徐瑛晗 紀(jì)孟汝

(中南財(cái)經(jīng)政法大學(xué)知識(shí)產(chǎn)權(quán)研究中心 武漢 430073)

0 引 言

數(shù)字經(jīng)濟(jì)時(shí)代，相較于傳統(tǒng)國(guó)際投資貿(mào)易，數(shù)據(jù)跨境流動(dòng)成為了各國(guó)競(jìng)相爭(zhēng)奪的新戰(zhàn)略高地。雖說(shuō)數(shù)據(jù)跨境流動(dòng)對(duì)于智能化革命大有裨益，但同時(shí)暗礁極多，如若數(shù)據(jù)流動(dòng)洶涌無(wú)序，對(duì)個(gè)人、企業(yè)乃至國(guó)家風(fēng)險(xiǎn)甚猛。為破除數(shù)據(jù)流動(dòng)風(fēng)險(xiǎn)，國(guó)與國(guó)之間制定了白名單互免規(guī)則，全球兩大數(shù)據(jù)保護(hù)監(jiān)管框架為歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)與美國(guó)推動(dòng)的APEC《跨境隱私規(guī)則體系》(CBPR)。GDPR設(shè)置了充分性認(rèn)定標(biāo)準(zhǔn)但普及率低，白名單中僅十余國(guó)家(地區(qū))且不含我國(guó)，而CBPR采取自愿問(wèn)責(zé)制，雖與行業(yè)自律難劃等號(hào)，但終究不具備強(qiáng)制力[1]。此外，以新型國(guó)家為主體的《東盟數(shù)字一體化框架》(ASEAN DIF)內(nèi)部發(fā)展差異較大，且面臨被削弱乃至邊緣化的風(fēng)險(xiǎn)[2]。于我國(guó)而言，2021年11月1日，《個(gè)人信息保護(hù)法》生效，至此《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》與《個(gè)人信息保護(hù)法》搭建起個(gè)人數(shù)據(jù)跨境流動(dòng)風(fēng)險(xiǎn)防范之粲然架構(gòu)[3]。從長(zhǎng)遠(yuǎn)看，企圖實(shí)施數(shù)據(jù)畫(huà)疆而治爭(zhēng)奪他國(guó)治外法權(quán)，抑或嚴(yán)苛的數(shù)據(jù)本地化保護(hù)意指淤塞流通以形成數(shù)據(jù)壁壘皆不可取，未來(lái)全球數(shù)據(jù)跨境政策主方向應(yīng)當(dāng)是依法、合規(guī)、有序流動(dòng)。

在此全球趨勢(shì)下，我國(guó)學(xué)術(shù)界對(duì)數(shù)據(jù)跨境流動(dòng)監(jiān)管桎梏與解決方法的理論研討已從多視角展開(kāi)，如：中外跨境數(shù)據(jù)流動(dòng)法律監(jiān)管的比較分析[4]，數(shù)據(jù)跨境流動(dòng)治理邏輯與趨勢(shì)[5]，數(shù)據(jù)主權(quán)視野下的我國(guó)數(shù)據(jù)跨境流動(dòng)治理對(duì)策[6]，某一領(lǐng)域數(shù)據(jù)跨境流動(dòng)合規(guī)管理等[7]。綜合而言，現(xiàn)有研究不乏對(duì)數(shù)據(jù)跨境流動(dòng)問(wèn)題的剖解勾勒，對(duì)數(shù)據(jù)安全監(jiān)管不足的拷問(wèn)也不絕于耳，然而，在數(shù)據(jù)跨境全過(guò)程風(fēng)險(xiǎn)管控的法理支持和流程設(shè)計(jì)上，卻難尋制度的精準(zhǔn)指引。申言之，數(shù)據(jù)跨境流動(dòng)風(fēng)險(xiǎn)規(guī)避的必要性自不待言，而主要爭(zhēng)點(diǎn)還在于全流程階段性風(fēng)險(xiǎn)評(píng)估制度模式。在個(gè)人數(shù)據(jù)跨境流動(dòng)過(guò)程中，應(yīng)當(dāng)根據(jù)不同階段的不同數(shù)據(jù)安全監(jiān)管訴求，給出具有明確導(dǎo)向性的規(guī)則指引，以保證數(shù)據(jù)跨境全流程有序監(jiān)管。就此，本文擬對(duì)比歐美國(guó)家與地區(qū)最新研究動(dòng)態(tài)，類(lèi)比援引我國(guó)環(huán)境“三同時(shí)”制度，以數(shù)據(jù)跨境流動(dòng)價(jià)值論與風(fēng)險(xiǎn)分析為基，系統(tǒng)介紹“三同時(shí)”制度在數(shù)據(jù)保護(hù)中的獨(dú)特作用，希冀為我國(guó)完善制度體系提供一隅之見(jiàn)。

1 個(gè)人數(shù)據(jù)跨境流動(dòng)：隱憂(yōu)與風(fēng)險(xiǎn)監(jiān)管困境

就風(fēng)險(xiǎn)社會(huì)理論而言，現(xiàn)代風(fēng)險(xiǎn)大多是被制造出來(lái)的，社會(huì)形態(tài)呈現(xiàn)出多元、混合與共生的復(fù)雜趨勢(shì)后，生態(tài)惡化、群體性沖突等公共安全問(wèn)題緊接著就集中爆發(fā)[8]。當(dāng)前數(shù)據(jù)跨境流動(dòng)正酣，數(shù)據(jù)流動(dòng)愈頻繁，隱憂(yōu)與風(fēng)險(xiǎn)愈多，這是現(xiàn)代化的悖論，也促成了風(fēng)險(xiǎn)社會(huì)難以控制的特征。實(shí)際上，恰如酸雨無(wú)壁壘地侵蝕建筑物、森林與湖水，數(shù)據(jù)風(fēng)險(xiǎn)早已脫離了始發(fā)地而串聯(lián)全球，這意味著數(shù)據(jù)操縱者、使用者同樣是數(shù)據(jù)原始產(chǎn)生者。也就是說(shuō)，數(shù)據(jù)風(fēng)險(xiǎn)擴(kuò)散體現(xiàn)了“回旋鏢效應(yīng)”，數(shù)據(jù)風(fēng)險(xiǎn)的制造者早晚會(huì)與風(fēng)險(xiǎn)再次邂逅，不論階層差異抑或人種區(qū)別，都被裹挾進(jìn)了數(shù)據(jù)風(fēng)險(xiǎn)旋渦[9]。

