2014年4月15日,习近平总书记在中央国家安全委员会第一次会议上创新性提出“总体国家安全观”,并强调要准确把握国家安全形势变化的新特点新趋势,坚持总体国家安全观不动摇。“总体国家安全观”强调,要“既重视传统安全,又重视非传统安全,构建集政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、生态安全、资源安全、核安全等于一体的国家安全体系。”党的二十大报告也指出:“以新安全格局保障新发展格局,健全国家安全体系,强化数据等安全保障体系建设”。因此,新时期的国家安全不仅关注传统的军事和国防层面,还深刻涉及经济、科技、文化等多个领域。在当今数字化飞速发展的时代,信息与数据已成为现代社会的核心资源,推动国家经济、科技和社会发展。《促进大数据发展行动纲要》和《十三五规划纲要》两个指导我国未来经济社会发展的基础性文件共同指出,数据已成为国家基础性战略资源。《促进大数据发展行动纲要》进一步强调,大数据正日益对全球生产、流通、分配、消费活动以及经济运行机制、社会生活方式和国家治理能力等产生重要影响。
然而,这一变革也催生出深刻且复杂的新时期国家安全之变。数据的频繁跨境流动,给国家安全带来了一系列潜在隐患。首先,大规模的数据出境流动可能导致国家核心信息资产的外泄,对国家的战略、经济和科技安全构成直接威胁。例如,在高铁数据案中,某信息科技公司的员工通过微信群向境外公司输送了500GB中国铁路信号数据,其中包括物联网、蜂窝和GSM-R等数据。这些信息被国家保密行政管理部门鉴定为“情报”,该员工最终以涉嫌为境外刺探、非法提供情报罪被上海市国家安全局逮捕。再如,在滴滴出行数据泄露事件中,由于美国《外国公司问责法案》规定,外国公司需要披露一定的信息才能在美国上市,这导致滴滴出行在美国上市后面临大量数据泄露的风险。这些数据因主动或被动泄露至海外,严重威胁国家安全,侵犯国家数据主权。此前,国内许多机构的数据出境活动基本处于“裸奔”状态,严重威胁个人信息权益、社会公共利益和国家安全。其次,随着数据的跨境流动,国家面临更加复杂和隐蔽的网络威胁。恶意网络攻击、信息窃取等行为使得国家安全形势更加严峻,确保数据出境安全成为国家整体安全的重中之重。例如在“斯诺登事件”揭露大规模监听计划之后,各国对数据跨境流动引发的国家安全风险日益重视,对敏感领域的数据跨境流动开始进行限制或禁止,如在金融、医疗卫生等领域多国已启动数据资源保护,将国家安全提升到主权战略高度,防止和减少本国公民因外国政府和企业侵犯敏感数据的情况发生。“棱镜门事件”便是一起典型的侵犯数据主权案件,对其他国家的数据进行监控和窃取,包括通信内容等涉及国家安全、国家利益和公民隐私的个人资料,对其他国家的主权构成严重威胁。一些跨国企业可能将经营中获取的我国公民个人数据秘密转移给他国政府,损害我国公民的数据自决权,并侵害我国数据主权。最后,由于各国法规和标准的差异,数据跨境流动可能引发法律冲突,甚至导致国家间纠纷,增加国家安全的复杂性。例如,欧盟强调数据自由流动和市场主导,而俄罗斯等国则采取安全管制模式,限制数据流动,这可能导致国家间利益竞争与博弈。
在新时代,总体国家安全观对数据出境提出了更高的安全性要求。数据出境安全问题的重要性,凸显了对现代国家安全战略全面审视的迫切性。如何在保证数据自由流动的同时确保数据安全,已成为亟须解决的问题。数据跨境流动一般包括数据入境和数据出境两个方面,数据出境伴随着泄漏、篡改及利用数字画像等技术手段窃取国家机密的风险,对国家安全构成最大威胁,甚至可能对国家形象和国际信任产生深远影响。因此,建立完善的数据出境安全制度体系已成为维护国家安全的当务之急。在全球化的信息流动中,仅靠现有的网络安全审查措施和标准合同等制度远远不够,数据出境安全评估是推动数据出境安全体系的重要动力。当前,我国数据出境面临诸多风险,亟需制度层面的管控。尽管数据出境安全评估体系已在《网络安全法》第37条中确立,基本规范框架也已形成,但该体系仍有诸多短板亟待完善。鉴于此,本文在“总体国家安全观”提出十周年之际,深入反思数据出境安全评估制度体系,并提出相应的制度优化建议。
