論數(shù)據(jù)安全的等保合規(guī)范式轉(zhuǎn)型

●楊 力

互聯(lián)網(wǎng)時(shí)代幾乎所有個(gè)人或組織都在產(chǎn)生數(shù)據(jù)，數(shù)據(jù)記錄國(guó)家點(diǎn)滴，刻畫(huà)國(guó)家在多個(gè)維度上的全景實(shí)時(shí)變化。“許多看似無(wú)關(guān)的多維異構(gòu)數(shù)據(jù)在比對(duì)、關(guān)聯(lián)和有效融合后，仍可以推斷出具有穿透力、威懾力的致命信息，嚴(yán)重威脅國(guó)家安全和社會(huì)穩(wěn)定?！薄?〕楊力：《論數(shù)據(jù)交易的立法傾斜性》，載《政治與法律》2021年第6期，第2頁(yè)。不少?lài)?guó)家依托在全球的跨國(guó)商業(yè)或研發(fā)機(jī)構(gòu)，肆意搜集數(shù)據(jù)，監(jiān)控?cái)?shù)據(jù)傳輸，控制數(shù)據(jù)流向，操縱網(wǎng)上內(nèi)容?！?〕參見(jiàn)徐漢明、張新平：《網(wǎng)絡(luò)社會(huì)治理的法治模式》，載《中國(guó)社會(huì)科學(xué)》2018年第2期，第49頁(yè)。斯洛登披露“棱鏡門(mén)”、Google境外操縱利比亞大選、美國(guó)中情局“Vault 7”計(jì)劃等標(biāo)志性事件，〔3〕美國(guó)中情局（CIA）的秘密黑客項(xiàng)目“Vault 7”涉及美、俄、德政府和蘋(píng)果、谷歌、微軟等多家公司，致力于以MacOS、Windows、Linux等操作系統(tǒng)，iOS、Android等移動(dòng)應(yīng)用，以及嵌入式系統(tǒng)、物聯(lián)網(wǎng)設(shè)備等為研究對(duì)象，以合作或購(gòu)買(mǎi)獲取平臺(tái)安全漏洞，精準(zhǔn)針對(duì)漏洞研發(fā)黑客攻擊工具。參見(jiàn)王丹娜：《維基解密爆料美國(guó)中情局文件事件綜述》，載《中國(guó)信息安全》2017年第5期，第86頁(yè)。更是挑戰(zhàn)所有國(guó)家神經(jīng)，改變對(duì)數(shù)據(jù)風(fēng)險(xiǎn)的傳統(tǒng)認(rèn)知，折射數(shù)據(jù)安全正在經(jīng)受的全球性嚴(yán)峻考驗(yàn)。習(xí)近平總書(shū)記指出，“要以政治安全為根本，統(tǒng)籌外部安全和內(nèi)部安全、國(guó)土安全和國(guó)民安全、傳統(tǒng)安全和非傳統(tǒng)安全、自身安全和共同安全?！薄?〕習(xí)近平：《決勝全面建成小康社會(huì) 奪取新時(shí)代中國(guó)特色社會(huì)主義偉大勝利》，人民出版社2017年版，第24頁(yè)。面對(duì)泛全球化的數(shù)據(jù)安全問(wèn)題，國(guó)家迫切需要建立等保合規(guī)體系。根據(jù)國(guó)家標(biāo)準(zhǔn)的有關(guān)規(guī)定，數(shù)據(jù)安全的等保合規(guī)是指依據(jù)數(shù)據(jù)和數(shù)據(jù)載體在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，以及一旦遭到破壞、喪失功能或者數(shù)據(jù)被篡改、泄露、丟失、損毀后，對(duì)國(guó)家安全、社會(huì)秩序、公共利益及公民、法人和其他組織的合法權(quán)益造成的侵害程度，國(guó)家相關(guān)部門(mén)、業(yè)務(wù)和系統(tǒng)的等保義務(wù)主體分等級(jí)予以保護(hù)和響應(yīng)的制度體系?！?〕參見(jiàn)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)2019年5月13日新修訂的《信息安全技術(shù)：網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T22239—2019），又被稱(chēng)為“等保2.0”。