1.1 個(gè)人數(shù)據(jù)跨境流動(dòng)隱憂(yōu)

個(gè)人數(shù)據(jù)跨境流動(dòng)主要涉及數(shù)據(jù)傳輸、存儲(chǔ)與應(yīng)用三環(huán)節(jié)[10]，具體來(lái)說(shuō)風(fēng)險(xiǎn)主要聚焦于以下方面：

1.1.1跨境數(shù)據(jù)攻擊迭代，私權(quán)侵害頻仍

數(shù)據(jù)跨境流動(dòng)中，搜集個(gè)人數(shù)據(jù)的設(shè)備或應(yīng)用幾乎無(wú)孔不入，互聯(lián)網(wǎng)驅(qū)動(dòng)企業(yè)獲取、分析敏感數(shù)據(jù)后，對(duì)用戶(hù)進(jìn)行分類(lèi)畫(huà)像，能夠精準(zhǔn)營(yíng)銷(xiāo)與廣告投放[11]。緣于數(shù)據(jù)價(jià)值攀升，以個(gè)人數(shù)據(jù)為目標(biāo)的跨境攻擊已形成黑灰產(chǎn)業(yè)鏈，攻擊者由獨(dú)立黑客發(fā)展為專(zhuān)業(yè)團(tuán)體，攻擊對(duì)象則從個(gè)人終端升級(jí)為泛在網(wǎng)絡(luò)。如2021年初印度支付公司Juspay服務(wù)器超一億用戶(hù)ID泄露后，借記卡信息隨即在“暗網(wǎng)”流通；更有甚者，無(wú)法識(shí)別出個(gè)人ID的數(shù)據(jù)經(jīng)算法加持整合也可復(fù)原，換言之，絕對(duì)數(shù)據(jù)匿名化已然不復(fù)存在[12]。除個(gè)人數(shù)據(jù)跨境流動(dòng)風(fēng)險(xiǎn)外，還有企業(yè)數(shù)據(jù)庫(kù)頻遭惡意入侵。黑客利用漏洞跨境竊取數(shù)據(jù)，通過(guò)勒索軟件加密設(shè)備，隨后被竊取數(shù)據(jù)將遭受“雙重勒索”，即企業(yè)欲恢復(fù)系統(tǒng)需支付贖金，否則會(huì)受到數(shù)據(jù)泄露威脅。2021年5月，來(lái)自東歐的DarkSide經(jīng)濟(jì)效益之間的關(guān)系也大RaaS勒索病毒模式，造成負(fù)責(zé)美國(guó)東岸近半數(shù)油管運(yùn)輸?shù)腃olonial Pipeline公司停業(yè)，汽油、家用油乃至軍用油全部受到嚴(yán)重沖擊[13]。

1.1.2數(shù)據(jù)國(guó)際博弈激化，主權(quán)挑戰(zhàn)疊加

近年來(lái)境外政府背景APT黑客針對(duì)明確目標(biāo)的隱蔽性極強(qiáng)的網(wǎng)絡(luò)攻擊模式)試圖控制我國(guó)核心設(shè)施，具體手段包括利用特種木馬，對(duì)航空系統(tǒng)實(shí)施高強(qiáng)度攻擊；搭建釣魚(yú)平臺(tái)，向軍民融合領(lǐng)域蔓延，發(fā)送郵件致使軍工研究數(shù)百份敏感文件被盜等[14]。境外間諜已超越傳統(tǒng)安全領(lǐng)域，甚而滲透至我國(guó)國(guó)土，如某海洋公益組織近年接受境外非政府組織資助，在我國(guó)海岸線(xiàn)設(shè)立垃圾監(jiān)測(cè)點(diǎn)，搜集數(shù)據(jù)并向境外提供。作為國(guó)家重要戰(zhàn)略資源，數(shù)據(jù)在混沌局面下不可全然孤島化為國(guó)家財(cái)產(chǎn)，而跨境流動(dòng)則意味著國(guó)家需讓渡部分管轄權(quán)，這就加大了治理邊界的模糊性與動(dòng)態(tài)性。同時(shí)，國(guó)際規(guī)則缺乏與沖突亦增添了國(guó)家謀求數(shù)據(jù)保護(hù)共識(shí)成本，造成數(shù)據(jù)安全治理碎片化[15]。在此局面下，為著力實(shí)現(xiàn)恰到好處的數(shù)據(jù)本土化與健全的跨境流動(dòng)制度，更需依賴(lài)細(xì)致的數(shù)據(jù)跨境風(fēng)險(xiǎn)評(píng)估規(guī)則。

1.2 我國(guó)個(gè)人數(shù)據(jù)跨境流動(dòng)風(fēng)險(xiǎn)監(jiān)管困境

對(duì)數(shù)據(jù)跨境風(fēng)險(xiǎn)采取騎墻觀望態(tài)度斷不可取，而僅以技術(shù)變革程度判定是否需翻新現(xiàn)有制度亦難謂恰當(dāng)。新制度是否行之有效抑或僅是屠龍之術(shù)，應(yīng)從技術(shù)對(duì)社會(huì)關(guān)系的影響出發(fā)，研究制度所蘊(yùn)含的風(fēng)險(xiǎn)回應(yīng)能力。數(shù)據(jù)跨境風(fēng)險(xiǎn)評(píng)估，當(dāng)本土實(shí)踐與全球性規(guī)則沖突時(shí)需明確客觀立場(chǎng)，具體行業(yè)應(yīng)用時(shí)需因勢(shì)利導(dǎo)，這都無(wú)法逃脫對(duì)現(xiàn)有制度的精準(zhǔn)詮釋。接下來(lái)，將圍繞現(xiàn)有數(shù)據(jù)跨境風(fēng)險(xiǎn)評(píng)估規(guī)定，剖析毫厘、擘肌分理，以求抓取我國(guó)現(xiàn)行風(fēng)險(xiǎn)評(píng)估困境。

