□ 文 王洪宇

0 引言

2021年7月10日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見稿）》（以下簡稱“《修訂草案》”）。一方面，《修訂草案》繼續(xù)以“國家安全”為立足點，網(wǎng)絡(luò)安全審查的適用門檻仍限于“影響或者可能影響國家安全”的情形；另一方面，《修訂草案》擴大了網(wǎng)絡(luò)安全審查的適用范圍，從關(guān)鍵信息基礎(chǔ)設(shè)施運營者的采購活動與供應(yīng)鏈安全，擴大至同時包含一般數(shù)據(jù)處理者在數(shù)據(jù)處理活動中的數(shù)據(jù)安全，數(shù)據(jù)權(quán)納入了網(wǎng)絡(luò)安全的審視范疇，以保障國家安全。同時大數(shù)據(jù)時代的數(shù)據(jù)跨境傳輸?shù)群弦?guī)問題引起廣泛的關(guān)注，數(shù)據(jù)權(quán)的歸屬和國家安全的關(guān)聯(lián)不容忽視，需要進一步規(guī)范互聯(lián)網(wǎng)企業(yè)的信息安全問題。

1 概述

1.1 大數(shù)據(jù)的概念和特征

大數(shù)據(jù)是近年來新興的一個概念，其承載著較大的信息量，是PB級以上的數(shù)據(jù)集合，需要通過新的網(wǎng)絡(luò)科技來儲存和處理新產(chǎn)生的數(shù)據(jù)。具體特征如下：

規(guī)模性：大數(shù)據(jù)是一定量級的數(shù)據(jù)集合，規(guī)模在不斷擴張中。一般會產(chǎn)生大數(shù)據(jù)的途徑是采集器終端采集和網(wǎng)絡(luò)用戶自主提交，除此之外還有通過衛(wèi)星進行收集的特殊數(shù)據(jù)。

關(guān)聯(lián)性：數(shù)據(jù)之間不是割裂的，而是相互關(guān)聯(lián)的，存在一定的規(guī)律性，大數(shù)據(jù)處理就是基于不斷變化的流式數(shù)據(jù)，找到某種取值上的規(guī)律，這正是大數(shù)據(jù)的價值所在，大數(shù)據(jù)可以輔助認知系統(tǒng)各個成分的因果關(guān)系。

共享性：大數(shù)據(jù)是否具有對世性或稱絕對性，是從法律和權(quán)屬的角度去認識大數(shù)據(jù)。大數(shù)據(jù)突破了傳統(tǒng)的公與私的界限，個人產(chǎn)生的信息并非以占有為前提，數(shù)據(jù)具有共享性和公共性。

戰(zhàn)略性：從宏觀政策層面來看，能產(chǎn)生價值的大數(shù)據(jù)也是一種資源，其與自然資源一樣具有一定的戰(zhàn)略性。大數(shù)據(jù)網(wǎng)羅著政治、經(jīng)濟、軍事、文化等多個方面的社會信息，關(guān)系著一個國家科技和社會發(fā)展，這些信息是主權(quán)國家控制其國內(nèi)社會的基礎(chǔ)，甚至關(guān)涉到國與國之間的外交。

1.2 數(shù)據(jù)權(quán)

一般意義上數(shù)據(jù)權(quán)可從主體上來區(qū)分，國家擁有數(shù)據(jù)主權(quán)，而公民擁有數(shù)據(jù)權(quán)利。只有在數(shù)據(jù)主權(quán)法定框架下，公民才可自由行使數(shù)據(jù)權(quán)利。數(shù)據(jù)主權(quán)又可以根據(jù)功能權(quán)限劃分為數(shù)據(jù)管轄權(quán)和數(shù)據(jù)所有權(quán)，管轄權(quán)是指一國對內(nèi)可以管理和利用數(shù)據(jù)，而數(shù)據(jù)所有權(quán)是指一國對外有排他性的權(quán)利。公民的數(shù)據(jù)權(quán)利是對從自身采集的數(shù)據(jù)進行利用的權(quán)利，對包含生命財產(chǎn)和隱私權(quán)的數(shù)據(jù)保護。

