杜 昕

(中共廣東省委黨校 法學(xué)教研部，廣東 廣州 510030)

0 引言

習(xí)近平總書記強調(diào)：“數(shù)字經(jīng)濟發(fā)展速度之快、輻射范圍之廣、影響程度之深前所未有，正在成為重組全球要素資源、重塑全球經(jīng)濟結(jié)構(gòu)、改變?nèi)蚋偁幐窬值年P(guān)鍵力量”[1]。隨著數(shù)字經(jīng)濟的不斷發(fā)展，以數(shù)據(jù)要素為核心驅(qū)動力，以網(wǎng)絡(luò)傳播技術(shù)為載體的高速率、大容量、低延時的數(shù)據(jù)跨境流動，正在成為連接全球數(shù)字經(jīng)濟的紐帶，大大拓寬了傳統(tǒng)經(jīng)濟全球化的廣度與深度，數(shù)字經(jīng)濟全球化已經(jīng)成為了歷史發(fā)展的必然趨勢。據(jù)此，我國應(yīng)在維護(hù)國家安全的前提下，主動拓寬數(shù)據(jù)開放范圍，加快數(shù)據(jù)跨境流動，在全球競爭中進(jìn)一步發(fā)揮人口優(yōu)勢與規(guī)模優(yōu)勢，積極融入并引領(lǐng)新一輪經(jīng)濟全球化。

黨的二十大報告指出：“加強重點領(lǐng)域、新興領(lǐng)域、涉外領(lǐng)域立法，統(tǒng)籌推進(jìn)國內(nèi)法治和涉外法治”[2]，數(shù)據(jù)跨境流動作為數(shù)字經(jīng)濟全球化的驅(qū)動力，是新時代相關(guān)領(lǐng)域的立法調(diào)整對象，數(shù)據(jù)跨境流動提出的挑戰(zhàn)是推進(jìn)涉外法治建設(shè)不能忽視的重要問題。以“‘滴滴出行’赴美上市”事件為例，根據(jù)2022 年7 月21 日國家互聯(lián)網(wǎng)信息辦公室 (下簡稱“國家網(wǎng)信辦”)有關(guān)負(fù)責(zé)人就相關(guān)行政處罰的決定答記者問可知，滴滴公司在事件當(dāng)中“存在嚴(yán)重影響國家安全的數(shù)據(jù)處理活動”并且“嚴(yán)重侵害用戶個人信息權(quán)益”[3]?！啊蔚纬鲂小懊郎鲜小笔录m然以行政處罰決定[4]的作出而告終，但卻暴露出一個現(xiàn)實問題——數(shù)據(jù)跨境流動會對國家安全和個人數(shù)據(jù)保護(hù)層面形成諸多法治挑戰(zhàn)。如何推進(jìn)我國涉外法治建設(shè)以應(yīng)對數(shù)據(jù)跨境流動提出的國家安全和個人數(shù)據(jù)保護(hù)層面的法治挑戰(zhàn)，是本文的關(guān)注點所在。

1 數(shù)據(jù)跨境流動提出的法治挑戰(zhàn)

1.1 國家安全層面的挑戰(zhàn)

美國達(dá)特茅斯大學(xué)塔克商學(xué)院院長、原白宮經(jīng)濟顧問委員會成員馬修·斯勞特和橋水基金聯(lián)合首席執(zhí)行官大衛(wèi)·麥考密克合作發(fā)表的文章《數(shù)據(jù)即力量(Data is Power)》中指出：“即便與全球經(jīng)濟的其他要素相比，數(shù)據(jù)與力量的關(guān)聯(lián)也更為密切”[5]。國外還有學(xué)者認(rèn)為“數(shù)據(jù)總是在被不斷加工、分析，數(shù)據(jù)的分析解釋過程蘊含著它的變革力量”[6]。我國學(xué)者也指出“擁有數(shù)據(jù)存儲和處理技術(shù)優(yōu)勢的主體對特定對象的影響力和控制力不斷增強”[7]。數(shù)據(jù)蘊含的力量如果被合法地分析利用，會極大促進(jìn)經(jīng)濟社會的發(fā)展，保障國家的安全，例如挖掘網(wǎng)絡(luò)媒體上人們公開發(fā)表的一些觀點看法(包括對個人、話題和事件的評估、態(tài)度和情緒)，通過進(jìn)行數(shù)據(jù)分析，有利于防范不當(dāng)言論對社會造成的負(fù)面影響，從而維護(hù)國家安全[8]。但是，大量數(shù)據(jù)一旦被不法利用，可能嚴(yán)重威脅國家安全，甚至導(dǎo)致政治動蕩局面。例如，2018 年曝光的“劍橋分析丑聞”[9]，8 700 萬用戶數(shù)據(jù)因Facebook 出于商業(yè)決策主動對第三方程序開放寬松的API 數(shù)據(jù)接口，被不當(dāng)泄露給政治咨詢公司劍橋分析 (Cambridge Analytica)，用于在2016 年總統(tǒng)大選時支持共和黨候選人特朗普。對此，國外學(xué)者評論道：“社交媒體公司和劍橋分析等政治數(shù)據(jù)挖掘公司通過使用個人數(shù)據(jù)操縱公眾生活建立了自己的業(yè)務(wù)。他們的工作加劇了種族緊張關(guān)系，復(fù)興了極端民族主義，加劇了政治沖突，甚至在世界各地的國家制造了新的政治危機——所有這些都削弱了公眾對新聞、投票制度和選舉結(jié)果的信任”[10]?！皠蚍治龀舐劇钡葦?shù)據(jù)不法利用的事件嚴(yán)重影響了政治選舉的公平，加劇了美國社會的割裂，危及了國家和政治的安全。所以，防范數(shù)據(jù)被不法利用，對于維護(hù)國家安全至關(guān)重要。

