杜 昕

(中共廣東省委黨校 法學(xué)教研部，廣東 廣州 510030)

0 引言

習(xí)近平總書記強(qiáng)調(diào)：“數(shù)字經(jīng)濟(jì)發(fā)展速度之快、輻射范圍之廣、影響程度之深前所未有，正在成為重組全球要素資源、重塑全球經(jīng)濟(jì)結(jié)構(gòu)、改變?nèi)蚋?jìng)爭(zhēng)格局的關(guān)鍵力量”[1]。隨著數(shù)字經(jīng)濟(jì)的不斷發(fā)展，以數(shù)據(jù)要素為核心驅(qū)動(dòng)力，以網(wǎng)絡(luò)傳播技術(shù)為載體的高速率、大容量、低延時(shí)的數(shù)據(jù)跨境流動(dòng)，正在成為連接全球數(shù)字經(jīng)濟(jì)的紐帶，大大拓寬了傳統(tǒng)經(jīng)濟(jì)全球化的廣度與深度，數(shù)字經(jīng)濟(jì)全球化已經(jīng)成為了歷史發(fā)展的必然趨勢(shì)。據(jù)此，我國(guó)應(yīng)在維護(hù)國(guó)家安全的前提下，主動(dòng)拓寬數(shù)據(jù)開放范圍，加快數(shù)據(jù)跨境流動(dòng)，在全球競(jìng)爭(zhēng)中進(jìn)一步發(fā)揮人口優(yōu)勢(shì)與規(guī)模優(yōu)勢(shì)，積極融入并引領(lǐng)新一輪經(jīng)濟(jì)全球化。

黨的二十大報(bào)告指出：“加強(qiáng)重點(diǎn)領(lǐng)域、新興領(lǐng)域、涉外領(lǐng)域立法，統(tǒng)籌推進(jìn)國(guó)內(nèi)法治和涉外法治”[2]，數(shù)據(jù)跨境流動(dòng)作為數(shù)字經(jīng)濟(jì)全球化的驅(qū)動(dòng)力，是新時(shí)代相關(guān)領(lǐng)域的立法調(diào)整對(duì)象，數(shù)據(jù)跨境流動(dòng)提出的挑戰(zhàn)是推進(jìn)涉外法治建設(shè)不能忽視的重要問(wèn)題。以“‘滴滴出行’赴美上市”事件為例，根據(jù)2022 年7 月21 日國(guó)家互聯(lián)網(wǎng)信息辦公室 (下簡(jiǎn)稱“國(guó)家網(wǎng)信辦”)有關(guān)負(fù)責(zé)人就相關(guān)行政處罰的決定答記者問(wèn)可知，滴滴公司在事件當(dāng)中“存在嚴(yán)重影響國(guó)家安全的數(shù)據(jù)處理活動(dòng)”并且“嚴(yán)重侵害用戶個(gè)人信息權(quán)益”[3]?！啊蔚纬鲂小懊郎鲜小笔录m然以行政處罰決定[4]的作出而告終，但卻暴露出一個(gè)現(xiàn)實(shí)問(wèn)題——數(shù)據(jù)跨境流動(dòng)會(huì)對(duì)國(guó)家安全和個(gè)人數(shù)據(jù)保護(hù)層面形成諸多法治挑戰(zhàn)。如何推進(jìn)我國(guó)涉外法治建設(shè)以應(yīng)對(duì)數(shù)據(jù)跨境流動(dòng)提出的國(guó)家安全和個(gè)人數(shù)據(jù)保護(hù)層面的法治挑戰(zhàn)，是本文的關(guān)注點(diǎn)所在。

1 數(shù)據(jù)跨境流動(dòng)提出的法治挑戰(zhàn)

1.1 國(guó)家安全層面的挑戰(zhàn)

美國(guó)達(dá)特茅斯大學(xué)塔克商學(xué)院院長(zhǎng)、原白宮經(jīng)濟(jì)顧問(wèn)委員會(huì)成員馬修·斯勞特和橋水基金聯(lián)合首席執(zhí)行官大衛(wèi)·麥考密克合作發(fā)表的文章《數(shù)據(jù)即力量(Data is Power)》中指出：“即便與全球經(jīng)濟(jì)的其他要素相比，數(shù)據(jù)與力量的關(guān)聯(lián)也更為密切”[5]。國(guó)外還有學(xué)者認(rèn)為“數(shù)據(jù)總是在被不斷加工、分析，數(shù)據(jù)的分析解釋過(guò)程蘊(yùn)含著它的變革力量”[6]。我國(guó)學(xué)者也指出“擁有數(shù)據(jù)存儲(chǔ)和處理技術(shù)優(yōu)勢(shì)的主體對(duì)特定對(duì)象的影響力和控制力不斷增強(qiáng)”[7]。數(shù)據(jù)蘊(yùn)含的力量如果被合法地分析利用，會(huì)極大促進(jìn)經(jīng)濟(jì)社會(huì)的發(fā)展，保障國(guó)家的安全，例如挖掘網(wǎng)絡(luò)媒體上人們公開發(fā)表的一些觀點(diǎn)看法(包括對(duì)個(gè)人、話題和事件的評(píng)估、態(tài)度和情緒)，通過(guò)進(jìn)行數(shù)據(jù)分析，有利于防范不當(dāng)言論對(duì)社會(huì)造成的負(fù)面影響，從而維護(hù)國(guó)家安全[8]。但是，大量數(shù)據(jù)一旦被不法利用，可能嚴(yán)重威脅國(guó)家安全，甚至導(dǎo)致政治動(dòng)蕩局面。例如，2018 年曝光的“劍橋分析丑聞”[9]，8 700 萬(wàn)用戶數(shù)據(jù)因Facebook 出于商業(yè)決策主動(dòng)對(duì)第三方程序開放寬松的API 數(shù)據(jù)接口，被不當(dāng)泄露給政治咨詢公司劍橋分析 (Cambridge Analytica)，用于在2016 年總統(tǒng)大選時(shí)支持共和黨候選人特朗普。對(duì)此，國(guó)外學(xué)者評(píng)論道：“社交媒體公司和劍橋分析等政治數(shù)據(jù)挖掘公司通過(guò)使用個(gè)人數(shù)據(jù)操縱公眾生活建立了自己的業(yè)務(wù)。他們的工作加劇了種族緊張關(guān)系，復(fù)興了極端民族主義，加劇了政治沖突，甚至在世界各地的國(guó)家制造了新的政治危機(jī)——所有這些都削弱了公眾對(duì)新聞、投票制度和選舉結(jié)果的信任”[10]?！皠蚍治龀舐劇钡葦?shù)據(jù)不法利用的事件嚴(yán)重影響了政治選舉的公平，加劇了美國(guó)社會(huì)的割裂，危及了國(guó)家和政治的安全。所以，防范數(shù)據(jù)被不法利用，對(duì)于維護(hù)國(guó)家安全至關(guān)重要。