1.3 數(shù)據(jù)主權(quán)與信息主權(quán)

國家主權(quán)是對外具有獨立權(quán)和對內(nèi)具有最高統(tǒng)治權(quán)，具有權(quán)威性和排他性的特征。數(shù)據(jù)主權(quán)和信息主權(quán)都是從國家主權(quán)的概念演變而來。信息主權(quán)是一個國家對于制造、傳播和交易信息等活動管轄的權(quán)力，且在一定管轄區(qū)域內(nèi)。

數(shù)據(jù)主權(quán)與信息主權(quán)的主要區(qū)別在于“數(shù)據(jù)”與“信息”的區(qū)別。數(shù)據(jù)是按一定規(guī)則排列組合的物理符號，即人們熟知的數(shù)字、文字、代碼和圖像等，而信息則需要將數(shù)據(jù)進一步的處理和加工。學(xué)者汪曉風認為：“如果把數(shù)據(jù)理解為礦產(chǎn)資源，信息就是采掘出來的原材料，進一步加工就成了產(chǎn)品，即知識。那么數(shù)據(jù)主權(quán)相當于國家對自然資源和領(lǐng)土的所有權(quán)。”

2 數(shù)據(jù)跨境流動的挑戰(zhàn)

數(shù)據(jù)的跨境流動會涉及不同國家（地區(qū)）和主體，各個國家對于數(shù)據(jù)管轄有自己的主張，使得數(shù)據(jù)主權(quán)難以確定。目前國際社會上并沒有統(tǒng)一的數(shù)據(jù)權(quán)屬和主權(quán)劃分的制度或規(guī)定，這種管轄權(quán)的重疊會對于各國公民的隱私權(quán)和國家安全帶來挑戰(zhàn)。

2.1 國家安全挑戰(zhàn)

隨著網(wǎng)絡(luò)科技的發(fā)展，數(shù)據(jù)的價值愈發(fā)受到關(guān)注。數(shù)據(jù)產(chǎn)業(yè)存在國際社會上發(fā)展不平衡的現(xiàn)象，發(fā)達國家擁有更多的數(shù)據(jù)話語權(quán)，可能會助長數(shù)據(jù)霸權(quán)的產(chǎn)生，甚至加劇全球經(jīng)濟的失衡狀態(tài)，數(shù)據(jù)關(guān)乎一個國家的主權(quán)和安全。不斷發(fā)展的大數(shù)據(jù)和人工智能可以對跨境傳輸?shù)臄?shù)據(jù)進行分析，再對其他國家的用戶進行畫像，包括生活習慣、健康狀況、職業(yè)選擇偏好等，進一步還可以了解社會、國防和科技動態(tài)，分析而來的信息成為情報收集的來源，威脅其他國家的國家安全。在面對全球數(shù)據(jù)流動的趨勢制定相關(guān)規(guī)則規(guī)范以保護國家主權(quán)時，國家安全問題成為不可忽視的問題。

2.2 個人隱私保護挑戰(zhàn)

除了宏觀上對于國家主權(quán)和安全的挑戰(zhàn)，數(shù)據(jù)跨境傳輸時直接涉及到的是從公民個人身上采集的數(shù)據(jù)，關(guān)乎個人隱私權(quán)的問題?；ヂ?lián)網(wǎng)企業(yè)會通過訂單信息、聯(lián)系方式和聯(lián)系地址等多方面獲得個人數(shù)據(jù)，這些數(shù)據(jù)如果沒有采取一定的手段進行儲存和保護，就很容易泄露或者被他方竊取，更甚者互聯(lián)網(wǎng)企業(yè)會濫用收集的用戶信息，對用戶的個人隱私帶來較大的威脅。

