數(shù)據(jù)出境中的國(guó)家安全治理探討

馬其家 劉飛虎

〔摘要〕數(shù)據(jù)出境給我國(guó)帶來(lái)的國(guó)家安全風(fēng)險(xiǎn)包括：個(gè)人數(shù)據(jù)出境使我國(guó)在政治、文化領(lǐng)域面臨國(guó)家安全風(fēng)險(xiǎn)，非個(gè)人數(shù)據(jù)出境使我國(guó)在國(guó)土、軍事、科技領(lǐng)域面臨國(guó)家安全風(fēng)險(xiǎn)。數(shù)據(jù)出境給國(guó)家安全治理帶來(lái)的新挑戰(zhàn)包括：數(shù)據(jù)的科技屬性和流動(dòng)隱蔽性增加了數(shù)據(jù)出境國(guó)家安全治理的難度，現(xiàn)有監(jiān)管規(guī)則和防范措施不能滿足數(shù)據(jù)出境國(guó)家安全治理的需要。為應(yīng)對(duì)數(shù)據(jù)出境領(lǐng)域國(guó)家安全治理的挑戰(zhàn)，我國(guó)可采取的措施包括：一是推動(dòng)法定的數(shù)據(jù)安全技術(shù)標(biāo)準(zhǔn)落地，并鼓勵(lì)企業(yè)發(fā)展事實(shí)標(biāo)準(zhǔn)；二是建立協(xié)調(diào)統(tǒng)一的數(shù)據(jù)出境國(guó)家安全治理監(jiān)管機(jī)構(gòu)與監(jiān)管規(guī)則體系，并完善數(shù)據(jù)控制者數(shù)據(jù)出境國(guó)家安全保障責(zé)任；三是構(gòu)建數(shù)據(jù)被動(dòng)出境的主動(dòng)防御體系，包括建立網(wǎng)絡(luò)攻擊監(jiān)控平臺(tái)、形成政府與私營(yíng)部門協(xié)同防御、加強(qiáng)數(shù)據(jù)安全人才的培養(yǎng)。

〔關(guān)鍵詞〕數(shù)據(jù)出境，國(guó)家安全風(fēng)險(xiǎn)，國(guó)家安全治理，主動(dòng)防御

〔中圖分類號(hào)〕D90-052〔文獻(xiàn)標(biāo)識(shí)碼〕A〔文章編號(hào)〕1004- 4175（2022）02-0105-09

〔基金項(xiàng)目〕國(guó)家社會(huì)科學(xué)基金項(xiàng)目“數(shù)字經(jīng)濟(jì)時(shí)代平臺(tái)企業(yè)濫用數(shù)據(jù)優(yōu)勢(shì)的反壟斷法規(guī)制研究”（21BFX114），主持人馬其家；對(duì)外經(jīng)濟(jì)貿(mào)易大學(xué)研究生科研創(chuàng)新基金資助項(xiàng)目“數(shù)字經(jīng)濟(jì)背景下的企業(yè)數(shù)據(jù)出境監(jiān)管研究”（202111），主持人劉飛虎。

國(guó)家安全是一個(gè)多領(lǐng)域交叉的綜合性安全問(wèn)題。我國(guó)除了重視國(guó)土安全、軍事安全等傳統(tǒng)領(lǐng)域的國(guó)家安全外，也同樣重視數(shù)據(jù)領(lǐng)域的國(guó)家安全。在立法方面，為維護(hù)數(shù)據(jù)領(lǐng)域的國(guó)家安全，規(guī)范數(shù)據(jù)處理活動(dòng)，我國(guó)最高立法機(jī)關(guān)于2021年6月10日出臺(tái)了《數(shù)據(jù)安全法》。在執(zhí)法方面，2021年7月上旬國(guó)家互聯(lián)網(wǎng)信息辦公室（以下簡(jiǎn)稱“網(wǎng)信辦”）接連對(duì)“滴滴出行”“運(yùn)滿滿”“貨車幫”“BOSS直聘”等在美國(guó)上市的互聯(lián)網(wǎng)公司，實(shí)施國(guó)家安全審查。至此，數(shù)據(jù)出境對(duì)國(guó)家安全的重大影響，逐步引起社會(huì)各界的關(guān)注。數(shù)據(jù)出境是數(shù)據(jù)處理者將在國(guó)內(nèi)收集、產(chǎn)生的重要數(shù)據(jù)和個(gè)人信息，提供給境外主體的行為①。數(shù)據(jù)特有的科技屬性與流動(dòng)隱蔽性，以及數(shù)據(jù)的主動(dòng)出境和被動(dòng)出境，都會(huì)給國(guó)家安全治理帶來(lái)挑戰(zhàn)。如何應(yīng)對(duì)這些挑戰(zhàn)，是我國(guó)目前面臨的一項(xiàng)重大課題。然而，當(dāng)前學(xué)界的相關(guān)研究主要局限于籠統(tǒng)的數(shù)據(jù)跨境流動(dòng)，或者數(shù)據(jù)國(guó)內(nèi)流轉(zhuǎn)中的國(guó)家安全問(wèn)題，同時(shí)涉及數(shù)據(jù)出境與國(guó)家安全問(wèn)題的論文寥寥數(shù)篇。因此，為維護(hù)國(guó)家安全，研究數(shù)據(jù)出境領(lǐng)域的國(guó)家安全治理規(guī)則刻不容緩。本文擬從數(shù)據(jù)出境給我國(guó)帶來(lái)的國(guó)家安全風(fēng)險(xiǎn)、數(shù)據(jù)出境給國(guó)家安全治理帶來(lái)的挑戰(zhàn)、數(shù)據(jù)出境領(lǐng)域國(guó)家安全治理的應(yīng)對(duì)三個(gè)方面展開(kāi)論述，以期能為我國(guó)后續(xù)立法提供參考。

一、數(shù)據(jù)出境帶來(lái)的國(guó)家安全風(fēng)險(xiǎn)

數(shù)據(jù)種類繁多，不同種類數(shù)據(jù)的出境對(duì)國(guó)家安全的影響存在差異。一般來(lái)說(shuō)，數(shù)據(jù)可以被劃分為政務(wù)數(shù)據(jù)、商業(yè)數(shù)據(jù)、個(gè)人數(shù)據(jù)，然而這三者的界限并不清晰。由于政務(wù)數(shù)據(jù)、商業(yè)數(shù)據(jù)常常以采集的個(gè)人數(shù)據(jù)為基礎(chǔ)，而且個(gè)人數(shù)據(jù)是否應(yīng)賦予所有權(quán)及權(quán)利歸屬等問(wèn)題仍存在爭(zhēng)議②，導(dǎo)致在這種分類下討論數(shù)據(jù)出境國(guó)家安全問(wèn)題，會(huì)出現(xiàn)論述上的重復(fù)和遺漏。因此，筆者以數(shù)據(jù)是否匿名為標(biāo)準(zhǔn)，將數(shù)據(jù)分為個(gè)人數(shù)據(jù)與非個(gè)人數(shù)據(jù)，并討論這兩類數(shù)據(jù)出境涉及的國(guó)家安全問(wèn)題，以避免前述分類方式的不足。依據(jù)歐盟《通用數(shù)據(jù)保護(hù)條例》中的定義，“個(gè)人數(shù)據(jù)”即與一個(gè)身份已經(jīng)被識(shí)別或者身份可識(shí)別的自然人有關(guān)的任何信息；“非個(gè)人數(shù)據(jù)”則是各種匿名化的數(shù)據(jù)集，包括匿名化后的個(gè)人數(shù)據(jù)集，以及物聯(lián)網(wǎng)、人工智能和機(jī)器深度學(xué)習(xí)產(chǎn)生的匿名數(shù)據(jù)〔1〕。這兩類數(shù)據(jù)出境對(duì)國(guó)家安全的威脅具體如下：

（一）個(gè)人數(shù)據(jù)出境在政治、文化領(lǐng)域面臨國(guó)家安全風(fēng)險(xiǎn)

個(gè)人數(shù)據(jù)出境中的國(guó)家安全風(fēng)險(xiǎn)，主要體現(xiàn)在政治安全、文化安全等領(lǐng)域。由于未匿名的數(shù)據(jù)可以反向定位到個(gè)人，數(shù)據(jù)控制者可以運(yùn)用“個(gè)人數(shù)字身份”技術(shù)，針對(duì)性地預(yù)測(cè)并影響個(gè)人的意識(shí)和行為。眾多個(gè)體的意識(shí)和行為被操縱后，匯集起的風(fēng)險(xiǎn)將給國(guó)家意識(shí)形態(tài)、政治選舉等帶來(lái)巨大安全威脅。例如，在政治選舉中，境外政治組織可以運(yùn)用個(gè)人數(shù)據(jù)身份技術(shù)分析出境的個(gè)人數(shù)據(jù)，并對(duì)個(gè)人近期的需求和偏好進(jìn)行預(yù)測(cè)，在此基礎(chǔ)上向選民投放高精準(zhǔn)、定制化的宣傳材料，利用“信息繭房”效應(yīng)引導(dǎo)甚至誘導(dǎo)個(gè)人作出特定投票。例如，劍橋分析數(shù)據(jù)公司在分析選民個(gè)人數(shù)據(jù)基礎(chǔ)上，為美國(guó)總統(tǒng)大選、英國(guó)公投脫歐等事件中的獲勝陣營(yíng)都提供了信息精準(zhǔn)投放策略服務(wù)，以干擾和引導(dǎo)投票。同時(shí)，在國(guó)家意識(shí)形態(tài)建設(shè)中，境外新媒體平臺(tái)可以依據(jù)個(gè)人數(shù)據(jù)身份技術(shù)分析出境的個(gè)人數(shù)據(jù)身份，運(yùn)用算法構(gòu)建針對(duì)學(xué)生或青年等特定群體暗藏意識(shí)形態(tài)的信息推送模型，潛移默化中改變數(shù)據(jù)出境國(guó)公民的意識(shí)形態(tài)。關(guān)于意識(shí)形態(tài)建設(shè)，歷史上既有蘇聯(lián)解體的沉痛教訓(xùn)，近年來(lái)又有我國(guó)“新疆毒教材”事件的深刻警示③，意識(shí)形態(tài)建設(shè)對(duì)國(guó)家安全的影響不可輕視。

