数据出境安全评估制度的功能定位及优化路径.docx

数据出境安全评估制度的功能定位及优化路径提要：数据出境难免挟裹泄露个人信息与威胁社会公共利益和国家安全的潜在风险。数据出境安全评估这一重要制度安排是行政机关将数据出境风险有效化解在事前的关键一招。基于制度设计的功能定位，数据出境安全评估既是履行个人信息保护义务的现实要求，又是严守社会公共利益和国家安全重要防线的实践需要，还是促进数据跨境安全、自由流动的必备措施。目前，由于多重因素的掣肘，严重影响了评估工作的顺利开展，导致这一制度遭遇功能受限的尴尬局面。建议在现有评估制度基础上，着眼于数据出境安全评估制度的功能定位，有针对性地予以相应优化，以期不断打破拘囿，健全与其功能特性相适配的系统性制度,确保制度效能得到充分释放。云计算和大数据相待而成，极大地影响和“改造”了现实世界，MarceioCorrales,MarkFenwick,NikolausForg(eds.),NewTechnology,BigDataandthe1.aw,SpringerVerlag,2017,PP.154-155.数字经济应运而生。数据作为数字经济的重要基础元素，在国家间战略博弈中的地位堪称当今的“新石油”。欧盟历来把数据保护视为基本权利，将域内数据打上鲜明的欧盟数据标签或国籍烙印，实行持续且无地域限制的保护，表现出强烈的数据本地化特征。而美国一方面通过与欧盟合作，确保数据自由流通，保障本国企业在欧盟数据市场的地位；另一方面，美国国会于2018年通过颁布澄清合法利用海外数据法（C1.OUDAct）,修改储存通讯法（SCA）,直接规定美国网络服务提供商有义务依法保存和披露其全球范围内的数据。美国积极对抗欧盟数据本地化的立法，释放出强烈信号，彰显其对数据未来掌控的决心，参见王志安：云计算和大数据时代的国家立法管辖权一一数据本地化与数据全球化的大对抗？，交大法学，2019年第1期。企图利用“马太效应”在数据跨境活动中实现“全球数据霸权”，应该引起我们的高度警惕。中国要赢得未来国际竞争主动权，必须抓住数字经济发展机遇，更要重视数据安全问题。党的二十大报告明确指出，要“健全国家安全体系。强化经济、重大基础设施、金融、网络、数据、生物、资源、核、太空、海洋等安全保障体系建设”习近平：高举中国特色社会主义伟大旗帜，为全面建设社会主义现代化国家而团结奋斗一一在中国共产党第二十次全国代表大会上的报告，人民日报2022年10月26日。数据出境安全评估，既紧紧关联国家安全体系的建设，又深深关切公民个人信息的保护，是国家和社会治理中备受关注的焦点。2022年9月1日起正式施行的数据出境安全评估办法（以下简称评估办法），不仅指出数据出境安全评估就是对数据处理者向境外提供在我国境内运营中收集和产生的重要数据和个人信息的安全评估，还专门针对出境数据的安全评估问题作出相关制度安排，为实践中更加准确、有效开展数据出境安全评估提供了重要制度依循。一年多的实践证明，数据出境安全评估制度在充分保护个人信息权益、有效防范化解数据出境领域国家安全风险考验等方面发挥了重大作用。但囿于种种原因，数据出境安全评估制度在理论和实践上都存在某些困境，在现有制度框架下，可进一步完善相关制度内容，从而确保这一制度的功能与优势得到充分发挥。一、价值论释：数据出境安全评估的功能定位作为信息的载体，数据承载了大量的个人信息甚至隐私，也关联着社会公共利益和国家发展战略与安全。作为数据安全领域的一种新生制度，数据出境安全评估自揭开面纱那一刻起就受到理论界与实务界的广泛关注。这一制度设计旨在赋予行政机关相应职责，将数据出境可能衍生的各种风险在数据出境前实现有效消除，这不仅是履行个人信息保护义务的现实要求，亦是严守国家安全和社会公共利益重要防线的实践需要，还是规范数据出境活动，促进数据跨境安全、自由流动的必备措施。