徐擁軍 王興廣

1 引言

“數(shù)據(jù)”作為除土地、勞動力、資本、技術(shù)之外的第五大生產(chǎn)要素，正加速驅(qū)動數(shù)字經(jīng)濟時代的發(fā)展戰(zhàn)略轉(zhuǎn)型，在國家基礎(chǔ)性戰(zhàn)略資源體系中的地位日益凸顯。數(shù)據(jù)價值的充分發(fā)揮有賴于在特定場域的有序流動。自1980年經(jīng)合組織發(fā)布《隱私保護和個人數(shù)據(jù)跨境流動指南》（Guidelines on the Protection of Privacy and Transborder Flows of Personal Data）以來，跨境數(shù)據(jù)流動在全球經(jīng)濟、政治和社會發(fā)展方面的重要性愈發(fā)顯著[1]。在經(jīng)濟、信息全球化的背景下，大規(guī)模、高頻次的跨境數(shù)據(jù)流動逐漸成為支撐全球數(shù)字經(jīng)濟發(fā)展、拓展網(wǎng)絡(luò)信息空間的內(nèi)生驅(qū)動力。在帶來多方面“正效應”的同時，跨境數(shù)據(jù)流動亦在數(shù)字地緣政治加速演進的條件下對國家安全、數(shù)據(jù)主權(quán)和公民個人隱私安全等構(gòu)成沖擊與挑戰(zhàn)。

2014年，習近平總書記在中央國家安全委員會第一次全體會議上，首次創(chuàng)造性提出“總體國家安全觀”。此后，總體國家安全觀的理論內(nèi)涵不斷豐富與拓展，構(gòu)成我國新時代開展國家安全治理、構(gòu)建新安全格局的根本遵循與行動指南。黨的二十大報告首次將“國家安全”以專章單列的形式予以全面、系統(tǒng)闡釋，強調(diào)“必須堅定不移貫徹總體國家安全觀，把維護國家安全貫穿黨和國家工作各方面全過程”，并凸顯強化數(shù)據(jù)安全保障體系建設(shè)之于維護國家安全的重要作用。鑒于跨境數(shù)據(jù)流動在實踐過程中顯現(xiàn)出的多重風險和多元挑戰(zhàn)，加強跨境數(shù)據(jù)流動安全治理成為我國在數(shù)據(jù)安全領(lǐng)域貫徹總體國家安全觀的必然要求。

本研究將堅持總體國家安全觀和跨境數(shù)據(jù)流動安全治理協(xié)調(diào)共生作為切入點，擬主要探究的問題有三：第一，從必然的角度出發(fā)，為什么要從總體國家安全觀的視角下探究跨境數(shù)據(jù)流動安全治理，二者具有怎樣的內(nèi)在聯(lián)系？第二，從實然的角度出發(fā)，我國跨境數(shù)據(jù)流動安全治理面臨哪些現(xiàn)實困境？第三，從應然的角度出發(fā)，以總體國家安全觀為指導，我國在新時代加強跨境數(shù)據(jù)流動安全治理應當采用何種策略？

2 研究回顧與概念厘定

2.1 研究回顧

自20世紀七八十年代以來，在全球化和信息化浪潮的雙重推動下，于實踐中衍生而來的跨境數(shù)據(jù)流動理論研究開始興起。加拿大學者W.E.坎迪夫（W.E.Cundiff）于1979年即指明跨境數(shù)據(jù)流動存在侵蝕國家邊界、沖擊社會權(quán)力場所的風險[2]。我國跨境數(shù)據(jù)流動研究始于20世紀90年代末，代表性學者如程衛(wèi)東較早對跨境數(shù)據(jù)流動監(jiān)管的必要性[3]和策略[4]予以深入探討。21世紀以來，跨境數(shù)據(jù)流動對國家安全和個人隱私造成的影響不斷趨向復雜，助推跨境數(shù)據(jù)流動安全治理的研究范疇日漸拓寬?？缇硵?shù)據(jù)流動安全治理的核心意蘊大體經(jīng)歷了從過去聚焦技術(shù)、個人隱私保護到當下綜合關(guān)注國家安全、數(shù)據(jù)主權(quán)和經(jīng)濟要素[5]以及利益沖突、數(shù)據(jù)監(jiān)管[6]等問題的范式嬗變。縱觀已有研究成果，可以歸納為如下方面。

第一，跨境數(shù)據(jù)流動安全治理的現(xiàn)實動因?；诟鲊鴶?shù)據(jù)安全治理能力的不對稱及其面臨的“數(shù)據(jù)霸權(quán)主義”威脅等因素，“數(shù)據(jù)主權(quán)和數(shù)據(jù)的跨境流動”[7]被明確為全球數(shù)據(jù)安全治理的重點領(lǐng)域之一，部分學者據(jù)此重點探討了“國家數(shù)據(jù)主權(quán)與本地存儲要求”[8]的國際治理規(guī)則分歧，并從數(shù)據(jù)入境、出境的視角深入分析了國家數(shù)據(jù)主權(quán)存在的安全風險[9]。具體而言，跨境數(shù)據(jù)流動容易造成國家關(guān)鍵領(lǐng)域安全[10]、企業(yè)經(jīng)濟利益損失與商業(yè)秘密竊取[11]、國外非法訪問與黑客攻擊[12]、個人隱私泄露等多層次安全風險，構(gòu)成各國從隱私和數(shù)據(jù)保護、國家安全、政治性限制、基于道德的互聯(lián)網(wǎng)限制、商業(yè)性限制等[13]方面入手，加強跨境數(shù)據(jù)流動安全治理的現(xiàn)實原因。

