2025-06-15 14:48:20 作者 : 围观 :79次
一、研究背景
党的二十届三中全会提出“提升数据安全治理监管能力”“建立高效便利安全的数据跨境流 动机制”等网络数据安全领域重要任务[1]。在数字时代,数据作为推动国际贸易繁荣发展、激发 技术创新活力、加速经济社会数字化转型的核心驱动力,不仅关乎国家竞争力提升、企业创新力 激发,更与民众生活质量改善紧密相连。然而,随着以“2021年滴滴出行App下架事件”为代表 的一系列的数据安全问题的发生,促使相关部门重新审视并反思现有数据出境安全管理制度。近 年来,我国相继出台《中华人民共和国数据安全法》(以下简称《数据安全法》)、《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》) 等法律法规,并在此基础上制定了《数据出境安全评估 办法》,“国家数据安全”也被提升至国家安全高度。 在数字生态演变的大背景下,如何平衡数据自由流动与 国家安全的关系,以确保数据的使用合法合规;如何构 建高效的监管体系,以适应数据出境复杂变化;如何在 保障国家安全前提下,促进数据国际交流与合作等问题, 仍是当前我国数据出境安全管理需要解决的重点。
党的十八大以来,以习近平同志为核心的党中央高 度重视数字生态建设。《“十四五”规划和2035年远景 目标纲要》作出“营造良好数字生态”[2]的重要部署, 明确了数字生态建设的目标要求、主攻方向、重点任务[3]。 所谓数字生态,即政府、企业、个人等社会经济主体通 过数字技术实现互联互通与协作,形成以数据流动和交 互为核心的社会经济系统。当前,理论和实务界就我国 数据权属[4]、个人信息保护[5]、数据跨境流动[6]等问题 进行了一定的研究,但从数字生态视角系统探讨数据出 境安全管理的研究仍较为匮乏。为此,本文从数字生态 视角切入,审视数据出境安全管理的内在机理与理论架 构,分析其制度演进及现实困境,据此提出我国数据出 境安全管理制度机制的优化路径。
二、数字生态视域下我国数据出境安全管理的制度演进
数据作为二十一世纪的“新石油”,其战略价值与 经济潜力不容小觑,与此同时,由于数据还具有无形性 与可复制性,亦使之成为最脆弱且易受攻击的资源之一。 近年来,为应对数字技术迅猛发展的趋势,我国已陆续 颁布《数据出境安全评估办法》《促进和规范数据跨境 流动规定》等规章,监管体系逐步迈向系统化、规范化, 为企业在全球数据洪流中提供了明确的合规依据。在此 背景下,从学理与实践维度剖析数据出境安全管理制度 的发展历程与现实挑战,可为制度的持续优化完善提供 理论支撑和实践参考。
(一)初步构建阶段:关联性视角下的制度萌芽
数据科学的概念可追溯至20世纪初,最初以“收集”为基本形态,聚焦数据的产生、收集、存储与管理。在 计算机技术发展之初,数据主要以关系型、层次型和网 状型数据库等结构化形式呈现。随着数据量激增和类型 多样化,其形态由静态“收集”转向动态“分析”,即 对数据进行分析与挖掘,催生了“数据仓库”“数据挖 掘”“数据可视化”等新范式,拓展了数据应用的深度 与广度。数据科学的发展与政策、技术演进密切相关。 1994年2月我国颁布的《计算机信息系统安全保护条例》 虽未直接提及“数据出境”“数据安全”等概念,但第 十二条规定“运输、携带、邮寄计算机信息媒体出境的, 应当如实向海关申报”,即计算机信息媒体内容在获批 后方可“出境”。这也间接说明“数据出境”与计算机 信息媒体出境的内在联系,旨在规范计算机信息管理系 统,降低安全风险。同年4月,“NCFC工程”通过美 国Sprint 公司的64K国际专线接入Internet,实现了 中国与Internet的全功能连接。从此,中国被国际上 正式承认为第77个真正拥有全功能Internet的国家。 国际专线的开通不仅为国内外信息交流提供了便捷高效 的途径,也为数据的跨境流动与融合创造了空间。
(二)逐步完善阶段:层次性推进中的制度深化
