朱 軍

一、數(shù)據(jù)公共性與數(shù)據(jù)安全治理

2021年6月10日第十三屆全國(guó)人大常委會(huì)第二十九次會(huì)議審議通過了《中華人民共和國(guó)數(shù)據(jù)安全法》，這標(biāo)志著我國(guó)數(shù)據(jù)安全保護(hù)與治理領(lǐng)域有了基本的規(guī)范依據(jù)。《數(shù)據(jù)安全法》是對(duì)2019年5月國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布的《數(shù)據(jù)安全管理辦法(征求意見稿)》的全面升級(jí)。較之于前期的《數(shù)據(jù)安全管理辦法》，《數(shù)據(jù)安全法》的規(guī)范層級(jí)更高，規(guī)定的內(nèi)容也更為詳細(xì)，不僅從立法層面對(duì)“數(shù)據(jù)”的概念和范圍等數(shù)據(jù)治理領(lǐng)域的基本理論進(jìn)行了明確界定，同時(shí)重點(diǎn)關(guān)注數(shù)據(jù)安全制度和數(shù)據(jù)安全保護(hù)義務(wù)等數(shù)據(jù)安全治理實(shí)踐中遇到的現(xiàn)實(shí)問題?！稊?shù)據(jù)安全法》通過第55條的規(guī)定，構(gòu)建了當(dāng)下我國(guó)數(shù)據(jù)安全的整體治理體系，其中第三章建立的數(shù)據(jù)安全制度是該法對(duì)數(shù)據(jù)治理體系的重要推進(jìn)，也是對(duì)已有數(shù)據(jù)安全治理的總結(jié)和發(fā)展?！稊?shù)據(jù)安全法》第24條(1)《數(shù)據(jù)安全法》第24條規(guī)定：“國(guó)家建立數(shù)據(jù)安全審查制度，對(duì)影響或者可能影響國(guó)家安全的數(shù)據(jù)處理活動(dòng)進(jìn)行國(guó)家安全審查。依法作出的安全審查決定為最終決定?！标P(guān)于國(guó)家構(gòu)建數(shù)據(jù)安全審查制度的相關(guān)規(guī)定引起了廣泛關(guān)注，不僅是因?yàn)閿?shù)據(jù)安全審查制度本身對(duì)于數(shù)據(jù)保護(hù)而言具有重要意義，更為關(guān)鍵的是審查數(shù)據(jù)無論在難度上還是操作上都有不可控制的一面，對(duì)此有學(xué)者直言：“數(shù)據(jù)安全審查制度并無先例可循，其出臺(tái)應(yīng)慎之又慎”(2)許可：《〈數(shù)據(jù)安全法(草案)〉的三大近憂和兩大遠(yuǎn)慮》，載《界面新聞》2020年7月13日。除此之外，作者還指出與我國(guó)網(wǎng)絡(luò)安全審查和外商投資安全審查的審查對(duì)象不同，數(shù)據(jù)活動(dòng)囊括了數(shù)據(jù)的收集、存儲(chǔ)、加工、使用、提供、交易、公開等各種行為，是普遍化和常態(tài)化的商業(yè)行為，不加區(qū)分地納入國(guó)家審查范圍，必然面臨選擇性執(zhí)法，甚或排擠外國(guó)企業(yè)的質(zhì)疑。不僅如此，數(shù)據(jù)安全審查往往是事后而非事前啟動(dòng)，這將極大破壞經(jīng)濟(jì)活動(dòng)和法律環(huán)境的可預(yù)期性，甚至該制度會(huì)成為西方批評(píng)中國(guó)網(wǎng)絡(luò)立法進(jìn)而反制海外中國(guó)企業(yè)的關(guān)鍵證據(jù)。?？梢姡瑪?shù)據(jù)安全審查制度尚未誕生已然存在諸多爭(zhēng)議。

數(shù)據(jù)安全審查制度的爭(zhēng)議雖由來已久，但《數(shù)據(jù)安全法》之所以將之納入到數(shù)據(jù)安全治理體系中去，還需從數(shù)據(jù)的本質(zhì)屬性層面尋求答案。眾所周知，數(shù)據(jù)安全保護(hù)與治理并不只是我國(guó)網(wǎng)絡(luò)治理面臨的問題，而是世界數(shù)據(jù)治理的共性難題，數(shù)據(jù)安全審查是大多數(shù)國(guó)家采取的必要措施。(3)以美國(guó)為例，2018年8月，美國(guó)總統(tǒng)特朗普簽署《2018 年外國(guó)投資風(fēng)險(xiǎn)審查現(xiàn)代化法》授權(quán)美國(guó)外國(guó)投資委員會(huì)應(yīng)對(duì)敏感個(gè)人數(shù)據(jù)對(duì)國(guó)家安全的威脅，將敏感個(gè)人數(shù)據(jù)的國(guó)家安全風(fēng)險(xiǎn)納入外資安全審查范圍。究其原因，主要就是數(shù)據(jù)本身具有的公共性和公益性。(4)參見韓偉：《安全與自由的平衡——數(shù)據(jù)安全立法宗旨探析》，載《科技與法律》2019年第6期。數(shù)據(jù)的公共屬性因數(shù)據(jù)的種類不同而存在差異。一般而言，數(shù)據(jù)根據(jù)所屬主體的不同可分為政府?dāng)?shù)據(jù)、公共數(shù)據(jù)、企業(yè)數(shù)據(jù)和個(gè)人數(shù)據(jù)等類型。(5)這種分類是存在爭(zhēng)議的，就政府?dāng)?shù)據(jù)而言，《數(shù)據(jù)安全法》中用的是“政務(wù)數(shù)據(jù)”的概念，雖然兩者也存在些許差別。本文認(rèn)為，雖然政府?dāng)?shù)據(jù)有時(shí)候與公共數(shù)據(jù)相混用，但兩者還是存在差別的。廣義的公共數(shù)據(jù)包含政府?dāng)?shù)據(jù)，而狹義的公共數(shù)據(jù)則是指政府以外的公共機(jī)構(gòu)所掌握的與社會(huì)民生和社會(huì)服務(wù)密切相關(guān)的數(shù)據(jù)。參見張楠、孫濤、湯海京：《電子公務(wù)框架下的公共數(shù)據(jù)資源管理》，載《中國(guó)行政管理》2008年第1期；儲(chǔ)節(jié)旺、楊雪：《公共數(shù)據(jù)開放的政府主體責(zé)任研究》，載《現(xiàn)代情報(bào)》2019年第10期等。政府?dāng)?shù)據(jù)與狹義的公共數(shù)據(jù)因?yàn)槠湔莆赵谡畽C(jī)關(guān)和公共機(jī)構(gòu)手中，同時(shí)數(shù)據(jù)內(nèi)容多指向政府管理、社會(huì)服務(wù)等，因而兩者都具有鮮明的公益屬性，表現(xiàn)出鮮明的社會(huì)價(jià)值取向。(6)參見張莉：《數(shù)據(jù)治理與數(shù)據(jù)安全》，人民郵電出版社2019年版，第6頁(yè)。相對(duì)于政府?dāng)?shù)據(jù)和公共數(shù)據(jù)的鮮明特性，企業(yè)數(shù)據(jù)與個(gè)人數(shù)據(jù)的公共屬性則存在爭(zhēng)議。然而，回歸到數(shù)據(jù)的概念上，在大數(shù)據(jù)時(shí)代數(shù)據(jù)自身就天然帶有公共屬性，有學(xué)者直言“數(shù)據(jù)作為天然的公共品服從固有的互惠分享的原理”(7)梅夏英：《在分享和控制之間：數(shù)據(jù)保護(hù)的私法局限和公共秩序構(gòu)建》，載《中外法學(xué)》2019年第4期。，這里的數(shù)據(jù)并不區(qū)分掌握在何種主體手里。就個(gè)人數(shù)據(jù)而言，“在大數(shù)據(jù)時(shí)代也不再只作為一種絕對(duì)的財(cái)產(chǎn)權(quán)或人格權(quán)對(duì)象而出現(xiàn)”(8)孫清白、王建文：《大數(shù)據(jù)時(shí)代個(gè)人信息“公共性”的法律邏輯與法律規(guī)制》，載《行政法學(xué)研究》2018年第3期。，而是具有了“公共性”。企業(yè)數(shù)據(jù)因獲得過程需付出一定的財(cái)力或者勞動(dòng)，從而有別于個(gè)人數(shù)據(jù)，根據(jù)企業(yè)數(shù)據(jù)的開放程度可將之分為不公開數(shù)據(jù)、半公開數(shù)據(jù)和公開數(shù)據(jù)。企業(yè)所搜集的公開數(shù)據(jù)被認(rèn)為是位于公共領(lǐng)域的數(shù)據(jù)，原則上具有公共性；而包含個(gè)人數(shù)據(jù)的企業(yè)數(shù)據(jù)則具有多重屬性，在應(yīng)用時(shí)首先應(yīng)注重個(gè)人權(quán)利的保護(hù)。(9)參見丁曉東：《論企業(yè)數(shù)據(jù)權(quán)益的法律保護(hù)——基于數(shù)據(jù)法律性質(zhì)的分析》，載《法律科學(xué)》2020年第2期。由此可見，企業(yè)數(shù)據(jù)同樣具有公共性，這種公共性根據(jù)數(shù)據(jù)的不同表現(xiàn)形式而有所區(qū)別。從上文討論的內(nèi)容中不難發(fā)現(xiàn)，大數(shù)據(jù)時(shí)代的數(shù)據(jù)治理可謂是牽一發(fā)而動(dòng)全身，各種類型的數(shù)據(jù)都具有相應(yīng)的公共屬性，所以這種普遍意義的數(shù)據(jù)公共性就決定了數(shù)據(jù)安全成為數(shù)據(jù)治理的重要議題。

