论数据出境评估、合同与认证规则的体系化

赵精武

关键词：数据出境；安全评估；标准合同；安全风险管理；风险水平

一、问题的提出

一些国家在先后确定了数据安全或数据出境的国内法之后，①数据如何安全且自由流动这一根本性问题并没有得到解决，反而在全球数据跨境传输制度碎片化的趋势下，②出现企业“二选一”或“多选一”的境地。因为对于跨国企业而言，极有可能需要面对两种或者多种不同的数据出境监管要求，而这些监管要求彼此之间却相互冲突，究竟如何完成数据出境业务合规成为难题。客观来说，意欲达成全球范围的安全制度共识绝非易事。囿于不同的法律文化、制度背景、社会经济等诸多外部因素的影响，单一的数据出境安全立法显然不可能在满足国家安全的前提下，还能有效衔接全球数据跨境传输制度内容。①进一步而言，“一事一议”“一事一审”的传统监管模式依然无法适应商业实践有关数据出境的制度需求，而数据安全或国家安全的实现方式也不只有一种模式，故而数据出境安全立法的发展趋势显然应当是设置多样化的数据出境渠道，结合数据类型、数据规模、安全需求等要素，提供一般化和行业特殊性的数据出境制度方案。事实上，我国近期公布的《数据出境安全评估办法》（下文简称《评估办法》）和《个人信息出境标准合同规定》（征求意见稿）（下文简称《标准合同规定》）本身就是按照拓宽数据出境制度渠道之理念所制定的重要法律规范。倘若将所有数据出境活动一并纳入行政监管和审查范围内，暂且不说国内企业数据出境的“双向合规”难度，仅就监管机构而言，便难以应付海量的数据出境审查申请，无法实现数据出境立法目标所追求的兼顾数据安全和数据利用。

不过，上述两个数据出境相关立法文件并不等同于我国数据出境制度立法工作的完成，这仅仅是个“开头”。数据出境制度渠道的多样化既需要在立法层面提供差异化、可选择、相互替代的数据出境制度，还需要在不同数据出境制度之间实现内容衔接。《评估办法》虽在第7条规定了强制适用的情形，但在这些情形之外的“可选择”模式下，“安全评估”和“标准化合同”之间的逻辑关系究竟应当如何理解尚未得到正面回复。如果企业普遍认为“安全评估”因为有监管机构背书而更具合规稳定性，那么“个人信息出境标准合同”似乎极有可能成为制度摆设，数据出境制度的实施效果则又成为安全评估单一模式。另外，数据出境安全评估制度与网络安全审查制度之间的制度关系同样显得模糊，如果数据处理者在完成網络安全审查之后再行安全评估似乎有些冗余，且与两种制度的功能定位不相符合。《网络数据安全管理条例》（征求意见稿）自2021年11月向社会公开征求意见，其中第35条所提及的“国家网信部门认定专业机构进行的个人信息保护认证”这一规定使得我国数据出境安全制度更加模糊，认证的安全效果与合同的安全效果究竟是否能够真正做到“制度效果等同”仍存有疑义。综上而言，我国当下数据出境安全立法的重要工作除了细化具有可操作性的数据出境制度内容之外，还包括重新厘清各项数据出境制度渠道之间的逻辑关系以及我国数据出境安全制度的核心理念。②

二、数据出境安全制度架构的体系困局及其成因

（一）“评估、合同、认证和其他”数据出境安全制度的依据如何？

在通说中，我国数据出境安全制度包括数据出境安全评估、数据出境标准化合同、专业安全认证以及其他法律专门规定的特殊机制，《评估办法》也是按照此种思路予以展开。在论及该制度体系的法律依据时，学界以及实务界似乎默契地认定是《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）第38条规定了“通过国家网信部门组织的安全评估”“经专业机构进行个人信息保护认证”“标准合同”“其他条件”等数据出境具体制度。但问题在于，《个人信息保护法》第1条直接说明了调整对象仅限于“个人信息”，并不包括公共数据、商业数据等其他类型数据。这显然与《评估办法》第4条所规定的“强制性审查范围”不相符合，除了海量个人信息之外，还包括“重要数据”和“国家网信部门规定的其他情形”。从《评估办法》的立法目的来看，数据出境安全评估机制是为了“促进数据跨境安全、自由流动”，那么其上位法依据是否能够从《中华人民共和国数据安全法》（以下简称《数据安全法》）或《中华人民共和国网络安全法》（以下简称《网络安全法》）处获得？

《数据安全法》第22条和第24条分别提及“集中统一、高效权威的数据安全风险评估机制”和“数据安全审查制度”，这似乎可以作为我国数据出境安全制度的直接依据。但所谓的“安全评估”和“安全审查”之间的制度关系并没有显得那么泾渭分明，也没有直接回应数据出境问题。诚然，《数据安全法》第11条和第31条确实提及了“数据出境”和“数据跨境”，可这并不能充分解释“评估、合同、认证和其他”的数据出境安全制度架构的法律依据正是来源于此。一方面，第11条仅是以政策性条款说明国家积极采取措施促进数据跨境安全、自由流动，至于具体方式却未曾言明；另一方面，第31条规定的是“重要数据”如何出境，关键信息基础设施运营者向境外传输重要数据应当适用《网络安全法》的规定，而其他数据处理者向境外传输数据则适用“国家网信部门会同国务院有关部门制定的专门规定”。纵览全篇，《数据安全法》确实没有提供足够清晰的数据出境安全管理制度渠道，更多的是以原则性或方向性条款表述授权国家机关制定具体规则。授权立法模式仅仅说明了国家机关有权制定数据出境安全管理办法，但并不等同于说明了国家机关为何选择“评估、合同、认证和其他”这一具体数据出境立法架构。①