2013 年“棱镜门”事件后,全球数据治理范式从 倡导“数据自由流动”转向推动“数据本地化”立法[7]。 在此背景下,我国在国家安全、个人隐私及企业合法权 益间寻求平衡点,逐步完善数据治理体系框架。2016年 颁布的《中华人民共和国网络安全法》(以下简称《网 络安全法》)是我国网络领域的基础性法律。其中的第 三十七条首次从法律层面规定个人信息及重要数据出境 需安全评估,并获得监管部门批准,在我国数据跨境流 动管理制度的构建过程中起到了基石作用;第六十六条 则是对违反第三十七条规定所设的责任条款,明确关键 信息基础设施运营者未履行数据出境安全评估义务的处 罚措施。然而,《网络安全法》关于数据出境安全之规 定虽然具有开创性,但内容以原则性规定为主,留有较 大解释空间,例如对“个人信息”“重要数据”的具体 界定,安全评估标准和程序,监管部门具体职责等细节 均未作出详尽规定。
此后,2021年出台的《数据安全法》进一步从法 律层面对“数据出境”“数据安全”进行了补充和完 善。该法第三章“数据安全制度”,提出建立“数据 分类分级保护制度”“集中统一、高效权威的数据安 全风险评估机制”及“数据安全审查制度”,旨在构 建全面的数据安全保护体系,却未直接说明数据安全 制度与“数据出境安全”的内在关联与逻辑脉络。此 外,尽管该法第十一条和第三十一条涉及“数据跨境 安全”“重要数据出境安全”等内容,但仍缺乏对数 据出境安全制度的具体实施规范。总体而言,《数据 安全法》在宏观层面奠定了原则性基础,但在实际操 作层面仍存在模糊性,未能系统构建数据出境安全管 理的具体框架和实践路径。
(三)整体协同阶段:整体性思维下的制度整合
继《网络安全法》《数据安全法》构建了数据安 全治理体系之后,其他数据安全相关法律相继实施。 2021 年生效的《个人信息保护法》从内容维度到制度 架构,对个人信息跨境流动作出详尽规定。该法第三章 “个人信息跨境提供的规则”细化了个人信息跨境流动 的基本原则、条件、程序、安全保障措施及法律责任。 特别是作为核心条款的第三十八条,该条款严格限定个 人信息跨境流动时必须遵循的法定条件,包括国家网信 部门组织的安全评估、个人信息保护认证或签订标准合 同等。2022年施行的《网络安全审查办法》进一步明 确了网络安全审查的范围,包括关键信息基础设施运营 者在采购网络产品和服务过程中的相关活动,以及数据 处理者开展影响或可能影响国家安全的数据处理活动。
同年,国家互联网信息办公室审议通过了《数据出 境安全评估办法》(以下简称《评估办法》),该规章 的实施标志着中国数据出境安全评估制度正式确立[8], 界定了“数据出境安全评估”的法律概念,规定数据出 境安全的范围与条件、流程、要求及重点内容。具体而言, 《评估办法》第四条详尽列举了纳入评估的情形,涵盖“数 据处理者向境外提供重要数据”“关键信息基础设施运 营者和处理100万人以上个人信息的数据处理者向境外 提供个人信息”“自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向 境外提供个人信息”以及“国家网信部门规定的其他需 要申报数据出境安全评估的情形”等;第五条至第七条、 第十二条至第十四条系统构建了数据出境安全评估的流 程与要素体系,分别从事前评估、申报提交、评估实施 及重新评估机制与出境活动终止等步骤,全面规范评估 流程;第八条、第九条则聚焦数据出境重点评估维度, 规定了数据出境主体应承担的数据安全保护责任与义务。
与此同时,2023年实施的《个人信息出境标准合 同办法》(以下简称《合同办法》),从保护个人信息 权益、规范个人信息出境角度与《评估办法》相补充。 在监管机制上,《合同办法》第三条通过订立标准合同 的方式规范个人信息出境活动,强调自主缔约与备案管 理,与《评估办法》第三条所确立的坚持事前评估与持 续监督相结合、风险自评估与安全评估相结合、防范数 据出境安全风险、保障数据依法有序自由流动,形成差 异化监管机制。在适用范围上,《合同办法》第四条聚 焦非关键信息基础设施运营者,针对处理个人信息总量 未达到阈值(如总量不满100万人,自上年1月1日起 累计向境外提供个人信息不满10万人、敏感个人信息 不满1万人等)的个人信息处理者,与《评估办法》第 四条所针对的情形形成互补。