數(shù)據(jù)具有流動(dòng)性、可重復(fù)利用性以及公共屬性，這些都決定了數(shù)據(jù)安全保障的必要性，同時(shí)也增加了數(shù)據(jù)安全保護(hù)的難度。無論是個(gè)人數(shù)據(jù)濫用帶來個(gè)人隱私的泄露，還是數(shù)據(jù)的跨境流動(dòng)對(duì)數(shù)據(jù)主權(quán)的挑戰(zhàn)，都要求對(duì)數(shù)據(jù)訴諸整體的法律保護(hù)。因此，數(shù)據(jù)的公共性和公益性不僅增加了數(shù)據(jù)安全保護(hù)的難度，也要求對(duì)數(shù)據(jù)安全進(jìn)行必要的審查。大數(shù)據(jù)時(shí)代的數(shù)據(jù)安全治理意義更為突出，尤其是數(shù)據(jù)安全本身直接影響著國(guó)家總體安全和個(gè)人信息安全?；乇芑蛘吆鲆晹?shù)據(jù)安全審查都不利于該制度的良性運(yùn)行，所以從國(guó)家安全治理到數(shù)據(jù)安全治理，都需要把數(shù)據(jù)安全審查制度建立和運(yùn)行的全過程控制在法治框架之內(nèi)。基于此，本文試圖從數(shù)據(jù)安全治理體系的角度切入，分析當(dāng)前數(shù)據(jù)安全審查制度的治理功能和具體表現(xiàn)，同時(shí)從當(dāng)前法律體系的視角對(duì)數(shù)據(jù)安全審查制度的運(yùn)行限度提出合理化建議，以期實(shí)現(xiàn)數(shù)據(jù)安全審查制度運(yùn)行與公民數(shù)據(jù)權(quán)利保障在數(shù)據(jù)安全治理框架內(nèi)達(dá)到平衡。

二、數(shù)據(jù)安全治理體系下數(shù)據(jù)安全審查的制度定位

數(shù)據(jù)安全審查制度并不是孤立存在的，其有效運(yùn)行離不開良好的數(shù)據(jù)治理環(huán)境。將數(shù)據(jù)安全審查制度置于數(shù)據(jù)治理、數(shù)據(jù)安全治理的整體框架下加以思考才能更清楚地觀察和理解該制度所具有的時(shí)代意義和實(shí)踐價(jià)值。因此，數(shù)據(jù)安全治理體系是揭示數(shù)據(jù)安全審查制度的關(guān)鍵所在。

(一)數(shù)據(jù)安全是數(shù)據(jù)治理體系的核心要義之一

關(guān)于數(shù)據(jù)治理的定義和范疇，學(xué)界提出了不同的觀點(diǎn)，也引發(fā)對(duì)數(shù)據(jù)治理的爭(zhēng)論，不過對(duì)于數(shù)據(jù)治理問題的基本共識(shí)已經(jīng)形成。首先，數(shù)據(jù)治理是一種針對(duì)數(shù)據(jù)展開的體系性的實(shí)踐活動(dòng)。也即數(shù)據(jù)治理具有實(shí)踐性和體系性兩重屬性：實(shí)踐性強(qiáng)調(diào)的是數(shù)據(jù)治理主要針對(duì)為了有效運(yùn)用數(shù)據(jù)而制定的一系列標(biāo)準(zhǔn)、步驟和政策的活動(dòng)；體系性則是指數(shù)據(jù)治理是一個(gè)復(fù)雜的過程，主要包括數(shù)據(jù)標(biāo)準(zhǔn)的建立體系、組織數(shù)據(jù)的合理架構(gòu)體系、元數(shù)據(jù)和主數(shù)據(jù)的管理體系、數(shù)據(jù)功能實(shí)現(xiàn)的管理體系等。(10)有學(xué)者指出數(shù)據(jù)治理由元數(shù)據(jù)、主數(shù)據(jù)、數(shù)據(jù)集成、數(shù)據(jù)標(biāo)準(zhǔn)、數(shù)據(jù)質(zhì)量、數(shù)據(jù)認(rèn)責(zé)、數(shù)據(jù)生命周期、數(shù)據(jù)安全等多項(xiàng)內(nèi)容組成。參見陳火全：《大數(shù)據(jù)背景下數(shù)據(jù)治理的網(wǎng)絡(luò)安全策略》，載《宏觀經(jīng)濟(jì)研究》2015年第8期。數(shù)據(jù)安全標(biāo)準(zhǔn)的制定是其實(shí)踐性的重要一環(huán)，同時(shí)也屬于數(shù)據(jù)管理體系的內(nèi)容。其次，數(shù)據(jù)治理的概念層面可以概括為宏觀、中觀、微觀三個(gè)層次。宏觀層面包括概念體系和體系框架；中觀層面包括管理機(jī)制、信息治理計(jì)劃、數(shù)據(jù)質(zhì)量管理等；微觀層面則包括數(shù)據(jù)生命周期的有效管理過程、數(shù)據(jù)質(zhì)量和數(shù)據(jù)可用性的測(cè)評(píng)以及技術(shù)工具應(yīng)用行為等。(11)參見安小米等：《大數(shù)據(jù)治理體系：核心概念、動(dòng)議及其實(shí)現(xiàn)路徑分析》，載《情報(bào)資料工作》2018年第1期。數(shù)據(jù)安全管理屬于中觀層面的數(shù)據(jù)質(zhì)量管理。再次，數(shù)據(jù)治理概念可根據(jù)“數(shù)據(jù)”的地位確定其雙重內(nèi)涵：其一，是依據(jù)數(shù)據(jù)的治理；其二，是對(duì)數(shù)據(jù)的治理。(12)參見張康之：《數(shù)據(jù)治理：認(rèn)識(shí)與建構(gòu)的向度》，載《電子政務(wù)》2018年第1期。前者強(qiáng)調(diào)數(shù)據(jù)為治理提供新的場(chǎng)域，促使治理主體正視數(shù)據(jù)的作用，按照數(shù)據(jù)時(shí)代的特征來治理社會(huì)；后者強(qiáng)調(diào)治理的對(duì)象為數(shù)據(jù)，即針對(duì)數(shù)據(jù)的治理，根據(jù)數(shù)據(jù)的權(quán)屬不同又可以分為不同的數(shù)據(jù)治理模式，如政府?dāng)?shù)據(jù)治理、公共數(shù)據(jù)治理、企業(yè)數(shù)據(jù)治理和個(gè)人數(shù)據(jù)治理等。數(shù)據(jù)安全主要表現(xiàn)為一種針對(duì)數(shù)據(jù)的治理，當(dāng)前安全的數(shù)據(jù)也是數(shù)據(jù)治理的根據(jù)。

從上文關(guān)于數(shù)據(jù)治理體系的討論中我們不難看出數(shù)據(jù)治理體系的復(fù)雜性，也從中可以理解數(shù)據(jù)安全在數(shù)據(jù)治理體系中的地位?？梢哉f，數(shù)據(jù)安全是數(shù)據(jù)治理體系的重要組成部分，有學(xué)者直言：“從技術(shù)角度而言，數(shù)據(jù)治理的關(guān)鍵就是信息系統(tǒng)的安全”(13)參見陳火全：《大數(shù)據(jù)背景下數(shù)據(jù)治理的網(wǎng)絡(luò)安全策略》，載《宏觀經(jīng)濟(jì)研究》2015年第8期。。數(shù)據(jù)安全是數(shù)據(jù)治理體系的核心要義之一，同時(shí)數(shù)據(jù)安全也具有相應(yīng)的獨(dú)立性。數(shù)據(jù)安全治理已經(jīng)成為以政府為主導(dǎo)的多元主體參與的數(shù)據(jù)治理體系的關(guān)鍵內(nèi)容。換言之，數(shù)據(jù)安全治理體系乃是溝通數(shù)據(jù)治理體系和數(shù)據(jù)安全審查的橋梁。