在《网络安全法》全文中，有关数据出境安全或数据跨境传输的条款仅有第37条和第66条，但从条款内容来看，这两条依然无法充分解释“评估、合同、认证和其他”立法架构的依据。②第37条规定的是关键信息基础设施运营者向境外提供个人信息和重要数据需要进行安全评估，但数据出境标准合同、国家认证和其他方式并没有直接提及。即便可以通过该条的兜底性表述“法律、行政法规另有规定的，依照其规定”对各种类型的数据出境制度方案予以囊括，但这种法律解释方式的前提是法律和行政法规确实作出了专门规定，然而“合同、认证和其他”这些数据出境规则尚未有行政法规提及。而第66条仅是强调了关键信息基础设施运营者违反第37条规定的法律后果，并没有对数据出境安全制度作出明确解释。更为重要的是，第37条和第66条的适用前提始终是“关键信息基础设施运营者”，至于其他类型的数据处理者需要履行法定义务只是以“依照其规定”的方式模糊处理。

（二）安全评估与标准合同制度的内容重叠？

前述对制度架构依据的质疑关注的是数据出境安全制度的外在逻辑，即立法者设计“评估、合同、认证和其他”这一架构模式所依据的上位法规定究竟是什么？《个人信息保护法》第38条是以“择其一即可”的方式规定了这四项制度之间的适用关系。并且，结合《评估办法》第4条所规定的“应当进行数据出境安全评估”法定情形，这四项制度之间的适用关系可以总结为——一般情形下，四项制度可以由数据处理者自行选择；涉及一定数量的个人信息，则必须进行数据出境安全评估。至于个人信息之外的其他类型数据，按照“法无规定即自由”之逻辑，除重要数据之外的其他商业数据则可以按照标准合同、认证机制或其他方式进行自由跨境传输，而重要数据仅能通过数据安全评估的方式出境。但是，从《评估办法》的内容来看，在绝大多数情况下，企业与境外机构进行商业层面的数据流动规模庞大，很容易就满足《评估办法》第4条中的“自上年1月1日起累计向境外提供10万人个人信息”之情形，因此个人信息出境标准合同、出境安全认证的适用场合少之又少。更重要的是，“评估、合同、认证和其他”四项制度的功能定位理应按照不同的安全技术思路实现“数据安全”之效果，但从制度内容来看，彼此之间却存在审查内容、评估范围重复的现实问题。这里以数据出境安全评估与个人信息出境标准合同两项制度为例：

第一，两类制度均要求数据处理者在数据出境之前进行“安全评估”。《评估办法》第5条与《标准合同规定》第5条具有明显的相似性，前者要求个人信息处理者开展个人信息保护影响评估，评估事项包括个人信息处理目的、范围、方式、数量、敏感程度等；而后者同样规定了数据处理者应当进行数据出境风险自评估，评估事项同样包括数据处理目的、范围、方式、种类等。这些“重复性规定”并非立法技术失误，而是为了保障数据出境安全评估和标准合同两项制度均能达到同等水平的数据安全保护效果。但从条款内容来看，这种立法设计反而使得数据出境安全评估与标准合同之间的区分程度不再那么明显。此外，《评估办法》第5条规定的是风险自评估，《标准合同规定》第5条规定的是个人信息保护影响评估，两者是不同的制度，却存在相同的重点评估内容，这无疑使得个人信息保护影响评估制度沦為风险自评估制度在个人信息保护领域的“特殊形式”，影响到我国数据安全法律制度的体系化程度。

第二，两项制度均要求数据处理者在进行审查或评估之后向网信部门备案或申报。《评估办法》第4条和第6条要求数据处理者在向所在地省级网信部门申报时提供申报书、①数据出境风险自评估报告、数据处理者与境外接收方拟订立的法律文件、安全评估需要的其他材料；而《标准合同规定》第7条规定个人信息处理者需要向所在地省级网信部门备案标准合同和个人信息保护影响评估。申报与备案的法律效力截然不同，但从这些条款内容来看，两者之间的差异性似乎并没有那么显著，唯一的差别也仅仅在于是否对申报（备案）内容进行实质性审查。这种差别产生的根源并不是审查与备案自身的功能定位，而是数据出境安全评估成为个人信息标准合同的“兜底性”制度。在个人信息出境规模较大时，数据处理者需要从标准合同制度转变为安全评估制度，但申报（备案）的内容并没有发生实质变化，仅仅只是多了一份需要说明数据出境情况的申报书而已。

第三，两项制度均要求数据处理者应当在法律文件中明确约定数据安全保护的相关事项。《评估办法》第9条规定了数据处理者与境外接收方订立的法律文件应当明确约定的“数据安全保护责任义务”，①其约定的具体事项与《标准合同规定》第6条规定的合同主要内容虽然在条款表述方式有所差异，但实际内容却是高度一致。法律文件或标准合同的条款内容需要囊括与数据出境安全相关的基本事项，即合同双方基本信息、数据处理基本情况、安全技术措施、违约和救济措施。