第二，跨境數(shù)據(jù)流動安全治理的規(guī)制范式。當前，全球跨境數(shù)據(jù)流動規(guī)制體系不斷碎片化、陣營化，主要國家和地區(qū)的跨境數(shù)據(jù)流動治理規(guī)則“源殊派異”的矛盾樣態(tài)凸顯。大體概括為：（1）美國以“數(shù)據(jù)自由論”為核心范式[14]，強調(diào)自身在全球話語權(quán)中的主導地位，謀求全球數(shù)據(jù)向其自由流動；（2）歐盟以“數(shù)據(jù)主權(quán)論”為核心范式，積極創(chuàng)設(shè)引導數(shù)據(jù)在歐盟內(nèi)自由安全流動的法律環(huán)境[15]；（3）中國強調(diào)以“兼顧發(fā)展與安全”為核心范式，其立法總體傾向于歐盟模式以“防止數(shù)據(jù)過度出口”[16]；（4）印度、越南、俄羅斯等部分發(fā)展中國家[17]以“嚴格管控”為核心范式，推行數(shù)據(jù)本地化或限制數(shù)據(jù)跨境流動的政策。

第三，跨境數(shù)據(jù)流動安全治理的中國因應。雖然跨境數(shù)據(jù)流動的共識性規(guī)則尚未在國際層面統(tǒng)一確立[18]，但歐盟《通用數(shù)據(jù)保護條例》（General Data Protection Regulation, GDPR）[19]、《服務貿(mào)易總協(xié)定》（General Agreement on Trade in Services, GATS）[20]、《全面與進步跨太平洋伙伴關(guān)系協(xié)定》（Comprehensive and Progressive Agreement for Trans-Pacific Partnership, CPTPP）[21]等國際法治規(guī)則的充分供給能為彌補我國跨境數(shù)據(jù)流動的立法不足[22]、構(gòu)建跨境數(shù)據(jù)流動規(guī)制框架[23]提供參照。部分學者提出我國應堅持數(shù)據(jù)安全流動為先的基本立場[24]，深刻反思歐美跨境數(shù)據(jù)流動博弈過程中反映出的規(guī)則矛盾[25]。聚焦于數(shù)據(jù)自由與安全流動“雙原則模式”的權(quán)衡[26]，諸多學者深入探究了我國加強跨境數(shù)據(jù)流動安全治理的策略，如消除國際跨境數(shù)據(jù)流動法律壁壘[27]、推進安全評估和行業(yè)自律制度建設(shè)[28]、通過打破歐美主導格局加快形成數(shù)據(jù)安全治理的中國方案[29]等。

客觀而言，已有研究為跨境數(shù)據(jù)流動安全治理提供了較為扎實的基礎(chǔ)，對我國跨境數(shù)據(jù)流動面臨的國際博弈、權(quán)力沖突與現(xiàn)實挑戰(zhàn)予以充分觀照。雖然已有學者在總體國家安全觀視角下深入研究了我國企業(yè)跨境數(shù)據(jù)合規(guī)治理的路徑[30]，但多數(shù)研究仍需從總體國家安全觀的高度探究跨境數(shù)據(jù)流動安全治理和國家安全風險防范二者耦合的內(nèi)生邏輯與行動方案，助力我國深化非傳統(tǒng)安全研究、落實總體國家安全實踐[31]?；诖?，本文旨在重點分析我國跨境數(shù)據(jù)流動安全治理的現(xiàn)實困境，并以總體國家安全觀為方法論指導提出因應策略。

2.2 概念厘定

本文所言“跨境數(shù)據(jù)流動”意指“基于特定渠道將數(shù)據(jù)跨越主權(quán)國家邊界，傳輸至其他地區(qū)進行處理、存儲或再傳輸?shù)男袨椤?。借鑒學界根據(jù)治理結(jié)構(gòu)對“數(shù)據(jù)安全治理”的內(nèi)涵進行二元界分的做法[32]，本文認為宏觀意義上的“跨境數(shù)據(jù)流動安全治理”是指國家依據(jù)頂層數(shù)據(jù)安全戰(zhàn)略，通過采取法律、政策、監(jiān)管、技術(shù)等一系列措施，協(xié)調(diào)行業(yè)、社會組織、科研機構(gòu)、個人等多元利益相關(guān)方協(xié)作開展的一系列治理活動集合，以最大程度地防范跨境數(shù)據(jù)流動安全風險、保障其在安全可控的條件下依法有序流動；微觀意義上的這一概念側(cè)重指稱特定行業(yè)、企業(yè)的數(shù)據(jù)處理者在“場景化安全”導向下開展的數(shù)據(jù)跨境流動管理及具體制度實施活動，即出于自身業(yè)務需求實現(xiàn)“內(nèi)部自治”。緣于在總體國家安全觀視角下探究跨境數(shù)據(jù)流動安全治理，因此本文遵循宏觀意義上的概念認知。

3 總體國家安全觀和跨境數(shù)據(jù)流動安全治理之間的關(guān)系

3.1 總體國家安全觀為跨境數(shù)據(jù)流動安全治理提供了目標遵循

總體國家安全觀雖并未將“數(shù)據(jù)安全”作為某一專指性概念而明確提出，但“信息安全”是總體國家安全觀的非傳統(tǒng)安全要素之一，因此可以將“數(shù)據(jù)安全”理解為其概念體系中的一個派生要素。作此判斷的依據(jù)在于，“數(shù)據(jù)的雙層結(jié)構(gòu)”理論以“數(shù)據(jù)是信息的載體，信息是數(shù)據(jù)的內(nèi)容”為核心要素[33]，這奠定了廓清數(shù)據(jù)安全與信息安全之間緊密關(guān)聯(lián)的先決條件；亦如學者指出，在大數(shù)據(jù)時代，信息安全問題更多地被轉(zhuǎn)化為數(shù)據(jù)安全問題[34]。因此，由“信息安全”衍生而來的“數(shù)據(jù)安全”是總體國家安全觀的重要組成部分，囊括了數(shù)字經(jīng)濟全球化時代強調(diào)跨境數(shù)據(jù)流動安全的核心要義，有必要以總體國家安全觀為遵循，運用全局性思維識別研判、防范化解跨境數(shù)據(jù)流動過程中的各種風險要素，維護國家安全、國民安全、國際安全等的辯證統(tǒng)一。