在“‘滴滴出行’赴美上市”事件當(dāng)中，滴滴公司共存在16 項違法事實[3]，其違法獲取或過度收集的用戶信息每一項的數(shù)量級均在千萬以上，有些甚至過億。直接獲取的信息種類包括用戶手機相冊中的截圖信息、用戶剪切板信息和應(yīng)用列表信息、乘客人臉識別信息、年齡段信息、職業(yè)信息、親情關(guān)系信息、打車地址信息，以及乘客評價代駕服務(wù)、App 后臺運行、手機連接記錄儀設(shè)備時的精準(zhǔn)位置(經(jīng)緯度)信息。除乘客以外，司機的身份信息、學(xué)歷信息也被違法收集。這些信息被違法收集以后，滴滴在未明確告知用戶的情況下，分析得出的間接信息的數(shù)量級則均以“億”計，這些信息包括乘客的出行意圖、常駐城市、異地商務(wù)或異地旅游情況，其中分析得出的乘客出行意圖信息竟高達(dá)539.76 億條。

如此大規(guī)模的數(shù)據(jù)信息，一旦被不法利用，例如用以分析預(yù)測我國城市居民的出行情況和人群實時分布情況等，無疑會對我國的公共安全乃至國家安全造成嚴(yán)重威脅?！啊蔚纬鲂小懊郎鲜小笔录鹗加?021 年6 月30 日，彼時美國《外國公司問責(zé)法》(以下簡稱“HFCAA 法案”)[11]已經(jīng)生效，該國頒布“CLOUD 法案”也已屆三年?！癏FCAA 法案”第三部分規(guī)定了向赴美上市外國企業(yè)提供服務(wù)的會計師事務(wù)所負(fù)有“額外披露”的義務(wù)，需要在審計報告中向美國證券交易委員會(以下簡稱“SEC”)披露如下信息：(1)在法案所規(guī)定的期間內(nèi)該注冊會計師事務(wù)所已為上市企業(yè)編制的審計報告；(2)在上市企業(yè)注冊成立或以其他方式組織的外國司法管轄范圍內(nèi)，由政府實體持有的上市企業(yè)股份的百分比；(3)在與該注冊會計師事務(wù)所相關(guān)的適用外國司法管轄的政府實體是否對上市企業(yè)擁有控股權(quán)；(4)、(5)則均為直接針對中國意識形態(tài)防范和國家安全泛化的條款。“CLOUD 法案”[12]在第3 節(jié)明確規(guī)定：“電子通信服務(wù)或遠(yuǎn)程計算服務(wù)的提供商應(yīng)遵守本法案規(guī)定的義務(wù)，保存、備份或披露有線或電子通信的內(nèi)容，以及在其擁有、保管或控制范圍內(nèi)與客戶或訂戶有關(guān)的任何記錄或其他信息，無論該通信、記錄或其他信息是否存儲于美國境內(nèi)或境外”?！癏FCAA 法案”嚴(yán)重暴露了美國證券監(jiān)管的政治化[13]，嚴(yán)重破壞了證券行業(yè)的市場競爭機制，“CLOUD 法案”則確立了美國數(shù)據(jù)監(jiān)管的“長臂管轄”機制。根據(jù)美國現(xiàn)行法案和政治風(fēng)向，滴滴公司赴美上市必然存在數(shù)據(jù)泄露甚至被不法利用的風(fēng)險。這一點體現(xiàn)于《網(wǎng)絡(luò)安全審查辦法》第十條國家安全風(fēng)險因素中的第六項：“上市存在……大量個人信息被外國政府影響、控制、惡意利用的風(fēng)險，以及網(wǎng)絡(luò)信息安全風(fēng)險”[14]。因此，數(shù)據(jù)跨境流動會對國家安全的維護(hù)提出全新的法治挑戰(zhàn)，通過立法規(guī)制數(shù)據(jù)力量對維護(hù)國家安全至關(guān)重要，充分維護(hù)國家安全是數(shù)據(jù)跨境流動監(jiān)管必須直面的問題。

1.2 個人數(shù)據(jù)保護(hù)層面的挑戰(zhàn)