在“‘滴滴出行’赴美上市”事件當(dāng)中，滴滴公司共存在16 項(xiàng)違法事實(shí)[3]，其違法獲取或過(guò)度收集的用戶信息每一項(xiàng)的數(shù)量級(jí)均在千萬(wàn)以上，有些甚至過(guò)億。直接獲取的信息種類包括用戶手機(jī)相冊(cè)中的截圖信息、用戶剪切板信息和應(yīng)用列表信息、乘客人臉識(shí)別信息、年齡段信息、職業(yè)信息、親情關(guān)系信息、打車地址信息，以及乘客評(píng)價(jià)代駕服務(wù)、App 后臺(tái)運(yùn)行、手機(jī)連接記錄儀設(shè)備時(shí)的精準(zhǔn)位置(經(jīng)緯度)信息。除乘客以外，司機(jī)的身份信息、學(xué)歷信息也被違法收集。這些信息被違法收集以后，滴滴在未明確告知用戶的情況下，分析得出的間接信息的數(shù)量級(jí)則均以“億”計(jì)，這些信息包括乘客的出行意圖、常駐城市、異地商務(wù)或異地旅游情況，其中分析得出的乘客出行意圖信息竟高達(dá)539.76 億條。

如此大規(guī)模的數(shù)據(jù)信息，一旦被不法利用，例如用以分析預(yù)測(cè)我國(guó)城市居民的出行情況和人群實(shí)時(shí)分布情況等，無(wú)疑會(huì)對(duì)我國(guó)的公共安全乃至國(guó)家安全造成嚴(yán)重威脅?！啊蔚纬鲂小懊郎鲜小笔录鹗加?021 年6 月30 日，彼時(shí)美國(guó)《外國(guó)公司問(wèn)責(zé)法》(以下簡(jiǎn)稱“HFCAA 法案”)[11]已經(jīng)生效，該國(guó)頒布“CLOUD 法案”也已屆三年?！癏FCAA 法案”第三部分規(guī)定了向赴美上市外國(guó)企業(yè)提供服務(wù)的會(huì)計(jì)師事務(wù)所負(fù)有“額外披露”的義務(wù)，需要在審計(jì)報(bào)告中向美國(guó)證券交易委員會(huì)(以下簡(jiǎn)稱“SEC”)披露如下信息：(1)在法案所規(guī)定的期間內(nèi)該注冊(cè)會(huì)計(jì)師事務(wù)所已為上市企業(yè)編制的審計(jì)報(bào)告；(2)在上市企業(yè)注冊(cè)成立或以其他方式組織的外國(guó)司法管轄范圍內(nèi)，由政府實(shí)體持有的上市企業(yè)股份的百分比；(3)在與該注冊(cè)會(huì)計(jì)師事務(wù)所相關(guān)的適用外國(guó)司法管轄的政府實(shí)體是否對(duì)上市企業(yè)擁有控股權(quán)；(4)、(5)則均為直接針對(duì)中國(guó)意識(shí)形態(tài)防范和國(guó)家安全泛化的條款?！癈LOUD 法案”[12]在第3 節(jié)明確規(guī)定：“電子通信服務(wù)或遠(yuǎn)程計(jì)算服務(wù)的提供商應(yīng)遵守本法案規(guī)定的義務(wù)，保存、備份或披露有線或電子通信的內(nèi)容，以及在其擁有、保管或控制范圍內(nèi)與客戶或訂戶有關(guān)的任何記錄或其他信息，無(wú)論該通信、記錄或其他信息是否存儲(chǔ)于美國(guó)境內(nèi)或境外”?！癏FCAA 法案”嚴(yán)重暴露了美國(guó)證券監(jiān)管的政治化[13]，嚴(yán)重破壞了證券行業(yè)的市場(chǎng)競(jìng)爭(zhēng)機(jī)制，“CLOUD 法案”則確立了美國(guó)數(shù)據(jù)監(jiān)管的“長(zhǎng)臂管轄”機(jī)制。根據(jù)美國(guó)現(xiàn)行法案和政治風(fēng)向，滴滴公司赴美上市必然存在數(shù)據(jù)泄露甚至被不法利用的風(fēng)險(xiǎn)。這一點(diǎn)體現(xiàn)于《網(wǎng)絡(luò)安全審查辦法》第十條國(guó)家安全風(fēng)險(xiǎn)因素中的第六項(xiàng)：“上市存在……大量個(gè)人信息被外國(guó)政府影響、控制、惡意利用的風(fēng)險(xiǎn)，以及網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)”[14]。因此，數(shù)據(jù)跨境流動(dòng)會(huì)對(duì)國(guó)家安全的維護(hù)提出全新的法治挑戰(zhàn)，通過(guò)立法規(guī)制數(shù)據(jù)力量對(duì)維護(hù)國(guó)家安全至關(guān)重要，充分維護(hù)國(guó)家安全是數(shù)據(jù)跨境流動(dòng)監(jiān)管必須直面的問(wèn)題。

