数据出境中的国家安全治理探讨
马其家
(对外经济贸易大学法学院教授、博士生导师)
刘飞虎
(对外经济贸易大学法学院博士生)
摘 要:数据出境给我国带来的国家安全风险包括:个人数据出境使我国在政治、文化领域面临国家安全风险,非个人数据出境使我国在国土、军事、科技领域面临国家安全风险。数据出境给国家安全治理带来的新挑战包括:数据的科技属性和流动隐蔽性增加了数据出境国家安全治理的难度,现有监管规则和防范措施不能满足数据出境国家安全治理的需要。为应对数据出境领域国家安全治理的挑战,我国可采取的措施包括:一是推动法定的数据安全技术标准落地,并鼓励企业发展事实标准;二是建立协调统一的数据出境国家安全治理监管机构与监管规则体系,并完善数据控制者数据出境国家安全保障责任;三是构建数据被动出境的主动防御体系,包括建立网络攻击监控平台、形成政府与私营部门协同防御、加强数据安全人才的培养。
关键词:数据出境,国家安全风险,国家安全治理,主动防御
国家安全是一个多领域交叉的综合性安全问题。我国除了重视国土安全、军事安全等传统领域的国家安全外,也同样重视数据领域的国家安全。在立法方面,为维护数据领域的国家安全,规范数据处理活动,我国最高立法机关于2021年6月10日出台了《数据安全法》。在执法方面,2021年7月上旬国家互联网信息办公室(以下简称“网信办”)接连对“滴滴出行”“运满满”“货车帮”“BOSS直聘”等在美国上市的互联网公司,实施国家安全审查。至此,数据出境对国家安全的重大影响,逐步引起社会各界的关注。数据出境是数据处理者将在国内收集、产生的重要数据和个人信息,提供给境外主体的行为。数据特有的科技属性与流动隐蔽性,以及数据的主动出境和被动出境,都会给国家安全治理带来挑战。如何应对这些挑战,是我国目前面临的一项重大课题。然而,当前学界的相关研究主要局限于笼统的数据跨境流动,或者数据国内流转中的国家安全问题,同时涉及数据出境与国家安全问题的论文寥寥数篇。因此,为维护国家安全,研究数据出境领域的国家安全治理规则刻不容缓。本文拟从数据出境给我国带来的国家安全风险、数据出境给国家安全治理带来的挑战、数据出境领域国家安全治理的应对三个方面展开论述,以期能为我国后续立法提供参考。
一、数据出境带来的国家安全风险
数据种类繁多,不同种类数据的出境对国家安全的影响存在差异。一般来说,数据可以被划分为政务数据、商业数据、个人数据,然而这三者的界限并不清晰。由于政务数据、商业数据常常以采集的个人数据为基础,而且个人数据是否应赋予所有权及权利归属等问题仍存在争议,导致在这种分类下讨论数据出境国家安全问题,会出现论述上的重复和遗漏。因此,笔者以数据是否匿名为标准,将数据分为个人数据与非个人数据,并讨论这两类数据出境涉及的国家安全问题,以避免前述分类方式的不足。依据欧盟《通用数据保护条例》中的定义,“个人数据”即与一个身份已经被识别或者身份可识别的自然人有关的任何信息;“非个人数据”则是各种匿名化的数据集,包括匿名化后的个人数据集,以及物联网、人工智能和机器深度学习产生的匿名数据。这两类数据出境对国家安全的威胁具体如下:
(一)个人数据出境在政治、文化领域面临国家安全风险
个人数据出境中的国家安全风险,主要体现在政治安全、文化安全等领域。由于未匿名的数据可以反向定位到个人,数据控制者可以运用“个人数字身份”技术,针对性地预测并影响个人的意识和行为。众多个体的意识和行为被操纵后,汇集起的风险将给国家意识形态、政治选举等带来巨大安全威胁。例如,在政治选举中,境外政治组织可以运用个人数据身份技术分析出境的个人数据,并对个人近期的需求和偏好进行预测,在此基础上向选民投放高精准、定制化的宣传材料,利用“信息茧房”效应引导甚至诱导个人作出特定投票。例如,剑桥分析数据公司在分析选民个人数据基础上,为美国总统大选、英国公投脱欧等事件中的获胜阵营都提供了信息精准投放策略服务,以干扰和引导投票。同时,在国家意识形态建设中,境外新媒体平台可以依据个人数据身份技术分析出境的个人数据身份,运用算法构建针对学生或青年等特定群体暗藏意识形态的信息推送模型,潜移默化中改变数据出境国公民的意识形态。关于意识形态建设,历史上既有苏联解体的沉痛教训,近年来又有我国“新疆毒教材”事件的深刻警示③,意识形态建设对国家安全的影响不可轻视。