（三）数据出境安全制度体系困局的成因

审视前述数据出境安全制度的体系困局，多表现为评估事项、审核流程等内容的交叉重叠，其背后的成因具有多样性，不能简单用“条款内容缺乏条理性和体系性”一言以蔽之。数据出境安全问题并非是一个新兴问题。事实上，司法协助领域早已存在数据跨境监管问题，②只不过由于涉及的数据类型较为特殊，需要依据条约、协定或平等互惠原则等“合意”式的制度路径进行跨境传输执法数据。③而在重要数据、个人信息以及商业数据出境场景下，数据处理者与境外接收方达成“合意”显然并不能解决安全信任问题，还需要独立于双方的公信机制予以背书，确认双方的数据传输活动具有安全性和合法性。然而，只是有公信机制依然不足以形成体系清晰的数据出境制度，还需要完成内部制度逻辑和外部概念内涵的有效衔接。具体而言，我国数据出境安全制度体系困局的成因主要表现为以下几个方面：

第一，我国数据出境安全制度体系的安全保障逻辑具有单一性，缺乏能够统合“评估、合同、认证和其他”的理论基础。④《评估办法》和《标准合同规定》的条款内容均沿用了相同的数据安全保障义务内容，但忽视了两种制度的内在逻辑的差异性。数据出境安全评估的法理逻辑是以数据出境可能对国家安全和社会公共利益造成损害为前提，故而其评估内容和评估事项应当显著严于一般数据或少量个人信息出境的监管要求；而个人信息出境标准合同的法理逻辑是以用户个人信息出境过程的安全可控以及事后补救措施的有效性为出发点，故而合同条款内容应当以合同义务履行方式和违约责任承担方式为主要内容。更重要的是，安全评估和标准合同遵从的是两套截然不同的思路，前者是设置法定义务保障数据安全，后者则是以合同意定法律责任，预防违约风险并提供具体救济方式。至于经专业机构进行认证和其他数据出境条件亦是如此。认证的法理逻辑更侧重于以技术指标来识别和治理数据出境可能存在的内部管理漏洞和技术安全漏洞。其他数据出境条件则是针对特殊类型数据采用专门的数据出境安全审查流程。这些制度的法理逻辑关系到数据出境安全制度的体系化进程，如果忽视这些法理逻辑对四项制度在功能和内容层面的影响，进而形成彼此之间没有实质区别的制度架构，那么分设四种数据出境路径显然“多此一举”。

第二，安全评估本身就是一个相当宽泛的概念，评估的内容可以涵盖合同、技术、国际合作等要素，故而数据出境安全评估不可避免地会与标准合同、认证和其他制度发生内容重叠。但这种客观情况并不等于体系困局的无法解决，问题的关键在于“评估、合同、认证和其他”四项制度之间的适用顺序应当如何设置，以及如何在条款表述形式上将安全评估与其他数据出境安全制度予以区分。进一步而言，在现行数据安全立法框架下，安全评估具有广义和狭义两层含义，狭义的安全评估指向的是具体评估流程，如风险自评估、个人信息保护影响评估、数据出境安全评估等；广义的安全评估则泛指以数据安全或网络安全为核心原则的风险评估流程，对合同条款内容的标准化、技术措施的安全认证等措施也是属于广义安全评估的应有之义。因此，“评估”与其他三类制度的区分需要将安全评估的具体流程和评估事项予以分隔。

第三，我国数据出境安全制度为商业实践预留了国际数据业务合作空间，但这种预留方式未能与我国数据安全法律制度有效衔接。在全球数据跨境流动制度碎片化的背景下，我国也在积极推动全球共识层面的数据跨境传输，标准合同、认证等机制，既使企业具备了同时满足中欧数据安全立法要求的可能性，也成为我国反制欧盟GDPR布魯塞尔效应的制度工具。但是这种制度考量忽视了数据出境安全制度之间的兼容性，欧盟GDPR同样规定了标准合同、第三方认证以及具有约束力的公司规则等其他制度，但其整体的数据出境安全制度是双层架构：首先，事前对外国法数据安全保障能力进行评估，来评估境外接收方所在国家或地区是否能够提供“充分性保护”；倘若不属于“充分性保护”的国家或地区，企业也可以选择标准合同、第三方认证等可替代方案。“充分性保护”的评估对象是国家或地区的立法和执法环境，并不涉及企业之间数据传输的法律文件内容审查，故而也就不存在数据出境安全制度之间的内容重叠。①

三、数据出境安全制度的体系逻辑：安全风险识别与管理

（一）数据出境安全制度的体系化思路：识别评估与缓解预防

自“滴滴出行”接受网络安全审查以来，数据出境安全监管成为短期内重点立法事项，尤其是赴境外上市的公司存在非法传输国内重要数据或海量用户个人信息的安全风险。所以在之后的立法顺序上，数据出境安全评估机制先于个人信息出境标准合同、专业机构认证以及其他法定程序完成立法工作。这种制度安排所遵循的数据安全保障逻辑与数据分级分类制度直接契合，即越重要的数据越需要进行全方位的风险评估。《数据安全法》第21条将“重要数据”的认定标准规定为。一旦遭到篡改、破坏、泄露或非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成一定程度的危害结果”，这意味着数据出境安全评估制度的具体目标是为了预防数据泄露、非法利用等安全风险以及抵御危害结果的恢复能力。当然，如果将此标准作为数据出境安全制度的体系逻辑显然不具有操作性，而是需要结合“风险预防”和“损害恢复”这两项具体目标确立相应的安全风险管理逻辑。②

