重要數據出境安全評估制度的偏離與修正

摘 " "要：數據分類分級保護制度下，重要數據是內蘊國家安全與公共利益的數據類型。數據出境監管規則體系中，安全評估的功能定位系防范整體安全風險。而我國重要數據出境安全評估制度卻偏離了聚焦整體安全的理念，側重于關注個體安全。這易使數據出境監管滑向過度規制，不利于數據的流通與利用，因而亟須修正。首先，《數據出境安全評估辦法》多處采取關注個體安全的法條表述應被修改。其次，個人信息集群型重要數據的安全評估門檻過低，應適當提升，并從國家安全層面界定個人信息敏感性。再次，殷鑒歐盟充分性認定的“中國版充分性認定”仍難適用于重要數據的出境監管，理應摒棄“實質等同”邏輯并進一步細化考量因素。最后，標準合同條款在重要數據出境場景下存在適用障礙，應專門制定針對性的重要數據出境示范合同條款，與適用于小規模個人信息出境的標準合同條款并列，使數據出境監管規則體系更適恰于數據出境監管實踐需要。

關鍵詞：重要數據；數據出境安全評估；充分性認定；標準合同條款

中圖分類號：D 912 文獻標志碼：A " " " 文章編號：2096-9783（2024）01?0043?11

一、問題的提出

《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）第三十七條首次引入“重要數據”概念，規定關鍵信息基礎設施運營者因業務等需要，確需向境外提供重要數據的，應當進行安全評估。《中華人民共和國數據安全法》（以下簡稱《數據安全法》）第三十一條又將重要數據出境監管適用范圍擴大至所有重要數據處理者。2022年9月1日，國家互聯網信息辦公室公布的部門規章《數據出境安全評估辦法》（以下簡稱《辦法》）正式生效。以《網絡安全法》第三十七條和《數據安全法》第三十一條為授權基礎，《辦法》就重要數據出境安全評估細則作了規定。一個以《數據安全法》和《辦法》為主要法律指引，以安全評估為手段的重要數據出境監管制度初見端倪。

我國對重要數據出境監管規則的探索，極大發展了基于國家安全關切規制數據跨境流動的法治框架，為全球應對數據跨境流動國家安全挑戰貢獻了“中國方案”[1]。然而，作為一個迫切而嶄新的立法命題，重要數據出境監管規則急需“落地”但又無過往經驗可循，致使出境安全評估制度偏離了重要數據出境應秉持的監管理念，無法實現對數據的保護與利用。

當下就如何監管數據跨境流動的研討空前火熱，然而多數研究著眼于個人信息領域探尋[2?6]，缺乏對重要數據的探討和關注。雖有部分研究意識到重要數據安全問題，但相關討論止步于識別規則和國內監管規則分析[7?8]，對出境安全評估制度的關注仍顯不足[9]。“重要數據”法律概念為何誕生？數據分類分級保護制度下，重要數據與個人信息的范圍界定、監管理念等應有何區別？在我國對數據安全的規制模式采取重要數據與個人信息保護體系雙軌化的當下，《辦法》將重要數據和個人信息同時納入評估范圍是否合理？《辦法》的具體規定是否符合重要數據的出境監管理念？筆者將嘗試對上述問題作出回應，以填補此研究空白。

二、重要數據出境安全評估制度的應然理念遵循

數據分類分級保護制度下，重要數據成為介乎核心數據和一般數據之間的法律概念。為滿足各類數據出境的現實需求，數據出境差異化分級監管規則已逐步成型，與安全評估相并列的數據出境渠道還包括標準合同條款、專業安全認證以及其他特殊機制。重要數據監管應秉持聚焦整體安全原則，這與出境安全評估防范整體安全風險的功能定位恰好匹配，重要數據出境安全評估制度因此誕生。

（一）重要數據出境監管的價值選擇：聚焦整體安全

重要數據范圍的劃定雖是一個懸而未決的問題，但可確定的是，與僅關涉個體利益的單條或小規模個人信息不同，重要數據內蘊國家安全和社會公共利益。重要數據的識別和出境監管均應以聚焦整體安全為價值選擇，而不可與囿于純個體利益的個人信息相混淆。

1.重要數據內蘊國家安全與公共利益

在邏輯分析視角下，數據分類分級保護制度揭示了重要數據的內涵。重要數據是數據安全保護理念更新與范式轉型的產物。傳統數據保護理念是對所有數據不加區分采取相同的保護策略，這一方面使得部分風險程度較低的數據無法匯聚融通，數據的利用價值受到減損；另一方面又導致部分風險程度較高的數據頻頻發生安全事件[7]，故數據分類分級保護被提出。《數據安全法》第二十一條正式引入該制度，并提出“國家核心數據”概念，實行更加嚴格的監管。由此，重要數據成為介乎國家核心數據與一般數據之間的法律概念。有學者將《數據安全法》統領下的數據分級方式稱為“自上而下”的分級，即由國家超越組織內部視角，全面判斷各類數據所指向的利益，并站在全局視角“自上而下”地作出分級決斷[10]，對不同級別數據適配“輕其所輕、重其所重”的安全保護規則。根據國家標準《網絡安全等級保護定級指南》（以下簡稱《指南》），判斷數據安全級別主要考量受侵害的客體（公民、法人和其他組織）的合法權益，分為社會秩序、公共利益和國家安全三類。《網絡安全標準實踐指南——網絡數據分類分級指引》（以下簡稱《指引》）中的數據分級要素為影響對象和影響程度，影響對象分為國家安全、公共利益、個人合法權益和組織合法權益四類。“自上而下”的分級制度下，重要數據之所以誕生，是因其較一般數據重要程度和風險程度更高，其指向的利益應是更為高階的利益，僅影響個人或組織個體權益的數據恐難被定位為重要數據。