當(dāng)前我國(guó)個(gè)人數(shù)據(jù)出境后的具體用途難以預(yù)測(cè)，數(shù)據(jù)平臺(tái)的控制結(jié)構(gòu)也普遍錯(cuò)綜復(fù)雜。倘若境外政治勢(shì)力實(shí)際操控的數(shù)據(jù)平臺(tái)利用個(gè)人數(shù)據(jù)及相應(yīng)技術(shù)，實(shí)施侵蝕我國(guó)公民意識(shí)形態(tài)、干涉我國(guó)內(nèi)政等行為，這必將會(huì)影響到我國(guó)政治、文化、社會(huì)等領(lǐng)域的國(guó)家安全。

（二）非個(gè)人數(shù)據(jù)出境在國(guó)土、軍事、科技領(lǐng)域面臨國(guó)家安全風(fēng)險(xiǎn)

非個(gè)人數(shù)據(jù)出境對(duì)國(guó)家安全的影響，主要體現(xiàn)在國(guó)土安全、軍事安全、科技安全等領(lǐng)域。與個(gè)人數(shù)據(jù)相比，非個(gè)人數(shù)據(jù)是無(wú)法明確知悉數(shù)據(jù)來(lái)源者身份的數(shù)據(jù)。為了體現(xiàn)對(duì)數(shù)據(jù)一定程度上流動(dòng)的鼓勵(lì)和促進(jìn)，法律法規(guī)對(duì)不涉及個(gè)人隱私的非個(gè)人數(shù)據(jù)管控似乎更為松散。如《網(wǎng)絡(luò)安全法》第42條以但書形式，允許個(gè)人信息“經(jīng)過(guò)處理無(wú)法識(shí)別特定個(gè)人且不能復(fù)原”后，不經(jīng)過(guò)被收集者同意即可流轉(zhuǎn)。然而，海量非個(gè)人數(shù)據(jù)形成的大數(shù)據(jù)池，經(jīng)數(shù)據(jù)分析技術(shù)處理后也能得到有效情報(bào)，依然會(huì)給國(guó)家?guī)?lái)巨大安全隱患。

嚴(yán)格來(lái)說(shuō)，非個(gè)人數(shù)據(jù)可以分為“來(lái)源于個(gè)人+匿名化處理”“不來(lái)源于個(gè)人”兩種形式。前者雖然來(lái)源于個(gè)人，但經(jīng)過(guò)技術(shù)處理，設(shè)定權(quán)限和密級(jí)后形成了不可逆向的匿名數(shù)據(jù)。后者完全不來(lái)源于個(gè)人，而是采集于如地理數(shù)據(jù)、氣象數(shù)據(jù)等天然存在的數(shù)據(jù)。當(dāng)前無(wú)論是行政機(jī)構(gòu)或是商業(yè)主體，都能通過(guò)自身渠道和技術(shù)采集、控制這兩類非個(gè)人數(shù)據(jù)，如財(cái)稅金融、醫(yī)療健康、城建住房、地理空間、交通運(yùn)輸、工業(yè)農(nóng)業(yè)等數(shù)據(jù)。這些非個(gè)人數(shù)據(jù)無(wú)序出境后，他國(guó)可能利用大數(shù)據(jù)技術(shù)對(duì)其處理分析，以對(duì)我國(guó)社會(huì)狀況進(jìn)行精準(zhǔn)畫像，并有針對(duì)性地開(kāi)展情報(bào)收集和研判等工作，威脅我國(guó)國(guó)家安全〔2〕。

常見(jiàn)威脅國(guó)家安全的非個(gè)人數(shù)據(jù)出境，包括地圖數(shù)據(jù)、不動(dòng)產(chǎn)登記數(shù)據(jù)、生物數(shù)據(jù)的出境等。在地圖數(shù)據(jù)方面，高精度地圖是涉及國(guó)防安全的基礎(chǔ)資料，國(guó)外人員為獲取高精度地圖甚至不惜潛入我國(guó)境內(nèi)從事非法測(cè)繪〔3〕。我國(guó)《遙感影像公開(kāi)使用管理規(guī)定（試行）》對(duì)分辨率優(yōu)于10米的遙感影像設(shè)定了測(cè)繪資質(zhì)要求，以及規(guī)定了公開(kāi)使用前的安全審查和保密技術(shù)處理（如增添偏移量）等程序，世界大多數(shù)國(guó)家對(duì)高精度地圖的監(jiān)管也持謹(jǐn)慎態(tài)度〔4〕。然而，智能汽車企業(yè)采集的道路原始數(shù)據(jù)，已遠(yuǎn)超規(guī)定的分辨率精度，同時(shí)還能獲取道路或重要橋梁限高、限寬、坡度等明確規(guī)定不能公開(kāi)發(fā)布的數(shù)據(jù)。在不動(dòng)產(chǎn)登記數(shù)據(jù)方面，這類數(shù)據(jù)中包含的大量不動(dòng)產(chǎn)測(cè)繪成果，如土地、房屋的空間分布以及地形、地界等地理數(shù)據(jù)，完全可以構(gòu)成國(guó)家地理坐標(biāo)體系，也會(huì)潛在威脅我國(guó)國(guó)土、軍事安全〔5〕。在生物數(shù)據(jù)方面，生物數(shù)據(jù)出境也一直受到我國(guó)監(jiān)管的重點(diǎn)關(guān)注。如2018年10月華大基因在與牛津大學(xué)“中國(guó)女性單相抑郁癥的大樣本病例對(duì)照研究”的國(guó)際合作中，未經(jīng)許可將部分中國(guó)人遺傳資源信息傳遞出境，受到了科技部的行政處罰④。生物數(shù)據(jù)危害國(guó)家安全的結(jié)果往往是災(zāi)難性的，如基因武器攻擊、生物疫情傳播、生物品種壟斷等。相對(duì)于傳統(tǒng)醫(yī)療企業(yè)，新興科技企業(yè)對(duì)我國(guó)生物數(shù)據(jù)的收集、傳輸更加隱蔽，對(duì)其監(jiān)管也處于真空地帶，這給我國(guó)國(guó)家安全帶來(lái)的風(fēng)險(xiǎn)不容小覷。

總體而言，個(gè)人數(shù)據(jù)、非個(gè)人數(shù)據(jù)的出境都會(huì)給國(guó)家安全帶來(lái)潛在風(fēng)險(xiǎn)。這些風(fēng)險(xiǎn)散布于我國(guó)政治、軍事、經(jīng)濟(jì)、文化等多個(gè)領(lǐng)域，對(duì)我國(guó)國(guó)家安全造成重大威脅，也給我國(guó)數(shù)據(jù)出境國(guó)家安全治理帶來(lái)挑戰(zhàn)。

二、數(shù)據(jù)出境帶來(lái)的國(guó)家安全治理新挑戰(zhàn)

（一）數(shù)據(jù)的科技屬性和流動(dòng)隱蔽性增加了數(shù)據(jù)出境國(guó)家安全治理的難度

數(shù)據(jù)作為與勞動(dòng)、資本等并列的第五大生產(chǎn)要素，其價(jià)值必須通過(guò)交換才能實(shí)現(xiàn)。在數(shù)據(jù)交換、流動(dòng)出境時(shí)，一國(guó)法律的制定進(jìn)度必然滯后于全球數(shù)據(jù)科技的發(fā)展速度，如果不能厘清數(shù)據(jù)技術(shù)層面的特性，就更不可能實(shí)現(xiàn)有效的數(shù)據(jù)出境國(guó)家安全治理和風(fēng)險(xiǎn)防范。與傳統(tǒng)貨物、服務(wù)出境不同，數(shù)據(jù)出境給國(guó)家安全治理帶來(lái)的挑戰(zhàn)，主要體現(xiàn)在以下兩方面：

一是數(shù)據(jù)技術(shù)專業(yè)性強(qiáng)，治理難度大。了解數(shù)據(jù)本身屬性及數(shù)據(jù)全生命周期管理等具體技術(shù)流程，是對(duì)數(shù)據(jù)出境進(jìn)行國(guó)家安全治理的前提。一般而言，當(dāng)前數(shù)據(jù)呈現(xiàn)出“數(shù)量海量化、種類多樣化、處理快速化、價(jià)值密度低”的特點(diǎn)〔6〕。數(shù)據(jù)產(chǎn)業(yè)中，海量數(shù)據(jù)來(lái)源于數(shù)據(jù)公開(kāi)、網(wǎng)絡(luò)收集、物聯(lián)網(wǎng)上傳、數(shù)據(jù)泄露等各種渠道，數(shù)據(jù)格式由各類結(jié)構(gòu)不同的異構(gòu)數(shù)據(jù)組成，數(shù)據(jù)處理者遍布數(shù)據(jù)產(chǎn)業(yè)鏈的各個(gè)環(huán)節(jié)，眾多數(shù)據(jù)的價(jià)值也各有不同。監(jiān)管者對(duì)這些客觀存在的數(shù)據(jù)流轉(zhuǎn)、處理等技術(shù)流程的熟知程度，決定了相關(guān)立法的質(zhì)量和可執(zhí)行性。數(shù)據(jù)治理只有結(jié)合數(shù)據(jù)技術(shù)特點(diǎn)，才能準(zhǔn)確指明治理對(duì)象、劃定監(jiān)管范圍、選擇監(jiān)管方式等。

