总体国家安全观下的跨境数据流动安全治理研究
2023-12-21徐拥军王兴广
徐拥军 王兴广
1 引言
“数据”作为除土地、劳动力、资本、技术之外的第五大生产要素,正加速驱动数字经济时代的发展战略转型,在国家基础性战略资源体系中的地位日益凸显。数据价值的充分发挥有赖于在特定场域的有序流动。自1980年经合组织发布《隐私保护和个人数据跨境流动指南》(Guidelines on the Protection of Privacy and Transborder Flows of Personal Data)以来,跨境数据流动在全球经济、政治和社会发展方面的重要性愈发显著[1]。在经济、信息全球化的背景下,大规模、高频次的跨境数据流动逐渐成为支撑全球数字经济发展、拓展网络信息空间的内生驱动力。在带来多方面“正效应”的同时,跨境数据流动亦在数字地缘政治加速演进的条件下对国家安全、数据主权和公民个人隐私安全等构成冲击与挑战。
2014年,习近平总书记在中央国家安全委员会第一次全体会议上,首次创造性提出“总体国家安全观”。此后,总体国家安全观的理论内涵不断丰富与拓展,构成我国新时代开展国家安全治理、构建新安全格局的根本遵循与行动指南。党的二十大报告首次将“国家安全”以专章单列的形式予以全面、系统阐释,强调“必须坚定不移贯彻总体国家安全观,把维护国家安全贯穿党和国家工作各方面全过程”,并凸显强化数据安全保障体系建设之于维护国家安全的重要作用。鉴于跨境数据流动在实践过程中显现出的多重风险和多元挑战,加强跨境数据流动安全治理成为我国在数据安全领域贯彻总体国家安全观的必然要求。
本研究将坚持总体国家安全观和跨境数据流动安全治理协调共生作为切入点,拟主要探究的问题有三:第一,从必然的角度出发,为什么要从总体国家安全观的视角下探究跨境数据流动安全治理,二者具有怎样的内在联系?第二,从实然的角度出发,我国跨境数据流动安全治理面临哪些现实困境?第三,从应然的角度出发,以总体国家安全观为指导,我国在新时代加强跨境数据流动安全治理应当采用何种策略?
2 研究回顾与概念厘定
2.1 研究回顾
自20世纪七八十年代以来,在全球化和信息化浪潮的双重推动下,于实践中衍生而来的跨境数据流动理论研究开始兴起。加拿大学者W.E.坎迪夫(W.E.Cundiff)于1979年即指明跨境数据流动存在侵蚀国家边界、冲击社会权力场所的风险[2]。我国跨境数据流动研究始于20世纪90年代末,代表性学者如程卫东较早对跨境数据流动监管的必要性[3]和策略[4]予以深入探讨。21世纪以来,跨境数据流动对国家安全和个人隐私造成的影响不断趋向复杂,助推跨境数据流动安全治理的研究范畴日渐拓宽。跨境数据流动安全治理的核心意蕴大体经历了从过去聚焦技术、个人隐私保护到当下综合关注国家安全、数据主权和经济要素[5]以及利益冲突、数据监管[6]等问题的范式嬗变。纵观已有研究成果,可以归纳为如下方面。
第一,跨境数据流动安全治理的现实动因。基于各国数据安全治理能力的不对称及其面临的“数据霸权主义”威胁等因素,“数据主权和数据的跨境流动”[7]被明确为全球数据安全治理的重点领域之一,部分学者据此重点探讨了“国家数据主权与本地存储要求”[8]的国际治理规则分歧,并从数据入境、出境的视角深入分析了国家数据主权存在的安全风险[9]。具体而言,跨境数据流动容易造成国家关键领域安全[10]、企业经济利益损失与商业秘密窃取[11]、国外非法访问与黑客攻击[12]、个人隐私泄露等多层次安全风险,构成各国从隐私和数据保护、国家安全、政治性限制、基于道德的互联网限制、商业性限制等[13]方面入手,加强跨境数据流动安全治理的现实原因。
