朱 军
2021年6月10日第十三届全国人大常委会第二十九次会议审议通过了《中华人民共和国数据安全法》,这标志着我国数据安全保护与治理领域有了基本的规范依据。《数据安全法》是对2019年5月国家互联网信息办公室发布的《数据安全管理办法(征求意见稿)》的全面升级。较之于前期的《数据安全管理办法》,《数据安全法》的规范层级更高,规定的内容也更为详细,不仅从立法层面对“数据”的概念和范围等数据治理领域的基本理论进行了明确界定,同时重点关注数据安全制度和数据安全保护义务等数据安全治理实践中遇到的现实问题。《数据安全法》通过第55条的规定,构建了当下我国数据安全的整体治理体系,其中第三章建立的数据安全制度是该法对数据治理体系的重要推进,也是对已有数据安全治理的总结和发展。《数据安全法》第24条(1)《数据安全法》第24条规定:“国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。”关于国家构建数据安全审查制度的相关规定引起了广泛关注,不仅是因为数据安全审查制度本身对于数据保护而言具有重要意义,更为关键的是审查数据无论在难度上还是操作上都有不可控制的一面,对此有学者直言:“数据安全审查制度并无先例可循,其出台应慎之又慎”(2)许可:《〈数据安全法(草案)〉的三大近忧和两大远虑》,载《界面新闻》2020年7月13日。除此之外,作者还指出与我国网络安全审查和外商投资安全审查的审查对象不同,数据活动囊括了数据的收集、存储、加工、使用、提供、交易、公开等各种行为,是普遍化和常态化的商业行为,不加区分地纳入国家审查范围,必然面临选择性执法,甚或排挤外国企业的质疑。不仅如此,数据安全审查往往是事后而非事前启动,这将极大破坏经济活动和法律环境的可预期性,甚至该制度会成为西方批评中国网络立法进而反制海外中国企业的关键证据。。可见,数据安全审查制度尚未诞生已然存在诸多争议。
数据安全审查制度的争议虽由来已久,但《数据安全法》之所以将之纳入到数据安全治理体系中去,还需从数据的本质属性层面寻求答案。众所周知,数据安全保护与治理并不只是我国网络治理面临的问题,而是世界数据治理的共性难题,数据安全审查是大多数国家采取的必要措施。(3)以美国为例,2018年8月,美国总统特朗普签署《2018 年外国投资风险审查现代化法》授权美国外国投资委员会应对敏感个人数据对国家安全的威胁,将敏感个人数据的国家安全风险纳入外资安全审查范围。究其原因,主要就是数据本身具有的公共性和公益性。(4)参见韩伟:《安全与自由的平衡——数据安全立法宗旨探析》,载《科技与法律》2019年第6期。数据的公共属性因数据的种类不同而存在差异。一般而言,数据根据所属主体的不同可分为政府数据、公共数据、企业数据和个人数据等类型。(5)这种分类是存在争议的,就政府数据而言,《数据安全法》中用的是“政务数据”的概念,虽然两者也存在些许差别。本文认为,虽然政府数据有时候与公共数据相混用,但两者还是存在差别的。广义的公共数据包含政府数据,而狭义的公共数据则是指政府以外的公共机构所掌握的与社会民生和社会服务密切相关的数据。参见张楠、孙涛、汤海京:《电子公务框架下的公共数据资源管理》,载《中国行政管理》2008年第1期;
储节旺、杨雪:《公共数据开放的政府主体责任研究》,载《现代情报》2019年第10期等。政府数据与狭义的公共数据因为其掌握在政府机关和公共机构手中,同时数据内容多指向政府管理、社会服务等,因而两者都具有鲜明的公益属性,表现出鲜明的社会价值取向。(6)参见张莉:《数据治理与数据安全》,人民邮电出版社2019年版,第6页。相对于政府数据和公共数据的鲜明特性,企业数据与个人数据的公共属性则存在争议。然而,回归到数据的概念上,在大数据时代数据自身就天然带有公共属性,有学者直言“数据作为天然的公共品服从固有的互惠分享的原理”(7)梅夏英:《在分享和控制之间:数据保护的私法局限和公共秩序构建》,载《中外法学》2019年第4期。,这里的数据并不区分掌握在何种主体手里。就个人数据而言,“在大数据时代也不再只作为一种绝对的财产权或人格权对象而出现”(8)孙清白、王建文:《大数据时代个人信息“公共性”的法律逻辑与法律规制》,载《行政法学研究》2018年第3期。,而是具有了“公共性”。企业数据因获得过程需付出一定的财力或者劳动,从而有别于个人数据,根据企业数据的开放程度可将之分为不公开数据、半公开数据和公开数据。企业所搜集的公开数据被认为是位于公共领域的数据,原则上具有公共性;