不可否認，數(shù)據(jù)的跨境傳輸可以方便個人獲得更方便的金融服務(wù)和獲得更優(yōu)質(zhì)的資產(chǎn)配置，企業(yè)也通過大數(shù)據(jù)分析等工具確定產(chǎn)業(yè)布局和營銷投放，促進了互聯(lián)網(wǎng)企業(yè)的快速發(fā)展。但是重視經(jīng)濟效益的同時也不能忽視個人隱私權(quán)的保護，效率與公平需要兼顧，這是各國踐行競爭法的理論基礎(chǔ)和原則所在。個人、企業(yè)、非政府組織和政府機構(gòu)目前在大數(shù)據(jù)問題上的法律權(quán)責不明確，跨境數(shù)據(jù)的傳輸需要有進一步的監(jiān)管和制度，逐步形成統(tǒng)一的國際法保障體系，使互聯(lián)網(wǎng)領(lǐng)域的發(fā)展不偏離健康的航道，不僭越法律界限。

3 歐盟經(jīng)驗

大數(shù)據(jù)已成為國家創(chuàng)新戰(zhàn)略、國家安全戰(zhàn)略、國家產(chǎn)業(yè)發(fā)展戰(zhàn)略以及國家信息網(wǎng)絡(luò)安全戰(zhàn)略的交叉領(lǐng)域。2016年4月，歐洲議會出臺了《一般數(shù)據(jù)保護條例》（以下簡稱GDPR）值得參考和借鑒，其對內(nèi)擴大數(shù)據(jù)主體的權(quán)利，對外提高對于數(shù)據(jù)輸出的審查標準，以規(guī)范數(shù)據(jù)傳輸和主權(quán)問題。

3.1 擴大數(shù)據(jù)主體的權(quán)利

GDPR第四十四條規(guī)定，掌握和收集用戶數(shù)據(jù)的一方再向沒有或無法對于數(shù)據(jù)進行完備保護的區(qū)域傳輸數(shù)據(jù)時，用戶的“明確同意”是前置條件。除了保障了用戶的知悉和處置自身權(quán)益的“明確同意”，用戶還擁有拒絕權(quán)，即用戶可以拒絕企業(yè)以直銷營銷目的的收集數(shù)據(jù)信息的行為，且不會受到一些豁免原則的約束，即便是基于較為合理的歷史或科學(xué)研究而進行數(shù)據(jù)收集的情形，用戶同樣擁有拒絕權(quán)。

3.2 提高跨境數(shù)據(jù)輸出的審查標準

除了對內(nèi)設(shè)計的對于個人數(shù)據(jù)權(quán)利的高度保護規(guī)則，歐盟同時做好了對外在數(shù)據(jù)跨境傳輸?shù)囊?guī)則上的嚴格限制和規(guī)范，具體而言，歐盟的數(shù)據(jù)跨境傳輸在一般情況下需要考慮以下因素：

3.2.1 拓展“白名單”制度的范疇

在歐盟1995年頒布的《數(shù)據(jù)保護令》中，提出如果屬于“充分性決議”則可以對此不限制數(shù)據(jù)跨境運輸?！俺浞中詻Q議”是指在向其他國家傳輸數(shù)據(jù)時確保了個人數(shù)據(jù)隱私可得到充分保護的，判斷的依據(jù)是“白名單”。GDPR在此基礎(chǔ)上進一步增加了其他特定區(qū)域和國際組織的充分性保護認定，擴大了正面清單的認定范圍。

3.2.2 確立“適當保障的傳輸”標準

在“白名單”之外，不代表就無法進行跨境數(shù)據(jù)傳輸，如果在實質(zhì)審核下數(shù)據(jù)的控制者已為個人的數(shù)據(jù)隱私提供了適當?shù)谋Ｕ希⑶以谙麡O情況下產(chǎn)生數(shù)據(jù)的主體可獲得數(shù)據(jù)權(quán)利的有效救濟和申請強制執(zhí)行的權(quán)利，則其也可以進行跨境的數(shù)據(jù)傳輸活動。