准确界定概念是建立规范体系的先决条件和根本。目前,我国在数据出境安全评估制度方面存在概念混淆和范围不清等问题。因此,本部分将主要界定数据出境安全评估制度的相关概念,并在此基础上梳理我国数据出境安全评估的制度规范体系,并论证其在数据出境监管中的独特地位。
(一)数据出境安全评估制度的相关概念厘定
1.数据出境安全评估的概念界定
数据出境安全在维护国家安全中至关重要,而数据出境安全评估是这一保障体系中的关键环节,其作用不可替代。
首先,数据出境指数据在跨越国界传输、分享或存储到另一个国家的过程,涵盖商业交流、国际合作、云计算服务及跨国企业数据管理等多种情境。本文讨论的数据出境,特指中国境内的数据处理者以服务或产品的形式,通过网络等方式,将境内采集、生成的数据提供给境外组织或个人。包括境内运行中收集、生成的数据向境外传输或存储,以及境外机构、组织或个人对境内存储数据进行访问或调用等。
其次,数据出境安全是指国家在数据跨境传输、分享或存储过程中,为确保数据的机密性、完整性和可用性,采取措施防范潜在威胁、风险和损害,以维护国家安全和国家利益,促进数据依法有序、自由流动。
最后,数据出境安全评估是在数据出境之前,由政府或独立机构对数据的安全性和可靠性进行全面审查的预防性机制。旨在通过系统化和综合性的分析与评估,识别、量化可能存在的威胁和风险,从而制定并实施有效的安全措施。这一制度类似于数据出境过程中的“预防性安检”,强调事前防范的原则。
2.相关概念辨析
其一,关于数据安全评估与数据出境安全评估二者之间的区别。数据出境安全评估是确保敏感数据不被未经授权传输到其他国家的关键措施,而数据安全评估则涵盖所有流通数据,不仅包括出境、入境的数据,还包括在国内流通的数据。换言之,数据安全评估包括数据出境安全评估,但二者在评估主体、安全标准和评估程序等方面有明显区别。首先,在评估主体上,数据出境安全评估主要由涉及国际数据流动的机构或部门负责;而数据安全评估则涵盖更广泛的数据管理实体。其次,在安全标准方面,数据出境安全评估专注于跨境数据流的安全性要求;而数据安全评估则涵盖更全面的数据管理和传输过程中的所有安全标准。最后,在评估程序上,数据出境安全评估通常侧重于出境前的特定评估流程和标准;而数据安全评估则涵盖更复杂的整体数据管理和安全控制程序。
其二,关于数据出境安全审查与数据出境安全评估之间的关系。两者具有一定的相似性,都是对出境数据的安全性进行事前审核的行为,在数据出境安全中扮演着重要角色,共同保障数据跨境流动的安全性和合法性。但二者在流程和实施主体上有所不同:前者通常由政府机构主导,对于某些类型的数据出境(如涉及国家秘密、敏感数据或大量个人数据的传输)必须经过严格的安全审查,才能被批准进行跨境传输。而后者的实施主体一般包括数据处理者(如企业或组织)和政府机构。在考虑将数据传输到境外时,数据控制者需要先进行自我评估,以确定数据出境可能带来的风险以及如何降低这些风险,在此基础上还需提交国家网信部门评估。当前,我国在制度层面尚未对二者进行严格区分。
其三,关于数据出境安全评估与数据本地化。数据本地化存储的要求在《网络安全法》第37条中得到明确。该条款对数据本地化的要求在前半部分进行了规定,后半部分则提出了数据出境安全评估的要求。数据本地化意味着在数据出境前需在国内进行严格备份,绝对的数据本地化完全禁止数据外流,是一种极为严格的限制措施。其设计主要考虑保护个人数据、维护网络安全、保障社会公共利益和国家安全,以及促进产业发展。第37条并未绝对限制数据流动,而是设定了三个条件以限制数据跨境流出,兼顾安全与发展的双重目标。因此,在法律规定数据本地存储义务的前提下,跨境传输必然触发安全性评估要求。