二是數(shù)據(jù)流動(dòng)隱蔽性高，難于識(shí)別。準(zhǔn)確識(shí)別數(shù)據(jù)的不合法出境是數(shù)據(jù)出境國(guó)家安全治理的基礎(chǔ)。數(shù)據(jù)流通利用是社會(huì)運(yùn)行不可或缺的要素，只是在法律正式確認(rèn)和規(guī)范之前多以非正式方式存在或以隱蔽的方式進(jìn)行〔7〕，這些隱蔽的方式包括通過(guò)惡意軟件采集、SQL注入獲取數(shù)據(jù)庫(kù)權(quán)限、網(wǎng)絡(luò)爬蟲(chóng)抓取等，來(lái)獲取他人未授權(quán)的數(shù)據(jù)并流轉(zhuǎn)使用。全球經(jīng)濟(jì)一體化背景下，眾多境外商業(yè)軟件在我國(guó)運(yùn)營(yíng)，它們收集的數(shù)據(jù)是否以隱蔽且未授權(quán)的方式流動(dòng)出境，成為我國(guó)數(shù)據(jù)出境國(guó)家安全治理亟需重點(diǎn)關(guān)注的問(wèn)題。

（二）現(xiàn)有監(jiān)管規(guī)則和防范措施不能滿足數(shù)據(jù)出境國(guó)家安全治理的需要

數(shù)據(jù)出境可分為主動(dòng)出境與被動(dòng)出境，兩者對(duì)國(guó)家安全治理帶來(lái)的挑戰(zhàn)是不一樣的。數(shù)據(jù)主動(dòng)出境，是指數(shù)據(jù)控制者明知或應(yīng)知其實(shí)施的行為會(huì)產(chǎn)生數(shù)據(jù)出境效果情形下的數(shù)據(jù)出境。如果數(shù)據(jù)控制者主觀上追求數(shù)據(jù)出境的目的，則為故意的數(shù)據(jù)主動(dòng)出境，出境前應(yīng)當(dāng)履行數(shù)據(jù)控制者安全保障義務(wù)；如果數(shù)據(jù)控制者由于疏忽大意或過(guò)于自信，應(yīng)知悉行為將產(chǎn)生數(shù)據(jù)出境的后果而未意識(shí)到，導(dǎo)致了數(shù)據(jù)出境的結(jié)果，則為過(guò)失的數(shù)據(jù)主動(dòng)出境。換言之，無(wú)論數(shù)據(jù)控制者主觀上為故意或過(guò)失，只要認(rèn)識(shí)到或應(yīng)當(dāng)認(rèn)識(shí)到該行為將產(chǎn)生數(shù)據(jù)出境的效果，即為數(shù)據(jù)的主動(dòng)出境。數(shù)據(jù)的被動(dòng)出境，是指由不能預(yù)見(jiàn)、不能避免并不能克服的客觀情況導(dǎo)致的數(shù)據(jù)出境。例如數(shù)據(jù)控制者已經(jīng)嚴(yán)格遵守法律法規(guī)并履行了數(shù)據(jù)安全保障義務(wù)，由不能預(yù)見(jiàn)或不可抗拒的網(wǎng)絡(luò)攻擊、數(shù)據(jù)爬蟲(chóng)或技術(shù)故障等導(dǎo)致的數(shù)據(jù)被動(dòng)出境。

1.監(jiān)管規(guī)則欠缺，不能完全應(yīng)對(duì)數(shù)據(jù)主動(dòng)出境的國(guó)家安全治理。數(shù)據(jù)治理要堅(jiān)持以釋放數(shù)據(jù)價(jià)值為目標(biāo)，以安全作為底線要求〔8〕4。為保障數(shù)據(jù)有序流動(dòng)和價(jià)值釋放，我國(guó)初步形成了“1+3+N”格局的數(shù)據(jù)監(jiān)管法律法規(guī)體系，其中“1”是指《國(guó)家安全法》，“3”是指《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》《個(gè)人信息保護(hù)法》，“N”是其他涉及數(shù)據(jù)安全的法律法規(guī)及立法草案，如《生物安全法》《數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》（2021年）及《網(wǎng)絡(luò)安全審查辦法》等。我國(guó)目前采用“二分法”監(jiān)管數(shù)據(jù)的主動(dòng)出境，對(duì)于重要數(shù)據(jù)，如電信、金融、交通、能源等領(lǐng)域的數(shù)據(jù)，一般需要通過(guò)正當(dāng)程序，經(jīng)過(guò)個(gè)人同意、數(shù)據(jù)安全評(píng)估、數(shù)據(jù)安全審查等流程后，在監(jiān)管許可下出境。但總體來(lái)說(shuō)，我國(guó)數(shù)據(jù)主動(dòng)出境國(guó)家安全治理規(guī)則仍存在以下不足：

（1）數(shù)據(jù)主動(dòng)出境規(guī)則的協(xié)調(diào)機(jī)制欠缺。《數(shù)據(jù)安全法》第31條及《網(wǎng)絡(luò)安全法》第37條都規(guī)定，個(gè)人信息及重要數(shù)據(jù)的出境安全管理辦法，由網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定。在此規(guī)則下，國(guó)家網(wǎng)信辦公布了《數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》（2021年），其中要求信息出境前需要向所在地省級(jí)網(wǎng)信部門申報(bào)安全評(píng)估。然而，中國(guó)人民銀行發(fā)布的《反洗錢法（修訂草案公開(kāi)征求意見(jiàn)稿）》（2021年），則要求境內(nèi)金融機(jī)構(gòu)向境外當(dāng)局提供可能涉及國(guó)家安全的信息時(shí)，應(yīng)當(dāng)事先獲得國(guó)務(wù)院有關(guān)金融監(jiān)督管理機(jī)構(gòu)批準(zhǔn)。

這樣，數(shù)據(jù)主動(dòng)出境事實(shí)上形成了“雙線多頭監(jiān)管”的態(tài)勢(shì)。在全國(guó)人大及其常委會(huì)制定的法律層面未統(tǒng)一數(shù)據(jù)出境程序，而將具體的數(shù)據(jù)合法出境規(guī)則制定權(quán)下放到省部級(jí)單位，難免導(dǎo)致各部門、省市制定的法規(guī)之間存在管轄范圍、執(zhí)法權(quán)力、行政程序等方面的重疊、遺漏甚至沖突。這也給市場(chǎng)主體數(shù)據(jù)出境是否合規(guī)帶來(lái)極大不確定性，降低了數(shù)據(jù)出境安全管理規(guī)則的權(quán)威性。盡管交由各行業(yè)主管部門制定法規(guī)能提高規(guī)則的行業(yè)針對(duì)性，但在后續(xù)立法完善中仍亟需形成法律層面統(tǒng)一、協(xié)調(diào)的數(shù)據(jù)出境監(jiān)管規(guī)則體系。

（2）數(shù)據(jù)主動(dòng)出境規(guī)則的可操作性有限。一方面，數(shù)據(jù)出境規(guī)則中某些基礎(chǔ)概念不明確。例如，重要數(shù)據(jù)的概念與數(shù)據(jù)分類分級(jí)保護(hù)制度是緊密相連的，只有先明確重要數(shù)據(jù)的范圍，才能確認(rèn)數(shù)據(jù)安全法的保護(hù)對(duì)象和責(zé)任主體，才能落實(shí)數(shù)據(jù)分類分級(jí)保護(hù)制度。《數(shù)據(jù)安全法》第21條規(guī)定了“國(guó)家建立數(shù)據(jù)分類分級(jí)保護(hù)制度”和“加強(qiáng)對(duì)重要數(shù)據(jù)的保護(hù)”，且第27條、第30條、第31條、第46條均涉及重要數(shù)據(jù)，然而，該法中卻并未明確界定“重要數(shù)據(jù)”涵蓋的范圍，僅僅規(guī)定在國(guó)家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)下，由“有關(guān)部門制定重要數(shù)據(jù)目錄”。2017年公布的《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》第17條將重要數(shù)據(jù)定義為“與國(guó)家安全、經(jīng)濟(jì)發(fā)展，以及社會(huì)公共利益密切相關(guān)的數(shù)據(jù)”，也并未能提供確切可執(zhí)行的重要數(shù)據(jù)劃分標(biāo)準(zhǔn)。2021年公布的《數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》甚至直接回避了對(duì)重要數(shù)據(jù)定義的解釋。這使得重要數(shù)據(jù)的基本概念內(nèi)涵不明晰，導(dǎo)致各部門、各地區(qū)在實(shí)際管理中的標(biāo)準(zhǔn)必然存在差異。

另一方面，數(shù)據(jù)主動(dòng)出境的配套規(guī)則不完善。對(duì)于數(shù)據(jù)出境，2017年《網(wǎng)絡(luò)安全法》首次確立數(shù)據(jù)境內(nèi)儲(chǔ)存原則，2021年的《數(shù)據(jù)安全法》又增加了數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估報(bào)告制度、數(shù)據(jù)安全審查制度、數(shù)據(jù)出口管制原則、非經(jīng)批準(zhǔn)禁止向境外當(dāng)局提供境內(nèi)數(shù)據(jù)等規(guī)定。然而，這些制度和規(guī)則均過(guò)于原則化，在配套細(xì)則尚未完善的情形下，導(dǎo)致實(shí)踐中難以操作。例如，《數(shù)據(jù)安全法》第11條規(guī)定要積極開(kāi)展數(shù)據(jù)領(lǐng)域的國(guó)際交流合作，但是對(duì)于國(guó)際規(guī)則、標(biāo)準(zhǔn)與我國(guó)法律的協(xié)調(diào)、銜接機(jī)制并未具體說(shuō)明。又如，《數(shù)據(jù)安全法》第18條提出國(guó)家支持和促進(jìn)數(shù)據(jù)安全檢測(cè)評(píng)估、認(rèn)證等服務(wù)的發(fā)展，雖然目前已有《數(shù)據(jù)安全能力成熟度模型》（GB/T 37988-2019）、《數(shù)據(jù)安全治理能力評(píng)估方法》（T/ISC-0011-2021）等多個(gè)數(shù)據(jù)安全檢測(cè)評(píng)估、認(rèn)證國(guó)家技術(shù)標(biāo)準(zhǔn)和團(tuán)體標(biāo)準(zhǔn)，但是行政法層面并無(wú)配套細(xì)則出臺(tái)，對(duì)這些服務(wù)主體的業(yè)務(wù)資質(zhì)、從業(yè)人員資格、安全保障義務(wù)等具體事項(xiàng)進(jìn)行規(guī)定。