从我国现行立法内容来看，《网络安全法》《数据安全法》《个人信息保护法》所规定的各类安全评估机制在评估逻辑层面并没有本质差异，均强调在内部管理制度和技术安全漏洞层面的风险识别和风险预防。无论是定期风险评估，还是不定期抽检评估；无论是风险自评估，还是风险他评估，均没有摆脱数据安全管理流程的影响。①数据出境的安全风险存在于数据处理业务的各个环节，这也是学者们常提出的“按照全生命周期设计数据安全保障制度”的原因。②不过，法律话语体系与技术话语体系在数据安全领域虽然存有一定的交叉与重叠，但这并不意味着两种话语体系的“数据安全”能够保持完全一致的内涵和外延。学界有关数据安全风险的类型划分与特点总结大多围绕数据泄露、数据毁损、数据失真等内容予以展开，鲜有法学学者专门对数据安全风险概率进行评估，其原因在于数据安全风险的评估包括定性和定量两类。法律从来都不是万能的，希冀具有稳定性的法律对不断变化的风险水平进行准确预估显然不切实际，法律话语体系下的数据安全风险从来都是“定性分析”。这在网络安全等级保护制度中体现得最为明显，因为等保制度所描述的风险水平大多采用“低”“中”“高”“严重”等形容词进行排序。

那么，风险的定性分析是否因其模糊性而不如定量分析那般明确且具体呢？实则不然。定量风险分析常见于企业经营策略选择中，在“0.01%的风险概率但可能造成严重后果”和“3%的风险概率但会造成轻微后果”两者之间，企业更关注的是后者，投入额外成本去预防甚至有可能完全不会发生的风险事件不符合企业趋利避害的本质特征。而定性分析具有显著的主观性，需要基于经验性分析来判断数据安全风险是否可控。③数据出境安全制度的体系化思路首先是对数据安全风险进行定量分析，相较于企业内部对风险可接受程度而言，法律所规定的数据出境安全制度更关注数据处理者是否能够对所有可以预见的安全风险类型进行全面且稳妥地处理。定性风险分析其实是一种风险管理技术，基于既有的历史风险事件，根据风险可能导致的结果以及实际发生概率进行评分。数据出境安全制度所囊括的“评估、合同、认证和其他”均是以定性风险分析为前提，评估事项、合同条款内容、认证内容以及其他流程在一定程度上均需要对潜在的安全风险进行事前识别、类型划分以及管理流程规划等步骤，这也是这些数据出境安全制度能够实现相同安全技术目标的原因之一。不过，定性风险分析仅仅是完成了数据出境安全风险类型的识别，而具体的风险管理逻辑则是区分“评估、合同、认证和其他”四项制度功能的关键差异。简言之，理想状态下的数据出境安全风险制度主要包括识别、评估、缓解和预防四个环节，识别和评估环节主要解决的是数据出境安全风险类型和来源的问题，缓解和预防主要解决的则是安全风险以何种方式保持在可控或可接受范围内。④总结而言，我国数据出境安全制度的体系化需要从风险识别评估和风险缓解预防两个层面予以澄清内在的制度逻辑。

（二）数据出境安全风险的识别与评估：风险源头与类型划分

在商业实践中，网络安全技术服务机构均有其内在的风险分析技术和风险管理机制，或许具体的安全风险评估步骤有所不同，但都普遍承认安全风险评估的前提是进行安全风险类型识别。

美国商务部标准和技术国家机构（NIST）在2012年9月发布了《信息安全风险评估指引》（Guide for Conducting Risk Assessments）。在“2.3关键风险概念”一节中，风险被定义为“对实体受到潜在情况或事件威胁程度的衡量”，信息安全风险被定义为“由于信息或信息系统的保密性、完整性或可用性丧失而产生的风险”，而风险评估则是识别、预估和确定信息安全风险优先级的过程。评估风险需要仔细分析威胁和漏洞信息，以确定情况或事件可能对组织产生不利影响的程度以及此类情况发生的可能性。风险评估方法通常包括“合理的评估过程”“明确的风险模型”以及“特定评估方法”。信息安全风险类型和来源的确认需要事前明确评估目的、评估范围、评估相关的假设或约束条件、确定运作风险评估输入端信息来源可靠性、采用的评估方法。由于该指引并不具有直接的法律效力，NIST所提出的信息安全风险识别和评估模式实际上采用了定量和定性相结合的模式，如在识别风险来源层面，NIST提出按照组织、商业活动和信息系统三个层面进行评估，至于风险来源的类别则可以按照敌对方（个人、团体、组织或国家）安全攻击、偶然性风险（用户或管理员操作不当）、结构性风险（IT设备、环境控制软件）、环境风险（自然灾害、基础设施故障）进行划分。①

欧盟GDPR所确立的数据出境制度同样也是以事前风险类型预设和评估为基础，依据第45条规定的充分性保护认定条件，法治环境、独立有效的监管机构、国际性承诺等特别考虑因素实际上反映了欧盟立法者对于数据出境安全风险的基本认知，即风险主要来源于数据接收地的安全保障能力。既包括数据接收方所在国家是否能够提供充分有效的数据安全保障制度，也包括数据接收方所在国家是否有可能通过国内法强行要求数据接收方提供所接收的数据。此外，欧盟网络安全局（ENISA）还专门设计了一套针对数据处理活动风险等级的评估流程（参见图1），依循“场景预设——影响评估——威胁分析——风险评估——安全措施”之逻辑确定数据处理者应当采取的安全保障措施。在“威胁分析”环节，ENISA列举了数个指标供数据处理者自行衡量风险水平，如“个人数据处理的任何环节是否均通过互联网进行”等。并且，ENISA为了简化评估流程，设置了“网络和技术资源”“个人数据处理相关的流程／程序”“参与处理的不同人员”“处理规模和业务领域”四个风险评估指标。②