而包含个人数据的企业数据则具有多重属性,在应用时首先应注重个人权利的保护。(9)参见丁晓东:《论企业数据权益的法律保护——基于数据法律性质的分析》,载《法律科学》2020年第2期。由此可见,企业数据同样具有公共性,这种公共性根据数据的不同表现形式而有所区别。从上文讨论的内容中不难发现,大数据时代的数据治理可谓是牵一发而动全身,各种类型的数据都具有相应的公共属性,所以这种普遍意义的数据公共性就决定了数据安全成为数据治理的重要议题。
数据具有流动性、可重复利用性以及公共属性,这些都决定了数据安全保障的必要性,同时也增加了数据安全保护的难度。无论是个人数据滥用带来个人隐私的泄露,还是数据的跨境流动对数据主权的挑战,都要求对数据诉诸整体的法律保护。因此,数据的公共性和公益性不仅增加了数据安全保护的难度,也要求对数据安全进行必要的审查。大数据时代的数据安全治理意义更为突出,尤其是数据安全本身直接影响着国家总体安全和个人信息安全。回避或者忽视数据安全审查都不利于该制度的良性运行,所以从国家安全治理到数据安全治理,都需要把数据安全审查制度建立和运行的全过程控制在法治框架之内。基于此,本文试图从数据安全治理体系的角度切入,分析当前数据安全审查制度的治理功能和具体表现,同时从当前法律体系的视角对数据安全审查制度的运行限度提出合理化建议,以期实现数据安全审查制度运行与公民数据权利保障在数据安全治理框架内达到平衡。
数据安全审查制度并不是孤立存在的,其有效运行离不开良好的数据治理环境。将数据安全审查制度置于数据治理、数据安全治理的整体框架下加以思考才能更清楚地观察和理解该制度所具有的时代意义和实践价值。因此,数据安全治理体系是揭示数据安全审查制度的关键所在。
(一)数据安全是数据治理体系的核心要义之一
关于数据治理的定义和范畴,学界提出了不同的观点,也引发对数据治理的争论,不过对于数据治理问题的基本共识已经形成。首先,数据治理是一种针对数据展开的体系性的实践活动。也即数据治理具有实践性和体系性两重属性:实践性强调的是数据治理主要针对为了有效运用数据而制定的一系列标准、步骤和政策的活动;
体系性则是指数据治理是一个复杂的过程,主要包括数据标准的建立体系、组织数据的合理架构体系、元数据和主数据的管理体系、数据功能实现的管理体系等。(10)有学者指出数据治理由元数据、主数据、数据集成、数据标准、数据质量、数据认责、数据生命周期、数据安全等多项内容组成。参见陈火全:《大数据背景下数据治理的网络安全策略》,载《宏观经济研究》2015年第8期。数据安全标准的制定是其实践性的重要一环,同时也属于数据管理体系的内容。其次,数据治理的概念层面可以概括为宏观、中观、微观三个层次。宏观层面包括概念体系和体系框架;
中观层面包括管理机制、信息治理计划、数据质量管理等;
微观层面则包括数据生命周期的有效管理过程、数据质量和数据可用性的测评以及技术工具应用行为等。(11)参见安小米等:《大数据治理体系:核心概念、动议及其实现路径分析》,载《情报资料工作》2018年第1期。数据安全管理属于中观层面的数据质量管理。再次,数据治理概念可根据“数据”的地位确定其双重内涵:其一,是依据数据的治理;
其二,是对数据的治理。(12)参见张康之:《数据治理:认识与建构的向度》,载《电子政务》2018年第1期。前者强调数据为治理提供新的场域,促使治理主体正视数据的作用,按照数据时代的特征来治理社会;
后者强调治理的对象为数据,即针对数据的治理,根据数据的权属不同又可以分为不同的数据治理模式,如政府数据治理、公共数据治理、企业数据治理和个人数据治理等。数据安全主要表现为一种针对数据的治理,当前安全的数据也是数据治理的根据。
从上文关于数据治理体系的讨论中我们不难看出数据治理体系的复杂性,也从中可以理解数据安全在数据治理体系中的地位。可以说,数据安全是数据治理体系的重要组成部分,有学者直言:“从技术角度而言,数据治理的关键就是信息系统的安全”(13)参见陈火全:《大数据背景下数据治理的网络安全策略》,载《宏观经济研究》2015年第8期。。数据安全是数据治理体系的核心要义之一,同时数据安全也具有相应的独立性。数据安全治理已经成为以政府为主导的多元主体参与的数据治理体系的关键内容。换言之,数据安全治理体系乃是沟通数据治理体系和数据安全审查的桥梁。
(二)数据安全治理体系的框架厘定
对于安全的讨论最早集中于国家安全、军事安全、政治安全等传统安全层面。随着新技术的兴起,网络安全、数据安全、基因安全等新问题也与国家总体安全密切相关。新时代的总体国家安全观就是将传统安全问题与新型安全问题相结合,将原本不属于国家安全问题的网络安全、数据安全纳入到国家安全保障体系中来。(14)参见朱雪忠、代志在:《总体国家安全观视域下〈数据安全法〉的价值与体系定位》,载《电子政务》2020年第8期。在大数据时代,数据的公共性凸显,数据同时也具有了国家主权属性(15)参见韩伟:《安全与自由的平衡——数据安全立法宗旨探析》,载《科技与法律》2019年第6期。,数据主权(16)国家数据主权,指的是一个国家对本国数据享有的最高排他权利,即独立自主占有、处理和管理本国数据并排除他国和其他组织干预的国家最高权力。参见齐爱民、祝高峰:《论国家数据主权制度的确立与完善》,载《苏州大学学报(哲学社会科学版)》2016年第1期。观念的提出进一步彰显了数据安全的重要价值。