（3）數(shù)據(jù)主動(dòng)出境中企業(yè)責(zé)任的承擔(dān)形式單一。企業(yè)作為海量數(shù)據(jù)的控制者，在保障數(shù)據(jù)安全方面的責(zé)任不可小覷。《數(shù)據(jù)安全法》第8條規(guī)定數(shù)據(jù)處理者負(fù)有保護(hù)數(shù)據(jù)安全義務(wù)，第28條要求重要數(shù)據(jù)處理者明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)，第29條及第30條為數(shù)據(jù)處理者分配了數(shù)據(jù)風(fēng)險(xiǎn)監(jiān)測(cè)、評(píng)估和上報(bào)責(zé)任。依據(jù)第六章的規(guī)定，若數(shù)據(jù)處理者不履行義務(wù)或違反規(guī)定，主管部門可以對(duì)其作出約談、責(zé)令整改、給予警告、行政罰款以及停業(yè)整頓、吊銷營(yíng)業(yè)執(zhí)照等行政處罰，構(gòu)成犯罪的追究刑事責(zé)任。雖然《數(shù)據(jù)安全法》規(guī)定了企業(yè)的上述責(zé)任，但由于數(shù)據(jù)行業(yè)的特殊性，企業(yè)責(zé)任的承擔(dān)形式依然有所欠缺。相比之下，同為特殊行業(yè)的金融市場(chǎng)規(guī)則卻更為完備。例如，《證券公司監(jiān)督管理?xiàng)l例》第83條規(guī)定了證券行業(yè)從業(yè)資格制度，證券從業(yè)人員需要考試取得執(zhí)業(yè)資格，對(duì)于從業(yè)中有違法違規(guī)情節(jié)嚴(yán)重的，可以撤銷任職資格或證券從業(yè)資格等。又如《證券法》第221條設(shè)置了證券從業(yè)者市場(chǎng)禁入措施，對(duì)于嚴(yán)重違反金融法律、法規(guī)的人員，禁止其在一定期限內(nèi)直至終身不得從事金融業(yè)務(wù)，包括擔(dān)任金融企業(yè)董事、監(jiān)事、高級(jí)管理人員，以及在金融交易市場(chǎng)從事交易等。鑒于數(shù)據(jù)行業(yè)的特殊治理需求，后續(xù)立法中，數(shù)據(jù)出境企業(yè)的安全保障責(zé)任承擔(dān)形式仍有進(jìn)一步豐富和完善的空間。

2.防范措施不足，無(wú)法保障實(shí)現(xiàn)數(shù)據(jù)被動(dòng)出境的國(guó)家安全治理。數(shù)據(jù)被動(dòng)出境類似于意外事件⑤。客觀上數(shù)據(jù)出境事件的發(fā)生具有偶然性和不可避免性，主觀上行為人不可預(yù)見(jiàn)或遭受不可抗拒的強(qiáng)制力。這既包括環(huán)境因素導(dǎo)致的數(shù)據(jù)被動(dòng)出境，如數(shù)據(jù)存儲(chǔ)國(guó)的戰(zhàn)爭(zhēng)或軍事行動(dòng)引起的數(shù)據(jù)泄露，也包括技術(shù)因素導(dǎo)致的數(shù)據(jù)被動(dòng)出境，如在數(shù)據(jù)控制者嚴(yán)格履行安全保障義務(wù)的前提下，由于技術(shù)鴻溝的客觀存在，無(wú)法避免境外網(wǎng)絡(luò)攻擊情形下的數(shù)據(jù)被動(dòng)出境。兩種致因下，雖然數(shù)據(jù)控制者都應(yīng)免于法律責(zé)任，但產(chǎn)生的危害后果，事實(shí)上已造成國(guó)家安全的重大風(fēng)險(xiǎn)。因此，數(shù)據(jù)被動(dòng)出境風(fēng)險(xiǎn)，也必須納入國(guó)家安全治理范圍，尤其是技術(shù)差異導(dǎo)致的數(shù)據(jù)被動(dòng)出境。

來(lái)自境外的網(wǎng)絡(luò)攻擊當(dāng)前在全球范圍內(nèi)已普遍存在，國(guó)家和地區(qū)的數(shù)據(jù)安全已普遍受到威脅。即使是保持互聯(lián)網(wǎng)技術(shù)遙遙領(lǐng)先的美國(guó)，也不斷遭受來(lái)自境內(nèi)外的網(wǎng)絡(luò)攻擊〔9〕。防范網(wǎng)絡(luò)攻擊引起的數(shù)據(jù)被動(dòng)出境風(fēng)險(xiǎn)，是維護(hù)我國(guó)數(shù)據(jù)主權(quán)的具體體現(xiàn)。境外主體借助信息科技優(yōu)勢(shì)，通過(guò)網(wǎng)絡(luò)攻擊方式竊取我國(guó)數(shù)據(jù)，危害我國(guó)國(guó)家安全，正是對(duì)我國(guó)數(shù)據(jù)主權(quán)的侵犯。總體來(lái)說(shuō)，當(dāng)前我國(guó)數(shù)據(jù)被動(dòng)出境防范措施的不足，體現(xiàn)在以下三方面：

（1）缺乏國(guó)家層面的境外網(wǎng)絡(luò)攻擊監(jiān)控技術(shù)平臺(tái)。一方面，針對(duì)我國(guó)重要領(lǐng)域數(shù)據(jù)的網(wǎng)絡(luò)攻擊愈發(fā)頻繁。對(duì)于主權(quán)國(guó)家，一般來(lái)說(shuō)，工業(yè)、電信、交通、金融、教育、科技等涉及國(guó)家安全和國(guó)民生計(jì)領(lǐng)域中的數(shù)據(jù)較為重要，它們?cè)诰惩饩W(wǎng)絡(luò)攻擊中也首當(dāng)其沖。作為我國(guó)高新技術(shù)企業(yè)代表的華為集團(tuán)，從2013年平均每月受到五六十萬(wàn)次網(wǎng)絡(luò)攻擊，到2019年每天受到全球約百萬(wàn)次網(wǎng)絡(luò)攻擊⑥。可以說(shuō)，意在竊取我國(guó)科技行業(yè)數(shù)據(jù)的境外網(wǎng)絡(luò)攻擊，不僅頻率驚人，還呈現(xiàn)出愈演愈烈的趨勢(shì)。另一方面，我國(guó)所依賴的國(guó)外信息技術(shù)產(chǎn)品可能存在數(shù)據(jù)被動(dòng)出境漏洞。我國(guó)許多領(lǐng)域使用的軟硬件仍需依賴國(guó)外產(chǎn)品，然而這些信息技術(shù)產(chǎn)品可能存在陷門，允許境外訪問(wèn)者通過(guò)特定指令，不經(jīng)過(guò)通常的安全檢查訪問(wèn)過(guò)程而進(jìn)行非授權(quán)訪問(wèn)。例如，在中國(guó)幾乎所有重大信息網(wǎng)絡(luò)和系統(tǒng)項(xiàng)目建設(shè)中均有使用的美國(guó)思科（Cisco）路由器產(chǎn)品，經(jīng)檢測(cè)卻顯示其多款主流產(chǎn)品的VPN隧道通訊和加密模塊存在預(yù)置式“后門”，攻擊者可還原VPN加密信息內(nèi)容實(shí)現(xiàn)數(shù)據(jù)監(jiān)測(cè)⑦。因此，我國(guó)亟需在國(guó)家層面建設(shè)覆蓋各個(gè)領(lǐng)域的數(shù)據(jù)被動(dòng)泄露風(fēng)險(xiǎn)監(jiān)測(cè)、預(yù)警、安全信息共享調(diào)度平臺(tái)。

（2）多方參與防范數(shù)據(jù)被動(dòng)出境的機(jī)制欠缺。當(dāng)前對(duì)數(shù)據(jù)被動(dòng)出境的防范，主要依靠制定法律法規(guī)來(lái)指導(dǎo)行政部門實(shí)施監(jiān)管，未能發(fā)揮其他市場(chǎng)主體的主觀能動(dòng)性。對(duì)于網(wǎng)絡(luò)攻擊，雖然《國(guó)家安全法》《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等規(guī)定了網(wǎng)絡(luò)安全等級(jí)保護(hù)制度、安全風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警機(jī)制、數(shù)據(jù)安全應(yīng)急處置機(jī)制等防范措施，但是專門針對(duì)境外網(wǎng)絡(luò)攻擊的數(shù)據(jù)保護(hù)規(guī)則有所欠缺。通過(guò)梳理，僅有《網(wǎng)絡(luò)安全法》第5條和第75條的規(guī)定與境外網(wǎng)絡(luò)攻擊直接相關(guān)，但也僅僅是原則性地宣示了我國(guó)對(duì)此類行為擁有保護(hù)性管轄權(quán)。與此同時(shí)，負(fù)有數(shù)據(jù)安全保障義務(wù)的數(shù)據(jù)控制者，作為被境外網(wǎng)絡(luò)攻擊的主體，除了向主管部門匯報(bào)和發(fā)布白皮書分享自身數(shù)據(jù)安全保障措施外，并沒(méi)有其他明確途徑可以參與防范數(shù)據(jù)被動(dòng)出境規(guī)則和技術(shù)標(biāo)準(zhǔn)的制定。作為境外網(wǎng)絡(luò)攻擊的直接承受者，數(shù)據(jù)控制者難以主動(dòng)為防范數(shù)據(jù)被動(dòng)出境規(guī)則的完善提供助力。