1.2.1《數(shù)據(jù)安全法》是跨境風(fēng)險(xiǎn)規(guī)制的初級(jí)屏障

《數(shù)據(jù)安全法》加強(qiáng)了國(guó)家總體安全觀指引下的數(shù)據(jù)安全治理，在《網(wǎng)絡(luò)安全法》的基礎(chǔ)上進(jìn)一步提出重要數(shù)據(jù)跨境要求。從第24條數(shù)據(jù)安全審查制度、第25條的數(shù)據(jù)出口管制、26條數(shù)據(jù)領(lǐng)域下的反制裁對(duì)等措施、第36條謹(jǐn)慎處理域外沖突管轄與證據(jù)調(diào)取問(wèn)題等可見(jiàn)，其已然建立起了數(shù)據(jù)跨境流動(dòng)風(fēng)險(xiǎn)規(guī)制的一道初步屏障，劃定出數(shù)據(jù)跨境規(guī)范約束的基本邊界。盡管如此，《數(shù)據(jù)安全法》制定目的在于為后續(xù)配套規(guī)定奠定合法基礎(chǔ)，條文多具有統(tǒng)領(lǐng)性，具體數(shù)據(jù)出境管理辦法尚未提及。換言之，其在提升我國(guó)數(shù)據(jù)主權(quán)優(yōu)勢(shì)、重塑數(shù)據(jù)國(guó)際規(guī)則方面意義重大，而對(duì)于個(gè)人與企業(yè)數(shù)據(jù)合規(guī)方面，仍需參照網(wǎng)信部會(huì)同國(guó)務(wù)院其他部門(mén)的規(guī)定。

1.2.2《個(gè)人信息保護(hù)法》難尋風(fēng)險(xiǎn)評(píng)估適用的精確指引

《個(gè)人信息保護(hù)法》明確了我國(guó)“長(zhǎng)臂管轄”的適用情形，首次將效力延伸至境外主體在境外的活動(dòng)，且較為清晰地提出了分類(lèi)分級(jí)個(gè)人信息跨境提供方式，在個(gè)人知情同意之外創(chuàng)設(shè)了新型處理個(gè)人信息的合法事由。其中，第三章以自由與安全為基本原則，對(duì)內(nèi)合規(guī)與對(duì)外博弈兩大面向，構(gòu)建了個(gè)人信息跨境提供規(guī)則，改變了以往個(gè)人信息跨境流動(dòng)制度效力位階低且不成體系的狀況。然而，制度框架清晰并非意味著規(guī)則必定翔實(shí)，實(shí)質(zhì)上該法僅第40條規(guī)定了安全評(píng)估規(guī)則，提及處理信息達(dá)到規(guī)定數(shù)量的個(gè)人信息提供者，應(yīng)將信息儲(chǔ)存在境內(nèi)，確需向境外提供應(yīng)通過(guò)國(guó)家網(wǎng)信部門(mén)組織的安全評(píng)估，具體評(píng)估方式、手續(xù)、流程等語(yǔ)焉不詳，無(wú)法為風(fēng)險(xiǎn)評(píng)估提供精確指引。

1.2.3《數(shù)據(jù)出境安全評(píng)估辦法(征求意見(jiàn)稿)》缺乏數(shù)據(jù)持續(xù)追蹤監(jiān)管

為完善《個(gè)人信息保護(hù)法》等上位法規(guī)定，《數(shù)據(jù)出境安全評(píng)估辦法(征求意見(jiàn)稿)》(下文簡(jiǎn)稱(chēng)《征求意見(jiàn)稿》)細(xì)化了數(shù)據(jù)出境合同要求、評(píng)估對(duì)象與事項(xiàng)等[16]，表面上力求在數(shù)據(jù)流動(dòng)全程做到持續(xù)監(jiān)督，然則逐一品味仍有以下困境：首先，第4條規(guī)定應(yīng)進(jìn)行安全評(píng)估的情形為信息數(shù)量多少。實(shí)際上以數(shù)量為判斷標(biāo)準(zhǔn)，不僅存在數(shù)量波動(dòng)導(dǎo)致的認(rèn)定難題，還易出現(xiàn)“螞蟻搬家”的規(guī)避方式。即數(shù)據(jù)擁有者可能將數(shù)據(jù)存儲(chǔ)在不同子系統(tǒng)，或者以多個(gè)關(guān)聯(lián)公司名義處理數(shù)據(jù)，以規(guī)避處理達(dá)到量級(jí)所帶來(lái)的安全評(píng)估要求。其次，第9條與第12條皆提及境外接收方發(fā)生變化的情況，第9條規(guī)定需在合同中約定此種情況應(yīng)采取的安全措施，第12條則談到數(shù)據(jù)處理者需重新申報(bào)評(píng)估，然而何謂“變化”卻未曾說(shuō)明。數(shù)據(jù)接收方法律環(huán)境轉(zhuǎn)變、實(shí)質(zhì)控制權(quán)變更等因素納入“變化”范疇不容爭(zhēng)辯，而實(shí)踐中其他情形確難列舉，基于此，或許忽視“變化”情形，對(duì)跨境數(shù)據(jù)流動(dòng)進(jìn)行持續(xù)監(jiān)測(cè)才更為安全。最后，對(duì)于境外接收方數(shù)據(jù)安全標(biāo)準(zhǔn)，意見(jiàn)稿未作要求。在我國(guó)目前與歐盟、美國(guó)等主要法域不存在充分性保護(hù)認(rèn)定或者雙邊協(xié)議之時(shí)，只能在個(gè)案中逐一判斷，這就回歸到第二點(diǎn)所提到的，目前階段對(duì)數(shù)據(jù)流動(dòng)進(jìn)行持續(xù)追蹤方可最大化規(guī)避風(fēng)險(xiǎn)。

總言之，我國(guó)現(xiàn)存數(shù)據(jù)跨境風(fēng)險(xiǎn)評(píng)估制度，多注重?cái)?shù)據(jù)出境前的風(fēng)險(xiǎn)自評(píng)估、合同審查等預(yù)防規(guī)則，而數(shù)據(jù)后續(xù)同步追蹤與監(jiān)管規(guī)則稍遜一籌，這就意味著，克服數(shù)據(jù)同步追蹤監(jiān)管不利局面，需考量其他有效制度補(bǔ)強(qiáng)。環(huán)境影響評(píng)價(jià)與數(shù)據(jù)跨境風(fēng)險(xiǎn)評(píng)估相類(lèi)似，重在事前預(yù)防，而“三同時(shí)”制度不僅具備預(yù)防功能，且可進(jìn)行事中監(jiān)管，兼具“防”與“治”的功能[17]，能夠與環(huán)境影響評(píng)價(jià)制度呼應(yīng)，最大限度減輕環(huán)境污染。下文以環(huán)境“三同時(shí)”制度為參照，結(jié)合現(xiàn)有實(shí)踐，嘗試從數(shù)據(jù)跨境流動(dòng)的三階段提出風(fēng)險(xiǎn)評(píng)估“三同時(shí)”制度框架，完善個(gè)人數(shù)據(jù)跨境流動(dòng)安全評(píng)估體系。