数据安全治理首先针对的是数据安全风险,安全风险的存在倒逼数据安全治理体系的形成。就国家而言,数据安全风险主要包括美国数据霸权主义对我国国家利益的侵害、大规模数据跨境流动对国家安全造成潜在危害、高价值的敏感数据泄露风险提高、重要数据安全面临外来技术的挑战、国家数据规则制定话语权不足等。(17)参见王伟洁:《我国数据安全风险、治理困境及对策建议》,载《网络安全和信息化》2021年第6期;
周若涵:《数据安全风险对国家安全的挑战及法律应对》,载《上海法学研究》2021年第1卷等。国家面临的数据安全风险在严重性程度上要高于企业数据风险和个人数据风险,是当前数据安全治理指向的关键问题。除了国家数据安全风险以外,商业领域的数据安全风险主要源于大数据蕴含的商业价值,企业在进行大规模数据交易的过程中往往忽略了数据安全风险,而“地下数据交易猖獗,数据泄露和网络攻击事件频发,给个人隐私保护、企业安全生产、经济社会发展乃至国家安全都可能带来新的挑战”(18)《中国大数据,不只“数据大”》,载《人民日报(海外版)》2018年7月9日,第1版。。数据泄露和数据被侵犯危及企业的数据权利,甚至影响企业的正常运作。个人数据风险主要表现为个人数据被违法收集、个人行为被非法监控、个人信息被大规模泄露、个人隐私权无法得到有效保护等。(19)参见张海波:《大数据的新兴风险与适应性治理》,载《探索与争鸣》2018年第5期。然而,个人数据泄露不仅仅涉及的是单个人的问题,由于数据庞杂,大规模数据泄露可能会形成数据画像,此时“海量的经济、社会、地理等数据,就不再是私权保护所能涵摄的,而具有了国家主权的属性”(20)参见韩伟:《安全与自由的平衡——数据安全立法宗旨探析》,载《科技与法律》2019年第6期。。可见,数据安全风险具有系统性,个人安全风险、企业安全风险和国家安全风险是相互交织的,在保护路径上也不可能实现严格的区分式保障。
个人、企业、国家的数据安全都可能遇到难以回避的风险,此时需要制定体系化的数据安全治理网络。数据安全治理体系的构建因视角的不同而存在不同的观点:从管理的角度看,大数据安全体系的构建可以从管理体系、技术体系和运营体系三个方面着手;
(21)参见吕毅:《主动构建数据安全体系,稳步推进数据安全治理》,载《中国信息安全》2019年第12期。从精准化的全过程数据安全保障体系的角度出发,数据安全治理体系大致包括大数据安全多元共治体系、大数据安全科学预判体系、大数据安全分类处置体系、大数据安全动态保障体系等;
(22)参见王欣亮、任弢、刘飞:《基于精准治理的大数据安全治理体系创新》,载《中国行政管理》2019年第12期。从规范和制度相结合的方式着手,立法层面需要从国家安全的高度,以风险管控为中心、以重要数据安全为核心构建数据安全立法体系,同时以重要数据为抓手构建国家数据安全管理制度。(23)参见刘金瑞:《数据安全范式革新及其立法展开》,载《环球法律评论》2021年第1期。上述三种观点代表着数据安全治理体系的宏观、中观和微观三种模式:宏观体系因缺少具体的制度安排导致数据安全治理体系无从着手;
中观层面强调的是过程性的考量,但规范意义不足;
而微观层面实现了规范与制度的结合,可资借鉴。因此,本文认为数据安全治理体系主要包括国家总体安全视角下的立法体系、以风险管控为中心的数据安全保护体系以及以重要数据安全为核心进行的具体制度建构。
(三)数据安全审查制度在数据安全治理体系中的地位
数据安全治理体系乃是以立法为核心,以风险管控和重要数据安全为两翼的制度安排。其中数据安全审查制度在数据安全治理体系中处于关键地位,风险管控虽然也是全过程的框架,但数据安全审查可谓是风险管控的重要手段。在以重要数据安全为核心的国家数据安全管控制度中,数据安全审查的作用不容小觑。数据安全审查是从网络安全审查制度中发展而来(24)《网络安全法》第35条规定:“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。”,两者都渊源于《国家安全法》确立的国家安全审查与监管制度(25)《国家安全法》第59条规定:“国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。”。