(四)动态适应阶段:动态性调整中的制度创新
在制度细化落地的过程中,我国对数据出境安全 管理制度的调整展现出高度敏感性。2024年3月,国 家互联网信息办公室公布了《促进和规范数据跨境流动 规定》(以下简称《规定》)。该《规定》基于实践反 思与国际环境变迁,在总结数据出境安全评估、个人信 息出境标准合同、个人信息保护认证实施的经验基础上, 集中调整了上述制度所适配的场景[9]。《规定》的第 三条至第六条通过设立豁免机制为数据处理者在不同场 景下提供合规指引,即特定场景下出境“豁免”,过境 数据的处理与出境“豁免”,为订立、履行合同所必需 的个人信息出境“豁免”,跨境人力资源管理中个人信 息出境“豁免”等。这意味着只要符合以上规定,数据 处理者可免予申报安全评估、订立标准合同或通过保护认证等程序。此外,《规定》的第二条至第八条还界定 了重要数据的识别与申报标准、细化了数据出境监管制 度架构、设立了自贸区负面清单制度,以平衡数据安全 与流动效率。
为积极应对经济全球化带来的风险挑战,2024年9 月,国务院发布《网络数据安全管理条例》(以下简称《条 例》),在深度整合《网络安全法》《数据安全法》《个 人信息保护法》等基础性法律确立的数据出境安全管理 原则与框架基础上,进一步强化数据出境安全管理的制 度“底座”。其中,《条例》第三十四条明确了国家网 信部门在数据出境安全管理中的核心地位,赋予其统筹 协调有关部门建立专项机制、研制相关政策、处理重大 事项的职能,来确保数据出境管理的系统性与有效性; 而第三十五条摒弃先前《规定》第五条提及的“豁免” 概念,以及其中关于“累计不满10万人次”的量化标准, 重新划定个人信息出境的合法场景,不仅体现了制度的 灵活性,而且也推动了数据出境安全管理制度向更精细、 科学的方向发展。除此之外,同年11月,国家数据局 发布《可信数据空间发展计划(2024—2028年)》;12月, 国家发改委、国家数据局等部门联合出台《国家数据基 础设施建设指引》。这些管理制度的出台都是我国为更 好适应国际形势,在数据安全大框架下对数据出境管理 作出的动态性调整。
三、数字生态视域下我国数据出境安全管理的现实困境
(一)开放的数字生态视域下数据出境安全管理之困
在全球化和数字化交织背景下,开放的数字生态 作为驱动经济社会发展的新引擎,整合数字经济、数字 社会、数字政府等多元主体,依托数字化技术实现信息 共享与利用。虽然这是对传统数据出境安全管理范式的 革新,但同时也对出现有制度在保障数据安全与促进数 据出境安全方面提出了挑战,据此所产生的数据出境安 全管理困境主要有以下两个方面:
其一,数据流动壁垒与全球化趋势不匹配。数据流动壁垒可分为数据定位壁垒与数据出境壁垒两种类 型[10]。数据定位壁垒即数据本土化制度,通过绝对限 制数据跨境流动确保数据安全与可控;数据出境壁垒 涉及对数据出境采取限制与管制,以防范数据泄露与 滥用风险。在经济全球化浪潮中,数据既已成为一种 新型生产要素,也是国家基础性战略资源[11]。然而, 不断加剧的地缘政治紧张局势与持续抬头的贸易保护 主义,导致各国对数据出境采取差异化策略。例如美 国作为数字经济发达的国家,强调数据流动自由和经 济效益;欧盟严格限制个人信息数据出境,以保护个 人隐私为先导;俄罗斯、印度倾向于实现数据本地化, 以保护本国产业与安全;我国则秉持“安全可控和开 放创新并重”[12]理念,力求在保障安全的同时促进经 济社会健康发展。数据出境并非简单的经济问题,而 是与国家政治、经济、网络等领域紧密相连的重大问题。 依据国际法和国际关系理论,国家在数据出境安全管 理中必然优先考虑本国安全与利益。