第二,跨境数据流动安全治理的规制范式。当前,全球跨境数据流动规制体系不断碎片化、阵营化,主要国家和地区的跨境数据流动治理规则“源殊派异”的矛盾样态凸显。大体概括为:(1)美国以“数据自由论”为核心范式[14],强调自身在全球话语权中的主导地位,谋求全球数据向其自由流动;(2)欧盟以“数据主权论”为核心范式,积极创设引导数据在欧盟内自由安全流动的法律环境[15];(3)中国强调以“兼顾发展与安全”为核心范式,其立法总体倾向于欧盟模式以“防止数据过度出口”[16];(4)印度、越南、俄罗斯等部分发展中国家[17]以“严格管控”为核心范式,推行数据本地化或限制数据跨境流动的政策。
第三,跨境数据流动安全治理的中国因应。虽然跨境数据流动的共识性规则尚未在国际层面统一确立[18],但欧盟《通用数据保护条例》(General Data Protection Regulation, GDPR)[19]、《服务贸易总协定》(General Agreement on Trade in Services, GATS)[20]、《全面与进步跨太平洋伙伴关系协定》(Comprehensive and Progressive Agreement for Trans-Pacific Partnership, CPTPP)[21]等国际法治规则的充分供给能为弥补我国跨境数据流动的立法不足[22]、构建跨境数据流动规制框架[23]提供参照。部分学者提出我国应坚持数据安全流动为先的基本立场[24],深刻反思欧美跨境数据流动博弈过程中反映出的规则矛盾[25]。聚焦于数据自由与安全流动“双原则模式”的权衡[26],诸多学者深入探究了我国加强跨境数据流动安全治理的策略,如消除国际跨境数据流动法律壁垒[27]、推进安全评估和行业自律制度建设[28]、通过打破欧美主导格局加快形成数据安全治理的中国方案[29]等。
客观而言,已有研究为跨境数据流动安全治理提供了较为扎实的基础,对我国跨境数据流动面临的国际博弈、权力冲突与现实挑战予以充分观照。虽然已有学者在总体国家安全观视角下深入研究了我国企业跨境数据合规治理的路径[30],但多数研究仍需从总体国家安全观的高度探究跨境数据流动安全治理和国家安全风险防范二者耦合的内生逻辑与行动方案,助力我国深化非传统安全研究、落实总体国家安全实践[31]。基于此,本文旨在重点分析我国跨境数据流动安全治理的现实困境,并以总体国家安全观为方法论指导提出因应策略。
2.2 概念厘定
本文所言“跨境数据流动”意指“基于特定渠道将数据跨越主权国家边界,传输至其他地区进行处理、存储或再传输的行为”。借鉴学界根据治理结构对“数据安全治理”的内涵进行二元界分的做法[32],本文认为宏观意义上的“跨境数据流动安全治理”是指国家依据顶层数据安全战略,通过采取法律、政策、监管、技术等一系列措施,协调行业、社会组织、科研机构、个人等多元利益相关方协作开展的一系列治理活动集合,以最大程度地防范跨境数据流动安全风险、保障其在安全可控的条件下依法有序流动;微观意义上的这一概念侧重指称特定行业、企业的数据处理者在“场景化安全”导向下开展的数据跨境流动管理及具体制度实施活动,即出于自身业务需求实现“内部自治”。缘于在总体国家安全观视角下探究跨境数据流动安全治理,因此本文遵循宏观意义上的概念认知。
3 总体国家安全观和跨境数据流动安全治理之间的关系
3.1 总体国家安全观为跨境数据流动安全治理提供了目标遵循
总体国家安全观虽并未将“数据安全”作为某一专指性概念而明确提出,但“信息安全”是总体国家安全观的非传统安全要素之一,因此可以将“数据安全”理解为其概念体系中的一个派生要素。作此判断的依据在于,“数据的双层结构”理论以“数据是信息的载体,信息是数据的内容”为核心要素[33],这奠定了廓清数据安全与信息安全之间紧密关联的先决条件;亦如学者指出,在大数据时代,信息安全问题更多地被转化为数据安全问题[34]。因此,由“信息安全”衍生而来的“数据安全”是总体国家安全观的重要组成部分,囊括了数字经济全球化时代强调跨境数据流动安全的核心要义,有必要以总体国家安全观为遵循,运用全局性思维识别研判、防范化解跨境数据流动过程中的各种风险要素,维护国家安全、国民安全、国际安全等的辩证统一。