1.2 個(gè)人數(shù)據(jù)保護(hù)層面的挑戰(zhàn)

從滴滴公司存在的16 項(xiàng)違法事實(shí)[3]可以看出，侵犯?jìng)€(gè)人數(shù)據(jù)信息的情況有兩種，其一是未經(jīng)用戶授權(quán)違法獲取數(shù)據(jù)或超出用戶授權(quán)過(guò)度收集數(shù)據(jù)，如違法獲取或過(guò)度收集的用戶個(gè)人信息數(shù)據(jù)；其二是背離數(shù)據(jù)授權(quán)使用范圍處理數(shù)據(jù)，如在未明確告知乘客的情況下分析乘客的出行意圖、常駐城市以及異地商務(wù)或異地旅游意向。無(wú)論是獲取或收集用戶的個(gè)人信息，還是處理用戶的個(gè)人信息都需要用戶的授權(quán)，且不能超出用戶的授權(quán)范圍，這是因?yàn)閭€(gè)人信息的收集、使用、共享以及加密保護(hù)都應(yīng)在一定程度上獲得受影響個(gè)人的知情通知和同意[15]，使他們有能力控制關(guān)涉自身的數(shù)據(jù)信息[16]。

美國(guó)近年來(lái)發(fā)生的多起案例也表明數(shù)據(jù)跨境流動(dòng)會(huì)對(duì)個(gè)人數(shù)據(jù)保護(hù)提出法治挑戰(zhàn)。例如，2017年5 月至7 月，Equifax 發(fā)生數(shù)據(jù)泄露，并于當(dāng)年9月7 日披露了數(shù)據(jù)泄露的影響范圍，包括1.479 億美國(guó)公民、1 520 萬(wàn)英國(guó)公民和約19 000 名加拿大公民的個(gè)人數(shù)據(jù)信息被泄露，2019 年7 月22 日，Equifax 同意與聯(lián)邦貿(mào)易委員會(huì)(FTC)、美國(guó)消費(fèi)者金融保護(hù)局(CFPB)、美國(guó)48 個(gè)州、華盛頓特區(qū)和波多黎各達(dá)成和解，協(xié)議總額達(dá)7 億美元[17]。又如，2019 年7 月29 日Capital One 公開承認(rèn)，一名黑客未經(jīng)授權(quán)訪問(wèn)了美國(guó)和加拿大1.06 億人 (美國(guó)公民約1 億人，加拿大公民約600 萬(wàn)人)的賬戶和身份信息[18]，2022 年2 月7 日，美國(guó)聯(lián)邦法院初步批準(zhǔn)了Capital One 數(shù)據(jù)泄露事件有關(guān)的集體訴訟和解，和解要求Capital One 建立一個(gè)1.9 億美元的結(jié)算基金并提供其他救濟(jì)服務(wù)[19]。此外，2021 年8 月16 日T-Mobile 宣布，一名黑客非法訪問(wèn)了超過(guò)7 600 萬(wàn)美國(guó)公民的個(gè)人數(shù)據(jù)，并就此事件提起了多起數(shù)據(jù)泄露集體訴訟，2022 年7 月T-Mobile 在密蘇里州聯(lián)邦法院的聽(tīng)證會(huì)上同意就數(shù)據(jù)泄露和隨后的集體訴訟達(dá)成3.5 億美元的和解[20]。在這三個(gè)案例中，企業(yè)的業(yè)務(wù)范圍均覆蓋全球多個(gè)國(guó)家，且前兩個(gè)案例的數(shù)據(jù)泄露范圍涉及多國(guó)公民。根據(jù)訴訟案由可知，這三家企業(yè)均因未能有效保護(hù)用戶數(shù)據(jù)安全致使用戶數(shù)據(jù)未經(jīng)授權(quán)而被非法利用或處于被非法利用的危險(xiǎn)之中，其中Capital One 數(shù)據(jù)泄露案件的黑客佩奇·湯普森[21]還在2019 年4 月發(fā)布了如何獲取公司憑證以提取更多數(shù)據(jù)的說(shuō)明[22]。從上述案例不難發(fā)現(xiàn)，因數(shù)據(jù)傳輸技術(shù)等原因，跨境數(shù)據(jù)流動(dòng)存在個(gè)人數(shù)據(jù)泄露的風(fēng)險(xiǎn)，如何保護(hù)個(gè)人數(shù)據(jù)安全，避免數(shù)據(jù)未經(jīng)授權(quán)獲取或使用是數(shù)據(jù)跨境流動(dòng)監(jiān)管必須直面的又一問(wèn)題。

當(dāng)然，在保護(hù)個(gè)人數(shù)據(jù)的同時(shí)也要注意統(tǒng)籌發(fā)展和安全。個(gè)人數(shù)據(jù)保護(hù)規(guī)則的制定和實(shí)施要同經(jīng)濟(jì)社會(huì)的發(fā)展相適應(yīng)。對(duì)此，有研究根據(jù)數(shù)據(jù)產(chǎn)權(quán)配置對(duì)市場(chǎng)經(jīng)濟(jì)發(fā)展的影響得出結(jié)論：產(chǎn)權(quán)的最優(yōu)配置關(guān)鍵取決于數(shù)據(jù)的價(jià)值，即取決于產(chǎn)生數(shù)據(jù)的市場(chǎng)和使用數(shù)據(jù)的市場(chǎng)之間的相對(duì)權(quán)重，當(dāng)產(chǎn)生數(shù)據(jù)的市場(chǎng)權(quán)重更大時(shí)，應(yīng)當(dāng)盡可能保護(hù)個(gè)人的數(shù)據(jù)權(quán)利；當(dāng)使用數(shù)據(jù)的市場(chǎng)權(quán)重更大時(shí)，應(yīng)盡可能鼓勵(lì)個(gè)人授權(quán)企業(yè)使用數(shù)據(jù)，促進(jìn)社會(huì)經(jīng)濟(jì)的發(fā)展[23]。國(guó)內(nèi)學(xué)者也指出：“要在個(gè)人信息保護(hù)與大數(shù)據(jù)發(fā)展之間實(shí)現(xiàn)平衡”[24]，并且“應(yīng)在立法層面平衡數(shù)據(jù)交易與個(gè)人信息權(quán)利保護(hù)之間的關(guān)系”[25]。因此，如何在促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展的同時(shí)保護(hù)個(gè)人數(shù)據(jù)安全是數(shù)據(jù)跨境流動(dòng)在個(gè)人數(shù)據(jù)保護(hù)層面提出的全新法治挑戰(zhàn)。

