馬其家 劉飛虎

〔摘要〕數(shù)據(jù)出境給我國帶來的國家安全風(fēng)險包括：個人數(shù)據(jù)出境使我國在政治、文化領(lǐng)域面臨國家安全風(fēng)險，非個人數(shù)據(jù)出境使我國在國土、軍事、科技領(lǐng)域面臨國家安全風(fēng)險。數(shù)據(jù)出境給國家安全治理帶來的新挑戰(zhàn)包括：數(shù)據(jù)的科技屬性和流動隱蔽性增加了數(shù)據(jù)出境國家安全治理的難度，現(xiàn)有監(jiān)管規(guī)則和防范措施不能滿足數(shù)據(jù)出境國家安全治理的需要。為應(yīng)對數(shù)據(jù)出境領(lǐng)域國家安全治理的挑戰(zhàn)，我國可采取的措施包括：一是推動法定的數(shù)據(jù)安全技術(shù)標(biāo)準(zhǔn)落地，并鼓勵企業(yè)發(fā)展事實標(biāo)準(zhǔn)；二是建立協(xié)調(diào)統(tǒng)一的數(shù)據(jù)出境國家安全治理監(jiān)管機構(gòu)與監(jiān)管規(guī)則體系，并完善數(shù)據(jù)控制者數(shù)據(jù)出境國家安全保障責(zé)任；三是構(gòu)建數(shù)據(jù)被動出境的主動防御體系，包括建立網(wǎng)絡(luò)攻擊監(jiān)控平臺、形成政府與私營部門協(xié)同防御、加強數(shù)據(jù)安全人才的培養(yǎng)。

〔關(guān)鍵詞〕數(shù)據(jù)出境，國家安全風(fēng)險，國家安全治理，主動防御

〔中圖分類號〕D90-052〔文獻標(biāo)識碼〕A〔文章編號〕1004- 4175（2022）02-0105-09

〔基金項目〕國家社會科學(xué)基金項目“數(shù)字經(jīng)濟時代平臺企業(yè)濫用數(shù)據(jù)優(yōu)勢的反壟斷法規(guī)制研究”（21BFX114），主持人馬其家；對外經(jīng)濟貿(mào)易大學(xué)研究生科研創(chuàng)新基金資助項目“數(shù)字經(jīng)濟背景下的企業(yè)數(shù)據(jù)出境監(jiān)管研究”（202111），主持人劉飛虎。

國家安全是一個多領(lǐng)域交叉的綜合性安全問題。我國除了重視國土安全、軍事安全等傳統(tǒng)領(lǐng)域的國家安全外，也同樣重視數(shù)據(jù)領(lǐng)域的國家安全。在立法方面，為維護數(shù)據(jù)領(lǐng)域的國家安全，規(guī)范數(shù)據(jù)處理活動，我國最高立法機關(guān)于2021年6月10日出臺了《數(shù)據(jù)安全法》。在執(zhí)法方面，2021年7月上旬國家互聯(lián)網(wǎng)信息辦公室（以下簡稱“網(wǎng)信辦”）接連對“滴滴出行”“運滿滿”“貨車幫”“BOSS直聘”等在美國上市的互聯(lián)網(wǎng)公司，實施國家安全審查。至此，數(shù)據(jù)出境對國家安全的重大影響，逐步引起社會各界的關(guān)注。數(shù)據(jù)出境是數(shù)據(jù)處理者將在國內(nèi)收集、產(chǎn)生的重要數(shù)據(jù)和個人信息，提供給境外主體的行為①。數(shù)據(jù)特有的科技屬性與流動隱蔽性，以及數(shù)據(jù)的主動出境和被動出境，都會給國家安全治理帶來挑戰(zhàn)。如何應(yīng)對這些挑戰(zhàn)，是我國目前面臨的一項重大課題。然而，當(dāng)前學(xué)界的相關(guān)研究主要局限于籠統(tǒng)的數(shù)據(jù)跨境流動，或者數(shù)據(jù)國內(nèi)流轉(zhuǎn)中的國家安全問題，同時涉及數(shù)據(jù)出境與國家安全問題的論文寥寥數(shù)篇。因此，為維護國家安全，研究數(shù)據(jù)出境領(lǐng)域的國家安全治理規(guī)則刻不容緩。本文擬從數(shù)據(jù)出境給我國帶來的國家安全風(fēng)險、數(shù)據(jù)出境給國家安全治理帶來的挑戰(zhàn)、數(shù)據(jù)出境領(lǐng)域國家安全治理的應(yīng)對三個方面展開論述，以期能為我國后續(xù)立法提供參考。

一、數(shù)據(jù)出境帶來的國家安全風(fēng)險

數(shù)據(jù)種類繁多，不同種類數(shù)據(jù)的出境對國家安全的影響存在差異。一般來說，數(shù)據(jù)可以被劃分為政務(wù)數(shù)據(jù)、商業(yè)數(shù)據(jù)、個人數(shù)據(jù)，然而這三者的界限并不清晰。由于政務(wù)數(shù)據(jù)、商業(yè)數(shù)據(jù)常常以采集的個人數(shù)據(jù)為基礎(chǔ)，而且個人數(shù)據(jù)是否應(yīng)賦予所有權(quán)及權(quán)利歸屬等問題仍存在爭議②，導(dǎo)致在這種分類下討論數(shù)據(jù)出境國家安全問題，會出現(xiàn)論述上的重復(fù)和遺漏。因此，筆者以數(shù)據(jù)是否匿名為標(biāo)準(zhǔn)，將數(shù)據(jù)分為個人數(shù)據(jù)與非個人數(shù)據(jù)，并討論這兩類數(shù)據(jù)出境涉及的國家安全問題，以避免前述分類方式的不足。依據(jù)歐盟《通用數(shù)據(jù)保護條例》中的定義，“個人數(shù)據(jù)”即與一個身份已經(jīng)被識別或者身份可識別的自然人有關(guān)的任何信息；“非個人數(shù)據(jù)”則是各種匿名化的數(shù)據(jù)集，包括匿名化后的個人數(shù)據(jù)集，以及物聯(lián)網(wǎng)、人工智能和機器深度學(xué)習(xí)產(chǎn)生的匿名數(shù)據(jù)〔1〕。這兩類數(shù)據(jù)出境對國家安全的威脅具體如下：

（一）個人數(shù)據(jù)出境在政治、文化領(lǐng)域面臨國家安全風(fēng)險

個人數(shù)據(jù)出境中的國家安全風(fēng)險，主要體現(xiàn)在政治安全、文化安全等領(lǐng)域。由于未匿名的數(shù)據(jù)可以反向定位到個人，數(shù)據(jù)控制者可以運用“個人數(shù)字身份”技術(shù)，針對性地預(yù)測并影響個人的意識和行為。眾多個體的意識和行為被操縱后，匯集起的風(fēng)險將給國家意識形態(tài)、政治選舉等帶來巨大安全威脅。例如，在政治選舉中，境外政治組織可以運用個人數(shù)據(jù)身份技術(shù)分析出境的個人數(shù)據(jù)，并對個人近期的需求和偏好進行預(yù)測，在此基礎(chǔ)上向選民投放高精準(zhǔn)、定制化的宣傳材料，利用“信息繭房”效應(yīng)引導(dǎo)甚至誘導(dǎo)個人作出特定投票。例如，劍橋分析數(shù)據(jù)公司在分析選民個人數(shù)據(jù)基礎(chǔ)上，為美國總統(tǒng)大選、英國公投脫歐等事件中的獲勝陣營都提供了信息精準(zhǔn)投放策略服務(wù)，以干擾和引導(dǎo)投票。同時，在國家意識形態(tài)建設(shè)中，境外新媒體平臺可以依據(jù)個人數(shù)據(jù)身份技術(shù)分析出境的個人數(shù)據(jù)身份，運用算法構(gòu)建針對學(xué)生或青年等特定群體暗藏意識形態(tài)的信息推送模型，潛移默化中改變數(shù)據(jù)出境國公民的意識形態(tài)。關(guān)于意識形態(tài)建設(shè)，歷史上既有蘇聯(lián)解體的沉痛教訓(xùn)，近年來又有我國“新疆毒教材”事件的深刻警示③，意識形態(tài)建設(shè)對國家安全的影響不可輕視。

當(dāng)前我國個人數(shù)據(jù)出境后的具體用途難以預(yù)測，數(shù)據(jù)平臺的控制結(jié)構(gòu)也普遍錯綜復(fù)雜。倘若境外政治勢力實際操控的數(shù)據(jù)平臺利用個人數(shù)據(jù)及相應(yīng)技術(shù)，實施侵蝕我國公民意識形態(tài)、干涉我國內(nèi)政等行為，這必將會影響到我國政治、文化、社會等領(lǐng)域的國家安全。