其二,国际化标准规范与互认机制不统一。全球 经济是一台数据永动机,它在消耗和处理数据的同时也 随之产生新数据[13]。中国、美国和欧盟作为全球数字 经济的重要参与者,在数据出境安全管理上呈现出不同 的立法逻辑和监管重点。我国采取“数据本土化存储+ 数据出境安全审查”模式,依据相关法律对关键信息基 础设施运营者和数据处理者向境外提供数据的行为进行 严格审查,确保数据出境的合法性与安全性。美国施行 “反数据本土化储存+数据自由流动”策略[14],通过 法案及行政命令严格限制敏感数据出境,对外实施长臂 管辖,确保数据“宽进严出”[15]。换言之,美国向域 外获取数据时主张“数据自由流动”,而数据出境时又 禁止数据自由流动,并采用严格审查制度,谋求自身的 数据霸权。欧盟采取“内外有别”体系[10],通过《通 用数据保护条例》《数据治理法》等法案,对内施行“数 据共享”,即在区域内保障数据有效自由流动;对外采 取“严格数据出境管控措施”,即区域外数据出境严格 审查与监管。综上所述,各国(地区)不同的数据出入 境标准、审批流程、安全评估标准等法律框架与监管措施,导致在数据出入境方面形成统一的国际化标准规范 和互认机制难度颇大。
(二)健康的数字生态视域下数据出境安全管理之困
《“十四五”规划和2035年远景目标纲要》提出“坚 持放管并重,促进发展与规范管理相统一”[2]的指导 原则,构成健康数字生态的核心要义。将健康的数字生 态理论融入数据出境安全管理,不难发现数据出境与国 家安全、个人隐私的内在关系,这也映射出数据出境安 全管理所面临的困境。
一方面,数据安全与隐私保护的动态平衡缺失。 随着互联网应用程度的加深,数据的收集、存储、处理 日益频繁,个人信息被卷入数字“洪流”,这使得如何 保障数据安全与个人隐私成为亟待解决的问题。一是过 度的数据保护易引发“数据孤岛”效应。自“棱镜门” 事件后,各国对数据管控日趋严格,但过度管控会限制 数据流通,造成数据冗余与过时。以跨境电商为例,大 数据与人工智能技术本是通过订单数量、客户群体、消 费习惯挖掘客户行为,提升促进商业价值的关键,但一 旦个人信息跨境流动受限,数据便无法形成“直通”, 全球资源的互利共通也将受到严重影响。二是数据审查 的宽松易诱发隐私泄露与信息滥用的风险。部分企业为 追求商业利益,未经授权擅自收集、使用甚至贩卖用户 信息。以“非法提供高铁数据”案件为例[16],某境外 公司打着科研合作的幌子,诱惑国内企业违规采集高铁 运行数据并非法传输到境外。由此来看,数据审查机制 和部门规章似乎在某些掌握国家重要数据的部门或机构 中还存在漏洞。
另一方面,法律规制滞后于技术创新演进速度。 随着大数据、区块链、人工智能等技术迅猛发展,数据 出境的方式与场景被极大地丰富,但法律规制在数据安 全治理方面还显得捉襟见肘。一是技术创新步伐超前于 立法规制。在数字时代,新兴技术迭代极快,这使现有 的法律规制难以紧跟技术变革,以致数据出境存在法律 空白和监管漏洞。以区块链为例,其去中心化、分布式 特性使数据出境变得更加便捷和隐蔽,以实现数据信息存储与共享。而不法企业利用这一技术特性,假借出海 名义,在国外建立多个网络节点,规避国内安全审查和 监管。二是法律规制僵化导致技术创新受限。传统数据 出境安全管理制度受限于时代背景与安全观念,缺乏前 瞻性和系统性,加之法律适用缺乏灵活性,致使企业在 数字转型中屡遭“碰壁”。尤其是数据出境安全评估标 准的静态设定,迫使企业投入大量人力、财力、物力进 行合规建设,合规成本甚至远超企业承受范围,阻碍企 业数据出境业务的创新发展。
(三)安全的数字生态视域下数据出境安全管理之困
安全作为数字生态之基石,其稳固依赖于法律制 度的健全完善,“法随时变”正是对此动态适应过程的 高度概括。从安全的数字生态视角审视数据出境安全管 理之困境,实则是探索如何在安全与发展并重维度中, 实现管理制度与新兴挑战的有效衔接。