(二)數(shù)據(jù)安全治理體系的框架厘定

對(duì)于安全的討論最早集中于國(guó)家安全、軍事安全、政治安全等傳統(tǒng)安全層面。隨著新技術(shù)的興起，網(wǎng)絡(luò)安全、數(shù)據(jù)安全、基因安全等新問題也與國(guó)家總體安全密切相關(guān)。新時(shí)代的總體國(guó)家安全觀就是將傳統(tǒng)安全問題與新型安全問題相結(jié)合，將原本不屬于國(guó)家安全問題的網(wǎng)絡(luò)安全、數(shù)據(jù)安全納入到國(guó)家安全保障體系中來。(14)參見朱雪忠、代志在：《總體國(guó)家安全觀視域下〈數(shù)據(jù)安全法〉的價(jià)值與體系定位》，載《電子政務(wù)》2020年第8期。在大數(shù)據(jù)時(shí)代，數(shù)據(jù)的公共性凸顯，數(shù)據(jù)同時(shí)也具有了國(guó)家主權(quán)屬性(15)參見韓偉：《安全與自由的平衡——數(shù)據(jù)安全立法宗旨探析》，載《科技與法律》2019年第6期。，數(shù)據(jù)主權(quán)(16)國(guó)家數(shù)據(jù)主權(quán)，指的是一個(gè)國(guó)家對(duì)本國(guó)數(shù)據(jù)享有的最高排他權(quán)利，即獨(dú)立自主占有、處理和管理本國(guó)數(shù)據(jù)并排除他國(guó)和其他組織干預(yù)的國(guó)家最高權(quán)力。參見齊愛民、祝高峰：《論國(guó)家數(shù)據(jù)主權(quán)制度的確立與完善》，載《蘇州大學(xué)學(xué)報(bào)(哲學(xué)社會(huì)科學(xué)版)》2016年第1期。觀念的提出進(jìn)一步彰顯了數(shù)據(jù)安全的重要價(jià)值。

數(shù)據(jù)安全治理首先針對(duì)的是數(shù)據(jù)安全風(fēng)險(xiǎn)，安全風(fēng)險(xiǎn)的存在倒逼數(shù)據(jù)安全治理體系的形成。就國(guó)家而言，數(shù)據(jù)安全風(fēng)險(xiǎn)主要包括美國(guó)數(shù)據(jù)霸權(quán)主義對(duì)我國(guó)國(guó)家利益的侵害、大規(guī)模數(shù)據(jù)跨境流動(dòng)對(duì)國(guó)家安全造成潛在危害、高價(jià)值的敏感數(shù)據(jù)泄露風(fēng)險(xiǎn)提高、重要數(shù)據(jù)安全面臨外來技術(shù)的挑戰(zhàn)、國(guó)家數(shù)據(jù)規(guī)則制定話語權(quán)不足等。(17)參見王偉潔：《我國(guó)數(shù)據(jù)安全風(fēng)險(xiǎn)、治理困境及對(duì)策建議》，載《網(wǎng)絡(luò)安全和信息化》2021年第6期；周若涵：《數(shù)據(jù)安全風(fēng)險(xiǎn)對(duì)國(guó)家安全的挑戰(zhàn)及法律應(yīng)對(duì)》，載《上海法學(xué)研究》2021年第1卷等。國(guó)家面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)在嚴(yán)重性程度上要高于企業(yè)數(shù)據(jù)風(fēng)險(xiǎn)和個(gè)人數(shù)據(jù)風(fēng)險(xiǎn)，是當(dāng)前數(shù)據(jù)安全治理指向的關(guān)鍵問題。除了國(guó)家數(shù)據(jù)安全風(fēng)險(xiǎn)以外，商業(yè)領(lǐng)域的數(shù)據(jù)安全風(fēng)險(xiǎn)主要源于大數(shù)據(jù)蘊(yùn)含的商業(yè)價(jià)值，企業(yè)在進(jìn)行大規(guī)模數(shù)據(jù)交易的過程中往往忽略了數(shù)據(jù)安全風(fēng)險(xiǎn)，而“地下數(shù)據(jù)交易猖獗，數(shù)據(jù)泄露和網(wǎng)絡(luò)攻擊事件頻發(fā)，給個(gè)人隱私保護(hù)、企業(yè)安全生產(chǎn)、經(jīng)濟(jì)社會(huì)發(fā)展乃至國(guó)家安全都可能帶來新的挑戰(zhàn)”(18)《中國(guó)大數(shù)據(jù)，不只“數(shù)據(jù)大”》，載《人民日?qǐng)?bào)(海外版)》2018年7月9日，第1版。。數(shù)據(jù)泄露和數(shù)據(jù)被侵犯危及企業(yè)的數(shù)據(jù)權(quán)利，甚至影響企業(yè)的正常運(yùn)作。個(gè)人數(shù)據(jù)風(fēng)險(xiǎn)主要表現(xiàn)為個(gè)人數(shù)據(jù)被違法收集、個(gè)人行為被非法監(jiān)控、個(gè)人信息被大規(guī)模泄露、個(gè)人隱私權(quán)無法得到有效保護(hù)等。(19)參見張海波：《大數(shù)據(jù)的新興風(fēng)險(xiǎn)與適應(yīng)性治理》，載《探索與爭(zhēng)鳴》2018年第5期。然而，個(gè)人數(shù)據(jù)泄露不僅僅涉及的是單個(gè)人的問題，由于數(shù)據(jù)龐雜，大規(guī)模數(shù)據(jù)泄露可能會(huì)形成數(shù)據(jù)畫像，此時(shí)“海量的經(jīng)濟(jì)、社會(huì)、地理等數(shù)據(jù)，就不再是私權(quán)保護(hù)所能涵攝的，而具有了國(guó)家主權(quán)的屬性”(20)參見韓偉：《安全與自由的平衡——數(shù)據(jù)安全立法宗旨探析》，載《科技與法律》2019年第6期。?？梢?，數(shù)據(jù)安全風(fēng)險(xiǎn)具有系統(tǒng)性，個(gè)人安全風(fēng)險(xiǎn)、企業(yè)安全風(fēng)險(xiǎn)和國(guó)家安全風(fēng)險(xiǎn)是相互交織的，在保護(hù)路徑上也不可能實(shí)現(xiàn)嚴(yán)格的區(qū)分式保障。

個(gè)人、企業(yè)、國(guó)家的數(shù)據(jù)安全都可能遇到難以回避的風(fēng)險(xiǎn)，此時(shí)需要制定體系化的數(shù)據(jù)安全治理網(wǎng)絡(luò)。數(shù)據(jù)安全治理體系的構(gòu)建因視角的不同而存在不同的觀點(diǎn)：從管理的角度看，大數(shù)據(jù)安全體系的構(gòu)建可以從管理體系、技術(shù)體系和運(yùn)營(yíng)體系三個(gè)方面著手；(21)參見呂毅：《主動(dòng)構(gòu)建數(shù)據(jù)安全體系，穩(wěn)步推進(jìn)數(shù)據(jù)安全治理》，載《中國(guó)信息安全》2019年第12期。從精準(zhǔn)化的全過程數(shù)據(jù)安全保障體系的角度出發(fā)，數(shù)據(jù)安全治理體系大致包括大數(shù)據(jù)安全多元共治體系、大數(shù)據(jù)安全科學(xué)預(yù)判體系、大數(shù)據(jù)安全分類處置體系、大數(shù)據(jù)安全動(dòng)態(tài)保障體系等；(22)參見王欣亮、任弢、劉飛：《基于精準(zhǔn)治理的大數(shù)據(jù)安全治理體系創(chuàng)新》，載《中國(guó)行政管理》2019年第12期。從規(guī)范和制度相結(jié)合的方式著手，立法層面需要從國(guó)家安全的高度，以風(fēng)險(xiǎn)管控為中心、以重要數(shù)據(jù)安全為核心構(gòu)建數(shù)據(jù)安全立法體系，同時(shí)以重要數(shù)據(jù)為抓手構(gòu)建國(guó)家數(shù)據(jù)安全管理制度。(23)參見劉金瑞：《數(shù)據(jù)安全范式革新及其立法展開》，載《環(huán)球法律評(píng)論》2021年第1期。上述三種觀點(diǎn)代表著數(shù)據(jù)安全治理體系的宏觀、中觀和微觀三種模式：宏觀體系因缺少具體的制度安排導(dǎo)致數(shù)據(jù)安全治理體系無從著手；中觀層面強(qiáng)調(diào)的是過程性的考量，但規(guī)范意義不足；而微觀層面實(shí)現(xiàn)了規(guī)范與制度的結(jié)合，可資借鑒。因此，本文認(rèn)為數(shù)據(jù)安全治理體系主要包括國(guó)家總體安全視角下的立法體系、以風(fēng)險(xiǎn)管控為中心的數(shù)據(jù)安全保護(hù)體系以及以重要數(shù)據(jù)安全為核心進(jìn)行的具體制度建構(gòu)。