在規范分析視角下，相關規范、征求意見稿將重要數據定位為影響整體安全的數據。通過梳理相關法律法規、國家標準中“重要數據”的定義和解釋，雖然大部分為不具法律強制力的征求意見稿和推薦性標準，但不難窺見的是，當下重要數據的范圍雖不明確，但就識別重要數據應秉持的原則，各部門規章、標準規范的立場均非常一致，即應聚焦整體安全，重要數據指向的是國家或社會整體層面的利益，僅影響公民個體利益、個體安全的數據并非重要數據。此種區分識別在美國相關法律規范中亦可管窺。2019年美國議員向參議院提交的《國家安全與個人數據保護法案》將普通用戶數據與影響國家安全的敏感個人數據、科技與商業數據相區分。普通用戶數據可以適用出境例外，而影響國家安全的敏感個人、科技與商業等重要數據則嚴格適用出境管制[11]。

2.重要數據上整體安全與個人信息上個體安全的關系

重要數據與個人信息雖采取“雙軌并行”的治理模式，但二者的分野也并非絕對，二者是不同分類視角下的數據類型，存在重合交叉。重要數據是數據安全視角下的數據類型，與一般數據、核心數據并列。而個人信息則是數據主體視角下的數據類型，從數據的主體來看，數據可分為公共數據、企業數據和個人數據1。由于重要數據定位為內蘊國家安全和公共利益的數據，因而不論是企業數據還是個人信息，如果因聚合效應后可能危及整體層面的利益，也會構成重要數據。在萬物互聯的數字經濟時代，全息化、多樣化的大規模個人信息也具有一定的公共性和社會性，從而與國家安全和社會公共利益產生關聯，形成個人信息集群型重要數據。例如，公安部個人信息數據庫如果受到網絡攻擊、泄露達到一定等級，此時應當將大規模個人信息視為重要數據。《信息安全技術 重要數據識別規則（征求意見稿）》也指出，“基于海量個人信息形成的統計數據、衍生數據有可能屬于重要數據。”

整體安全與個體安全也并非完全對立的兩個概念，因為公共利益、整體安全也可謂是個體利益、個體安全之集合，這也解釋了為何會存在個人信息集群型重要數據。整體安全與個體安全是安全風險級別分類下的子概念，二者之間系層級間的遞進關系，整體安全的級別、重要性往往高于個體安全，當整體安全與個體安全發生沖突時，通常應當優先考量整體安全。從數據監管視角上看，整體安全與個體安全，抑或整體利益與個體利益往往也被作為數據安全分級監管的定級要素。根據《指南》和《指引》，當數據安全性遭受破壞后影響到社會秩序、公共利益乃至國家安全時，意味該數據為風險程度較高的重要數據，應受到更嚴格的監管；而當數據的影響對象僅指向個人或企業層面的個體安全時，意味著數據的重要程度和風險程度較低，故其在安全監管的力度和方式上應當與重要數據有所差異。例如滴滴公司網絡安全行政處罰案中，滴滴公司便是因違法海量收集乘客人臉信息、常住城市信息等共計647.09億條，并違法進行數據跨境處理活動，嚴重危害國家安全，因此被行政處罰[12]。迥然有別的北京友誼醫院案，則由于僅涉及170例結直腸健康研究數據，且進行有效脫敏等數據處理，順利通過數據出境安全評估[13]。

（二）出境安全評估的功能定位：防范整體安全風險

根據出境安全評估背后的價值考量和監管邏輯，其相較于其他數據出境監管工具更偏重于安全價值的實現，其功能應當被定位為防范國家或社會層面的整體安全風險。

1.出境安全評估背后的價值考量：發展與安全

數據出境監管的核心是平衡發展與安全，而探尋發展與安全的平衡點有賴于數據出境的差異化分級監管。有學者將數據跨境流動背后的法理基礎提煉為四種：數據無國界、數據自由貿易、數據主權和數據人權[9]。四種法理基礎均圍繞發展與安全兩個核心價值：數據無國界理論關注數據出境活動在促進經濟增長方面發揮的積極作用，反對過度限制數據出境；數據自由貿易理論認為數據自由跨境流動是自由貿易的一部分，應避免對數據跨境流動和自由貿易造成障礙。相反，數據主權理論認為數據是優勢競爭資源，出境很可能威脅到一國的數據安全；數據人權理論認為數據出境可能損害公民的基本權利，應受到限制。數據跨境流動中，經濟發展與數據安全確實存在矛盾。一方面，跨境流動意味著信息、知識的傳播與共享，能夠促進經濟發展；另一方面，數據出境引發的安全事件也頻頻發生。發展與安全之間的矛盾意味著數據出境監管并非越嚴越優，既不能完全禁止數據出境，也不能完全放任，而應當確立合理的數據流動程度，澄清“禁”與“流”的邊界，從而達至兩種目標價值的平衡。數據出境監管規則的內核是探尋不同的數據出境場景下發展與安全的平衡點，外核主要在于通過差異化的制度設計，在堅持對高風險數據出境“重點監管”的同時，避免對出境流動價值較大且風險程度可控數據的過度監管。