3.2 加強跨境數(shù)據(jù)流動安全治理是貫徹總體國家安全觀的應有之義

《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》）明確規(guī)定，“維護數(shù)據(jù)安全，應當堅持總體國家安全觀”，為我國在新時代加強數(shù)據(jù)安全治理指明了法律依據(jù)?？缇硵?shù)據(jù)流動并非一個孤立領(lǐng)域，其在實踐過程中引發(fā)的國家（數(shù)據(jù)）主權(quán)、社會利益、個人信息等安全風險通?！盃恳话l(fā)而動全身”。因此，考慮到跨境數(shù)據(jù)流動安全治理是微觀層面數(shù)據(jù)安全治理的關(guān)鍵內(nèi)容，因此理應將其置于貫徹總體國家安全觀的宏觀視域下予以考察。規(guī)避跨境數(shù)據(jù)流動安全風險由特定地域、特定場景的“局部性”風險逐步疊加擴散為威脅國家安全的“全局性”風險，維持跨境數(shù)據(jù)有序流動與維護國家安全之間的合理性張力，是在總體國家安全觀下加強跨境數(shù)據(jù)流動安全治理的內(nèi)在要求。

4 我國跨境數(shù)據(jù)流動安全治理面臨的現(xiàn)實困境

在大國間博弈持續(xù)加劇的背景下，對我國當前跨境數(shù)據(jù)流動實踐加以審視并同國際情況加以對照，能夠發(fā)現(xiàn)我國在跨境數(shù)據(jù)流動安全治理方面存在諸多現(xiàn)實困境。

4.1 多法并軌：跨境數(shù)據(jù)流動規(guī)制依據(jù)尚需聚焦、協(xié)調(diào)

以《中華人民共和國國家安全法》（以下簡稱《國家安全法》）的公布實施為肇始，我國首次在國家立法層面強調(diào)“重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)的安全可控”之于維護國家主權(quán)、安全和發(fā)展利益的關(guān)鍵作用。此后，我國先后頒布了《中華人民共和國反恐怖主義法》《數(shù)據(jù)安全法》《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）《中華人民共和國海南自由貿(mào)易港法》《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）等法律法規(guī)，逐漸形成支撐跨境數(shù)據(jù)流動合規(guī)治理的法律架構(gòu)。然而，作為數(shù)據(jù)安全治理的后發(fā)國家，我國在跨境數(shù)據(jù)流動法律規(guī)制方面仍存在一些完善空間。

（1）關(guān)鍵性立法規(guī)制視角尚需延展?，F(xiàn)行立法以《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》《個人信息保護法》等基礎(chǔ)性法律指明的跨境數(shù)據(jù)流動總則性依據(jù)為主，其他依據(jù)則主要散見于部門規(guī)章和規(guī)范性文件，效力層階相對較低。雖然我國已于2022年7月發(fā)布了《數(shù)據(jù)出境安全評估辦法》（國家互聯(lián)網(wǎng)信息辦公室令第11號），具體明確了數(shù)據(jù)出境安全評估和風險自評估等規(guī)定，但其規(guī)制視角仍需從“事前評估”向“全程管控”延伸。在文物出境領(lǐng)域，我國文化部曾頒布施行《文物出境審核標準》（文物博發(fā)〔2007〕30號）和《文物進出境審核管理辦法》（文化部令第42號），為指導文物出境鑒定和審批工作提供了專門依據(jù)支撐。在橫向?qū)φ罩?，延展跨境?shù)據(jù)流動安全立法全流程規(guī)制視角，統(tǒng)籌數(shù)據(jù)出境入境雙向監(jiān)管并重是今后加強跨境數(shù)據(jù)流動安全治理的應有之義。

（2）部分配套規(guī)則出臺緩慢、有待加快建立。一方面，我國早自2017年起就聚焦跨境數(shù)據(jù)流動安全治理相繼發(fā)布了多項征求意見稿，但《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》《個人信息出境安全評估辦法（征求意見稿）》等遲遲沒有正式頒布實施。另一方面，國家互聯(lián)網(wǎng)信息辦公室（以下簡稱國家互聯(lián)網(wǎng)信息辦）雖已根據(jù)《數(shù)據(jù)出境安全評估辦法》《個人信息出境標準合同辦法》配套發(fā)布《數(shù)據(jù)出境安全評估申報指南（第一版）》《個人信息出境標準合同備案指南（第一版）》等相關(guān)實施細則，但《數(shù)據(jù)安全法》所明確的我國實行數(shù)據(jù)安全檢測評估認證、分級分類保護、國家核心數(shù)據(jù)管理等制度在跨境數(shù)據(jù)流動安全治理場景下的具體落地尚需持續(xù)探索。此外，我國對于工業(yè)和信息化領(lǐng)域、汽車以及銀保監(jiān)會監(jiān)管等重要數(shù)據(jù)的出境行為已有所規(guī)制，但自然資源、能源、衛(wèi)生健康等其他行業(yè)領(lǐng)域的規(guī)制依據(jù)較為欠缺，重要行業(yè)數(shù)據(jù)出境法律規(guī)制建設(shè)尚需從“單點突破”加快向“多點迸發(fā)”轉(zhuǎn)變。

（3）同相關(guān)法律規(guī)制的協(xié)調(diào)機制欠缺。當前，我國跨境數(shù)據(jù)流動相關(guān)法律規(guī)定在管轄范圍、執(zhí)法權(quán)力、行政程序等方面存有一定重疊、缺失與矛盾，為跨境數(shù)據(jù)流動實踐帶來不可估量的合規(guī)風險[35]。以檔案領(lǐng)域為例，《檔案行政許可程序規(guī)定》（國家檔案局令第7號）明確要求檔案行政管理部門受理檔案出境審批申請并在20日內(nèi)作出行政許可決定，而《數(shù)據(jù)出境安全評估辦法》則規(guī)定“國家網(wǎng)信部門受理申報后，根據(jù)申報情況組織國務院有關(guān)部門、省級網(wǎng)信部門、專門機構(gòu)等進行評估”。由此，經(jīng)過鑒定程序的檔案作為對國家和社會具有長久保存價值的數(shù)據(jù)[36]，是否屬于數(shù)據(jù)出境相關(guān)法律法規(guī)中“重要數(shù)據(jù)”的概念范疇，是否應當遵從數(shù)據(jù)領(lǐng)域相關(guān)規(guī)定進行出境安全風險評估，是否需要網(wǎng)信主管部門協(xié)同參與出境審批等。此類問題皆不明確。建立介于不同領(lǐng)域之間的法律協(xié)調(diào)機制是推進跨境數(shù)據(jù)流動依法合規(guī)治理亟待解決的問題。