2 應(yīng)對(duì)挑戰(zhàn)的立法現(xiàn)狀及實(shí)踐難點(diǎn)

2.1 國(guó)家安全層面的立法現(xiàn)狀及實(shí)踐難點(diǎn)

我國(guó)現(xiàn)行法律法規(guī)對(duì)數(shù)據(jù)跨境流動(dòng)在國(guó)家安全層面的應(yīng)對(duì)主要體現(xiàn)在如下三個(gè)方面。

首先是堅(jiān)持總體國(guó)家安全觀。對(duì)此，黨的二十大報(bào)告指出：“必須堅(jiān)定不移貫徹總體國(guó)家安全觀，把維護(hù)國(guó)家安全貫穿黨和國(guó)家工作各方面全過(guò)程，確保國(guó)家安全和社會(huì)穩(wěn)定”[2]，堅(jiān)持總體國(guó)家安全觀明確規(guī)定在《中華人民共和國(guó)數(shù)據(jù)安全法》(以下簡(jiǎn)稱《數(shù)據(jù)安全法》)[26]第四條當(dāng)中，并全面貫穿于我國(guó)現(xiàn)行法律法規(guī)的各項(xiàng)規(guī)定，其一，既重視數(shù)據(jù)處理過(guò)程發(fā)生在境內(nèi)的安全，又重視數(shù)據(jù)跨境流動(dòng)及在境外開展數(shù)據(jù)處理活動(dòng)的安全，這明確體現(xiàn)在《數(shù)據(jù)安全法》第二條的規(guī)定當(dāng)中；其二，既重視數(shù)字經(jīng)濟(jì)的發(fā)展問(wèn)題，又重視數(shù)據(jù)處理和流動(dòng)過(guò)程的國(guó)家安全問(wèn)題，發(fā)展和安全是數(shù)字經(jīng)濟(jì)的兩件大事，充分發(fā)揮海量數(shù)據(jù)和豐富應(yīng)用場(chǎng)景優(yōu)勢(shì)，這明確體現(xiàn)在《數(shù)據(jù)安全法》第二章的規(guī)定當(dāng)中；其三，既重視自身安全，又重視共同安全，打造網(wǎng)絡(luò)空間命運(yùn)共同體，推動(dòng)各方朝著互利互惠、共同安全的目標(biāo)相向而行，這明確體現(xiàn)在《數(shù)據(jù)安全法》第二十六條和第三十六條的規(guī)定當(dāng)中。

其次是建立數(shù)據(jù)分類分級(jí)保護(hù)制度，加強(qiáng)對(duì)重要數(shù)據(jù)的保護(hù)。由于數(shù)據(jù)具有非排他性[5]，這意味著數(shù)據(jù)的傳輸是幾乎沒(méi)有成本和損耗的，那些“一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等，可能危害國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共健康和安全等”[27]的重要數(shù)據(jù)必須要通過(guò)一定的技術(shù)手段限制跨境流動(dòng)。通過(guò)構(gòu)建重要數(shù)據(jù)評(píng)估標(biāo)準(zhǔn)，建立數(shù)據(jù)分類分級(jí)保護(hù)制度，從而加強(qiáng)對(duì)重要數(shù)據(jù)的保護(hù)。這明確體現(xiàn)在《數(shù)據(jù)安全法》第二十一條的規(guī)定當(dāng)中。在具體實(shí)踐中，我國(guó)工業(yè)和信息化部發(fā)布的《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》公開征求意見(jiàn)稿中第二章[28]明確規(guī)定了工業(yè)和信息化領(lǐng)域數(shù)據(jù)的分類分級(jí)管理，其他各部委及省份也在根據(jù)實(shí)際情況確定重要數(shù)據(jù)的具體目錄。

最后是明確數(shù)據(jù)安全保護(hù)義務(wù)和法律責(zé)任。《數(shù)據(jù)安全法》在第四章規(guī)定了數(shù)據(jù)安全保護(hù)義務(wù)，在第五章規(guī)定了違反義務(wù)需承擔(dān)的法律責(zé)任，其中第三十一條明確規(guī)定了重要數(shù)據(jù)的出境安全管理，第四十六條則明確規(guī)定了違反第三十一條規(guī)定，向境外提供重要數(shù)據(jù)的法律責(zé)任。結(jié)合上述條文與滴滴公司及該企業(yè)直接負(fù)責(zé)的主管人員的行政處罰情況[4]來(lái)看，滴滴公司很可能涉嫌違反《數(shù)據(jù)安全法》第三十一條規(guī)定，將該企業(yè)在我國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)輸出境外。除了《數(shù)據(jù)安全法》以外，《中華人民共和國(guó)個(gè)人信息保護(hù)法》(以下簡(jiǎn)稱《個(gè)人信息保護(hù)法》)第四十條至第四十二條也在國(guó)家安全層面對(duì)個(gè)人信息跨境流動(dòng)的監(jiān)管做了具體規(guī)定[29]。