2 環(huán)境保護(hù)“三同時(shí)”制度：類(lèi)比適用可行性與經(jīng)濟(jì)正當(dāng)性

第四次工業(yè)革命時(shí)代，數(shù)據(jù)是新石油，二者雖皆為經(jīng)濟(jì)發(fā)展的推進(jìn)燃料，卻無(wú)法持續(xù)自發(fā)實(shí)現(xiàn)“穩(wěn)”中求“進(jìn)”，隱憂(yōu)與機(jī)遇共存。石油危機(jī)與數(shù)據(jù)風(fēng)險(xiǎn)具有相似性，治理石油危機(jī)的環(huán)境法制度為解決數(shù)據(jù)跨境流動(dòng)風(fēng)險(xiǎn)所借用也未嘗不可[18]。其中，數(shù)據(jù)同步追蹤與監(jiān)管規(guī)則缺位，恰可從環(huán)境“三同時(shí)”制度中找尋類(lèi)比依據(jù)。

2.1 風(fēng)險(xiǎn)預(yù)防與控制：“三同時(shí)”制度類(lèi)比適用的銜接點(diǎn)

“三同時(shí)”制度體現(xiàn)在《環(huán)境保護(hù)法》第41條中，該條文規(guī)定建設(shè)項(xiàng)目中防治污染的設(shè)施，應(yīng)當(dāng)與主體工程同時(shí)設(shè)計(jì)、同時(shí)施工、同時(shí)投產(chǎn)使用[19]。相對(duì)于少污染或不污染，“三同時(shí)”制度貫穿項(xiàng)目整個(gè)生命周期，環(huán)保設(shè)施與主體工程在空間上并存、時(shí)間上繼起，以保證二者之間不可分性得以恒定[20]。

之所以需萬(wàn)目睽睽般監(jiān)測(cè)項(xiàng)目始終，原因還在于環(huán)境風(fēng)險(xiǎn)普遍具有科學(xué)不確定性特征，而這恰恰是數(shù)據(jù)跨境流動(dòng)的典型體現(xiàn)。換言之，預(yù)防環(huán)境風(fēng)險(xiǎn)與數(shù)據(jù)危機(jī)都需在決策與新的未知之間不斷徘徊：在當(dāng)下于風(fēng)險(xiǎn)中決策，在未來(lái)持續(xù)性動(dòng)態(tài)調(diào)整，這是二者的相似寫(xiě)照。桑斯坦認(rèn)為，“風(fēng)險(xiǎn)來(lái)臨時(shí)，不采取措施會(huì)與預(yù)防原則相沖突，但采取措施恐帶來(lái)新型風(fēng)險(xiǎn)，這同樣與風(fēng)險(xiǎn)預(yù)防原則相抵?！盵21]當(dāng)制度后果不確定與確定共存時(shí)，風(fēng)險(xiǎn)預(yù)防措施與規(guī)定的審議應(yīng)是反思性的動(dòng)態(tài)調(diào)試過(guò)程，在必要時(shí)可允許修訂或顛覆原有判斷。也就是說(shuō)，數(shù)據(jù)或環(huán)境“三同時(shí)”制度，并不存在終局性的規(guī)制方式，數(shù)據(jù)跨境流動(dòng)審查應(yīng)當(dāng)在底層共識(shí)基礎(chǔ)上，針對(duì)個(gè)案進(jìn)行持續(xù)性再調(diào)整，依據(jù)實(shí)施情況予以保留、變更或刪除[22]，打造以變應(yīng)變的規(guī)制體系。

循此原則思路，類(lèi)比環(huán)境“三同時(shí)”制度流程，可將數(shù)據(jù)跨境流動(dòng)階段分為數(shù)據(jù)流動(dòng)初始意向階段、流通規(guī)劃實(shí)施階段與數(shù)據(jù)后續(xù)提供使用階段，分別對(duì)應(yīng)“三同時(shí)”制度的設(shè)計(jì)、施工與投產(chǎn)使用。同樣，項(xiàng)目主體工程與防治污染設(shè)施，映射數(shù)據(jù)跨境流動(dòng)中的數(shù)據(jù)流動(dòng)主體程序與數(shù)據(jù)安全審核程序，類(lèi)比說(shuō)明如圖1所示。

圖1 數(shù)據(jù)跨境流動(dòng)“三同時(shí)”制度類(lèi)比

2.2 經(jīng)濟(jì)正當(dāng)性：跨越環(huán)境庫(kù)茨涅茲曲線(xiàn)拐點(diǎn)之需

盡管以風(fēng)險(xiǎn)預(yù)防與控制為銜接點(diǎn)，在個(gè)人數(shù)據(jù)跨境流動(dòng)風(fēng)險(xiǎn)評(píng)估程序中可類(lèi)比“三同時(shí)”制度，但單靠數(shù)據(jù)主體自發(fā)適用，其功能也難以有效發(fā)揮。按照公共選擇理論歸結(jié)，任何系統(tǒng)都是按照最有利于目標(biāo)實(shí)現(xiàn)的方向選擇制度工具，當(dāng)“三同時(shí)”制度上升至國(guó)家法律層面，意味著對(duì)數(shù)據(jù)自由流動(dòng)的限制，同樣證明國(guó)家安全價(jià)值在此悄然優(yōu)位。這樣一來(lái)，降低數(shù)據(jù)私權(quán)侵害使得數(shù)據(jù)主體收益，而制定與實(shí)施該制度的成本則由國(guó)家所承擔(dān)。問(wèn)題是，國(guó)家制定與實(shí)施該制度的激勵(lì)何在？以下結(jié)合環(huán)境庫(kù)茨涅茲曲線(xiàn)作出經(jīng)濟(jì)正當(dāng)性說(shuō)明。