（二）非個人數(shù)據(jù)出境在國土、軍事、科技領(lǐng)域面臨國家安全風(fēng)險

非個人數(shù)據(jù)出境對國家安全的影響，主要體現(xiàn)在國土安全、軍事安全、科技安全等領(lǐng)域。與個人數(shù)據(jù)相比，非個人數(shù)據(jù)是無法明確知悉數(shù)據(jù)來源者身份的數(shù)據(jù)。為了體現(xiàn)對數(shù)據(jù)一定程度上流動的鼓勵和促進，法律法規(guī)對不涉及個人隱私的非個人數(shù)據(jù)管控似乎更為松散。如《網(wǎng)絡(luò)安全法》第42條以但書形式，允許個人信息“經(jīng)過處理無法識別特定個人且不能復(fù)原”后，不經(jīng)過被收集者同意即可流轉(zhuǎn)。然而，海量非個人數(shù)據(jù)形成的大數(shù)據(jù)池，經(jīng)數(shù)據(jù)分析技術(shù)處理后也能得到有效情報，依然會給國家?guī)砭薮蟀踩[患。

嚴(yán)格來說，非個人數(shù)據(jù)可以分為“來源于個人+匿名化處理”“不來源于個人”兩種形式。前者雖然來源于個人，但經(jīng)過技術(shù)處理，設(shè)定權(quán)限和密級后形成了不可逆向的匿名數(shù)據(jù)。后者完全不來源于個人，而是采集于如地理數(shù)據(jù)、氣象數(shù)據(jù)等天然存在的數(shù)據(jù)。當(dāng)前無論是行政機構(gòu)或是商業(yè)主體，都能通過自身渠道和技術(shù)采集、控制這兩類非個人數(shù)據(jù)，如財稅金融、醫(yī)療健康、城建住房、地理空間、交通運輸、工業(yè)農(nóng)業(yè)等數(shù)據(jù)。這些非個人數(shù)據(jù)無序出境后，他國可能利用大數(shù)據(jù)技術(shù)對其處理分析，以對我國社會狀況進行精準(zhǔn)畫像，并有針對性地開展情報收集和研判等工作，威脅我國國家安全〔2〕。

常見威脅國家安全的非個人數(shù)據(jù)出境，包括地圖數(shù)據(jù)、不動產(chǎn)登記數(shù)據(jù)、生物數(shù)據(jù)的出境等。在地圖數(shù)據(jù)方面，高精度地圖是涉及國防安全的基礎(chǔ)資料，國外人員為獲取高精度地圖甚至不惜潛入我國境內(nèi)從事非法測繪〔3〕。我國《遙感影像公開使用管理規(guī)定（試行）》對分辨率優(yōu)于10米的遙感影像設(shè)定了測繪資質(zhì)要求，以及規(guī)定了公開使用前的安全審查和保密技術(shù)處理（如增添偏移量）等程序，世界大多數(shù)國家對高精度地圖的監(jiān)管也持謹(jǐn)慎態(tài)度〔4〕。然而，智能汽車企業(yè)采集的道路原始數(shù)據(jù)，已遠(yuǎn)超規(guī)定的分辨率精度，同時還能獲取道路或重要橋梁限高、限寬、坡度等明確規(guī)定不能公開發(fā)布的數(shù)據(jù)。在不動產(chǎn)登記數(shù)據(jù)方面，這類數(shù)據(jù)中包含的大量不動產(chǎn)測繪成果，如土地、房屋的空間分布以及地形、地界等地理數(shù)據(jù)，完全可以構(gòu)成國家地理坐標(biāo)體系，也會潛在威脅我國國土、軍事安全〔5〕。在生物數(shù)據(jù)方面，生物數(shù)據(jù)出境也一直受到我國監(jiān)管的重點關(guān)注。如2018年10月華大基因在與牛津大學(xué)“中國女性單相抑郁癥的大樣本病例對照研究”的國際合作中，未經(jīng)許可將部分中國人遺傳資源信息傳遞出境，受到了科技部的行政處罰④。生物數(shù)據(jù)危害國家安全的結(jié)果往往是災(zāi)難性的，如基因武器攻擊、生物疫情傳播、生物品種壟斷等。相對于傳統(tǒng)醫(yī)療企業(yè)，新興科技企業(yè)對我國生物數(shù)據(jù)的收集、傳輸更加隱蔽，對其監(jiān)管也處于真空地帶，這給我國國家安全帶來的風(fēng)險不容小覷。

總體而言，個人數(shù)據(jù)、非個人數(shù)據(jù)的出境都會給國家安全帶來潛在風(fēng)險。這些風(fēng)險散布于我國政治、軍事、經(jīng)濟、文化等多個領(lǐng)域，對我國國家安全造成重大威脅，也給我國數(shù)據(jù)出境國家安全治理帶來挑戰(zhàn)。

二、數(shù)據(jù)出境帶來的國家安全治理新挑戰(zhàn)

（一）數(shù)據(jù)的科技屬性和流動隱蔽性增加了數(shù)據(jù)出境國家安全治理的難度

數(shù)據(jù)作為與勞動、資本等并列的第五大生產(chǎn)要素，其價值必須通過交換才能實現(xiàn)。在數(shù)據(jù)交換、流動出境時，一國法律的制定進度必然滯后于全球數(shù)據(jù)科技的發(fā)展速度，如果不能厘清數(shù)據(jù)技術(shù)層面的特性，就更不可能實現(xiàn)有效的數(shù)據(jù)出境國家安全治理和風(fēng)險防范。與傳統(tǒng)貨物、服務(wù)出境不同，數(shù)據(jù)出境給國家安全治理帶來的挑戰(zhàn)，主要體現(xiàn)在以下兩方面：

一是數(shù)據(jù)技術(shù)專業(yè)性強，治理難度大。了解數(shù)據(jù)本身屬性及數(shù)據(jù)全生命周期管理等具體技術(shù)流程，是對數(shù)據(jù)出境進行國家安全治理的前提。一般而言，當(dāng)前數(shù)據(jù)呈現(xiàn)出“數(shù)量海量化、種類多樣化、處理快速化、價值密度低”的特點〔6〕。數(shù)據(jù)產(chǎn)業(yè)中，海量數(shù)據(jù)來源于數(shù)據(jù)公開、網(wǎng)絡(luò)收集、物聯(lián)網(wǎng)上傳、數(shù)據(jù)泄露等各種渠道，數(shù)據(jù)格式由各類結(jié)構(gòu)不同的異構(gòu)數(shù)據(jù)組成，數(shù)據(jù)處理者遍布數(shù)據(jù)產(chǎn)業(yè)鏈的各個環(huán)節(jié)，眾多數(shù)據(jù)的價值也各有不同。監(jiān)管者對這些客觀存在的數(shù)據(jù)流轉(zhuǎn)、處理等技術(shù)流程的熟知程度，決定了相關(guān)立法的質(zhì)量和可執(zhí)行性。數(shù)據(jù)治理只有結(jié)合數(shù)據(jù)技術(shù)特點，才能準(zhǔn)確指明治理對象、劃定監(jiān)管范圍、選擇監(jiān)管方式等。

二是數(shù)據(jù)流動隱蔽性高，難于識別。準(zhǔn)確識別數(shù)據(jù)的不合法出境是數(shù)據(jù)出境國家安全治理的基礎(chǔ)。數(shù)據(jù)流通利用是社會運行不可或缺的要素，只是在法律正式確認(rèn)和規(guī)范之前多以非正式方式存在或以隱蔽的方式進行〔7〕，這些隱蔽的方式包括通過惡意軟件采集、SQL注入獲取數(shù)據(jù)庫權(quán)限、網(wǎng)絡(luò)爬蟲抓取等，來獲取他人未授權(quán)的數(shù)據(jù)并流轉(zhuǎn)使用。全球經(jīng)濟一體化背景下，眾多境外商業(yè)軟件在我國運營，它們收集的數(shù)據(jù)是否以隱蔽且未授權(quán)的方式流動出境，成為我國數(shù)據(jù)出境國家安全治理亟需重點關(guān)注的問題。

