“三同时”制度：个人数据跨境流动风险监管之创新*

徐瑛晗 纪孟汝

(中南财经政法大学知识产权研究中心 武汉 430073)

0 引 言

数字经济时代，相较于传统国际投资贸易，数据跨境流动成为了各国竞相争夺的新战略高地。虽说数据跨境流动对于智能化革命大有裨益，但同时暗礁极多，如若数据流动汹涌无序，对个人、企业乃至国家风险甚猛。为破除数据流动风险，国与国之间制定了白名单互免规则，全球两大数据保护监管框架为欧盟《通用数据保护条例》(GDPR)与美国推动的APEC《跨境隐私规则体系》(CBPR)。GDPR设置了充分性认定标准但普及率低，白名单中仅十余国家(地区)且不含我国，而CBPR采取自愿问责制，虽与行业自律难划等号，但终究不具备强制力[1]。此外，以新型国家为主体的《东盟数字一体化框架》(ASEAN DIF)内部发展差异较大，且面临被削弱乃至边缘化的风险[2]。于我国而言，2021年11月1日，《个人信息保护法》生效，至此《网络安全法》《数据安全法》与《个人信息保护法》搭建起个人数据跨境流动风险防范之粲然架构[3]。从长远看，企图实施数据画疆而治争夺他国治外法权，抑或严苛的数据本地化保护意指淤塞流通以形成数据壁垒皆不可取，未来全球数据跨境政策主方向应当是依法、合规、有序流动。

在此全球趋势下，我国学术界对数据跨境流动监管桎梏与解决方法的理论研讨已从多视角展开，如：中外跨境数据流动法律监管的比较分析[4]，数据跨境流动治理逻辑与趋势[5]，数据主权视野下的我国数据跨境流动治理对策[6]，某一领域数据跨境流动合规管理等[7]。综合而言，现有研究不乏对数据跨境流动问题的剖解勾勒，对数据安全监管不足的拷问也不绝于耳，然而，在数据跨境全过程风险管控的法理支持和流程设计上，却难寻制度的精准指引。申言之，数据跨境流动风险规避的必要性自不待言，而主要争点还在于全流程阶段性风险评估制度模式。在个人数据跨境流动过程中，应当根据不同阶段的不同数据安全监管诉求，给出具有明确导向性的规则指引，以保证数据跨境全流程有序监管。就此，本文拟对比欧美国家与地区最新研究动态，类比援引我国环境“三同时”制度，以数据跨境流动价值论与风险分析为基，系统介绍“三同时”制度在数据保护中的独特作用，希冀为我国完善制度体系提供一隅之见。

1 个人数据跨境流动：隐忧与风险监管困境

就风险社会理论而言，现代风险大多是被制造出来的，社会形态呈现出多元、混合与共生的复杂趋势后，生态恶化、群体性冲突等公共安全问题紧接着就集中爆发[8]。当前数据跨境流动正酣，数据流动愈频繁，隐忧与风险愈多，这是现代化的悖论，也促成了风险社会难以控制的特征。实际上，恰如酸雨无壁垒地侵蚀建筑物、森林与湖水，数据风险早已脱离了始发地而串联全球，这意味着数据操纵者、使用者同样是数据原始产生者。也就是说，数据风险扩散体现了“回旋镖效应”，数据风险的制造者早晚会与风险再次邂逅，不论阶层差异抑或人种区别，都被裹挟进了数据风险旋涡[9]。

1.1 个人数据跨境流动隐忧

个人数据跨境流动主要涉及数据传输、存储与应用三环节[10]，具体来说风险主要聚焦于以下方面：

1.1.1跨境数据攻击迭代，私权侵害频仍

数据跨境流动中，搜集个人数据的设备或应用几乎无孔不入，互联网驱动企业获取、分析敏感数据后，对用户进行分类画像，能够精准营销与广告投放[11]。缘于数据价值攀升，以个人数据为目标的跨境攻击已形成黑灰产业链，攻击者由独立黑客发展为专业团体，攻击对象则从个人终端升级为泛在网络。如2021年初印度支付公司Juspay服务器超一亿用户ID泄露后，借记卡信息随即在“暗网”流通；更有甚者，无法识别出个人ID的数据经算法加持整合也可复原，换言之，绝对数据匿名化已然不复存在[12]。除个人数据跨境流动风险外，还有企业数据库频遭恶意入侵。黑客利用漏洞跨境窃取数据，通过勒索软件加密设备，随后被窃取数据将遭受“双重勒索”，即企业欲恢复系统需支付赎金，否则会受到数据泄露威胁。2021年5月，来自东欧的DarkSide经济效益之间的关系也大RaaS勒索病毒模式，造成负责美国东岸近半数油管运输的Colonial Pipeline公司停业，汽油、家用油乃至军用油全部受到严重冲击[13]。