我國數據出境監管規則逐步確立起平衡發展與安全的立場。具有統領意義的《數據安全法》既強調數據開發利用和產業發展，也重視保障數據安全。同時，以《網絡安全法》《數據安全法》《個人信息保護法》等上位法為基礎，我國逐漸建立起數據出境差異化分級監管制度，出境安全評估應運而生。根據《個人信息保護法》第三十八條對個人信息出境可“擇一適用”四種出境渠道的規定、《辦法》第四條列舉的“應當進行數據出境安全評估”的法定情形以及“法無規定即自由”之邏輯，我國數據出境差異化分級監管模式大致可總結為——重要數據（包含個人信息集群型重要數據）必須通過安全評估渠道出境，而小規模個人信息和其他一般數據均可由數據進出口方自行選擇標準合同條款或專業安全認證出境。

2.出境安全評估的嚴格監管邏輯：法定監管與事前監管

差異化分級監管制度下，安全評估是一種嚴格程度高、限制程度強的數據出境渠道。

首先，安全評估系法定監管。從法律性質上看，出境安全評估是公權力機關帶有準入控制功能的監管手段，是行政主體（《辦法》規定為國家網信部門）行使行政職權所為的單方行為，采取的是“命令—服從”式的行政監管模式，強調行政主體的行政高權性和行政相對人（數據進出口方）的法定服從義務[14]。從實施效果上看，安全評估機制實質上具有類似行政審批的效果，評估內容由法條直接規定，通過為數據進出口方“增設”法定義務保障數據安全。安全評估屬于法定適用情形，如若達到法定適用條件，數據進出口方就只能遵從法定的出境安全評估流程，服從法定的出境安全評估要求。這種法定監管較標準合同條款的意定監管模式更為嚴格，后文還將具體論述。

其次，安全評估系事前監管。安全評估被應用于事前節點，通過在數據出境前預估和確定數據的安全風險，以應對數據出境后風險的不確定性、復雜性與多發性，一旦安全評估未通過，數據出境活動將會被直接“按下暫停鍵”。這意味著安全評估監管理念下，應進行安全評估的數據出境后引發安全事件，受損害的國家安全利益難以被救濟和挽回，此時再采取補救措施追究數據接收方的責任也已無濟于事，故安全評估意圖從數據跨境流動的源頭上“切斷風險源”，而非先基于一定目的允許數據出境，再采取措施對數據進行事中持續監管或事后追究數據接收方的責任。這對數據出境風險的“容忍度”極低，對數據出境自由度的限制程度極高。

安全評估是一種更偏重于實現安全價值的監管方式，重點關注數據出境安全風險，在確認風險可控之后才允許和兼顧數據流動，這從根本上決定著其功能定位。安全評估應被審慎使用在高風險場景，因為一旦安全評估的評估范圍和風險泛化，將意味著大量數據的出境受到嚴格限制，其中可能包含流動價值大且風險程度可控的數據類型。基于對數據跨境經濟發展效益的考量，安全評估不易作為數據出境監管的一般規則，其功能也絕非防范一般風險，尤其是個體風險。安全評估的定位應當是“涉及國家安全的特殊規則”，其功能在于預防潛在的國家安全風險[15]，至少也應是宏觀社會層面的風險。換言之，只有當數據指向更高位階的整體安全利益時，通過嚴格、高成本的安全評估監管出境活動才具有合理性。

現行法律規則下，重要數據出境必須通過安全評估，而小規模個人信息和其他一般數據出境則無須，這意味著我國在重要數據出境監管規則的立法道路上“走對了大方向”。但遺憾的是，重要數據出境安全評估制度由于種種原因未能被正常“孕育”，致使其偏離了應秉持的基本理念遵循。

三、重要數據出境安全評估制度的偏離及成因

《辦法》作為我國重要數據出境安全評估的主要法律指引，其具體規定體現出濃厚的個人信息出境監管色彩，將直接導致數據出境監管滑向高成本的過度規制，影響數據跨境利用。

（一）重要數據出境評估制度的利益指向存在偏差

數據出境安全評估的規范設計側重關注個體安全，出境評估門檻與個體安全保持一致。

1.數據出境安全評估法條表述偏重個體安全

從《辦法》公布前的兩部征求意見稿的內容表述上看，“個人信息安全”較“重要數據安全”反倒被優先提及，甚至具體評估事項中也將“涉及個人信息情況”較“涉及重要數據情況”優先列明。正式公布的《辦法》雖修改了部分法條表述，將所有的“重要數據”均置于“個人信息”之前，欲凸顯對國家安全和社會公共利益的側重關切，但其規定下的評估對象、評估事項等主要規則與兩部征求意見稿相比，只有少數規定的調整和法條表述的優化，并無實質區別，多處仍采取與個體安全和個體權益保護相關的表述，而缺乏與國家數據安全與國家安全主權直接的聯系，甚至將“個人信息權益保護”放在首位，置于“維護國家安全和社會公共利益”之上。倘若嚴格依據《辦法》實施出境安全評估，但凡出境數據可能威脅到個人或企業的權益，盡管并不會涉及國家安全或社會公共利益，都將直接面臨最嚴格的出境限制。