（二）現(xiàn)有監(jiān)管規(guī)則和防范措施不能滿足數(shù)據(jù)出境國家安全治理的需要

數(shù)據(jù)出境可分為主動出境與被動出境，兩者對國家安全治理帶來的挑戰(zhàn)是不一樣的。數(shù)據(jù)主動出境，是指數(shù)據(jù)控制者明知或應(yīng)知其實施的行為會產(chǎn)生數(shù)據(jù)出境效果情形下的數(shù)據(jù)出境。如果數(shù)據(jù)控制者主觀上追求數(shù)據(jù)出境的目的，則為故意的數(shù)據(jù)主動出境，出境前應(yīng)當(dāng)履行數(shù)據(jù)控制者安全保障義務(wù)；如果數(shù)據(jù)控制者由于疏忽大意或過于自信，應(yīng)知悉行為將產(chǎn)生數(shù)據(jù)出境的后果而未意識到，導(dǎo)致了數(shù)據(jù)出境的結(jié)果，則為過失的數(shù)據(jù)主動出境。換言之，無論數(shù)據(jù)控制者主觀上為故意或過失，只要認(rèn)識到或應(yīng)當(dāng)認(rèn)識到該行為將產(chǎn)生數(shù)據(jù)出境的效果，即為數(shù)據(jù)的主動出境。數(shù)據(jù)的被動出境，是指由不能預(yù)見、不能避免并不能克服的客觀情況導(dǎo)致的數(shù)據(jù)出境。例如數(shù)據(jù)控制者已經(jīng)嚴(yán)格遵守法律法規(guī)并履行了數(shù)據(jù)安全保障義務(wù)，由不能預(yù)見或不可抗拒的網(wǎng)絡(luò)攻擊、數(shù)據(jù)爬蟲或技術(shù)故障等導(dǎo)致的數(shù)據(jù)被動出境。

1.監(jiān)管規(guī)則欠缺，不能完全應(yīng)對數(shù)據(jù)主動出境的國家安全治理。數(shù)據(jù)治理要堅持以釋放數(shù)據(jù)價值為目標(biāo)，以安全作為底線要求〔8〕4。為保障數(shù)據(jù)有序流動和價值釋放，我國初步形成了“1+3+N”格局的數(shù)據(jù)監(jiān)管法律法規(guī)體系，其中“1”是指《國家安全法》，“3”是指《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》《個人信息保護法》，“N”是其他涉及數(shù)據(jù)安全的法律法規(guī)及立法草案，如《生物安全法》《數(shù)據(jù)出境安全評估辦法（征求意見稿）》（2021年）及《網(wǎng)絡(luò)安全審查辦法》等。我國目前采用“二分法”監(jiān)管數(shù)據(jù)的主動出境，對于重要數(shù)據(jù)，如電信、金融、交通、能源等領(lǐng)域的數(shù)據(jù)，一般需要通過正當(dāng)程序，經(jīng)過個人同意、數(shù)據(jù)安全評估、數(shù)據(jù)安全審查等流程后，在監(jiān)管許可下出境。但總體來說，我國數(shù)據(jù)主動出境國家安全治理規(guī)則仍存在以下不足：

（1）數(shù)據(jù)主動出境規(guī)則的協(xié)調(diào)機制欠缺?！稊?shù)據(jù)安全法》第31條及《網(wǎng)絡(luò)安全法》第37條都規(guī)定，個人信息及重要數(shù)據(jù)的出境安全管理辦法，由網(wǎng)信部門會同國務(wù)院有關(guān)部門制定。在此規(guī)則下，國家網(wǎng)信辦公布了《數(shù)據(jù)出境安全評估辦法（征求意見稿）》（2021年），其中要求信息出境前需要向所在地省級網(wǎng)信部門申報安全評估。然而，中國人民銀行發(fā)布的《反洗錢法（修訂草案公開征求意見稿）》（2021年），則要求境內(nèi)金融機構(gòu)向境外當(dāng)局提供可能涉及國家安全的信息時，應(yīng)當(dāng)事先獲得國務(wù)院有關(guān)金融監(jiān)督管理機構(gòu)批準(zhǔn)。

這樣，數(shù)據(jù)主動出境事實上形成了“雙線多頭監(jiān)管”的態(tài)勢。在全國人大及其常委會制定的法律層面未統(tǒng)一數(shù)據(jù)出境程序，而將具體的數(shù)據(jù)合法出境規(guī)則制定權(quán)下放到省部級單位，難免導(dǎo)致各部門、省市制定的法規(guī)之間存在管轄范圍、執(zhí)法權(quán)力、行政程序等方面的重疊、遺漏甚至沖突。這也給市場主體數(shù)據(jù)出境是否合規(guī)帶來極大不確定性，降低了數(shù)據(jù)出境安全管理規(guī)則的權(quán)威性。盡管交由各行業(yè)主管部門制定法規(guī)能提高規(guī)則的行業(yè)針對性，但在后續(xù)立法完善中仍亟需形成法律層面統(tǒng)一、協(xié)調(diào)的數(shù)據(jù)出境監(jiān)管規(guī)則體系。

（2）數(shù)據(jù)主動出境規(guī)則的可操作性有限。一方面，數(shù)據(jù)出境規(guī)則中某些基礎(chǔ)概念不明確。例如，重要數(shù)據(jù)的概念與數(shù)據(jù)分類分級保護制度是緊密相連的，只有先明確重要數(shù)據(jù)的范圍，才能確認(rèn)數(shù)據(jù)安全法的保護對象和責(zé)任主體，才能落實數(shù)據(jù)分類分級保護制度。《數(shù)據(jù)安全法》第21條規(guī)定了“國家建立數(shù)據(jù)分類分級保護制度”和“加強對重要數(shù)據(jù)的保護”，且第27條、第30條、第31條、第46條均涉及重要數(shù)據(jù)，然而，該法中卻并未明確界定“重要數(shù)據(jù)”涵蓋的范圍，僅僅規(guī)定在國家數(shù)據(jù)安全工作協(xié)調(diào)機制統(tǒng)籌協(xié)調(diào)下，由“有關(guān)部門制定重要數(shù)據(jù)目錄”。2017年公布的《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》第17條將重要數(shù)據(jù)定義為“與國家安全、經(jīng)濟發(fā)展，以及社會公共利益密切相關(guān)的數(shù)據(jù)”，也并未能提供確切可執(zhí)行的重要數(shù)據(jù)劃分標(biāo)準(zhǔn)。2021年公布的《數(shù)據(jù)出境安全評估辦法（征求意見稿）》甚至直接回避了對重要數(shù)據(jù)定義的解釋。這使得重要數(shù)據(jù)的基本概念內(nèi)涵不明晰，導(dǎo)致各部門、各地區(qū)在實際管理中的標(biāo)準(zhǔn)必然存在差異。

另一方面，數(shù)據(jù)主動出境的配套規(guī)則不完善。對于數(shù)據(jù)出境，2017年《網(wǎng)絡(luò)安全法》首次確立數(shù)據(jù)境內(nèi)儲存原則，2021年的《數(shù)據(jù)安全法》又增加了數(shù)據(jù)風(fēng)險評估報告制度、數(shù)據(jù)安全審查制度、數(shù)據(jù)出口管制原則、非經(jīng)批準(zhǔn)禁止向境外當(dāng)局提供境內(nèi)數(shù)據(jù)等規(guī)定。然而，這些制度和規(guī)則均過于原則化，在配套細(xì)則尚未完善的情形下，導(dǎo)致實踐中難以操作。例如，《數(shù)據(jù)安全法》第11條規(guī)定要積極開展數(shù)據(jù)領(lǐng)域的國際交流合作，但是對于國際規(guī)則、標(biāo)準(zhǔn)與我國法律的協(xié)調(diào)、銜接機制并未具體說明。又如，《數(shù)據(jù)安全法》第18條提出國家支持和促進數(shù)據(jù)安全檢測評估、認(rèn)證等服務(wù)的發(fā)展，雖然目前已有《數(shù)據(jù)安全能力成熟度模型》（GB/T 37988-2019）、《數(shù)據(jù)安全治理能力評估方法》（T/ISC-0011-2021）等多個數(shù)據(jù)安全檢測評估、認(rèn)證國家技術(shù)標(biāo)準(zhǔn)和團體標(biāo)準(zhǔn)，但是行政法層面并無配套細(xì)則出臺，對這些服務(wù)主體的業(yè)務(wù)資質(zhì)、從業(yè)人員資格、安全保障義務(wù)等具體事項進行規(guī)定。