1.1.2数据国际博弈激化，主权挑战叠加

近年来境外政府背景APT黑客针对明确目标的隐蔽性极强的网络攻击模式)试图控制我国核心设施，具体手段包括利用特种木马，对航空系统实施高强度攻击；搭建钓鱼平台，向军民融合领域蔓延，发送邮件致使军工研究数百份敏感文件被盗等[14]。境外间谍已超越传统安全领域，甚而渗透至我国国土，如某海洋公益组织近年接受境外非政府组织资助，在我国海岸线设立垃圾监测点，搜集数据并向境外提供。作为国家重要战略资源，数据在混沌局面下不可全然孤岛化为国家财产，而跨境流动则意味着国家需让渡部分管辖权，这就加大了治理边界的模糊性与动态性。同时，国际规则缺乏与冲突亦增添了国家谋求数据保护共识成本，造成数据安全治理碎片化[15]。在此局面下，为着力实现恰到好处的数据本土化与健全的跨境流动制度，更需依赖细致的数据跨境风险评估规则。

1.2 我国个人数据跨境流动风险监管困境

对数据跨境风险采取骑墙观望态度断不可取，而仅以技术变革程度判定是否需翻新现有制度亦难谓恰当。新制度是否行之有效抑或仅是屠龙之术，应从技术对社会关系的影响出发，研究制度所蕴含的风险回应能力。数据跨境风险评估，当本土实践与全球性规则冲突时需明确客观立场，具体行业应用时需因势利导，这都无法逃脱对现有制度的精准诠释。接下来，将围绕现有数据跨境风险评估规定，剖析毫厘、擘肌分理，以求抓取我国现行风险评估困境。

1.2.1《数据安全法》是跨境风险规制的初级屏障

《数据安全法》加强了国家总体安全观指引下的数据安全治理，在《网络安全法》的基础上进一步提出重要数据跨境要求。从第24条数据安全审查制度、第25条的数据出口管制、26条数据领域下的反制裁对等措施、第36条谨慎处理域外冲突管辖与证据调取问题等可见，其已然建立起了数据跨境流动风险规制的一道初步屏障，划定出数据跨境规范约束的基本边界。尽管如此，《数据安全法》制定目的在于为后续配套规定奠定合法基础，条文多具有统领性，具体数据出境管理办法尚未提及。换言之，其在提升我国数据主权优势、重塑数据国际规则方面意义重大，而对于个人与企业数据合规方面，仍需参照网信部会同国务院其他部门的规定。

1.2.2《个人信息保护法》难寻风险评估适用的精确指引

《个人信息保护法》明确了我国“长臂管辖”的适用情形，首次将效力延伸至境外主体在境外的活动，且较为清晰地提出了分类分级个人信息跨境提供方式，在个人知情同意之外创设了新型处理个人信息的合法事由。其中，第三章以自由与安全为基本原则，对内合规与对外博弈两大面向，构建了个人信息跨境提供规则，改变了以往个人信息跨境流动制度效力位阶低且不成体系的状况。然而，制度框架清晰并非意味着规则必定翔实，实质上该法仅第40条规定了安全评估规则，提及处理信息达到规定数量的个人信息提供者，应将信息储存在境内，确需向境外提供应通过国家网信部门组织的安全评估，具体评估方式、手续、流程等语焉不详，无法为风险评估提供精确指引。