国家安全审查的范围较广,而“网络信息技术产品和服务”乃是国家安全审查的重要内容之一。《数据安全法》中的数据安全审查制度与《网络安全法》中的网络安全审查制度虽然有相似之处(26)二者在价值定位和审查重点上有类似性,且前者以可验证性技术标准为基础也能满足后者的透明度要求,这说明前者对于后者具有较大的制度相容性。参见刘金瑞:《数据安全范式革新及其立法展开》,载《环球法律评论》2021年第1期。,但是两者存在较大不同。前者的审查对象主要针对影响或者可能影响国家安全的数据处理活动,包括:数据的收集、存储、使用、加工、传输、提供、公开等。后者的审查对象主要是针对关键信息基础设施运营者在采购网络产品和服务时影响或可能影响国家安全的情形,其重点是信息技术产品和服务的安全性和可控性。数据安全审查制度从外在视角看,其与国家安全审查和网络安全审查紧密相关,从其内在视角看则是数据安全治理体系的重要组成部分。数据安全审查制度从价值、技术等不同层面对数据进行安全性的筛查,从而保障数据开放、共享和再利用层面的安全,因此数据安全审查制度可谓是数据安全全过程治理的关键环节。
数据安全审查制度在《数据安全法》中被正式确立,而数据安全审查在实践中也已经运作。可见,数据安全审查制度并不是理论层面的简单推演,而是具有鲜明的实践导向和现实意义。构建数据安全审查制度不仅直接关系着公民数据权利的安全保障水平,同时也与企业治理和国家数据主权安全等密切相关。数据安全审查制度对于数据治理、数据安全治理都具有特殊意义。从治理视角审视数据安全审查实践,其所具有的功能也并不仅仅局限于“审查”本身。具体而言,数据安全审查制度的治理功能主要包括以下方面。
(一)数据安全审查制度的权利保障功能
数据安全治理体系内含国家、企业和个人等不同主体的数据安全保障,而企业和个人的数据安全需求则主要体现为权利保障的面向。因此,从数据安全法的角度看,数据安全审查制度建构的主旨就是满足公民数据权利保护的现实需要。提及数据安全主要可以从个人权利安全和公共治理安全两个层面理解。虽然有学者指出相对于《个人信息保护法》以保护公民个人隐私为主,《数据安全法》更应该从国家安全和公共安全角度加以理解,(27)参见鲁传颖:《数据安全立法,需平衡好各方诉求》,载《环球时报》2020年5月27日,第14版。但本文认为只将《数据安全法》从公共安全法角度加以评价,而否认其所具有的个体权利保障功能的观点是值得商榷的。
正如上文所言,大数据背景下数据本身具有公共属性,个人、企业和国家的数据风险互相交织,不能简单予以区分。因此,数据安全审查的权利保障功能置于总体治理环境下就显得更具现实意义。首先,当前公民个人数据安全面临较大风险。对于公民个体而言,数据安全威胁主要来自于数据泄露的泛滥,数据泄露造成个人隐私权被侵犯的机率大大增加,从而又间接导致公民数据具有的人身属性、财产属性无法得到有效保护。(28)参见韩伟:《安全与自由的平衡——数据安全立法宗旨探析》,载《科技与法律》2019年第6期。其次,弥补已有公民数据安全法治保障存在的缺陷。当前已有的法律规范,如《个人信息保护法》虽然对于公民隐私权等加以规定,但该法多是从私法维度出发对信息权利进行保护(29)参见张新宝:《〈民法总则〉个人信息保护条文研究》,载《中外法学》2019年第1期;
程啸:《民法典编纂视野下的个人信息保护》,载《中国法学》2019年第4期;
高富平:《论个人信息保护的目的——以个人信息保护法益区分为核心》,载《法商研究》2019年第1期等。,而信息与数据之间同样也存在差别。因此,从安全层面审视,公民数据权利仍然需要专门性更强、层级更高、保护力度更大的法律规范加以规制。从这个层面讲,《数据安全法》乃是不二之选。最后,《数据安全法》规定了大量保障公民数据安全的条款,其中第7条的总括性规定直接将公民个人数据权益纳入到数据安全保障范围之内,是《数据安全法》权利保障功能的直接体现,而数据安全审查制度同样也离不开这种价值的选择。可见,《数据安全法》的规定为公民数据权利保障提供了直接的规范依据,而以数据安全审查制度为代表的数据安全治理体系同样应坚持保护企业和公民的数据权利。
(二)数据安全审查制度的安全维护功能
数据安全审查制度设立的初衷在于对重要数据进行审查,其核心目的在于维护国家数据主权、公共数据安全以及个人数据安全。《数据安全法》除了保障公民个人的数据安全以外,更为重要的立法价值乃在于保障国家数据主权和公共数据安全。数据在信息时代已经成为国家重要的基础设施,许多智能化领域,如智能交通、智能电网等的运行和发展都有赖于数据发挥作用。换言之,没有安全的数据,关系到国家经济发展的诸多领域就等于失去了“血液”。(30)有学者直言:“数据是信息化时代的‘石油’”。参见赵博:《基于大数据的战略预见研究》,中共中央党校2016年博士学位论文。现实中,数据的天然流动性导致网络化、智能化领域对数据的依赖程度较高,如果出现安全问题,其损失也是无法估量的。由此可见,数据安全问题不再仅仅局限于单一领域,而是事关政治、经济、社会、军事等诸多领域的综合安全问题。为此,有学者指出数据不再只体现简单的经济意义,而是具有国家主权属性,(31)学者指出数据主权主要表现在以下方面:第一,数据控制权;