当前我国个人数据出境后的具体用途难以预测,数据平台的控制结构也普遍错综复杂。倘若境外政治势力实际操控的数据平台利用个人数据及相应技术,实施侵蚀我国公民意识形态、干涉我国内政等行为,这必将会影响到我国政治、文化、社会等领域的国家安全。
(二)非个人数据出境在国土、军事、科技领域面临国家安全风险
非个人数据出境对国家安全的影响,主要体现在国土安全、军事安全、科技安全等领域。与个人数据相比,非个人数据是无法明确知悉数据来源者身份的数据。为了体现对数据一定程度上流动的鼓励和促进,法律法规对不涉及个人隐私的非个人数据管控似乎更为松散。如《网络安全法》第42条以但书形式,允许个人信息“经过处理无法识别特定个人且不能复原”后,不经过被收集者同意即可流转。然而,海量非个人数据形成的大数据池,经数据分析技术处理后也能得到有效情报,依然会给国家带来巨大安全隐患。
严格来说,非个人数据可以分为“来源于个人+匿名化处理”“不来源于个人”两种形式。前者虽然来源于个人,但经过技术处理,设定权限和密级后形成了不可逆向的匿名数据。后者完全不来源于个人,而是采集于如地理数据、气象数据等天然存在的数据。当前无论是行政机构或是商业主体,都能通过自身渠道和技术采集、控制这两类非个人数据,如财税金融、医疗健康、城建住房、地理空间、交通运输、工业农业等数据。这些非个人数据无序出境后,他国可能利用大数据技术对其处理分析,以对我国社会状况进行精准画像,并有针对性地开展情报收集和研判等工作,威胁我国国家安全。
常见威胁国家安全的非个人数据出境,包括地图数据、不动产登记数据、生物数据的出境等。在地图数据方面,高精度地图是涉及国防安全的基础资料,国外人员为获取高精度地图甚至不惜潜入我国境内从事非法测绘。我国《遥感影像公开使用管理规定(试行)》对分辨率优于10米的遥感影像设定了测绘资质要求,以及规定了公开使用前的安全审查和保密技术处理(如增添偏移量)等程序,世界大多数国家对高精度地图的监管也持谨慎态度。然而,智能汽车企业采集的道路原始数据,已远超规定的分辨率精度,同时还能获取道路或重要桥梁限高、限宽、坡度等明确规定不能公开发布的数据。在不动产登记数据方面,这类数据中包含的大量不动产测绘成果,如土地、房屋的空间分布以及地形、地界等地理数据,完全可以构成国家地理坐标体系,也会潜在威胁我国国土、军事安全。在生物数据方面,生物数据出境也一直受到我国监管的重点关注。如2018年10月华大基因在与牛津大学“中国女性单相抑郁症的大样本病例对照研究”的国际合作中,未经许可将部分中国人遗传资源信息传递出境,受到了科技部的行政处罚。生物数据危害国家安全的结果往往是灾难性的,如基因武器攻击、生物疫情传播、生物品种垄断等。相对于传统医疗企业,新兴科技企业对我国生物数据的收集、传输更加隐蔽,对其监管也处于真空地带,这给我国国家安全带来的风险不容小觑。
总体而言,个人数据、非个人数据的出境都会给国家安全带来潜在风险。这些风险散布于我国政治、军事、经济、文化等多个领域,对我国国家安全造成重大威胁,也给我国数据出境国家安全治理带来挑战。
二、数据出境带来的国家安全治理新挑战
(一)数据的科技属性和流动隐蔽性增加了数据出境国家安全治理的难度
数据作为与劳动、资本等并列的第五大生产要素,其价值必须通过交换才能实现。在数据交换、流动出境时,一国法律的制定进度必然滞后于全球数据科技的发展速度,如果不能厘清数据技术层面的特性,就更不可能实现有效的数据出境国家安全治理和风险防范。与传统货物、服务出境不同,数据出境给国家安全治理带来的挑战,主要体现在以下两方面:
一是数据技术专业性强,治理难度大。了解数据本身属性及数据全生命周期管理等具体技术流程,是对数据出境进行国家安全治理的前提。一般而言,当前数据呈现出“数量海量化、种类多样化、处理快速化、价值密度低”的特点。数据产业中,海量数据来源于数据公开、网络收集、物联网上传、数据泄露等各种渠道,数据格式由各类结构不同的异构数据组成,数据处理者遍布数据产业链的各个环节,众多数据的价值也各有不同。监管者对这些客观存在的数据流转、处理等技术流程的熟知程度,决定了相关立法的质量和可执行性。数据治理只有结合数据技术特点,才能准确指明治理对象、划定监管范围、选择监管方式等。