参见数据出境安全评估办法第一条规定，中国网信网，2022年7月8日。（一）履行个人信息的保护义务信息社会，个人信息的功能挖掘与使用赋予了其强大的商业价值能量，且随着挖掘程度的深化与使用范围的泛化，日渐表现出公共管理价值，参见禹竹蕊：我国个人信息保护的立法回应与展望，黑龙江社会科学，2021年第4期。使得对个人信息权利的保护变得愈发迫切。从公民权利保护与国家保护义务的角度看，公民的一般权利抑或基本权利，都应依法受到尊重和保护，但基于权利属性的殊异，对二者保护的程度与方式等略有差别。基本权利具有“主观权利”与“客观法”双重性质，其最原始的功能机理是“主观权利”性质下的防御权，即公民对抗国家不当干预其自由和侵害其财产的权利。参见王锡锌：个人信息国家保护义务及展开，中国法学，2021年第1期。随着时间的推移，基本权利开始向“客观法”性质导向下的“客观价值秩序”迭代革新，要求国家必须遵守这一价值秩序，借助制度建构等方式尽可能地排除影响基本权利实现的干扰和提供基本权利实现的实质性条件，参见张翔：基本权利的双重性质，法学研究，2005年第3期。并承担排除第三人侵害的保护义务。正因如此，国家与公民这一权利主体形成了公法上的给付关系。参见王进文：基本权国家保护义务的疏释与展开一一理论溯源、规范实践与本土化建构，中国法律评论，2019年第4期。随着民法典以及个人信息保护法的问世，个人信息权从“民法上的具象权利”，逐渐呈现向“宪法中的基本权利”的认识变迁，学界普遍认为，个人信息权已然落入基本权利保护的“射程”范围。据此，就个人信息这一特定领域的保护而言，国家具有通过制定法律制度等方式，避免个人遭受信息数据处理者等第三方，在个人信息处理中施加侵害行为的保护义务。参见张翔：个人信息权的宪法（学）证成一一基于对区分保护论和支配权论的反思，环球法律评论，2022年第1期。数字经济的萌发与国际贸易的繁荣，促使数据跨境交流现象愈演愈烈，个人信息的使用逐渐超越国界限制，随之衍生出公民个人信息的泄露等诸多现实隐忧。一方面，由于数据出境事前监管规则的不完善，相关部门难以对向境外提供数据的数据处理者开展有效的事前监控，数据处理者在利益驱使下向境外贩卖个人信息牟利的现象时有发生；另一方面，囿于司法主权等现实因素,相关部门更是难以对离境数据进行事后监管，数据出境后其中挟裹的个人信息被挖掘、被泄露的现象层出不穷。总之，事前监管缺失与事后监管乏力的“两头软”现状，势必会增加数据跨境交流中的个人信息保护风险。从这个意义上讲，国家机关理应更加积极作为，创造和维护有利于个人信息保护的制度环境，排除他人妨害，履行保护义务。数据出境安全评估的制度设计，天然带有国家积极履行个人信息保护义务的重要功能。通过事前环节的评估积极应对数据出境风险的复杂性与不确定性，增强数据出境活动的安全性与稳定性，在事前阶段降低数据出境风险事件的发生概率，从源头上对个人信息权实现“充分性保护”，可以有效破解数据出境活动中个人信息泄露等现实难题。（二）严守社会公共利益和国家安全的重要防线数据是信息社会全新的生产要素，是数字经济乃至国民经济的“细胞”。参见何玉长、王伟：数据要素市场化的理论阐释，当代经济研究，2021年第4期。数据的广泛开发与应用，在推动传统行业和政府发生数字化转型的同时，也激发了社会创新，通过释放公共数据所蕴藏的经济价值改善公共产品的供给质量，保障经济运行、社会稳定、公共健康和安全。数据安全法明确了我国建立数据分类分级保护制度，并强调要加强对重要数据的保护。参见中华人民共和国数据安全法第二十一条规定：“国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。”