的实现。在步入数字时代后,数据自由流动对于经济发展的重要性愈发明显,立法者对数据采取分类分级保护制度,以尽可能实现数据的自由流动与安全保障的平衡。为防止因监管过于严格而妨碍数据流动,《数据安全法》规定了企业对于新种类数据的处理规则,即在地区部门未确定新种类数据级别之前,企业可以先行采集和存储,但必须对其负有安全保障义务。
另一方面,重要数据依法自由流动,需要法律的保障。在数据治理过程中,由于不同的数据处理者利益需求不同,致使数据自由与安全价值之间冲突凸显。公民的正当、合法利益当然不受侵犯,重要数据法律规制的首要目的,就是保障相关主体权利的实现。为防止企业滥用其自由的权利,实施非法数据处理活动,也需要法律通过安全价值的实现规制数据自由流动。
2.比例原则下:均衡公共利益与个人利益的冲突。 我国《数据安全法》突显“公益优先”的价值理念,过分强调公共利益,可能会导致公权力的不当扩张。比例原则首要目的是限制公权力,规范行政机关权力的行使。因此,行政机关为了保护公益而对个益进行限制时,必须遵循比例原则,且这种限制应当符合必要性、适当性和均衡性。
一是符合适当性。即行政机关在执法时其手段和目的必须是适当的,要有助于实现重要数据的安全治理。
二是遵循必要性。即行政机关在进行有关数据执法时,应选择采取对个人利益最小侵害的方式。尤其在数据跨境流动中,企业个人持有的重要数据跨境应执行严格批准制度,但不宜过分限制非重要数据的流动。
三是达成均衡性。维护国家安全、人民利益少不了个人利益的让步,因此立法者在制定相关法律时需均衡考虑,确保公权力限制个人数据权的强度与特定情形下必须实现的公益目标之间,保持必要平衡关系。
3.立场选择:以国家安全为重心,主张公益优先理念。 重要数据法律规制的立场选择,关系到相关配套法律措施的制定,更是关系到执法部门能否正确理解和适用法律条文。基于重要数据安全关乎国家安全这一重要论证,立足于我国数据发展现状,规制重要数据处理行为时,必须坚持“以国家安全为重心,主张公益优先理念”,以促进数据治理“中国模式”走向成熟化。
以国家安全为重心,主张公益理念优先的立场选择符合我国现实需求。究其原因:一是技术差异。美国在跨境数据交易中强硬反对数据本地化存储,是因其在信息数字技术领域占据领先地位,法律的有效实施离不开经济、技术支撑。二是数据经济发展规模不同。美国自第二次世界大战后就开始积极发展数字经济,并且在全球数字贸易利益分配中占据主导地位。当前,全球前20的互联网公司一大半来自美国,且在全球几乎是占据垄断性地位。三是社会价值观取向不同。美国追求“自由权利至上”,欧盟追求“个人利益至上”,基于社会历史发展的不同,国家利益、公共利益是深入根植于我国社会民众的内心。在数据治理方面,立法者认同社会本位论,更关注重要数据流动时的全局利益。相应地,在行政部门在执法时也应以保护公共利益为先。
(二)细化重要数据立法保护
1.一体化思想下:重要数据分类定级保护。 数据治理的核心是“重要数据”的保护,采取分类分级保护便于数据持有者合理识别重要数据,使重要数据能自由流通,转化出更高的经济价值。为了更好地平衡重要数据的安全保护和合理利用,重要数据分类分级保护需在一体化思想指导下进行,分类和分级不可割裂而论。 首先,厘清重要分类和分级的逻辑顺序。分类是根据一定分类原则将数据按照不同类别、属性以及相互关系进行归类,数据分级是将不同类别的数据按照其对于国家安全、人民利益等的影响程度定级。因数据持有者、利用者的安全保护和管控能力不同,从逻辑、数据有效治理角度来看,先分类再分级有利于数据的有效保护。 其次,明确重要数据分类原则。重要数据分类原则缺失,使得各个行业分类方式、各类数据名称等比较随意,严重影响了各企业和公民对可开放的重要数据资源的使用。一是安全性原则,数据分类分级的首要目的在于保障数据安全;二是系统性原则,分类必须按照一定的内在逻辑关系进行划分,使得分类既不冗余还涵括范围广;三是合规性原则,即必须在法律法规的规定下进行;四是可执行性原则,数据持有者要在分类的基础上进行重要数据的安全保护,进行数据定级。 最后,明确重要数据定级标准。数据定级影响着各企业对重要数据保护的重视程度。一是按照敏感程度定级。在定级时首要考虑重要数据泄露、被篡改对其造成的影响程度,一般可定为3—5级。二是根据是否可公开定级。部分重要数据与企业、公民权益息息相关,所以在进行数据定级时,必须考虑其是否可公开。三是贴近行业实际情况。各行业数据安全管控要求不同,在定级时不能所有行业一概而论,需要法律给予原则性指导,各行业主管部门要根据其实际情况决定最终的数据定级。
2.全生命周期下:重要数据标准规范。 《数据安全法》第10条、第17条指出国家支持数据安全标准体系的建设,国务院主管部门应与企业等数据市场主体共同协作参与数据安全标准的制定。很多企业组织对于自身数据安全保护、治理能力并不了解,若有一套完备的数据安全标准规范,企业可以更好地根据自身能力进行数据处理、利用等活动。