二是数据流动隐蔽性高,难于识别。准确识别数据的不合法出境是数据出境国家安全治理的基础。数据流通利用是社会运行不可或缺的要素,只是在法律正式确认和规范之前多以非正式方式存在或以隐蔽的方式进行,这些隐蔽的方式包括通过恶意软件采集、SQL注入获取数据库权限、网络爬虫抓取等,来获取他人未授权的数据并流转使用。全球经济一体化背景下,众多境外商业软件在我国运营,它们收集的数据是否以隐蔽且未授权的方式流动出境,成为我国数据出境国家安全治理亟需重点关注的问题。
(二)现有监管规则和防范措施不能满足数据出境国家安全治理的需要
数据出境可分为主动出境与被动出境,两者对国家安全治理带来的挑战是不一样的。数据主动出境,是指数据控制者明知或应知其实施的行为会产生数据出境效果情形下的数据出境。如果数据控制者主观上追求数据出境的目的,则为故意的数据主动出境,出境前应当履行数据控制者安全保障义务;如果数据控制者由于疏忽大意或过于自信,应知悉行为将产生数据出境的后果而未意识到,导致了数据出境的结果,则为过失的数据主动出境。换言之,无论数据控制者主观上为故意或过失,只要认识到或应当认识到该行为将产生数据出境的效果,即为数据的主动出境。数据的被动出境,是指由不能预见、不能避免并不能克服的客观情况导致的数据出境。例如数据控制者已经严格遵守法律法规并履行了数据安全保障义务,由不能预见或不可抗拒的网络攻击、数据爬虫或技术故障等导致的数据被动出境。
1.监管规则欠缺,不能完全应对数据主动出境的国家安全治理。数据治理要坚持以释放数据价值为目标,以安全作为底线要求。为保障数据有序流动和价值释放,我国初步形成了“1+3+N”格局的数据监管法律法规体系,其中“1”是指《国家安全法》,“3”是指《数据安全法》《网络安全法》《个人信息保护法》,“N”是其他涉及数据安全的法律法规及立法草案,如《生物安全法》《数据出境安全评估办法(征求意见稿)》(2021年)及《网络安全审查办法》等。我国目前采用“二分法”监管数据的主动出境,对于重要数据,如电信、金融、交通、能源等领域的数据,一般需要通过正当程序,经过个人同意、数据安全评估、数据安全审查等流程后,在监管许可下出境。但总体来说,我国数据主动出境国家安全治理规则仍存在以下不足:
(1)数据主动出境规则的协调机制欠缺。《数据安全法》第31条及《网络安全法》第37条都规定,个人信息及重要数据的出境安全管理办法,由网信部门会同国务院有关部门制定。在此规则下,国家网信办公布了《数据出境安全评估办法(征求意见稿)》(2021年),其中要求信息出境前需要向所在地省级网信部门申报安全评估。然而,中国人民银行发布的《反洗钱法(修订草案公开征求意见稿)》(2021年),则要求境内金融机构向境外当局提供可能涉及国家安全的信息时,应当事先获得国务院有关金融监督管理机构批准。
这样,数据主动出境事实上形成了“双线多头监管”的态势。在全国人大及其常委会制定的法律层面未统一数据出境程序,而将具体的数据合法出境规则制定权下放到省部级单位,难免导致各部门、省市制定的法规之间存在管辖范围、执法权力、行政程序等方面的重叠、遗漏甚至冲突。这也给市场主体数据出境是否合规带来极大不确定性,降低了数据出境安全管理规则的权威性。尽管交由各行业主管部门制定法规能提高规则的行业针对性,但在后续立法完善中仍亟需形成法律层面统一、协调的数据出境监管规则体系。