1.2.3《数据出境安全评估办法(征求意见稿)》缺乏数据持续追踪监管

为完善《个人信息保护法》等上位法规定，《数据出境安全评估办法(征求意见稿)》(下文简称《征求意见稿》)细化了数据出境合同要求、评估对象与事项等[16]，表面上力求在数据流动全程做到持续监督，然则逐一品味仍有以下困境：首先，第4条规定应进行安全评估的情形为信息数量多少。实际上以数量为判断标准，不仅存在数量波动导致的认定难题，还易出现“蚂蚁搬家”的规避方式。即数据拥有者可能将数据存储在不同子系统，或者以多个关联公司名义处理数据，以规避处理达到量级所带来的安全评估要求。其次，第9条与第12条皆提及境外接收方发生变化的情况，第9条规定需在合同中约定此种情况应采取的安全措施，第12条则谈到数据处理者需重新申报评估，然而何谓“变化”却未曾说明。数据接收方法律环境转变、实质控制权变更等因素纳入“变化”范畴不容争辩，而实践中其他情形确难列举，基于此，或许忽视“变化”情形，对跨境数据流动进行持续监测才更为安全。最后，对于境外接收方数据安全标准，意见稿未作要求。在我国目前与欧盟、美国等主要法域不存在充分性保护认定或者双边协议之时，只能在个案中逐一判断，这就回归到第二点所提到的，目前阶段对数据流动进行持续追踪方可最大化规避风险。

总言之，我国现存数据跨境风险评估制度，多注重数据出境前的风险自评估、合同审查等预防规则，而数据后续同步追踪与监管规则稍逊一筹，这就意味着，克服数据同步追踪监管不利局面，需考量其他有效制度补强。环境影响评价与数据跨境风险评估相类似，重在事前预防，而“三同时”制度不仅具备预防功能，且可进行事中监管，兼具“防”与“治”的功能[17]，能够与环境影响评价制度呼应，最大限度减轻环境污染。下文以环境“三同时”制度为参照，结合现有实践，尝试从数据跨境流动的三阶段提出风险评估“三同时”制度框架，完善个人数据跨境流动安全评估体系。

2 环境保护“三同时”制度：类比适用可行性与经济正当性

第四次工业革命时代，数据是新石油，二者虽皆为经济发展的推进燃料，却无法持续自发实现“稳”中求“进”，隐忧与机遇共存。石油危机与数据风险具有相似性，治理石油危机的环境法制度为解决数据跨境流动风险所借用也未尝不可[18]。其中，数据同步追踪与监管规则缺位，恰可从环境“三同时”制度中找寻类比依据。

2.1 风险预防与控制：“三同时”制度类比适用的衔接点

“三同时”制度体现在《环境保护法》第41条中，该条文规定建设项目中防治污染的设施，应当与主体工程同时设计、同时施工、同时投产使用[19]。相对于少污染或不污染，“三同时”制度贯穿项目整个生命周期，环保设施与主体工程在空间上并存、时间上继起，以保证二者之间不可分性得以恒定[20]。

之所以需万目睽睽般监测项目始终，原因还在于环境风险普遍具有科学不确定性特征，而这恰恰是数据跨境流动的典型体现。换言之，预防环境风险与数据危机都需在决策与新的未知之间不断徘徊：在当下于风险中决策，在未来持续性动态调整，这是二者的相似写照。桑斯坦认为，“风险来临时，不采取措施会与预防原则相冲突，但采取措施恐带来新型风险，这同样与风险预防原则相抵。”[21]当制度后果不确定与确定共存时，风险预防措施与规定的审议应是反思性的动态调试过程，在必要时可允许修订或颠覆原有判断。也就是说，数据或环境“三同时”制度，并不存在终局性的规制方式，数据跨境流动审查应当在底层共识基础上，针对个案进行持续性再调整，依据实施情况予以保留、变更或删除[22]，打造以变应变的规制体系。

循此原则思路，类比环境“三同时”制度流程，可将数据跨境流动阶段分为数据流动初始意向阶段、流通规划实施阶段与数据后续提供使用阶段，分别对应“三同时”制度的设计、施工与投产使用。同样，项目主体工程与防治污染设施，映射数据跨境流动中的数据流动主体程序与数据安全审核程序，类比说明如图1所示。