從滴滴公司存在的16 項違法事實[3]可以看出，侵犯個人數(shù)據(jù)信息的情況有兩種，其一是未經(jīng)用戶授權(quán)違法獲取數(shù)據(jù)或超出用戶授權(quán)過度收集數(shù)據(jù)，如違法獲取或過度收集的用戶個人信息數(shù)據(jù)；其二是背離數(shù)據(jù)授權(quán)使用范圍處理數(shù)據(jù)，如在未明確告知乘客的情況下分析乘客的出行意圖、常駐城市以及異地商務(wù)或異地旅游意向。無論是獲取或收集用戶的個人信息，還是處理用戶的個人信息都需要用戶的授權(quán)，且不能超出用戶的授權(quán)范圍，這是因為個人信息的收集、使用、共享以及加密保護(hù)都應(yīng)在一定程度上獲得受影響個人的知情通知和同意[15]，使他們有能力控制關(guān)涉自身的數(shù)據(jù)信息[16]。

美國近年來發(fā)生的多起案例也表明數(shù)據(jù)跨境流動會對個人數(shù)據(jù)保護(hù)提出法治挑戰(zhàn)。例如，2017年5 月至7 月，Equifax 發(fā)生數(shù)據(jù)泄露，并于當(dāng)年9月7 日披露了數(shù)據(jù)泄露的影響范圍，包括1.479 億美國公民、1 520 萬英國公民和約19 000 名加拿大公民的個人數(shù)據(jù)信息被泄露，2019 年7 月22 日，Equifax 同意與聯(lián)邦貿(mào)易委員會(FTC)、美國消費者金融保護(hù)局(CFPB)、美國48 個州、華盛頓特區(qū)和波多黎各達(dá)成和解，協(xié)議總額達(dá)7 億美元[17]。又如，2019 年7 月29 日Capital One 公開承認(rèn)，一名黑客未經(jīng)授權(quán)訪問了美國和加拿大1.06 億人 (美國公民約1 億人，加拿大公民約600 萬人)的賬戶和身份信息[18]，2022 年2 月7 日，美國聯(lián)邦法院初步批準(zhǔn)了Capital One 數(shù)據(jù)泄露事件有關(guān)的集體訴訟和解，和解要求Capital One 建立一個1.9 億美元的結(jié)算基金并提供其他救濟服務(wù)[19]。此外，2021 年8 月16 日T-Mobile 宣布，一名黑客非法訪問了超過7 600 萬美國公民的個人數(shù)據(jù)，并就此事件提起了多起數(shù)據(jù)泄露集體訴訟，2022 年7 月T-Mobile 在密蘇里州聯(lián)邦法院的聽證會上同意就數(shù)據(jù)泄露和隨后的集體訴訟達(dá)成3.5 億美元的和解[20]。在這三個案例中，企業(yè)的業(yè)務(wù)范圍均覆蓋全球多個國家，且前兩個案例的數(shù)據(jù)泄露范圍涉及多國公民。根據(jù)訴訟案由可知，這三家企業(yè)均因未能有效保護(hù)用戶數(shù)據(jù)安全致使用戶數(shù)據(jù)未經(jīng)授權(quán)而被非法利用或處于被非法利用的危險之中，其中Capital One 數(shù)據(jù)泄露案件的黑客佩奇·湯普森[21]還在2019 年4 月發(fā)布了如何獲取公司憑證以提取更多數(shù)據(jù)的說明[22]。從上述案例不難發(fā)現(xiàn)，因數(shù)據(jù)傳輸技術(shù)等原因，跨境數(shù)據(jù)流動存在個人數(shù)據(jù)泄露的風(fēng)險，如何保護(hù)個人數(shù)據(jù)安全，避免數(shù)據(jù)未經(jīng)授權(quán)獲取或使用是數(shù)據(jù)跨境流動監(jiān)管必須直面的又一問題。

當(dāng)然，在保護(hù)個人數(shù)據(jù)的同時也要注意統(tǒng)籌發(fā)展和安全。個人數(shù)據(jù)保護(hù)規(guī)則的制定和實施要同經(jīng)濟社會的發(fā)展相適應(yīng)。對此，有研究根據(jù)數(shù)據(jù)產(chǎn)權(quán)配置對市場經(jīng)濟發(fā)展的影響得出結(jié)論：產(chǎn)權(quán)的最優(yōu)配置關(guān)鍵取決于數(shù)據(jù)的價值，即取決于產(chǎn)生數(shù)據(jù)的市場和使用數(shù)據(jù)的市場之間的相對權(quán)重，當(dāng)產(chǎn)生數(shù)據(jù)的市場權(quán)重更大時，應(yīng)當(dāng)盡可能保護(hù)個人的數(shù)據(jù)權(quán)利；當(dāng)使用數(shù)據(jù)的市場權(quán)重更大時，應(yīng)盡可能鼓勵個人授權(quán)企業(yè)使用數(shù)據(jù)，促進(jìn)社會經(jīng)濟的發(fā)展[23]。國內(nèi)學(xué)者也指出：“要在個人信息保護(hù)與大數(shù)據(jù)發(fā)展之間實現(xiàn)平衡”[24]，并且“應(yīng)在立法層面平衡數(shù)據(jù)交易與個人信息權(quán)利保護(hù)之間的關(guān)系”[25]。因此，如何在促進(jìn)數(shù)字經(jīng)濟發(fā)展的同時保護(hù)個人數(shù)據(jù)安全是數(shù)據(jù)跨境流動在個人數(shù)據(jù)保護(hù)層面提出的全新法治挑戰(zhàn)。