(三)數(shù)據(jù)安全審查制度在數(shù)據(jù)安全治理體系中的地位

數(shù)據(jù)安全治理體系乃是以立法為核心，以風(fēng)險(xiǎn)管控和重要數(shù)據(jù)安全為兩翼的制度安排。其中數(shù)據(jù)安全審查制度在數(shù)據(jù)安全治理體系中處于關(guān)鍵地位，風(fēng)險(xiǎn)管控雖然也是全過程的框架，但數(shù)據(jù)安全審查可謂是風(fēng)險(xiǎn)管控的重要手段。在以重要數(shù)據(jù)安全為核心的國(guó)家數(shù)據(jù)安全管控制度中，數(shù)據(jù)安全審查的作用不容小覷。數(shù)據(jù)安全審查是從網(wǎng)絡(luò)安全審查制度中發(fā)展而來(24)《網(wǎng)絡(luò)安全法》第35條規(guī)定：“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國(guó)家安全的，應(yīng)當(dāng)通過國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門組織的國(guó)家安全審查。”，兩者都淵源于《國(guó)家安全法》確立的國(guó)家安全審查與監(jiān)管制度(25)《國(guó)家安全法》第59條規(guī)定：“國(guó)家建立國(guó)家安全審查和監(jiān)管的制度和機(jī)制，對(duì)影響或者可能影響國(guó)家安全的外商投資、特定物項(xiàng)和關(guān)鍵技術(shù)、網(wǎng)絡(luò)信息技術(shù)產(chǎn)品和服務(wù)、涉及國(guó)家安全事項(xiàng)的建設(shè)項(xiàng)目，以及其他重大事項(xiàng)和活動(dòng)，進(jìn)行國(guó)家安全審查，有效預(yù)防和化解國(guó)家安全風(fēng)險(xiǎn)?！?。國(guó)家安全審查的范圍較廣，而“網(wǎng)絡(luò)信息技術(shù)產(chǎn)品和服務(wù)”乃是國(guó)家安全審查的重要內(nèi)容之一?！稊?shù)據(jù)安全法》中的數(shù)據(jù)安全審查制度與《網(wǎng)絡(luò)安全法》中的網(wǎng)絡(luò)安全審查制度雖然有相似之處(26)二者在價(jià)值定位和審查重點(diǎn)上有類似性，且前者以可驗(yàn)證性技術(shù)標(biāo)準(zhǔn)為基礎(chǔ)也能滿足后者的透明度要求，這說明前者對(duì)于后者具有較大的制度相容性。參見劉金瑞：《數(shù)據(jù)安全范式革新及其立法展開》，載《環(huán)球法律評(píng)論》2021年第1期。，但是兩者存在較大不同。前者的審查對(duì)象主要針對(duì)影響或者可能影響國(guó)家安全的數(shù)據(jù)處理活動(dòng)，包括：數(shù)據(jù)的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等。后者的審查對(duì)象主要是針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者在采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)時(shí)影響或可能影響國(guó)家安全的情形，其重點(diǎn)是信息技術(shù)產(chǎn)品和服務(wù)的安全性和可控性。數(shù)據(jù)安全審查制度從外在視角看，其與國(guó)家安全審查和網(wǎng)絡(luò)安全審查緊密相關(guān)，從其內(nèi)在視角看則是數(shù)據(jù)安全治理體系的重要組成部分。數(shù)據(jù)安全審查制度從價(jià)值、技術(shù)等不同層面對(duì)數(shù)據(jù)進(jìn)行安全性的篩查，從而保障數(shù)據(jù)開放、共享和再利用層面的安全，因此數(shù)據(jù)安全審查制度可謂是數(shù)據(jù)安全全過程治理的關(guān)鍵環(huán)節(jié)。

三、數(shù)據(jù)安全審查制度的治理功能

數(shù)據(jù)安全審查制度在《數(shù)據(jù)安全法》中被正式確立，而數(shù)據(jù)安全審查在實(shí)踐中也已經(jīng)運(yùn)作。可見，數(shù)據(jù)安全審查制度并不是理論層面的簡(jiǎn)單推演，而是具有鮮明的實(shí)踐導(dǎo)向和現(xiàn)實(shí)意義。構(gòu)建數(shù)據(jù)安全審查制度不僅直接關(guān)系著公民數(shù)據(jù)權(quán)利的安全保障水平，同時(shí)也與企業(yè)治理和國(guó)家數(shù)據(jù)主權(quán)安全等密切相關(guān)。數(shù)據(jù)安全審查制度對(duì)于數(shù)據(jù)治理、數(shù)據(jù)安全治理都具有特殊意義。從治理視角審視數(shù)據(jù)安全審查實(shí)踐，其所具有的功能也并不僅僅局限于“審查”本身。具體而言，數(shù)據(jù)安全審查制度的治理功能主要包括以下方面。

(一)數(shù)據(jù)安全審查制度的權(quán)利保障功能

數(shù)據(jù)安全治理體系內(nèi)含國(guó)家、企業(yè)和個(gè)人等不同主體的數(shù)據(jù)安全保障，而企業(yè)和個(gè)人的數(shù)據(jù)安全需求則主要體現(xiàn)為權(quán)利保障的面向。因此，從數(shù)據(jù)安全法的角度看，數(shù)據(jù)安全審查制度建構(gòu)的主旨就是滿足公民數(shù)據(jù)權(quán)利保護(hù)的現(xiàn)實(shí)需要。提及數(shù)據(jù)安全主要可以從個(gè)人權(quán)利安全和公共治理安全兩個(gè)層面理解。雖然有學(xué)者指出相對(duì)于《個(gè)人信息保護(hù)法》以保護(hù)公民個(gè)人隱私為主，《數(shù)據(jù)安全法》更應(yīng)該從國(guó)家安全和公共安全角度加以理解，(27)參見魯傳穎：《數(shù)據(jù)安全立法，需平衡好各方訴求》，載《環(huán)球時(shí)報(bào)》2020年5月27日，第14版。但本文認(rèn)為只將《數(shù)據(jù)安全法》從公共安全法角度加以評(píng)價(jià)，而否認(rèn)其所具有的個(gè)體權(quán)利保障功能的觀點(diǎn)是值得商榷的。

正如上文所言，大數(shù)據(jù)背景下數(shù)據(jù)本身具有公共屬性，個(gè)人、企業(yè)和國(guó)家的數(shù)據(jù)風(fēng)險(xiǎn)互相交織，不能簡(jiǎn)單予以區(qū)分。因此，數(shù)據(jù)安全審查的權(quán)利保障功能置于總體治理環(huán)境下就顯得更具現(xiàn)實(shí)意義。首先，當(dāng)前公民個(gè)人數(shù)據(jù)安全面臨較大風(fēng)險(xiǎn)。對(duì)于公民個(gè)體而言，數(shù)據(jù)安全威脅主要來自于數(shù)據(jù)泄露的泛濫，數(shù)據(jù)泄露造成個(gè)人隱私權(quán)被侵犯的機(jī)率大大增加，從而又間接導(dǎo)致公民數(shù)據(jù)具有的人身屬性、財(cái)產(chǎn)屬性無法得到有效保護(hù)。(28)參見韓偉：《安全與自由的平衡——數(shù)據(jù)安全立法宗旨探析》，載《科技與法律》2019年第6期。其次，彌補(bǔ)已有公民數(shù)據(jù)安全法治保障存在的缺陷。當(dāng)前已有的法律規(guī)范，如《個(gè)人信息保護(hù)法》雖然對(duì)于公民隱私權(quán)等加以規(guī)定，但該法多是從私法維度出發(fā)對(duì)信息權(quán)利進(jìn)行保護(hù)(29)參見張新寶：《〈民法總則〉個(gè)人信息保護(hù)條文研究》，載《中外法學(xué)》2019年第1期；程嘯：《民法典編纂視野下的個(gè)人信息保護(hù)》，載《中國(guó)法學(xué)》2019年第4期；高富平：《論個(gè)人信息保護(hù)的目的——以個(gè)人信息保護(hù)法益區(qū)分為核心》，載《法商研究》2019年第1期等。，而信息與數(shù)據(jù)之間同樣也存在差別。因此，從安全層面審視，公民數(shù)據(jù)權(quán)利仍然需要專門性更強(qiáng)、層級(jí)更高、保護(hù)力度更大的法律規(guī)范加以規(guī)制。從這個(gè)層面講，《數(shù)據(jù)安全法》乃是不二之選。最后，《數(shù)據(jù)安全法》規(guī)定了大量保障公民數(shù)據(jù)安全的條款，其中第7條的總括性規(guī)定直接將公民個(gè)人數(shù)據(jù)權(quán)益納入到數(shù)據(jù)安全保障范圍之內(nèi)，是《數(shù)據(jù)安全法》權(quán)利保障功能的直接體現(xiàn)，而數(shù)據(jù)安全審查制度同樣也離不開這種價(jià)值的選擇?？梢?，《數(shù)據(jù)安全法》的規(guī)定為公民數(shù)據(jù)權(quán)利保障提供了直接的規(guī)范依據(jù)，而以數(shù)據(jù)安全審查制度為代表的數(shù)據(jù)安全治理體系同樣應(yīng)堅(jiān)持保護(hù)企業(yè)和公民的數(shù)據(jù)權(quán)利。