第一,数据出境安全管理与协同治理机制不健全。 在“一带一路”倡议下,我国数据出境范围不断扩大, 涉及不同地域、不同属性的主体共同参与[17],这种情 况对数据出境安全管理与协同治理提出了更高要求。尽 管我国已出台《网络安全法》《数据安全法》《个人信 息保护法》及《数据出境安全评估办法》(以下简称“三 法一办法”)等法律法规强化数据出境前端审查,但安 全与自由的平衡问题仍未得到根本解决。首先,法律法 规体系内部存在冲突,如《数据安全法》《反洗钱法》 在国家安全数据信息监管权属上界定不明。其次,虽然 已明确“重要数据”“关键信息基础设施”“个人信息 出境数量”等重要概念,并制定了《评估办法》,但对 企业及个人如何具体操作以确保数据安全出境,仍缺乏 明确指导和方案。最后,一些部门过于侧重安全考量, 忽视数据自由有序流动问题,导致法律规范间、政府与 企业、企业与个人间缺乏有效的协同治理框架。
第二,数据出境安全管理预警与监测机制不完善。 “上下联动、左右衔接的系统观”是理想的数据出境模 式之具体体现。但现行“三法一办法”下的数据治理模 式倾向于“各部门分散监管”“各地区具体实施”。在此模式下,上级部门依托上位法下放监管权力,各部门 各地区则依照上级指示开展各自领域合规审查与监管。 尽管这种模式有助于减轻监管负担、提高效率,并增强 灵活性,但缺乏有效的预警和监测机制,难以在数据出 境前有效识别并预防安全风险。以“滴滴赴美上市事件” 为例,其携带“海量数据”赴美上市,涉及用户数据处 理与传输,若我国已构建完善的数据出境安全审查及预 警监测机制,那么滴滴公司携数据赴美上市的申请将会 因存在数据安全风险而被驳回,或至少需经过更严格的 安全评估。
四、数字生态视域下我国数据出境安全管理的制度机制优化
自2015年数据被确立为“国家基础性战略资源”[18] 以来,我国制定了一系列战略举措,从党中央提出“构 建以数据为关键要素的数字经济”[19],到数据安全被 纳入总体国家安全观,再到党的二十大报告强调强化网 络、数据等安全保障体系建设。这表明保障数据安全对 维护国家主权、安全、发展利益的重要性。把“数字基 础、数字能力、数字应用和数字规则”[20]四大数字生 态核心要素融入我国数据出境安全管理,无疑对完善数 据出境安全管理制度机制、构建数字化背景下的新安全 范式具有重要意义。
(一)夯实数字基础:动态调整数据出境安全管 理“支撑体系”
在总体国家安全观指引下,数据安全与国家安全 被视为存在系统化风险的领域,这一领域的安危将牵动 其他领域的安危。鉴于此,构建数据出境安全评估与审 查体系、监测与预警系统的意义重大,科学的体系与系 统能有效应对来自数据安全方面的挑战,为确保数据自 由有序流动提供有力支撑。
1. 构建系统的数据出境安全评估与审查体系
数据出境安全评估与审查体系应涵盖数据出境的 目的、范围、方式、接收方资质、安全保护等方面,并 采用量化评估指标和定性分析相结合的方法,对数据出 境进行综合评估与审查。一是数据出境的事前评估与审查。该环节需审视数据出境的正当性与合法性,确保其 在不违反国家法律、国际条约及双边与多边协议的前提 下自由、有序、安全流动。通过细化数据类型、数量及 敏感等级的定义、范围与要求,将其作为评估与审查体 系的基准;通过严格的资质审查,确保接收方具备不低 于我国法律要求的数据保护资格(如防护能力、管理制 度、员工水平等);依托数据类型、敏感程度、接收方 情况,预设数据传输路径(如直接传输、加密传输、第 三方服务提供商提供服务等),有效规避数据被非法截 取、篡改或滥用之风险。二是数据出境的事中监控与管 理。定期对数据出境进行风险评估与审查,持续监控数 据传输状态、接收方行为及外部环境变化,根据风险预 警系统提示调整数据出境策略,必要时可暂停数据出境 以确保数据安全。同时,精确记录数据出境时间、类型、 数量、接收方信息,通过严密监管确保数据出境符合事 先评估标准与审查要求。若遇突发事件,应迅速响应并 及时整改。三是数据出境的事后评估与反馈。围绕合规 性、安全性和效率性,系统审视数据出境效果,总结得 失,为后续实践提供指导。此外,要紧跟国际法治与技 术发展趋势,及时吸纳最新安全防护技术,不断完善数 据出境安全评估与审查体系。
2. 建立高效的数据出境安全监管与预警系统