2 應(yīng)對挑戰(zhàn)的立法現(xiàn)狀及實踐難點

2.1 國家安全層面的立法現(xiàn)狀及實踐難點

我國現(xiàn)行法律法規(guī)對數(shù)據(jù)跨境流動在國家安全層面的應(yīng)對主要體現(xiàn)在如下三個方面。

首先是堅持總體國家安全觀。對此，黨的二十大報告指出：“必須堅定不移貫徹總體國家安全觀，把維護(hù)國家安全貫穿黨和國家工作各方面全過程，確保國家安全和社會穩(wěn)定”[2]，堅持總體國家安全觀明確規(guī)定在《中華人民共和國數(shù)據(jù)安全法》(以下簡稱《數(shù)據(jù)安全法》)[26]第四條當(dāng)中，并全面貫穿于我國現(xiàn)行法律法規(guī)的各項規(guī)定，其一，既重視數(shù)據(jù)處理過程發(fā)生在境內(nèi)的安全，又重視數(shù)據(jù)跨境流動及在境外開展數(shù)據(jù)處理活動的安全，這明確體現(xiàn)在《數(shù)據(jù)安全法》第二條的規(guī)定當(dāng)中；其二，既重視數(shù)字經(jīng)濟的發(fā)展問題，又重視數(shù)據(jù)處理和流動過程的國家安全問題，發(fā)展和安全是數(shù)字經(jīng)濟的兩件大事，充分發(fā)揮海量數(shù)據(jù)和豐富應(yīng)用場景優(yōu)勢，這明確體現(xiàn)在《數(shù)據(jù)安全法》第二章的規(guī)定當(dāng)中；其三，既重視自身安全，又重視共同安全，打造網(wǎng)絡(luò)空間命運共同體，推動各方朝著互利互惠、共同安全的目標(biāo)相向而行，這明確體現(xiàn)在《數(shù)據(jù)安全法》第二十六條和第三十六條的規(guī)定當(dāng)中。

其次是建立數(shù)據(jù)分類分級保護(hù)制度，加強對重要數(shù)據(jù)的保護(hù)。由于數(shù)據(jù)具有非排他性[5]，這意味著數(shù)據(jù)的傳輸是幾乎沒有成本和損耗的，那些“一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等，可能危害國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全等”[27]的重要數(shù)據(jù)必須要通過一定的技術(shù)手段限制跨境流動。通過構(gòu)建重要數(shù)據(jù)評估標(biāo)準(zhǔn)，建立數(shù)據(jù)分類分級保護(hù)制度，從而加強對重要數(shù)據(jù)的保護(hù)。這明確體現(xiàn)在《數(shù)據(jù)安全法》第二十一條的規(guī)定當(dāng)中。在具體實踐中，我國工業(yè)和信息化部發(fā)布的《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》公開征求意見稿中第二章[28]明確規(guī)定了工業(yè)和信息化領(lǐng)域數(shù)據(jù)的分類分級管理，其他各部委及省份也在根據(jù)實際情況確定重要數(shù)據(jù)的具體目錄。

最后是明確數(shù)據(jù)安全保護(hù)義務(wù)和法律責(zé)任?！稊?shù)據(jù)安全法》在第四章規(guī)定了數(shù)據(jù)安全保護(hù)義務(wù)，在第五章規(guī)定了違反義務(wù)需承擔(dān)的法律責(zé)任，其中第三十一條明確規(guī)定了重要數(shù)據(jù)的出境安全管理，第四十六條則明確規(guī)定了違反第三十一條規(guī)定，向境外提供重要數(shù)據(jù)的法律責(zé)任。結(jié)合上述條文與滴滴公司及該企業(yè)直接負(fù)責(zé)的主管人員的行政處罰情況[4]來看，滴滴公司很可能涉嫌違反《數(shù)據(jù)安全法》第三十一條規(guī)定，將該企業(yè)在我國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)輸出境外。除了《數(shù)據(jù)安全法》以外，《中華人民共和國個人信息保護(hù)法》(以下簡稱《個人信息保護(hù)法》)第四十條至第四十二條也在國家安全層面對個人信息跨境流動的監(jiān)管做了具體規(guī)定[29]。