環(huán)境庫(kù)茲涅茨曲線(xiàn)(見(jiàn)圖2)描述了人均GDP與環(huán)境污染的關(guān)系：在人均收入較低水平上，污染水平隨收入增長(zhǎng)而上升；但在收入較高時(shí)，污染水平卻隨收入增長(zhǎng)而遞減。由環(huán)境質(zhì)量惡化到改善之拐點(diǎn)的出現(xiàn)，與經(jīng)濟(jì)增長(zhǎng)引致的規(guī)模、結(jié)構(gòu)效應(yīng)有關(guān)。直觀而言，倒U型曲線(xiàn)有其合理性，但經(jīng)濟(jì)增長(zhǎng)致使環(huán)境改善的過(guò)程并不自動(dòng)發(fā)生，意即不可簡(jiǎn)單將經(jīng)濟(jì)增長(zhǎng)與環(huán)境污染相對(duì)立。產(chǎn)業(yè)結(jié)構(gòu)變遷因綠色政策管制所致，尤其是高排放制造業(yè)為主的經(jīng)濟(jì)體，需要釜底抽薪式的嚴(yán)格政策。在此意義上，環(huán)境“三同時(shí)”制度是依賴(lài)政策正向構(gòu)建促進(jìn)拐點(diǎn)早日跨越的典型代表。

圖2 環(huán)境庫(kù)茲涅茨曲線(xiàn)

環(huán)境治理必將付出經(jīng)濟(jì)成本，而數(shù)據(jù)風(fēng)險(xiǎn)與數(shù)據(jù)主體經(jīng)濟(jì)效益之間的關(guān)系也大致呈現(xiàn)為倒U型曲線(xiàn)(見(jiàn)圖3)：起初作為數(shù)據(jù)主體的企業(yè)或個(gè)人有數(shù)據(jù)跨境交易需求，但何種數(shù)據(jù)需嚴(yán)苛審查、何種數(shù)據(jù)保密程度較高抑或數(shù)據(jù)流動(dòng)潛在社會(huì)危害性尚未可知，隨著數(shù)據(jù)主體產(chǎn)業(yè)規(guī)模擴(kuò)大，在跨境貿(mào)易或其他促使數(shù)據(jù)流通的活動(dòng)中將導(dǎo)致數(shù)據(jù)安全風(fēng)險(xiǎn)持續(xù)攀升至一最高點(diǎn)(圖3拐點(diǎn)1)。之后根據(jù)前期數(shù)據(jù)跨境經(jīng)驗(yàn)，大致可明確數(shù)據(jù)風(fēng)險(xiǎn)等級(jí)與審查流程，再伴隨數(shù)據(jù)主體規(guī)模擴(kuò)大，相關(guān)管理制度與數(shù)據(jù)審查技術(shù)水平都將逐步完善，此時(shí)數(shù)據(jù)風(fēng)險(xiǎn)較前期而言將得到有效控制。數(shù)據(jù)跨境流動(dòng)“三同時(shí)”制度作為一種審查數(shù)據(jù)風(fēng)險(xiǎn)的及時(shí)制度，并非以迂回式抑負(fù)性控制為特征，而是積極增益的方式激勵(lì)數(shù)據(jù)主體自發(fā)適用，促使數(shù)據(jù)風(fēng)險(xiǎn)盡快回落(如圖3虛線(xiàn)所示)。進(jìn)而言之，囿于數(shù)據(jù)利益具有外溢性，數(shù)據(jù)主體在跨境傳輸中所追求的數(shù)據(jù)安全并非由他們個(gè)人獨(dú)占，而是形成數(shù)據(jù)安全利益的公共享用，最終由制度調(diào)整的數(shù)據(jù)模式將可取得預(yù)期理想的社會(huì)秩序。

圖3 數(shù)據(jù)主體經(jīng)濟(jì)效益與數(shù)據(jù)風(fēng)險(xiǎn)關(guān)系

3 個(gè)人數(shù)據(jù)跨境流動(dòng)“三同時(shí)”制度的具體構(gòu)建

援引環(huán)境“三同時(shí)”制度，環(huán)境項(xiàng)目主體工程與防治污染措施分別對(duì)應(yīng)個(gè)人數(shù)據(jù)跨境流動(dòng)中的數(shù)據(jù)流動(dòng)主體程序與安全審核程序，對(duì)比環(huán)境“三同時(shí)”的設(shè)計(jì)、施工、投產(chǎn)使用，可將數(shù)據(jù)跨境流動(dòng)分為流動(dòng)初始意向階段、流動(dòng)規(guī)劃實(shí)施階段與數(shù)據(jù)后續(xù)提供使用階段，每階段監(jiān)管方式總結(jié)如圖4所示，接下來(lái)分述每部分制度的具體構(gòu)建。

圖4 個(gè)人數(shù)據(jù)跨境流動(dòng)“三同時(shí)”制度構(gòu)建

3.1 數(shù)據(jù)流動(dòng)初始意向階段：標(biāo)準(zhǔn)化合同中的動(dòng)態(tài)風(fēng)險(xiǎn)防控機(jī)制

由于數(shù)據(jù)存在一定不可逆性，數(shù)據(jù)跨境風(fēng)險(xiǎn)評(píng)估應(yīng)重在預(yù)防，聚焦于跨境前端程序。以歐洲數(shù)據(jù)委員會(huì)(EDPB)頒布的標(biāo)準(zhǔn)合同條款(Standard Contractual Clauses，SCCs)為例[23]，作為充分性保護(hù)的替代機(jī)制，一方面，歐盟以業(yè)務(wù)關(guān)聯(lián)為標(biāo)準(zhǔn)，簡(jiǎn)化了因數(shù)據(jù)跨境參與方眾多而導(dǎo)致的標(biāo)準(zhǔn)不一現(xiàn)象；另一方面，模塊化合同條款又兼顧了多方主體數(shù)據(jù)控制能力的差異性[24]。我國(guó)《征求意見(jiàn)稿》第9條已對(duì)數(shù)據(jù)處理者與境外接收方應(yīng)在合同中約定的義務(wù)做出簡(jiǎn)要規(guī)定，但這僅為標(biāo)準(zhǔn)化合同的基本路徑，并非全然類(lèi)型化的合同范本，且尚未銜接《數(shù)據(jù)安全法》第三章的數(shù)據(jù)安全制度。為實(shí)現(xiàn)數(shù)據(jù)跨境前端的風(fēng)險(xiǎn)有效治理，應(yīng)當(dāng)滿(mǎn)足合同中國(guó)家安全公法義務(wù)與個(gè)人保護(hù)私法規(guī)則的有效嵌套，細(xì)化合同履行標(biāo)準(zhǔn)。具體來(lái)說(shuō)，可從模塊化數(shù)據(jù)匯集處理、伴隨數(shù)據(jù)風(fēng)險(xiǎn)等級(jí)變化而設(shè)置應(yīng)急響應(yīng)處置機(jī)制、規(guī)定數(shù)據(jù)處理限制措施三方面，細(xì)化合同風(fēng)險(xiǎn)防控機(jī)制。