人工智能不仅属于通用目的技术,也是新型基础 设施的重要组成部分,还是战略性新兴产业发展的重要 驱动因素[21]。在数据安全监管与预警方面,可依托人 工智能技术对数据出境的路径、速度、流量等参数和双 方数据使用的安全性、合规性进行实时分析与动态监测。 具体而言,就是凭借深度神经网络模拟人脑神经网络机 制,高效捕捉数据流动中的异常行为(如非法访问、泄 露迹象或未授权数据出境等),实现对潜在风险及时响 应;或结合实时数据分析能力,将数据出境源与数据分 析算法紧密相连,全方位追踪数据出境路径,精准研判 非法入侵、篡改或盗取数据行为(如实时监测数据传输 路径中的异常跳转、异常波动等),有效防范安全风险; 或融入自然语言处理技术,深度剖析数据出境方和接收 方公开信息、社交媒体动态等,增强系统的风险评估和预警能力,通过解析信息中的敏感内容或违规意图,以 及数据源应用场景,间接评估数据使用行为是否合规、 安全;或运用风险评估模型,在定量方面综合考量数据 出境类型、敏感程度、数据接收方过往的数据使用情况 (如数据保护记录、合规表现等),在定性方面重点关 注双方使用数据的目的、方式及数据接收方的法规完善 度和执法力度等,动态评估数据出境的风险等级及出境 双方是否符合法定的合规要求,为监管机构提供全面准 确的决策支持。
(二)强化数字能力:协同推进数据出境安全管理“能力网络”
2023 年,中共中央、国务院印发《数字中国建设 整体布局规划》将“筑牢可信可控的数字安全屏障”作 为强化数字中国关键能力的重点内容,提出“增强数据 安全保障能力”[22],明晰了数据安全治理的责任路径。 为此,应聚焦数字人才队伍和数据安全技术防线建设, 为数据安全和国家安全筑起铜墙铁壁。
1. 培育高素质数据出境安全管理人才队伍
在数字时代,数字人才已成为保障数据安全必不 可缺的部分。2023年,工业和信息化部等十六部门联 合发布《关于促进数据安全产业发展的指导意见》,明 确提出“加强人才队伍建设”。在全球化进程中,从事 数据出境相关工作的人员不仅需掌握相关的法律知识, 同时,还要精通数字技术防护技能与风险管理知识。为 此,可从三个方面着手。一是从教育体系方面构建多层 次的数据安全教育课程。在教学内容上,开设数据安全 法、网络安全法、情报学等课程,系统讲授数据安全相 关基本理念和方法论,解读数据出境政策法律与标准规 范;在教学形式上,通过模拟攻防演练、实践案例分析, 结合真实案例与模拟数据出境实战演练提升教学效果, 激发学生的学习兴趣。二是从职业技能方面强化数据安 全人才队伍专业能力。通过数据出境规则培训,加强从 业者对国内外法律法规、政策标准的理解与应用;通过 数字技术安全防护技能学习,提升从业者在加密技术、 物联网操作、数据脱密、系统检测等方面的实践能力; 通过数据出境安全管理能力培养,使从业者能敏锐识别风险、科学评估风险等级,并制定有效管控措施。三是 在实践实训环节锻炼人才队伍应急响应与处理危机的能 力。数据安全管理部门可定期组织非法入侵、数据篡改、 数据泄露等应急场景模拟训练。通过综合研判和实战演 练,检验人才队伍的快速反应与有效处置能力,并根据 演练结果复盘和优化训练体系,以不断提升从业者应急 响应的水平。
2. 构建立体化数据出境安全管理技术防线
《数字中国建设整体布局规划》强调,强化数字 技术创新体系和数字安全屏障“两大能力”[22]。数据 作为经济社会发展之关键要素之一,其是否能够安全有 序流动直接关系国家安全和社会稳定。为此应将数字技 术融入数据出境安全管理制度体系之中,以提升数据出 境的安全性与可靠性。一方面,依托零信任与云原生模 式强化数据存储、处理及传输环节的安全可控性。零 信任架构遵循“持续验证,永不信任”原则[23],对组 织内部和外部所有访问请求均实施严格的身份授权和认 证,确保访问者身份、使用设备、访问应用达到绝对可 信标准。同时,利用云原生安全系统提供的容器化与微 服务安全机制,对数据出境前端行为进行实时监控和入 侵检测,定期开展漏洞扫描,以便及时发现并妥善处理 异常数据攻击行为,确保数据出境前存储安全。