綜合上述，重要數(shù)據(jù)目錄管理具有動(dòng)態(tài)屬性，該屬性引發(fā)的時(shí)效難題是監(jiān)管數(shù)據(jù)跨境流動(dòng)以維護(hù)國(guó)家安全的實(shí)踐難點(diǎn)。從滴滴公司違法獲取或過(guò)度收集的數(shù)據(jù)信息種類不難看出，這些數(shù)據(jù)信息的種類與硬軟件功能和數(shù)字技術(shù)的發(fā)展密切關(guān)聯(lián)。隨著硬軟件功能越來(lái)越豐富，數(shù)據(jù)挖掘和分析技術(shù)越來(lái)越先進(jìn)，數(shù)據(jù)的更新速度會(huì)不斷加快，數(shù)據(jù)規(guī)模會(huì)越來(lái)越龐大，數(shù)據(jù)種類劃分也會(huì)越來(lái)越精細(xì)，數(shù)據(jù)目錄的變化周期就會(huì)越來(lái)越短，重要數(shù)據(jù)的目錄管理也就越來(lái)越呈現(xiàn)出動(dòng)態(tài)屬性，這一動(dòng)態(tài)屬性在 《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法 (試行)》公開征求意見(jiàn)稿第七條[28]就有明確的體現(xiàn)。重要數(shù)據(jù)目錄列選的動(dòng)態(tài)屬性意味著重要數(shù)據(jù)的評(píng)估標(biāo)準(zhǔn)和保護(hù)力度也要緊跟時(shí)代的發(fā)展，在這一情形下如何保證重要數(shù)據(jù)目錄列選的時(shí)效性是實(shí)踐過(guò)程中的具體困難。完善立法以解決這一實(shí)踐難點(diǎn)，是應(yīng)對(duì)數(shù)據(jù)跨境流動(dòng)提出的國(guó)家安全挑戰(zhàn)的有效途徑。

2.2 個(gè)人數(shù)據(jù)保護(hù)層面的立法現(xiàn)狀及實(shí)踐難點(diǎn)

我國(guó)現(xiàn)行法律法規(guī)對(duì)數(shù)據(jù)跨境流動(dòng)在個(gè)人數(shù)據(jù)保護(hù)層面挑戰(zhàn)的應(yīng)對(duì)主要體現(xiàn)在如下四個(gè)方面。

首先是明確個(gè)人數(shù)據(jù)及相關(guān)概念的定義。由于數(shù)據(jù)是記錄事實(shí)信息的一種特殊表達(dá)方式，是“信息”這一概念的一部分[30]，因此個(gè)人數(shù)據(jù)亦可被解釋為個(gè)人信息的一部分。個(gè)人信息的定義見(jiàn)于《個(gè)人信息保護(hù)法》第四條第一款規(guī)定：“個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息”[29]；數(shù)據(jù)的定義則見(jiàn)于《數(shù)據(jù)安全法》第三條規(guī)定：“本法所稱數(shù)據(jù)，是指任何以電子或者其他方式對(duì)信息的記錄”[27]。結(jié)合這兩部法律可知，個(gè)人數(shù)據(jù)是指任何以電子或者其他方式對(duì)個(gè)人信息的記錄，屬于受我國(guó)法律法規(guī)保護(hù)的個(gè)人信息范疇。

其次是突出對(duì)敏感個(gè)人數(shù)據(jù)信息的保護(hù)?！秱€(gè)人信息保護(hù)法》第二十八條第一款定義了敏感個(gè)人信息，是指“一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息，包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個(gè)人信息”[29]。根據(jù)該條規(guī)定，記錄敏感信息的個(gè)人數(shù)據(jù)也應(yīng)當(dāng)被特殊保護(hù)，在滴滴公司存在的16 項(xiàng)違法事實(shí)[3]當(dāng)中，違法獲取用戶的人臉識(shí)別信息就屬于敏感個(gè)人信息之一。

再次是規(guī)定了處理個(gè)人信息的情形、基本原則、具體規(guī)則以及對(duì)個(gè)人數(shù)據(jù)信息跨境流動(dòng)監(jiān)管的規(guī)則。處理個(gè)人信息的情形具體規(guī)定在《個(gè)人信息保護(hù)法》第四條第二款，即“只有在具有特定的目的和充分的必要性，并采取嚴(yán)格保護(hù)措施的情形”，處理敏感個(gè)人信息的情形則規(guī)定在第二十八條第二款。處理個(gè)人數(shù)據(jù)信息包括規(guī)定在《個(gè)人信息保護(hù)法》的七大基本原則，其一是第五條規(guī)定的“合法、正當(dāng)、必要、誠(chéng)信”原則，其二和其三是第六條第一款和第二款規(guī)定的“目的明確合理且直接相關(guān)”和“最小范圍”原則，其四是第七條規(guī)定的“公開透明”原則，其五是第八條規(guī)定的“準(zhǔn)確完整”原則，其六、其七是第九條規(guī)定的“責(zé)任負(fù)擔(dān)”原則和“數(shù)據(jù)安全”原則。個(gè)人數(shù)據(jù)信息處理的具體規(guī)則包括規(guī)定在《個(gè)人信息保護(hù)法》第十三條的前提條件、第十四條和第十五條規(guī)定的“個(gè)人同意”的具體要求、第十七條規(guī)定的“真實(shí)、準(zhǔn)確、完整”的告知要求以及第十八條規(guī)定的“不告知”情形，第二十九條至第三十二條則規(guī)定了敏感個(gè)人信息處理的具體規(guī)則。對(duì)個(gè)人數(shù)據(jù)信息跨境流動(dòng)監(jiān)管的規(guī)則，則包括《個(gè)人信息保護(hù)法》第三十八條規(guī)定的前提條件和第三十九條規(guī)定的“告知—同意”規(guī)則[29]。