2.評估門檻設置與重要數據保護利益內核不匹配

《辦法》第四條列舉了安全評估的適用情形，均意圖指向整體安全[14]：第一種情形，重要數據指向國家安全和公共利益，前文已經闡述；第二種情形，關鍵信息基礎設施本身系一旦發生數據泄露便可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統2；第三種情形，達至一定數量的個人信息因數據聚合效應將產生超越數據類型本身風險外的新型風險，從而與重要數據的風險程度等價，成為個人信息集群型重要數據。

表面上三種情形雖均意圖指向整體安全，但因《辦法》為第三種情形，即個人信息集群型重要數據出境設置的數量閾值較低，所以極易導致出境安全評估的風險泛化，造成大量非必要的評估和出境限制。由于當下網絡傳輸技術發達、我國數字經濟用戶基數龐大、擁有跨境業務的企業或公共部門規模大，《辦法》為達至一定數量的個人信息設置的數量閾值其實極易達到，而跨年度累計出境數據未達到數量閾值的場景可能只存在于部分中小型企業或臨時跨境運輸中[16]。且《辦法》就數量閾值的設定是對于數據處理者在主體條件上的限定，至于該數據處理者實際向境外提供多少條信息，則在所不問。這意味著即便達到數量閾值的數據處理者向境外提供一條個人信息，哪怕是公開信息，也必須通過安全評估[17]，顯然缺乏科學性和合理性。

此外，《辦法》針對敏感個人信息設置了更低的評估門檻，這一做法仍是從保護個體權利的立場出發的。敏感個人信息相較普通個人信息而言，其出境后一旦發生安全事件，對個體權益的損害確實更大，但未必更容易因信息聚合效應產生對國家安全的威脅。例如，性取向信息較家庭住址信息對信息主體個人而言確實更為敏感，但100萬人的性取向信息較100萬人的家庭住址信息對國家和社會而言卻未必更為敏感。因為《個人信息保護法》下，劃分敏感個人信息的標準本就是針對信息主體個人而言的，而非針對國家或社會。

（二）“中國版充分性認定”規則與重要數據出境監管不甚契合

《辦法》第八條第一項第二款規定數據出境安全評估應重點評估“境外接收方所在國家或者地區的數據安全保護政策法規和網絡安全環境”以及“境外接收方的數據保護水平”。這一規定借鑒了《歐盟一般數據保護條例》（GDPR）第45條的充分性認定規則，但與我國重要數據監管理念不甚契合。

1.“中國版充分性認定”與歐盟充分性認定規則的邏輯差異

歐盟委員會在評估第三國或地區的法治水平、對人權與基本自由的尊重程度等因素后，如認為其能達到與歐盟法“實質等同”的保護水準，便可作出充分性認定，允許將個人數據自由傳輸至該國或該地區境內的經濟組織3。由于充分性認定的考量因素極為寬泛，致使“實質等同”的保護水準難以企及。截至目前，通過歐盟充分性認定的國家或地區僅有15個4。充分性認定背后系傳統人權價值觀的要求。歐洲大陸將個人信息保護根植于基本權利或人權保護，歐盟數據立法中不斷強調基本人權理念5，并滲透進以充分性認定為代表的數據出境監管規則中。故而充分性認定著重考察第三國或地區“對人權與基本自由的尊重程度”，并提出“實質等同”的保護水準以確保公民個人信息無論流向何地均能受到與歐盟立法相當水準的保護。此外，充分性認定同樣蘊含對數字經濟戰略的考量。歐盟坐擁廣闊的數字市場，但缺乏大規模數字企業，因此須實施個人信息強保護以防止其優勢數據資源流向他國[18]。GDPR的適用對象系個人數據處理者6，充分性認定是以個體權利實現為價值追求的出境監管規則，這顯然與重要數據出境監管理念并不相符。

為應對上述理念差異，《辦法》較歐盟充分性認定至少有以下區別：其一，摒棄了第三國的“法治水平”“對人權與基本自由的尊重程度”等泛化因素，以弱化對個體人權的強調。其二，祛除將充分性認定結果作為數據出境的充分條件的考量。GDPR下第三國或地區只要滿足充分性認定即可實現接收歐盟流出的數據，無需進一步的數據保護。但《辦法》下境外接收方的數據保護水平即便達至我國法律要求，亦須針對每次出境的目的、范圍以及出境數據的規模等作進一步評估。其三，《辦法》未提供歐盟充分性認定“失敗”后的彌補方案。歐盟數據出境規則體系下，如第三國或地區未達至充分性認定的要求，原則上仍可采取具有約束力的公司規則、標準合同條款等“充分的保障措施”予以彌補或爭取法定克減情形7。但《辦法》沒有為不滿足充分性認定的國家或地區留有自主彌補空間。