首先，數(shù)據(jù)跨境風(fēng)險(xiǎn)評(píng)估制度起點(diǎn)在于明確評(píng)估對(duì)象，而數(shù)據(jù)處理方式因出境評(píng)估場(chǎng)景不同而有較大差異，模塊化數(shù)據(jù)匯集處理、區(qū)分管制對(duì)于解決此困境有所助益。一方面，為避免制度運(yùn)行成本的負(fù)累，風(fēng)險(xiǎn)評(píng)估對(duì)象并非必然容納所有數(shù)據(jù)。誠(chéng)然，與涉國(guó)家安全的特殊個(gè)人數(shù)據(jù)或數(shù)據(jù)集合相較而言，單項(xiàng)數(shù)據(jù)具有明顯私域性[25]，但僅以具體數(shù)量作為評(píng)估標(biāo)準(zhǔn)，顯然過(guò)于單一，為數(shù)據(jù)處理者規(guī)避風(fēng)險(xiǎn)評(píng)估提供了可乘之隙。因此《征求意見(jiàn)稿》第4條以純粹的碎片式跨境數(shù)據(jù)量級(jí)為評(píng)估基準(zhǔn)難謂合理，應(yīng)當(dāng)修正。另一方面，應(yīng)借鑒歐盟標(biāo)準(zhǔn)合同條款中的模塊化數(shù)據(jù)處理方式，區(qū)分?jǐn)?shù)據(jù)個(gè)人處理者與受托處理者之間的多種傳輸方式[26]，在保持同質(zhì)性合同義務(wù)內(nèi)容的前提下，提升義務(wù)履行的充分程度。其次，應(yīng)當(dāng)考量數(shù)據(jù)風(fēng)險(xiǎn)等級(jí)變化的動(dòng)態(tài)影響因素，據(jù)此設(shè)置聯(lián)動(dòng)性應(yīng)急響應(yīng)處置機(jī)制。必須明確的是，在數(shù)據(jù)跨境流動(dòng)領(lǐng)域并不存在無(wú)懈可擊的立法資源，不同類(lèi)型、安全等級(jí)與場(chǎng)景模塊下的監(jiān)管標(biāo)準(zhǔn)是持續(xù)性動(dòng)態(tài)更改的。合同規(guī)制模式并非追求一味靜態(tài)細(xì)化標(biāo)準(zhǔn)履行義務(wù)，而是根據(jù)風(fēng)險(xiǎn)等級(jí)變化設(shè)置應(yīng)急響應(yīng)機(jī)制，不斷調(diào)控風(fēng)險(xiǎn)管制措施，這也是對(duì)《數(shù)據(jù)安全法》21條風(fēng)險(xiǎn)等級(jí)管理的有力回應(yīng)。最后，數(shù)據(jù)監(jiān)管穩(wěn)定性與可執(zhí)行性也是應(yīng)當(dāng)兼顧的重要方面，鑒于此，不僅應(yīng)設(shè)立與組織人員相匹配的流程來(lái)預(yù)測(cè)、管理及防控風(fēng)險(xiǎn)，還應(yīng)當(dāng)規(guī)定限制數(shù)據(jù)處理行為條款，防止對(duì)數(shù)據(jù)信息妄加刪除或無(wú)端修改行為的發(fā)生。

3.2 數(shù)據(jù)流動(dòng)規(guī)劃實(shí)施階段：風(fēng)險(xiǎn)等級(jí)分類(lèi)細(xì)化與風(fēng)險(xiǎn)審查多元架構(gòu)

上述動(dòng)態(tài)標(biāo)準(zhǔn)化合同是數(shù)據(jù)出境安全評(píng)估的必要條件，但絕非充分條件，就《征求意見(jiàn)稿》第9條規(guī)定的合同內(nèi)容來(lái)看，數(shù)據(jù)流動(dòng)規(guī)劃實(shí)施階段的預(yù)防性仍不足，難以實(shí)現(xiàn)對(duì)數(shù)據(jù)跨境生命周期的全方位監(jiān)管。為細(xì)化《數(shù)據(jù)安全法》21條數(shù)據(jù)分類(lèi)分級(jí)保護(hù)制度，這里應(yīng)當(dāng)對(duì)不同風(fēng)險(xiǎn)級(jí)別的數(shù)據(jù)施行差異化要求，依據(jù)數(shù)據(jù)出境類(lèi)型、范圍、接收方信息等因素，進(jìn)行精準(zhǔn)分類(lèi)管理。

3.2.1以環(huán)境影響評(píng)價(jià)為例精準(zhǔn)細(xì)化數(shù)據(jù)風(fēng)險(xiǎn)等級(jí)分類(lèi)

以環(huán)境影響評(píng)價(jià)為例，根據(jù)建設(shè)項(xiàng)目可能對(duì)環(huán)境造成的影響，分為重大、輕度與較小影響，對(duì)建設(shè)項(xiàng)目進(jìn)行分類(lèi)管理。與之類(lèi)似，同樣可將數(shù)據(jù)跨境風(fēng)險(xiǎn)評(píng)估結(jié)果劃分為高、中、低三種不同等級(jí)，對(duì)風(fēng)險(xiǎn)防控機(jī)制規(guī)劃與實(shí)施采取不同要求(見(jiàn)表1)。