最后還規(guī)定了個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利、個(gè)人信息處理者的義務(wù)、履行個(gè)人信息保護(hù)職責(zé)的部門以及違法行為需承擔(dān)的法律責(zé)任。例如《個(gè)人信息保護(hù)法》第六十六條明確規(guī)定“對(duì)違法處理個(gè)人信息的應(yīng)用程序，責(zé)令暫?；蛘呓K止提供服務(wù)”[29]，對(duì)應(yīng)了網(wǎng)絡(luò)安全審查辦公室對(duì)“滴滴出行”2021 年7 月2 日啟動(dòng)網(wǎng)絡(luò)安全審查[31]，并于7 月4日下架“滴滴出行” App[32]，7 月9 日下架“滴滴企業(yè)版”等25 款A(yù)pp[33]的法律依據(jù)。

綜上所述，個(gè)人對(duì)其個(gè)人數(shù)據(jù)信息的處理可以設(shè)定一定授權(quán)處理范圍，這明確規(guī)定在《個(gè)人信息保護(hù)法》第四十四條：“個(gè)人對(duì)其個(gè)人信息的處理享有知情權(quán)、決定權(quán)，有權(quán)限制或者拒絕他人對(duì)其個(gè)人信息進(jìn)行處理；法律、行政法規(guī)另有規(guī)定的除外”[29]。又如Facebook 早在2015 年就發(fā)現(xiàn)了劍橋分析公司濫用其用戶信息的行為，亦即Facebook 明知濫用其用戶信息的行為是超出用戶授權(quán)范圍的，但兩年多來(lái)一直沒(méi)有采取有效措施糾正[34]?！秱€(gè)人信息保護(hù)法》第六條第二款明確規(guī)定了收集個(gè)人數(shù)據(jù)信息“應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍”[29]，這不僅對(duì)個(gè)人數(shù)據(jù)的收集范圍做了限定，還意味著處理數(shù)據(jù)的范圍應(yīng)當(dāng)與既定目的的實(shí)現(xiàn)相吻合。由于數(shù)字經(jīng)濟(jì)發(fā)展迅速，收集數(shù)據(jù)時(shí)的目的與收集完成準(zhǔn)備處理數(shù)據(jù)時(shí)的目的可能會(huì)在合理范圍內(nèi)有所變化，如何根據(jù)客觀經(jīng)濟(jì)規(guī)律認(rèn)定這一合理范圍，從而協(xié)調(diào)個(gè)人數(shù)據(jù)保護(hù)與經(jīng)濟(jì)發(fā)展的關(guān)系是實(shí)踐過(guò)程中的具體困難。

3 突破實(shí)踐難點(diǎn)的現(xiàn)實(shí)路徑

3.1 以區(qū)塊鏈技術(shù)賦能重要數(shù)據(jù)目錄的動(dòng)態(tài)管理

重要數(shù)據(jù)目錄管理的動(dòng)態(tài)屬性引發(fā)的時(shí)效難題，是監(jiān)管數(shù)據(jù)跨境流動(dòng)以維護(hù)國(guó)家安全的實(shí)踐難點(diǎn)。隨著數(shù)字政府建設(shè)的穩(wěn)步推進(jìn)，數(shù)字技術(shù)已經(jīng)逐步融入到政府管理與服務(wù)的方方面面，在實(shí)踐中，英國(guó)、法國(guó)、俄羅斯、瑞士、瑞典、芬蘭、愛(ài)沙尼亞等國(guó)政府已經(jīng)在公共服務(wù)領(lǐng)域廣泛采用了區(qū)塊鏈技術(shù)[35]。而針對(duì)數(shù)據(jù)目錄的動(dòng)態(tài)管理方面，現(xiàn)在已經(jīng)有“目錄區(qū)塊鏈”系統(tǒng)應(yīng)用于數(shù)字政府建設(shè)的實(shí)例。北京市人民政府在2019 年深入實(shí)施北京大數(shù)據(jù)行動(dòng)計(jì)劃，打造了“目錄區(qū)塊鏈”[36]系統(tǒng)，該系統(tǒng)秉持職責(zé)為根、目錄為干、數(shù)據(jù)為葉的三級(jí)目錄體系建設(shè)路徑，將全市政府部門、區(qū)的職責(zé)、目錄和系統(tǒng)“上鏈”鎖定，完成“上戶口”，實(shí)現(xiàn)數(shù)據(jù)和職責(zé)的強(qiáng)關(guān)聯(lián)、數(shù)據(jù)變化的實(shí)時(shí)探知以及數(shù)據(jù)訪問(wèn)的全程留痕，有效解決了大數(shù)據(jù)工作中長(zhǎng)期存在的共享難、協(xié)同散、應(yīng)用弱等問(wèn)題。如果能將北京市“目錄區(qū)塊鏈”系統(tǒng)建設(shè)的經(jīng)驗(yàn)應(yīng)用于重要數(shù)據(jù)目錄列選，建設(shè)以硬軟件功能為綱、職責(zé)為根的目錄體系，從而實(shí)現(xiàn)對(duì)數(shù)據(jù)變化的實(shí)時(shí)探知，可以有效解決重要數(shù)據(jù)目錄列選的動(dòng)態(tài)屬性引發(fā)的時(shí)效難題。

