国家安全视域下数据出境审查规则研究.docx
《国家安全视域下数据出境审查规则研究.docx》由会员分享,可在线阅读,更多相关《国家安全视域下数据出境审查规则研究.docx(24页珍藏版)》请在咨信网上搜索。
1、国家平安视域下数据出境审查规那么研究Research on Data Exit Review Rules from the Perspective ofNational Security 李晓楠/宋阳作者简介:李晓楠(1988-),男,博士研究生,对外经济贸易大学, 研究方向:国际经济法(北京100029);宋阳(通信作 者)(1981-),男,博士,副教授,河北大学,研究方向: 国际经济法(保定071000)。原发信息:情报杂志(西安)2021年第202110期 第74-82页内容提要:目的/意义数据出境为数字经济全球化开展带来新的增长 和机遇,但无序的数据流动可能损害国家平安利益,故有 必
2、要研究数据出境的审查规那么,这对实现国家平安维护具 有借鉴意义。方法/过程将数据划分为原始数据、统计数 据和大数据,通过案例研究和文献研究,阐释了数据出境 与国家平安的关系。通过比拟研究即借鉴美式和欧盟数据 出境审查机制,为我国完善数据出境平安审查规那么提供参 考。结果/结论通过研究发现,数据出境可能损害国家安 全利益。在数据出境审查规那么的构建上,我国应当建立统 一的数据出境平安审核机构和数据分类分级审核策略,完 善数据出境审查程序建设,落实数据出境审查中相关主体 的责任,实现数据出境与国家平安的激励相容。Research on Data Exit Review Rules from the
3、 Perspective of National Security关键词:的效率或直接导致经济活动本身无法开展,因为数字产品或数字服务本身就是依赖数据出境作为基本的供给要素或手段,例如在跨境远程医疗服务 中,数据传输的中断或者延迟实际上可能导致医疗服务无法正常开展。尽 管医疗数据可能构成个人隐私,但如前所述,服务贸易下产生的少量医疗 数据本身缺乏以构成对国家平安的威胁,为此,对所有可能与国家平安产 生关联的数据出境均一体化的开展事前平安审查既没必要也无效率。总结来说,我国目前还不存在可供操作的统一的数据出境平安审查规 那么,各部门制定的数据出境监管规那么还较为原那么,甚至并未明确提出行业 数据
4、出境的平安审查规那么,造成了无法可依的局面。且一刀切的审核- 出境”模式也并不符合数字经济下我国数据出境的实际和需求。2.2数据出境审查模式的国际经验镜鉴美国外松内紧的审查模式尽管数据出境可能损害国家平安利益,但美国在国际上却积极主张各国采取数据自由出境的策略9。原因在 于,美国企业在社交媒体、搜索引擎、电子商务、云计算等互联网产业领 域都处于全球领先地位10,开放的数据出境格局有利于满足美国数据驱 动型企业的开展需要,也可以进一步巩固美国的数字经济领先地位。从美 国主导的经贸协定中也能看到这样的特点。例如美墨加协定(USMCA) 就明确规定成员国间应尽量取消不必要的数据流动限制,包括取消数据
5、本 地存储、限制平台企业的民事责任等11。此外,美国互联网企业先发优 势为美国企业带来数据富集效应,即数据主要由其他国家或地区流向美 国,而无需担忧会有大规模数据由本国转移到国外,赋予美国天然的数据 本地化存储及全球数据管理权口2。但美国在本国内却对数据出境进行严格的管控。表现为美国通过模糊 国家平安的概念,通过立法赋予政府部门灵活运用国家平安维护事由对数 据出境进行审查的权力。例如美国出口管理条例下,美国商务部可以 变相出口国家禁止出口的技术或产品为由禁止数据的跨境传输。又如美国 2018年外国投资风险审查现代化法下,直接或间接收集或持有敏感 或重要数据的美国企业属于敏感行业美国企业,外国投
6、资者如要进行 投资需要经过美国外国投资审查委员会的平安审杳。如果美国外国投资审 查委员会认为数据被外国投资者控制后(包括数据出境)可能损害美国国家 平安利益,就会禁止投资交易的开展。又如,美国国会通过国际紧急经 济权力法授权总统可以国家平安威胁为由采取广泛的应对措施包括规制 和禁止国际贸易的开展,当然也包括禁止数据的出境口引。2.2.1 欧盟提出数据主权概念,强化数据出境审核制度在云计 算、人工智能和5G等技术的开展下,数据的经济效益和网络效应日益凸 显,欧盟在人工智能领域的私人投资以及在量子计算技术专利方面落后于 中国与美国14。新冠疫情的冲击却进一步凸显了数字化的重要意义,包 括大数据分析