（3）數(shù)據(jù)主動出境中企業(yè)責(zé)任的承擔(dān)形式單一。企業(yè)作為海量數(shù)據(jù)的控制者，在保障數(shù)據(jù)安全方面的責(zé)任不可小覷?！稊?shù)據(jù)安全法》第8條規(guī)定數(shù)據(jù)處理者負(fù)有保護數(shù)據(jù)安全義務(wù)，第28條要求重要數(shù)據(jù)處理者明確數(shù)據(jù)安全負(fù)責(zé)人和管理機構(gòu)，第29條及第30條為數(shù)據(jù)處理者分配了數(shù)據(jù)風(fēng)險監(jiān)測、評估和上報責(zé)任。依據(jù)第六章的規(guī)定，若數(shù)據(jù)處理者不履行義務(wù)或違反規(guī)定，主管部門可以對其作出約談、責(zé)令整改、給予警告、行政罰款以及停業(yè)整頓、吊銷營業(yè)執(zhí)照等行政處罰，構(gòu)成犯罪的追究刑事責(zé)任。雖然《數(shù)據(jù)安全法》規(guī)定了企業(yè)的上述責(zé)任，但由于數(shù)據(jù)行業(yè)的特殊性，企業(yè)責(zé)任的承擔(dān)形式依然有所欠缺。相比之下，同為特殊行業(yè)的金融市場規(guī)則卻更為完備。例如，《證券公司監(jiān)督管理條例》第83條規(guī)定了證券行業(yè)從業(yè)資格制度，證券從業(yè)人員需要考試取得執(zhí)業(yè)資格，對于從業(yè)中有違法違規(guī)情節(jié)嚴(yán)重的，可以撤銷任職資格或證券從業(yè)資格等。又如《證券法》第221條設(shè)置了證券從業(yè)者市場禁入措施，對于嚴(yán)重違反金融法律、法規(guī)的人員，禁止其在一定期限內(nèi)直至終身不得從事金融業(yè)務(wù)，包括擔(dān)任金融企業(yè)董事、監(jiān)事、高級管理人員，以及在金融交易市場從事交易等。鑒于數(shù)據(jù)行業(yè)的特殊治理需求，后續(xù)立法中，數(shù)據(jù)出境企業(yè)的安全保障責(zé)任承擔(dān)形式仍有進一步豐富和完善的空間。

2.防范措施不足，無法保障實現(xiàn)數(shù)據(jù)被動出境的國家安全治理。數(shù)據(jù)被動出境類似于意外事件⑤?？陀^上數(shù)據(jù)出境事件的發(fā)生具有偶然性和不可避免性，主觀上行為人不可預(yù)見或遭受不可抗拒的強制力。這既包括環(huán)境因素導(dǎo)致的數(shù)據(jù)被動出境，如數(shù)據(jù)存儲國的戰(zhàn)爭或軍事行動引起的數(shù)據(jù)泄露，也包括技術(shù)因素導(dǎo)致的數(shù)據(jù)被動出境，如在數(shù)據(jù)控制者嚴(yán)格履行安全保障義務(wù)的前提下，由于技術(shù)鴻溝的客觀存在，無法避免境外網(wǎng)絡(luò)攻擊情形下的數(shù)據(jù)被動出境。兩種致因下，雖然數(shù)據(jù)控制者都應(yīng)免于法律責(zé)任，但產(chǎn)生的危害后果，事實上已造成國家安全的重大風(fēng)險。因此，數(shù)據(jù)被動出境風(fēng)險，也必須納入國家安全治理范圍，尤其是技術(shù)差異導(dǎo)致的數(shù)據(jù)被動出境。

來自境外的網(wǎng)絡(luò)攻擊當(dāng)前在全球范圍內(nèi)已普遍存在，國家和地區(qū)的數(shù)據(jù)安全已普遍受到威脅。即使是保持互聯(lián)網(wǎng)技術(shù)遙遙領(lǐng)先的美國，也不斷遭受來自境內(nèi)外的網(wǎng)絡(luò)攻擊〔9〕。防范網(wǎng)絡(luò)攻擊引起的數(shù)據(jù)被動出境風(fēng)險，是維護我國數(shù)據(jù)主權(quán)的具體體現(xiàn)。境外主體借助信息科技優(yōu)勢，通過網(wǎng)絡(luò)攻擊方式竊取我國數(shù)據(jù)，危害我國國家安全，正是對我國數(shù)據(jù)主權(quán)的侵犯?？傮w來說，當(dāng)前我國數(shù)據(jù)被動出境防范措施的不足，體現(xiàn)在以下三方面：

（1）缺乏國家層面的境外網(wǎng)絡(luò)攻擊監(jiān)控技術(shù)平臺。一方面，針對我國重要領(lǐng)域數(shù)據(jù)的網(wǎng)絡(luò)攻擊愈發(fā)頻繁。對于主權(quán)國家，一般來說，工業(yè)、電信、交通、金融、教育、科技等涉及國家安全和國民生計領(lǐng)域中的數(shù)據(jù)較為重要，它們在境外網(wǎng)絡(luò)攻擊中也首當(dāng)其沖。作為我國高新技術(shù)企業(yè)代表的華為集團，從2013年平均每月受到五六十萬次網(wǎng)絡(luò)攻擊，到2019年每天受到全球約百萬次網(wǎng)絡(luò)攻擊⑥。可以說，意在竊取我國科技行業(yè)數(shù)據(jù)的境外網(wǎng)絡(luò)攻擊，不僅頻率驚人，還呈現(xiàn)出愈演愈烈的趨勢。另一方面，我國所依賴的國外信息技術(shù)產(chǎn)品可能存在數(shù)據(jù)被動出境漏洞。我國許多領(lǐng)域使用的軟硬件仍需依賴國外產(chǎn)品，然而這些信息技術(shù)產(chǎn)品可能存在陷門，允許境外訪問者通過特定指令，不經(jīng)過通常的安全檢查訪問過程而進行非授權(quán)訪問。例如，在中國幾乎所有重大信息網(wǎng)絡(luò)和系統(tǒng)項目建設(shè)中均有使用的美國思科（Cisco）路由器產(chǎn)品，經(jīng)檢測卻顯示其多款主流產(chǎn)品的VPN隧道通訊和加密模塊存在預(yù)置式“后門”，攻擊者可還原VPN加密信息內(nèi)容實現(xiàn)數(shù)據(jù)監(jiān)測⑦。因此，我國亟需在國家層面建設(shè)覆蓋各個領(lǐng)域的數(shù)據(jù)被動泄露風(fēng)險監(jiān)測、預(yù)警、安全信息共享調(diào)度平臺。

（2）多方參與防范數(shù)據(jù)被動出境的機制欠缺。當(dāng)前對數(shù)據(jù)被動出境的防范，主要依靠制定法律法規(guī)來指導(dǎo)行政部門實施監(jiān)管，未能發(fā)揮其他市場主體的主觀能動性。對于網(wǎng)絡(luò)攻擊，雖然《國家安全法》《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等規(guī)定了網(wǎng)絡(luò)安全等級保護制度、安全風(fēng)險監(jiān)測預(yù)警機制、數(shù)據(jù)安全應(yīng)急處置機制等防范措施，但是專門針對境外網(wǎng)絡(luò)攻擊的數(shù)據(jù)保護規(guī)則有所欠缺。通過梳理，僅有《網(wǎng)絡(luò)安全法》第5條和第75條的規(guī)定與境外網(wǎng)絡(luò)攻擊直接相關(guān)，但也僅僅是原則性地宣示了我國對此類行為擁有保護性管轄權(quán)。與此同時，負(fù)有數(shù)據(jù)安全保障義務(wù)的數(shù)據(jù)控制者，作為被境外網(wǎng)絡(luò)攻擊的主體，除了向主管部門匯報和發(fā)布白皮書分享自身數(shù)據(jù)安全保障措施外，并沒有其他明確途徑可以參與防范數(shù)據(jù)被動出境規(guī)則和技術(shù)標(biāo)準(zhǔn)的制定。作為境外網(wǎng)絡(luò)攻擊的直接承受者，數(shù)據(jù)控制者難以主動為防范數(shù)據(jù)被動出境規(guī)則的完善提供助力。