其四,关于数据出境安全评估与数据出境监管的问题。数据出境安全评估是数据出境安全监管的一部分,但出境监管的范围和内容更为广泛。安全评估是确保数据出境合规的方法之一,但“评估”并不能代替“管理”,因为管理涵盖了数据出境的所有阶段,如事前、事中以及事后等,安全评估只是其中一个特定阶段的活动。
(二)数据出境安全评估制度的规范分析
1.数据出境安全评估制度的演变历程
中国的数据出境安全评估制度经历了从初期零星监管到逐步强化和完善的演变,充分体现了国家对数据安全和隐私保护的高度重视及其在全球数字治理中的主动参与。这一制度的起源可以追溯至20世纪六七十年代,伴随数据跨境流动通信技术的发展及国际经贸往来的需求,逐步形成了现行的制度规范体系。从历史发展来看,数据出境安全评估制度可划分为三个阶段,各阶段特征明显,反映出监管力度的逐步加深。
第一阶段,在互联网发展的初期,中国并未建立明确的数据出境安全评估制度。当时,数据跨境流动规模相对较小,国家对相关领域的监管较为松散。然而,随着信息化的推进,数据安全和隐私保护问题逐渐引起国家重视。1994年颁布的《计算机信息系统安全保护条例》(1994年2月18日发布)是这一时期的代表性法规,虽然其中涉及数据出境的内容,但要求仍显模糊,主要针对关键信息基础设施的运营者,规定其需要在获得批准后才能向国外传输数据。此时的数据出境监管制度尚处于萌芽阶段。
第二阶段,进入2010年代,互联网经济的蓬勃发展使数据跨境流动急剧增加,随之而来的数据安全挑战促使中国加大了数据出境监管力度。2016年出台的《网络安全法》是中国数据出境安全监管的一个重要转折点,该法首次明确提出个人信息和重要数据出境需经过安全评估并获得相关部门批准的要求,这标志着中国正式实施数据出境安全评估制度。这一阶段的特点是数据出境监管日趋严格,制度框架逐渐成型。
第三阶段,2020年之后,随着全球数据治理问题的日益凸显,中国的数据出境安全评估制度进入成熟期。国家陆续颁布了《数据安全法》《个人信息保护法》《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》等重要法律法规,并出台了《数据出境安全评估申报指南》《个人信息出境标准合同备案指南》等操作性文件。这些法律法规和实施细则构成了一个系统化的、层次分明的数据出境安全评估制度体系。同时,中国也通过参与国际合作,积极推动全球数据治理,先后签署了多个国际数据跨境流动公约和多边协定。2020年,外交部长王毅在“抓住数字机遇,共谋合作发展”国际研讨会上,提出了旨在构建和平、开放、安全、合作、有序网络空间的《全球数据安全倡议》,并强调加强全球数字治理与网络安全合作。
2.数据出境安全评估制度的规范梳理
我国首次在2017年6月1日实施的《网络安全法》中明确了数据出境安全评估的必要性,并建立了重要数据出境安全评估制度,尤其对重要数据的出境提出了评估要求,规定其向境外传输数据必须经过安全评估并得到主管部门的批准。这一规定标志着中国在数据安全领域迈出了重要的一步,为后续法律法规的制定奠定了基础。在此基础上,国家互联网信息办公室(以下简称“网信办”)分别于2017年和2019年先后发布了《个人信息出境安全评估办法(征求意见稿)》和《数据安全管理办法(征求意见稿)》,对具体的评估标准和程序作出了进一步的细化。例如,2017年发布的《个人信息和重要数据出境安全评价办法(征求意见稿)》提出了定量标准,要求对50万条以上个人信息或累计超过1000GB的出境数据进行安全评估。