所謂以硬軟件功能為綱，是由于數(shù)據(jù)的產(chǎn)生大多與硬軟件功能相關(guān)聯(lián)，2021 年9 月1 日，五部門聯(lián)合約談了11 家網(wǎng)約車平臺(tái)公司，約談要求“各平臺(tái)公司要檢視自身存在的問(wèn)題，立即整改不合規(guī)行為……各平臺(tái)公司在用戶數(shù)據(jù)收集、傳輸、存儲(chǔ)、處理等環(huán)節(jié)，要依法建立相關(guān)數(shù)據(jù)安全管理制度，采取必要的安全技術(shù)和管理措施[37]”。據(jù)此，不合規(guī)行為可能并非只存在于滴滴公司一家，企業(yè)獲取因硬件功能產(chǎn)生的數(shù)據(jù)信息也是通過(guò)設(shè)計(jì)平臺(tái)App 的軟件功能運(yùn)行機(jī)制來(lái)實(shí)現(xiàn)的。因此，要想有效探知重要數(shù)據(jù)的實(shí)時(shí)變化情況，就必須以硬軟件功能為綱，對(duì)因硬軟件功能產(chǎn)生的數(shù)據(jù)進(jìn)行類別劃分，并在此基礎(chǔ)上評(píng)估這些數(shù)據(jù)對(duì)于維護(hù)國(guó)家安全的價(jià)值，依據(jù)評(píng)估結(jié)論建立重要數(shù)據(jù)目錄，并即時(shí)關(guān)注硬軟件功能的更新情況，以便實(shí)時(shí)更新重要數(shù)據(jù)目錄。

所謂以職責(zé)為根，是要求各部門、各行業(yè)、各地區(qū)明確自身在數(shù)據(jù)識(shí)別、分類分級(jí)中的工作職責(zé)。根據(jù)行業(yè)要求、特點(diǎn)、業(yè)務(wù)需求、數(shù)據(jù)來(lái)源和用途等因素，來(lái)對(duì)識(shí)別數(shù)據(jù)進(jìn)行分類。并根據(jù)數(shù)據(jù)遭到篡改、破壞、泄露或者非法獲取、非法利用，對(duì)國(guó)家安全、公共利益或者個(gè)人、組織合法權(quán)益等造成的危害程度，來(lái)對(duì)數(shù)據(jù)進(jìn)行分級(jí)。最后，利用區(qū)塊鏈的透明、可回溯、不可篡改等特性[38]，實(shí)現(xiàn)重要數(shù)據(jù)變化的實(shí)時(shí)探知和重要數(shù)據(jù)目錄的動(dòng)態(tài)管理，從而有效解決時(shí)效性難題。

在具體應(yīng)用方面，一項(xiàng)研究[39]表明，區(qū)塊鏈技術(shù)可以有效解決與現(xiàn)有信息收集和共享系統(tǒng)相關(guān)的信息安全和效率問(wèn)題。該研究運(yùn)用區(qū)塊鏈技術(shù)構(gòu)建了一個(gè)信息收集和共享模型，可以在保證系統(tǒng)安全和用戶隱私的前提下實(shí)時(shí)探知并共享患者的醫(yī)療記錄。換而言之，區(qū)塊鏈技術(shù)既可以提供安全的信息系統(tǒng)，同時(shí)也增加了患者共享醫(yī)療記錄的動(dòng)機(jī)，并且通過(guò)開發(fā)Android 軟件應(yīng)用程序來(lái)實(shí)現(xiàn)可行性。另一項(xiàng)研究[40]也是以醫(yī)療數(shù)據(jù)的收集和共享為視角，證明了通過(guò)采用區(qū)塊鏈可以保證醫(yī)療數(shù)據(jù)的正確性和患者的隱私，特定數(shù)據(jù)的完整性也可以通過(guò)區(qū)塊鏈技術(shù)的智能合約控制來(lái)實(shí)現(xiàn)。此外，還有一些研究[41-42]也表明區(qū)塊鏈技術(shù)在數(shù)據(jù)收集和共享方面兼具安全和效率，證實(shí)了其應(yīng)用于重要數(shù)據(jù)目錄動(dòng)態(tài)管理的可行性。

因此，相關(guān)部門可以通過(guò)區(qū)塊鏈技術(shù)開發(fā)軟件程序?qū)崟r(shí)檢測(cè)重要數(shù)據(jù)情況，構(gòu)建以軟件功能為綱、職責(zé)為根的重要數(shù)據(jù)目錄動(dòng)態(tài)管理系統(tǒng)，解決國(guó)家數(shù)據(jù)安全層面的管理時(shí)效難題。并在此基礎(chǔ)上建立數(shù)據(jù)安全監(jiān)測(cè)預(yù)警與應(yīng)急管理機(jī)制，從而有效應(yīng)對(duì)數(shù)據(jù)跨境流動(dòng)在國(guó)家安全維護(hù)層面提出的法治挑戰(zhàn)。

3.2 以區(qū)塊鏈技術(shù)協(xié)調(diào)個(gè)人數(shù)據(jù)保護(hù)和經(jīng)濟(jì)發(fā)展

如何確定個(gè)人數(shù)據(jù)利用的底線，劃定處理數(shù)據(jù)的合理范圍，從而協(xié)調(diào)個(gè)人數(shù)據(jù)保護(hù)與經(jīng)濟(jì)發(fā)展的關(guān)系，是監(jiān)管數(shù)據(jù)跨境流動(dòng)以保護(hù)個(gè)人數(shù)據(jù)的實(shí)踐難點(diǎn)。對(duì)此，有學(xué)者認(rèn)為：“數(shù)字社會(huì)中作為權(quán)利客體的個(gè)人信息具有固有的人格與天然的財(cái)產(chǎn)雙重價(jià)值……個(gè)人信息權(quán)的人格權(quán)屬性具有對(duì)數(shù)據(jù)財(cái)產(chǎn)權(quán)的優(yōu)位性，它因此是信息處理的底線”[43]，他還基于個(gè)人數(shù)據(jù)主體與數(shù)據(jù)處理者之間的實(shí)質(zhì)不對(duì)等關(guān)系指出，可以借由“告知—選擇”的行權(quán)方式達(dá)到弱化權(quán)利移轉(zhuǎn)效果的目的，既可以保護(hù)處于弱勢(shì)的個(gè)人數(shù)據(jù)主體，也可以降低交易磋商的難度，從而促進(jìn)數(shù)據(jù)流通，進(jìn)而推動(dòng)經(jīng)濟(jì)發(fā)展[44]。不難發(fā)現(xiàn)，所謂“告知—選擇”說(shuō)主要針對(duì)數(shù)據(jù)處理者與個(gè)人數(shù)據(jù)主體之間“一對(duì)多式”的格式合同情形，這一情形下個(gè)人數(shù)據(jù)主體顯然居于弱勢(shì)，而《中華人民共和國(guó)民法典》(下簡(jiǎn)稱《民法典》)第四百九十六條至第四百九十八條[45]已經(jīng)對(duì)格式條款加以規(guī)定，綜合《個(gè)人信息保護(hù)法》規(guī)定的個(gè)人數(shù)據(jù)信息處理的“告知—同意”模式和《民法典》格式條款的規(guī)定可以為解決這一問(wèn)題提供一條救濟(jì)路徑，但該路徑相對(duì)比較滯后，亟需一條更為及時(shí)的保護(hù)途徑。