（3）忽視數(shù)據(jù)安全人才培養(yǎng)和技術(shù)研發(fā)資金投入。建立有效的數(shù)據(jù)被動出境安全防范體系，需要以大量高素質(zhì)數(shù)據(jù)安全人才和數(shù)據(jù)安全技術(shù)成果為支撐。數(shù)據(jù)安全治理需要計算機科學(xué)、管理學(xué)、法學(xué)、政治學(xué)等多學(xué)科知識，數(shù)據(jù)安全人才需要系統(tǒng)、全面的培訓(xùn)。2021年4月我國“國家安全學(xué)”一級學(xué)科設(shè)立，以培養(yǎng)國家安全與應(yīng)急管理交叉領(lǐng)域人才，這表明我國數(shù)據(jù)安全人才的培養(yǎng)才剛剛起步。此外，數(shù)據(jù)安全技術(shù)的研發(fā)和成果的轉(zhuǎn)化落地，也需要政策和資金上支持，然而目前相關(guān)的政策支持嚴(yán)重不足。

三、完善數(shù)據(jù)安全技術(shù)治理標(biāo)準(zhǔn)，著力構(gòu)建國家安全治理體系

（一）完善數(shù)據(jù)安全技術(shù)標(biāo)準(zhǔn)，防治數(shù)據(jù)出境因技術(shù)問題引發(fā)的國家安全風(fēng)險

如上文所述，數(shù)據(jù)的科技屬性及流動的隱蔽性，使數(shù)據(jù)出境及其風(fēng)險難于識別，加大了國家對數(shù)據(jù)出境國家安全治理的難度。因此，我國有必要制定和完善有關(guān)數(shù)據(jù)安全的技術(shù)標(biāo)準(zhǔn)，以便有效治理數(shù)據(jù)出境因技術(shù)問題而引發(fā)的國家安全風(fēng)險。

1.推動法定的數(shù)據(jù)安全標(biāo)準(zhǔn)落地。法定標(biāo)準(zhǔn)是政府標(biāo)準(zhǔn)化組織或政府授權(quán)的標(biāo)準(zhǔn)化組織設(shè)置的標(biāo)準(zhǔn)。我國由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（以下簡稱“信標(biāo)委”）承擔(dān)信息安全技術(shù)專業(yè)領(lǐng)域內(nèi)的標(biāo)準(zhǔn)化技術(shù)工作。到目前，與數(shù)據(jù)相關(guān)的技術(shù)標(biāo)準(zhǔn)中，已發(fā)布的國家標(biāo)準(zhǔn)包括《數(shù)據(jù)庫管理系統(tǒng)安全評估準(zhǔn)則》（GB/T 20009—2019）、《政務(wù)信息共享數(shù)據(jù)安全技術(shù)要求》（GB/T 39477—2020）、《健康醫(yī)療數(shù)據(jù)安全指南》（GB/T 39725—2020）等14項，涉及數(shù)據(jù)存儲、傳輸、流轉(zhuǎn)以及數(shù)據(jù)分類分級、監(jiān)測預(yù)警、應(yīng)急處置等標(biāo)準(zhǔn)，對《數(shù)據(jù)安全法》等法律法規(guī)中的“推進數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)”要求作出了回應(yīng)，也為數(shù)據(jù)產(chǎn)業(yè)安全發(fā)展提供了明確技術(shù)指引。還在研制修訂中的國家標(biāo)準(zhǔn)包括《電信領(lǐng)域大數(shù)據(jù)安全防護實現(xiàn)指南》《基因識別數(shù)據(jù)安全要求》《汽車采集數(shù)據(jù)的安全要求》以及與數(shù)據(jù)出境國家安全直接相關(guān)的《數(shù)據(jù)出境安全評估指南》等11項，基本上涵蓋了政治、經(jīng)濟、科技、網(wǎng)絡(luò)、生物等領(lǐng)域數(shù)據(jù)的安全標(biāo)準(zhǔn)。

為了進一步完善數(shù)據(jù)出境的國家安全治理，一方面，需要盡快推動研制中的數(shù)據(jù)安全法定標(biāo)準(zhǔn)的修訂和落地，尤其是2017年8月信標(biāo)委已公布、至今仍未通過的《數(shù)據(jù)出境安全評估指南（征求意見稿）》，以期為我國數(shù)據(jù)出境提供明確、具體、可執(zhí)行的數(shù)據(jù)安全國家標(biāo)準(zhǔn)，更好地維護數(shù)據(jù)出境中的國家安全。另一方面，鑒于教育數(shù)據(jù)、生態(tài)數(shù)據(jù)等領(lǐng)域目前并沒有發(fā)布或在研制中的專項數(shù)據(jù)安全技術(shù)標(biāo)準(zhǔn)，建議將教育、生態(tài)等領(lǐng)域的數(shù)據(jù)安全技術(shù)標(biāo)準(zhǔn)納入專項國家標(biāo)準(zhǔn)制定計劃中，以應(yīng)對在數(shù)據(jù)技術(shù)發(fā)展日新月異現(xiàn)狀下國家安全外延的快速擴展，防范這些領(lǐng)域數(shù)據(jù)出境中潛在的國家安全風(fēng)險。

2.鼓勵企業(yè)發(fā)展事實標(biāo)準(zhǔn)。事實標(biāo)準(zhǔn)是單個企業(yè)或少數(shù)企業(yè)聯(lián)盟通過技術(shù)許可等方式，不斷擴大自有技術(shù)的市場滲透力和影響力而形成的行業(yè)技術(shù)標(biāo)準(zhǔn)〔10〕。數(shù)據(jù)控制者在處理數(shù)據(jù)業(yè)務(wù)時，對于數(shù)據(jù)安全問題能有更直接、及時、全面的接觸，其在實踐中形成的業(yè)務(wù)處理標(biāo)準(zhǔn)，對于完善數(shù)據(jù)出境國家安全治理有重要參考價值。鼓勵企業(yè)發(fā)展事實標(biāo)準(zhǔn)，既是對《數(shù)據(jù)安全法》第17條“國家支持企業(yè)、社會團體和教育、科研機構(gòu)等參與標(biāo)準(zhǔn)制定”要求的落實，也是增強法律法規(guī)可執(zhí)行性和實現(xiàn)立法民主化的必然要求。例如，2017年12月騰訊發(fā)布的《騰訊云數(shù)據(jù)安全白皮書》，從數(shù)據(jù)保護原則、保護職責(zé)劃分、保障技術(shù)措施等方面論述了對數(shù)據(jù)安全的保障，并著重介紹了數(shù)盾一站式數(shù)據(jù)安全解決方案、KMS加密技術(shù)、“六把鑰匙”鑒權(quán)體系等數(shù)據(jù)安全保障技術(shù)。又如2021年5月中國互聯(lián)網(wǎng)協(xié)會組織編寫并發(fā)布的《數(shù)據(jù)安全治理能力評估方法》團體標(biāo)準(zhǔn)，綜合企業(yè)貫標(biāo)實踐經(jīng)驗，提出數(shù)據(jù)安全治理能力評估框架，促進了全行業(yè)積極提升數(shù)據(jù)安全治理能力的良好氛圍。無論是企業(yè)標(biāo)準(zhǔn)還是團體標(biāo)準(zhǔn)，經(jīng)過市場檢驗認(rèn)可后，就形成了數(shù)據(jù)安全的事實標(biāo)準(zhǔn)，都在一定程度上推動了數(shù)據(jù)安全的發(fā)展。

對于數(shù)據(jù)出境國家安全來說，需要盡快發(fā)展的事實標(biāo)準(zhǔn)有兩個。一是明確異構(gòu)數(shù)據(jù)處理標(biāo)準(zhǔn)，在非結(jié)構(gòu)化數(shù)據(jù)的增長速度遠(yuǎn)超結(jié)構(gòu)化數(shù)據(jù)〔11〕的現(xiàn)狀下，只有能從海量異構(gòu)數(shù)據(jù)中分辨出涉及國家安全的重要數(shù)據(jù)，才能實現(xiàn)將數(shù)據(jù)安全要求嵌入對異構(gòu)數(shù)據(jù)的處理流程中，防范重要數(shù)據(jù)夾帶出境，給國家安全帶來潛在風(fēng)險。二是完善企業(yè)的數(shù)據(jù)泄露防護標(biāo)準(zhǔn)，明確數(shù)據(jù)控制者的內(nèi)部技術(shù)手段，防止特定數(shù)據(jù)以違反安全策略規(guī)定的形式流出，以應(yīng)對愈演愈烈的境外網(wǎng)絡(luò)攻擊導(dǎo)致的數(shù)據(jù)被動出境國家安全風(fēng)險。