再如,《个人信息出境安全评估办法(征求意见稿)》进一步提出,如果评估发现个人数据对国家安全和公共利益可能造成损害,或者个人信息安全得不到保障,则禁止出境。又如,《数据安全管理办法(征求意见稿)》规定,网络运营者在向境外提供重要数据前,应当对安全风险进行评估,并报主管机关审批。从文义上看,这种评估是运营者的自我评估,并不能替代主管部门的评估。这些征求意见稿的出台表明,随着数据跨境流动的日益频繁,中国逐渐认识到数据出境对国家安全和公共利益的潜在威胁,并开始加强对这一领域的管理。
随后,《数据安全法》(2021年6月10日颁布)和《个人信息保护法》(2021年8月20日颁布,以下简称“《个保法》”)的相继出台,中国的数据出境安全评估制度进一步扩展和深化。这两部法律不仅巩固了数据安全评估的法律地位,明确了数据处理者在跨境传输数据时必须遵循的评估程序和合规要求,还进一步拓展了数据出境安全评估制度的适用范围,关键信息基础设施运营者不再是唯一主体。例如,《数据安全法》对关键信息基础设施运营者和其他数据处理者分别规定了不同的适用准则,规定除关键信息基础设施运营者外,其他数据处理者在跨境传输重要数据时也需进行安全评估,由此将评估范围从关键信息基础设施运营者扩展到所有涉及重要数据处理的主体,而《个保法》则对个人信息的跨境传输做出了详细规定,明确要求关键信息基础设施运营者和处理个人信息达到一定规模的信息处理者在向境外提供这些信息时,需按照网信办的要求进行数据出境安全评估,强调了数据出境安全评估在保护个人隐私和国家安全中的关键作用。
在这些基础性法律的指导下,国家互联网信息办公室进一步发布了一系列实施细则和操作指南。如《数据出境安全评估办法》《个人信息出境标准合同办法》以及最新的《促进和规范数据跨境流动规定》《数据出境安全评估申报指南》(第二版)和《个人信息出境标准合同备案指南(第二版)》等。具体而言,2021年10月,网信办发布了《数据出境安全评估办法(征求意见稿)》,对企业的跨境数据传输业务提出了更高的合规要求。该文件不仅系统明确了数据安全评估的内容和程序等具体要求,还提出了评估时应重点考量的风险因素,如跨境传输的数据量、数据类型、接收方的数据保护能力等。在广泛征求意见后,网信办对该办法进行了修改和完善,并于2022年5月发布了正式版《数据出境安全评估办法》(以下简称“《办法》”)。《办法》的颁布和实施标志着中国数据出境安全评估制度的正式确立,标志着中国在这一领域的制度建设达到了一个新的高度。为配合《办法》的实施,网信办于2022年9月发布了《数据出境安全评估申报指南》,该指南详细说明了企业如何进行安全评估的申报流程,进一步提高了制度的可操作性。与此同时,2023年2月发布的《个人信息出境标准合同办法》也为个人信息跨境传输提供了标准化合规路径,明确了个人信息出境标准合同的适用条件、订立要求及备案程序,确保个人信息在跨境传输时得到充分保护。2024年3月发布的《促进和规范数据跨境流动规定》(以下简称“《规定》”)则对现有的数据出境安全评估制度进行了进一步的优化和完善。该《规定》不仅适当放宽了部分数据跨境流动的条件,还对数据出境安全评估的范围进行了适度收窄,显示出中国在全球数据治理中的灵活性与应变能力。这些文件不仅细化了数据出境安全评估的具体操作要求,还通过对申报流程、评估标准和备案条件的优化,提高了制度的执行效率和可操作性。
此外,为进一步规范和引导数据处理者有序开展数据出境安全评估申报及个人信息出境标准合同备案工作,国家互联网信息办公室于2024年3月发布了《数据出境安全评估申报指南(第二版)》和《个人信息出境标准合同备案指南(第二版)》。这两份指南对申报方式、流程及所需材料作出了优化和简化,旨在提高申报效率,确保数据出境流程的合法合规。