重要数据包括个人数据、金融数据、商业数据、健康数据等，这些数据既关乎社会公共利益，也关系国家安全。评估办法将重要数据的出境评估纳入评估范围，除了要有效维护社会公共利益，更关键的是要守住国家安全的防线。国家安全是一个多领域交叉的综合性安全问题。随着世界进入新的动荡变革期，全球数字治理出现新的转折点，与国土安全、军事安全等传统意义上的国家安全领域范畴相比，数据领域的国家安全问题也越来越受到各国重视。基于出境数据的类型划分，重要数据抑或普通个人数据信息出境都具有威胁国家安全的潜在风险。数据出境活动具有重要数据内容敏感与普通个人数据体量聚合的“质”与“量”两大风险来源。参见包柠榛：中概股赴美上市的数据安全审视：风险来源、中美监管与应对，东北师大学报（哲学社会科学版），2023年第4期。一方面，从重要数据出境的角度看，重要数据本身具有敏感性，承载着重要敏感内容，在潜在风险方面表征出“重要数据信息一泄露出境一风险产生”的衍生理路。例如：民用核设施信息、核矿产原料产量等重要数据，无需展开进一步处理，其原始数据本身就与国家安全利益休戚相关，具有相当高的保密价值，若被境外敌对势力获取，不必经过挖掘分析，仅通过重要数据的信息表达功能就足以影响一国的国家安全利益，一旦出境即可能存在威胁国家安全的现实风险。参见李晓楠、宋阳：国家安全视域下数据出境审查规则研究，情报杂志，2021年第10期。另一方面,从普通个人数据信息出境的维度看，基于普通个人出境数据信息的体量性堆积演变，在潜在风险方面呈现出“普通个人数据一体量堆积-聚合分析一风险产生”的发展进路。例如：个人消费偏好、文化娱乐兴趣等普通个人数据信息，表面看与国家安全不具有直接性关联，但如果出现集中批量的数据泄露，境外敌对势力在海量的数据存量基础上，再利用大数据技术对底层数据进行推演分析、聚合衍生，就可以对我国公民的心理倾向等进行“精准画像”，从而有针对性地展开意识形态攻击策略，威胁我国国家安全。参见马其家、李晓楠：论我国数据跨境流动监管规则的构建，法治研究，2021年第1期。数据出境活动虽然潜藏着威胁社会公共利益和国家安全的现实风险，但为了追求绝对安全就“因噎废食”，因害怕风险就进行“数据封闭”进而致使并不具备安全风险的海量数据无法出境，这显然与世界发展主流趋势相悖，其结果势必反噬国家安全本身，参见丁晓东：数据跨境流动的法理反思与制度重构一一兼评数据出境安全评估办法，行政法学研究，2023年第1期。也无法实现社会公共利益最大化。因此，我国应既着眼于社会公共利益和国家安全考量，又致力于促进数据依法自由流动，不断在安全与发展中寻求数据出境新的平衡点。数据出境安全评估制度设计的另一大功能，就在于严守社会公共利益和国家安全的重要防线，即通过科学合理的评估制度建立事前风险预警机制，对数据出境的目的、方式以及境外接收方的数据安全环境等进行评估，在事前阶段筛选驳回部分可能影响社会公共利益和国家安全的数据出境申请，实现风险防范的“源头治理”，有效弥合数据出境风险与社会公共利益、国家安全维护的内在张力，进而有效防范国家安全风险，真正实现国家长治久安。（三）促进数据跨境安全、自由流动的必备措施数据产业的兴起，全球数字经济的繁荣，国际贸易的推动，都使得数据自由化尤其是数据的跨境流动成了各国走向世界、拥抱世界的必然选择和价值追求。网络运营者将其在一国境内收集和生成的重要数据和个人信息，通过网络和其他方式（如：物理携带等）提供给境外机构、组织或个人的数据出境活动日益增多。然而，云计算和大数据的进一步崛起，数字经济的纵深发展，又令各国对数据有了更为深刻的认识。出于对发展、安全的担忧，各国开始在网络空间架设边界，为数据的跨国界自由流动设置“障碍”，