7、用于跟踪和控制疾病传播,人工智能在疫苗研发中的模拟作 用,等等。在数字竞争的危机之下,欧盟一方面通过提高关键数字技术的 公共投资以弥补产业的劣势,另一方面那么通过出台一系列的政策和法规如:GDPR、数字服务法数字市场法来强化对数据的控制和数据平安的维护。2020年7月欧盟发布了欧洲的数字主权报告,强调数字主权应是指欧洲在数字世界中自主行动的能力,需要将其理解为 促进数字创新的保护机制和防御性工具,以应对数据窃取和基于数据的不 当的价值评估。在数字主权的背景下,就要求欧盟以外企业的数据利用行为必须符合 欧盟的价值观和原那么,当然也就包括不得损害欧盟的平安利益。但是需要 明确的是国家平安属于欧盟成
8、员国的事权范畴,在数据出境是否损害国家 平安的判断上,欧盟层面难以制定统一的判断标准。例如在欧盟非个人 数据自由流动条例中就明确指出,欧盟成员国可以国家平安为由采取数 据本地化措施,只不过额外施加了 比例原那么的约束。尽管GDPR通过 第五章向第三国或国际组织转移个人数据”专章规定数据出境的具体规 那么,包括由欧盟委员会统一履行相应的评估职责以及设定充分性标准、适 当保障措施等概括的出境策略等等。但是需要注意的是,GDPR关注的是 个人权益的保护,其关于充分性和适当保障措施的评估标准均是以个人隐 私为对象,实际上并不涉及国家平安的评估程序。因此,欧盟对数据出境 的国家平安审查上并没有形成较为统
9、一的规制思路和路径,还是交由各成 员国具体规定。但其提出数据主权”的概念,无疑将数据与国家利益包 括平安利益紧密结合起来15。总结来看,美国和欧盟在数据出境平安审查的策略上存在显著差异 (见表1)。美国依靠数字产业的先发优势形成了实施全球数据存储,且其 在数据平安管理中的霸权主义和长臂策略,促使其只需以敏感技术为核心 实施数据出境管制就基本可以堵塞国家平安的隐患。美国更多是将数据作 为技术或产品的附属,相应的出境规那么也散见于国家产品、技术出口管理 条例及国家行业立法中。所以其以敏感行业的规制顺带实现数据出境的规 制,并主要采用一事一议的出境审核方针就有其自身的现实逻辑;而欧盟 数字产业开展不
10、如美国甚至不如中国,数据呈现出流出量大于流入量的特 征,为此欧盟提出了数字主权的概念,希望实现对数据本身增强控制力, 而不只是将数据作为投资、产品或技术的附属,并全面审核数据出境可能 带来的国家平安威胁。尽管欧盟并未明确数据出境的平安审查策略,但在 全面控制的情况下一事一议的出境审核制度必然需要得到松绑和改进,这 在GDPR关于个人数据出境方面的充分性标准和适当性保障措施就是典型 的例证。我国与欧盟较为类似,尽管已经在数字产业上呈现出了赶超甚至局部 业务的超越态势,但并未形成美国的全球数据汇集态势。面对美国、欧盟 企业的进一步开展,在对外开放不断升级的情况下,数据出境已成必然。 为此,我国在数
11、据出境平安审核规那么构建上,应当参照欧盟,以数据为独 立的对象开展审核,并建立相对统一的审核部门;在一事一议的出境审查 策略外,进一步丰富数据出境审查模式;并不断完善和细化我国出境审核 的标准和程序要求。尽管我国并不具有美国的数字产业先发优势,但在构 建数据出境平安审查规那么国际话语权等领域,应当借鉴美国经验,积极参 与国际经贸规那么的制定,输出数据出境审查规那么的中国方案。此外,需要 进一步说明的是数据出境审查规那么本身是治理国家平安风险的术,我国不但要在术上进行相应完善,还强化国家平安保障的道,也即从规那么变化或驱动的根本因素上寻找应对策略,包括增强有关部门和人员 的风险意识等。3国家平安
12、观下我国数据出境审查规那么的完善3.1 在政府层面渐进推动数据出境审核的组织建设如前所述,数据直 接或衍生内容均可能与国家平安关联,对数据审查本身即意味着专业的人 才和技术保障。为此,原那么上我国宜将数据出境的平安审查纳入到统一的 审核部门进行,既可以实现审核能力的集中投入,又可以实现审核标准和 尺度的统一,防止不同部门审核造成的协调不畅,又更加符合数据的规 律,便于在整体上判断数据可能带来的国家平安风险。但从监管惯例上 看,我国基本形成了行业归口监管的体系,例如在金融领域以行业为主的 机构监管,在数据出境的监管上实行以行业主管部门为主的审核体制更符 合我国的监管体制惯性,同时行业数据本身表达