綜合上述，重要數(shù)據(jù)目錄管理具有動態(tài)屬性，該屬性引發(fā)的時效難題是監(jiān)管數(shù)據(jù)跨境流動以維護(hù)國家安全的實踐難點。從滴滴公司違法獲取或過度收集的數(shù)據(jù)信息種類不難看出，這些數(shù)據(jù)信息的種類與硬軟件功能和數(shù)字技術(shù)的發(fā)展密切關(guān)聯(lián)。隨著硬軟件功能越來越豐富，數(shù)據(jù)挖掘和分析技術(shù)越來越先進(jìn)，數(shù)據(jù)的更新速度會不斷加快，數(shù)據(jù)規(guī)模會越來越龐大，數(shù)據(jù)種類劃分也會越來越精細(xì)，數(shù)據(jù)目錄的變化周期就會越來越短，重要數(shù)據(jù)的目錄管理也就越來越呈現(xiàn)出動態(tài)屬性，這一動態(tài)屬性在 《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法 (試行)》公開征求意見稿第七條[28]就有明確的體現(xiàn)。重要數(shù)據(jù)目錄列選的動態(tài)屬性意味著重要數(shù)據(jù)的評估標(biāo)準(zhǔn)和保護(hù)力度也要緊跟時代的發(fā)展，在這一情形下如何保證重要數(shù)據(jù)目錄列選的時效性是實踐過程中的具體困難。完善立法以解決這一實踐難點，是應(yīng)對數(shù)據(jù)跨境流動提出的國家安全挑戰(zhàn)的有效途徑。

2.2 個人數(shù)據(jù)保護(hù)層面的立法現(xiàn)狀及實踐難點

我國現(xiàn)行法律法規(guī)對數(shù)據(jù)跨境流動在個人數(shù)據(jù)保護(hù)層面挑戰(zhàn)的應(yīng)對主要體現(xiàn)在如下四個方面。

首先是明確個人數(shù)據(jù)及相關(guān)概念的定義。由于數(shù)據(jù)是記錄事實信息的一種特殊表達(dá)方式，是“信息”這一概念的一部分[30]，因此個人數(shù)據(jù)亦可被解釋為個人信息的一部分。個人信息的定義見于《個人信息保護(hù)法》第四條第一款規(guī)定：“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息”[29]；數(shù)據(jù)的定義則見于《數(shù)據(jù)安全法》第三條規(guī)定：“本法所稱數(shù)據(jù)，是指任何以電子或者其他方式對信息的記錄”[27]。結(jié)合這兩部法律可知，個人數(shù)據(jù)是指任何以電子或者其他方式對個人信息的記錄，屬于受我國法律法規(guī)保護(hù)的個人信息范疇。

其次是突出對敏感個人數(shù)據(jù)信息的保護(hù)?！秱€人信息保護(hù)法》第二十八條第一款定義了敏感個人信息，是指“一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息”[29]。根據(jù)該條規(guī)定，記錄敏感信息的個人數(shù)據(jù)也應(yīng)當(dāng)被特殊保護(hù)，在滴滴公司存在的16 項違法事實[3]當(dāng)中，違法獲取用戶的人臉識別信息就屬于敏感個人信息之一。

再次是規(guī)定了處理個人信息的情形、基本原則、具體規(guī)則以及對個人數(shù)據(jù)信息跨境流動監(jiān)管的規(guī)則。處理個人信息的情形具體規(guī)定在《個人信息保護(hù)法》第四條第二款，即“只有在具有特定的目的和充分的必要性，并采取嚴(yán)格保護(hù)措施的情形”，處理敏感個人信息的情形則規(guī)定在第二十八條第二款。處理個人數(shù)據(jù)信息包括規(guī)定在《個人信息保護(hù)法》的七大基本原則，其一是第五條規(guī)定的“合法、正當(dāng)、必要、誠信”原則，其二和其三是第六條第一款和第二款規(guī)定的“目的明確合理且直接相關(guān)”和“最小范圍”原則，其四是第七條規(guī)定的“公開透明”原則，其五是第八條規(guī)定的“準(zhǔn)確完整”原則，其六、其七是第九條規(guī)定的“責(zé)任負(fù)擔(dān)”原則和“數(shù)據(jù)安全”原則。個人數(shù)據(jù)信息處理的具體規(guī)則包括規(guī)定在《個人信息保護(hù)法》第十三條的前提條件、第十四條和第十五條規(guī)定的“個人同意”的具體要求、第十七條規(guī)定的“真實、準(zhǔn)確、完整”的告知要求以及第十八條規(guī)定的“不告知”情形，第二十九條至第三十二條則規(guī)定了敏感個人信息處理的具體規(guī)則。對個人數(shù)據(jù)信息跨境流動監(jiān)管的規(guī)則，則包括《個人信息保護(hù)法》第三十八條規(guī)定的前提條件和第三十九條規(guī)定的“告知—同意”規(guī)則[29]。