第二,数据产业技术的自主发展权;
第三,数据立法权。数据主权在网络空间中不仅体现其权力的一面,还体现出其权利性质的一面,国家数据主权对内是最高权,具有排他性;
而对外则是独立自主、自治权的体现,数据主权体现了主权权力与权利的统一。参见齐爱民、祝高峰:《论国家数据主权制度的确立与完善》,载《苏州大学学报(哲学社会科学版)》2016年第1期。保障数据运用安全就是保障国家主权安全。《数据安全法》的出台就旨在从立法层面保障国家数据主权安全,建构数据主权安全法治化体系。
(三)数据安全审查制度的涉外数据安全治理功能
数据安全审查制度主要保障的是国家数据主权和数据安全,而数据主权受到的侵犯主要来自于国外部分国家和机构。数字技术的发展日新月异,虽然当下我国的数字技术取得长足进步,但较之于以美国为代表的西方发达国家仍存在较大差距,数据安全和数据主权被侵犯的风险依旧存在。(32)正如有学者所言:“目前,中国是网络大国,但还不是网络强国,大量外国信息技术产品已经深度渗透至中国的关键信息基础设施,中国面临着严峻的网络安全保障、信息通信技术自主可控和网络安全管理体制等方面的挑战。要想保障国家安全、网络安全,网络安全审查必然要成为国家安全审查的重要组成部分。”参见李青:《美国网络安全审查制度研究及对中国的启示》,载《国际安全研究》2017年第2期。在国外纷纷建立数据安全保障法律制度的背景下,为了应对涉外数据安全风险,国家通过制定《数据安全法》,建立数据安全审查制度来保障重要数据的安全,规范数据跨境流动和开放共享。众所周知,我国新技术领域不断发展,尤其是人工智能、大数据、互联网等技术较为先进,相关企业纷纷走出国门,而许多国外的互联网、大数据企业也选择进入我国市场。在国外,对于互联网、大数据的规制存在诸多成熟的法律规范体系,其中最具代表性的是欧盟通过的《通用数据保护条例》(简称GDPR)(33)参见徐漪、沈建峰:《从GDPR看我国〈数据安全法〉的立法方向》,载《产业与科技论坛》2019年第10期。,而我国在《数据安全法》通过之前对数据企业的规制规范是缺失的。为了呼应国内企业的“走出去”战略,以及应对国外企业的“走进来”,完善数据安全领域立法,实现国内法与国外法的有效互动与衔接,就迫切需要建立数据安全审查制度。因此,数据安全审查制度既是保障国内数据安全的重要方法,同时也是预防和控制国外侵犯我国数据安全的制度选择。
数据安全审查制度对于国家、企业和个人的数据安全保护至为关键。虽然《数据安全法》中对国家建立数据安全审查制度已有相关规定,但是在实践中如何建构数据安全审查制度仍然存在争议。为实现数据安全与数据自由流动之间的平衡,数据安全审查制度的运行原则和具体方式仍需进一步完善。一般而言,安全审查制度包括审查机构、审查范围和审查程序三个方面,其中审查程序属于程序性问题,审查机构的建立包括机构设置和部门协调,而审查范围则包括审查内容和审查重点等,属于安全审查制度构建的基础性实体问题。(34)参见武长海:《我国国家金融安全的审查机构和范围》,载《法学杂志》2020年第3期。数据安全审查制度的建构也需要从审查机构、审查程序和方法以及审查范围层面加以建构。
(一)数据安全审查机构的科学设置
组织的设立是制度建立的前提,数据安全审查制度首先应该确立数据安全审查组织。数据安全审查必须依托专门的机构来行使审查权,从而保障审查的专业性和说服力。从当前我国的行政管理架构来看,目前一些地方设立了与数据管理有关的机构为大数据管理局或大数据发展管理局,有些地方直接称之为大数据局(35)参见山东大数据局官方网站:http://bdb.shandong.gov.cn/。。以贵州省大数据发展管理局来看,其属于省人民政府的直属事业单位,职能主要是对数据产业加以规划,并实现政务信息化等。虽然在其诸多职能中也包括“统筹推进大数据安全体系建设和安全保障工作”,但是这一规定较为抽象,并无具体的可操作流程。相对于贵州省的机构设置而言,其他地方的大数据管理局往往是政府部门的内设机构或者处、室,缺少相应的独立性。对此,有学者指出:“有必要在将要制定的跨境数据流动法框架内新设一个独立的管理机构——全国数据保护委员会,授予该机构行政调查权、建议权、登记备案权、处罚权以及提起公益诉讼等权限”(36)许多奇:《论跨境数据流动规制企业双向合规的法治保障》,载《东方法学》2020年第2期。。本文认为,数据安全审查机构的主要职责是对敏感数据和涉外数据进行安全审查,其对审查技术的要求较高,在当前尚无具体经验的情况下,可以借鉴网络安全审查的做法。