引入?yún)^(qū)塊鏈技術(shù)來(lái)平衡個(gè)人數(shù)據(jù)主體與數(shù)據(jù)處理者之間的實(shí)質(zhì)不平等關(guān)系，相對(duì)于傳統(tǒng)救濟(jì)途徑，保護(hù)更為及時(shí)?！秱€(gè)人信息保護(hù)法》第四條規(guī)定將匿名化處理后的信息排除在了個(gè)人信息之外，“匿名化”是指“個(gè)人信息經(jīng)過(guò)處理無(wú)法識(shí)別特定自然人且不能復(fù)原的過(guò)程”[29]，從這一規(guī)定不難發(fā)現(xiàn)，企業(yè)如果將個(gè)人數(shù)據(jù)信息匿名化處理之后，在無(wú)涉國(guó)家安全、公共安全等的前提下，可以自由地進(jìn)行數(shù)據(jù)跨境流動(dòng)。這是由于匿名化處理之后，個(gè)人數(shù)據(jù)的人格權(quán)屬性得到了最大程度的保護(hù)。然而，現(xiàn)實(shí)當(dāng)中很難做到完全匿名化，且完全匿名化處理之后數(shù)據(jù)的經(jīng)濟(jì)價(jià)值也可能會(huì)有所降低。如果可以將格式合同關(guān)涉?zhèn)€人數(shù)據(jù)中人格權(quán)益的條款由國(guó)家監(jiān)督制定，且可以為行業(yè)通用，不能篡改，那么就可以平衡個(gè)人數(shù)據(jù)主體與數(shù)據(jù)處理者之間的實(shí)質(zhì)不平等關(guān)系。而實(shí)現(xiàn)這一情形的技術(shù)手段，就是以太坊區(qū)塊鏈技術(shù)。

以太坊區(qū)塊鏈技術(shù)中的智能合約可以將合同內(nèi)容用編程的方式寫入?yún)^(qū)塊鏈網(wǎng)絡(luò)當(dāng)中，一旦合同被寫入，其內(nèi)容將不可更改，合同雙方必須按約執(zhí)行[46]。目前已有研究[47]引入智能合約技術(shù)以實(shí)現(xiàn)基于區(qū)塊鏈的激勵(lì)兼容機(jī)制，兼顧效率的提升和用戶信息安全的需求。國(guó)家可以通過(guò)立法將保護(hù)個(gè)人數(shù)據(jù)中人格權(quán)益的條款規(guī)范化，并寫入以太坊區(qū)塊鏈技術(shù)支持的智能合約當(dāng)中，從而有效杜絕企業(yè)濫用個(gè)人數(shù)據(jù)侵害人格權(quán)益的行為。這項(xiàng)技術(shù)已經(jīng)被應(yīng)用到患者醫(yī)療數(shù)據(jù)保護(hù)方面，通過(guò)執(zhí)行基于區(qū)塊鏈的智能合同來(lái)設(shè)計(jì)安全保護(hù)協(xié)議，兼顧經(jīng)濟(jì)效益和信息安全[48]。

綜上所述，個(gè)人數(shù)據(jù)利用的底線是不能侵犯?jìng)€(gè)人數(shù)據(jù)主體的人格尊嚴(yán)，結(jié)合以太坊區(qū)塊鏈技術(shù)將人格權(quán)益保護(hù)條款寫入智能合約，可以有效平衡個(gè)人數(shù)據(jù)主體與數(shù)據(jù)處理者的市場(chǎng)地位，個(gè)人數(shù)據(jù)財(cái)產(chǎn)權(quán)益的實(shí)現(xiàn)則由市場(chǎng)規(guī)律決定，這也契合了黨的二十大報(bào)告中“充分發(fā)揮市場(chǎng)在資源配置中的決定性作用，更好發(fā)揮政府作用”[2]的論述。

4 結(jié)論

在數(shù)字經(jīng)濟(jì)快速發(fā)展且覆蓋全球的今天，數(shù)據(jù)跨境流動(dòng)已成為我國(guó)必須直面的問(wèn)題。數(shù)據(jù)跨境流動(dòng)監(jiān)管面臨兩大法治實(shí)踐困難，即重要數(shù)據(jù)目錄的動(dòng)態(tài)管理和個(gè)人數(shù)據(jù)保護(hù)與經(jīng)濟(jì)發(fā)展的協(xié)調(diào)平衡。針對(duì)這兩大難題，現(xiàn)行立法和相關(guān)理論提出了一定的解決途徑，然而這些解決途徑相對(duì)比較滯后，難以應(yīng)對(duì)快速發(fā)展的數(shù)字經(jīng)濟(jì)現(xiàn)實(shí)。區(qū)塊鏈技術(shù)有效彌補(bǔ)了這一局限，用技術(shù)監(jiān)管技術(shù)的法治思維，可以適應(yīng)數(shù)字經(jīng)濟(jì)快速發(fā)展的實(shí)際情況，從而有效應(yīng)對(duì)數(shù)據(jù)跨境流動(dòng)提出的法治挑戰(zhàn)。