2.“中國版充分性認定”與重要數據出境監管仍存適用罅隙

一方面，“實質等同”的監管邏輯不利于數據產業發展。數據跨境流動被提出時，“數據”僅指“關于可識別個人的任何信息”8。近年來，隨著全球數字化能力的提升，數據跨境流動才不再局限于個人信息，數據出境分級監管規則開始被提出[19]。而當前大部分國家，尤其是許多“一帶一路”沿線的發展中國家仍采取單一的數據保護模式，缺乏數據分類分級保護制度下“重要數據”或類似概念的相關安全保護立法，顯然沒有達到且短時間內難以達到與我國相當的重要數據保護水平。此外，由于對國家安全認知的廣度與深度不同，即便部分國家的數據立法中包含“重要數據”或類似概念，也與我國重要數據的概念、范圍和治理規則等存有較大差異9。我國互聯網與科技企業在很多發展中國家都扮演了重要角色，數據在我國與這些國家之間的自由流動對于我國產業發展具有重要意義。通過“實質等同”的監管邏輯設置過高的數據出境門檻實是一種“作繭自縛”的行為。

另一方面，重要數據的特殊屬性使得“中國版充分性認定”的實施更為困難。一國的數據保護水平是一個極為寬泛的概念，審查范圍可能涉及各個層級的數據法律規范。歐盟以基本價值觀為由變相為歐委會“創設”審查域外國家個人數據保護法律狀況的司法權限，已然引起相關政治爭議10。然“重要數據”或類似概念的法律制度體系必然涉及某些公共安全和國防領域的專業規則，對第三國的這些立法進行審查并無正當權限，勢必引起更大的爭議。此外，重要數據通常指向國家安全，其出境后的風險往往體現為境外機構以公權力“奪取”數據的安全風險，這無法通過“實質等同”的監管邏輯來規制。例如，美國的數據分級保護立法相對成熟，并實施“受控非密信息”協同治理，但我國流至美國的重要數據依然面臨被境外政府所垂涎，而類似美國的信息披露制度亦會對我國赴美上市企業所收集和持有的重要數據產生數據安全威脅。

（三）標準合同條款作為數據出境監管工具適用失靈

除充分性認定外，標準合同條款系國際上被用于個人信息出境的另一監管工具。實踐中，標準合同在數據出境安全評估中，往往也作為法律文件之一予以提交。這是因為《辦法》第八條第一項將“數據處理者與境外接收方擬訂立的法律文件中是否充分約定了數據安全保護責任義務”納入安全評估事項，并規定了“數據安全保護責任義務”的具體內容，從而將標準合同條款的適用場景擴大至重要數據出境，且實際上要求重要數據出境既須通過安全評估，又須就跨境傳輸合同采用標準條款。這一做法不僅缺乏上位法的授權，且忽視了標準合同條款與安全評估在功能定位上的本質差異，將面臨立法和學理上的雙重挑戰。

1.標準合同條款用于重要數據出境監管缺乏上位法依據

我國通過標準合同條款監管數據出境之上位法規定當前只見于《個人信息保護法》。《個人信息保護法》第三十八條規定個人信息出境應當“按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務”，并明確此渠道與其他三種個人信息出境渠道為并列關系，即個人信息處理者可擇一適用。2023年2月，國家網信辦正式發布了《個人信息出境標準合同辦法》及其附件《個人信息標準合同》。然而，《個人信息保護法》第一條明確規定其調整對象僅限于個人信息，故《辦法》規定數據處理者與境外接收方擬訂立的法律文件中須充分約定數據安全保護責任義務，并為重要數據出口方“創設”采用標準合同條款的法定義務以及將標準合同條款與安全評估重疊使用之做法均無上位法依據。此外，《辦法》也將與《個人信息保護法》第三十八條和《網絡數據安全管理條例（征求意見稿）》第三十五條產生邏輯沖突，因為后兩者均將安全評估與標準合同并列提及，并強調數據處理者可擇一選擇出境渠道。

2.標準合同條款在重要數據出境場景下適用“失靈”

一方面，標準合同條款充斥著意定監管的色彩。標準合同條款保留一定的合同特性，具有相對自由度，采取“自主締約與備案管理相結合”，是出境監管機制中唯一一種無需經過審核的出境方式[20]。標準合同條款將公法層面的數據安全保護義務轉化為私法層面的合同義務[21]，較安全評估的法定監管力度明顯較弱。《個人信息保護法》將標準合同條款作為與安全評估并列的、單獨的數據出境渠道，使得原本應該受到公權力干預和監管的個人信息出境不再必須執行嚴格的事前監管，不再受到“自上而下”的行政強監管，一定程度上通過犧牲安全價值的方式換取了效率價值和數據出境流動的經濟效益。這與個人信息出境需求量大，個人信息保護不追求風險結果的不可發生、不苛求信息處理者必須采取最嚴格的監管工具規制風險的立場相契合[22]。然而，重要數據往往涉及國家重要的基礎性、戰略性資源，關系國家主權安全，故立法必然應對重要數據的出境監管持更嚴格的態度，對重要數據安全事件的發生持更低的容忍度。我國立法已將重要數據出境渠道限定為安全評估，對重要數據采取行政強監管，較標準合同條款的“威脅”更大，無須再疊加使用標準合同條款。