(2)数据主动出境规则的可操作性有限。一方面,数据出境规则中某些基础概念不明确。例如,重要数据的概念与数据分类分级保护制度是紧密相连的,只有先明确重要数据的范围,才能确认数据安全法的保护对象和责任主体,才能落实数据分类分级保护制度。《数据安全法》第21条规定了“国家建立数据分类分级保护制度”和“加强对重要数据的保护”,且第27条、第30条、第31条、第46条均涉及重要数据,然而,该法中却并未明确界定“重要数据”涵盖的范围,仅仅规定在国家数据安全工作协调机制统筹协调下,由“有关部门制定重要数据目录”。2017年公布的《个人信息和重要数据出境安全评估办法(征求意见稿)》第17条将重要数据定义为“与国家安全、经济发展,以及社会公共利益密切相关的数据”,也并未能提供确切可执行的重要数据划分标准。2021年公布的《数据出境安全评估办法(征求意见稿)》甚至直接回避了对重要数据定义的解释。这使得重要数据的基本概念内涵不明晰,导致各部门、各地区在实际管理中的标准必然存在差异。
另一方面,数据主动出境的配套规则不完善。对于数据出境,2017年《网络安全法》首次确立数据境内储存原则,2021年的《数据安全法》又增加了数据风险评估报告制度、数据安全审查制度、数据出口管制原则、非经批准禁止向境外当局提供境内数据等规定。然而,这些制度和规则均过于原则化,在配套细则尚未完善的情形下,导致实践中难以操作。例如,《数据安全法》第11条规定要积极开展数据领域的国际交流合作,但是对于国际规则、标准与我国法律的协调、衔接机制并未具体说明。又如,《数据安全法》第18条提出国家支持和促进数据安全检测评估、认证等服务的发展,虽然目前已有《数据安全能力成熟度模型》(GB/T 37988-2019)、《数据安全治理能力评估方法》(T/ISC-0011-2021)等多个数据安全检测评估、认证国家技术标准和团体标准,但是行政法层面并无配套细则出台,对这些服务主体的业务资质、从业人员资格、安全保障义务等具体事项进行规定。
(3)数据主动出境中企业责任的承担形式单一。企业作为海量数据的控制者,在保障数据安全方面的责任不可小觑。《数据安全法》第8条规定数据处理者负有保护数据安全义务,第28条要求重要数据处理者明确数据安全负责人和管理机构,第29条及第30条为数据处理者分配了数据风险监测、评估和上报责任。依据第六章的规定,若数据处理者不履行义务或违反规定,主管部门可以对其作出约谈、责令整改、给予警告、行政罚款以及停业整顿、吊销营业执照等行政处罚,构成犯罪的追究刑事责任。虽然《数据安全法》规定了企业的上述责任,但由于数据行业的特殊性,企业责任的承担形式依然有所欠缺。相比之下,同为特殊行业的金融市场规则却更为完备。例如,《证券公司监督管理条例》第83条规定了证券行业从业资格制度,证券从业人员需要考试取得执业资格,对于从业中有违法违规情节严重的,可以撤销任职资格或证券从业资格等。又如《证券法》第221条设置了证券从业者市场禁入措施,对于严重违反金融法律、法规的人员,禁止其在一定期限内直至终身不得从事金融业务,包括担任金融企业董事、监事、高级管理人员,以及在金融交易市场从事交易等。鉴于数据行业的特殊治理需求,后续立法中,数据出境企业的安全保障责任承担形式仍有进一步丰富和完善的空间。
2.防范措施不足,无法保障实现数据被动出境的国家安全治理。数据被动出境类似于意外事件。客观上数据出境事件的发生具有偶然性和不可避免性,主观上行为人不可预见或遭受不可抗拒的强制力。这既包括环境因素导致的数据被动出境,如数据存储国的战争或军事行动引起的数据泄露,也包括技术因素导致的数据被动出境,如在数据控制者严格履行安全保障义务的前提下,由于技术鸿沟的客观存在,无法避免境外网络攻击情形下的数据被动出境。两种致因下,虽然数据控制者都应免于法律责任,但产生的危害后果,事实上已造成国家安全的重大风险。因此,数据被动出境风险,也必须纳入国家安全治理范围,尤其是技术差异导致的数据被动出境。
来自境外的网络攻击当前在全球范围内已普遍存在,国家和地区的数据安全已普遍受到威胁。即使是保持互联网技术遥遥领先的美国,也不断遭受来自境内外的网络攻击。防范网络攻击引起的数据被动出境风险,是维护我国数据主权的具体体现。境外主体借助信息科技优势,通过网络攻击方式窃取我国数据,危害我国国家安全,正是对我国数据主权的侵犯。总体来说,当前我国数据被动出境防范措施的不足,体现在以下三方面:
(1)缺乏国家层面的境外网络攻击监控技术平台。一方面,针对我国重要领域数据的网络攻击愈发频繁。对于主权国家,一般来说,工业、电信、交通、金融、教育、科技等涉及国家安全和国民生计领域中的数据较为重要,它们在境外网络攻击中也首当其冲。作为我国高新技术企业代表的华为集团,从2013年平均每月受到五六十万次网络攻击,到2019年每天受到全球约百万次网络攻击⑥。可以说,意在窃取我国科技行业数据的境外网络攻击,不仅频率惊人,还呈现出愈演愈烈的趋势。另一方面,我国所依赖的国外信息技术产品可能存在数据被动出境漏洞。我国许多领域使用的软硬件仍需依赖国外产品,然而这些信息技术产品可能存在陷门,允许境外访问者通过特定指令,不经过通常的安全检查访问过程而进行非授权访问。例如,在中国几乎所有重大信息网络和系统项目建设中均有使用的美国思科(Cisco)路由器产品,经检测却显示其多款主流产品的VPN隧道通讯和加密模块存在预置式“后门”,攻击者可还原VPN加密信息内容实现数据监测⑦。因此,我国亟需在国家层面建设覆盖各个领域的数据被动泄露风险监测、预警、安全信息共享调度平台。
(2)多方参与防范数据被动出境的机制欠缺。当前对数据被动出境的防范,主要依靠制定法律法规来指导行政部门实施监管,未能发挥其他市场主体的主观能动性。对于网络攻击,虽然《国家安全法》《网络安全法》《数据安全法》等规定了网络安全等级保护制度、安全风险监测预警机制、数据安全应急处置机制等防范措施,但是专门针对境外网络攻击的数据保护规则有所欠缺。通过梳理,仅有《网络安全法》第5条和第75条的规定与境外网络攻击直接相关,但也仅仅是原则性地宣示了我国对此类行为拥有保护性管辖权。与此同时,负有数据安全保障义务的数据控制者,作为被境外网络攻击的主体,除了向主管部门汇报和发布白皮书分享自身数据安全保障措施外,并没有其他明确途径可以参与防范数据被动出境规则和技术标准的制定。作为境外网络攻击的直接承受者,数据控制者难以主动为防范数据被动出境规则的完善提供助力。
(3)忽视数据安全人才培养和技术研发资金投入。建立有效的数据被动出境安全防范体系,需要以大量高素质数据安全人才和数据安全技术成果为支撑。数据安全治理需要计算机科学、管理学、法学、政治学等多学科知识,数据安全人才需要系统、全面的培训。2021年4月我国“国家安全学”一级学科设立,以培养国家安全与应急管理交叉领域人才,这表明我国数据安全人才的培养才刚刚起步。此外,数据安全技术的研发和成果的转化落地,也需要政策和资金上支持,然而目前相关的政策支持严重不足。
三、完善数据安全技术治理标准,着力构建国家安全治理体系
(一)完善数据安全技术标准,防治数据出境因技术问题引发的国家安全风险
如上文所述,数据的科技属性及流动的隐蔽性,使数据出境及其风险难于识别,加大了国家对数据出境国家安全治理的难度。因此,我国有必要制定和完善有关数据安全的技术标准,以便有效治理数据出境因技术问题而引发的国家安全风险。
1.推动法定的数据安全标准落地。法定标准是政府标准化组织或政府授权的标准化组织设置的标准。我国由全国信息安全标准化技术委员会(以下简称“信标委”)承担信息安全技术专业领域内的标准化技术工作。到目前,与数据相关的技术标准中,已发布的国家标准包括《数据库管理系统安全评估准则》(GB/T 20009—2019)、《政务信息共享数据安全技术要求》(GB/T 39477—2020)、《健康医疗数据安全指南》(GB/T 39725—2020)等14项,涉及数据存储、传输、流转以及数据分类分级、监测预警、应急处置等标准,对《数据安全法》等法律法规中的“推进数据安全标准体系建设”要求作出了回应,也为数据产业安全发展提供了明确技术指引。还在研制修订中的国家标准包括《电信领域大数据安全防护实现指南》《基因识别数据安全要求》《汽车采集数据的安全要求》以及与数据出境国家安全直接相关的《数据出境安全评估指南》等11项,基本上涵盖了政治、经济、科技、网络、生物等领域数据的安全标准。