我国的网络安全审查工作主要由国家互联网信息办公室下设的网络安全审查办公室负责,而网络安全审查技术与认证中心在网络安全审查办公室的指导下,承担着接收申报材料、对申报材料进行形式审核、具体组织审查工作等任务。可见,中国网络安全审查技术与认证中心主要负责申报材料的程序和形式审核,实质的审查工作是由网络安全审查办公室负责。然而,网络安全审查技术与认证中心的职能中也包括相应的数据安全审查,具体工作包括数据安全管理认证、移动互联网应用程序安全(App)认证、数据安全评估等。(37)具体而言此处的数据安全管理主要是组织开展数据收集、存储、使用、加工、传输、提供、公开等数据处理时采取的一系列管理活动;
移动互联网应用程序(App)安全认证是认证中心对移动互联网应用程序(App)开展认证工作;
数据安全评估是针对组织数据收集、存储、使用、加工、传输、提供、公开等活动,根据相关法规标准要求,按照风险分析的方法,分析网络运营者数据相关活动存在的安全风险。参见中国网络安全审查技术与认证中心 (isccc.gov.cn)。可见,网络安全审查技术与认证中心目前同样承担着数据安全审查和评估工作。然而,数据安全审查是一项十分复杂且日益庞大的工作,由网络安全审查办公室下属的审查与技术认证中心来负责此项工作则面临着机构合法性不足、审查力量有限、审查程序和质量难以保障的弊端。因此,鉴于网络安全审查当前面临的问题,针对数据安全审查,应当建立独立的数据安全审查机构,应在国家互联网信息办公室下设置独立的数据安全审查中心,具体负责数据安全的审查与保障,明确其具体权限和责任。
(二)审查启动和运行程序的体系化建构
在数据安全审查机构确定的情况下,审查制度的运行需要一整套审查程序作保障。在审查程序构建的过程中,最关键的是确立审查启动程序和审查运行程序,前者解决的是数据安全审查的提起和发动的主体与步骤问题,后者解决的是审查机构如何开展具体审查的问题。从数据安全审查制度设立的初衷来看,数据安全审查的提起不仅包括数据安全审查机构的主动审查也应该包括数据安全受害者反馈的被动审查。因此,就审查启动主体而言,数据安全审查机构根据自身职责可以主动提起安全审查,而其他国家机关、企业和公民个人在其数据安全受到侵犯之虞时也可以向数据安全审查机构提起安全审查申请。然而,被动审查主体的范围较大是否会造成数据安全审查机构的运行难以负荷也是不得不思考的问题。故而,本文认为在受理数据安全审查过程中,可以借鉴网络安全审查技术中心的经验,将程序性和形式性的审查工作交给下属机构,以减轻正式审查机构的工作压力,同时赋予提起审查申请主体相应的数据受侵犯证据的提供义务,以提高审查效率,更好地推进审查工作。
就数据安全审查运行程序而言,其内容较之于提起程序更为复杂,主要包括数据安全案件的受理程序、数据安全是否被侵犯的初步筛查程序、数据审查者就数据安全案件的审理程序、数据安全审查机构的决定程序等。这些程序不仅关系到数据安全审查的开放性和公正性,也直接影响着数据安全案件当事人的具体利益。本文认为对于这些程序需要全国性的数据安全审查机构出台相应的数据安全审查规则办法加以具体化,从而保障数据安全审查的有序开展。
(三)数据安全审查技术和方法的合法确立
上文提到数据安全审查在程序上需要进一步细化,而从实体层面观察数据安全审查方法则更需慎重对待。就数据安全审查方法而言,本文认为需要从两方面加以确立:(1)树立“审查”观念,破除传统的“管理”思维。数据安全审查与数据安全监管存在较大差异,但是实践中往往将两者混为一谈。一般而言,数据监管与数据审查最典型的区别在于监管强调的是执法机关对数据控制者运用数据的行为是否违法进行的监督和管理;
而数据审查则不同,它更加强调审查机构对有关数据行为的综合性考察。从中不难看出,审查在主旨、内容、程度等不同层面都较之监管更为深入。树立审查观念就要求数据安全审查机构充分发挥居中裁决的角色,不仅在于维护国家安全、公民权利,还要对涉嫌侵犯数据安全的主体公平、公正地做出审查决定,保障双方的合法权利。(2)数据安全审查应坚持事前审查为主、事后审查为辅的原则。虽然数据安全审查有其必要性,但是如若审查不当将会带来一系列弊端,从而饱受批判。在实践中,数据安全审查应以事前审查为原则、事后审查为例外。数据安全事前审查就要求审查机构在审查过程中强调对数据利用行为进行综合性审查,在相关软件等应用之前进行审查。事后审查为例外则是指对于一些严重泄漏国家秘密、危害国家安全和公共安全的数据泄露行为可以采用事后审查的方式进行处罚,十分严重的可以直接关闭。这种双重审查方法是对比例原则的贯彻,不仅能够更大限度的保护企业、个人的利益,也能够平衡安全与发展的需要。