（二）完善數(shù)據(jù)主動出境的國家安全治理體系

完善有關(guān)數(shù)據(jù)主動出境的國家安全治理規(guī)則，是維護國家安全、促進數(shù)據(jù)有序開發(fā)利用和實現(xiàn)數(shù)據(jù)價值釋放的保障。雖然目前我國基本形成了以《國家安全法》《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》為統(tǒng)領(lǐng)的“1+3+N”數(shù)據(jù)法律體系，但是，如上文所述，針對數(shù)據(jù)主動出境中的國家安全治理，仍存在規(guī)則協(xié)調(diào)機制欠缺、規(guī)則可操作性有限、企業(yè)責(zé)任承擔(dān)形式單一等問題。為保障數(shù)據(jù)主動出境中的國家安全，我國后續(xù)立法中仍需針對這些方面進行調(diào)整或完善，具體來說：

1.建立協(xié)調(diào)統(tǒng)一的數(shù)據(jù)出境國家安全治理監(jiān)管機構(gòu)與監(jiān)管規(guī)則體系?！稊?shù)據(jù)安全法》第31條及《網(wǎng)絡(luò)安全法》第37條確立的數(shù)據(jù)出境“雙線多頭監(jiān)管”格局，雖然賦予各行業(yè)領(lǐng)域主管部門更多的規(guī)則制定權(quán)，有利于各行業(yè)結(jié)合自身特點制定規(guī)則，但是同時也給整個數(shù)據(jù)領(lǐng)域的統(tǒng)一規(guī)范帶來困境。如前文提及的金融數(shù)據(jù)出境存在的監(jiān)管競爭問題，數(shù)據(jù)控制者既要依據(jù)《數(shù)據(jù)出境安全評估辦法（征求意見稿）》要求向所在地省級網(wǎng)信辦申報安全評估，又要依據(jù)《反洗錢法（修訂草案公開征求意見稿）》要求向國務(wù)院有關(guān)金融監(jiān)督管理機構(gòu)申請批準(zhǔn)。然而這兩類管理機構(gòu)的數(shù)據(jù)安全評估標(biāo)準(zhǔn)并不完全一致，如《反洗錢法（修訂草案公開征求意見稿）》僅在第49條第2款中規(guī)定了國務(wù)院有關(guān)金融監(jiān)督管理機構(gòu)擁有決定涉及“國家主權(quán)、安全和利益等”的金融數(shù)據(jù)能否出境的審批權(quán)，但并沒有具體、公開的審批標(biāo)準(zhǔn)。而《數(shù)據(jù)出境安全評估辦法（征求意見稿）》中的數(shù)據(jù)出境審核標(biāo)準(zhǔn)則明確很多，如明確規(guī)定了重點評估事項、提交材料、評估機構(gòu)、評估結(jié)果有效期等。因此，在國家立法層面，仍需要統(tǒng)一協(xié)調(diào)數(shù)據(jù)出境安全審查的頂層設(shè)計，以避免監(jiān)管競爭及監(jiān)管套利。

調(diào)整當(dāng)前雙線多頭監(jiān)管的格局，應(yīng)當(dāng)加強國家層面的統(tǒng)籌立法，避免不同部門、不同地區(qū)因標(biāo)準(zhǔn)不同導(dǎo)致的數(shù)據(jù)出境安全監(jiān)管混亂。在《數(shù)據(jù)安全法》后續(xù)修訂中，可以在第31條“其他數(shù)據(jù)處理者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法，由國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定”之后，增加“由中央國家安全領(lǐng)導(dǎo)機構(gòu)及其授權(quán)的機構(gòu)予以確定后實施”的規(guī)定，將部門規(guī)章、地方性規(guī)范文件的審核、確認(rèn)權(quán)賦予國家安全委員會統(tǒng)一行使，以保障各部門、各地區(qū)制定的數(shù)據(jù)出境規(guī)則協(xié)調(diào)統(tǒng)一。同時，對《數(shù)據(jù)安全法》及其他法律法規(guī)中的相關(guān)條款進行同步修訂，以在國家層面統(tǒng)籌協(xié)調(diào)部門、地區(qū)差異導(dǎo)致的監(jiān)管規(guī)則沖突及遺漏。

2.細(xì)化數(shù)據(jù)出境規(guī)則，增強數(shù)據(jù)主動出境國家安全治理規(guī)則的可操作性。一是明確重要數(shù)據(jù)的概念。清晰界定重要數(shù)據(jù)的內(nèi)涵與外延是落實數(shù)據(jù)分級分類保護原則的關(guān)鍵，也是監(jiān)管數(shù)據(jù)主動出境以維護國家安全的前提。雖然《數(shù)據(jù)安全法》《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》及《數(shù)據(jù)出境安全評估辦法（征求意見稿）》中均未能明確重要數(shù)據(jù)的范圍，但是也有個別立法草案中涉及了重要數(shù)據(jù)的定義，如2019年網(wǎng)信辦公布的《數(shù)據(jù)安全管理辦法（征求意見稿）》中將重要數(shù)據(jù)定義為“一旦泄露可能直接影響國家安全、經(jīng)濟安全、社會穩(wěn)定、公共健康和安全的數(shù)據(jù)，如未公開的政府信息，大面積人口、基因健康、地理、礦產(chǎn)資源等”，以及2017年信標(biāo)委公布的《信息安全技術(shù)數(shù)據(jù)出境安全評估指南（征求意見稿）》之附錄A《重要數(shù)據(jù)識別指南》列舉了27個行業(yè)的重要數(shù)據(jù)標(biāo)準(zhǔn)。為了便利監(jiān)管，立法中應(yīng)當(dāng)以法律的形式明確重要數(shù)據(jù)的范圍。在后續(xù)完善立法時，不妨采用“解釋+列舉”的形式對重要數(shù)據(jù)進行定義，并指定《重要數(shù)據(jù)識別指南》為各部門、各地區(qū)確定重要數(shù)據(jù)具體范圍的依據(jù)。此外，《重要數(shù)據(jù)識別指南》中的重要數(shù)據(jù)范圍，也應(yīng)因數(shù)據(jù)技術(shù)發(fā)展和社會環(huán)境變化等，及時由對應(yīng)行業(yè)主管部門參與刪減和修訂，以保障法律的時效性和實效性。

二是盡快出臺《數(shù)據(jù)安全法》等法律法規(guī)中原則、制度、機制的配套實施細(xì)則。在國內(nèi)配套制度方面，要及時頒布行政許可細(xì)則并明確從業(yè)資質(zhì)、主體責(zé)任、安全保障義務(wù)等，以落實“國家支持和促進數(shù)據(jù)安全檢測評估、認(rèn)證”等服務(wù)的要求；同時，要進一步完善包括數(shù)據(jù)出口管制原則、數(shù)據(jù)出境風(fēng)險評估報告制度等其他國內(nèi)數(shù)據(jù)管理配套細(xì)則。在與國際規(guī)則銜接方面，需要制定協(xié)調(diào)國內(nèi)與國際數(shù)據(jù)技術(shù)標(biāo)準(zhǔn)、安全管理規(guī)則的配套細(xì)則，明確國內(nèi)協(xié)調(diào)機構(gòu)的職責(zé)及權(quán)限，授權(quán)協(xié)調(diào)機構(gòu)代表國家參與國際數(shù)據(jù)規(guī)則的研討和制定，以落實“積極開展數(shù)據(jù)領(lǐng)域的國際交流合作”的原則。

3.加強數(shù)據(jù)控制者數(shù)據(jù)出境國家安全保障責(zé)任。數(shù)據(jù)控制者的數(shù)據(jù)出境國家安全保障責(zé)任，可以劃分為內(nèi)部、外部兩個層面，內(nèi)部責(zé)任為數(shù)據(jù)控制者在處理數(shù)據(jù)出境業(yè)務(wù)時應(yīng)盡的自我管理責(zé)任，外部責(zé)任為法律法規(guī)及技術(shù)標(biāo)準(zhǔn)等對數(shù)據(jù)出境處理者的明確要求。外部安全保障責(zé)任往往是針對同一行業(yè)整體的規(guī)范和要求，是數(shù)據(jù)控制者安全保障責(zé)任的最低標(biāo)準(zhǔn)，而內(nèi)部安全保障責(zé)任則可以結(jié)合自身具體業(yè)務(wù)靈活調(diào)整，是數(shù)據(jù)控制者為了獲取競爭優(yōu)勢主動設(shè)立的標(biāo)準(zhǔn)。對于數(shù)據(jù)控制者內(nèi)部安全保障責(zé)任的落實，除了在立法中普遍被關(guān)注的安全管理水平或技術(shù)流程控制，數(shù)據(jù)控制者治理結(jié)構(gòu)的影響常常被忽視。所謂數(shù)據(jù)控制者的治理結(jié)構(gòu)，是指將數(shù)據(jù)安全保障義務(wù)全面融合于數(shù)據(jù)控制者職能部門的權(quán)力分配與運行之中〔12〕。恰當(dāng)?shù)闹卫斫Y(jié)構(gòu)可以將外部責(zé)任有效嵌入數(shù)據(jù)控制者的內(nèi)部管理、技術(shù)流程等業(yè)務(wù)處理過程中，而非成為數(shù)據(jù)控制者運營中的累贅。因此，立法中除了關(guān)注數(shù)據(jù)控制者的管理水平和技術(shù)流程，也應(yīng)適當(dāng)引導(dǎo)和鼓勵數(shù)據(jù)控制者建立妥當(dāng)?shù)闹卫斫Y(jié)構(gòu)，將數(shù)據(jù)出境國家安全保障責(zé)任合理分配到適合的部門。