13、着各自的专业属性,维持 现有的分业审核模式也便利不同监管部门专业优势的发挥。为表达渐进改 革的优势,现阶段我国不宜另起炉灶,可视数据的种类分别将数据出境审 核权授予网信办、公安部门、中国人民银行、银保监会、工信部等具体业 务部门。但需要指出的是归口行业审核机制的实施需要充分发挥并完善中 央网信办的数据出境审查协调功能,合理分配网信办和其他行业主管部门 的权限和责任,建立中央网信办协调下的分业审核组织架构,以克服数据 出境审查中的监管竞争和监管漏洞,保证审查政策的专业性、完整性和连 续性。3.2 建立数据出境分类审核制度原始数据、统计数据、大数据对国家 平安影响的方式存在差异。从规范上,原始数据
14、为不依赖于现有数据而产 生的数据,包括足以危害国家关键基础设施、关键信息基础设施、政府系 统信息系统平安的位置或参数数据等,这些数据一旦出境即便不经过加工 和处理就足以造成国家平安损害。统计数据和大数据是衍生数据,是原始 数据经过算法加工、计算和聚合而成的数据。例如前述敏感行业的统计数 据,通过数据挖掘而产生的社会精准画像数据,这些衍生数据的原始数据 本身都缺乏以危害国家平安,但形成统计数据或大数据后就具有了衍生价 值进而可能损害国家平安。为此,在数据出境审核中,应当依据原始数据 与国家平安联系的紧密程度,进行进一步的细分。区分为本身与国家平安 紧密关联的原始数据(类型一数据),形成统计数据后
15、与国家平安紧密关联 的原始数据(类型二数据),通过数据挖掘后与国家平安紧密关联的原始数 据(类型三数据)等。对于类型一数据,因为其本身已经构成了国家秘密或与国家平安紧密 关联,属于法律法规禁止出境的数据,原那么上不允许其出境。而对于类型 二和类型三的数据,因为其本身与国家平安相对较远,可以允许其出境。 但由于类型二数据经过简单集聚后产生的衍生价值就可能对国家平安造成 严重威胁。例如针对电信、金融、石油、电力等关键行业数据出境应采取 审慎的平安风险评估制度。德国在2016年针对电信元数据提出了数据本 地化存储的要求;法国在医疗、信息通信等领域也存在相关的数据出境限 制要求16。又如在金融行业,针
16、对电子银行的跨境业务活动,个人金融 信息的储存、处理和分析,跨境外包,以及征信数据的整理、保存和加工 等活动进行严格的规定,强调了数据的本地化存储要求,原那么上不得向境 外提供。这些关键行业的原始数据可能均缺乏以影响国家平安,之所以禁 止其出境,也是担忧其数据集聚后产生的衍生国家平安风险。故对类型二 数据应当采取审慎的平安风险评估。但对于类型三数据,在出境审查模式 上那么可以有所变通,因类型三数据通常不属于国家秘密也不属于敏感行业 数据,故而在传统的事前审查模式的基础上,可以增加额外的变通审查模 式,如下文所述的白名单机制和充分性保障机制,可以不经事先审查或仅 需事后备案的方式开展审查。总之,
17、由于数据本身的多样性,不同性质的数据在国家平安上的影响 存在差异,故而在数据出境的平安审查上应当区分数据表达的不同国家安 全利益进行分类管理。但是应当明确的是,在数据出境分类审核的制度建 设中应当在法律层面上明确不同类型数据的具体种类,形成对应的数据出 境平安审查策略,根据数据的平安属性及包含的利益类型进行梯度性管 理,灵活采用事后备案和事前审查相结合的宽严相济的审查方式,以实现 数据出境便利化与国家平安有效保障的统一。3.3 完善数据出境审核的具体流程在出境审核程序的构建上,主要可 以包括出境审核程序的启动、评估流程管理以及评估结果认定三个层次。3.3.1 出境审核程序的启动主要是指在什么情
18、况下由谁来开启数据是 否损害国家平安的审核。从理论上只要产品或服务涉及向境外机构、组织 或个人提供数据的就应当触发数据出境的审核。由于数据出境实施主体与 数据出境利益关切,且对出境数据的情况和是否实施数据出境具有一定的 主导力,为此其应当作为数据出境审核启动的第一责任人,包括启动自评 或者主动向有权部门申请评估等。当然,作为数据出境监督审核的部门, 也可依职权针对可疑的出境数据主动进行审核。当然需要明确的是,由于 对出境数据的审核不应仅仅采用凡出境必审核这样一刀切的方式进行,例 如对已经完成数据出境平安评估的同类数据出境就可能并不诱发数据出境 的审核,除非所涉及的数据出境,在目的、范围、类型、
19、数量等方面发生 较大变化、数据接收方变更或发生重大平安事件等等。此外对于类型三数 据还可以灵活采取白名单机制或充分性保障机制,进而豁免事前审查。3.3.2 评估流程管理参照全国信息平安标准化技术委员会信息平安 技术数据出境平安评估指南(草案),评估流程管理包括在评估过程中要 求数据出境实施主体报送数据出境计划、评估的要点和流程等三大方面。 网络运营者应首先制定数据出境计划,计划的内容包括但不限于:数据出 境目的、范围、类型、规模;涉及的信息系统;中转国家和地区(如存 在);数据接收方及其所在的国家或地区的基本情况;平安控制措施等。评估的要点包括合法正当和风险可控。其中合法性主要是指出境数据 不