通过梳理上述法律法规和相关办法,可以清晰地看到,在总体国家安全观的指导下,中国的数据出境安全评估制度经历了从《网络安全法》到《数据安全法》《个人信息保护法》再到一系列实施细则的逐步完善,形成了一个以国家安全和个人信息保护为核心的多层次、多维度的数据出境安全评估制度框架体系(见表1)。这一体系不仅提升了中国在全球数据治理中的地位,更为保障国家安全、维护公众利益和保护个人隐私提供了坚实的法律基础。
(三)数据出境安全评估制度的独特地位
我国在数据出境安全监管方面采取了包括安全审查制度、标准合同制度、数据跨境流动认证制度以及数据出境安全评估制度等在内的多项监管措施。数据出境安全评估制度相对于其他安全监管措施而言,在数据出境过程中具有独特的作用。
首先,数据出境安全评估制度在顺序上的前置性确保了其排除安全隐患的及时性。该制度为数据出境监管的第一道端口,是将事前评估与持续监督、风险自评估与安全评估相结合的综合体系,旨在数据出境前评估和降低潜在风险,预防可能威胁国家安全和主权的不安全流动。因此,数据出境安全评估通常在数据离境之前进行,以识别潜在风险并采取必要措施。相比之下,其他监管措施侧重于数据出境后的监督与合规性,例如加密数据传输、详细记录出境信息以及监督数据接收方的活动等。因此,数据出境安全评估制度具有明显的事前预防性和程序上的前端性。简言之,数据出境安全评估是一种早期预防措施,而其他监管措施(如法规、政策和技术要求等)则更注重后期监管,以确保数据出境活动的合法性和安全性。
其次,主体多样化的数据出境安全评估制度在一定程度上强化了安全排查的实效性。安全评估涵盖了多种类型,包括内部评估、外部评估和第三方评估等。在责任主体方面,通常由专门或第三方机构承担数据出境安全评估,这些机构具备独立性和专业性,以确保评估的客观性,而其他监管措施可能由政府部门、行业协会或数据所有者自身负责。数据出境安全评估在安全性评估分类中,涵盖两大类:风险自评类和网信部门评价类。可以说,数据出境安全评估作为《网络安全法》中关键的国家级数据安全保护措施,标志着我国在建立全面、多层次的数据资源保护体系上迈出了重要一步。
最后,全面的数据出境安全评估内容确保了安全隐患排查的充分性。该评估主要关注数据出境的风险,包括数据的敏感性、目的地国家的法规和数据安全措施等。相比之下,其他监管措施的范围更广,不仅涉及数据隐私保护,还包括合规性审查和数据脱敏等。所有这些监管措施尽可能全面地涵盖了数据在整个生命周期及其在域外的安全和合法性,以有效应对数字化环境的风险和挑战。因此从功能上来说,数据出境安全评估制度不可或缺:它能够识别风险、验证合规、归类标记数据。总体而言,数据出境安全评估工作有效化解了数据安全生命周期中的各种风险,确保了数字时代数据作为一种重要的战略资源具有可信性、可控性和可用性,为数字经济的高质量发展提供了制度保障。
图2 数据出境安全评估流程图
在当前国家安全的广泛背景下,中国的数据出境安全评估制度亟待优化,以有效应对复杂多变的国际环境和日益增长的数据安全风险。通过借鉴上述三种制度模式的优点,结合中国的具体情况进行本土化创新与改进,将有助于提升该制度的适用性与有效性。优化的路径可从理念更新、规则细化以及配套措施完善等方面入手。
(一)理念更新:国家安全与数据主权为本,兼顾发展
数据出境安全评估制度的设计必须充分考虑当前复杂多变的国际环境与信息技术快速发展的趋势。在制度设计初期,必须明确国家安全优先的核心理念,并将其贯穿于整个评估制度体系中。但在确保国家安全的同时,制度设计还需兼顾数据主权与经济发展的平衡,对于涉及国家安全的特定数据,应优先确保安全;而对于其他类型的数据,则需在保障安全的前提下兼顾数据自由流动。