4.2 監(jiān)管離散：跨境數(shù)據(jù)流動監(jiān)管多頭分散、全局統(tǒng)籌不佳

（1）跨境數(shù)據(jù)流動的戰(zhàn)略先行意識不強，缺乏頂層設(shè)計和系統(tǒng)規(guī)劃。具體而言，我國跨境數(shù)據(jù)流動安全監(jiān)管，尚需深度融入網(wǎng)絡(luò)強國、數(shù)字中國建設(shè)等重大戰(zhàn)略布局，進一步發(fā)揮其對于維護國家主權(quán)、安全與發(fā)展利益的戰(zhàn)略性基礎(chǔ)作用。比如，《促進大數(shù)據(jù)發(fā)展行動綱要》（國發(fā)〔2015〕50號）明確肯定了數(shù)據(jù)資源的潛在價值對“增強網(wǎng)絡(luò)空間數(shù)據(jù)主權(quán)保護能力，維護國家安全”的重要作用，但我國實質(zhì)上并未對跨境數(shù)據(jù)流動安全治理進行頂層設(shè)計和整體規(guī)劃。

（2）跨境數(shù)據(jù)流動監(jiān)管主體相對分散、責任邊界尚不明晰，多元主體協(xié)同治理模式有待構(gòu)建。在國家層面，國家互聯(lián)網(wǎng)信息辦、公安部、工業(yè)和信息化部、國家發(fā)展和改革委員會（以下簡稱國家發(fā)展改革委 ）、商務部等是當前我國數(shù)據(jù)管理和網(wǎng)絡(luò)安全工作的核心責任主體；在行業(yè)層面，則表現(xiàn)為金融、保險、交通、個人健康等特殊類型的重要數(shù)據(jù)安全管理由中國人民銀行、中國銀行保險監(jiān)督管理委員會、交通部、國家衛(wèi)生健康委員會等各行業(yè)主管部門“分而治之”。上述部門在履行相應職責的過程中通常同時牽涉不同司局或不同層級的單位，面臨跨境數(shù)據(jù)流動安全治理權(quán)責協(xié)調(diào)不佳的桎梏。2023年，黨的二十屆二中全會通過了《黨和國家機構(gòu)改革方案》，明確指出組建由國家發(fā)展改革委管理的國家數(shù)據(jù)局，具體承擔“協(xié)調(diào)推進數(shù)據(jù)基礎(chǔ)制度建設(shè)”職責，奠定了下好全國“數(shù)據(jù)一盤棋”的體制基礎(chǔ)。新組建的國家數(shù)據(jù)局的職能設(shè)計呈現(xiàn)出鮮明的基礎(chǔ)性和宏觀性特征，并不涉及數(shù)據(jù)安全監(jiān)管和特定行業(yè)領(lǐng)域數(shù)據(jù)治理等微觀事項[37]，而國家互聯(lián)網(wǎng)信息辦原本承擔的統(tǒng)籌推進信息化發(fā)展和網(wǎng)絡(luò)數(shù)據(jù)安全監(jiān)管的主要職責也未發(fā)生改變[38]，這在一定程度上為進一步厘清跨境數(shù)據(jù)流動安全治理主體的權(quán)責邊界、探索多元主體協(xié)同機制構(gòu)建提供了契機。

（3）跨境數(shù)據(jù)流動監(jiān)管流程不完整、不順暢，未形成監(jiān)管閉環(huán)?；趯σ延蟹梢?guī)則與行為實踐的分析，我國跨境數(shù)據(jù)流動監(jiān)管呈現(xiàn)出“重前端、輕后端”的特征，重點關(guān)注數(shù)據(jù)出境前的安全評估和出境風險的事前預防，但對數(shù)據(jù)境外存儲、數(shù)據(jù)出境后的風險防控與合規(guī)管控、第三國中轉(zhuǎn)傳輸、數(shù)據(jù)復進境等具體要求關(guān)注相對欠缺，構(gòu)建“事前——事中——事后”全鏈條閉環(huán)監(jiān)管模式是我國在未來開展跨境數(shù)據(jù)流動合規(guī)治理的重要走向。

4.3 風險復雜：跨境數(shù)據(jù)流動隱蔽性強、風險應對困難

（1）被動出境識別困難是跨境數(shù)據(jù)流動隱蔽性強的重要表現(xiàn)。數(shù)據(jù)被動出境是相對于主動出境的一種重要形式，在大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)、5G等技術(shù)快速發(fā)展的背景下，數(shù)據(jù)被動出境更難以察覺，其行為動因來源于“不能預見、不能避免并不能克服的客觀情況”[35]，通常情形是數(shù)據(jù)控制主體難以應對境外網(wǎng)絡(luò)攻擊、惡意爬蟲技術(shù)侵入數(shù)字平臺或數(shù)據(jù)庫系統(tǒng)等，構(gòu)成我國跨境數(shù)據(jù)流動安全治理面臨的外部風險挑戰(zhàn)之一。比如，2022年，國家計算機病毒應急處理中心在西北工業(yè)大學遭遇美國國家安全局（National Security Agency, NSA）網(wǎng)絡(luò)攻擊事件的調(diào)查報告中指出，NSA下設(shè)的“特定入侵行動辦公室”（Office of Tailored Access Operation, TAO）近年來對我國開展惡意網(wǎng)絡(luò)攻擊高達上萬次，通過控制各類網(wǎng)絡(luò)設(shè)備先后竊取了超過140GB的高價值數(shù)據(jù)，對我國國家安全和數(shù)據(jù)主權(quán)造成了嚴重侵害[39]。