表1 數(shù)據(jù)風(fēng)險(xiǎn)等級(jí)劃分

在劃歸數(shù)據(jù)風(fēng)險(xiǎn)等級(jí)時(shí)，需著重考量數(shù)據(jù)敏感度級(jí)別以及是否存在用于保護(hù)該數(shù)據(jù)的訪(fǎng)問(wèn)權(quán)限控制系統(tǒng)。數(shù)據(jù)風(fēng)險(xiǎn)等級(jí)較高，意味著存在涉及國(guó)家安全、程序數(shù)據(jù)源代碼、個(gè)人高敏感度等數(shù)據(jù)[27]，并且尚未列級(jí)訪(fǎng)問(wèn)權(quán)限控制以限制數(shù)據(jù)獲取(大量數(shù)據(jù)可被訪(fǎng)問(wèn)或進(jìn)一步獲取)，一旦遭到惡意攻擊將遭受重大損失或聲譽(yù)風(fēng)險(xiǎn)；中度風(fēng)險(xiǎn)級(jí)別意指中敏感度數(shù)據(jù)可能存在，且限制數(shù)據(jù)公開(kāi)系統(tǒng)不甚完善；而數(shù)據(jù)敏感度級(jí)別較低，通過(guò)列級(jí)訪(fǎng)問(wèn)權(quán)限控制可進(jìn)一步限制對(duì)數(shù)據(jù)的獲取，則可歸于低風(fēng)險(xiǎn)等級(jí)。風(fēng)險(xiǎn)防控機(jī)制需要與數(shù)據(jù)跨境流通方案同步規(guī)劃與實(shí)施，不允許風(fēng)險(xiǎn)防控機(jī)制尚未落實(shí)而數(shù)據(jù)先行跨境流通情況的發(fā)生。

3.2.2數(shù)據(jù)風(fēng)險(xiǎn)審查執(zhí)法的多元架構(gòu)

數(shù)據(jù)跨境流動(dòng)規(guī)制并非單一的監(jiān)管規(guī)則體系，而是多手段應(yīng)用、多主體參與、多層次監(jiān)管的多元法律框架。對(duì)風(fēng)險(xiǎn)防控機(jī)制的審查，亦應(yīng)發(fā)揮數(shù)據(jù)審查社會(huì)協(xié)同效應(yīng)，具體而言包括以下兩方面：其一，在技術(shù)手段上，應(yīng)積極采取滲透測(cè)試、紅藍(lán)對(duì)抗及漏洞掃描等技術(shù)[28]，確保數(shù)據(jù)處理者使用的密鑰管理、訪(fǎng)問(wèn)控制、安全備份等加密技術(shù)的有效性。其二，在參與主體方面，一方面，可賦予網(wǎng)絡(luò)空間安全協(xié)會(huì)等行業(yè)組織以審查職能，進(jìn)而推動(dòng)行業(yè)自律。借助行業(yè)審查，可在政府與組織之間建立緊密合作關(guān)系，鼓勵(lì)行業(yè)組織制定自律準(zhǔn)則，規(guī)范企業(yè)數(shù)據(jù)跨境流通活動(dòng)。另一方面，數(shù)據(jù)來(lái)源方或發(fā)出方是數(shù)據(jù)泄露或?yàn)E用的直接受害者，應(yīng)有權(quán)參與數(shù)據(jù)跨境流通活動(dòng)監(jiān)管，對(duì)此可適度公開(kāi)脫敏后的數(shù)據(jù)跨境風(fēng)險(xiǎn)評(píng)估結(jié)果與風(fēng)險(xiǎn)防控機(jī)制方案，必要時(shí)還應(yīng)對(duì)相關(guān)數(shù)據(jù)進(jìn)行解釋說(shuō)明。

3.3 數(shù)據(jù)后續(xù)提供使用階段：數(shù)據(jù)跨境風(fēng)險(xiǎn)審查委托與問(wèn)責(zé)機(jī)制

前二階段落實(shí)風(fēng)險(xiǎn)防控機(jī)制并非表明“三同時(shí)”制度徹底終結(jié)，確保防控機(jī)制持續(xù)穩(wěn)定運(yùn)行，才是制度最終目的所在。由于時(shí)代背景需求，環(huán)境“三同時(shí)”制度不可避免的帶有計(jì)劃經(jīng)濟(jì)色彩，管制過(guò)強(qiáng)而激勵(lì)不敷。實(shí)踐中，也甚乏能夠保持防治措施長(zhǎng)期穩(wěn)定運(yùn)行的企業(yè)，前者甚至寧愿先繳罰款，也不履行“三同時(shí)”義務(wù)，更易罔顧在全環(huán)節(jié)同步實(shí)施環(huán)保措施。與此類(lèi)似的是，數(shù)據(jù)跨境流動(dòng)后期較前兩大階段而言，數(shù)據(jù)風(fēng)險(xiǎn)種類(lèi)與等級(jí)也會(huì)發(fā)生變化，合同審查備案與技術(shù)措施中的風(fēng)險(xiǎn)防控機(jī)制恐難有效應(yīng)對(duì)，相較于“三同時(shí)”制度中的同時(shí)設(shè)計(jì)、同時(shí)施工環(huán)節(jié)，同時(shí)運(yùn)行實(shí)施難度更大。這就意味著，環(huán)境“三同時(shí)”制度在事后階段采取的“驗(yàn)收”模式并不適應(yīng)數(shù)據(jù)跨境流動(dòng)監(jiān)管，執(zhí)行周期長(zhǎng)與風(fēng)險(xiǎn)控制成本高極易導(dǎo)致企業(yè)為追求效益而中斷實(shí)施的狀況發(fā)生。綜合來(lái)看，前述兩大階段數(shù)據(jù)跨境流動(dòng)重“防守”策略，在該階段中，數(shù)據(jù)跨境流動(dòng)安全審查應(yīng)當(dāng)吸取環(huán)境“三同時(shí)”制度“激勵(lì)”不足的教訓(xùn)，并注重?cái)?shù)據(jù)事后使用監(jiān)管“問(wèn)責(zé)”，具體規(guī)則設(shè)計(jì)如下：