1.国家安全为本
数据出境涉及国家战略与核心利益,在设计数据出境安全评估制度时,必须将国家安全置于首要地位。这意味着在权衡个体隐私、企业创新和国家安全之间,国家安全必须被优先考虑和强调。
其一,关于国家安全与个体隐私的权衡,传统观念往往将数据隐私与国家安全视为对立关系。然而,随着全球安全形势日益复杂多变,特别是网络安全威胁和信息战的加剧,需重新审视这一权衡关系。在当前形势下,国家安全的要求并不一定与个体隐私相冲突,反而可以在法律框架内实现两者的兼容。
其二,在数字时代,国家安全的概念已不再局限于传统的军事安全,而是扩展到了经济、信息和技术等多个层面。数字时代的到来使得数据成为国家综合实力的重要组成部分,数据泄露或滥用可能对国家的经济稳定、社会秩序和技术优势产生深远影响。因此,数据出境安全评估制度不仅要保护国家的核心信息资产,还需防范任何可能对国家安全构成威胁的数据流动和传输。
2.强化数据主权
在数字化和全球化的背景下,数据主权作为国家或地区对其境内产生、收集和处理的数据拥有决策和控制权的能力,已经成为国家安全、经济利益和社会稳定的重要组成部分。数据被视为一种重要的国家资源,其安全性和主权控制直接关系到国家核心利益。因此,在数据出境安全评估制度中,强化数据主权原则具有重大意义,不仅有助于有效保护国家和个人的数据安全,还能够维护国家主权、保障公民权利,并促进经济发展和国际数据安全合作。
首先,数据主权对于国家安全至关重要。国家通过对数据的掌控和管理,可以更有效保障国家安全,包括防范网络攻击、加强情报收集能力以及提升国防实力。在此过程中,数据主权意味着国家对境内生成的数据享有控制权和决策权,并根据法律规定决定数据的使用、处理和传输方式,以保护国家安全利益和数据所有者的权益。
其次,数据出境涉及大量的个人信息,包括个人身份信息、健康数据等,强化数据主权原则有助于确保在数据跨境流动过程中个人数据得到合法、透明和安全的处理,保护个人隐私权和数据权利。
最后,数据主权与经济发展密切相关。在当今世界,数据已成为推动经济增长和创新的关键要素。强调数据主权有助于国家在全球数据经济中实现自主性和竞争力,促进本地数据中心、云计算和数据处理产业的发展。
在全球化背景下,数据安全问题已经不再局限于单一国家的范围,而是演变为全球共同面临的安全挑战。随着数据的跨境流动日益频繁,如何协调国内规则与国际规则的有效对接显得尤为关键。在国际层面,数据主权原则强调平衡国家对数据的管控权与数据自由流动之间的关系。鼓励国家间的数据流动和治理合作,推动各国在数据安全与隐私保护方面的政策趋同。通过分享信息、交流经验和最佳实践,国家间能够更好地理解彼此的监管框架和安全需求,减少政策冲突和法律障碍。同时,积极参与国际数据隐私和安全标准的制定与合作,是增强全球数据治理能力的重要途径,通过签署双边或多边自由贸易协定,以共同应对数据安全挑战。
3.小结
国家安全、数据主权和经济发展三者之间形成了一个相互支持和促进的关系网络。通过强化数据主权,国家能够在保障安全的同时,推动经济发展,实现数据在全球化时代的合法、安全和有效流动。因此,制定数据出境安全评估制度时,应采取灵活且动态的策略。一方面,要建立严格的安全评估标准和程序,特别是针对涉及国家安全和关键基础设施的数据,确保其安全可靠;另一方面,也要为一般性数据的跨境流动提供适度的便利措施,以支持信息技术产业的发展和全球数据经济的参与。唯有通过在安全与自由之间实现精细化平衡,才能使数据出境安全评估制度既能够有效防范风险,又能够促进经济和社会的持续发展。
(二)规则细化的具体方向
1.规范体系的体系化协调