当然，前述以美欧为例的风险评估主要是以国内数据处理为前提，但这种识别与评估依然可以适用于数据出境领域。相较于其他数据处理场景而言，数据出境安全风险主要表现为境外数据安全状态的不可控。①美欧数据安全风险的识别和评估基本上是以风险源头为判断基准，借鉴此种安全风险评估模式，并结合我国数据安全法律制度的立法目标，数据出境安全风险的类型可以划分为四类：一是国家安全威胁型风险，主要表现为外国政府强制要求数据接收方提交国内重要数据或用户个人信息，②例如美国《澄清境外数据合法使用法》使得美国执法机构有可能以国家安全为由强迫数据接收方提交所获得数据。二是违约责任型风险，主要表现为基于商业合作的数据接收方未能按照双方约定的数据安全管理流程保障数据安全，包括擅自将数据共享至第三方主体、擅自将数据挪作他用、怠于采取安全技术措施限制数据访问权限等。三是技术漏洞风险，主要表现为在数据传输过程中存在数据泄露、数据损毁事件，其形成原因既包括内部员工的操作不当，也包括技术安全漏洞导致信息系统故障。数据处理者向境外关联方传输业务数据时，倘若因技术安全漏洞、外部网络攻击导致数据泄露或损毁，同样属于本类数据出境安全風险。四是行业特殊风险，主要表现为具有行业属性特殊的数据出境可能发生的未知类型风险，例如医疗健康数据出境可能存在逆推基因图谱等安全风险。

（三）数据出境安全风险的缓解与预防：制度体系重述

在识别和评估数据出境安全风险之后，接下来就需要对“评估、合同、认证和其他”架构中风险缓解和预防功能予以区分。首先需要明确的是，上文识别和划分的四类数据出境安全风险并不等同于排斥常见的数据安全风险类型，而是在数据出境场景下，这四类风险是数据出境安全制度亟需缓解和预防的风险类型。如在“滴滴出行”网络安全审查事件中，滴滴的境外上市行为并不单纯是一个商业行为，按照美国《澄清境外数据合法使用法》以及特朗普签署的《外国公司问责法案》的规定，美国政府部门完全有可能要求境内上市公司提交其持有的国外数据并对其进行审查。由此可见，与一般场景下的数据安全风险相比，数据出境安全风险需要设置针对性和层次性的预防和缓解机制予以解决，这也是我国数据出境安全制度彼此区分的理论基础。

数据出境安全评估制度的适用范围涉及重要数据、处理100万人以上个人信息等四种情形，而这些数据的泄露或非法利用会威胁到国家安全和社会公共利益。①因此，《评估办法》与《标准合同规定》在重点评估事项、申报提交材料、法律文件约定内容等方面存在实质性相似的问题需要在法律解释层面予以解决。一方面，安全评估的基本逻辑是对一般场景下和数据出境场景下的数据安全风险进行预防和缓解，主要解决的是涉及国家安全和公共利益的风险事件，数据出境安全评估机制需要以全面且严格的审查程序将合同条款、技术措施等事项均纳入其中。所以，与其说《评估办法》与《标准合同规定》的条款内容相似，倒不如说二者的条款表述形式未能明确区分各自解决的特殊风险类型。亦即《评估办法》规定的审查事项和范围应当更多地强调对境外机构以公权力“夺取”数据的安全风险，而《标准合同规定》所创设的标准合同条款则应当更多地凸显境外数据接收方存在违约行为时的救济方式。

个人信息出境标准合同制度的适用范围主要是以少量的个人信息为限，这是因为境外数据接收方一旦违反数据出境合同约定的义务，往往侵害的是用户个人信息权益，至于一般的商业数据则属于经营自由权的行使范围，法律没有必要针对企业自负盈亏的商业活动设置专门的数据安全监管机制。在商业实践中，境外数据接收方是否依照合同约定采取安全技术措施和制定内部安全管理制度是最难以控制的风险类型，尤其是在不涉及国家安全和社会公共利益的情形下，用户或者数据处理者难以通过民事诉讼要求数据接收方真正承担违约责任。因此，《标准合同规定》需要增加或修订的条款应当是以用户个人信息权益可行性救济和境外数据接收方违约责任承担为主要方向。标准合同机制的功能定位是在事前阶段促使数据处理者对数据接收方的履约能力进行充分考察，并通过严格的违约责任预防数据接收方发生违约行为。

专业机构认证机制和其他数据出境制度尚未制定，但是从上述数据安全风险识别和评估的结果来看，专业机构认证机制的适用范围显然与标准合同制度具有相似性，即仅限于少量的个人信息境外传输。与安全评估、标准合同相悖，专业机构认证机制的制度逻辑是由第三方授权机构对数据出境的技术安全风险进行评估，确认数据处理者向境外传输数据时是否符合国家安全技术标准或是否采取了合理适当的安全管理措施。故而专业机构认证机制的制度内容显然需要以技术安全漏洞、内部管理制度漏洞、网络安全攻击抵御能力以及应急响应制度作为主要内容，以专业的第三方风险评估业务保障数据出境过程的安全性。①至于其他数据出境安全制度，虽是以兜底性条款的形式出现在《个人信息保护法》之中，但这种制度安排实属无奈之举。客观而言，数据安全风险类型会伴随着信息技术迭代更新而有所变化，并且由于医疗健康等行业数据的特殊属性，使得数据出境的安全风险无法完全凭借“评估、合同和认证”三类机制彻底解决。②并且，由于用户个人数据分析技术的提升，部分用户个人信息往往包含了与其存在社会关系的其他个人信息要素，信息技术完全有可能通过社会关系的内容重叠，间接识别出其他人的身份信息。因此，其他数据出境安全制度则需要由行业主管部门结合行业数据的特殊性来创设专门预防行业数据出境安全风险的监管制度。