另一方面，標準合同條款主要系事中和事后監管，與重要數據的風險規制理念相沖突，致使其無法發揮事后補救作用。標準合同條款雖在出境前訂立，體現一定的預防性，但其并不試圖在數據出境前“切斷風險源”，而是更傾向于保證數據出境中和出境后風險的可控、可接受及可彌補[21]。《辦法》第九條之規定與《個人信息標準合同》正式稿均以合同義務的履行方式和違約責任的承擔方式為主要內容，更重視事后救濟。《個人信息標準合同》第三條“境外接收方的義務”中亦主要囊括數據安全事件發生后的通知、補救、減損等義務。然而，重要數據不似個人信息，一旦發生安全事件則往往損害不可逆，受損害的國家安全或公共利益難以通過追究違約責任的方式被填平和救濟11，故其出境監管應遵循“切斷風險源”之路徑，而非保證風險可彌補之路徑。

四、重要數據出境安全評估制度的修正

2023年9月，國家網信辦發布《規范和促進數據跨境流動規定（征求意見稿）》（以下簡稱《數據跨境規定》）并公開向社會征求意見。《數據跨境規定》優化了出境安全評估數量閾值標準、設置了出境安全評估豁免、強調了事前事中事后的體系化監管思路，在確保數據有序跨境流動的同時，更有利于促進數字經濟發展，是對《辦法》中部分規則的及時修正。未來應進一步秉持重要數據出境安全評估制度的應然理念遵循，推動《數據跨境規定》相關規則的落實和細化，明確重要數據出境安全評估制度的功能定位，以整體安全為基本關切，探索更為精準和契合的重要數據出境監管工具，劃定具有節制性的出境限制范圍。

（一）在整體安全價值觀下調整出境安全評估規則

《辦法》雖然較之前公布的征求意見稿已經就部分法條表述和內容進行了優化，但仍有多處原則性規定采用個體權利保護、個體安全關注的表述。這使得《辦法》從“外殼”上看仍更像是一部將個體安全置于國家安全和社會公共利益之上的、主要為個人信息出境安全評估提供指引的法律規范。故應修改《辦法》部分法條中的原則性表述，摒棄有關個體權利保護的表述，從而聚焦整體安全。

首先，僅為宣示性條款的《辦法》第一條旨在強調出境安全評估應秉持的基本原則，該條統領整個出境安全評估制度，對重要數據出境安全評估具有宏觀指引作用，不應將“保護個人信息權益”置于“維護國家安全和社會公共利益”之前。其次，《辦法》第八條采用“原則性規定+具體列舉”的方式規定安全評估事項，該條之原則性規定將對出境安全評估的事項、范圍產生直接指引作用，不應納入對“數據出境活動可能對個人或組織合法權益帶來的風險”之關注。最后，《辦法》第九條關于數據安全保護責任義務內容的規定中，也不應包含“個人維護其個人信息權益的途徑和方式”。

（二）合理提升個人信息集群型重要數據的安全評估門檻

首先，《辦法》應合理提升普通個人信息出境安全評估門檻。《辦法》雖較前兩部征求意見稿提升了個人信息集群型重要數據出境安全評估的門檻，分別規定了“100萬人以上”的靜態數據處理者規模數量閾值和“超過10萬人”的動態出境數量閾值，但仍難以“追趕”我國龐大的網民基數和互聯網經濟迅猛增長的勢頭。在上位法已經為網信辦適時調整個人信息出境安全評估的數量閾值提供了正當性基礎的情形下12，《數據跨境規定》對出境安全評估門檻作出了及時回應，明確了“1萬人以下”的小規模個人信息不適用出境安全評估，且規定不再以信息處理者作為數量閾值的對象，而應以預計年度申請出境的個人信息量作為數量閾值標準，相較于《辦法》更為合理。未來應繼續根據數據出境的實際情況適當提升安全評估門檻并保持“動態性”調整，防止評估風險的泛化阻礙數據的正常流通。

其次，《辦法》應當摒棄就敏感個人信息設置更低評估門檻的做法，并從國家安全層面重新界定敏感。對此可以適當借鑒美國立法的相關經驗。2018年8月，美國前總統特朗普簽署《2018年外國投資風險審查現代化法》（FIRRMA），授權美國外國投資委員會應對敏感個人數據對國家安全的威脅13。FIRRMA實施細則從國家安全的角度界定了敏感個人數據，此處的“敏感”不再是針對信息主體個體的敏感。FIRRMA實施細則從個人數據持有主體和持有數量等多個方面確定外資審查的安全范圍，只有所投資的美國商業持有或收集的個人數據不屬于美國政府部門或人員，并且數據量未達至100萬人的門檻，該筆投資才不屬于美國外資安全審查的范圍。《數據跨境規定》與FIRRMA的規則存在異曲同工之處，如摒棄了就敏感個人信息出境設置更低的評估門檻，以及提出了對“涉及黨政軍和涉密單位敏感信息、敏感個人信息”出境的重點監管等規則。《辦法》可以適當借鑒FIRRMA實施細則，加強與《數據跨境規定》的規則協同，針對政府關鍵崗位人員、軍事要員等特殊群體的個人信息出境設置階梯式的安全評估門檻，并完善數據出境安全評估豁免規則，對不依賴于數據處理業務的傳統企業以及僅處理數量大但數據類型單一且敏感度低的個人信息的企業可適用審查豁免。