目前,我国的数据出境安全评估制度存在较为零散的问题,缺乏体系化的规则,导致规范重复或冲突等。这种不完善的制度设计不仅影响了数据安全的监管效率,也阻碍了统一政策的有效实施。为此,需要从以下几个方面进行规则优化。
首先,应整合制度框架体系。当前,数据出境相关法规和政策分散在不同部门之间,导致政策执行中的冲突和不一致现象。为此,有必要整合现有的法律法规,建立一体化的制度框架,消除部门间的重复与冲突,并根据实际情况进行修订和优化,以确保制度的科学性和适用性。
其次,建立跨部门协作机制和定期协商沟通机制。为促进数据出境安全评估制度的有效实施,有必要设立一个由政府机构、行业协会、专业机构和企业代表组成的跨部门联席会议机制。该机制可以作为各相关方沟通协商的平台,通过定期会议和交流,解决实际操作中的问题,共同推动数据出境安全评估制度的优化和完善。
最后,引入统一的评估标准并简化流程。目前,不同评估机构和部门在数据出境安全评估过程中使用的标准和流程不一,造成了效率低下和评估结果不一致的问题。为解决这一问题,应制定统一的评估标准和简化的操作流程,确保所有参与评估的机构和部门都遵循同样的标准和程序。这不仅可以提高评估效率,减少冗余和拖延,还能够增强评估结果的公正性和一致性,从而提升整体制度的信任度和执行力。
2.评估行为救济程序的完善
尽管现行数据出境安全评估制度允许申请复评,但在救济程序上仍然存在明显不足。企业或组织在认为评估不当时,往往缺乏有效的救济途径。不仅损害了被评估方的合法权益,也削弱了评估制度的公信力和执行效果。为了更好地保障数据出境安全评估的公正性和透明性,有必要通过以下措施来完善救济程序。
首先,设立有效的申诉机制。在现行制度下,虽然允许申诉,但缺乏具体和清晰的申诉流程,使得受评估方在遇到不公正的评估时难以有效表达不满。因此,需通过法规和指南明确申诉的具体步骤和条件,确保申诉过程透明且易于操作。同时,应当保障申诉方的合法权益,包括提供充分的机会表达意见、防止恶意诉讼以及避免受到不当处罚。这样可以有效提高救济程序的可操作性和公平性,增强受评估方对制度的信心。
其次,提升申诉机构的独立性与专业性。现行制度下,申诉机构的独立性和专业性不足,容易受到政治和经济压力的影响,导致申诉过程缺乏公正性。为此,有必要建立一个独立的申诉机构,专门负责处理与数据出境安全评估相关的申诉事项,确保案件能够在一个公正、独立的环境中得到审理。此外,引入具有丰富专业知识和经验的评估人员,确保对相关争议进行客观公正的审理,从而提高救济程序的专业性和可信度。
最后,提高救济程序的透明度。透明度是保障救济程序公正性的关键因素。为此,应公开评估标准和结果,使社会公众了解评估的依据和结论。通过官方网站等渠道,及时公开相关信息,并提供清晰的申诉结果解释,详细说明决策原因。这不仅有助于增强公众对评估制度的理解和信任,还能为申诉方提供明确的参考依据,从而更有效地行使其救济权利。
3.引入第三方评估主体
升级数据出境安全评估制度的一个关键步骤是引入独立的第三方评估主体。目前,政府主导的评估过程可能受政治或商业动机的影响,进而影响评估结果的客观性和公正性。引入第三方评估主体的最大优势在于,这些机构通常具备专业的技术能力和丰富的评估经验,能够提供客观、权威的评估意见。通过独立评估,可以更精准地识别数据出境可能带来的潜在风险,并提出科学合理的解决方案。为了有效实施第三方评估体系,需要从以下两个层面入手:第一,制定法规指引,明确引入第三方评估主体的必要性和程序。政府应通过法律法规明确第三方评估在数据出境安全评估中的角色和地位,规定其参与评估的具体程序和条件,以确保其在实际操作中的独立性和专业性。这可以为第三方机构的评估工作提供清晰的指引,防止其在操作中受到外部不当干预。第二,建立第三方机构的定期评估和认证制度。为确保第三方评估主体的专业水平和独立性,有必要建立一套定期评估和认证机制。政府可以设立专门的评估认证委员会,对第三方机构的资质和业绩进行定期审查和认证,以确保其在评估过程中保持公正和权威。这一机制不仅有助于增强第三方评估机构的公信力,还能确保它们持续符合高标准的评估要求。