（2）跨境數(shù)據(jù)流動安全風險的精確識別與應對處置能力相對較弱。概而言之，非法竊取、惡意篡改、數(shù)據(jù)泄露等是跨境數(shù)據(jù)流動過程中容易出現(xiàn)的安全風險，直接關(guān)系到國家總體安全與公民隱私安全?？缇硵?shù)據(jù)流動安全風險識別與應對處置，不能僅僅依靠法律規(guī)制發(fā)揮作用，更有賴于借助先進技術(shù)和網(wǎng)絡(luò)安全防護措施開展跨境數(shù)據(jù)分級分類監(jiān)管，充分應對持續(xù)升級、復雜多變的數(shù)據(jù)出境安全風險。然而，囿于數(shù)據(jù)加密、數(shù)據(jù)脫敏、數(shù)據(jù)安全訪問與控制等技術(shù)在安全防護能力方面呈現(xiàn)出“單點性”狀態(tài)，尤其是重要數(shù)據(jù)分類分級與屬性識別、跨境數(shù)據(jù)流動監(jiān)測預警技術(shù)在我國尚不成熟，并未在跨境數(shù)據(jù)流動監(jiān)管實踐中得以普遍推廣，因此難以應對復雜化場景下數(shù)據(jù)出境潛在的突發(fā)性、隱蔽性和傳遞性風險。

4.4 管轄沖突：跨境數(shù)據(jù)流動國際規(guī)則話語權(quán)有待提升

（1）我國跨境數(shù)據(jù)流動治理理念、法律規(guī)制、政策導向等與國際規(guī)則的不互恰性突出構(gòu)成了引發(fā)跨境數(shù)據(jù)流動安全風險的重要因素之一，尤其是在應對國外“長臂管轄”方面的能力相對薄弱。與歐盟、美國相比，我國在跨境數(shù)據(jù)流動與境外數(shù)據(jù)調(diào)取中相對處于劣勢與被動地位。依據(jù)“充分性認定”規(guī)則，歐盟將具有同等個人數(shù)據(jù)保護水平的14個國家和地區(qū)納入數(shù)據(jù)跨境自由流動“白名單”（即等同于歐盟內(nèi)部的數(shù)據(jù)傳輸），但并不包含中國[40]；美國出臺《澄清域外合法使用數(shù)據(jù)法案》（Clarifying Lawful Overseas Use of Data Act, CLOUD Act），通過“數(shù)據(jù)控制者”原則賦權(quán)本國執(zhí)法機構(gòu)“正當”調(diào)取海外數(shù)據(jù)，這種“長臂管轄”式的跨境數(shù)據(jù)流動管制形式對我國維護國家安全和數(shù)據(jù)主權(quán)、拓展數(shù)字經(jīng)濟發(fā)展的國際空間造成嚴重影響與沖擊。

（2）我國數(shù)字經(jīng)濟實力的領(lǐng)先地位和相對優(yōu)勢同國際跨境數(shù)據(jù)流動規(guī)則制定的話語權(quán)適配度不高。近年來，我國數(shù)字經(jīng)濟發(fā)展規(guī)模增長強勁，實現(xiàn)了從27.2萬億元（2017年）到50.2萬億元（2022年）的快速攀升，總量連續(xù)多年穩(wěn)居世界第2[41]。在數(shù)字經(jīng)濟快速發(fā)展的連帶效應之下，我國跨境數(shù)據(jù)流動需求持續(xù)提升、參與國際規(guī)則制定的現(xiàn)實訴求不斷增長。然而，部分西方國家在保護本國核心和關(guān)鍵領(lǐng)域數(shù)據(jù)主權(quán)的同時，意欲聯(lián)合基于共同利益的合作伙伴打壓、遏制中國等新興經(jīng)濟體，搶占跨境數(shù)據(jù)流動國際規(guī)則制定的主導權(quán)，如通過濫施“長臂管轄”和“雙重標準”推行數(shù)據(jù)霸權(quán)主義，采取單邊“強制域外取證”[42]措施嚴重侵害他國司法、數(shù)據(jù)主權(quán)和合法權(quán)益。根據(jù)國務院發(fā)展研究中心2020年出版的《跨境數(shù)據(jù)流動：戰(zhàn)略與政策》，我國在過去一段時間內(nèi)并“未主動參與雙邊、多邊及區(qū)域框架下的國際合作”[43]107。相對而言，我國難以深度融入以西方為主導的跨境數(shù)據(jù)流動安全治理體系，在提升跨境數(shù)據(jù)流動國際規(guī)則制定的影響力與話語權(quán)方面任重而道遠。

5 總體國家安全觀下跨境數(shù)據(jù)流動安全治理策略

在總體國家安全觀的戰(zhàn)略導向下，我國應從治理思維、主體、方式和空間等維度入手強化跨境數(shù)據(jù)流動安全治理，防范化解由跨境數(shù)據(jù)無序流動引發(fā)的非傳統(tǒng)安全風險，助推國家安全體系和能力現(xiàn)代化。

5.1 堅持底線安全觀，完善跨境數(shù)據(jù)流動法律規(guī)制體系

底線安全觀，深刻彰顯了堅持底線思維之于貫徹總體國家安全觀的底層方法論邏輯，其核心要求在于正確認識國家安全面臨的復雜嚴峻形勢，通過深化底線思維運用，科學研判、精準防范各種國家安全風險。我國需明晰跨境數(shù)據(jù)流動立法對于全方位守牢國家安全、公共安全和個人隱私安全底線的重要作用，逐步建立健全一套結(jié)構(gòu)完備、內(nèi)容精細、邏輯自洽的跨境數(shù)據(jù)流動法律規(guī)制體系。