（3）忽視數(shù)據(jù)安全人才培養(yǎng)和技術(shù)研發(fā)資金投入。建立有效的數(shù)據(jù)被動(dòng)出境安全防范體系，需要以大量高素質(zhì)數(shù)據(jù)安全人才和數(shù)據(jù)安全技術(shù)成果為支撐。數(shù)據(jù)安全治理需要計(jì)算機(jī)科學(xué)、管理學(xué)、法學(xué)、政治學(xué)等多學(xué)科知識(shí)，數(shù)據(jù)安全人才需要系統(tǒng)、全面的培訓(xùn)。2021年4月我國(guó)“國(guó)家安全學(xué)”一級(jí)學(xué)科設(shè)立，以培養(yǎng)國(guó)家安全與應(yīng)急管理交叉領(lǐng)域人才，這表明我國(guó)數(shù)據(jù)安全人才的培養(yǎng)才剛剛起步。此外，數(shù)據(jù)安全技術(shù)的研發(fā)和成果的轉(zhuǎn)化落地，也需要政策和資金上支持，然而目前相關(guān)的政策支持嚴(yán)重不足。

三、完善數(shù)據(jù)安全技術(shù)治理標(biāo)準(zhǔn)，著力構(gòu)建國(guó)家安全治理體系

（一）完善數(shù)據(jù)安全技術(shù)標(biāo)準(zhǔn)，防治數(shù)據(jù)出境因技術(shù)問(wèn)題引發(fā)的國(guó)家安全風(fēng)險(xiǎn)

如上文所述，數(shù)據(jù)的科技屬性及流動(dòng)的隱蔽性，使數(shù)據(jù)出境及其風(fēng)險(xiǎn)難于識(shí)別，加大了國(guó)家對(duì)數(shù)據(jù)出境國(guó)家安全治理的難度。因此，我國(guó)有必要制定和完善有關(guān)數(shù)據(jù)安全的技術(shù)標(biāo)準(zhǔn)，以便有效治理數(shù)據(jù)出境因技術(shù)問(wèn)題而引發(fā)的國(guó)家安全風(fēng)險(xiǎn)。

1.推動(dòng)法定的數(shù)據(jù)安全標(biāo)準(zhǔn)落地。法定標(biāo)準(zhǔn)是政府標(biāo)準(zhǔn)化組織或政府授權(quán)的標(biāo)準(zhǔn)化組織設(shè)置的標(biāo)準(zhǔn)。我國(guó)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（以下簡(jiǎn)稱“信標(biāo)委”）承擔(dān)信息安全技術(shù)專業(yè)領(lǐng)域內(nèi)的標(biāo)準(zhǔn)化技術(shù)工作。到目前，與數(shù)據(jù)相關(guān)的技術(shù)標(biāo)準(zhǔn)中，已發(fā)布的國(guó)家標(biāo)準(zhǔn)包括《數(shù)據(jù)庫(kù)管理系統(tǒng)安全評(píng)估準(zhǔn)則》（GB/T 20009—2019）、《政務(wù)信息共享數(shù)據(jù)安全技術(shù)要求》（GB/T 39477—2020）、《健康醫(yī)療數(shù)據(jù)安全指南》（GB/T 39725—2020）等14項(xiàng)，涉及數(shù)據(jù)存儲(chǔ)、傳輸、流轉(zhuǎn)以及數(shù)據(jù)分類分級(jí)、監(jiān)測(cè)預(yù)警、應(yīng)急處置等標(biāo)準(zhǔn)，對(duì)《數(shù)據(jù)安全法》等法律法規(guī)中的“推進(jìn)數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)”要求作出了回應(yīng)，也為數(shù)據(jù)產(chǎn)業(yè)安全發(fā)展提供了明確技術(shù)指引。還在研制修訂中的國(guó)家標(biāo)準(zhǔn)包括《電信領(lǐng)域大數(shù)據(jù)安全防護(hù)實(shí)現(xiàn)指南》《基因識(shí)別數(shù)據(jù)安全要求》《汽車采集數(shù)據(jù)的安全要求》以及與數(shù)據(jù)出境國(guó)家安全直接相關(guān)的《數(shù)據(jù)出境安全評(píng)估指南》等11項(xiàng)，基本上涵蓋了政治、經(jīng)濟(jì)、科技、網(wǎng)絡(luò)、生物等領(lǐng)域數(shù)據(jù)的安全標(biāo)準(zhǔn)。

為了進(jìn)一步完善數(shù)據(jù)出境的國(guó)家安全治理，一方面，需要盡快推動(dòng)研制中的數(shù)據(jù)安全法定標(biāo)準(zhǔn)的修訂和落地，尤其是2017年8月信標(biāo)委已公布、至今仍未通過(guò)的《數(shù)據(jù)出境安全評(píng)估指南（征求意見(jiàn)稿）》，以期為我國(guó)數(shù)據(jù)出境提供明確、具體、可執(zhí)行的數(shù)據(jù)安全國(guó)家標(biāo)準(zhǔn)，更好地維護(hù)數(shù)據(jù)出境中的國(guó)家安全。另一方面，鑒于教育數(shù)據(jù)、生態(tài)數(shù)據(jù)等領(lǐng)域目前并沒(méi)有發(fā)布或在研制中的專項(xiàng)數(shù)據(jù)安全技術(shù)標(biāo)準(zhǔn)，建議將教育、生態(tài)等領(lǐng)域的數(shù)據(jù)安全技術(shù)標(biāo)準(zhǔn)納入專項(xiàng)國(guó)家標(biāo)準(zhǔn)制定計(jì)劃中，以應(yīng)對(duì)在數(shù)據(jù)技術(shù)發(fā)展日新月異現(xiàn)狀下國(guó)家安全外延的快速擴(kuò)展，防范這些領(lǐng)域數(shù)據(jù)出境中潛在的國(guó)家安全風(fēng)險(xiǎn)。

2.鼓勵(lì)企業(yè)發(fā)展事實(shí)標(biāo)準(zhǔn)。事實(shí)標(biāo)準(zhǔn)是單個(gè)企業(yè)或少數(shù)企業(yè)聯(lián)盟通過(guò)技術(shù)許可等方式，不斷擴(kuò)大自有技術(shù)的市場(chǎng)滲透力和影響力而形成的行業(yè)技術(shù)標(biāo)準(zhǔn)〔10〕。數(shù)據(jù)控制者在處理數(shù)據(jù)業(yè)務(wù)時(shí)，對(duì)于數(shù)據(jù)安全問(wèn)題能有更直接、及時(shí)、全面的接觸，其在實(shí)踐中形成的業(yè)務(wù)處理標(biāo)準(zhǔn)，對(duì)于完善數(shù)據(jù)出境國(guó)家安全治理有重要參考價(jià)值。鼓勵(lì)企業(yè)發(fā)展事實(shí)標(biāo)準(zhǔn)，既是對(duì)《數(shù)據(jù)安全法》第17條“國(guó)家支持企業(yè)、社會(huì)團(tuán)體和教育、科研機(jī)構(gòu)等參與標(biāo)準(zhǔn)制定”要求的落實(shí)，也是增強(qiáng)法律法規(guī)可執(zhí)行性和實(shí)現(xiàn)立法民主化的必然要求。例如，2017年12月騰訊發(fā)布的《騰訊云數(shù)據(jù)安全白皮書》，從數(shù)據(jù)保護(hù)原則、保護(hù)職責(zé)劃分、保障技術(shù)措施等方面論述了對(duì)數(shù)據(jù)安全的保障，并著重介紹了數(shù)盾一站式數(shù)據(jù)安全解決方案、KMS加密技術(shù)、“六把鑰匙”鑒權(quán)體系等數(shù)據(jù)安全保障技術(shù)。又如2021年5月中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)組織編寫并發(fā)布的《數(shù)據(jù)安全治理能力評(píng)估方法》團(tuán)體標(biāo)準(zhǔn)，綜合企業(yè)貫標(biāo)實(shí)踐經(jīng)驗(yàn)，提出數(shù)據(jù)安全治理能力評(píng)估框架，促進(jìn)了全行業(yè)積極提升數(shù)據(jù)安全治理能力的良好氛圍。無(wú)論是企業(yè)標(biāo)準(zhǔn)還是團(tuán)體標(biāo)準(zhǔn)，經(jīng)過(guò)市場(chǎng)檢驗(yàn)認(rèn)可后，就形成了數(shù)據(jù)安全的事實(shí)標(biāo)準(zhǔn)，都在一定程度上推動(dòng)了數(shù)據(jù)安全的發(fā)展。

對(duì)于數(shù)據(jù)出境國(guó)家安全來(lái)說(shuō)，需要盡快發(fā)展的事實(shí)標(biāo)準(zhǔn)有兩個(gè)。一是明確異構(gòu)數(shù)據(jù)處理標(biāo)準(zhǔn)，在非結(jié)構(gòu)化數(shù)據(jù)的增長(zhǎng)速度遠(yuǎn)超結(jié)構(gòu)化數(shù)據(jù)〔11〕的現(xiàn)狀下，只有能從海量異構(gòu)數(shù)據(jù)中分辨出涉及國(guó)家安全的重要數(shù)據(jù)，才能實(shí)現(xiàn)將數(shù)據(jù)安全要求嵌入對(duì)異構(gòu)數(shù)據(jù)的處理流程中，防范重要數(shù)據(jù)夾帶出境，給國(guó)家安全帶來(lái)潛在風(fēng)險(xiǎn)。二是完善企業(yè)的數(shù)據(jù)泄露防護(hù)標(biāo)準(zhǔn)，明確數(shù)據(jù)控制者的內(nèi)部技術(shù)手段，防止特定數(shù)據(jù)以違反安全策略規(guī)定的形式流出，以應(yīng)對(duì)愈演愈烈的境外網(wǎng)絡(luò)攻擊導(dǎo)致的數(shù)據(jù)被動(dòng)出境國(guó)家安全風(fēng)險(xiǎn)。

