我國數據出境監管制度構建探究

西南科技大學 閆鈺菲

一、構建我國數據出境監管制度的必要性

面臨數字經濟蓬勃發展的新的時代背景，數據勢必是其核心特征。數據通過互聯網而隨時進行著互聯互通的流動，而流動的領域不僅僅包括個人信息，還包含眾多滲透在政治、經濟、文化、生活等多領域的數據。從國家層面而言，數據已是極為重要的戰略資源；從經濟社會的發展而言，數據則是多領域產業中的新型生產要素；對于個人層面，數據既是個人的產生物也是個人生活中的必需品。如此重要的地位自然使其能夠對于數字經濟全球化的發展產生深刻影響。

通過流動，數據帶來了可觀的經濟收益，但同時數據也屬于如今的重要戰略資源之一，加強數據安全的保護自然成為如今發展數據的必要條件。2021年7月，國內某款App由于存在嚴重違法違規收集使用個人信息問題而被下架，這也成為我國第一次以“維護國家安全”為由，依法審查并整治的數字平臺。對于朝氣十足的數字經濟時代來說，此類違規收集數據影響國家安全的事件絕不可能是首例，也不會是個例。國內互聯網平臺仍然存在眾多問題，如數據安全漏洞、濫用數據等，這些數據安全問題儼然是數字經濟時代最必要的安全問題。針對數據安全，習近平總書記曾經做出重要指示，明確提出要加快數據安全方位的制度建設。我國需要在數據安全制度的構建當面積極回應數據安全維護以及經濟發展的一系列需求，數據出境安全監管治理制度的構建迫在眉睫。

二、我國數據出境監管制度所存在的問題與困境

（一）現有制度不盡完善，存在空白區域，難以真正落地實施

自《數據安全法》發布以來，在實踐與落地的情況上依然不盡理想。兩部法律在現實情況中，對于普羅大眾更多是屬于束之高閣的立法，這并非立法者的初衷與立法的目的和意義。不僅如此，由于配套實施的細則、實施辦法的空白，極易造成監管者束手無策的局面。在對數據出境的法律監管上，現行立法的宏觀主要體現在審查機制和審查程序未作細則規定，給予了監管者較為寬松的監管權力，但在國家安全問題上，寬松的權限反而容易造成監管者束手無策的局面。換句話說是由于立法者對于數據出境法律監管的法律網構建不夠全面，缺乏一定的相關配套法規。導致實際操作中數據出境中的法律監管難以真正落地實施。

（二）數據出境方式單一，難以兼顧發展的需求

目前我國對于數據出境安全審查的規則建立更多停留在宏觀層面，故而在《網絡安全法》與《數據安全法》中的“國家安全審查”成為數據合法出境的前置程序。只有通過了數據安全審查，監管機構才會發放允許出境的行政許可。盡管我們支持國家安全為重的理念，但對于如我國一般的數據大國，“先審查再出境”的模式勢必會造成至少兩方面的問題。首先是審查機構的工作成本。目前數據的跨界流通自然呈增長態勢。而在數字經濟全球化的時代背景下，出境的數據勢必將呈現持續上升的趨勢。這對于監管機構來說無疑將增加審查的時間成本和人力資源成本。對于需要進行數據出境的被審查者來說，數據跨境流動原本是便捷、快速的方式，當必須通過先審查才能出境時，則意味著在數據出境的時間控制上，存在一定的延遲和誤差。

（三）企業對數據合規的自查較被動，加劇監管難度

伴隨著我國數字經濟的繁榮發展，也伴隨國內國際雙循環格局的建立，想要“走出去”分一碗數字時代的羮的企業已屢見不鮮。如今的國際貿易離不開對數據的依賴，企業的發展需求也造就了大量的數據流動。我們不難想象，雨后春筍般的數據時代新機會所帶來的數據流動的規模相比這個數字是有增無減。

其中有相當一部分企業除了擁有經濟領域的數據外，還掌握著眾多用戶的個人信息。無論從何角度出發，企業都應該提高數據安全的自律意識，切勿讓數據安全的自查成為空話，讓企業數據合規被動化。否則對于企業來說，這在無形中便消耗了更多成本。

（四）數據治理國際層面的規則缺失，沖突化解消耗過多成本

我國的數據出境法律監管絕不會僅僅依靠我國的立法，與國際規則相匹配的制度才能更好地為我國數據出境法律監管提供國際化的基礎條件。

在不同的國家體系與價值觀中，產生著對數據出境監管不同的政策與立法。再根據優先事項的差異，這些政策和立法別說不盡相同了，有的甚至都難以避免矛盾和沖突。伴隨如今數據的跨境流動的數量和規模大幅度增長，國家和地區之間以影響數據主權的名義構建起了一定的壁壘。這些壁壘的解決主要是回歸至國家或者地區進行治理。而在數據出境的監管中，如果要化解風險和挑戰，勢必需要以各國數據安全為底線，達成一致的治理規則加以運用，才能盡可能地平衡出境方及入境方共同利益。

三、歐盟地區出境監管制度

歐盟地區的數據出境制度主要是依據《一般數據保護條例》（GDPR），GDPR被譽為是目前跨境數據治理領域中最為嚴苛的保護條例。其目的主要是以維護歐盟數據主權，促進歐盟境內數據的自由流動以及數字經濟的發展。其核心內容是數據主體的權益。它對數據主體的信息、信息獲取、糾正權和參與權有一定的限制。在內容上GDPR對于數據控制者和處理者使用數據的原則以及獨立監管機構的設立原則有一定的規定。其規定監管機構由獨立的政府機構組成，實施歐盟境內的一站式監管，這一點為跨境數據的監管提供了便利。