四、我国数据出境安全制度的体系化路径

（一）内在体系的整合：安全评估单列、其他制度互补

我国数据出境安全制度体系化困局最直接的表现就是安全评估、标准合同、专业认证和其他制度之间的功能定位难以明确，适用范围、法律效果等条款内容缺乏相应的衔接性。诚如前文所言，这种体系化困局的成因并非立法技术不足所导致的，而是商业实践数据类型和形式较为复杂，仅凭一种或一套数据出境安全制度解决所有安全风险不太可能。在衡量和确认各个制度所适用的数据处理场景时，囿于重要数据和个人信息承载的法益不同，数据出境安全制度内容需要以不同的审查评估流程保障公共利益或个体权益。结合我国《数据安全法》中“核心数据——重要数据——一般数据”的数据分级制度来看，我国数据出境安全制度主要适用于重要数据和个人信息两类数据。而在数据分类制度成熟之后，行业数据出境特别规则则可经由行业主管部门依据“其他数据出境条件”这一兜底性条款予以设置。之所以现阶段立法者将数据出境的范围和类型作出限定，是因为重要数据和个人信息的出境安全风险已经超过社会治理所能接受的正常风险接受水平。因此，数据出境安全制度的体系化逻辑是以识别和评估的安全风险类型为基础，按照安全风险特征，明确区分各个机制的适用范围和功能定位。我国数据出境安全制度首先需要完成内部体系的整合，亦即安全评估、标准合同、专业认证和其他制度之间的逻辑关系是“择其一”还是“安全评估为先”。

安全评估机制相较于其他机制而言，其特殊性表现为三个层面：一是风险类型特殊，即所预防的是国家安全风险，而非合同、认证等机制所预防的技术风险或违约风险。二是评估事项全面，因为只有尽可能涵盖所有安全风险来源才能在事前阶段降低风险事件的发生概率。三是实质审查为主，监管机构对数据处理者提交的申报材料进行真实性、完备性、合法性审查。综合来看，安全评估机制与其他数据出境安全制度明显处于法律效果失衡的状态。虽然《个人信息保护法》第38条规定了非涉及海量个人信息出境时“评估、合同、认证和其他”四项制度可以“择其一”，但安全评估的全面审查性明显要严于其他机制，并不真正符合“法律实施效果相同可以互为替代”的立法目标。不同于欧盟模式的“充分性保护认定——其他替代方案”的出境制度架构，我国数据出境安全评估有其特定的适用范围，无法按照欧盟模式解释所谓的制度互补性或互为替代性。事实上，从安全评估面向的国家安全风险考量，数据出境安全评估机制的体系定位应当是“涉及国家安全的特殊规则”，其制度功能是预防潜在的国家安全威胁，故而在整個数据出境安全制度体系中予以单列（参见图3）。此种“安全评估单列、其他制度互补”的优势在于：第一，缓解了安全评估与其他制度之间的内容重叠问题，更加突出安全评估在解决国家安全风险的特殊功能；第二，缓解了安全评估与其他制度之间实际效果的不对等状态，因为这种不对等的根源在于安全风险类型并不属于同一水平；第三，在尽可能降低修法成本的情况下，这种架构关系的解释性调整更具有操作性。

标准合同、认证和其他数据出境制度虽然所面向的核心安全风险类型并不相同，但是其适用范围大多是以少量个人信息出境为限，并且也不等同于这些制度排斥一般数据安全风险的解决，只不过这些安全风险类型存在主次之分而已。标准合同制度的制度逻辑是通过合同条款的形式对数据安全保障义务的履行方式予以确认，并借助违约责任之承担促使合同双方均能够按照约定履行义务。专业机构的制度逻辑是通过国家授权的专业机构进行更为专业的安全风险评估和管理，认证过程依然是以业务合规和技术安全作为主要内容，与评估、标准合同相比，认证机制具有显著的个性化特征，即专业机构能够根据申请人的实际情况作出更具体的认证结论。其他数据出境制度则是为未来不可预见安全风险预留制度规划空间，但其前提是存在技术安全风险、违约责任风险之外的其他特殊类型风险。在数据出境安全制度的整体框架内，合同条款限定、技术安全认证、其他安全措施在风险缓解和预防层面的实施路径不尽相同，但其解决的风险产生源头却具有同质性。即均是以境外数据接收方能否保障数据安全为导向，故而这些制度彼此之间可以互为替代，数据处理者可根据自身商业需求确定具体的数据出境制度路径。

（二）外在体系的整合：评估与审查的区隔

数据出境安全制度属于我国数据安全法律体系的重要组成部分，内在体系整合解决的是该项制度自身的条款逻辑问题，而该项制度与其他数据安全制度之间的外在体系整合解决的则是数据安全制度体系的一致性问题。从《评估办法》和《标准合同规定》的内容来看，数据出境的审查、评估、认证事项在很大程度上与《数据安全法》《网络安全法》《个人信息保护法》所规定的数据安全制度和个人信息保护义务内容相同。如《评估办法》第5条、第8条所规定的“数据处理目的、范围、方式”等内容与《个人信息保护法》第17条规定的个人信息处理者告知事项基本相同。这些条款内容的相似性恰恰说明了数据出境安全制度在数据安全法律体系中具有一般性和特殊性。所谓的一般性是指数据出境安全制度设计是以《数据安全法》《个人信息保护法》立法目标为基础，数据出境过程首先需要满足的是一般性的数据安全监管要求；所谓的特殊性是指数据出境安全制度解决的安全风险不再仅仅限于数据处理者自身未能合理恰当履行法定义务或存在外部网络攻击风险，还包括境外接收方及其所在国家或地区对传输数据的安全威胁。加之数据出境安全制度与网络安全审查、数据分级分类制度之间的逻辑关联性，外在体系的规则整合同样是我国数据出境安全制度体系化的重要目标。