3.2 加强跨境数据流动安全治理是贯彻总体国家安全观的应有之义
《中华人民共和国数据安全法》(以下简称《数据安全法》)明确规定,“维护数据安全,应当坚持总体国家安全观”,为我国在新时代加强数据安全治理指明了法律依据。跨境数据流动并非一个孤立领域,其在实践过程中引发的国家(数据)主权、社会利益、个人信息等安全风险通常“牵一发而动全身”。因此,考虑到跨境数据流动安全治理是微观层面数据安全治理的关键内容,因此理应将其置于贯彻总体国家安全观的宏观视域下予以考察。规避跨境数据流动安全风险由特定地域、特定场景的“局部性”风险逐步叠加扩散为威胁国家安全的“全局性”风险,维持跨境数据有序流动与维护国家安全之间的合理性张力,是在总体国家安全观下加强跨境数据流动安全治理的内在要求。
4 我国跨境数据流动安全治理面临的现实困境
在大国间博弈持续加剧的背景下,对我国当前跨境数据流动实践加以审视并同国际情况加以对照,能够发现我国在跨境数据流动安全治理方面存在诸多现实困境。
4.1 多法并轨:跨境数据流动规制依据尚需聚焦、协调
以《中华人民共和国国家安全法》(以下简称《国家安全法》)的公布实施为肇始,我国首次在国家立法层面强调“重要领域信息系统及数据的安全可控”之于维护国家主权、安全和发展利益的关键作用。此后,我国先后颁布了《中华人民共和国反恐怖主义法》《数据安全法》《中华人民共和国网络安全法》(以下简称《网络安全法》)《中华人民共和国海南自由贸易港法》《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)等法律法规,逐渐形成支撑跨境数据流动合规治理的法律架构。然而,作为数据安全治理的后发国家,我国在跨境数据流动法律规制方面仍存在一些完善空间。
(1)关键性立法规制视角尚需延展。现行立法以《数据安全法》《网络安全法》《个人信息保护法》等基础性法律指明的跨境数据流动总则性依据为主,其他依据则主要散见于部门规章和规范性文件,效力层阶相对较低。虽然我国已于2022年7月发布了《数据出境安全评估办法》(国家互联网信息办公室令第11号),具体明确了数据出境安全评估和风险自评估等规定,但其规制视角仍需从“事前评估”向“全程管控”延伸。在文物出境领域,我国文化部曾颁布施行《文物出境审核标准》(文物博发〔2007〕30号)和《文物进出境审核管理办法》(文化部令第42号),为指导文物出境鉴定和审批工作提供了专门依据支撑。在横向对照之下,延展跨境数据流动安全立法全流程规制视角,统筹数据出境入境双向监管并重是今后加强跨境数据流动安全治理的应有之义。
(2)部分配套规则出台缓慢、有待加快建立。一方面,我国早自2017年起就聚焦跨境数据流动安全治理相继发布了多项征求意见稿,但《个人信息和重要数据出境安全评估办法(征求意见稿)》《个人信息出境安全评估办法(征求意见稿)》等迟迟没有正式颁布实施。另一方面,国家互联网信息办公室(以下简称国家互联网信息办)虽已根据《数据出境安全评估办法》《个人信息出境标准合同办法》配套发布《数据出境安全评估申报指南(第一版)》《个人信息出境标准合同备案指南(第一版)》等相关实施细则,但《数据安全法》所明确的我国实行数据安全检测评估认证、分级分类保护、国家核心数据管理等制度在跨境数据流动安全治理场景下的具体落地尚需持续探索。此外,我国对于工业和信息化领域、汽车以及银保监会监管等重要数据的出境行为已有所规制,但自然资源、能源、卫生健康等其他行业领域的规制依据较为欠缺,重要行业数据出境法律规制建设尚需从“单点突破”加快向“多点迸发”转变。