图1 数据跨境流动“三同时”制度类比

2.2 经济正当性：跨越环境库茨涅兹曲线拐点之需

尽管以风险预防与控制为衔接点，在个人数据跨境流动风险评估程序中可类比“三同时”制度，但单靠数据主体自发适用，其功能也难以有效发挥。按照公共选择理论归结，任何系统都是按照最有利于目标实现的方向选择制度工具，当“三同时”制度上升至国家法律层面，意味着对数据自由流动的限制，同样证明国家安全价值在此悄然优位。这样一来，降低数据私权侵害使得数据主体收益，而制定与实施该制度的成本则由国家所承担。问题是，国家制定与实施该制度的激励何在？以下结合环境库茨涅兹曲线作出经济正当性说明。

环境库兹涅茨曲线(见图2)描述了人均GDP与环境污染的关系：在人均收入较低水平上，污染水平随收入增长而上升；但在收入较高时，污染水平却随收入增长而递减。由环境质量恶化到改善之拐点的出现，与经济增长引致的规模、结构效应有关。直观而言，倒U型曲线有其合理性，但经济增长致使环境改善的过程并不自动发生，意即不可简单将经济增长与环境污染相对立。产业结构变迁因绿色政策管制所致，尤其是高排放制造业为主的经济体，需要釜底抽薪式的严格政策。在此意义上，环境“三同时”制度是依赖政策正向构建促进拐点早日跨越的典型代表。

图2 环境库兹涅茨曲线

环境治理必将付出经济成本，而数据风险与数据主体经济效益之间的关系也大致呈现为倒U型曲线(见图3)：起初作为数据主体的企业或个人有数据跨境交易需求，但何种数据需严苛审查、何种数据保密程度较高抑或数据流动潜在社会危害性尚未可知，随着数据主体产业规模扩大，在跨境贸易或其他促使数据流通的活动中将导致数据安全风险持续攀升至一最高点(图3拐点1)。之后根据前期数据跨境经验，大致可明确数据风险等级与审查流程，再伴随数据主体规模扩大，相关管理制度与数据审查技术水平都将逐步完善，此时数据风险较前期而言将得到有效控制。数据跨境流动“三同时”制度作为一种审查数据风险的及时制度，并非以迂回式抑负性控制为特征，而是积极增益的方式激励数据主体自发适用，促使数据风险尽快回落(如图3虚线所示)。进而言之，囿于数据利益具有外溢性，数据主体在跨境传输中所追求的数据安全并非由他们个人独占，而是形成数据安全利益的公共享用，最终由制度调整的数据模式将可取得预期理想的社会秩序。

图3 数据主体经济效益与数据风险关系

3 个人数据跨境流动“三同时”制度的具体构建

援引环境“三同时”制度，环境项目主体工程与防治污染措施分别对应个人数据跨境流动中的数据流动主体程序与安全审核程序，对比环境“三同时”的设计、施工、投产使用，可将数据跨境流动分为流动初始意向阶段、流动规划实施阶段与数据后续提供使用阶段，每阶段监管方式总结如图4所示，接下来分述每部分制度的具体构建。

图4 个人数据跨境流动“三同时”制度构建

3.1 数据流动初始意向阶段：标准化合同中的动态风险防控机制

由于数据存在一定不可逆性，数据跨境风险评估应重在预防，聚焦于跨境前端程序。以欧洲数据委员会(EDPB)颁布的标准合同条款(Standard Contractual Clauses，SCCs)为例[23]，作为充分性保护的替代机制，一方面，欧盟以业务关联为标准，简化了因数据跨境参与方众多而导致的标准不一现象；另一方面，模块化合同条款又兼顾了多方主体数据控制能力的差异性[24]。我国《征求意见稿》第9条已对数据处理者与境外接收方应在合同中约定的义务做出简要规定，但这仅为标准化合同的基本路径，并非全然类型化的合同范本，且尚未衔接《数据安全法》第三章的数据安全制度。为实现数据跨境前端的风险有效治理，应当满足合同中国家安全公法义务与个人保护私法规则的有效嵌套，细化合同履行标准。具体来说，可从模块化数据汇集处理、伴随数据风险等级变化而设置应急响应处置机制、规定数据处理限制措施三方面，细化合同风险防控机制。