（二）完善數(shù)據(jù)主動(dòng)出境的國(guó)家安全治理體系

完善有關(guān)數(shù)據(jù)主動(dòng)出境的國(guó)家安全治理規(guī)則，是維護(hù)國(guó)家安全、促進(jìn)數(shù)據(jù)有序開(kāi)發(fā)利用和實(shí)現(xiàn)數(shù)據(jù)價(jià)值釋放的保障。雖然目前我國(guó)基本形成了以《國(guó)家安全法》《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》為統(tǒng)領(lǐng)的“1+3+N”數(shù)據(jù)法律體系，但是，如上文所述，針對(duì)數(shù)據(jù)主動(dòng)出境中的國(guó)家安全治理，仍存在規(guī)則協(xié)調(diào)機(jī)制欠缺、規(guī)則可操作性有限、企業(yè)責(zé)任承擔(dān)形式單一等問(wèn)題。為保障數(shù)據(jù)主動(dòng)出境中的國(guó)家安全，我國(guó)后續(xù)立法中仍需針對(duì)這些方面進(jìn)行調(diào)整或完善，具體來(lái)說(shuō)：

1.建立協(xié)調(diào)統(tǒng)一的數(shù)據(jù)出境國(guó)家安全治理監(jiān)管機(jī)構(gòu)與監(jiān)管規(guī)則體系。《數(shù)據(jù)安全法》第31條及《網(wǎng)絡(luò)安全法》第37條確立的數(shù)據(jù)出境“雙線多頭監(jiān)管”格局，雖然賦予各行業(yè)領(lǐng)域主管部門更多的規(guī)則制定權(quán)，有利于各行業(yè)結(jié)合自身特點(diǎn)制定規(guī)則，但是同時(shí)也給整個(gè)數(shù)據(jù)領(lǐng)域的統(tǒng)一規(guī)范帶來(lái)困境。如前文提及的金融數(shù)據(jù)出境存在的監(jiān)管競(jìng)爭(zhēng)問(wèn)題，數(shù)據(jù)控制者既要依據(jù)《數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》要求向所在地省級(jí)網(wǎng)信辦申報(bào)安全評(píng)估，又要依據(jù)《反洗錢法（修訂草案公開(kāi)征求意見(jiàn)稿）》要求向國(guó)務(wù)院有關(guān)金融監(jiān)督管理機(jī)構(gòu)申請(qǐng)批準(zhǔn)。然而這兩類管理機(jī)構(gòu)的數(shù)據(jù)安全評(píng)估標(biāo)準(zhǔn)并不完全一致，如《反洗錢法（修訂草案公開(kāi)征求意見(jiàn)稿）》僅在第49條第2款中規(guī)定了國(guó)務(wù)院有關(guān)金融監(jiān)督管理機(jī)構(gòu)擁有決定涉及“國(guó)家主權(quán)、安全和利益等”的金融數(shù)據(jù)能否出境的審批權(quán)，但并沒(méi)有具體、公開(kāi)的審批標(biāo)準(zhǔn)。而《數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》中的數(shù)據(jù)出境審核標(biāo)準(zhǔn)則明確很多，如明確規(guī)定了重點(diǎn)評(píng)估事項(xiàng)、提交材料、評(píng)估機(jī)構(gòu)、評(píng)估結(jié)果有效期等。因此，在國(guó)家立法層面，仍需要統(tǒng)一協(xié)調(diào)數(shù)據(jù)出境安全審查的頂層設(shè)計(jì)，以避免監(jiān)管競(jìng)爭(zhēng)及監(jiān)管套利。

調(diào)整當(dāng)前雙線多頭監(jiān)管的格局，應(yīng)當(dāng)加強(qiáng)國(guó)家層面的統(tǒng)籌立法，避免不同部門、不同地區(qū)因標(biāo)準(zhǔn)不同導(dǎo)致的數(shù)據(jù)出境安全監(jiān)管混亂。在《數(shù)據(jù)安全法》后續(xù)修訂中，可以在第31條“其他數(shù)據(jù)處理者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法，由國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定”之后，增加“由中央國(guó)家安全領(lǐng)導(dǎo)機(jī)構(gòu)及其授權(quán)的機(jī)構(gòu)予以確定后實(shí)施”的規(guī)定，將部門規(guī)章、地方性規(guī)范文件的審核、確認(rèn)權(quán)賦予國(guó)家安全委員會(huì)統(tǒng)一行使，以保障各部門、各地區(qū)制定的數(shù)據(jù)出境規(guī)則協(xié)調(diào)統(tǒng)一。同時(shí)，對(duì)《數(shù)據(jù)安全法》及其他法律法規(guī)中的相關(guān)條款進(jìn)行同步修訂，以在國(guó)家層面統(tǒng)籌協(xié)調(diào)部門、地區(qū)差異導(dǎo)致的監(jiān)管規(guī)則沖突及遺漏。

2.細(xì)化數(shù)據(jù)出境規(guī)則，增強(qiáng)數(shù)據(jù)主動(dòng)出境國(guó)家安全治理規(guī)則的可操作性。一是明確重要數(shù)據(jù)的概念。清晰界定重要數(shù)據(jù)的內(nèi)涵與外延是落實(shí)數(shù)據(jù)分級(jí)分類保護(hù)原則的關(guān)鍵，也是監(jiān)管數(shù)據(jù)主動(dòng)出境以維護(hù)國(guó)家安全的前提。雖然《數(shù)據(jù)安全法》《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》及《數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》中均未能明確重要數(shù)據(jù)的范圍，但是也有個(gè)別立法草案中涉及了重要數(shù)據(jù)的定義，如2019年網(wǎng)信辦公布的《數(shù)據(jù)安全管理辦法（征求意見(jiàn)稿）》中將重要數(shù)據(jù)定義為“一旦泄露可能直接影響國(guó)家安全、經(jīng)濟(jì)安全、社會(huì)穩(wěn)定、公共健康和安全的數(shù)據(jù)，如未公開(kāi)的政府信息，大面積人口、基因健康、地理、礦產(chǎn)資源等”，以及2017年信標(biāo)委公布的《信息安全技術(shù)數(shù)據(jù)出境安全評(píng)估指南（征求意見(jiàn)稿）》之附錄A《重要數(shù)據(jù)識(shí)別指南》列舉了27個(gè)行業(yè)的重要數(shù)據(jù)標(biāo)準(zhǔn)。為了便利監(jiān)管，立法中應(yīng)當(dāng)以法律的形式明確重要數(shù)據(jù)的范圍。在后續(xù)完善立法時(shí)，不妨采用“解釋+列舉”的形式對(duì)重要數(shù)據(jù)進(jìn)行定義，并指定《重要數(shù)據(jù)識(shí)別指南》為各部門、各地區(qū)確定重要數(shù)據(jù)具體范圍的依據(jù)。此外，《重要數(shù)據(jù)識(shí)別指南》中的重要數(shù)據(jù)范圍，也應(yīng)因數(shù)據(jù)技術(shù)發(fā)展和社會(huì)環(huán)境變化等，及時(shí)由對(duì)應(yīng)行業(yè)主管部門參與刪減和修訂，以保障法律的時(shí)效性和實(shí)效性。

二是盡快出臺(tái)《數(shù)據(jù)安全法》等法律法規(guī)中原則、制度、機(jī)制的配套實(shí)施細(xì)則。在國(guó)內(nèi)配套制度方面，要及時(shí)頒布行政許可細(xì)則并明確從業(yè)資質(zhì)、主體責(zé)任、安全保障義務(wù)等，以落實(shí)“國(guó)家支持和促進(jìn)數(shù)據(jù)安全檢測(cè)評(píng)估、認(rèn)證”等服務(wù)的要求；同時(shí)，要進(jìn)一步完善包括數(shù)據(jù)出口管制原則、數(shù)據(jù)出境風(fēng)險(xiǎn)評(píng)估報(bào)告制度等其他國(guó)內(nèi)數(shù)據(jù)管理配套細(xì)則。在與國(guó)際規(guī)則銜接方面，需要制定協(xié)調(diào)國(guó)內(nèi)與國(guó)際數(shù)據(jù)技術(shù)標(biāo)準(zhǔn)、安全管理規(guī)則的配套細(xì)則，明確國(guó)內(nèi)協(xié)調(diào)機(jī)構(gòu)的職責(zé)及權(quán)限，授權(quán)協(xié)調(diào)機(jī)構(gòu)代表國(guó)家參與國(guó)際數(shù)據(jù)規(guī)則的研討和制定，以落實(shí)“積極開(kāi)展數(shù)據(jù)領(lǐng)域的國(guó)際交流合作”的原則。

3.加強(qiáng)數(shù)據(jù)控制者數(shù)據(jù)出境國(guó)家安全保障責(zé)任。數(shù)據(jù)控制者的數(shù)據(jù)出境國(guó)家安全保障責(zé)任，可以劃分為內(nèi)部、外部?jī)蓚€(gè)層面，內(nèi)部責(zé)任為數(shù)據(jù)控制者在處理數(shù)據(jù)出境業(yè)務(wù)時(shí)應(yīng)盡的自我管理責(zé)任，外部責(zé)任為法律法規(guī)及技術(shù)標(biāo)準(zhǔn)等對(duì)數(shù)據(jù)出境處理者的明確要求。外部安全保障責(zé)任往往是針對(duì)同一行業(yè)整體的規(guī)范和要求，是數(shù)據(jù)控制者安全保障責(zé)任的最低標(biāo)準(zhǔn)，而內(nèi)部安全保障責(zé)任則可以結(jié)合自身具體業(yè)務(wù)靈活調(diào)整，是數(shù)據(jù)控制者為了獲取競(jìng)爭(zhēng)優(yōu)勢(shì)主動(dòng)設(shè)立的標(biāo)準(zhǔn)。對(duì)于數(shù)據(jù)控制者內(nèi)部安全保障責(zé)任的落實(shí)，除了在立法中普遍被關(guān)注的安全管理水平或技術(shù)流程控制，數(shù)據(jù)控制者治理結(jié)構(gòu)的影響常常被忽視。所謂數(shù)據(jù)控制者的治理結(jié)構(gòu)，是指將數(shù)據(jù)安全保障義務(wù)全面融合于數(shù)據(jù)控制者職能部門的權(quán)力分配與運(yùn)行之中〔12〕。恰當(dāng)?shù)闹卫斫Y(jié)構(gòu)可以將外部責(zé)任有效嵌入數(shù)據(jù)控制者的內(nèi)部管理、技術(shù)流程等業(yè)務(wù)處理過(guò)程中，而非成為數(shù)據(jù)控制者運(yùn)營(yíng)中的累贅。因此，立法中除了關(guān)注數(shù)據(jù)控制者的管理水平和技術(shù)流程，也應(yīng)適當(dāng)引導(dǎo)和鼓勵(lì)數(shù)據(jù)控制者建立妥當(dāng)?shù)闹卫斫Y(jié)構(gòu)，將數(shù)據(jù)出境國(guó)家安全保障責(zé)任合理分配到適合的部門。