總結來說，歐盟對于數據跨境流動的態度屬于尋求個人信息保護與數據自由流動的平衡。其數據跨境的方式包括數據輸入者所在國家被歐盟地區列入了“充分性認定白名單”、判斷是否提供了適當協議、行為準則為跨境傳輸提供保障，如果不滿足上述情況，則判斷在該企業集團內部是否建立起已被監管機構批準的有約束力的內部規則，另外是必須通過“必要性測試”和“偶然性判定”下，在滿足特定條件時能夠為第三國或國際組織傳輸個人數據。

四、我國數據出境監管制度構建的思考與建議

（一）盡快出臺相關法律的配套法規，為審查雙方提供“用戶手冊”

配套相關法律法規的出臺不僅意味數據安全法律的構建更具網格化，同時也是對數據出境過程中監管者以及相關主題的管理責任進一步分配和明確的表現。

目前，對于數據出境的監管職責是由專門機構在進行，這些機構將對數據跨境流動的安全性進行審核。而這些專門機構并非是掛牌成立的機構，其包括且不限于有國安部門、公安部門、網信辦、中國人民銀行等機構。在多頭均具有審核權的情況下，我們期待著相關法律法規的誕生。以解決為多重審核機構劃定職責權限的問題，為其實際操作提供良好的協調機制。

從現實的實際操作而言，多部門的共同審核實際上更容易造成權責不明的情況，且對于數據直接或衍生內容多而復雜的情況，審核其是否與國家安全相關，更需要專業的人才與技術進行保障。鑒于此種情況，具有一個可以保證相對較高的審核準確性的審查部門至關重要。這既是審查權利專業性的體現，同時又為審查尺度以及審查范圍提供了較為統一的標準。大大減少了多部門審查之間的交流協調環節的用時。盡管這種模式前期需要對專業人才進行選拔和培養，增加了一定成本，但從數字時代長遠的發展來看，這種成本遠比多部門共商共建所產生的人力、物力成本低，也更便于從整體上綜合判斷數據是否有可能帶來的國家安全風險。

（二）豐富合法流動渠道

根據我國的數據出境監管實踐情況，目前我國擁有較為嚴格的事前“許可”機制。該機制主要是在涉及國家利益、公共利益的特定行業數據、個人數據絕對禁止出境外的范圍外，對個人數據和商業數據進行監管，包括履行“通知-同意”程序、安全自評估、行業主管部門評估等。這樣的模式自然大大降低了我國數據安全風險的挑戰，但是面對數據跨境流動的發展必然要求，其作用便顯得捉襟見肘。

我們必須認可數據跨境流動方式的多元化，也必須了解數據日常化、規模化的跨境需求，所以在不涉及國家安全和公共利益的數據跨境流動上，在安全與效率的抉擇中，我們應努力為效率打造一條安全通道，以達到合理有序的數據流動。在歐盟的模式中，“充分性認定”是一種可以借鑒的途徑，達成特定場景或特定用戶可采用的協議值得借鑒。我國可通過設置數據出境白名單等方式來優化數據出境方式。

（三）引導企業、行業進行自律評估，加強對企業安全自查的引導與支持

依據《數據安全法》第二十三條第二款，國家建立數據安全審查制度，對影響或者可能影響國家安全的數據活動進行國家安全審查。依法作出的安全審查決定為最終決定。這對于企業意味著一旦審查不通過，則無法通過訴訟或復議的途徑作出救濟。對此行業、企業的自行安全評估是實現減少成本、引導發展的重要實現方式。作為監管部門，可以通過出臺相關政策引導行業內起草、探索數據出境安全評估細則，以使細則更符合該行業的現實需求與行業特點。同時引導企業進行數據合規自查，在企業對數據出境自評估方面，首先應明確的是數據跨境傳輸能否獲得監管機構的批準的參考因素，這不僅在于數據本身，還包括數據跨境傳輸的目的以及數據收發雙方的安全性。企業應從自身數據的合法性、正當性、風險可控性出發進行自我評估。

在政府層面，加強對行業、企業的數據安全意識的培養是非常必要的，同時直接加強企業對數據安全的自查技術與人才培養成本的支持，也是實現監管的方式之一。

（四）激流勇進，推動國際間數據跨境流動規則的制度建立

數據流動是國家間投資貿易的必然要素。國際合作和貿易通過數據流動對傳統經濟起了重大作用；在如今的數據經濟，也為境外市場開拓和跨境服務作出貢獻。

國際組織對于全球數據治理規則的制定具有強有力的推動作用，但是世界貿易組織、聯合國等在全球范圍內具有重要影響力的國際組織的規則更側重于實體貿易與全球數字貿易的發展不相適應，促使很多國家通過雙邊或多邊合作的方式暫時解決數據跨境流動問題。然而由于各國在跨境數據流動問題上的立場與模式各不相同，且受到新冠疫情的影響，短期內或許難以締結全球性數據跨境規則。但是我國應積極發揮大國擔當，積極參與國際平臺對數據跨境流動規則的磋商會議，支持有影響力的全球性國際組織開展多邊數據治理合作，積極融入全球數據治理規則，制定努力共謀國際社會合作的最大公約數不斷縮減全球數據治理成本提高全球數據治理效率實際上歐美等國也多次表示，要在世界貿易組織框架下開展全球數據治理談判。這些為我國推進世界貿易組織規則改革、維護我國數據安全及爭奪數據治理話語權創造了有利條件。