大数据时代,为了保障国家数据主权安全,保护企业和公民的数据权利,实现数据正常流动,促进数字经济有序发展,数据安全审查制度势在必行。然而,审查权的行使和运行都应该依照法律的规定,受到法律原则和规则的限制,否则将存在权力滥用的风险,数据审查机构的数据审查权亦是如此,甚至可以说数据安全审查制度的重要性程度决定了数据安全审查权力可能被滥用的程度。因此,从数据治理体系的角度看,数据安全治理体系虽然以数据安全为基础,但同样也是为提高数据利用效率和促进数据流动为价值指向,过度的数据安全审查将会导致数据治理体系的不平衡,影响数据价值的实现。正因为此,数据安全审查制度在实际运行中需要把握必要的限度。
(一)数据安全审查制度构建的主旨限制
大数据时代,数据的自由流通是数据价值赖以实现的有效路径。数据安全审查就是在保障数据主权的前提下,促进系统内部数据的自由流通,从而实现数据所具有的经济、社会、政治价值。可见,数据安全审查制度构建的初衷具有复合性:既要保障国家数据主权安全和公共数据安全,同时也要保护企业和个人的数据权利和利益。(38)有学者认为数据管理的目标主要有三个:一是从个人视角出发的数据权利保护目标;
二是产业视角出发的促进数字经济发展、提高企业竞争力的目标;
三是从国家视角出发的维护网络安全和数据主权的目标。参见许多奇:《论跨境数据流动规制企业双向合规的法治保障》,载《东方法学》2020年第2期。因此,数据安全审查的主旨就是在数据安全和数据自由之间寻得平衡。(39)参见周松青:《自由与安全:美国社交媒体监控模式探析》,载《探索与争鸣》2018年第5期。然而这种复合性的保护目标之下有可能产生目标内部的相互冲突。一般而言,法的价值位阶往往强调国家和公共安全的价值高于个人,然而对于数据安全审查而言应当更加强调对具体问题的分析,注重在个案中平衡立法主旨之间的矛盾。数据安全审查另一层面的意义在于赋予平台开发者更为严格的数据安全保障义务,赋予这种义务显然是为了更好地保护用户的数据安全和国家数据安全。(40)2021年7月2日网络安全审查办公室发布了《关于对“滴滴出行”启动网络安全审查的公告》,直言目的是为了“防范国家数据安全风险,维护国家安全,保障公共利益”。可见,企业对于维护国家数据安全的义务不可忽视。然而,这种义务的赋予应在法律框架之内确定,并要符合企业所能达至的范围,不能将义务过度放大,否则安全义务可能会造成平台开发者负担过重而无力承担,阻碍数据价值的有效实现。与此同时,赋予企业和个人数据安全保障义务的权力也存在被滥用的风险,可能导致安全审查义务脱离法律规定的框架,造成企业和个人义务负担过重,数据权利受损,从而引起不必要的社会发展风险。因此,考量数据安全审查制度确立的正当性首先应从安全和自由价值的平衡度层面着手。
(二)数据安全审查制度运行的现实限制
数据安全审查制度除了在构建价值上应受到“安全与自由平衡”的必要限制之外,在实际运行中还要受到来自审查范围、社会发展、外界质疑等方面的限制。
首先,数据安全审查范围的限制。《数据安全法》对于数据的概念进行了明确,不仅扩大了数据本身的范围,也对数据对象的范围予以扩张,可以说凡是在我国境内开展数据活动的组织和个人的行为都成为了《数据安全法》调整和规范的对象。(41)参见谢杰:《大数据时代背景下数据安全法律问责制度研究》,载《智库时代》2019年第6期。这种审查范围的扩张对于保护数据安全具有明显优势,然而这种扩张趋势也可能会造成监管审查触角的过度扩大,从而导致不必要的审查和管理大行其道。因此,数据安全审查范围需要加以限制,这种限制以确立实质的审查标准和审查界限为前提。在此基础上,对数据进行分类分级保护(42)参见马宁:《国家网络安全审查制度的保障功能及其实现路径》,载《环球法律评论》2016年第5期。,建立重要数据的识别认定制度(43)参见刘金瑞:《数据安全范式革新及其立法展开》,载《环球法律评论》2021年第1期。,着重加强对重要数据的安全审查,从而保障在数据安全的前提下合理确定审查的范围。
其次,数据安全审查运行应受到经济社会发展程度的限制。众所周知,我国互联网、信息技术和大数据的发展不断推动着经济和社会形态的变革,一大批全球有影响力的企业利用数据驱动经济发展和社会进步。可以说,这个时代已经打上了大数据的烙印,数据安全的保障与经济社会发展关系密切。因此,数据安全审查制度的设计和运行都受到来自企业发展、经济发展等社会因素的限制。一旦审查过于严格,审查失范现象将会导致数字经济发展受到阻碍,从而损及我国数字技术在世界领域内的竞争力和话语权,势必出现与设置本制度初衷相违背的情形。可见,数据安全审查制度的运行要以数据安全保障为核心,兼顾数字经济的长效有序发展,同时“督促企业落实数据跨境流动的安全主体责任”(44)参见张莉:《数据治理与数据安全》,人民邮电出版社2019年版,第267页。,要求企业在发展数字技术、实现数据跨境流动等方面严格遵守法律法规对于安全标准的规定。