此外，需要進(jìn)一步完善數(shù)據(jù)控制者外部安全保障責(zé)任。除了現(xiàn)有的行政處罰和刑事處罰責(zé)任外，可以增加數(shù)據(jù)控制者的責(zé)任，具體來(lái)說(shuō)：一是建立數(shù)據(jù)企業(yè)信用檔案制度，對(duì)于在數(shù)據(jù)出境中造成重大國(guó)家安全危害或風(fēng)險(xiǎn)的數(shù)據(jù)控制者，將責(zé)任單位和人員的不良行為記入企業(yè)信用檔案并向社會(huì)公布，在企業(yè)后續(xù)商業(yè)貸款、政府補(bǔ)貼中不予批準(zhǔn)。二是設(shè)立數(shù)據(jù)從業(yè)人員資格認(rèn)證制度。數(shù)據(jù)控制者的特定職務(wù)必須由擁有從業(yè)資格的員工擔(dān)任，并且數(shù)量符合要求，如工信部已于2021年10月18日發(fā)布了《大數(shù)據(jù)從業(yè)人員能力要求》（SJ/T 11788-2021）。三是增加市場(chǎng)禁入措施。對(duì)于嚴(yán)重違反數(shù)據(jù)出境法律法規(guī)的人員，禁止其在一定期限內(nèi)直至終身不得從事數(shù)據(jù)出境業(yè)務(wù)，包括擔(dān)任數(shù)據(jù)出境企業(yè)董事、監(jiān)事、高級(jí)管理人員或從事數(shù)據(jù)交易等，以及撤銷任職資格或數(shù)據(jù)從業(yè)資格等。

（三）構(gòu)建數(shù)據(jù)被動(dòng)出境的國(guó)家安全治理體系

大國(guó)數(shù)據(jù)競(jìng)爭(zhēng)背景下的數(shù)據(jù)被動(dòng)出境問(wèn)題頻發(fā)，數(shù)據(jù)已成為各國(guó)重要的情報(bào)來(lái)源，開(kāi)展應(yīng)對(duì)網(wǎng)絡(luò)攻擊的主動(dòng)防御，在當(dāng)下具有重要戰(zhàn)略意義和現(xiàn)實(shí)意義。不同于受到網(wǎng)絡(luò)攻擊后才采取安全措施的被動(dòng)防御，主動(dòng)防御能夠在入侵行為造成嚴(yán)重后果前，提前預(yù)警，掌握防御主動(dòng)權(quán)，以避免、轉(zhuǎn)移或降低數(shù)據(jù)控制者面臨的安全風(fēng)險(xiǎn)。這也是貫徹落實(shí)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、報(bào)告、信息共享、監(jiān)測(cè)預(yù)警機(jī)制以及數(shù)據(jù)安全應(yīng)急處置機(jī)制要求的具體表現(xiàn)。針對(duì)我國(guó)重要數(shù)據(jù)成為境外網(wǎng)絡(luò)攻擊主要目標(biāo)、依賴國(guó)外存在數(shù)據(jù)出境漏洞信息技術(shù)產(chǎn)品、數(shù)據(jù)被動(dòng)出境防范措施不足且被動(dòng)的現(xiàn)狀，實(shí)現(xiàn)數(shù)據(jù)被動(dòng)出境的主動(dòng)防御可以有效防范、減少我國(guó)國(guó)家安全風(fēng)險(xiǎn)。具體來(lái)說(shuō)，構(gòu)建主動(dòng)防御體系需要：

1.建立境外網(wǎng)絡(luò)攻擊監(jiān)控調(diào)度平臺(tái)。若要實(shí)現(xiàn)對(duì)境外網(wǎng)絡(luò)攻擊的主動(dòng)防御，防范境內(nèi)數(shù)據(jù)的被動(dòng)出境風(fēng)險(xiǎn)，建立系統(tǒng)實(shí)時(shí)的國(guó)家級(jí)網(wǎng)絡(luò)攻擊和數(shù)據(jù)安全監(jiān)測(cè)平臺(tái)必不可少。平臺(tái)的建設(shè)可以實(shí)現(xiàn)三個(gè)安全治理目標(biāo)：一是統(tǒng)一管理監(jiān)測(cè)重要數(shù)據(jù)。在情報(bào)領(lǐng)域，如欲最大限度發(fā)揮大數(shù)據(jù)優(yōu)勢(shì)，對(duì)數(shù)據(jù)的整合利用是關(guān)鍵〔13〕。將各領(lǐng)域重要數(shù)據(jù)匯集于同一個(gè)高安全級(jí)別系統(tǒng)中進(jìn)行整合管理，既可以更有效地實(shí)現(xiàn)數(shù)據(jù)共享、協(xié)同合作和安全防范，又可以從全方位對(duì)數(shù)據(jù)網(wǎng)絡(luò)攻擊進(jìn)行監(jiān)測(cè)和分析，優(yōu)化情報(bào)流程，為數(shù)據(jù)安全預(yù)警、應(yīng)急處置提供充足的信息。二是準(zhǔn)確快速判斷網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)。通過(guò)預(yù)設(shè)數(shù)據(jù)出境安全威脅庫(kù)、網(wǎng)絡(luò)漏洞庫(kù)、防御策略庫(kù)等網(wǎng)絡(luò)安全知識(shí)數(shù)據(jù)庫(kù)，結(jié)合人工智能、大數(shù)據(jù)等信息技術(shù)平臺(tái)可以實(shí)現(xiàn)海量數(shù)據(jù)快速處理、多源異構(gòu)數(shù)據(jù)高效關(guān)聯(lián)處理、動(dòng)態(tài)數(shù)據(jù)實(shí)時(shí)在線處理〔14〕，從而精準(zhǔn)快速地識(shí)別網(wǎng)絡(luò)爬蟲(chóng)、撞庫(kù)、SQL注入獲取數(shù)據(jù)庫(kù)權(quán)限等網(wǎng)絡(luò)攻擊，為啟動(dòng)防御措施爭(zhēng)取時(shí)間。三是提供數(shù)據(jù)安全預(yù)警及安全決策參考。平臺(tái)監(jiān)測(cè)到國(guó)家數(shù)據(jù)安全威脅信息并作出判斷后，可以及時(shí)發(fā)布預(yù)警信息，其他相關(guān)數(shù)據(jù)安全部門、數(shù)據(jù)控制者等能夠及時(shí)采取安全補(bǔ)救措施，同時(shí)數(shù)據(jù)安全主管部門也能作出更科學(xué)準(zhǔn)確的防御決策。

2.形成政府與私營(yíng)部門協(xié)同防御體系。私營(yíng)部門與國(guó)家是命運(yùn)共同體、利益共同體，國(guó)家安全是私營(yíng)部門長(zhǎng)期穩(wěn)定發(fā)展的基礎(chǔ)。數(shù)據(jù)出境流動(dòng)中政府與私營(yíng)部門合作，已是各國(guó)常態(tài)。相對(duì)于僅由政府進(jìn)行數(shù)據(jù)出境規(guī)則制定和數(shù)據(jù)出境國(guó)家安全監(jiān)測(cè)，私營(yíng)部門作為規(guī)則承受者和數(shù)據(jù)業(yè)務(wù)直接參與者，既可以深刻體會(huì)到規(guī)則層面的缺漏和不足，又能夠更及時(shí)地察覺(jué)實(shí)踐層面網(wǎng)絡(luò)攻擊等數(shù)據(jù)被動(dòng)出境風(fēng)險(xiǎn)。私營(yíng)部門參與數(shù)據(jù)出境安全規(guī)則制定和安全風(fēng)險(xiǎn)監(jiān)測(cè)，對(duì)于推動(dòng)數(shù)據(jù)出境國(guó)家安全治理意義重大。我國(guó)有必要形成“以政府為主導(dǎo)，以私營(yíng)部門為輔助”的數(shù)據(jù)被動(dòng)出境協(xié)同防御體系，實(shí)現(xiàn)政府與私營(yíng)部門的數(shù)據(jù)出境國(guó)家安全聯(lián)動(dòng)監(jiān)管。

具體來(lái)說(shuō)，要實(shí)現(xiàn)協(xié)同防御，可以這些方面為政策導(dǎo)向。一是要強(qiáng)化數(shù)據(jù)泄露出境的溯源能力。私營(yíng)部門在提供數(shù)據(jù)服務(wù)過(guò)程中獲取了眾多可能涉及國(guó)家安全的數(shù)據(jù)資源，又往往是海量數(shù)據(jù)的匯集點(diǎn)和泄露源，因此，可以適當(dāng)借鑒美國(guó)“受控非密信息”的數(shù)據(jù)標(biāo)識(shí)制度，以電子標(biāo)注方式實(shí)現(xiàn)數(shù)據(jù)泄露后的可溯源性〔15〕，確保數(shù)據(jù)安全的可管可控。二是要鼓勵(lì)私營(yíng)部門數(shù)據(jù)安全威脅信息共享。我國(guó)數(shù)據(jù)安全監(jiān)測(cè)仍停留在單主體監(jiān)控層面，應(yīng)當(dāng)以法律法規(guī)為導(dǎo)向，鼓勵(lì)私營(yíng)部門參與到數(shù)據(jù)出境國(guó)家安全監(jiān)測(cè)預(yù)警中。美國(guó)2015年通過(guò)的《網(wǎng)絡(luò)安全信息共享法案》規(guī)定，企業(yè)自愿共享網(wǎng)絡(luò)安全威脅信息的，可以豁免受司法追究該共享行為，這值得我國(guó)參考借鑒。