最后還規(guī)定了個人在個人信息處理活動中的權(quán)利、個人信息處理者的義務(wù)、履行個人信息保護(hù)職責(zé)的部門以及違法行為需承擔(dān)的法律責(zé)任。例如《個人信息保護(hù)法》第六十六條明確規(guī)定“對違法處理個人信息的應(yīng)用程序，責(zé)令暫停或者終止提供服務(wù)”[29]，對應(yīng)了網(wǎng)絡(luò)安全審查辦公室對“滴滴出行”2021 年7 月2 日啟動網(wǎng)絡(luò)安全審查[31]，并于7 月4日下架“滴滴出行” App[32]，7 月9 日下架“滴滴企業(yè)版”等25 款A(yù)pp[33]的法律依據(jù)。

綜上所述，個人對其個人數(shù)據(jù)信息的處理可以設(shè)定一定授權(quán)處理范圍，這明確規(guī)定在《個人信息保護(hù)法》第四十四條：“個人對其個人信息的處理享有知情權(quán)、決定權(quán)，有權(quán)限制或者拒絕他人對其個人信息進(jìn)行處理；法律、行政法規(guī)另有規(guī)定的除外”[29]。又如Facebook 早在2015 年就發(fā)現(xiàn)了劍橋分析公司濫用其用戶信息的行為，亦即Facebook 明知濫用其用戶信息的行為是超出用戶授權(quán)范圍的，但兩年多來一直沒有采取有效措施糾正[34]?！秱€人信息保護(hù)法》第六條第二款明確規(guī)定了收集個人數(shù)據(jù)信息“應(yīng)當(dāng)限于實現(xiàn)處理目的的最小范圍”[29]，這不僅對個人數(shù)據(jù)的收集范圍做了限定，還意味著處理數(shù)據(jù)的范圍應(yīng)當(dāng)與既定目的的實現(xiàn)相吻合。由于數(shù)字經(jīng)濟發(fā)展迅速，收集數(shù)據(jù)時的目的與收集完成準(zhǔn)備處理數(shù)據(jù)時的目的可能會在合理范圍內(nèi)有所變化，如何根據(jù)客觀經(jīng)濟規(guī)律認(rèn)定這一合理范圍，從而協(xié)調(diào)個人數(shù)據(jù)保護(hù)與經(jīng)濟發(fā)展的關(guān)系是實踐過程中的具體困難。

3 突破實踐難點的現(xiàn)實路徑

3.1 以區(qū)塊鏈技術(shù)賦能重要數(shù)據(jù)目錄的動態(tài)管理

重要數(shù)據(jù)目錄管理的動態(tài)屬性引發(fā)的時效難題，是監(jiān)管數(shù)據(jù)跨境流動以維護(hù)國家安全的實踐難點。隨著數(shù)字政府建設(shè)的穩(wěn)步推進(jìn)，數(shù)字技術(shù)已經(jīng)逐步融入到政府管理與服務(wù)的方方面面，在實踐中，英國、法國、俄羅斯、瑞士、瑞典、芬蘭、愛沙尼亞等國政府已經(jīng)在公共服務(wù)領(lǐng)域廣泛采用了區(qū)塊鏈技術(shù)[35]。而針對數(shù)據(jù)目錄的動態(tài)管理方面，現(xiàn)在已經(jīng)有“目錄區(qū)塊鏈”系統(tǒng)應(yīng)用于數(shù)字政府建設(shè)的實例。北京市人民政府在2019 年深入實施北京大數(shù)據(jù)行動計劃，打造了“目錄區(qū)塊鏈”[36]系統(tǒng)，該系統(tǒng)秉持職責(zé)為根、目錄為干、數(shù)據(jù)為葉的三級目錄體系建設(shè)路徑，將全市政府部門、區(qū)的職責(zé)、目錄和系統(tǒng)“上鏈”鎖定，完成“上戶口”，實現(xiàn)數(shù)據(jù)和職責(zé)的強關(guān)聯(lián)、數(shù)據(jù)變化的實時探知以及數(shù)據(jù)訪問的全程留痕，有效解決了大數(shù)據(jù)工作中長期存在的共享難、協(xié)同散、應(yīng)用弱等問題。如果能將北京市“目錄區(qū)塊鏈”系統(tǒng)建設(shè)的經(jīng)驗應(yīng)用于重要數(shù)據(jù)目錄列選，建設(shè)以硬軟件功能為綱、職責(zé)為根的目錄體系，從而實現(xiàn)對數(shù)據(jù)變化的實時探知，可以有效解決重要數(shù)據(jù)目錄列選的動態(tài)屬性引發(fā)的時效難題。