3.2.3 針對跨國企業(yè)的“約束性企業(yè)規(guī)則”

跨國企業(yè)內(nèi)部的自我約束和規(guī)制的規(guī)定，即跨國企業(yè)需要對于自身數(shù)據(jù)在跨境傳輸中涉及的隱私權(quán)等數(shù)據(jù)權(quán)利進行保護，同時數(shù)據(jù)所有者可以以此為依據(jù)主張權(quán)利和尋求救濟。該規(guī)則要求企業(yè)至少需要明確企業(yè)內(nèi)部數(shù)據(jù)傳輸?shù)姆N類、內(nèi)部結(jié)構(gòu)、保護措施，以及相關(guān)主體的權(quán)利、義務(wù)和責任，數(shù)據(jù)所有者監(jiān)督方式和尋求救濟的途徑等。

4 我國應(yīng)對措施

歐盟保護數(shù)據(jù)權(quán)的措施主要是圍繞著數(shù)據(jù)權(quán)利，數(shù)據(jù)權(quán)利相較數(shù)據(jù)權(quán)來說更加微觀和具象一些，保護好國家公民的數(shù)據(jù)權(quán)利，集合而成也是對于國家數(shù)據(jù)主權(quán)的一種保障。數(shù)據(jù)權(quán)的保護在保護國家主權(quán)和安全的宏觀立場下，須加強國際交流合作，增強企業(yè)社會責任感和自我約束，以及更加具體的制度規(guī)則作為支撐。

4.1 建立數(shù)據(jù)分類審核制度

對于跨境數(shù)據(jù)需要進行評估和監(jiān)管，我國的《網(wǎng)絡(luò)安全法》第三十七條雖然也規(guī)定建立健全跨境數(shù)據(jù)傳輸評估制度，但是還沒有相關(guān)細則的配合，重要數(shù)據(jù)的厘定以及具體在跨境運輸中的評估方法無章可循。數(shù)據(jù)本身具有多元性，其來源不同，也有不同的性質(zhì)，在個體數(shù)據(jù)權(quán)利、公共利益和國家安全的屬性上不盡相同，所以需要根據(jù)不同數(shù)據(jù)的特征進行區(qū)分。在對數(shù)據(jù)中包含的社會公共利益和國家主權(quán)安全評定時因沒有隱私等數(shù)據(jù)權(quán)利具象，而不易判斷，但是這兩種利益的影響深遠，所以在設(shè)計相關(guān)法律制度規(guī)則時應(yīng)該進一步明確哪些數(shù)據(jù)涉及社會公共利益和國家安全，以列舉和原則性規(guī)定相結(jié)合的方式區(qū)分個人數(shù)據(jù)、行業(yè)數(shù)據(jù)、商業(yè)數(shù)據(jù)和國家安全數(shù)據(jù)等，根據(jù)不同安全梯度予數(shù)據(jù)跨境傳輸以不同程度的限制和監(jiān)管，以來維護社會的穩(wěn)定和安全。

4.2 明確數(shù)據(jù)權(quán)內(nèi)容

在對各種數(shù)據(jù)進行分類之后，需要進一步明確數(shù)據(jù)權(quán)的具體內(nèi)容，有明確的法律規(guī)范和工具進行指引。對于損壞數(shù)據(jù)跨境傳輸中相關(guān)權(quán)益行為進行懲罰時才可做到有法可依?？梢詤⒖細W盟GDPR規(guī)定具體的刪除權(quán)、算法可解釋權(quán)和可攜帶權(quán)等等，以明確保護的個人數(shù)據(jù)具體包含哪些內(nèi)容和權(quán)限，才能進一步尋求權(quán)利救濟，司法機關(guān)和執(zhí)法機關(guān)在行使職權(quán)和解釋法律的時候會更加有序，促進對于跨境數(shù)據(jù)傳輸?shù)谋O(jiān)管和規(guī)范，保障數(shù)據(jù)跨境流動的合法有序進行。