(3)同相关法律规制的协调机制欠缺。当前,我国跨境数据流动相关法律规定在管辖范围、执法权力、行政程序等方面存有一定重叠、缺失与矛盾,为跨境数据流动实践带来不可估量的合规风险[35]。以档案领域为例,《档案行政许可程序规定》(国家档案局令第7号)明确要求档案行政管理部门受理档案出境审批申请并在20日内作出行政许可决定,而《数据出境安全评估办法》则规定“国家网信部门受理申报后,根据申报情况组织国务院有关部门、省级网信部门、专门机构等进行评估”。由此,经过鉴定程序的档案作为对国家和社会具有长久保存价值的数据[36],是否属于数据出境相关法律法规中“重要数据”的概念范畴,是否应当遵从数据领域相关规定进行出境安全风险评估,是否需要网信主管部门协同参与出境审批等。此类问题皆不明确。建立介于不同领域之间的法律协调机制是推进跨境数据流动依法合规治理亟待解决的问题。
4.2 监管离散:跨境数据流动监管多头分散、全局统筹不佳
(1)跨境数据流动的战略先行意识不强,缺乏顶层设计和系统规划。具体而言,我国跨境数据流动安全监管,尚需深度融入网络强国、数字中国建设等重大战略布局,进一步发挥其对于维护国家主权、安全与发展利益的战略性基础作用。比如,《促进大数据发展行动纲要》(国发〔2015〕50号)明确肯定了数据资源的潜在价值对“增强网络空间数据主权保护能力,维护国家安全”的重要作用,但我国实质上并未对跨境数据流动安全治理进行顶层设计和整体规划。
(2)跨境数据流动监管主体相对分散、责任边界尚不明晰,多元主体协同治理模式有待构建。在国家层面,国家互联网信息办、公安部、工业和信息化部、国家发展和改革委员会(以下简称国家发展改革委 )、商务部等是当前我国数据管理和网络安全工作的核心责任主体;在行业层面,则表现为金融、保险、交通、个人健康等特殊类型的重要数据安全管理由中国人民银行、中国银行保险监督管理委员会、交通部、国家卫生健康委员会等各行业主管部门“分而治之”。上述部门在履行相应职责的过程中通常同时牵涉不同司局或不同层级的单位,面临跨境数据流动安全治理权责协调不佳的桎梏。2023年,党的二十届二中全会通过了《党和国家机构改革方案》,明确指出组建由国家发展改革委管理的国家数据局,具体承担“协调推进数据基础制度建设”职责,奠定了下好全国“数据一盘棋”的体制基础。新组建的国家数据局的职能设计呈现出鲜明的基础性和宏观性特征,并不涉及数据安全监管和特定行业领域数据治理等微观事项[37],而国家互联网信息办原本承担的统筹推进信息化发展和网络数据安全监管的主要职责也未发生改变[38],这在一定程度上为进一步厘清跨境数据流动安全治理主体的权责边界、探索多元主体协同机制构建提供了契机。
(3)跨境数据流动监管流程不完整、不顺畅,未形成监管闭环。基于对已有法律规则与行为实践的分析,我国跨境数据流动监管呈现出“重前端、轻后端”的特征,重点关注数据出境前的安全评估和出境风险的事前预防,但对数据境外存储、数据出境后的风险防控与合规管控、第三国中转传输、数据复进境等具体要求关注相对欠缺,构建“事前——事中——事后”全链条闭环监管模式是我国在未来开展跨境数据流动合规治理的重要走向。
4.3 风险复杂:跨境数据流动隐蔽性强、风险应对困难
(1)被动出境识别困难是跨境数据流动隐蔽性强的重要表现。数据被动出境是相对于主动出境的一种重要形式,在大数据、人工智能、物联网、5G等技术快速发展的背景下,数据被动出境更难以察觉,其行为动因来源于“不能预见、不能避免并不能克服的客观情况”[35],通常情形是数据控制主体难以应对境外网络攻击、恶意爬虫技术侵入数字平台或数据库系统等,构成我国跨境数据流动安全治理面临的外部风险挑战之一。比如,2022年,国家计算机病毒应急处理中心在西北工业大学遭遇美国国家安全局(National Security Agency, NSA)网络攻击事件的调查报告中指出,NSA下设的“特定入侵行动办公室”(Office of Tailored Access Operation, TAO)近年来对我国开展恶意网络攻击高达上万次,通过控制各类网络设备先后窃取了超过140GB的高价值数据,对我国国家安全和数据主权造成了严重侵害[39]。