(二)數(shù)據(jù)安全審查制度的安全維護(hù)功能

數(shù)據(jù)安全審查制度設(shè)立的初衷在于對(duì)重要數(shù)據(jù)進(jìn)行審查，其核心目的在于維護(hù)國(guó)家數(shù)據(jù)主權(quán)、公共數(shù)據(jù)安全以及個(gè)人數(shù)據(jù)安全?！稊?shù)據(jù)安全法》除了保障公民個(gè)人的數(shù)據(jù)安全以外，更為重要的立法價(jià)值乃在于保障國(guó)家數(shù)據(jù)主權(quán)和公共數(shù)據(jù)安全。數(shù)據(jù)在信息時(shí)代已經(jīng)成為國(guó)家重要的基礎(chǔ)設(shè)施，許多智能化領(lǐng)域，如智能交通、智能電網(wǎng)等的運(yùn)行和發(fā)展都有賴于數(shù)據(jù)發(fā)揮作用。換言之，沒有安全的數(shù)據(jù)，關(guān)系到國(guó)家經(jīng)濟(jì)發(fā)展的諸多領(lǐng)域就等于失去了“血液”。(30)有學(xué)者直言：“數(shù)據(jù)是信息化時(shí)代的‘石油’”。參見趙博：《基于大數(shù)據(jù)的戰(zhàn)略預(yù)見研究》，中共中央黨校2016年博士學(xué)位論文?，F(xiàn)實(shí)中，數(shù)據(jù)的天然流動(dòng)性導(dǎo)致網(wǎng)絡(luò)化、智能化領(lǐng)域?qū)?shù)據(jù)的依賴程度較高，如果出現(xiàn)安全問題，其損失也是無法估量的。由此可見，數(shù)據(jù)安全問題不再僅僅局限于單一領(lǐng)域，而是事關(guān)政治、經(jīng)濟(jì)、社會(huì)、軍事等諸多領(lǐng)域的綜合安全問題。為此，有學(xué)者指出數(shù)據(jù)不再只體現(xiàn)簡(jiǎn)單的經(jīng)濟(jì)意義，而是具有國(guó)家主權(quán)屬性，(31)學(xué)者指出數(shù)據(jù)主權(quán)主要表現(xiàn)在以下方面：第一，數(shù)據(jù)控制權(quán)；第二，數(shù)據(jù)產(chǎn)業(yè)技術(shù)的自主發(fā)展權(quán)；第三，數(shù)據(jù)立法權(quán)。數(shù)據(jù)主權(quán)在網(wǎng)絡(luò)空間中不僅體現(xiàn)其權(quán)力的一面，還體現(xiàn)出其權(quán)利性質(zhì)的一面，國(guó)家數(shù)據(jù)主權(quán)對(duì)內(nèi)是最高權(quán)，具有排他性；而對(duì)外則是獨(dú)立自主、自治權(quán)的體現(xiàn)，數(shù)據(jù)主權(quán)體現(xiàn)了主權(quán)權(quán)力與權(quán)利的統(tǒng)一。參見齊愛民、祝高峰：《論國(guó)家數(shù)據(jù)主權(quán)制度的確立與完善》，載《蘇州大學(xué)學(xué)報(bào)(哲學(xué)社會(huì)科學(xué)版)》2016年第1期。保障數(shù)據(jù)運(yùn)用安全就是保障國(guó)家主權(quán)安全?！稊?shù)據(jù)安全法》的出臺(tái)就旨在從立法層面保障國(guó)家數(shù)據(jù)主權(quán)安全，建構(gòu)數(shù)據(jù)主權(quán)安全法治化體系。

(三)數(shù)據(jù)安全審查制度的涉外數(shù)據(jù)安全治理功能

數(shù)據(jù)安全審查制度主要保障的是國(guó)家數(shù)據(jù)主權(quán)和數(shù)據(jù)安全，而數(shù)據(jù)主權(quán)受到的侵犯主要來自于國(guó)外部分國(guó)家和機(jī)構(gòu)。數(shù)字技術(shù)的發(fā)展日新月異，雖然當(dāng)下我國(guó)的數(shù)字技術(shù)取得長(zhǎng)足進(jìn)步，但較之于以美國(guó)為代表的西方發(fā)達(dá)國(guó)家仍存在較大差距，數(shù)據(jù)安全和數(shù)據(jù)主權(quán)被侵犯的風(fēng)險(xiǎn)依舊存在。(32)正如有學(xué)者所言：“目前，中國(guó)是網(wǎng)絡(luò)大國(guó)，但還不是網(wǎng)絡(luò)強(qiáng)國(guó)，大量外國(guó)信息技術(shù)產(chǎn)品已經(jīng)深度滲透至中國(guó)的關(guān)鍵信息基礎(chǔ)設(shè)施，中國(guó)面臨著嚴(yán)峻的網(wǎng)絡(luò)安全保障、信息通信技術(shù)自主可控和網(wǎng)絡(luò)安全管理體制等方面的挑戰(zhàn)。要想保障國(guó)家安全、網(wǎng)絡(luò)安全，網(wǎng)絡(luò)安全審查必然要成為國(guó)家安全審查的重要組成部分。”參見李青：《美國(guó)網(wǎng)絡(luò)安全審查制度研究及對(duì)中國(guó)的啟示》，載《國(guó)際安全研究》2017年第2期。在國(guó)外紛紛建立數(shù)據(jù)安全保障法律制度的背景下，為了應(yīng)對(duì)涉外數(shù)據(jù)安全風(fēng)險(xiǎn)，國(guó)家通過制定《數(shù)據(jù)安全法》，建立數(shù)據(jù)安全審查制度來保障重要數(shù)據(jù)的安全，規(guī)范數(shù)據(jù)跨境流動(dòng)和開放共享。眾所周知，我國(guó)新技術(shù)領(lǐng)域不斷發(fā)展，尤其是人工智能、大數(shù)據(jù)、互聯(lián)網(wǎng)等技術(shù)較為先進(jìn)，相關(guān)企業(yè)紛紛走出國(guó)門，而許多國(guó)外的互聯(lián)網(wǎng)、大數(shù)據(jù)企業(yè)也選擇進(jìn)入我國(guó)市場(chǎng)。在國(guó)外，對(duì)于互聯(lián)網(wǎng)、大數(shù)據(jù)的規(guī)制存在諸多成熟的法律規(guī)范體系，其中最具代表性的是歐盟通過的《通用數(shù)據(jù)保護(hù)條例》(簡(jiǎn)稱GDPR)(33)參見徐漪、沈建峰：《從GDPR看我國(guó)〈數(shù)據(jù)安全法〉的立法方向》，載《產(chǎn)業(yè)與科技論壇》2019年第10期。，而我國(guó)在《數(shù)據(jù)安全法》通過之前對(duì)數(shù)據(jù)企業(yè)的規(guī)制規(guī)范是缺失的。為了呼應(yīng)國(guó)內(nèi)企業(yè)的“走出去”戰(zhàn)略，以及應(yīng)對(duì)國(guó)外企業(yè)的“走進(jìn)來”，完善數(shù)據(jù)安全領(lǐng)域立法，實(shí)現(xiàn)國(guó)內(nèi)法與國(guó)外法的有效互動(dòng)與銜接，就迫切需要建立數(shù)據(jù)安全審查制度。因此，數(shù)據(jù)安全審查制度既是保障國(guó)內(nèi)數(shù)據(jù)安全的重要方法，同時(shí)也是預(yù)防和控制國(guó)外侵犯我國(guó)數(shù)據(jù)安全的制度選擇。

四、治理框架下國(guó)家數(shù)據(jù)安全審查體系的構(gòu)造

數(shù)據(jù)安全審查制度對(duì)于國(guó)家、企業(yè)和個(gè)人的數(shù)據(jù)安全保護(hù)至為關(guān)鍵。雖然《數(shù)據(jù)安全法》中對(duì)國(guó)家建立數(shù)據(jù)安全審查制度已有相關(guān)規(guī)定，但是在實(shí)踐中如何建構(gòu)數(shù)據(jù)安全審查制度仍然存在爭(zhēng)議。為實(shí)現(xiàn)數(shù)據(jù)安全與數(shù)據(jù)自由流動(dòng)之間的平衡，數(shù)據(jù)安全審查制度的運(yùn)行原則和具體方式仍需進(jìn)一步完善。一般而言，安全審查制度包括審查機(jī)構(gòu)、審查范圍和審查程序三個(gè)方面，其中審查程序?qū)儆诔绦蛐詥栴}，審查機(jī)構(gòu)的建立包括機(jī)構(gòu)設(shè)置和部門協(xié)調(diào)，而審查范圍則包括審查內(nèi)容和審查重點(diǎn)等，屬于安全審查制度構(gòu)建的基礎(chǔ)性實(shí)體問題。(34)參見武長(zhǎng)海：《我國(guó)國(guó)家金融安全的審查機(jī)構(gòu)和范圍》，載《法學(xué)雜志》2020年第3期。數(shù)據(jù)安全審查制度的建構(gòu)也需要從審查機(jī)構(gòu)、審查程序和方法以及審查范圍層面加以建構(gòu)。