(三)配套规则的完善
1.建立数据出境安全评估白名单制度
数据出境安全评估白名单制度的建立,能够简化一般数据的出境手续,推动合规数据的跨境流动。首先,制定明确的评估标准。建立白名单制度的前提是明确符合数据安全标准的企业和组织的评估标准。这些标准应全面涵盖企业的技术水平、内部管理制度、数据保护措施等方面,以准确反映出境数据的风险和安全状况。在制定这些标准时,应结合国际通行的数据安全规范,如欧盟《通用数据保护条例》(GDPR)中的“充分性认定”标准。其次,制定严格的白名单入选和退出程序。明确的入选条件和程序是白名单制度公正和有效的关键。企业要进入白名单,必须满足一定的条件,包括具备完善的数据保护措施、较高的技术水平和健全的安全管理体系等。此外,还应建立定期评估制度,对已入选企业的合规情况进行持续监测和评估。对于不再符合标准的企业,应及时将其从白名单中剔除,以确保白名单的动态管理和高效运作。最后,提供激励机制以促进企业的积极参与。为鼓励企业提升数据安全水平并积极参与白名单制度,政府可以为入选企业提供一系列激励措施。入选企业应享有简化的数据出境程序的权利,这将大幅提升数据跨境流动的效率。此外,政府还可以考虑提供税收减免、融资便利等优惠政策,激励企业不断改进其数据安全管理和技术水平,形成良性循环,促进整体数据安全环境的改善。
2.增设重要数据出境安全评估批准制度
在应对涉及国家安全敏感领域的数据出境挑战时,建立更为严格的评估程序至关重要。对于那些可能对国家安全构成潜在威胁的数据,必须采取更加深入和细致的审查机制,以确保这些重要数据的出境不会对国家安全造成风险。首先,明确评估标准并定义关键领域。建立详细的评估标准是确保数据出境安全的第一步。这些标准应当涵盖技术水平、法律合规性和管理能力等多个方面,以全面评估重要数据的安全性。同时,应明确定义涉及国家安全的重要领域,如国防、关键经济部门、基础设施、科技前沿等,这些领域的数据具有高度敏感性,直接关系到国家安全的核心利益。其次,需制定清晰的审批程序,明确申请条件、材料要求和具体审批流程。通过透明和规范的操作,可以有效提高评估过程的效率和公正性,减少行政壁垒和人为干扰。最后,确立严格的违规处罚机制。为维护数据出境评估制度的权威性和有效性,应明确规定违反评估程序或擅自进行数据出境的行为及其相应的处罚措施。通过严厉的法律惩戒手段,可以有效震慑潜在的违规行为,确保所有参与者都能严格遵守数据出境安全管理的相关规定。
在全球化和数字化的背景下,数据出境变得日益普遍,随之而来的安全挑战也愈加严峻。因此,维护数据主权和国家安全,建立完善的数据出境安全评估体系至关重要。通过系统研究该制度,旨在为我国数据出境安全监管提供理论支持和实践指导。本文在阐释基本概念的基础上,首先系统梳理了数据出境安全评估的现有制度框架体系,阐释了其在维护数据出境安全方面的独特功能,并进一步揭示现有制度体系的不足。在对比分析“自由流动模式”“数据主权模式”和“国家管控模式”三种制度模式后,提出包括协调规则体系、完善救济程序以及引入第三方评估主体等在内的优化我国数据出境安全评估制度体系的具体措施。通过理念更新、规则细化以及配套规则的完善,为我国数据出境安全评估提供更加清晰可靠的制度保障。本文的主要贡献在于提供一套完整的制度框架体系和切实可行的优化方案,为未来的数据出境安全评估研究和政策制定提供有益参考。未来,仍需不断优化数据出境安全评估制度,以应对快速变化的信息环境和不断演变的安全威胁,确保数据安全与经济发展之间的有机统一。