为了进一步完善数据出境的国家安全治理,一方面,需要尽快推动研制中的数据安全法定标准的修订和落地,尤其是2017年8月信标委已公布、至今仍未通过的《数据出境安全评估指南(征求意见稿)》,以期为我国数据出境提供明确、具体、可执行的数据安全国家标准,更好地维护数据出境中的国家安全。另一方面,鉴于教育数据、生态数据等领域目前并没有发布或在研制中的专项数据安全技术标准,建议将教育、生态等领域的数据安全技术标准纳入专项国家标准制定计划中,以应对在数据技术发展日新月异现状下国家安全外延的快速扩展,防范这些领域数据出境中潜在的国家安全风险。
2.鼓励企业发展事实标准。事实标准是单个企业或少数企业联盟通过技术许可等方式,不断扩大自有技术的市场渗透力和影响力而形成的行业技术标准。数据控制者在处理数据业务时,对于数据安全问题能有更直接、及时、全面的接触,其在实践中形成的业务处理标准,对于完善数据出境国家安全治理有重要参考价值。鼓励企业发展事实标准,既是对《数据安全法》第17条“国家支持企业、社会团体和教育、科研机构等参与标准制定”要求的落实,也是增强法律法规可执行性和实现立法民主化的必然要求。例如,2017年12月腾讯发布的《腾讯云数据安全白皮书》,从数据保护原则、保护职责划分、保障技术措施等方面论述了对数据安全的保障,并着重介绍了数盾一站式数据安全解决方案、KMS加密技术、“六把钥匙”鉴权体系等数据安全保障技术。又如2021年5月中国互联网协会组织编写并发布的《数据安全治理能力评估方法》团体标准,综合企业贯标实践经验,提出数据安全治理能力评估框架,促进了全行业积极提升数据安全治理能力的良好氛围。无论是企业标准还是团体标准,经过市场检验认可后,就形成了数据安全的事实标准,都在一定程度上推动了数据安全的发展。
对于数据出境国家安全来说,需要尽快发展的事实标准有两个。一是明确异构数据处理标准,在非结构化数据的增长速度远超结构化数据的现状下,只有能从海量异构数据中分辨出涉及国家安全的重要数据,才能实现将数据安全要求嵌入对异构数据的处理流程中,防范重要数据夹带出境,给国家安全带来潜在风险。二是完善企业的数据泄露防护标准,明确数据控制者的内部技术手段,防止特定数据以违反安全策略规定的形式流出,以应对愈演愈烈的境外网络攻击导致的数据被动出境国家安全风险。
(二)完善数据主动出境的国家安全治理体系
完善有关数据主动出境的国家安全治理规则,是维护国家安全、促进数据有序开发利用和实现数据价值释放的保障。虽然目前我国基本形成了以《国家安全法》《网络安全法》《数据安全法》《个人信息保护法》为统领的“1+3+N”数据法律体系,但是,如上文所述,针对数据主动出境中的国家安全治理,仍存在规则协调机制欠缺、规则可操作性有限、企业责任承担形式单一等问题。为保障数据主动出境中的国家安全,我国后续立法中仍需针对这些方面进行调整或完善,具体来说:
1.建立协调统一的数据出境国家安全治理监管机构与监管规则体系。《数据安全法》第31条及《网络安全法》第37条确立的数据出境“双线多头监管”格局,虽然赋予各行业领域主管部门更多的规则制定权,有利于各行业结合自身特点制定规则,但是同时也给整个数据领域的统一规范带来困境。如前文提及的金融数据出境存在的监管竞争问题,数据控制者既要依据《数据出境安全评估办法(征求意见稿)》要求向所在地省级网信办申报安全评估,又要依据《反洗钱法(修订草案公开征求意见稿)》要求向国务院有关金融监督管理机构申请批准。然而这两类管理机构的数据安全评估标准并不完全一致,如《反洗钱法(修订草案公开征求意见稿)》仅在第49条第2款中规定了国务院有关金融监督管理机构拥有决定涉及“国家主权、安全和利益等”的金融数据能否出境的审批权,但并没有具体、公开的审批标准。而《数据出境安全评估办法(征求意见稿)》中的数据出境审核标准则明确很多,如明确规定了重点评估事项、提交材料、评估机构、评估结果有效期等。因此,在国家立法层面,仍需要统一协调数据出境安全审查的顶层设计,以避免监管竞争及监管套利。
调整当前双线多头监管的格局,应当加强国家层面的统筹立法,避免不同部门、不同地区因标准不同导致的数据出境安全监管混乱。在《数据安全法》后续修订中,可以在第31条“其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定”之后,增加“由中央国家安全领导机构及其授权的机构予以确定后实施”的规定,将部门规章、地方性规范文件的审核、确认权赋予国家安全委员会统一行使,以保障各部门、各地区制定的数据出境规则协调统一。同时,对《数据安全法》及其他法律法规中的相关条款进行同步修订,以在国家层面统筹协调部门、地区差异导致的监管规则冲突及遗漏。