20、属于依法不能出境的数据,例如个人数据已经获得个人信息主体的授权同意或者存在其他可以合法处理数据的理由;正当性主要是要满足数据利用的最小化和必要性原那么,包括网络运营者在合法的经营范围内从事正常业务活动所必需的;履行合同义务所必需;等等。风险可控主要是应当评 估数据出境计划的风险可控,应综合考虑出境数据的属性和数据出境发生 平安事件的可能性。从理论上讲,数据自身的性质越敏感、数量越多、类 型越广泛一旦出境就越可能损害国家平安,但如果数据发送方和数据接收 方拥有完备的数据出境的平安保护技术和管理能力,数据接收方所在国家 或区域的政治法律环境较为健全又可能在一定程度上缓解甚至消除国家安 全风险。在数
21、据出境的评估流程中,首先判断数据出境的合法性和正当性,对 于不满足合法和正当要件的禁止其出境;其次判断数据出境对国家平安可 能造成的威胁,在综合考量出境数据属性和平安事件发生的可能性的基础 上,如果认为数据出境可能损害国家利益且风险不可控,即便满足合法性 和正当性要求亦可以禁止其出境(见图1)。图1数据出境平安评估流程3.3.3 评估结果的认定对于出境数据是否违法的判断上,由于存在明 确的法律规定,故不存在难点。在正当性的判断上,主要涉及比例原 那么的运用,也即判断出境数据是否满足合目的性、适当性等基本原那么的要 求,并注意国际惯例的吸收借鉴口刀。因为比例原那么已经成为判断合 理性的被广泛认同
22、的重要工具,审核机构较为熟悉,因此在正当性的判断上亦不存在适用上的疑问。为此,在数据出境审核结果的认定上,主要即 为风险可控的认定。如前所述,在风险可控认定的模型中存在着两类作用 变量,一类是出境数据与国家平安的紧密程度,一类是数据出境发生平安 事件如不当泄露或被不当获取及利用的可能性。对于出境数据与国家平安的紧密程度判断,又可从类型、数量等去衡 量。如果出境的原始数据包含核设施、国防军工、人口健康、敏感地理、 关键信息基础设施的系统漏洞等信息,由于此类数据本身与国家利益紧密 关联,故可以认定为对国家平安和社会公共利益产生严重影响的重要数 据。从数量上看,尽管有些原始数据本身与国家利益相距较远
23、,但经过汇 聚形成大数据后,其所蕴含的社会、经济价值可能发生性质转变。总体来 说,出境数据数量越大,发生泄漏或滥用时,造成的国家平安危害和社会 公共利益风险越大。从发生平安事件的可能性上判断,又可从数据发送方与接收方的平安 保障能力、数据接收国的政治法律环境等方面去判断。对于前者来讲,如 果发送方和接收方具备较先进的平安技术能力,例如采用了数据传输保 护、边界防护等总体平安防护技术手段,并建立数据出境日志留存机制; 且发送方和接收方具备完备的管理制度、应急机制、审计机制、投诉与处 置策略、平安事件上报机制等管理机制,能够有效保护数据平安,那么就 可以认定发生平安事件的风险较低。对于后者而言,如
24、果数据接收方所在 国网络平安或数据平安方面的法律法规标准完备,主管或监管部门具备较 强的监督和执法能力,数据平安事件发生后具备多层次、多方面的有效追责和监督机制,政府调取数据的权力受法律的严格约束,且做到了公开透国家平安/数据出境/数字贸易/数据分类/平安审查/主体责 任/National security/Data exit/Digital trade/Data classification/Security reviuw/Subject responsibility期刊名称:图书馆学情报学 复印期号:2022年02期中图分类号:D820文献标识码:A文章编号:1002-1965(2021)
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 国家安全 视域 数据 出境 审查 规则 研究
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【二***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【二***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。