(一)數(shù)據(jù)安全審查機(jī)構(gòu)的科學(xué)設(shè)置

組織的設(shè)立是制度建立的前提，數(shù)據(jù)安全審查制度首先應(yīng)該確立數(shù)據(jù)安全審查組織。數(shù)據(jù)安全審查必須依托專門的機(jī)構(gòu)來行使審查權(quán)，從而保障審查的專業(yè)性和說服力。從當(dāng)前我國(guó)的行政管理架構(gòu)來看，目前一些地方設(shè)立了與數(shù)據(jù)管理有關(guān)的機(jī)構(gòu)為大數(shù)據(jù)管理局或大數(shù)據(jù)發(fā)展管理局，有些地方直接稱之為大數(shù)據(jù)局(35)參見山東大數(shù)據(jù)局官方網(wǎng)站：http://bdb.shandong.gov.cn/。。以貴州省大數(shù)據(jù)發(fā)展管理局來看，其屬于省人民政府的直屬事業(yè)單位，職能主要是對(duì)數(shù)據(jù)產(chǎn)業(yè)加以規(guī)劃，并實(shí)現(xiàn)政務(wù)信息化等。雖然在其諸多職能中也包括“統(tǒng)籌推進(jìn)大數(shù)據(jù)安全體系建設(shè)和安全保障工作”，但是這一規(guī)定較為抽象，并無具體的可操作流程。相對(duì)于貴州省的機(jī)構(gòu)設(shè)置而言，其他地方的大數(shù)據(jù)管理局往往是政府部門的內(nèi)設(shè)機(jī)構(gòu)或者處、室，缺少相應(yīng)的獨(dú)立性。對(duì)此，有學(xué)者指出：“有必要在將要制定的跨境數(shù)據(jù)流動(dòng)法框架內(nèi)新設(shè)一個(gè)獨(dú)立的管理機(jī)構(gòu)——全國(guó)數(shù)據(jù)保護(hù)委員會(huì)，授予該機(jī)構(gòu)行政調(diào)查權(quán)、建議權(quán)、登記備案權(quán)、處罰權(quán)以及提起公益訴訟等權(quán)限”(36)許多奇：《論跨境數(shù)據(jù)流動(dòng)規(guī)制企業(yè)雙向合規(guī)的法治保障》，載《東方法學(xué)》2020年第2期。。本文認(rèn)為，數(shù)據(jù)安全審查機(jī)構(gòu)的主要職責(zé)是對(duì)敏感數(shù)據(jù)和涉外數(shù)據(jù)進(jìn)行安全審查，其對(duì)審查技術(shù)的要求較高，在當(dāng)前尚無具體經(jīng)驗(yàn)的情況下，可以借鑒網(wǎng)絡(luò)安全審查的做法。

我國(guó)的網(wǎng)絡(luò)安全審查工作主要由國(guó)家互聯(lián)網(wǎng)信息辦公室下設(shè)的網(wǎng)絡(luò)安全審查辦公室負(fù)責(zé)，而網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心在網(wǎng)絡(luò)安全審查辦公室的指導(dǎo)下，承擔(dān)著接收申報(bào)材料、對(duì)申報(bào)材料進(jìn)行形式審核、具體組織審查工作等任務(wù)?？梢?，中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心主要負(fù)責(zé)申報(bào)材料的程序和形式審核，實(shí)質(zhì)的審查工作是由網(wǎng)絡(luò)安全審查辦公室負(fù)責(zé)。然而，網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心的職能中也包括相應(yīng)的數(shù)據(jù)安全審查，具體工作包括數(shù)據(jù)安全管理認(rèn)證、移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序安全(App)認(rèn)證、數(shù)據(jù)安全評(píng)估等。(37)具體而言此處的數(shù)據(jù)安全管理主要是組織開展數(shù)據(jù)收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等數(shù)據(jù)處理時(shí)采取的一系列管理活動(dòng)；移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(App)安全認(rèn)證是認(rèn)證中心對(duì)移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(App)開展認(rèn)證工作；數(shù)據(jù)安全評(píng)估是針對(duì)組織數(shù)據(jù)收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等活動(dòng)，根據(jù)相關(guān)法規(guī)標(biāo)準(zhǔn)要求，按照風(fēng)險(xiǎn)分析的方法，分析網(wǎng)絡(luò)運(yùn)營(yíng)者數(shù)據(jù)相關(guān)活動(dòng)存在的安全風(fēng)險(xiǎn)。參見中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心 (isccc.gov.cn)?？梢?，網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心目前同樣承擔(dān)著數(shù)據(jù)安全審查和評(píng)估工作。然而，數(shù)據(jù)安全審查是一項(xiàng)十分復(fù)雜且日益龐大的工作，由網(wǎng)絡(luò)安全審查辦公室下屬的審查與技術(shù)認(rèn)證中心來負(fù)責(zé)此項(xiàng)工作則面臨著機(jī)構(gòu)合法性不足、審查力量有限、審查程序和質(zhì)量難以保障的弊端。因此，鑒于網(wǎng)絡(luò)安全審查當(dāng)前面臨的問題，針對(duì)數(shù)據(jù)安全審查，應(yīng)當(dāng)建立獨(dú)立的數(shù)據(jù)安全審查機(jī)構(gòu)，應(yīng)在國(guó)家互聯(lián)網(wǎng)信息辦公室下設(shè)置獨(dú)立的數(shù)據(jù)安全審查中心，具體負(fù)責(zé)數(shù)據(jù)安全的審查與保障，明確其具體權(quán)限和責(zé)任。

(二)審查啟動(dòng)和運(yùn)行程序的體系化建構(gòu)

在數(shù)據(jù)安全審查機(jī)構(gòu)確定的情況下，審查制度的運(yùn)行需要一整套審查程序作保障。在審查程序構(gòu)建的過程中，最關(guān)鍵的是確立審查啟動(dòng)程序和審查運(yùn)行程序，前者解決的是數(shù)據(jù)安全審查的提起和發(fā)動(dòng)的主體與步驟問題，后者解決的是審查機(jī)構(gòu)如何開展具體審查的問題。從數(shù)據(jù)安全審查制度設(shè)立的初衷來看，數(shù)據(jù)安全審查的提起不僅包括數(shù)據(jù)安全審查機(jī)構(gòu)的主動(dòng)審查也應(yīng)該包括數(shù)據(jù)安全受害者反饋的被動(dòng)審查。因此，就審查啟動(dòng)主體而言，數(shù)據(jù)安全審查機(jī)構(gòu)根據(jù)自身職責(zé)可以主動(dòng)提起安全審查，而其他國(guó)家機(jī)關(guān)、企業(yè)和公民個(gè)人在其數(shù)據(jù)安全受到侵犯之虞時(shí)也可以向數(shù)據(jù)安全審查機(jī)構(gòu)提起安全審查申請(qǐng)。然而，被動(dòng)審查主體的范圍較大是否會(huì)造成數(shù)據(jù)安全審查機(jī)構(gòu)的運(yùn)行難以負(fù)荷也是不得不思考的問題。故而，本文認(rèn)為在受理數(shù)據(jù)安全審查過程中，可以借鑒網(wǎng)絡(luò)安全審查技術(shù)中心的經(jīng)驗(yàn)，將程序性和形式性的審查工作交給下屬機(jī)構(gòu)，以減輕正式審查機(jī)構(gòu)的工作壓力，同時(shí)賦予提起審查申請(qǐng)主體相應(yīng)的數(shù)據(jù)受侵犯證據(jù)的提供義務(wù)，以提高審查效率，更好地推進(jìn)審查工作。

就數(shù)據(jù)安全審查運(yùn)行程序而言，其內(nèi)容較之于提起程序更為復(fù)雜，主要包括數(shù)據(jù)安全案件的受理程序、數(shù)據(jù)安全是否被侵犯的初步篩查程序、數(shù)據(jù)審查者就數(shù)據(jù)安全案件的審理程序、數(shù)據(jù)安全審查機(jī)構(gòu)的決定程序等。這些程序不僅關(guān)系到數(shù)據(jù)安全審查的開放性和公正性，也直接影響著數(shù)據(jù)安全案件當(dāng)事人的具體利益。本文認(rèn)為對(duì)于這些程序需要全國(guó)性的數(shù)據(jù)安全審查機(jī)構(gòu)出臺(tái)相應(yīng)的數(shù)據(jù)安全審查規(guī)則辦法加以具體化，從而保障數(shù)據(jù)安全審查的有序開展。