关于重要数据标准规范的建立,应从数据全生命周期总体考虑,重点关注重要数据的收集、存储、流动等环节。收集环节遵循重要数据安全基础标准。重要数据的质量是影响数据安全治理的因素之一,国家可联合各部门,参考各行业实际情况,制定重要数据安全基础标准,使得企业从源头保证重要数据的安全;存储环节遵循重要数据安全管理标准。实践中,数据无时无刻不在产生,因各平台存储系统、管理能力各异,可能会出现数据泄露、被篡改等安全隐患,因此需要制定数据安全管理标准,给企业提供重要数据安全储存、管理标准;流动环节遵循重要数据安全应用标准。传统重要数据流通主要更注重安全保护,对于其流通多有限制,但是无论是重要数据的国内流动还是跨境流动,所带来的经济价值不容小觑。可通过重要数据安全应用标准的研究,最大限度地使重要数据“自由”流动起来。
3.国家安全下:重要数据审查。 《数据安全法》第24条规定了数据安全审查制度,审查对象包括影响或可能影响的数据处理活动,即针对重要数据进行国家安全审查。重要数据的“重要”之处在于一旦发生违法入侵、窃取、篡改事件后,对于国家安全和社会稳定有着极大威胁,若一味地采取事后制裁,对于重要数据治理将是极大打击。 一是规范重要数据审查程序。由于数据审查与网络审查重合度较高,可以参照《网络安全审查办法》,在审查主体上,基于中央网信委员会统一领导,继续维持分行业审查模式,并由其授权各行业主管部门审查权,在地方可由大数据管理局配合各行业主管部门进行审查;在审查范围上,凡涉及与国家安全、人民利益高度相关的数据都要进行严格审查;在审查原则上,安全流通原则必须优位于自由流通原则。此外关于具体的审查要求、重要数据出境标准,网信委员会须及时根据数据发展实践作出相应变动。 二是加强重要数据审查监管。重要数据本身信息、经济价值极高,应加强对重要数据审查的监管,以防止有关人员不顾国家安全、人民利益故意泄露重要数据。首先针对重要数据进行事前审查,建立数据审查平台,针对重要数据是否可以自由出境、是否符合出境标准进行审查;其次加强重要数据事中审查,定期组织对相关企业、互联网平台数据进行相关审查;最后加重事后制裁,可以建立信用制度,对于有关企业违规进行重要数据跨境流动的行为,作出移除名单公开警示惩罚,还可加大经济惩罚力度。 三是建立审查申诉制度。重要数据的跨境流动主要是以国家安全利益为主,但是个人合法利益的保护依旧不能忽视。目前,我国缺失相应的申诉机制来保证审查结果的公证客观。可由政府认定授权专门的行业协会接受申诉事宜,制定申诉细则,以保护被审查方的异议权和申诉权。
(三)他律为主转向自律为主的安全监督
1.监督模式选择:统一与分散相结合。 我国目前数据安全监管主要是分散管理模式,权责分配也相对混乱,可以借鉴欧盟经验,采取中央与地方—统一与分散结合监督模式。在法律体系上,以《数据安全法》为统领,统一对重要数据治理进行总括指导,各行业相关数据单行法和法规等对其行业内重要数据分类监督,并根据行业实际情况作出相应调整。比如对于金融行业的重要数据治理监督重点在于数据出境方面;在政府监管机构体系上,中央层面可在国家安全机构下设置数据安全委员会,协调管理中央各部委之间的数据监管工作,同时监管各部委、网信部门、国家安全、公安机关的数据安全保障和监督工作。地方层面在各省市大数据管理局下设数据安全监督部门,以针对不同地区、行业进行差别监管。重点监督本地区重要数据的治理活动,及时对违规主体采取罚款、约谈、勒令整改等行政手段。
2.他律:公权力监督。 只要公权力存在,就必须有制约和监督。必须加强对行政主体的监督,防止执法主体滥用职权。首先,有效利用公权力的作用。政府监督重要数据的安全治理,可以有效地遏制企业为追求更大的私利,而不顾国家安全、公共利益的错误理念。目前,我国数据治理若仅靠行业自律是不现实的,应以公权力监督为主导,把控重要数据安全保护全局,以减少外国数据霸凌的发生。其次,鼓励多方主体监督重要数据治理活动。各行业协会可以成立监督小组,政府赋予其监督权,此外还应发动公民、社会舆论、新闻媒体舆论监督,开通政府投诉举报通道,以加强重要数据安全执法监督方面;最后,加强自身安全监督。各行政机关也应从自身出发,提高人员的法律素质,秉持执法必严、违法必究,推进数据安全严格执法。
3.自律:行业自我监管。 行业自律相较公权力强硬介入有其独特优势,其对于提高企业合规意识,充分发挥法律规制作用,使重要数据在安全环境中得以最大限度得到利用。因此,我们可借鉴美国的经验,引导行业自律。一建立专门的数据行业协会。由政府引导、鼓励各行业领域成立专门的数据行业协会,目前我国在此方面做得较为成熟的是互联网领域,同时可制定行业自律公约,以使行业自律实现良性发展。二提高企业的合规意识。企业对法规的遵守程度和义务承担的自觉性,是重要数据法律安全保障有效性的衡量标尺。明晰企业在重要数据全生命周期的义务与责任,由政府鼓励各行业协会,制定适应本行业重要数据安全管理机制,细化重要数据保护规则。三是引进激励机制和问责机制。各行业数据协会可以评估出自律企业,政府可为优秀数据企业提供一定政策性帮扶。还有通过提高企业违规处理重要数据的成本,引导企业加强重要数据保护意识,从而保障重要数据安全使用活动顺利开展。