(2)跨境数据流动安全风险的精确识别与应对处置能力相对较弱。概而言之,非法窃取、恶意篡改、数据泄露等是跨境数据流动过程中容易出现的安全风险,直接关系到国家总体安全与公民隐私安全。跨境数据流动安全风险识别与应对处置,不能仅仅依靠法律规制发挥作用,更有赖于借助先进技术和网络安全防护措施开展跨境数据分级分类监管,充分应对持续升级、复杂多变的数据出境安全风险。然而,囿于数据加密、数据脱敏、数据安全访问与控制等技术在安全防护能力方面呈现出“单点性”状态,尤其是重要数据分类分级与属性识别、跨境数据流动监测预警技术在我国尚不成熟,并未在跨境数据流动监管实践中得以普遍推广,因此难以应对复杂化场景下数据出境潜在的突发性、隐蔽性和传递性风险。
4.4 管辖冲突:跨境数据流动国际规则话语权有待提升
(1)我国跨境数据流动治理理念、法律规制、政策导向等与国际规则的不互恰性突出构成了引发跨境数据流动安全风险的重要因素之一,尤其是在应对国外“长臂管辖”方面的能力相对薄弱。与欧盟、美国相比,我国在跨境数据流动与境外数据调取中相对处于劣势与被动地位。依据“充分性认定”规则,欧盟将具有同等个人数据保护水平的14个国家和地区纳入数据跨境自由流动“白名单”(即等同于欧盟内部的数据传输),但并不包含中国[40];美国出台《澄清域外合法使用数据法案》(Clarifying Lawful Overseas Use of Data Act, CLOUD Act),通过“数据控制者”原则赋权本国执法机构“正当”调取海外数据,这种“长臂管辖”式的跨境数据流动管制形式对我国维护国家安全和数据主权、拓展数字经济发展的国际空间造成严重影响与冲击。
(2)我国数字经济实力的领先地位和相对优势同国际跨境数据流动规则制定的话语权适配度不高。近年来,我国数字经济发展规模增长强劲,实现了从27.2万亿元(2017年)到50.2万亿元(2022年)的快速攀升,总量连续多年稳居世界第2[41]。在数字经济快速发展的连带效应之下,我国跨境数据流动需求持续提升、参与国际规则制定的现实诉求不断增长。然而,部分西方国家在保护本国核心和关键领域数据主权的同时,意欲联合基于共同利益的合作伙伴打压、遏制中国等新兴经济体,抢占跨境数据流动国际规则制定的主导权,如通过滥施“长臂管辖”和“双重标准”推行数据霸权主义,采取单边“强制域外取证”[42]措施严重侵害他国司法、数据主权和合法权益。根据国务院发展研究中心2020年出版的《跨境数据流动:战略与政策》,我国在过去一段时间内并“未主动参与双边、多边及区域框架下的国际合作”[43]107。相对而言,我国难以深度融入以西方为主导的跨境数据流动安全治理体系,在提升跨境数据流动国际规则制定的影响力与话语权方面任重而道远。
5 总体国家安全观下跨境数据流动安全治理策略
在总体国家安全观的战略导向下,我国应从治理思维、主体、方式和空间等维度入手强化跨境数据流动安全治理,防范化解由跨境数据无序流动引发的非传统安全风险,助推国家安全体系和能力现代化。
5.1 坚持底线安全观,完善跨境数据流动法律规制体系
底线安全观,深刻彰显了坚持底线思维之于贯彻总体国家安全观的底层方法论逻辑,其核心要求在于正确认识国家安全面临的复杂严峻形势,通过深化底线思维运用,科学研判、精准防范各种国家安全风险。我国需明晰跨境数据流动立法对于全方位守牢国家安全、公共安全和个人隐私安全底线的重要作用,逐步建立健全一套结构完备、内容精细、逻辑自洽的跨境数据流动法律规制体系。