（三）基于二元因素進一步完善“中國版充分性認定”

“中國版充分性認定”應立足我國國情，從以下兩方面進一步完善：

一方面，應摒棄“實質等同”的監管邏輯，降低“中國版充分性認定”門檻，為國際數字經濟合作保留充足空間。“實質等同”雖并不等于完全等同，但追求各國間“重要數據”或類似概念相關立法的“實質等同”對我國數據出境監管來說仍是弊端顯著的。歐盟基于其數據資源多而數字企業少的現狀，不得不通過充分性認定嚴格限制數據出境以塑造競爭優勢。但與歐盟不同，我國數字經濟整體規模已位居世界前列，對數據跨境流動的需求量較高14。我國互聯網產業雖起步較晚，但可謂后來居上。騰訊、阿里巴巴等大型互聯網公司已成為全球范圍的數據公司，越來越多地參與到全球數據價值鏈的各個環節，從數據跨境流動中受益的能力較強。而帶有“數據防御色彩”的“實質等同”要件極易影響數據的正常流通，與我國數字經濟發展的目標和需求極不匹配。因此，在對境外接收方所在國家或地區的數據安全保護政策法規、網絡安全環境及數據保護水平進行評估后，不應追求其與我國法律、行政法規的規定和強制性國家標準的“實質等同”，而應結合多維度的評估結論合理、科學地認定數據出境的價值與風險，規范和促進數據跨境流動。

另一方面，“中國版充分性認定”中的考量因素應“化寬泛為明確”，從而確保評估可行性，并防止“寧嚴毋寬”的評估結論影響數據的正常流通。“中國版充分性認定”的審查范圍中包含抽象因素及實體因素。抽象因素是指境外接收方所在國家或者地區的“網絡安全環境”，筆者認為這一概念涵蓋的范圍過寬，且評估人員難以對當地的相關政策、文化等方面具有非常充分的理解，故應當刪除。實體因素是指“境外接收方所在國家或者地區的數據安全保護政策法規”，該因素確能從側面反映一國或地區的數據安全保障能力，可作為出境風險評估的考量。但鑒于審查范圍一旦寬泛不僅極易造成對數據出境的過度限制，也易增加安全評估的難度和壓力，故應進一步明確其范圍。首先，應尊重他國主權，涉及國家（地區）機密的文件、專業規則等不應被納入審查范圍；其次，加入的與數據跨境流動相關的國際條約或作出的國際性承諾能反映出第三國或地區對待數據主權的基本立場，且審查較為方便、可行；再次，域外“重要數據”或類似概念的相關政策規定中可能包含大量無強制力的“軟法工具”[8]，如公開的數據分類、識別指南等，此類“軟法工具”作為治理規則的重要部分也應被納入審查范圍；最后，筆者認為數據安全保護政策法規的執行情況涉及范圍較廣，開展域外實地調研及核查難度較大且成本較高，不應審查。由于境外接收方的法律與政策環境相對穩定，由每個數據出口方進行獨立評估必然會帶來大量的重復勞動，故應由相關監管部門或第三方機構形成成熟的法律與政策評估結果，并適時更新，從而減輕數據出口方的合規壓力。

（四）避免重疊使用標準合同條款與出境安全評估

在GDPR的規定下，標準合同條款僅作為充分性認定的一種替代方案，以合同義務補強域外國家數據保護水平之不足，而《辦法》卻將安全評估和標準合同條款重疊使用于重要數據的出境監管。如前文所述，這一做法缺乏合法性與合理性，而當下的最優路徑即是明確二者在數據出境監管規則中的體系定位，拆分使用于不同風險級別的數據出境場景，這樣數據出口方可根據自身的數據流、業務模式和出境數據的性質及風險特點選擇適當的合規路徑。事實上，數據出境體系化監管邏輯下，標準合同條款本就是與安全評估并列的出境渠道，而非安全評估的一部分或補充。標準合同條款與安全評估的監管邏輯不同決定了二者本就應當被用于防范不同的風險類別[15]。《辦法》規定的評估事項和范圍應當更多地聚焦國家和社會層面的整體安全，而《個人信息出境標準合同辦法》下的標準合同條款則應當更多地凸顯數據進出口雙方存在違約行為時的救濟方式，二者的監管理念并不兼容。《辦法》試圖將原本作為個人信息出境事后監管工具的標準合同條款擴展適用至重要數據的事前出境監管，與安全評估機制重疊使用，將造成數據出境監管規則體系的紊亂。《數據跨境規定》提出了強化數據出境活動中的事前事中事后監管，強化了數據出境差異化監管寬嚴相濟、前后相應的監管邏輯，但規定較為抽象，且并未厘清安全評估與標準合同條款的功能定位。重要數據出境安全評估的場景中應制定針對性的重要數據出境示范合同，而不應出現標準合同條款的“身影”，主要體現事后監管邏輯的標準合同條款僅應被用于小規模的個人信息出境監管。當“個人信息處理者”同時符合《個人信息出境標準合同辦法》第四條規定的四種情形時，可選擇標準合同條款作為數據出境渠道。由此，在數據出境監管情境下，實現適用于重要數據的出境示范合同條款，與適用于小規模個人信息出境的標準合同條款并行不悖，共同服務于數據出境監管的實踐需要。

參考文獻：

[1] 劉金瑞. 邁向數據跨境流動的全球規制： 基本關切與中國方案[J]. 行政法學研究， 2022（4）： 73.