1.数据出境安全制度与数据分级分类制度

《数据安全法》第21条规定了数据分级分类保护制度，并由主管部门制定本地区、本部门以及相关行业、领域的重要数据具体目录。该制度与数据出境安全制度之间存在三层逻辑关系：第一，重要数据目录是适用数据出境安全评估机制的直接依据。在商业实践中，业务数据、个人信息、行业关键数据等诸多类型数据相互交叉，难以界限分明地区别不同数据类型。而重要数据目录则通过列举包含重要信息内容的数据要素解决出境数据法律性质模糊的现实问题。第二，我国目前尚未明确数据分类制度的具体内容，行业数据出境是否可能发生未知的安全风险仍有待研究.这与数据出境安全制度中的“其他出境条件”相对应。第三，数据分级分类制度的基本逻辑是根据数据的重要程度和泄露、损坏后的危害结果进行层次性保护，①与之对应的数据安全出境安全制度显然也需要在内在体系层面形成层次性架构，而“安全评估单列，其他制度互补”模式也能够说明“特殊数据”出境采用特别规则，“一般数据”出境采用一般规则或允许自由流动。

2.数据出境安全制度与网络安全审查、数据安全审查

数据出境安全制度本身即具有审查和评估数据出境是否安全的基本内涵，这与网络安全审查和数据安全审查制度的立法目标具有相似性，那么这些制度之间的逻辑关系是相互平行，还是数据出境安全制度属于网络安全审查和数据安全审查的下位概念呢？《网络安全法》第35条规定了关键信息基础设施运营者在采购网络产品和服务时需要通过国家安全审查，《网络安全审查办法》第2条还将网络平台运营者开展数据处理活动影响或可能影响国家安全之情形同样纳入网络安全审查范围内。虽然《网络安全审查办法》第8条和第10条规定的审查事项大多以具体的网络产品和服务为限，侧重评估关键信息基础设施是否持续稳定运行，但第10条列举的“国家安全风险因素”又包括了“核心数据、重要数据或大量个人信息”。此外，《数据安全法》第24条也规定了数据安全审查制度，对影响或可能影响国家安全的数据处理活动进行国家安全审查，但具体的审查流程和审查事项并未明确。由此来看，网络安全审查、数据安全审查以及数据出境安全制度之间的逻辑关系属于部分内容交叉（参见图4）。数据安全审查与网络安全审查均属于国家安全审查制度，两者虽均涉及数据安全问题，但是网络安全审查更侧重信息系统的稳定运行，所谓的网络信息安全是衡量网络安全的一个指标；而数据安全审查则是对核心数据、重要数据以及大量个人信息安全状态的全面审查，数据出境安全评估机制则是数据安全审查的组成部分。倘若将数据出境安全评估与数据安全审查视为两项完全不同的制度，必然会导致重复评估审查的制度弊端。更为重要的是，数据出境安全评估是前置性条件，由数据处理者主动申报；而网络安全审查和数据安全审查则是由监管机构主动发起，数据出境安全评估的结果理应视为已经完成数据出境环节的安全审查流程。

3.数据出境安全评估与个人信息保护影响评估制度

《评估办法》第5条规定的风险自评估事项与《标准合同规定》第5条规定的个人信息保护影响评估事项具有相似性，该条款内容重复问题的解决显然需要明确风险自评估与个人信息影响保护评估制度之间的体系关系。《数据安全法》第22条提及了国家建立数据安全风险评估机制，但并没有在条款中明确说明风险自评估。①同样地，在《个人信息保护法》中也没有风险自评估的类似表述，仅有《评估办法》对风险自评估作出了明确规定。这种立法现状存在两种解释可能：一是风险自评估制度可能由其他具体的部门规章予以确认；①二是风险自评估与风险他评估均是安全评估的一种方法，而不是一种具体制度。两相比较而言，后一种解释方案更符合《网络安全法》《数据安全法》有关安全评估机制的条款表述，因为一旦风险自评估制度成为一项具体制度，意味着风险他评估、定期评估、不定期评估等评估方法均可能属于具体制度，明确且稳定的法律制度概念反而会限制安全风险评估机制适应数据安全事件变化的灵活性。因此，个人信息保护影响评估制度是《个人信息保护法》所规定的数据处理者法定义务类型之一，其所遵循的评估方法、流程与风险自评估这一评估方式具有相似性。

（三）数据出境安全制度的完善思路和优化路径

鉴于《评估办法》近期出台，短期内对其条款内容进行修订不具有可操作性，故而可以考虑对《标准合同规定》等征求意见稿进行调整。此外，2016年通过的《网络安全法》与2021年通过的《数据安全法》《个人信息保护法》已经间隔5年，网络安全和数据安全态势已经发生相当大的变化，从法律框架体系化的角度考量，不妨对这三部网信领域的“基本法”进行体系性规则整合。具体而言，我国数据出境安全制度的体系化方向可以从以下三个层面实现：