2.细化数据出境规则,增强数据主动出境国家安全治理规则的可操作性。一是明确重要数据的概念。清晰界定重要数据的内涵与外延是落实数据分级分类保护原则的关键,也是监管数据主动出境以维护国家安全的前提。虽然《数据安全法》《个人信息和重要数据出境安全评估办法(征求意见稿)》及《数据出境安全评估办法(征求意见稿)》中均未能明确重要数据的范围,但是也有个别立法草案中涉及了重要数据的定义,如2019年网信办公布的《数据安全管理办法(征求意见稿)》中将重要数据定义为“一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等”,以及2017年信标委公布的《信息安全技术数据出境安全评估指南(征求意见稿)》之附录A《重要数据识别指南》列举了27个行业的重要数据标准。为了便利监管,立法中应当以法律的形式明确重要数据的范围。在后续完善立法时,不妨采用“解释+列举”的形式对重要数据进行定义,并指定《重要数据识别指南》为各部门、各地区确定重要数据具体范围的依据。此外,《重要数据识别指南》中的重要数据范围,也应因数据技术发展和社会环境变化等,及时由对应行业主管部门参与删减和修订,以保障法律的时效性和实效性。
二是尽快出台《数据安全法》等法律法规中原则、制度、机制的配套实施细则。在国内配套制度方面,要及时颁布行政许可细则并明确从业资质、主体责任、安全保障义务等,以落实“国家支持和促进数据安全检测评估、认证”等服务的要求;同时,要进一步完善包括数据出口管制原则、数据出境风险评估报告制度等其他国内数据管理配套细则。在与国际规则衔接方面,需要制定协调国内与国际数据技术标准、安全管理规则的配套细则,明确国内协调机构的职责及权限,授权协调机构代表国家参与国际数据规则的研讨和制定,以落实“积极开展数据领域的国际交流合作”的原则。
3.加强数据控制者数据出境国家安全保障责任。数据控制者的数据出境国家安全保障责任,可以划分为内部、外部两个层面,内部责任为数据控制者在处理数据出境业务时应尽的自我管理责任,外部责任为法律法规及技术标准等对数据出境处理者的明确要求。外部安全保障责任往往是针对同一行业整体的规范和要求,是数据控制者安全保障责任的最低标准,而内部安全保障责任则可以结合自身具体业务灵活调整,是数据控制者为了获取竞争优势主动设立的标准。对于数据控制者内部安全保障责任的落实,除了在立法中普遍被关注的安全管理水平或技术流程控制,数据控制者治理结构的影响常常被忽视。所谓数据控制者的治理结构,是指将数据安全保障义务全面融合于数据控制者职能部门的权力分配与运行之中。恰当的治理结构可以将外部责任有效嵌入数据控制者的内部管理、技术流程等业务处理过程中,而非成为数据控制者运营中的累赘。因此,立法中除了关注数据控制者的管理水平和技术流程,也应适当引导和鼓励数据控制者建立妥当的治理结构,将数据出境国家安全保障责任合理分配到适合的部门。
此外,需要进一步完善数据控制者外部安全保障责任。除了现有的行政处罚和刑事处罚责任外,可以增加数据控制者的责任,具体来说:一是建立数据企业信用档案制度,对于在数据出境中造成重大国家安全危害或风险的数据控制者,将责任单位和人员的不良行为记入企业信用档案并向社会公布,在企业后续商业贷款、政府补贴中不予批准。二是设立数据从业人员资格认证制度。数据控制者的特定职务必须由拥有从业资格的员工担任,并且数量符合要求,如工信部已于2021年10月18日发布了《大数据从业人员能力要求》(SJ/T 11788-2021)。三是增加市场禁入措施。对于严重违反数据出境法律法规的人员,禁止其在一定期限内直至终身不得从事数据出境业务,包括担任数据出境企业董事、监事、高级管理人员或从事数据交易等,以及撤销任职资格或数据从业资格等。
(三)构建数据被动出境的国家安全治理体系