首先，数据跨境风险评估制度起点在于明确评估对象，而数据处理方式因出境评估场景不同而有较大差异，模块化数据汇集处理、区分管制对于解决此困境有所助益。一方面，为避免制度运行成本的负累，风险评估对象并非必然容纳所有数据。诚然，与涉国家安全的特殊个人数据或数据集合相较而言，单项数据具有明显私域性[25]，但仅以具体数量作为评估标准，显然过于单一，为数据处理者规避风险评估提供了可乘之隙。因此《征求意见稿》第4条以纯粹的碎片式跨境数据量级为评估基准难谓合理，应当修正。另一方面，应借鉴欧盟标准合同条款中的模块化数据处理方式，区分数据个人处理者与受托处理者之间的多种传输方式[26]，在保持同质性合同义务内容的前提下，提升义务履行的充分程度。其次，应当考量数据风险等级变化的动态影响因素，据此设置联动性应急响应处置机制。必须明确的是，在数据跨境流动领域并不存在无懈可击的立法资源，不同类型、安全等级与场景模块下的监管标准是持续性动态更改的。合同规制模式并非追求一味静态细化标准履行义务，而是根据风险等级变化设置应急响应机制，不断调控风险管制措施，这也是对《数据安全法》21条风险等级管理的有力回应。最后，数据监管稳定性与可执行性也是应当兼顾的重要方面，鉴于此，不仅应设立与组织人员相匹配的流程来预测、管理及防控风险，还应当规定限制数据处理行为条款，防止对数据信息妄加删除或无端修改行为的发生。

3.2 数据流动规划实施阶段：风险等级分类细化与风险审查多元架构

上述动态标准化合同是数据出境安全评估的必要条件，但绝非充分条件，就《征求意见稿》第9条规定的合同内容来看，数据流动规划实施阶段的预防性仍不足，难以实现对数据跨境生命周期的全方位监管。为细化《数据安全法》21条数据分类分级保护制度，这里应当对不同风险级别的数据施行差异化要求，依据数据出境类型、范围、接收方信息等因素，进行精准分类管理。

3.2.1以环境影响评价为例精准细化数据风险等级分类

以环境影响评价为例，根据建设项目可能对环境造成的影响，分为重大、轻度与较小影响，对建设项目进行分类管理。与之类似，同样可将数据跨境风险评估结果划分为高、中、低三种不同等级，对风险防控机制规划与实施采取不同要求(见表1)。

表1 数据风险等级划分

在划归数据风险等级时，需着重考量数据敏感度级别以及是否存在用于保护该数据的访问权限控制系统。数据风险等级较高，意味着存在涉及国家安全、程序数据源代码、个人高敏感度等数据[27]，并且尚未列级访问权限控制以限制数据获取(大量数据可被访问或进一步获取)，一旦遭到恶意攻击将遭受重大损失或声誉风险；中度风险级别意指中敏感度数据可能存在，且限制数据公开系统不甚完善；而数据敏感度级别较低，通过列级访问权限控制可进一步限制对数据的获取，则可归于低风险等级。风险防控机制需要与数据跨境流通方案同步规划与实施，不允许风险防控机制尚未落实而数据先行跨境流通情况的发生。

3.2.2数据风险审查执法的多元架构

数据跨境流动规制并非单一的监管规则体系，而是多手段应用、多主体参与、多层次监管的多元法律框架。对风险防控机制的审查，亦应发挥数据审查社会协同效应，具体而言包括以下两方面：其一，在技术手段上，应积极采取渗透测试、红蓝对抗及漏洞扫描等技术[28]，确保数据处理者使用的密钥管理、访问控制、安全备份等加密技术的有效性。其二，在参与主体方面，一方面，可赋予网络空间安全协会等行业组织以审查职能，进而推动行业自律。借助行业审查，可在政府与组织之间建立紧密合作关系，鼓励行业组织制定自律准则，规范企业数据跨境流通活动。另一方面，数据来源方或发出方是数据泄露或滥用的直接受害者，应有权参与数据跨境流通活动监管，对此可适度公开脱敏后的数据跨境风险评估结果与风险防控机制方案，必要时还应对相关数据进行解释说明。