3.3.1適當(dāng)允許委托數(shù)據(jù)風(fēng)險(xiǎn)審查補(bǔ)強(qiáng)制度激勵(lì)性

為破除“三同時(shí)”制度后期激勵(lì)效應(yīng)不足的局面，在防御性與聲譽(yù)性因素驅(qū)動(dòng)下，可允許數(shù)據(jù)主體靈活地將落實(shí)風(fēng)險(xiǎn)防控機(jī)制的義務(wù)委托于可信數(shù)據(jù)審查機(jī)構(gòu)，并約定嚴(yán)密的數(shù)據(jù)審查范圍與程序、報(bào)酬獎(jiǎng)勵(lì)機(jī)制與責(zé)任承擔(dān)方式，將數(shù)據(jù)主體堅(jiān)守風(fēng)險(xiǎn)防控的意愿不足狀態(tài)控制在一定范圍之內(nèi)。如此一來(lái)，不僅可降低該主體落實(shí)“三同時(shí)”義務(wù)的成本，且能夠弱化“三同時(shí)”制度的管制性，避免數(shù)據(jù)主體被動(dòng)應(yīng)對(duì)數(shù)據(jù)監(jiān)管，賦予數(shù)據(jù)主體充分自主權(quán)。久而久之，可信審查機(jī)構(gòu)甚或成為數(shù)據(jù)主體利益的轉(zhuǎn)化媒介，從而產(chǎn)生公共責(zé)任的協(xié)會(huì)治理效果。

3.3.2依靠數(shù)據(jù)風(fēng)險(xiǎn)審查問(wèn)責(zé)機(jī)制鞏固制度執(zhí)行力

當(dāng)數(shù)據(jù)主體將全部或部分?jǐn)?shù)據(jù)審查義務(wù)委托于第三方時(shí)，這實(shí)際上意味著委托方與受托方在共享數(shù)據(jù)收益、共擔(dān)數(shù)據(jù)風(fēng)險(xiǎn)，從而產(chǎn)生事后“命運(yùn)捆綁式問(wèn)責(zé)”效果。事實(shí)上，美國(guó)跨境隱私規(guī)則體系(Cross-Border Privacy Rules，CBPR)已然建立了問(wèn)責(zé)代理制，由問(wèn)責(zé)代理機(jī)構(gòu)負(fù)責(zé)審查數(shù)據(jù)跨境風(fēng)險(xiǎn)防控能力，并認(rèn)證數(shù)據(jù)主體隱私保護(hù)規(guī)則是否滿(mǎn)足相應(yīng)要求。這種“隱私盾”框架下的“事后問(wèn)責(zé)型”風(fēng)險(xiǎn)規(guī)制模式，是在支持廣泛而自由的數(shù)據(jù)跨境流動(dòng)前提下，以行業(yè)自律的方式突出數(shù)據(jù)控制者的可擔(dān)責(zé)性義務(wù)[29]。個(gè)中原理，實(shí)際上是加大主體不自律的預(yù)期成本，使得行業(yè)內(nèi)部成員之間的多邊自律收益大于單邊投機(jī)收益。在此立法模式下，行業(yè)靈活度固然較高，然而依靠代理機(jī)構(gòu)向數(shù)據(jù)主體問(wèn)責(zé)，卻有立法協(xié)調(diào)性與效力層級(jí)低等天然瓶頸。倘若由第三方機(jī)構(gòu)接受數(shù)據(jù)主體委托審查其跨境業(yè)務(wù)，并在監(jiān)管部門(mén)審查時(shí)與數(shù)據(jù)主體承擔(dān)連帶責(zé)任，則可破除自律性不足之弊端，兼顧制度激勵(lì)性與執(zhí)行力，從而牢固堅(jiān)守?cái)?shù)據(jù)跨境流動(dòng)的最后一道防線(xiàn)。

4 結(jié) 語(yǔ)

如今全球智能化程度已大幅提高，數(shù)據(jù)資源易遭到進(jìn)階式持續(xù)滲透。在此背景下，實(shí)施動(dòng)態(tài)嚴(yán)密的數(shù)據(jù)跨境流動(dòng)監(jiān)管規(guī)則，并非為數(shù)據(jù)主體設(shè)置滯礙與門(mén)檻，而是在全球數(shù)據(jù)跨境保護(hù)模式尚未統(tǒng)一時(shí)，指明數(shù)據(jù)跨境雙向合規(guī)的理想發(fā)展路徑。作為一種優(yōu)越的數(shù)據(jù)風(fēng)險(xiǎn)矯正工具，個(gè)人數(shù)據(jù)跨境流動(dòng)“三同時(shí)”制度將數(shù)據(jù)流動(dòng)與安全審查雙線(xiàn)緊密結(jié)合，可有效提升數(shù)據(jù)跨境透明度，避免制度決策無(wú)據(jù)或回應(yīng)過(guò)度。在實(shí)踐運(yùn)用中，不同環(huán)節(jié)可逐步提煉數(shù)據(jù)風(fēng)險(xiǎn)識(shí)別關(guān)鍵影響因子，結(jié)合歐美國(guó)家(地區(qū))先進(jìn)政策動(dòng)向，及時(shí)、有效且精準(zhǔn)地豐富數(shù)據(jù)風(fēng)險(xiǎn)社會(huì)治理百寶箱。

誠(chéng)然，數(shù)據(jù)“三同時(shí)”制度并非意味著將數(shù)據(jù)監(jiān)管流程“徑直裁切”，也不追求“畢其功于一役”，而是以全環(huán)節(jié)緊密監(jiān)管、動(dòng)態(tài)調(diào)整為原則，階段性細(xì)化審查措施。除此之外，離開(kāi)其他社會(huì)協(xié)同作用，僅依托數(shù)據(jù)跨境流動(dòng)“三同時(shí)”制度也難以為繼，遑論有效運(yùn)行。這就意味著，從長(zhǎng)遠(yuǎn)發(fā)展考量數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估，不可單憑制度本身的創(chuàng)設(shè)，而應(yīng)在數(shù)據(jù)安全整體大框架下做通盤(pán)考慮。本文只就數(shù)據(jù)跨境流動(dòng)環(huán)節(jié)作粗線(xiàn)條制度論證，至于公私技術(shù)系統(tǒng)如何與相關(guān)規(guī)定融合、不同制度之間如何分工協(xié)作、數(shù)據(jù)權(quán)利邊界或侵權(quán)責(zé)任等問(wèn)題，仍有賴(lài)于不同學(xué)術(shù)領(lǐng)域研究人員戮力研討。