（1）加快關(guān)鍵領(lǐng)域立法，促進現(xiàn)行法律規(guī)制走向雙向兼顧。除《數(shù)據(jù)安全法》《個人信息保護法》等基礎(chǔ)性法律外，我國當前在行政法規(guī)、部門規(guī)章層次并未正式出臺跨境數(shù)據(jù)流動直接相關(guān)的專門規(guī)定。國家立法部門可以著眼于維護國家安全和數(shù)據(jù)主權(quán)的高度，加快完善跨境數(shù)據(jù)流動法律法規(guī)體系。比如，可參考文物領(lǐng)域的《文物進出境審核管理辦法》，推進制定《個人信息和重要數(shù)據(jù)進出境管理辦法》，其內(nèi)容應當包括但不限于：管理機構(gòu)（人員）及職責、出境審核程序和標準、臨時出境數(shù)據(jù)復進境、違法出境責任追究等，努力規(guī)避因現(xiàn)行法律規(guī)則對“跨境數(shù)據(jù)流動”行為規(guī)范不足而可能引發(fā)的數(shù)據(jù)安全風險。

（2）聚焦特殊敏感數(shù)據(jù)，促進現(xiàn)行法律規(guī)制走向具體精細。國外跨境數(shù)據(jù)流動專項立法起步相對較早，其立法理念呈現(xiàn)出鮮明的“小切口”和“精細化”特征，重點對涉及國家安全、健康醫(yī)療、金融信息等特殊敏感數(shù)據(jù)進行了充分觀照。比如，韓國在2014年頒布《空間數(shù)據(jù)的建立和管理法案》（Act on the Establishment and Management of Spatial Data），明確規(guī)定“禁止將地圖數(shù)據(jù)存儲在國外”[44]；澳大利亞《2012年個人健康檔案法案》（My Health Records Act 2012）規(guī)定，系統(tǒng)運營商、注冊存儲庫運營商等不得在澳大利亞境外保存、處理或獲取個人健康檔案及相關(guān)信息[45]。由此，借鑒國際立法實踐，我國應以總體國家安全觀為指導，統(tǒng)籌“國家安全”和“國民安全”并重，逐步實現(xiàn)跨境數(shù)據(jù)流動國家立法的精細化。

（3）強調(diào)立法可操作性，促進現(xiàn)行法律規(guī)則走向完備自洽。一是宜加快《個人信息出境安全評估辦法》《個人信息和重要數(shù)據(jù)出境安全評估辦法》和國家標準《信息安全技術(shù) 數(shù)據(jù)出境安全評估指南》出臺，明確并細化不同行業(yè)領(lǐng)域重要敏感數(shù)據(jù)出境安全評估的內(nèi)容與流程；二是依托于標準化主管部門和規(guī)模宏大、運營成熟的跨境企業(yè)，加快推進電子商務、金融、航空等行業(yè)級跨境數(shù)據(jù)流動安全管理相關(guān)標準制訂[46]，推動跨境數(shù)據(jù)流動法律法規(guī)與標準建設(shè)統(tǒng)籌并進；三是加強與相關(guān)法律規(guī)制的協(xié)調(diào)銜接，如以《數(shù)據(jù)安全法》為遵循，由國家網(wǎng)信部門會同有關(guān)部門適時制定關(guān)鍵信息基礎(chǔ)設(shè)施運營者之外的重要數(shù)據(jù)出境風險評估與監(jiān)管制度。

5.2 秉持共同安全觀，統(tǒng)籌推進跨境數(shù)據(jù)流動安全監(jiān)管

“共同安全觀”作為總體國家安全觀的微觀組成，旨在引導不同領(lǐng)域、不同部門的行為主體秉持“大安全”和協(xié)同治理理念，加強國家安全工作全局性謀劃與一體化推進，探求國家安全命運共同體建構(gòu)。《數(shù)據(jù)安全法》以堅持總體國家安全觀為立法導向，強調(diào)“建立健全數(shù)據(jù)安全治理體系”，為多主體協(xié)同參與跨境數(shù)據(jù)流動安全監(jiān)管、聚焦本源性問題提升數(shù)據(jù)安全治理效能提供了法律遵循。

（1）堅持統(tǒng)分結(jié)合，構(gòu)建多元主體協(xié)同參與的管理體制?！秶野踩ā访鞔_規(guī)定，“中央國家安全領(lǐng)導機構(gòu)實行統(tǒng)分結(jié)合、協(xié)調(diào)高效的國家安全制度與工作機制”，并分別提出構(gòu)建“跨部門會商工作機制”和“國家安全協(xié)同聯(lián)動機制”，為我國構(gòu)建跨境數(shù)據(jù)流動安全監(jiān)管機制提供了法律依據(jù)。在組建國家數(shù)據(jù)局的統(tǒng)一部署之下，我國應加快探索形成跨境數(shù)據(jù)流動安全治理“宏觀發(fā)展——安全監(jiān)管——具體領(lǐng)域”[37]的三元協(xié)同格局，整合國家網(wǎng)信主管部門、安全部門、公安部門、行業(yè)組織、教育科研機構(gòu)、相關(guān)專業(yè)機構(gòu)等多元主體的力量優(yōu)勢參與跨境數(shù)據(jù)流動安全治理與風險管控，可以適當賦予網(wǎng)絡(luò)空間安全協(xié)會等行業(yè)組織承擔一定的跨境數(shù)據(jù)流動安全風險審查職責[47]，助推政府監(jiān)管、社會監(jiān)督、行業(yè)自律深度融合。

（2）加強試點推廣，探索重點領(lǐng)域安全治理的先行方案。我國應聚焦特定地域，總結(jié)跨境數(shù)據(jù)流動試點工作的先行經(jīng)驗并在全國范圍和重點行業(yè)領(lǐng)域進行宣傳推廣。比如，四川省大數(shù)據(jù)中心、重慶市大數(shù)據(jù)應用發(fā)展管理局簽署大數(shù)據(jù)協(xié)同發(fā)展合作備忘錄，為我國跨區(qū)域跨境數(shù)據(jù)流動工作試點和安全評估提供了可供參考的“川渝模式”[48]。也可著眼于特定行業(yè)與場景，通過“項目制”試點模式逐步形成可供推廣的跨境數(shù)據(jù)流動安全治理模式。比如，上海已推動特定功能區(qū)國際互聯(lián)網(wǎng)專用通道建設(shè)，將外資金融機構(gòu)作為試點對象，允許其在合規(guī)前提下向境外單位報送內(nèi)部管理、風險控制等相關(guān)數(shù)據(jù)[49]。