(1)加快关键领域立法,促进现行法律规制走向双向兼顾。除《数据安全法》《个人信息保护法》等基础性法律外,我国当前在行政法规、部门规章层次并未正式出台跨境数据流动直接相关的专门规定。国家立法部门可以着眼于维护国家安全和数据主权的高度,加快完善跨境数据流动法律法规体系。比如,可参考文物领域的《文物进出境审核管理办法》,推进制定《个人信息和重要数据进出境管理办法》,其内容应当包括但不限于:管理机构(人员)及职责、出境审核程序和标准、临时出境数据复进境、违法出境责任追究等,努力规避因现行法律规则对“跨境数据流动”行为规范不足而可能引发的数据安全风险。
(2)聚焦特殊敏感数据,促进现行法律规制走向具体精细。国外跨境数据流动专项立法起步相对较早,其立法理念呈现出鲜明的“小切口”和“精细化”特征,重点对涉及国家安全、健康医疗、金融信息等特殊敏感数据进行了充分观照。比如,韩国在2014年颁布《空间数据的建立和管理法案》(Act on the Establishment and Management of Spatial Data),明确规定“禁止将地图数据存储在国外”[44];澳大利亚《2012年个人健康档案法案》(My Health Records Act 2012)规定,系统运营商、注册存储库运营商等不得在澳大利亚境外保存、处理或获取个人健康档案及相关信息[45]。由此,借鉴国际立法实践,我国应以总体国家安全观为指导,统筹“国家安全”和“国民安全”并重,逐步实现跨境数据流动国家立法的精细化。
(3)强调立法可操作性,促进现行法律规则走向完备自洽。一是宜加快《个人信息出境安全评估办法》《个人信息和重要数据出境安全评估办法》和国家标准《信息安全技术 数据出境安全评估指南》出台,明确并细化不同行业领域重要敏感数据出境安全评估的内容与流程;二是依托于标准化主管部门和规模宏大、运营成熟的跨境企业,加快推进电子商务、金融、航空等行业级跨境数据流动安全管理相关标准制订[46],推动跨境数据流动法律法规与标准建设统筹并进;三是加强与相关法律规制的协调衔接,如以《数据安全法》为遵循,由国家网信部门会同有关部门适时制定关键信息基础设施运营者之外的重要数据出境风险评估与监管制度。
5.2 秉持共同安全观,统筹推进跨境数据流动安全监管
“共同安全观”作为总体国家安全观的微观组成,旨在引导不同领域、不同部门的行为主体秉持“大安全”和协同治理理念,加强国家安全工作全局性谋划与一体化推进,探求国家安全命运共同体建构。《数据安全法》以坚持总体国家安全观为立法导向,强调“建立健全数据安全治理体系”,为多主体协同参与跨境数据流动安全监管、聚焦本源性问题提升数据安全治理效能提供了法律遵循。
(1)坚持统分结合,构建多元主体协同参与的管理体制。《国家安全法》明确规定,“中央国家安全领导机构实行统分结合、协调高效的国家安全制度与工作机制”,并分别提出构建“跨部门会商工作机制”和“国家安全协同联动机制”,为我国构建跨境数据流动安全监管机制提供了法律依据。在组建国家数据局的统一部署之下,我国应加快探索形成跨境数据流动安全治理“宏观发展——安全监管——具体领域”[37]的三元协同格局,整合国家网信主管部门、安全部门、公安部门、行业组织、教育科研机构、相关专业机构等多元主体的力量优势参与跨境数据流动安全治理与风险管控,可以适当赋予网络空间安全协会等行业组织承担一定的跨境数据流动安全风险审查职责[47],助推政府监管、社会监督、行业自律深度融合。