此外，需要進一步完善數(shù)據(jù)控制者外部安全保障責(zé)任。除了現(xiàn)有的行政處罰和刑事處罰責(zé)任外，可以增加數(shù)據(jù)控制者的責(zé)任，具體來說：一是建立數(shù)據(jù)企業(yè)信用檔案制度，對于在數(shù)據(jù)出境中造成重大國家安全危害或風(fēng)險的數(shù)據(jù)控制者，將責(zé)任單位和人員的不良行為記入企業(yè)信用檔案并向社會公布，在企業(yè)后續(xù)商業(yè)貸款、政府補貼中不予批準(zhǔn)。二是設(shè)立數(shù)據(jù)從業(yè)人員資格認(rèn)證制度。數(shù)據(jù)控制者的特定職務(wù)必須由擁有從業(yè)資格的員工擔(dān)任，并且數(shù)量符合要求，如工信部已于2021年10月18日發(fā)布了《大數(shù)據(jù)從業(yè)人員能力要求》（SJ/T 11788-2021）。三是增加市場禁入措施。對于嚴(yán)重違反數(shù)據(jù)出境法律法規(guī)的人員，禁止其在一定期限內(nèi)直至終身不得從事數(shù)據(jù)出境業(yè)務(wù)，包括擔(dān)任數(shù)據(jù)出境企業(yè)董事、監(jiān)事、高級管理人員或從事數(shù)據(jù)交易等，以及撤銷任職資格或數(shù)據(jù)從業(yè)資格等。

（三）構(gòu)建數(shù)據(jù)被動出境的國家安全治理體系

大國數(shù)據(jù)競爭背景下的數(shù)據(jù)被動出境問題頻發(fā)，數(shù)據(jù)已成為各國重要的情報來源，開展應(yīng)對網(wǎng)絡(luò)攻擊的主動防御，在當(dāng)下具有重要戰(zhàn)略意義和現(xiàn)實意義。不同于受到網(wǎng)絡(luò)攻擊后才采取安全措施的被動防御，主動防御能夠在入侵行為造成嚴(yán)重后果前，提前預(yù)警，掌握防御主動權(quán)，以避免、轉(zhuǎn)移或降低數(shù)據(jù)控制者面臨的安全風(fēng)險。這也是貫徹落實數(shù)據(jù)安全風(fēng)險評估、報告、信息共享、監(jiān)測預(yù)警機制以及數(shù)據(jù)安全應(yīng)急處置機制要求的具體表現(xiàn)。針對我國重要數(shù)據(jù)成為境外網(wǎng)絡(luò)攻擊主要目標(biāo)、依賴國外存在數(shù)據(jù)出境漏洞信息技術(shù)產(chǎn)品、數(shù)據(jù)被動出境防范措施不足且被動的現(xiàn)狀，實現(xiàn)數(shù)據(jù)被動出境的主動防御可以有效防范、減少我國國家安全風(fēng)險。具體來說，構(gòu)建主動防御體系需要：

1.建立境外網(wǎng)絡(luò)攻擊監(jiān)控調(diào)度平臺。若要實現(xiàn)對境外網(wǎng)絡(luò)攻擊的主動防御，防范境內(nèi)數(shù)據(jù)的被動出境風(fēng)險，建立系統(tǒng)實時的國家級網(wǎng)絡(luò)攻擊和數(shù)據(jù)安全監(jiān)測平臺必不可少。平臺的建設(shè)可以實現(xiàn)三個安全治理目標(biāo)：一是統(tǒng)一管理監(jiān)測重要數(shù)據(jù)。在情報領(lǐng)域，如欲最大限度發(fā)揮大數(shù)據(jù)優(yōu)勢，對數(shù)據(jù)的整合利用是關(guān)鍵〔13〕。將各領(lǐng)域重要數(shù)據(jù)匯集于同一個高安全級別系統(tǒng)中進行整合管理，既可以更有效地實現(xiàn)數(shù)據(jù)共享、協(xié)同合作和安全防范，又可以從全方位對數(shù)據(jù)網(wǎng)絡(luò)攻擊進行監(jiān)測和分析，優(yōu)化情報流程，為數(shù)據(jù)安全預(yù)警、應(yīng)急處置提供充足的信息。二是準(zhǔn)確快速判斷網(wǎng)絡(luò)攻擊風(fēng)險。通過預(yù)設(shè)數(shù)據(jù)出境安全威脅庫、網(wǎng)絡(luò)漏洞庫、防御策略庫等網(wǎng)絡(luò)安全知識數(shù)據(jù)庫，結(jié)合人工智能、大數(shù)據(jù)等信息技術(shù)平臺可以實現(xiàn)海量數(shù)據(jù)快速處理、多源異構(gòu)數(shù)據(jù)高效關(guān)聯(lián)處理、動態(tài)數(shù)據(jù)實時在線處理〔14〕，從而精準(zhǔn)快速地識別網(wǎng)絡(luò)爬蟲、撞庫、SQL注入獲取數(shù)據(jù)庫權(quán)限等網(wǎng)絡(luò)攻擊，為啟動防御措施爭取時間。三是提供數(shù)據(jù)安全預(yù)警及安全決策參考。平臺監(jiān)測到國家數(shù)據(jù)安全威脅信息并作出判斷后，可以及時發(fā)布預(yù)警信息，其他相關(guān)數(shù)據(jù)安全部門、數(shù)據(jù)控制者等能夠及時采取安全補救措施，同時數(shù)據(jù)安全主管部門也能作出更科學(xué)準(zhǔn)確的防御決策。

2.形成政府與私營部門協(xié)同防御體系。私營部門與國家是命運共同體、利益共同體，國家安全是私營部門長期穩(wěn)定發(fā)展的基礎(chǔ)。數(shù)據(jù)出境流動中政府與私營部門合作，已是各國常態(tài)。相對于僅由政府進行數(shù)據(jù)出境規(guī)則制定和數(shù)據(jù)出境國家安全監(jiān)測，私營部門作為規(guī)則承受者和數(shù)據(jù)業(yè)務(wù)直接參與者，既可以深刻體會到規(guī)則層面的缺漏和不足，又能夠更及時地察覺實踐層面網(wǎng)絡(luò)攻擊等數(shù)據(jù)被動出境風(fēng)險。私營部門參與數(shù)據(jù)出境安全規(guī)則制定和安全風(fēng)險監(jiān)測，對于推動數(shù)據(jù)出境國家安全治理意義重大。我國有必要形成“以政府為主導(dǎo)，以私營部門為輔助”的數(shù)據(jù)被動出境協(xié)同防御體系，實現(xiàn)政府與私營部門的數(shù)據(jù)出境國家安全聯(lián)動監(jiān)管。

具體來說，要實現(xiàn)協(xié)同防御，可以這些方面為政策導(dǎo)向。一是要強化數(shù)據(jù)泄露出境的溯源能力。私營部門在提供數(shù)據(jù)服務(wù)過程中獲取了眾多可能涉及國家安全的數(shù)據(jù)資源，又往往是海量數(shù)據(jù)的匯集點和泄露源，因此，可以適當(dāng)借鑒美國“受控非密信息”的數(shù)據(jù)標(biāo)識制度，以電子標(biāo)注方式實現(xiàn)數(shù)據(jù)泄露后的可溯源性〔15〕，確保數(shù)據(jù)安全的可管可控。二是要鼓勵私營部門數(shù)據(jù)安全威脅信息共享。我國數(shù)據(jù)安全監(jiān)測仍停留在單主體監(jiān)控層面，應(yīng)當(dāng)以法律法規(guī)為導(dǎo)向，鼓勵私營部門參與到數(shù)據(jù)出境國家安全監(jiān)測預(yù)警中。美國2015年通過的《網(wǎng)絡(luò)安全信息共享法案》規(guī)定，企業(yè)自愿共享網(wǎng)絡(luò)安全威脅信息的，可以豁免受司法追究該共享行為，這值得我國參考借鑒。