另一方 面,运用智能合约与区块链技术提升数据出境的透明性 与安全性。智能合约以其严密的逻辑结构著称,一旦数 据出境满足预设条件,合约便自动执行预设计划,如果 数据在既定情况下出现异常和错误,智能合约将自动终 止执行,并触发错误处理机制,此时数据出境将被及时 终止。可利用区块链技术的不可篡改性,对数据出境全 过程进行追溯与验证,如果数据出境的实际路径、时间 与传输方式等信息与事先设定的信息不相符,区块链技 术便可通过对其进行溯源,迅速定位问题所在,及时采 取有效措施,解决问题。
(三)适应数字应用:科学规划数据出境安全管理“运营机制”
2025 年1月,国家发展改革委、国家数据局等部 门印发《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》,旨在“促进数据要素合 规高效流通利用”,持续优化数据安全制度生态。为此, 应从生态合作、服务流程与机制优化等维度入手。
1. 构建多元化的数据出境安全生态合作框架
根据《数据安全法》的相关规定,数据安全保护 需有关部门、行业组织、科研机构、企业、个人等多方 共同参与。一方面,强化政府、企业和个人在数据出境 安全上的协同治理。政府作为政策引领者,应制定完善 的法律法规,明确数据出境标准、流程及责任主体,确 保每一环节有法可依、有章可循,为数据出境提供制度 支撑和法律依据。企业应承担主体责任,确保数据出境 前经过安全评估与审查;出境时有能力防止数据不被非 法入侵和篡改;出境后确保在合规、安全的条件下使用 数据。个人作为数据生成者之一,需提高数据安全意识, 主动学习数据安全知识和相关法律常识,避免个人敏感 信息被泄露,维护好自身权益。另一方面,促进数据出 境安全的跨行业跨部门合作。各部门和相关行业在数据 出境实践中积累了丰富经验和资源,应在充分共享与整 合的基础上,实现资源和优势的互补。例如,技术部门 为企业提供可靠的数据加密和传输技术确保数据出境安 全,为数据出境筑牢安全防线;法律部门主动研究法律 法规,为数据出境提供合规指引,帮助企业规避法律风 险;网信等监管部门及时掌握并发布动态信息,为各行 业提供最新政策指导和风险提示。此外,不同部门和企 业应加强交流合作,通过研讨会、交流会等多种形式, 就相关安全课题深入交流沟通,发挥各自所长,共商应 对之策。
2. 打造高效的数据出境安全服务流程与机制
为满足日益增长的用户需求,应结合数字技术发 展趋势,不断对现有流程机制进行优化,逐步形成智能 化的服务模式。一是优化数据出境审批流程。应明确数 据类型界定标准,确保企业提交数据出境申请时,能准 确无误地归纳数据类型,避免因类型界定不清导致的审 批延误;构建智能化数据评估系统,运用大数据、人工 智能技术,自动识别并评估数据出境的安全性、合规性, 减少人为判断的主观性;实施分层分类审批,根据数据风险等级、敏感程度设置不同等级的审查程序,对风险 层级较低的数据开设快速审批通道,对风险层级较高的 数据制定严格的审查程序,确保效率与安全并重。二是 引入第三方咨询机构。该机构可为企业提供数据出境方 面的政策解读与指引、安全评估与认证等服务。企业提 交数据出境申请时,可先向第三方机构咨询或进行预评 估,以提前识别法律风险与安全隐患;第三方机构出具 的“专业化”认证报告,应作为审批部门的重要参考, 以提高审批效率。三是保障可信数据自由有序流动。 2024 年国家数据局印发的《可信数据空间发展行动计 划(2024—2028 年)》提出了“可信数据空间”概念, 即基于共识规则、连接多方主体实现数据资源共享共用 的一种数据流通利用基础设施,是数据要素价值共创的 应用生态,是支撑构建全国一体化数据市场的重要载体。 如果数据出境符合该定义的范畴,就能在“区域”内实 现数据合规高效流通。换言之,数据在出境过程中既要 遵循既定的共识规则,又要接受多方的监督与认可。
(四)完善数字规则:系统构建数据出境安全管理“制度框架”