所謂以硬軟件功能為綱，是由于數(shù)據(jù)的產(chǎn)生大多與硬軟件功能相關(guān)聯(lián)，2021 年9 月1 日，五部門聯(lián)合約談了11 家網(wǎng)約車平臺公司，約談要求“各平臺公司要檢視自身存在的問題，立即整改不合規(guī)行為……各平臺公司在用戶數(shù)據(jù)收集、傳輸、存儲、處理等環(huán)節(jié)，要依法建立相關(guān)數(shù)據(jù)安全管理制度，采取必要的安全技術(shù)和管理措施[37]”。據(jù)此，不合規(guī)行為可能并非只存在于滴滴公司一家，企業(yè)獲取因硬件功能產(chǎn)生的數(shù)據(jù)信息也是通過設(shè)計平臺App 的軟件功能運行機制來實現(xiàn)的。因此，要想有效探知重要數(shù)據(jù)的實時變化情況，就必須以硬軟件功能為綱，對因硬軟件功能產(chǎn)生的數(shù)據(jù)進(jìn)行類別劃分，并在此基礎(chǔ)上評估這些數(shù)據(jù)對于維護(hù)國家安全的價值，依據(jù)評估結(jié)論建立重要數(shù)據(jù)目錄，并即時關(guān)注硬軟件功能的更新情況，以便實時更新重要數(shù)據(jù)目錄。

所謂以職責(zé)為根，是要求各部門、各行業(yè)、各地區(qū)明確自身在數(shù)據(jù)識別、分類分級中的工作職責(zé)。根據(jù)行業(yè)要求、特點、業(yè)務(wù)需求、數(shù)據(jù)來源和用途等因素，來對識別數(shù)據(jù)進(jìn)行分類。并根據(jù)數(shù)據(jù)遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權(quán)益等造成的危害程度，來對數(shù)據(jù)進(jìn)行分級。最后，利用區(qū)塊鏈的透明、可回溯、不可篡改等特性[38]，實現(xiàn)重要數(shù)據(jù)變化的實時探知和重要數(shù)據(jù)目錄的動態(tài)管理，從而有效解決時效性難題。

在具體應(yīng)用方面，一項研究[39]表明，區(qū)塊鏈技術(shù)可以有效解決與現(xiàn)有信息收集和共享系統(tǒng)相關(guān)的信息安全和效率問題。該研究運用區(qū)塊鏈技術(shù)構(gòu)建了一個信息收集和共享模型，可以在保證系統(tǒng)安全和用戶隱私的前提下實時探知并共享患者的醫(yī)療記錄。換而言之，區(qū)塊鏈技術(shù)既可以提供安全的信息系統(tǒng)，同時也增加了患者共享醫(yī)療記錄的動機，并且通過開發(fā)Android 軟件應(yīng)用程序來實現(xiàn)可行性。另一項研究[40]也是以醫(yī)療數(shù)據(jù)的收集和共享為視角，證明了通過采用區(qū)塊鏈可以保證醫(yī)療數(shù)據(jù)的正確性和患者的隱私，特定數(shù)據(jù)的完整性也可以通過區(qū)塊鏈技術(shù)的智能合約控制來實現(xiàn)。此外，還有一些研究[41-42]也表明區(qū)塊鏈技術(shù)在數(shù)據(jù)收集和共享方面兼具安全和效率，證實了其應(yīng)用于重要數(shù)據(jù)目錄動態(tài)管理的可行性。

因此，相關(guān)部門可以通過區(qū)塊鏈技術(shù)開發(fā)軟件程序?qū)崟r檢測重要數(shù)據(jù)情況，構(gòu)建以軟件功能為綱、職責(zé)為根的重要數(shù)據(jù)目錄動態(tài)管理系統(tǒng)，解決國家數(shù)據(jù)安全層面的管理時效難題。并在此基礎(chǔ)上建立數(shù)據(jù)安全監(jiān)測預(yù)警與應(yīng)急管理機制，從而有效應(yīng)對數(shù)據(jù)跨境流動在國家安全維護(hù)層面提出的法治挑戰(zhàn)。

3.2 以區(qū)塊鏈技術(shù)協(xié)調(diào)個人數(shù)據(jù)保護(hù)和經(jīng)濟發(fā)展

如何確定個人數(shù)據(jù)利用的底線，劃定處理數(shù)據(jù)的合理范圍，從而協(xié)調(diào)個人數(shù)據(jù)保護(hù)與經(jīng)濟發(fā)展的關(guān)系，是監(jiān)管數(shù)據(jù)跨境流動以保護(hù)個人數(shù)據(jù)的實踐難點。對此，有學(xué)者認(rèn)為：“數(shù)字社會中作為權(quán)利客體的個人信息具有固有的人格與天然的財產(chǎn)雙重價值……個人信息權(quán)的人格權(quán)屬性具有對數(shù)據(jù)財產(chǎn)權(quán)的優(yōu)位性，它因此是信息處理的底線”[43]，他還基于個人數(shù)據(jù)主體與數(shù)據(jù)處理者之間的實質(zhì)不對等關(guān)系指出，可以借由“告知—選擇”的行權(quán)方式達(dá)到弱化權(quán)利移轉(zhuǎn)效果的目的，既可以保護(hù)處于弱勢的個人數(shù)據(jù)主體，也可以降低交易磋商的難度，從而促進(jìn)數(shù)據(jù)流通，進(jìn)而推動經(jīng)濟發(fā)展[44]。不難發(fā)現(xiàn)，所謂“告知—選擇”說主要針對數(shù)據(jù)處理者與個人數(shù)據(jù)主體之間“一對多式”的格式合同情形，這一情形下個人數(shù)據(jù)主體顯然居于弱勢，而《中華人民共和國民法典》(下簡稱《民法典》)第四百九十六條至第四百九十八條[45]已經(jīng)對格式條款加以規(guī)定，綜合《個人信息保護(hù)法》規(guī)定的個人數(shù)據(jù)信息處理的“告知—同意”模式和《民法典》格式條款的規(guī)定可以為解決這一問題提供一條救濟路徑，但該路徑相對比較滯后，亟需一條更為及時的保護(hù)途徑。