5.3 運用整體安全觀，提升跨境數(shù)據(jù)流動風險管控效能

“整體安全觀”是依托系統(tǒng)性思維和方法踐行總體國家安全觀的內(nèi)涵闡釋，倡導以“整體性”作為安全治理的價值導向，從全局性的角度出發(fā)對國家各方面、各領(lǐng)域面臨的安全風險予以精準識別、分析、研判與化解。加強跨境數(shù)據(jù)流動安全風險管控，有賴于秉持整體性安全思維，加強全流程管控、數(shù)據(jù)分級分類、強化技術(shù)保障等多措并舉。

（1）識別關(guān)鍵節(jié)點，開展全流程科學管控。由于跨境數(shù)據(jù)流動安全風險管控是一項需要統(tǒng)籌規(guī)劃、協(xié)同發(fā)力的工作，因此應在遵從相關(guān)法律法規(guī)的基礎(chǔ)上探索構(gòu)建“前端評估——中端執(zhí)行——末端治理”全流程監(jiān)管模式。在前端評估環(huán)節(jié)，網(wǎng)絡(luò)運營者應堅持跨境數(shù)據(jù)流動合法性、必要性和最小化原則，重點根據(jù)《數(shù)據(jù)出境安全評估辦法》《數(shù)據(jù)出境安全評估申報指南（第一版）》《信息安全技術(shù) 數(shù)據(jù)出境安全評估指南（征求意見稿）》等開展數(shù)據(jù)出境安全風險自評估，并向國家網(wǎng)信主管部門和有關(guān)行業(yè)主管部門申報數(shù)據(jù)出境安全評估；在中端執(zhí)行環(huán)節(jié)，網(wǎng)絡(luò)運營者應對數(shù)據(jù)泄露、非法獲取和利用等風險予以嚴格管控和實時保護，確保數(shù)據(jù)處理和傳輸過程安全；在末端治理環(huán)節(jié)，則應加強數(shù)據(jù)出境安全風險的干預處置與溯源追責，必要時重新開展數(shù)據(jù)出境安全風險評估、跨境數(shù)據(jù)流動合規(guī)審計與風險持續(xù)審查等。

（2）注重外部合規(guī)，推進分級分類精準管控。我國應當按照《數(shù)據(jù)安全法》有關(guān)規(guī)定引入數(shù)據(jù)分級分類監(jiān)管制度，在數(shù)據(jù)出境安全風險系統(tǒng)性防控的基礎(chǔ)上開展精準治理，達到“因數(shù)制宜、分類施策”的目標。一方面，分類審視不同行業(yè)領(lǐng)域、不同類型數(shù)據(jù)對維護國家安全、社會穩(wěn)定和個人隱私安全的差異化影響，可將其劃分為核心數(shù)據(jù)、重點數(shù)據(jù)和一般數(shù)據(jù)，并分別采取從嚴管控數(shù)據(jù)出境、滿足條件控制出境、自由出境等措施。另一方面，考慮到跨境數(shù)據(jù)流動受到不同主權(quán)國家和國際組織法律規(guī)則的管轄與約束，我國應立足實際分類構(gòu)建全球重點國家和地區(qū)跨境數(shù)據(jù)流動風險矩陣（如表1[50]），精準確定數(shù)據(jù)跨境重點流向地域的外部合規(guī)策略，最大限度地降低數(shù)據(jù)安全風險和管理成本。

表1 全球重點國家、地區(qū)跨境數(shù)據(jù)流動風險矩陣示例Table 1 Example of the Risk Matrix of Cross-Border Data Flow in Key Countries and Regions in the World

（3）強化技術(shù)保障，提升安全風險防范能力。近年來，以美國為首的西方發(fā)達國家在科技領(lǐng)域?qū)θA的封鎖態(tài)勢愈發(fā)顯著，甚至在網(wǎng)絡(luò)安全領(lǐng)域出臺“分層網(wǎng)絡(luò)威懾”（layered cyber deterrence）戰(zhàn)略直指中國。對此，我國應聚焦跨境數(shù)據(jù)流動安全治理現(xiàn)實需求，加強數(shù)據(jù)安全保護技術(shù)投入、研發(fā)與推廣應用；以產(chǎn)學研用四位一體為導向，積極引導數(shù)據(jù)服務機構(gòu)、高等院校、科研機構(gòu)等圍繞數(shù)據(jù)傳輸安全與區(qū)塊鏈、人工智能、隱私計算、密碼技術(shù)等開展交叉研究；重點加強數(shù)據(jù)分級分類、數(shù)據(jù)加密與脫敏、數(shù)據(jù)流轉(zhuǎn)溯源監(jiān)測等自主創(chuàng)新技術(shù)攻關(guān)，逐步構(gòu)建面向跨境數(shù)據(jù)流動全鏈路的安全風險防控機制，不斷彌補當前數(shù)據(jù)安全技術(shù)防護能力不足、精準性不強的局限。

5.4 踐行國際安全觀，為全球數(shù)據(jù)安全治理貢獻中國方案

總體國家安全觀是對基于“人類命運共同體”理念落實全球安全倡議、構(gòu)建“人類安全共同體”的價值體認。其中，以普遍、平等、包容、合作為核心要義的“國際安全觀”在總體國家安全觀“五大要素”“五對關(guān)系”中處于依托性地位，主張實現(xiàn)國家安全治理空間從傳統(tǒng)的“國家中心”到未來走向“國際一體”的延展與躍遷。我國在積極維護國家安全和數(shù)據(jù)主權(quán)的同時，也要主動謀求國際合作，為促進國際跨境數(shù)據(jù)流動規(guī)則完善和全球數(shù)據(jù)安全治理貢獻中國智慧與力量。