(2)加强试点推广,探索重点领域安全治理的先行方案。我国应聚焦特定地域,总结跨境数据流动试点工作的先行经验并在全国范围和重点行业领域进行宣传推广。比如,四川省大数据中心、重庆市大数据应用发展管理局签署大数据协同发展合作备忘录,为我国跨区域跨境数据流动工作试点和安全评估提供了可供参考的“川渝模式”[48]。也可着眼于特定行业与场景,通过“项目制”试点模式逐步形成可供推广的跨境数据流动安全治理模式。比如,上海已推动特定功能区国际互联网专用通道建设,将外资金融机构作为试点对象,允许其在合规前提下向境外单位报送内部管理、风险控制等相关数据[49]。
5.3 运用整体安全观,提升跨境数据流动风险管控效能
“整体安全观”是依托系统性思维和方法践行总体国家安全观的内涵阐释,倡导以“整体性”作为安全治理的价值导向,从全局性的角度出发对国家各方面、各领域面临的安全风险予以精准识别、分析、研判与化解。加强跨境数据流动安全风险管控,有赖于秉持整体性安全思维,加强全流程管控、数据分级分类、强化技术保障等多措并举。
(1)识别关键节点,开展全流程科学管控。由于跨境数据流动安全风险管控是一项需要统筹规划、协同发力的工作,因此应在遵从相关法律法规的基础上探索构建“前端评估——中端执行——末端治理”全流程监管模式。在前端评估环节,网络运营者应坚持跨境数据流动合法性、必要性和最小化原则,重点根据《数据出境安全评估办法》《数据出境安全评估申报指南(第一版)》《信息安全技术 数据出境安全评估指南(征求意见稿)》等开展数据出境安全风险自评估,并向国家网信主管部门和有关行业主管部门申报数据出境安全评估;在中端执行环节,网络运营者应对数据泄露、非法获取和利用等风险予以严格管控和实时保护,确保数据处理和传输过程安全;在末端治理环节,则应加强数据出境安全风险的干预处置与溯源追责,必要时重新开展数据出境安全风险评估、跨境数据流动合规审计与风险持续审查等。
(2)注重外部合规,推进分级分类精准管控。我国应当按照《数据安全法》有关规定引入数据分级分类监管制度,在数据出境安全风险系统性防控的基础上开展精准治理,达到“因数制宜、分类施策”的目标。一方面,分类审视不同行业领域、不同类型数据对维护国家安全、社会稳定和个人隐私安全的差异化影响,可将其划分为核心数据、重点数据和一般数据,并分别采取从严管控数据出境、满足条件控制出境、自由出境等措施。另一方面,考虑到跨境数据流动受到不同主权国家和国际组织法律规则的管辖与约束,我国应立足实际分类构建全球重点国家和地区跨境数据流动风险矩阵(如表1[50]),精准确定数据跨境重点流向地域的外部合规策略,最大限度地降低数据安全风险和管理成本。
表1 全球重点国家、地区跨境数据流动风险矩阵示例Table 1 Example of the Risk Matrix of Cross-Border Data Flow in Key Countries and Regions in the World
(3)强化技术保障,提升安全风险防范能力。近年来,以美国为首的西方发达国家在科技领域对华的封锁态势愈发显著,甚至在网络安全领域出台“分层网络威慑”(layered cyber deterrence)战略直指中国。对此,我国应聚焦跨境数据流动安全治理现实需求,加强数据安全保护技术投入、研发与推广应用;以产学研用四位一体为导向,积极引导数据服务机构、高等院校、科研机构等围绕数据传输安全与区块链、人工智能、隐私计算、密码技术等开展交叉研究;重点加强数据分级分类、数据加密与脱敏、数据流转溯源监测等自主创新技术攻关,逐步构建面向跨境数据流动全链路的安全风险防控机制,不断弥补当前数据安全技术防护能力不足、精准性不强的局限。
5.4 践行国际安全观,为全球数据安全治理贡献中国方案
总体国家安全观是对基于“人类命运共同体”理念落实全球安全倡议、构建“人类安全共同体”的价值体认。其中,以普遍、平等、包容、合作为核心要义的“国际安全观”在总体国家安全观“五大要素”“五对关系”中处于依托性地位,主张实现国家安全治理空间从传统的“国家中心”到未来走向“国际一体”的延展与跃迁。我国在积极维护国家安全和数据主权的同时,也要主动谋求国际合作,为促进国际跨境数据流动规则完善和全球数据安全治理贡献中国智慧与力量。