“总体国家安全观”的关键在“总体”,其强调“统 筹外部安全和内部安全”[24],即通过内外兼修的策略, 实现国家安全的整体性与稳定性。为此,需不断完善数 据出境制度体系,强化同国际数据规则的对接与协调, 为优化数据出境安全管理、构建开放型世界经济体系指 明方向。
1. 完善数据出境安全管理法律法规体系
通过对《促进大数据发展行动纲要》《“十三五” 规划纲要》等政策文件的分析,不难发现数据已被定位 为国家基础性战略资源,其重要性不言而喻。为此应坚 持法治引领、制度保障,为数据出境安全设定底线、划 清红线、界定责任和明确边界。一是完善数据出境分类 分级指引。数据作为客观事物表达的原始素材,以符号、 文字、语言等形态存在。在数据安全语境下,法律根据 数据的性质、用途、影响范围及敏感程度将其分为不同 类型与安全等级,需遵循“定性—定量”模式,通过“列 举+兜底”方式明确数据边界与范围[25]。值得注意的是在“一般数据”范畴内“单一”数据和“集群”数据 的区别,“单一”数据危害性可能极低,反而“集群” 数据的危害性可能很高。因此,对“一般数据”的分级 分类需要经过多重考虑,在考虑数据即时的前提下,还 要预见可能引发的“连锁反应”和潜在威胁。二是细化 数据出境安全评估标准。当前,我国已建立事前、事中、 事后数据出境安全评估体系框架,却尚未形成量化标准。 这使得企业在评估指标的具体要求、评估结果合格的标 准方面没有可借鉴的参考,不知如何准备数据出境材料 以满足出境的要求。为此,可依据数据出境类型、敏感 程度分类制定评估指标,从合法性、合规性等维度,明 确设定评估要点和合格阈值,为企业提供具有可操作性 的评估指南。三是强化数据出境安全保护机制。一方面 着力提升应急响应能力,针对非法入侵、非法篡改、数 据泄露等安全事件,预设应急预案与响应机制,最大限 度降低损失;另一方面加大惩戒力度,在立法上明确界 定数据出境安全的合法边界、法律责任、违法行为,设 定适度的处罚标准,严厉打击违法行为,并通过案件通 报形成震慑与警示效应,维护数据出境的安全与秩序。
2. 推动数据出境安全管理的国际合作
在全球化背景下,仅凭一国之力难以解决数据出 境的所有问题。同他国在保障数据自由流动、保障数据 本土化、设立数据主权边界等问题上达成共识是促进全 球数据跨境流动合作的有效途径[26]。首先,应加速数 据出境规则的标准化进程。在深入研究《通用数据保护 条例》《APEC隐私框架》等国际规范的基础上,把握 以欧盟、美国为代表的发达经济体在数据跨境治理上的新特点,同时,结合本国国情,打造具有中国特色的数 据“生态圈”,保障数据“引进来”时安全可控、“走 出去”时顺畅无阻。具体操作上,可通过与周边国家签 订双边或多边协议,就数据出境标准、监管机制达成共 识,降低数据出境障碍,实现区域内数据自由流动共享; 在“一带一路”倡议下,权衡好数据跨境流动中的发展 和安全之间的关系,通过《区域全面经济伙伴关系协定》 (RCEP)合作框架,积极探索数据流动新路径,如完善 自贸区“负面清单”、建构“可信数据空间”等,实现 数据流动的动态平衡。其次,要积极参与国际数据保护 规则的制定与修订。2020年我国提出《全球数据安全 倡议》,倡导“共同构建和平、安全、开放、合作、有 序的网络空间命运共同体”;2024年,我国又发布《全 球数据跨境流动合作倡议》,阐明了中国促进全球数据 跨境流动合作的立场主张。此外,我国既要遵循《联合 国宪章》,也要积极参与《全面与进步跨太平洋伙伴关 系协定》(CPTPP)、《数字经济伙伴关系协定》(DEPA) 等国际多边协定,秉持“人类命运共同体”“网络空间 命运共同体”等理念,推动形成共商共建共享的全球治 理格局。具体而言,就是要共商数据治理规则,以平等 参与、友好协商、共同谋划的态度,共创全球数据治理 体系;共建数据治理机制,确保数据出境安全管理制度 有效衔接、协调统一,有效应对数据出境的安全风险; 共享数据治理成果,倡导数字技术在数据领域的创新与 应用,数据资源的合理利用与开放共享,助力全球数字 经济繁荣发展。