[2] 吳玄. 數據主權視野下個人信息跨境規則的建構[J]. 清華法學， 2021（3）： 83.

[3] 金晶. 個人數據跨境傳輸的歐盟標準——規則建構、司法推動與范式擴張[J]. 歐洲研究， 2021（4）： 89.

[4] 王玫黎， 陳雨. 中國數據跨境流動規則與CPTPP的對接研究[J]. 國際貿易， 2022（4）： 20.

[5] 鄭淑鳳. 數字經濟視角下數據跨境規則的困境與回應[J]. 國際貿易， 2022（5）： 63.

[6] 張曉君， 屈曉濛. RCEP數據跨境流動例外條款與中國因應[J]. 政法論叢， 2022（3）： 109.

[7] 袁康， 鄢浩宇. 數據分類分級保護的邏輯厘定與制度構建——以重要數據識別和管控為中心[J]. 中國科技論壇， 2022（7）： 167?177.

[8] 張敏， 王玥. 美國“受控非秘信息”協同治理路徑及對我國“重要數據”立法的啟示[J]. 情報理論與實踐， 2022， 45（10）： 36?44.

[9] 丁曉東. 數據跨境流動的法理反思與制度重構——兼評《數據出境安全評估辦法》[J]. 行政法學研究， 2023（1）： 62?77.

[10] 洪延青. 國家安全視野中的數據分類分級保護[J]. 中國法律評論， 2021（5）： 75.

[11] 魏寧. 美國數據出境管理體制及中國因應[J]. 國際經濟法學刊， 2022（4）： 25?44.

[12] 國家網信辦： 滴滴存在嚴重影響國家安全的數據處理活動[EB/OL]. （2022?07?21）[2023?08?20]. https： //baijiahao. baidu. com/s？id=1738940687350615521amp;wfr=spideramp;for=pc.

[13] 全國首個獲批數據出境安全評估案例落地北京友誼醫院[EB/OL]. （2023?02?01）[2023?08?20]. http： //www. bfh. com. cn/Html/News/Articles/5797. html？eqid=abd94 9ec 000015930000000464547609.

[14] 張凌寒. 論數據出境安全評估的法律性質與救濟路徑[J]. 行政法學研究， 2023（1）： 51.

[15] 趙精武. 論數據出境評估、合同與認證規則的體系化[J]. 行政法學研究， 2023（1）： 89.

[16] 金晶. 作為個人信息跨境傳輸監管工具的標準合同條款[J]. 法學研究， 2022（5）： 23.

[17] 范明志. 論數據安全的客體[J]. 法學雜志， 2023（2）： 82.

[18] 趙海樂. 數據主權視角下的個人信息保護國際法治沖突與對策[J]. 當代法學， 2022（4）： 87.

[19] 梅夏英. 信息和數據概念區分的法律意義[J]. 比較法研究， 2020（5）： 158.

[20] 李仁真， 羅琳娜. 歐盟數據跨境傳輸標準合同條款新發展及啟示[J]. 情報雜志， 2022， 41（5）： 146?153.

[21] 趙精武. 數據跨境傳輸中標準化合同的構建基礎與監管轉型[J]. 法律科學， 2022（2）： 156.

[22] 張凌寒. 個人信息跨境流動制度的三重維度[J]. 中國法律評論， 2021（5）： 37.

Deviations and Corrections to the Critical Data Exit Security

Assessment System

Guo Rengui1， Hu Yanjie2

（1. Law of School of Central South University， Changsha 410083， China;

2. Intellectual Property Research Institute of Xiamen University， Fujian Xiamen 361005， China）

Abstract： Under the data classification and hierarchical protection system， important data are the types of data that contain national security and public interests. In the system of rules for the regulation of data export， the function of security assessment is to prevent overall security risks. However， the specific system of security assessment of important data exported from China deviates from the concept of focusing on overall security. This tends to make the scope of data control in data export supervision too large and the supervision too strict， which is not conducive to the circulation and utilisation of data， and thus needs to be amended. Firstly， the expression of the law that focuses on individual security in many parts of the Measures for the Assessment of Data Exit Security should be amended. Second， the security assessment threshold for important data in the form of clusters of personal information is too low and should be raised appropriately， and the sensitivity of personal information should be defined at the national security level. Third， the \"Chinese version of the adequacy determination\" is still difficult to be applied to the outbound regulation of important data， and the logic of \"substantial equivalence\" should be discarded and the factors to be considered should be further refined. Lastly， the standard contractual clauses exist barriers to the application of important data export scenarios， and model contractual clauses for the export of important data should be formulated， alongside the standard contractual clauses for the export of small-scale personal information， so as to make the system of rules on the regulation of data export more appropriate to the needs of data export regulation practice.

Keywords： critical data; data exit security assessment; adequacy determination; standard contractual clauses