大国数据竞争背景下的数据被动出境问题频发,数据已成为各国重要的情报来源,开展应对网络攻击的主动防御,在当下具有重要战略意义和现实意义。不同于受到网络攻击后才采取安全措施的被动防御,主动防御能够在入侵行为造成严重后果前,提前预警,掌握防御主动权,以避免、转移或降低数据控制者面临的安全风险。这也是贯彻落实数据安全风险评估、报告、信息共享、监测预警机制以及数据安全应急处置机制要求的具体表现。针对我国重要数据成为境外网络攻击主要目标、依赖国外存在数据出境漏洞信息技术产品、数据被动出境防范措施不足且被动的现状,实现数据被动出境的主动防御可以有效防范、减少我国国家安全风险。具体来说,构建主动防御体系需要:
1.建立境外网络攻击监控调度平台。若要实现对境外网络攻击的主动防御,防范境内数据的被动出境风险,建立系统实时的国家级网络攻击和数据安全监测平台必不可少。平台的建设可以实现三个安全治理目标:一是统一管理监测重要数据。在情报领域,如欲最大限度发挥大数据优势,对数据的整合利用是关键。将各领域重要数据汇集于同一个高安全级别系统中进行整合管理,既可以更有效地实现数据共享、协同合作和安全防范,又可以从全方位对数据网络攻击进行监测和分析,优化情报流程,为数据安全预警、应急处置提供充足的信息。二是准确快速判断网络攻击风险。通过预设数据出境安全威胁库、网络漏洞库、防御策略库等网络安全知识数据库,结合人工智能、大数据等信息技术平台可以实现海量数据快速处理、多源异构数据高效关联处理、动态数据实时在线处理,从而精准快速地识别网络爬虫、撞库、SQL注入获取数据库权限等网络攻击,为启动防御措施争取时间。三是提供数据安全预警及安全决策参考。平台监测到国家数据安全威胁信息并作出判断后,可以及时发布预警信息,其他相关数据安全部门、数据控制者等能够及时采取安全补救措施,同时数据安全主管部门也能作出更科学准确的防御决策。
2.形成政府与私营部门协同防御体系。私营部门与国家是命运共同体、利益共同体,国家安全是私营部门长期稳定发展的基础。数据出境流动中政府与私营部门合作,已是各国常态。相对于仅由政府进行数据出境规则制定和数据出境国家安全监测,私营部门作为规则承受者和数据业务直接参与者,既可以深刻体会到规则层面的缺漏和不足,又能够更及时地察觉实践层面网络攻击等数据被动出境风险。私营部门参与数据出境安全规则制定和安全风险监测,对于推动数据出境国家安全治理意义重大。我国有必要形成“以政府为主导,以私营部门为辅助”的数据被动出境协同防御体系,实现政府与私营部门的数据出境国家安全联动监管。
具体来说,要实现协同防御,可以这些方面为政策导向。一是要强化数据泄露出境的溯源能力。私营部门在提供数据服务过程中获取了众多可能涉及国家安全的数据资源,又往往是海量数据的汇集点和泄露源,因此,可以适当借鉴美国“受控非密信息”的数据标识制度,以电子标注方式实现数据泄露后的可溯源性,确保数据安全的可管可控。二是要鼓励私营部门数据安全威胁信息共享。我国数据安全监测仍停留在单主体监控层面,应当以法律法规为导向,鼓励私营部门参与到数据出境国家安全监测预警中。美国2015年通过的《网络安全信息共享法案》规定,企业自愿共享网络安全威胁信息的,可以豁免受司法追究该共享行为,这值得我国参考借鉴。
3.加强数据安全人才培养与财政支持力度。实现我国的数据被动出境主动防御,需要进一步完善数据安全人才培养制度和配套财政资金支持政策。一方面,数据出境国家安全需要数据安全专业人才提供技术支持,我国应当及时落地相应的数据安全人才培养政策,推进数据安全人才培训机构建设,积极培养多种层次、复合知识背景的数据安全专业人才,为我国主动应对数据出境国家安全风险储备高技术人才梯队。为保障数据安全培训的有效性,可以参照美国肯塔基州的做法,将培训考核结果和从业人员的数据访问权限挂钩。另一方面,配套财政资金支持政策适当向数据安全领域倾斜,形成从数据安全基础防护设施建设、数据安全科技研发、数据安全人才创业到数据安全成果奖励及保护等多领域、全面性的财政政策支持,促使我国在数据出境国家安全领域有更多成果,以保障我国数字经济能更快、更好、更持续地健康发展。