(1)严格落实《全球数据安全倡议》,持续传播跨境数据流动安全治理的中国声音。2020年9月,我国发布《全球数据安全倡议》,倡导“各国反对利用信息技术破坏他国关键基础设施或窃取重要数据”“尊重他国主权、司法管辖权和对数据的安全管理权”;2023年2月,我国发布《全球安全倡议概念文件》,将“深化信息安全领域国际合作”作为重点合作方向之一,为促进数据跨境安全和自由流动提供了中国方案。以此为契机,我国应充分利用二十国集团、亚太经合组织、金砖国家、上海合作组织、东盟等国际和地区机制,以及“一带一路”国际合作高峰论坛、世界互联网大会等,向世界宣传阐释维护全球网络空间和数据安全的中方主张,呼吁主权国家和非国家行为体合力推动全球数据治理,提升不同法域数据保护和传输规则的互操作性,促进全球数据安全治理互信共治。
(2)积极加入跨境数据流动多边机制,提升数据安全治理的中国话语权。第一,我国应持续推进落实《中国——阿拉伯联盟数据安全合作倡议》《“中国+中亚五国”数据安全合作倡议》,积极加入新加坡、智利、新西兰联合发起的《数字经济伙伴关系协定》(Digital Economy Partnership Agreement,DEPA)、亚太经合组织(APEC)的“跨境隐私规则体系”(Cross-Border Privacy Rules,CBPRs)[51]等双边、多边或区域性协定。第二,我国应重点明确开展跨境数据流动安全监管的国际执法协作框架和条件,构建符合国家安全、数据主权和发展利益的“双边——多边”数据跨境执法调取方案,应对、反制国外某些国家对我国施行的“长臂管辖”和“数据霸权”[52]。第三,跨境数据流动安全治理不单是理念、政策、规则的博弈,更牵涉到深层次的话语权博弈。我国在推进加入跨境数据流动多边规制的同时,应注重提升自身的话语权,积极引导利益攸关方寻求“协调、可互操作性的跨境数据流动框架”[53]建构,努力消除全球跨境数据流动领域的丛林法则与零和博弈,避免在数据安全治理领域陷入“修昔底德陷阱”。
(3)持续推动国际规则建立与完善,促进全球网络空间命运共同体建设。一方面,我国应坚定遵守《联合国宪章》确立的主权平等原则和以国际法为基础的国际秩序,主动加强与其他主权国家和国际组织的双向互动,促进各国政府、国际组织、互联网企业、技术社群、智库等主体开展深度合作,推动制定并完善符合各国数字经济发展和数据安全共同利益的国际规则。具体而言,可以考虑发起“数据丝绸之路”计划,适当借鉴GDPR和CBPRs的合理成分,推动构建“一带一路”倡议下的跨境数据流动多边合作规制[43]96。另一方面,我国亦应深刻领会网络空间命运共同体之于人类命运共同体的重要作用,通过秉持以“共商共建共享”为核心要义的全球治理观和以“构建‘人类安全共同体’”为行动取向的国际安全观,有效防范和化解个人信息和重要数据跨境流动安全风险,为建设一个“更加公正合理的网络空间治理体系”和“普遍安全的世界”注入力量。
6 结语
当前,我国将“统筹发展与安全的关系”作为跨境数据流动安全治理的出发点与落脚点,侧重强调在维护国家安全、数据主权和个人隐私安全的基础上倡导跨境数据安全有序流动。今后,我国应立足于总体国家安全观,在跨境数据流动安全治理实践中全面贯彻底线安全观、共同安全观、整体安全观和国际安全观;也要在制定、完善跨境数据流动国际规则的过程中,注重从“适应者”“参与者”向“引领者”“变革者”转变,不断促进全球数据安全治理向更公正、更合理的方向发展。
作者贡献说明
徐拥军:提出研究思路和部分重要观点,指导论文撰写与修订;
王兴广:设计研究方案,收集资料,提出部分重要观点,论文撰写与修订。