3.加強(qiáng)數(shù)據(jù)安全人才培養(yǎng)與財(cái)政支持力度。實(shí)現(xiàn)我國(guó)的數(shù)據(jù)被動(dòng)出境主動(dòng)防御，需要進(jìn)一步完善數(shù)據(jù)安全人才培養(yǎng)制度和配套財(cái)政資金支持政策。一方面，數(shù)據(jù)出境國(guó)家安全需要數(shù)據(jù)安全專業(yè)人才提供技術(shù)支持，我國(guó)應(yīng)當(dāng)及時(shí)落地相應(yīng)的數(shù)據(jù)安全人才培養(yǎng)政策，推進(jìn)數(shù)據(jù)安全人才培訓(xùn)機(jī)構(gòu)建設(shè)，積極培養(yǎng)多種層次、復(fù)合知識(shí)背景的數(shù)據(jù)安全專業(yè)人才，為我國(guó)主動(dòng)應(yīng)對(duì)數(shù)據(jù)出境國(guó)家安全風(fēng)險(xiǎn)儲(chǔ)備高技術(shù)人才梯隊(duì)。為保障數(shù)據(jù)安全培訓(xùn)的有效性，可以參照美國(guó)肯塔基州的做法，將培訓(xùn)考核結(jié)果和從業(yè)人員的數(shù)據(jù)訪問(wèn)權(quán)限掛鉤〔16〕。另一方面，配套財(cái)政資金支持政策適當(dāng)向數(shù)據(jù)安全領(lǐng)域傾斜，形成從數(shù)據(jù)安全基礎(chǔ)防護(hù)設(shè)施建設(shè)、數(shù)據(jù)安全科技研發(fā)、數(shù)據(jù)安全人才創(chuàng)業(yè)到數(shù)據(jù)安全成果獎(jiǎng)勵(lì)及保護(hù)等多領(lǐng)域、全面性的財(cái)政政策支持，促使我國(guó)在數(shù)據(jù)出境國(guó)家安全領(lǐng)域有更多成果，以保障我國(guó)數(shù)字經(jīng)濟(jì)能更快、更好、更持續(xù)地健康發(fā)展。

注釋：

①參見(jiàn)2021年10月29日發(fā)布的《數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》第二條規(guī)定：數(shù)據(jù)處理者向境外提供在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)和依法應(yīng)當(dāng)進(jìn)行安全評(píng)估的個(gè)人信息，應(yīng)當(dāng)按照本辦法的規(guī)定進(jìn)行安全評(píng)估。

②對(duì)于數(shù)據(jù)權(quán)益保護(hù)，目前法律學(xué)界形成了兩種差異較大的思路。一類是不將數(shù)據(jù)獨(dú)立視作財(cái)產(chǎn)，而是以維護(hù)數(shù)據(jù)的控制為基礎(chǔ)對(duì)數(shù)據(jù)權(quán)益進(jìn)行保護(hù)；另一類提出要設(shè)立數(shù)據(jù)新型財(cái)產(chǎn)權(quán)，對(duì)數(shù)據(jù)進(jìn)行復(fù)雜的財(cái)產(chǎn)權(quán)設(shè)計(jì)。兩種思路的論證，參見(jiàn)梅夏英：《企業(yè)數(shù)據(jù)權(quán)益原論：從財(cái)產(chǎn)到控制》，《中外法學(xué)》2021年第5期；龍衛(wèi)球：《再論企業(yè)數(shù)據(jù)保護(hù)的財(cái)產(chǎn)權(quán)化路徑》，《東方法學(xué)》2018年第3期。

③參見(jiàn)中國(guó)新聞網(wǎng)：《教育部：新疆“毒教材”造成極為嚴(yán)重影響教訓(xùn)極其深刻》，http：//www.chinanews.com/gn/2021/ 04-20/9459176.shtml。

④參見(jiàn)中華人民共和國(guó)科學(xué)技術(shù)部：《行政處罰決定書國(guó)科罰〔2015〕2號(hào)》，https：//fuwu.most.gov.cn/html/rlycxzcf/ 20150907/123123231.html。

⑤當(dāng)前也有學(xué)者以“個(gè)人控制論”為基礎(chǔ)，提出了以信息是否經(jīng)由“權(quán)利人”主動(dòng)性流出為標(biāo)準(zhǔn)，劃分為有意識(shí)的故意流出、無(wú)意識(shí)的過(guò)失流出、被侵權(quán)流出以及無(wú)侵權(quán)的授權(quán)流出四種分類。然而，如前文所述，對(duì)于數(shù)據(jù)的權(quán)屬目前學(xué)術(shù)界和實(shí)踐領(lǐng)域并未形成共識(shí)，甚至存在較大爭(zhēng)議。在這種情形下，以數(shù)據(jù)權(quán)屬歸于個(gè)人作為大前提，來(lái)討論數(shù)據(jù)出境安全問(wèn)題，難免導(dǎo)致研究的結(jié)論建議與我國(guó)現(xiàn)有法律法規(guī)體系難以銜接，無(wú)法實(shí)踐。而以主動(dòng)出境與被動(dòng)出境來(lái)區(qū)分，則主動(dòng)出境下的數(shù)據(jù)控制者故意或過(guò)失責(zé)任，可以納入我國(guó)現(xiàn)有數(shù)據(jù)出境法律規(guī)則進(jìn)行監(jiān)管；意外事件導(dǎo)致的被動(dòng)出境，在明確數(shù)據(jù)控制者已完全履行責(zé)任并不可控制、不可預(yù)見(jiàn)損害結(jié)果的情況下，則可以避免對(duì)數(shù)據(jù)控制者進(jìn)行“一刀切”式的處理和懲罰。

⑥參見(jiàn)騰訊科技網(wǎng)：《周良軍：華為每個(gè)月受到五六十萬(wàn)次網(wǎng)絡(luò)攻擊》，https：//tech.qq.com/a/20130711/012139.htm；IT之家網(wǎng)：《華為高管：我們每天受到全球約100萬(wàn)次網(wǎng)絡(luò)攻擊》，https：//www.ithome.com/0/451/519.htm。

⑦參見(jiàn)新華網(wǎng)：《美國(guó)思科路由器預(yù)置“后門”意欲何為》，http：//www.xinhuanet.com/world/2014-05/26/c_11108670 64.htm。

參考文獻(xiàn)：

〔1〕European Commission. Free Flow of Non-personal Dat〔EB/OL〕.https：//digital-strategy.ec.europa.eu/en/policies/nonpersonal-data.

〔2〕馬其家，李曉楠.論我國(guó)數(shù)據(jù)跨境流動(dòng)監(jiān)管規(guī)則的構(gòu)建〔J〕.法治研究，2021（01）：91-101.

〔3〕張鳳.地理空間情報(bào)與國(guó)防安全：從非法測(cè)繪談起〔J〕.國(guó)防，2015（08）：78-79.

〔4〕賈宗仁.自動(dòng)駕駛汽車?yán)锏牡貓D〔J〕.中國(guó)測(cè)繪，2019（04）：27-31.

〔5〕王偉英，朱蘭蘭.不動(dòng)產(chǎn)登記檔案信息安全風(fēng)險(xiǎn)探析〔J〕.檔案管理，2020（03）：57-58.

〔6〕董克，邱均平.論大數(shù)據(jù)環(huán)境對(duì)情報(bào)學(xué)發(fā)展的影響〔J〕.情報(bào)學(xué)報(bào)，2017（09）：886-893.

〔7〕高富平.數(shù)據(jù)流通理論數(shù)據(jù)資源權(quán)利配置的基礎(chǔ)〔J〕.中外法學(xué)，2019（06）：1405-1424.

〔8〕梅宏.數(shù)據(jù)治理之論〔M〕.北京：中國(guó)人民大學(xué)出版社，2020.

〔9〕盛祥，宋凱.大數(shù)據(jù)時(shí)代美國(guó)網(wǎng)絡(luò)空間戰(zhàn)略體系研究〔J〕.信息資源管理學(xué)報(bào)，2019（02）：46-57.

〔10〕鄭倫幸.技術(shù)標(biāo)準(zhǔn)與專利權(quán)融合的制度挑戰(zhàn)及應(yīng)對(duì)〔J〕.科技進(jìn)步與對(duì)策，2018（12）：139-144.

〔11〕王秉，朱媛媛.大數(shù)據(jù)環(huán)境下國(guó)家生物安全情報(bào)工作體系構(gòu)建〔J〕.情報(bào)雜志，2021（06）：82-88+155.

〔12〕張敏，馬民虎.國(guó)家安全視域下網(wǎng)絡(luò)服務(wù)提供者之網(wǎng)絡(luò)安全義務(wù)的“保障”轉(zhuǎn)型〔J〕.情報(bào)雜志，2020（06）：45-53.

〔13〕吳承義，唐笑虹.大數(shù)據(jù)時(shí)代國(guó)家安全情報(bào)面臨的變革與挑戰(zhàn)〔J〕.情報(bào)雜志，2020（06）：1-6.

〔14〕賈焰，方濱興，李愛(ài)平，等.基于人工智能的網(wǎng)絡(luò)空間安全防御戰(zhàn)略研究〔J〕.中國(guó)工程科學(xué)，2021（03）：98-105.

〔15〕周亞超，左曉棟.美國(guó)受控非密信息分類與安全控制解析〔J〕.網(wǎng)絡(luò)空間安全，2020（03）：12-17.

〔16〕王正青，但金鳳.如何構(gòu)建教育數(shù)據(jù)治理體系：美國(guó)肯塔基州的成功經(jīng)驗(yàn)〔J〕.現(xiàn)代遠(yuǎn)程教育研究，2021（01）：77-86.

責(zé)任編輯楊在平