（1）嚴格落實《全球數(shù)據(jù)安全倡議》，持續(xù)傳播跨境數(shù)據(jù)流動安全治理的中國聲音。2020年9月，我國發(fā)布《全球數(shù)據(jù)安全倡議》，倡導“各國反對利用信息技術(shù)破壞他國關(guān)鍵基礎(chǔ)設(shè)施或竊取重要數(shù)據(jù)”“尊重他國主權(quán)、司法管轄權(quán)和對數(shù)據(jù)的安全管理權(quán)”；2023年2月，我國發(fā)布《全球安全倡議概念文件》，將“深化信息安全領(lǐng)域國際合作”作為重點合作方向之一，為促進數(shù)據(jù)跨境安全和自由流動提供了中國方案。以此為契機，我國應充分利用二十國集團、亞太經(jīng)合組織、金磚國家、上海合作組織、東盟等國際和地區(qū)機制，以及“一帶一路”國際合作高峰論壇、世界互聯(lián)網(wǎng)大會等，向世界宣傳闡釋維護全球網(wǎng)絡(luò)空間和數(shù)據(jù)安全的中方主張，呼吁主權(quán)國家和非國家行為體合力推動全球數(shù)據(jù)治理，提升不同法域數(shù)據(jù)保護和傳輸規(guī)則的互操作性，促進全球數(shù)據(jù)安全治理互信共治。

（2）積極加入跨境數(shù)據(jù)流動多邊機制，提升數(shù)據(jù)安全治理的中國話語權(quán)。第一，我國應持續(xù)推進落實《中國——阿拉伯聯(lián)盟數(shù)據(jù)安全合作倡議》《“中國+中亞五國”數(shù)據(jù)安全合作倡議》，積極加入新加坡、智利、新西蘭聯(lián)合發(fā)起的《數(shù)字經(jīng)濟伙伴關(guān)系協(xié)定》（Digital Economy Partnership Agreement,DEPA）、亞太經(jīng)合組織（APEC）的“跨境隱私規(guī)則體系”（Cross-Border Privacy Rules,CBPRs）[51]等雙邊、多邊或區(qū)域性協(xié)定。第二，我國應重點明確開展跨境數(shù)據(jù)流動安全監(jiān)管的國際執(zhí)法協(xié)作框架和條件，構(gòu)建符合國家安全、數(shù)據(jù)主權(quán)和發(fā)展利益的“雙邊——多邊”數(shù)據(jù)跨境執(zhí)法調(diào)取方案，應對、反制國外某些國家對我國施行的“長臂管轄”和“數(shù)據(jù)霸權(quán)”[52]。第三，跨境數(shù)據(jù)流動安全治理不單是理念、政策、規(guī)則的博弈，更牽涉到深層次的話語權(quán)博弈。我國在推進加入跨境數(shù)據(jù)流動多邊規(guī)制的同時，應注重提升自身的話語權(quán)，積極引導利益攸關(guān)方尋求“協(xié)調(diào)、可互操作性的跨境數(shù)據(jù)流動框架”[53]建構(gòu)，努力消除全球跨境數(shù)據(jù)流動領(lǐng)域的叢林法則與零和博弈，避免在數(shù)據(jù)安全治理領(lǐng)域陷入“修昔底德陷阱”。

（3）持續(xù)推動國際規(guī)則建立與完善，促進全球網(wǎng)絡(luò)空間命運共同體建設(shè)。一方面，我國應堅定遵守《聯(lián)合國憲章》確立的主權(quán)平等原則和以國際法為基礎(chǔ)的國際秩序，主動加強與其他主權(quán)國家和國際組織的雙向互動，促進各國政府、國際組織、互聯(lián)網(wǎng)企業(yè)、技術(shù)社群、智庫等主體開展深度合作，推動制定并完善符合各國數(shù)字經(jīng)濟發(fā)展和數(shù)據(jù)安全共同利益的國際規(guī)則。具體而言，可以考慮發(fā)起“數(shù)據(jù)絲綢之路”計劃，適當借鑒GDPR和CBPRs的合理成分，推動構(gòu)建“一帶一路”倡議下的跨境數(shù)據(jù)流動多邊合作規(guī)制[43]96。另一方面，我國亦應深刻領(lǐng)會網(wǎng)絡(luò)空間命運共同體之于人類命運共同體的重要作用，通過秉持以“共商共建共享”為核心要義的全球治理觀和以“構(gòu)建‘人類安全共同體’”為行動取向的國際安全觀，有效防范和化解個人信息和重要數(shù)據(jù)跨境流動安全風險，為建設(shè)一個“更加公正合理的網(wǎng)絡(luò)空間治理體系”和“普遍安全的世界”注入力量。

6 結(jié)語

當前，我國將“統(tǒng)籌發(fā)展與安全的關(guān)系”作為跨境數(shù)據(jù)流動安全治理的出發(fā)點與落腳點，側(cè)重強調(diào)在維護國家安全、數(shù)據(jù)主權(quán)和個人隱私安全的基礎(chǔ)上倡導跨境數(shù)據(jù)安全有序流動。今后，我國應立足于總體國家安全觀，在跨境數(shù)據(jù)流動安全治理實踐中全面貫徹底線安全觀、共同安全觀、整體安全觀和國際安全觀；也要在制定、完善跨境數(shù)據(jù)流動國際規(guī)則的過程中，注重從“適應者”“參與者”向“引領(lǐng)者”“變革者”轉(zhuǎn)變，不斷促進全球數(shù)據(jù)安全治理向更公正、更合理的方向發(fā)展。

作者貢獻說明

徐擁軍：提出研究思路和部分重要觀點，指導論文撰寫與修訂；

王興廣：設(shè)計研究方案，收集資料，提出部分重要觀點，論文撰寫與修訂。