(三)數(shù)據(jù)安全審查技術(shù)和方法的合法確立

上文提到數(shù)據(jù)安全審查在程序上需要進(jìn)一步細(xì)化，而從實(shí)體層面觀察數(shù)據(jù)安全審查方法則更需慎重對(duì)待。就數(shù)據(jù)安全審查方法而言，本文認(rèn)為需要從兩方面加以確立：(1)樹立“審查”觀念，破除傳統(tǒng)的“管理”思維。數(shù)據(jù)安全審查與數(shù)據(jù)安全監(jiān)管存在較大差異，但是實(shí)踐中往往將兩者混為一談。一般而言，數(shù)據(jù)監(jiān)管與數(shù)據(jù)審查最典型的區(qū)別在于監(jiān)管強(qiáng)調(diào)的是執(zhí)法機(jī)關(guān)對(duì)數(shù)據(jù)控制者運(yùn)用數(shù)據(jù)的行為是否違法進(jìn)行的監(jiān)督和管理；而數(shù)據(jù)審查則不同，它更加強(qiáng)調(diào)審查機(jī)構(gòu)對(duì)有關(guān)數(shù)據(jù)行為的綜合性考察。從中不難看出，審查在主旨、內(nèi)容、程度等不同層面都較之監(jiān)管更為深入。樹立審查觀念就要求數(shù)據(jù)安全審查機(jī)構(gòu)充分發(fā)揮居中裁決的角色，不僅在于維護(hù)國(guó)家安全、公民權(quán)利，還要對(duì)涉嫌侵犯數(shù)據(jù)安全的主體公平、公正地做出審查決定，保障雙方的合法權(quán)利。(2)數(shù)據(jù)安全審查應(yīng)堅(jiān)持事前審查為主、事后審查為輔的原則。雖然數(shù)據(jù)安全審查有其必要性，但是如若審查不當(dāng)將會(huì)帶來一系列弊端，從而飽受批判。在實(shí)踐中，數(shù)據(jù)安全審查應(yīng)以事前審查為原則、事后審查為例外。數(shù)據(jù)安全事前審查就要求審查機(jī)構(gòu)在審查過程中強(qiáng)調(diào)對(duì)數(shù)據(jù)利用行為進(jìn)行綜合性審查，在相關(guān)軟件等應(yīng)用之前進(jìn)行審查。事后審查為例外則是指對(duì)于一些嚴(yán)重泄漏國(guó)家秘密、危害國(guó)家安全和公共安全的數(shù)據(jù)泄露行為可以采用事后審查的方式進(jìn)行處罰，十分嚴(yán)重的可以直接關(guān)閉。這種雙重審查方法是對(duì)比例原則的貫徹，不僅能夠更大限度的保護(hù)企業(yè)、個(gè)人的利益，也能夠平衡安全與發(fā)展的需要。

五、安全與自由平衡視角下數(shù)據(jù)安全審查限度的確立

大數(shù)據(jù)時(shí)代，為了保障國(guó)家數(shù)據(jù)主權(quán)安全，保護(hù)企業(yè)和公民的數(shù)據(jù)權(quán)利，實(shí)現(xiàn)數(shù)據(jù)正常流動(dòng)，促進(jìn)數(shù)字經(jīng)濟(jì)有序發(fā)展，數(shù)據(jù)安全審查制度勢(shì)在必行。然而，審查權(quán)的行使和運(yùn)行都應(yīng)該依照法律的規(guī)定，受到法律原則和規(guī)則的限制，否則將存在權(quán)力濫用的風(fēng)險(xiǎn)，數(shù)據(jù)審查機(jī)構(gòu)的數(shù)據(jù)審查權(quán)亦是如此，甚至可以說數(shù)據(jù)安全審查制度的重要性程度決定了數(shù)據(jù)安全審查權(quán)力可能被濫用的程度。因此，從數(shù)據(jù)治理體系的角度看，數(shù)據(jù)安全治理體系雖然以數(shù)據(jù)安全為基礎(chǔ)，但同樣也是為提高數(shù)據(jù)利用效率和促進(jìn)數(shù)據(jù)流動(dòng)為價(jià)值指向，過度的數(shù)據(jù)安全審查將會(huì)導(dǎo)致數(shù)據(jù)治理體系的不平衡，影響數(shù)據(jù)價(jià)值的實(shí)現(xiàn)。正因?yàn)榇耍瑪?shù)據(jù)安全審查制度在實(shí)際運(yùn)行中需要把握必要的限度。

(一)數(shù)據(jù)安全審查制度構(gòu)建的主旨限制

大數(shù)據(jù)時(shí)代，數(shù)據(jù)的自由流通是數(shù)據(jù)價(jià)值賴以實(shí)現(xiàn)的有效路徑。數(shù)據(jù)安全審查就是在保障數(shù)據(jù)主權(quán)的前提下，促進(jìn)系統(tǒng)內(nèi)部數(shù)據(jù)的自由流通，從而實(shí)現(xiàn)數(shù)據(jù)所具有的經(jīng)濟(jì)、社會(huì)、政治價(jià)值。可見，數(shù)據(jù)安全審查制度構(gòu)建的初衷具有復(fù)合性：既要保障國(guó)家數(shù)據(jù)主權(quán)安全和公共數(shù)據(jù)安全，同時(shí)也要保護(hù)企業(yè)和個(gè)人的數(shù)據(jù)權(quán)利和利益。(38)有學(xué)者認(rèn)為數(shù)據(jù)管理的目標(biāo)主要有三個(gè)：一是從個(gè)人視角出發(fā)的數(shù)據(jù)權(quán)利保護(hù)目標(biāo)；二是產(chǎn)業(yè)視角出發(fā)的促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展、提高企業(yè)競(jìng)爭(zhēng)力的目標(biāo)；三是從國(guó)家視角出發(fā)的維護(hù)網(wǎng)絡(luò)安全和數(shù)據(jù)主權(quán)的目標(biāo)。參見許多奇：《論跨境數(shù)據(jù)流動(dòng)規(guī)制企業(yè)雙向合規(guī)的法治保障》，載《東方法學(xué)》2020年第2期。因此，數(shù)據(jù)安全審查的主旨就是在數(shù)據(jù)安全和數(shù)據(jù)自由之間尋得平衡。(39)參見周松青：《自由與安全：美國(guó)社交媒體監(jiān)控模式探析》，載《探索與爭(zhēng)鳴》2018年第5期。然而這種復(fù)合性的保護(hù)目標(biāo)之下有可能產(chǎn)生目標(biāo)內(nèi)部的相互沖突。一般而言，法的價(jià)值位階往往強(qiáng)調(diào)國(guó)家和公共安全的價(jià)值高于個(gè)人，然而對(duì)于數(shù)據(jù)安全審查而言應(yīng)當(dāng)更加強(qiáng)調(diào)對(duì)具體問題的分析，注重在個(gè)案中平衡立法主旨之間的矛盾。數(shù)據(jù)安全審查另一層面的意義在于賦予平臺(tái)開發(fā)者更為嚴(yán)格的數(shù)據(jù)安全保障義務(wù)，賦予這種義務(wù)顯然是為了更好地保護(hù)用戶的數(shù)據(jù)安全和國(guó)家數(shù)據(jù)安全。(40)2021年7月2日網(wǎng)絡(luò)安全審查辦公室發(fā)布了《關(guān)于對(duì)“滴滴出行”啟動(dòng)網(wǎng)絡(luò)安全審查的公告》，直言目的是為了“防范國(guó)家數(shù)據(jù)安全風(fēng)險(xiǎn)，維護(hù)國(guó)家安全，保障公共利益”?？梢姡髽I(yè)對(duì)于維護(hù)國(guó)家數(shù)據(jù)安全的義務(wù)不可忽視。然而，這種義務(wù)的賦予應(yīng)在法律框架之內(nèi)確定，并要符合企業(yè)所能達(dá)至的范圍，不能將義務(wù)過度放大，否則安全義務(wù)可能會(huì)造成平臺(tái)開發(fā)者負(fù)擔(dān)過重而無力承擔(dān)，阻礙數(shù)據(jù)價(jià)值的有效實(shí)現(xiàn)。與此同時(shí)，賦予企業(yè)和個(gè)人數(shù)據(jù)安全保障義務(wù)的權(quán)力也存在被濫用的風(fēng)險(xiǎn)，可能導(dǎo)致安全審查義務(wù)脫離法律規(guī)定的框架，造成企業(yè)和個(gè)人義務(wù)負(fù)擔(dān)過重，數(shù)據(jù)權(quán)利受損，從而引起不必要的社會(huì)發(fā)展風(fēng)險(xiǎn)。因此，考量數(shù)據(jù)安全審查制度確立的正當(dāng)性首先應(yīng)從安全和自由價(jià)值的平衡度層面著手。

(二)數(shù)據(jù)安全審查制度運(yùn)行的現(xiàn)實(shí)限制

數(shù)據(jù)安全審查制度除了在構(gòu)建價(jià)值上應(yīng)受到“安全與自由平衡”的必要限制之外，在實(shí)際運(yùn)行中還要受到來自審查范圍、社會(huì)發(fā)展、外界質(zhì)疑等方面的限制。