1.明确标准合同机制的意定属性与公信效应

为了增加数据出境安全评估与标准合同制度之间制度定位的区分度，有必要在《标准合同规定》中增加约定义务的表述方式：一是区分个人信息保护影响评估与风险自评估的差别，将第5条中“应当事前开展个人信息保护影响评估，重点评估以下内容”调整为“应当事前自行开展个人信息保护影响评估，重点评估以下风险事项”。其目的是突出个人信息保护影响评估所遵循的方法是风险自评估，由数据处理者先行判断个人信息出境可能存在的风险水平及其危害结果。二是强化用户自然人的权利救济可能性与便捷性。在数据接收方确实违背合同约定泄露用户个人信息时，由用户自行起诉境外数据接收方显然存在成本高、难度大的现实问题。因此需要在第6条中将“救济”单独列为一项需要特别规定的标准合同条款内容，如“个人信息权利人主张个人信息权益受侵害时可自由选择数据处理者或境外数据接收方单独或一并承担侵权责任”。三是增加标准合同的透明度，因为个人信息保护的一个重要前提是數据处理过程的公开透明，由于数据出境本身属于较为私密的商业活动，自然人难以确定个人信息出境是否采取了合理保护措施。因此，可以在第8条增加一条——“个人信息处理者在标准合同备案之后应当将有关个人信息保护相关的合同条款内容予以公示，涉及商业秘密的境外数据接收方可不予公示。”此种规定是为了增加社会公众对数据出境安全的信任度以及帮助自然人在充分知情的前提下决定是否同意个人信息出境。

2.调整“评估、合同、认证和其他”的适用顺序

《个人信息保护法》第38条虽然已经明确规定“评估、合同、认证和其他”四项制度之间可以“择其一”，数据出境安全制度体系似乎已成定局。但这种规定的前提是仅以个人信息为限，并且在少量个人信息出境时，这四项制度所能实现数据安全风险缓解和预防效果相同，“安全评估单列、其他制度互补”的体系架构仍有解释空间。因为《评估办法》适用情形包括了重要数据，故而有关数据出境安全制度的体系性规定可以尝试在其他立法文件中专门规定。如《网络数据安全管理条例》（征求意见稿）第35条采取了与《个人信息保护法》第38条相类似的条款表述，并且其适用范围是以“网络数据”而非“个人信息”为限。因此，可以考虑按照“安全评估单列、其他制度互补”的内在体系逻辑，将第35条调整为“数据处理者因业务等需要，确需向中华人民共和国境外提供数据的应当具备下列条件之一：（一）数据处理者和数据接收方均通过国家网信部门认定的专业机构进行了个人信息保护认证；（二）按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同，约定双方权利和义务；（三）法律、行政法规或者国家网信部门规定的其他条件。数据处理者向境外提供重要数据或大量个人信息，影响或可能影响国家安全的，应当通过数据出境安全评估”。

3.《网络安全法》《数据安全法》《个人信息保护法》的体系整合

自《数据安全法》出台之后，有关《网络安全法》《数据安全法》与《个人信息保护法》之间的体系关系如何解释一直存有争议，尤其是“网络安全”和“数据安全”两项立法目标部分交叉重叠关系成为难题。但是，从现行立法进程来看，《网络安全法》与《数据安全法》属于并列关系的解释方案更为恰当。虽然“网络安全”之内涵确实包含了数据安全，并且在安全审查过程中，网络功能状态与数据可用状态常常绑定在一起，但需要澄清的是，数据可用状态仅仅只是一个评估指标，通过数据可用来判断信息系统和网络服务功能是否稳定运行。因此，这三部“基本法”的体系整合方向是将网络安全和数据安全相关规则作进一步区隔，将数据出境安全评估纳入《网络安全法》第34条规定的关键信息基础设施运营者的第五类安全保护义务，并在《网络安全法》第45条之后增加一条“网络运营者因业务等需要确需向中华人民共和国境外提供数据的，应当适用《中华人民共和国数据安全法》的规定”。此外，虽然修改《个人信息保护法》第38条内容不具有可操作性，但结合前述网络安全和数据安全的体系整合思路，第38条所提及“向境外提供个人信息”则可作限缩解释，即以不影响国家安全的少量个人信息为限。

结语

近年来，为了应对国内外网络安全态势的巨大变化，①我国网络安全和数据安全立法进程不断加速，已经初步形成涵盖数据安全、网络功能安全、网络信息生态安全、信息技术安全等多层面的网络安全立法体系。其中，《评估办法》的颁布更是意味着我国数据跨境传输制度发展到新阶段，与标准合同、专业认证等其他制度初步建构起数据出境安全制度体系。不过，在制度建构过程中需要注意數据出境安全制度内在体系与外在体系的规则整合，避免出现因具体制度分阶段制定导致数据出境安全制度零散化、重复化等弊端。不同于传统数据安全法律制度的理论研究，数据出境安全制度解释论和立法论层面的问题均具有显著的实践性特征，依托信息自主权、动态场景规制等理论解释方案并不能很好地解决数据出境实践中亟需解决的现实问题。更准确地说，数据出境安全制度的建构问题重点在于应当以何种数据安全风险管理流程控制境外传输之后的风险不可控。单一的数据出境路径既不能有效回应数据出境时不同商业需求和业务特征，也无法回应不同类型数据在出境过程中存在的差异化风险类型。因此，在接下来的数据出境安全制度建构中，除了需要补足“专业机构安全认证”这一数据出境安全制度之外，还需要整合上位法与下位法有关数据出境的监管要求，明确数据出境制度路径的多元化与特殊性，在确保安全的基础上实现更高效的数据自由流动。

（责任编辑：王玎）