引入?yún)^(qū)塊鏈技術(shù)來平衡個人數(shù)據(jù)主體與數(shù)據(jù)處理者之間的實質(zhì)不平等關(guān)系，相對于傳統(tǒng)救濟途徑，保護(hù)更為及時?！秱€人信息保護(hù)法》第四條規(guī)定將匿名化處理后的信息排除在了個人信息之外，“匿名化”是指“個人信息經(jīng)過處理無法識別特定自然人且不能復(fù)原的過程”[29]，從這一規(guī)定不難發(fā)現(xiàn)，企業(yè)如果將個人數(shù)據(jù)信息匿名化處理之后，在無涉國家安全、公共安全等的前提下，可以自由地進(jìn)行數(shù)據(jù)跨境流動。這是由于匿名化處理之后，個人數(shù)據(jù)的人格權(quán)屬性得到了最大程度的保護(hù)。然而，現(xiàn)實當(dāng)中很難做到完全匿名化，且完全匿名化處理之后數(shù)據(jù)的經(jīng)濟價值也可能會有所降低。如果可以將格式合同關(guān)涉?zhèn)€人數(shù)據(jù)中人格權(quán)益的條款由國家監(jiān)督制定，且可以為行業(yè)通用，不能篡改，那么就可以平衡個人數(shù)據(jù)主體與數(shù)據(jù)處理者之間的實質(zhì)不平等關(guān)系。而實現(xiàn)這一情形的技術(shù)手段，就是以太坊區(qū)塊鏈技術(shù)。

以太坊區(qū)塊鏈技術(shù)中的智能合約可以將合同內(nèi)容用編程的方式寫入?yún)^(qū)塊鏈網(wǎng)絡(luò)當(dāng)中，一旦合同被寫入，其內(nèi)容將不可更改，合同雙方必須按約執(zhí)行[46]。目前已有研究[47]引入智能合約技術(shù)以實現(xiàn)基于區(qū)塊鏈的激勵兼容機制，兼顧效率的提升和用戶信息安全的需求。國家可以通過立法將保護(hù)個人數(shù)據(jù)中人格權(quán)益的條款規(guī)范化，并寫入以太坊區(qū)塊鏈技術(shù)支持的智能合約當(dāng)中，從而有效杜絕企業(yè)濫用個人數(shù)據(jù)侵害人格權(quán)益的行為。這項技術(shù)已經(jīng)被應(yīng)用到患者醫(yī)療數(shù)據(jù)保護(hù)方面，通過執(zhí)行基于區(qū)塊鏈的智能合同來設(shè)計安全保護(hù)協(xié)議，兼顧經(jīng)濟效益和信息安全[48]。

綜上所述，個人數(shù)據(jù)利用的底線是不能侵犯個人數(shù)據(jù)主體的人格尊嚴(yán)，結(jié)合以太坊區(qū)塊鏈技術(shù)將人格權(quán)益保護(hù)條款寫入智能合約，可以有效平衡個人數(shù)據(jù)主體與數(shù)據(jù)處理者的市場地位，個人數(shù)據(jù)財產(chǎn)權(quán)益的實現(xiàn)則由市場規(guī)律決定，這也契合了黨的二十大報告中“充分發(fā)揮市場在資源配置中的決定性作用，更好發(fā)揮政府作用”[2]的論述。

4 結(jié)論

在數(shù)字經(jīng)濟快速發(fā)展且覆蓋全球的今天，數(shù)據(jù)跨境流動已成為我國必須直面的問題。數(shù)據(jù)跨境流動監(jiān)管面臨兩大法治實踐困難，即重要數(shù)據(jù)目錄的動態(tài)管理和個人數(shù)據(jù)保護(hù)與經(jīng)濟發(fā)展的協(xié)調(diào)平衡。針對這兩大難題，現(xiàn)行立法和相關(guān)理論提出了一定的解決途徑，然而這些解決途徑相對比較滯后，難以應(yīng)對快速發(fā)展的數(shù)字經(jīng)濟現(xiàn)實。區(qū)塊鏈技術(shù)有效彌補了這一局限，用技術(shù)監(jiān)管技術(shù)的法治思維，可以適應(yīng)數(shù)字經(jīng)濟快速發(fā)展的實際情況，從而有效應(yīng)對數(shù)據(jù)跨境流動提出的法治挑戰(zhàn)。