首先，數(shù)據(jù)安全審查范圍的限制。《數(shù)據(jù)安全法》對(duì)于數(shù)據(jù)的概念進(jìn)行了明確，不僅擴(kuò)大了數(shù)據(jù)本身的范圍，也對(duì)數(shù)據(jù)對(duì)象的范圍予以擴(kuò)張，可以說凡是在我國(guó)境內(nèi)開展數(shù)據(jù)活動(dòng)的組織和個(gè)人的行為都成為了《數(shù)據(jù)安全法》調(diào)整和規(guī)范的對(duì)象。(41)參見謝杰：《大數(shù)據(jù)時(shí)代背景下數(shù)據(jù)安全法律問責(zé)制度研究》，載《智庫(kù)時(shí)代》2019年第6期。這種審查范圍的擴(kuò)張對(duì)于保護(hù)數(shù)據(jù)安全具有明顯優(yōu)勢(shì)，然而這種擴(kuò)張趨勢(shì)也可能會(huì)造成監(jiān)管審查觸角的過度擴(kuò)大，從而導(dǎo)致不必要的審查和管理大行其道。因此，數(shù)據(jù)安全審查范圍需要加以限制，這種限制以確立實(shí)質(zhì)的審查標(biāo)準(zhǔn)和審查界限為前提。在此基礎(chǔ)上，對(duì)數(shù)據(jù)進(jìn)行分類分級(jí)保護(hù)(42)參見馬寧：《國(guó)家網(wǎng)絡(luò)安全審查制度的保障功能及其實(shí)現(xiàn)路徑》，載《環(huán)球法律評(píng)論》2016年第5期。，建立重要數(shù)據(jù)的識(shí)別認(rèn)定制度(43)參見劉金瑞：《數(shù)據(jù)安全范式革新及其立法展開》，載《環(huán)球法律評(píng)論》2021年第1期。，著重加強(qiáng)對(duì)重要數(shù)據(jù)的安全審查，從而保障在數(shù)據(jù)安全的前提下合理確定審查的范圍。

其次，數(shù)據(jù)安全審查運(yùn)行應(yīng)受到經(jīng)濟(jì)社會(huì)發(fā)展程度的限制。眾所周知，我國(guó)互聯(lián)網(wǎng)、信息技術(shù)和大數(shù)據(jù)的發(fā)展不斷推動(dòng)著經(jīng)濟(jì)和社會(huì)形態(tài)的變革，一大批全球有影響力的企業(yè)利用數(shù)據(jù)驅(qū)動(dòng)經(jīng)濟(jì)發(fā)展和社會(huì)進(jìn)步?？梢哉f，這個(gè)時(shí)代已經(jīng)打上了大數(shù)據(jù)的烙印，數(shù)據(jù)安全的保障與經(jīng)濟(jì)社會(huì)發(fā)展關(guān)系密切。因此，數(shù)據(jù)安全審查制度的設(shè)計(jì)和運(yùn)行都受到來自企業(yè)發(fā)展、經(jīng)濟(jì)發(fā)展等社會(huì)因素的限制。一旦審查過于嚴(yán)格，審查失范現(xiàn)象將會(huì)導(dǎo)致數(shù)字經(jīng)濟(jì)發(fā)展受到阻礙，從而損及我國(guó)數(shù)字技術(shù)在世界領(lǐng)域內(nèi)的競(jìng)爭(zhēng)力和話語權(quán)，勢(shì)必出現(xiàn)與設(shè)置本制度初衷相違背的情形。可見，數(shù)據(jù)安全審查制度的運(yùn)行要以數(shù)據(jù)安全保障為核心，兼顧數(shù)字經(jīng)濟(jì)的長(zhǎng)效有序發(fā)展，同時(shí)“督促企業(yè)落實(shí)數(shù)據(jù)跨境流動(dòng)的安全主體責(zé)任”(44)參見張莉：《數(shù)據(jù)治理與數(shù)據(jù)安全》，人民郵電出版社2019年版，第267頁(yè)。，要求企業(yè)在發(fā)展數(shù)字技術(shù)、實(shí)現(xiàn)數(shù)據(jù)跨境流動(dòng)等方面嚴(yán)格遵守法律法規(guī)對(duì)于安全標(biāo)準(zhǔn)的規(guī)定。

最后，數(shù)據(jù)安全審查制度應(yīng)通過提高透明度和法治化程度適當(dāng)回應(yīng)外界的質(zhì)疑。數(shù)據(jù)安全審查使審查機(jī)構(gòu)較大限度地介入數(shù)據(jù)流通和數(shù)字技術(shù)發(fā)展之中，這種干預(yù)雖具有安全層面的必要性，但干預(yù)程度過深或不能保障審查在合理范圍之內(nèi)，則審查制度的運(yùn)行會(huì)遇到合法性與正當(dāng)性危機(jī)。這種對(duì)數(shù)據(jù)安全審查的擔(dān)憂，與其說是對(duì)安全審查制度本身的質(zhì)疑，不如說實(shí)質(zhì)上是對(duì)審查權(quán)力介入數(shù)據(jù)自由流通的不信任。因此，在數(shù)據(jù)安全審查制度的建立和運(yùn)行中還需要增加制度運(yùn)行的透明度(45)有學(xué)者認(rèn)為要想足以應(yīng)對(duì)所有可能影響國(guó)家安全的數(shù)據(jù)處理活動(dòng)，在探索提高技術(shù)手段加以處置的前提下，增強(qiáng)安全審查制度的透明度。參見劉金瑞：《美國(guó)外資安全審查改革中的數(shù)據(jù)安全審查及其對(duì)我國(guó)的啟示》，載《中國(guó)信息安全》2021年第7期。，增強(qiáng)外界對(duì)數(shù)據(jù)安全審查的認(rèn)知程度，消除數(shù)據(jù)安全審查的神秘感，從制度和規(guī)范層面打消外界擔(dān)憂，使數(shù)據(jù)安全審查制度成為數(shù)字經(jīng)濟(jì)發(fā)展和數(shù)據(jù)權(quán)利保障的重要制度性工具。

(三)數(shù)據(jù)安全審查決定效力的應(yīng)有限制

雖然《數(shù)據(jù)安全法》第24條第2款規(guī)定了審查機(jī)構(gòu)依法作出的安全審查決定是最終決定，但是何為“最終決定”仍可探討。首先，“最終決定”的約束力范圍需要明確。一般而言，審查決定的作出對(duì)審查者和被審查者都產(chǎn)生約束力，而這種約束力進(jìn)而產(chǎn)生一定的社會(huì)影響。事實(shí)上，此處“最終決定”的效力主要是強(qiáng)調(diào)安全審查內(nèi)部的效力，即對(duì)審查作出者和被審查者而言該決定是最終的結(jié)論。其次，“最終決定”能否變更和撤銷存在爭(zhēng)議?！白罱K決定”的效力是否意味著這份決定不能被撤銷或者變更呢？這一問題還需要針對(duì)不同情形加以判斷。就國(guó)家機(jī)關(guān)而言，其作出的任何決定和行為都應(yīng)受到特定法律監(jiān)督機(jī)關(guān)的監(jiān)督，其行為在法律效果上都是存在救濟(jì)空間的。即使是國(guó)務(wù)院作出的行政法規(guī)、決定和命令，如果與憲法法律相抵觸，全國(guó)人大常委會(huì)也有權(quán)予以撤銷。數(shù)據(jù)審查機(jī)構(gòu)作出的審查決定顯然并不意味著是不可撤銷或變更的最終決定。從內(nèi)部而言，如果數(shù)據(jù)安全審查機(jī)構(gòu)的上級(jí)領(lǐng)導(dǎo)機(jī)關(guān)認(rèn)為審查決定在程序或者實(shí)體層面存在瑕疵，在經(jīng)過合法程序后是可以撤銷或者變更的。而對(duì)于審查機(jī)構(gòu)而言，如果其自身發(fā)現(xiàn)決定存在明顯違法或者不當(dāng)同樣也可以撤回決定或者作出變更，甚至廢除原決定，重新作出相應(yīng)的審查意見。最后，“最終決定”能否進(jìn)行外部審查或監(jiān)督應(yīng)當(dāng)明確。數(shù)據(jù)審查決定關(guān)系到被審查者的重大利益，如果一旦作出被審查者違法的決定，對(duì)于數(shù)據(jù)平臺(tái)企業(yè)而言可能是致命的。然而，數(shù)據(jù)安全審查有可能涉及國(guó)家數(shù)據(jù)主權(quán)安全和國(guó)家秘密，以及企業(yè)或商業(yè)秘密等，司法審查可能會(huì)帶來不便。因此，本文認(rèn)為應(yīng)該賦予被審查者救濟(jì)的權(quán)利，而救濟(jì)途徑可以以復(fù)議、申訴等渠道開展，從而實(shí)現(xiàn)安全保護(hù)與權(quán)利救濟(jì)之間的平衡。

綜上可知，數(shù)據(jù)安全是國(guó)家安全的重要組成部分，保障數(shù)據(jù)安全是數(shù)據(jù)治理機(jī)構(gòu)的重要職責(zé)，而數(shù)據(jù)安全審查也是題中之義。數(shù)據(jù)安全審查不是洪水猛獸，也不應(yīng)游離于法治框架之外。正視數(shù)據(jù)安全審查的治理功能，發(fā)揮數(shù)據(jù)安全審查在保障數(shù)據(jù)安全和數(shù)據(jù)自由之間的平衡作用是當(dāng)前數(shù)據(jù)治理的重要課題。當(dāng)前我國(guó)數(shù)據(jù)安全審查的相應(yīng)程序和實(shí)體制度還較為粗糙，數(shù)據(jù)安全審查的法治化程度還較低，這些都需要從理論和實(shí)務(wù)兩個(gè)層面加以深入探討。