3.3 数据后续提供使用阶段：数据跨境风险审查委托与问责机制

前二阶段落实风险防控机制并非表明“三同时”制度彻底终结，确保防控机制持续稳定运行，才是制度最终目的所在。由于时代背景需求，环境“三同时”制度不可避免的带有计划经济色彩，管制过强而激励不敷。实践中，也甚乏能够保持防治措施长期稳定运行的企业，前者甚至宁愿先缴罚款，也不履行“三同时”义务，更易罔顾在全环节同步实施环保措施。与此类似的是，数据跨境流动后期较前两大阶段而言，数据风险种类与等级也会发生变化，合同审查备案与技术措施中的风险防控机制恐难有效应对，相较于“三同时”制度中的同时设计、同时施工环节，同时运行实施难度更大。这就意味着，环境“三同时”制度在事后阶段采取的“验收”模式并不适应数据跨境流动监管，执行周期长与风险控制成本高极易导致企业为追求效益而中断实施的状况发生。综合来看，前述两大阶段数据跨境流动重“防守”策略，在该阶段中，数据跨境流动安全审查应当吸取环境“三同时”制度“激励”不足的教训，并注重数据事后使用监管“问责”，具体规则设计如下：

3.3.1适当允许委托数据风险审查补强制度激励性

为破除“三同时”制度后期激励效应不足的局面，在防御性与声誉性因素驱动下，可允许数据主体灵活地将落实风险防控机制的义务委托于可信数据审查机构，并约定严密的数据审查范围与程序、报酬奖励机制与责任承担方式，将数据主体坚守风险防控的意愿不足状态控制在一定范围之内。如此一来，不仅可降低该主体落实“三同时”义务的成本，且能够弱化“三同时”制度的管制性，避免数据主体被动应对数据监管，赋予数据主体充分自主权。久而久之，可信审查机构甚或成为数据主体利益的转化媒介，从而产生公共责任的协会治理效果。

3.3.2依靠数据风险审查问责机制巩固制度执行力

当数据主体将全部或部分数据审查义务委托于第三方时，这实际上意味着委托方与受托方在共享数据收益、共担数据风险，从而产生事后“命运捆绑式问责”效果。事实上，美国跨境隐私规则体系(Cross-Border Privacy Rules，CBPR)已然建立了问责代理制，由问责代理机构负责审查数据跨境风险防控能力，并认证数据主体隐私保护规则是否满足相应要求。这种“隐私盾”框架下的“事后问责型”风险规制模式，是在支持广泛而自由的数据跨境流动前提下，以行业自律的方式突出数据控制者的可担责性义务[29]。个中原理，实际上是加大主体不自律的预期成本，使得行业内部成员之间的多边自律收益大于单边投机收益。在此立法模式下，行业灵活度固然较高，然而依靠代理机构向数据主体问责，却有立法协调性与效力层级低等天然瓶颈。倘若由第三方机构接受数据主体委托审查其跨境业务，并在监管部门审查时与数据主体承担连带责任，则可破除自律性不足之弊端，兼顾制度激励性与执行力，从而牢固坚守数据跨境流动的最后一道防线。

4 结 语

如今全球智能化程度已大幅提高，数据资源易遭到进阶式持续渗透。在此背景下，实施动态严密的数据跨境流动监管规则，并非为数据主体设置滞碍与门槛，而是在全球数据跨境保护模式尚未统一时，指明数据跨境双向合规的理想发展路径。作为一种优越的数据风险矫正工具，个人数据跨境流动“三同时”制度将数据流动与安全审查双线紧密结合，可有效提升数据跨境透明度，避免制度决策无据或回应过度。在实践运用中，不同环节可逐步提炼数据风险识别关键影响因子，结合欧美国家(地区)先进政策动向，及时、有效且精准地丰富数据风险社会治理百宝箱。

诚然，数据“三同时”制度并非意味着将数据监管流程“径直裁切”，也不追求“毕其功于一役”，而是以全环节紧密监管、动态调整为原则，阶段性细化审查措施。除此之外，离开其他社会协同作用，仅依托数据跨境流动“三同时”制度也难以为继，遑论有效运行。这就意味着，从长远发展考量数据风险评估，不可单凭制度本身的创设，而应在数据安全整体大框架下做通盘考虑。本文只就数据跨境流动环节作粗线条制度论证，至于公私技术系统如何与相关规定融合、不同制度之间如何分工协作、数据权利边界或侵权责任等问题，仍有赖于不同学术领域研究人员戮力研讨。