3.加強數(shù)據(jù)安全人才培養(yǎng)與財政支持力度。實現(xiàn)我國的數(shù)據(jù)被動出境主動防御，需要進一步完善數(shù)據(jù)安全人才培養(yǎng)制度和配套財政資金支持政策。一方面，數(shù)據(jù)出境國家安全需要數(shù)據(jù)安全專業(yè)人才提供技術(shù)支持，我國應(yīng)當(dāng)及時落地相應(yīng)的數(shù)據(jù)安全人才培養(yǎng)政策，推進數(shù)據(jù)安全人才培訓(xùn)機構(gòu)建設(shè)，積極培養(yǎng)多種層次、復(fù)合知識背景的數(shù)據(jù)安全專業(yè)人才，為我國主動應(yīng)對數(shù)據(jù)出境國家安全風(fēng)險儲備高技術(shù)人才梯隊。為保障數(shù)據(jù)安全培訓(xùn)的有效性，可以參照美國肯塔基州的做法，將培訓(xùn)考核結(jié)果和從業(yè)人員的數(shù)據(jù)訪問權(quán)限掛鉤〔16〕。另一方面，配套財政資金支持政策適當(dāng)向數(shù)據(jù)安全領(lǐng)域傾斜，形成從數(shù)據(jù)安全基礎(chǔ)防護設(shè)施建設(shè)、數(shù)據(jù)安全科技研發(fā)、數(shù)據(jù)安全人才創(chuàng)業(yè)到數(shù)據(jù)安全成果獎勵及保護等多領(lǐng)域、全面性的財政政策支持，促使我國在數(shù)據(jù)出境國家安全領(lǐng)域有更多成果，以保障我國數(shù)字經(jīng)濟能更快、更好、更持續(xù)地健康發(fā)展。

注釋：

①參見2021年10月29日發(fā)布的《數(shù)據(jù)出境安全評估辦法（征求意見稿）》第二條規(guī)定：數(shù)據(jù)處理者向境外提供在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)和依法應(yīng)當(dāng)進行安全評估的個人信息，應(yīng)當(dāng)按照本辦法的規(guī)定進行安全評估。

②對于數(shù)據(jù)權(quán)益保護，目前法律學(xué)界形成了兩種差異較大的思路。一類是不將數(shù)據(jù)獨立視作財產(chǎn)，而是以維護數(shù)據(jù)的控制為基礎(chǔ)對數(shù)據(jù)權(quán)益進行保護；另一類提出要設(shè)立數(shù)據(jù)新型財產(chǎn)權(quán)，對數(shù)據(jù)進行復(fù)雜的財產(chǎn)權(quán)設(shè)計。兩種思路的論證，參見梅夏英：《企業(yè)數(shù)據(jù)權(quán)益原論：從財產(chǎn)到控制》，《中外法學(xué)》2021年第5期；龍衛(wèi)球：《再論企業(yè)數(shù)據(jù)保護的財產(chǎn)權(quán)化路徑》，《東方法學(xué)》2018年第3期。

③參見中國新聞網(wǎng)：《教育部：新疆“毒教材”造成極為嚴(yán)重影響教訓(xùn)極其深刻》，http：//www.chinanews.com/gn/2021/ 04-20/9459176.shtml。

④參見中華人民共和國科學(xué)技術(shù)部：《行政處罰決定書國科罰〔2015〕2號》，https：//fuwu.most.gov.cn/html/rlycxzcf/ 20150907/123123231.html。

⑤當(dāng)前也有學(xué)者以“個人控制論”為基礎(chǔ)，提出了以信息是否經(jīng)由“權(quán)利人”主動性流出為標(biāo)準(zhǔn)，劃分為有意識的故意流出、無意識的過失流出、被侵權(quán)流出以及無侵權(quán)的授權(quán)流出四種分類。然而，如前文所述，對于數(shù)據(jù)的權(quán)屬目前學(xué)術(shù)界和實踐領(lǐng)域并未形成共識，甚至存在較大爭議。在這種情形下，以數(shù)據(jù)權(quán)屬歸于個人作為大前提，來討論數(shù)據(jù)出境安全問題，難免導(dǎo)致研究的結(jié)論建議與我國現(xiàn)有法律法規(guī)體系難以銜接，無法實踐。而以主動出境與被動出境來區(qū)分，則主動出境下的數(shù)據(jù)控制者故意或過失責(zé)任，可以納入我國現(xiàn)有數(shù)據(jù)出境法律規(guī)則進行監(jiān)管；意外事件導(dǎo)致的被動出境，在明確數(shù)據(jù)控制者已完全履行責(zé)任并不可控制、不可預(yù)見損害結(jié)果的情況下，則可以避免對數(shù)據(jù)控制者進行“一刀切”式的處理和懲罰。

⑥參見騰訊科技網(wǎng)：《周良軍：華為每個月受到五六十萬次網(wǎng)絡(luò)攻擊》，https：//tech.qq.com/a/20130711/012139.htm；IT之家網(wǎng)：《華為高管：我們每天受到全球約100萬次網(wǎng)絡(luò)攻擊》，https：//www.ithome.com/0/451/519.htm。

⑦參見新華網(wǎng)：《美國思科路由器預(yù)置“后門”意欲何為》，http：//www.xinhuanet.com/world/2014-05/26/c_11108670 64.htm。

參考文獻：

〔1〕European Commission. Free Flow of Non-personal Dat〔EB/OL〕.https：//digital-strategy.ec.europa.eu/en/policies/nonpersonal-data.

〔2〕馬其家，李曉楠.論我國數(shù)據(jù)跨境流動監(jiān)管規(guī)則的構(gòu)建〔J〕.法治研究，2021（01）：91-101.

〔3〕張鳳.地理空間情報與國防安全：從非法測繪談起〔J〕.國防，2015（08）：78-79.

〔4〕賈宗仁.自動駕駛汽車?yán)锏牡貓D〔J〕.中國測繪，2019（04）：27-31.

〔5〕王偉英，朱蘭蘭.不動產(chǎn)登記檔案信息安全風(fēng)險探析〔J〕.檔案管理，2020（03）：57-58.

〔6〕董克，邱均平.論大數(shù)據(jù)環(huán)境對情報學(xué)發(fā)展的影響〔J〕.情報學(xué)報，2017（09）：886-893.

〔7〕高富平.數(shù)據(jù)流通理論數(shù)據(jù)資源權(quán)利配置的基礎(chǔ)〔J〕.中外法學(xué)，2019（06）：1405-1424.

〔8〕梅宏.數(shù)據(jù)治理之論〔M〕.北京：中國人民大學(xué)出版社，2020.

〔9〕盛祥，宋凱.大數(shù)據(jù)時代美國網(wǎng)絡(luò)空間戰(zhàn)略體系研究〔J〕.信息資源管理學(xué)報，2019（02）：46-57.

〔10〕鄭倫幸.技術(shù)標(biāo)準(zhǔn)與專利權(quán)融合的制度挑戰(zhàn)及應(yīng)對〔J〕.科技進步與對策，2018（12）：139-144.

〔11〕王秉，朱媛媛.大數(shù)據(jù)環(huán)境下國家生物安全情報工作體系構(gòu)建〔J〕.情報雜志，2021（06）：82-88+155.

〔12〕張敏，馬民虎.國家安全視域下網(wǎng)絡(luò)服務(wù)提供者之網(wǎng)絡(luò)安全義務(wù)的“保障”轉(zhuǎn)型〔J〕.情報雜志，2020（06）：45-53.

〔13〕吳承義，唐笑虹.大數(shù)據(jù)時代國家安全情報面臨的變革與挑戰(zhàn)〔J〕.情報雜志，2020（06）：1-6.

〔14〕賈焰，方濱興，李愛平，等.基于人工智能的網(wǎng)絡(luò)空間安全防御戰(zhàn)略研究〔J〕.中國工程科學(xué)，2021（03）：98-105.

〔15〕周亞超，左曉棟.美國受控非密信息分類與安全控制解析〔J〕.網(wǎng)絡(luò)空間安全，2020（03）：12-17.

〔16〕王正青，但金鳳.如何構(gòu)建教育數(shù)據(jù)治理體系：美國肯塔基州的成功經(jīng)驗〔J〕.現(xiàn)代遠(yuǎn)程教育研究，2021（01）：77-86.

責(zé)任編輯楊在平