最后,数据安全审查制度应通过提高透明度和法治化程度适当回应外界的质疑。数据安全审查使审查机构较大限度地介入数据流通和数字技术发展之中,这种干预虽具有安全层面的必要性,但干预程度过深或不能保障审查在合理范围之内,则审查制度的运行会遇到合法性与正当性危机。这种对数据安全审查的担忧,与其说是对安全审查制度本身的质疑,不如说实质上是对审查权力介入数据自由流通的不信任。因此,在数据安全审查制度的建立和运行中还需要增加制度运行的透明度(45)有学者认为要想足以应对所有可能影响国家安全的数据处理活动,在探索提高技术手段加以处置的前提下,增强安全审查制度的透明度。参见刘金瑞:《美国外资安全审查改革中的数据安全审查及其对我国的启示》,载《中国信息安全》2021年第7期。,增强外界对数据安全审查的认知程度,消除数据安全审查的神秘感,从制度和规范层面打消外界担忧,使数据安全审查制度成为数字经济发展和数据权利保障的重要制度性工具。
(三)数据安全审查决定效力的应有限制
虽然《数据安全法》第24条第2款规定了审查机构依法作出的安全审查决定是最终决定,但是何为“最终决定”仍可探讨。首先,“最终决定”的约束力范围需要明确。一般而言,审查决定的作出对审查者和被审查者都产生约束力,而这种约束力进而产生一定的社会影响。事实上,此处“最终决定”的效力主要是强调安全审查内部的效力,即对审查作出者和被审查者而言该决定是最终的结论。其次,“最终决定”能否变更和撤销存在争议。“最终决定”的效力是否意味着这份决定不能被撤销或者变更呢?这一问题还需要针对不同情形加以判断。就国家机关而言,其作出的任何决定和行为都应受到特定法律监督机关的监督,其行为在法律效果上都是存在救济空间的。即使是国务院作出的行政法规、决定和命令,如果与宪法法律相抵触,全国人大常委会也有权予以撤销。数据审查机构作出的审查决定显然并不意味着是不可撤销或变更的最终决定。从内部而言,如果数据安全审查机构的上级领导机关认为审查决定在程序或者实体层面存在瑕疵,在经过合法程序后是可以撤销或者变更的。而对于审查机构而言,如果其自身发现决定存在明显违法或者不当同样也可以撤回决定或者作出变更,甚至废除原决定,重新作出相应的审查意见。最后,“最终决定”能否进行外部审查或监督应当明确。数据审查决定关系到被审查者的重大利益,如果一旦作出被审查者违法的决定,对于数据平台企业而言可能是致命的。然而,数据安全审查有可能涉及国家数据主权安全和国家秘密,以及企业或商业秘密等,司法审查可能会带来不便。因此,本文认为应该赋予被审查者救济的权利,而救济途径可以以复议、申诉等渠道开展,从而实现安全保护与权利救济之间的平衡。
综上可知,数据安全是国家安全的重要组成部分,保障数据安全是数据治理机构的重要职责,而数据安全审查也是题中之义。数据安全审查不是洪水猛兽,也不应游离于法治框架之外。正视数据安全审查的治理功能,发挥数据安全审查在保障数据安全和数据自由之间的平衡作用是当前数据治理的重要课题。当前我国数据安全审查的相应程序和实体制度还较为粗糙,数据安全审查的法治化程度还较低,这些都需要从理论和实务两个层面加以深入探讨。
猜你喜欢数据安全网络安全国家云计算中基于用户隐私的数据安全保护方法电子制作(2019年14期)2019-08-20网络安全中国生殖健康(2019年10期)2019-01-07网络安全人才培养应“实战化”信息安全研究(2018年12期)2018-12-29建立激励相容机制保护数据安全当代贵州(2018年21期)2018-08-29上网时如何注意网络安全?小学生必读(中年级版)(2018年4期)2018-07-05能过两次新年的国家小天使·一年级语数英综合(2018年6期)2018-06-22大数据云计算环境下的数据安全电子制作(2017年20期)2017-04-26把国家“租”出去华人时刊(2017年23期)2017-04-18奥运会起源于哪个国家?小学阅读指南·低年级版(2016年1期)2016-09-10大数据安全搜索与共享信息安全研究(2015年3期)2015-02-28本文来源:http://www.triumph-cn.com/fanwendaquan/gongwenfanwen/2023/0819/98455.html