4.3 完善數(shù)據(jù)出境過程中相關(guān)主體的風險管理責任

在明確法律規(guī)范的權(quán)利內(nèi)容后，還需要明確消極后果作為兜底，即需要明確數(shù)據(jù)跨境傳輸過程中各主體的責任。其中涉及到的主體從宏觀到微觀，有政府機構(gòu)、自律組織、企業(yè)、公眾。政府需要在宏觀的層面統(tǒng)籌數(shù)據(jù)跨境傳輸?shù)娘L險管理審核，做到審慎監(jiān)管，行業(yè)自律組織作為中介機構(gòu)更加了解行業(yè)特征，起到政府和企業(yè)橋梁的作用，其可以在政府的政策和法律框架下指定具體的指引和規(guī)則，進一步細化相關(guān)制度。企業(yè)自身要建立保護數(shù)據(jù)權(quán)的自查自糾機制，明確企業(yè)運營過程中具體的操作規(guī)范，減少不當操作或者系統(tǒng)故障造成的數(shù)據(jù)泄露或失真。對于數(shù)據(jù)主權(quán)的保護主要體現(xiàn)在數(shù)據(jù)出境業(yè)務(wù)中，如果企業(yè)是跨國集體或者從事數(shù)據(jù)出境業(yè)務(wù)，尤為需要加強數(shù)據(jù)合規(guī)的管理，確保企業(yè)自身在數(shù)據(jù)的收集、處理和傳輸?shù)冗^程中均合法合規(guī)，最終形成政府宏觀調(diào)控、行業(yè)自律組織監(jiān)管和企業(yè)自查自糾的完整的數(shù)據(jù)跨境傳輸?shù)娘L險管理系統(tǒng)和結(jié)構(gòu)。除此之外，還可以充分調(diào)動市場其他參與主體進行第三方監(jiān)督的積極性，主動參與到對于國家數(shù)據(jù)主權(quán)和公眾數(shù)據(jù)權(quán)利的保護和規(guī)范建設(shè)中，各司其職，各盡其責，給互聯(lián)網(wǎng)行業(yè)的發(fā)展提供良好的法治化環(huán)境，在促進新興行業(yè)發(fā)展的同時，時刻把握數(shù)據(jù)話語權(quán)，守住包括數(shù)據(jù)權(quán)在內(nèi)的國家主權(quán)的底線。

5 結(jié)束語

隨著數(shù)據(jù)時代的到來，數(shù)據(jù)主權(quán)也成為國家主權(quán)的外延，守住國家數(shù)據(jù)主權(quán)，把握數(shù)據(jù)話語權(quán)成為新時代不可回避的議題。數(shù)據(jù)權(quán)包含數(shù)據(jù)主權(quán)和數(shù)據(jù)權(quán)利，數(shù)據(jù)主權(quán)體現(xiàn)數(shù)據(jù)的戰(zhàn)略性，保障國家獨立自主和不受干涉地促進互聯(lián)網(wǎng)行業(yè)的繁榮，國家愈發(fā)重視數(shù)據(jù)主權(quán)、網(wǎng)絡(luò)安全和國家主權(quán)的保護，這三者關(guān)系也是逐步遞進的。需要進一步明確國家數(shù)據(jù)戰(zhàn)略，細化相關(guān)法律法規(guī)和制度規(guī)范，明確數(shù)據(jù)權(quán)的權(quán)責關(guān)系，建立健全數(shù)據(jù)安全保障和審查系統(tǒng)，提供行之有效的監(jiān)督和權(quán)利救濟途徑。同時還需要提高對于數(shù)據(jù)的核心控制力，在順應(yīng)全球數(shù)據(jù)自由流通下，有條件地允許跨境數(shù)據(jù)傳輸，在保護國家數(shù)據(jù)主權(quán)和國家安全的前提下，促進國際間的交流互通，推進國際數(shù)據(jù)保護規(guī)范的商議和建立健全相應(yīng)的合作規(guī)制。