一、數(shù)據(jù)安全“等保合規(guī)”的正本清源

網(wǎng)絡(luò)是分散式終端的神經(jīng)元連接，更是產(chǎn)生、運(yùn)作和管理數(shù)據(jù)的“人”的連接和操控?！叭恕币源a方式的“技術(shù)馴服”及關(guān)系轉(zhuǎn)化，〔6〕參見(jiàn)何明升：《中國(guó)網(wǎng)絡(luò)治理的定位及現(xiàn)實(shí)途徑》，載《中國(guó)社會(huì)科學(xué)》2016年第7期，第114頁(yè)。使數(shù)據(jù)流動(dòng)超越地域，參與主體不確定，影響波及面大，防控難以及時(shí)響應(yīng)。長(zhǎng)期以來(lái)，數(shù)據(jù)安全識(shí)別和應(yīng)對(duì)具有被動(dòng)性、跟進(jìn)式的明顯特征。隨著國(guó)外科技公司在中國(guó)境內(nèi)的領(lǐng)域性數(shù)據(jù)應(yīng)用日益廣泛，破解這一局面的緊迫性不斷增強(qiáng)。一方面，國(guó)外科技公司覆蓋更多的國(guó)民經(jīng)濟(jì)重點(diǎn)行業(yè)，“包括公共事業(yè)、電信業(yè)、石油和天然氣、教育、中小型商業(yè)、資本市場(chǎng)、銀行業(yè)、保險(xiǎn)業(yè)、高端媒體分析、裝備制造、醫(yī)療保障、消費(fèi)品、生命科學(xué)、零售等”?！?〕王成剛：《高技術(shù)跨國(guó)公司組織創(chuàng)新影響因素與路徑研究》，載《科技和產(chǎn)業(yè)》2020年第5期，第82頁(yè)。與之相應(yīng)，數(shù)據(jù)安全難以局限于單一化法律部門(mén)的考量，須根據(jù)立法格局辯證創(chuàng)新，以大安全視角實(shí)現(xiàn)制度精細(xì)化。另一方面，國(guó)外科技公司在中國(guó)業(yè)務(wù)幾乎涉及數(shù)據(jù)產(chǎn)業(yè)鏈所有環(huán)節(jié)，不僅有該產(chǎn)業(yè)鏈后端的數(shù)據(jù)應(yīng)用產(chǎn)品研發(fā)，而且觸及芯片、服務(wù)器等存儲(chǔ)、算力底層硬件設(shè)備，建模、補(bǔ)丁和更新的操作系統(tǒng)，以及全流程辦公或商業(yè)軟件的研發(fā)與運(yùn)維?！?〕參見(jiàn)許可：《數(shù)據(jù)爬取的正當(dāng)性及邊界》，載《中國(guó)法學(xué)》2021年第2期，第173頁(yè)。其間，技術(shù)創(chuàng)新附隨的技術(shù)風(fēng)險(xiǎn)、操作風(fēng)險(xiǎn)，甚至誘發(fā)系統(tǒng)性風(fēng)險(xiǎn)的可能，使監(jiān)管者須予以有力回應(yīng)，面向網(wǎng)絡(luò)和數(shù)據(jù)，構(gòu)建分布式的等級(jí)監(jiān)管、實(shí)時(shí)性的風(fēng)險(xiǎn)識(shí)別、科學(xué)化的合規(guī)體系。

為此國(guó)家設(shè)立了數(shù)據(jù)安全的等保合規(guī)制度，該制度最早規(guī)定在2007年的《信息安全等級(jí)保護(hù)管理辦法》，之后被《網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱(chēng)《網(wǎng)安法》）加以固化，它規(guī)定了國(guó)家實(shí)施網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，尤其重點(diǎn)保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施。近年來(lái)，國(guó)家在硬件和系統(tǒng)的國(guó)產(chǎn)化替代上先后推動(dòng)“安可”“信創(chuàng)”工程。但是，網(wǎng)絡(luò)安全不等于數(shù)據(jù)安全，數(shù)據(jù)依附于網(wǎng)絡(luò)，兩者卻在內(nèi)涵、目標(biāo)、實(shí)施機(jī)制等方面存在巨大差異。網(wǎng)絡(luò)安全受到侵害，不一定危及數(shù)據(jù)安全；數(shù)據(jù)安全受到侵害，也可能并不危及網(wǎng)絡(luò)安全。〔9〕See Foulks, J. A. German IT Security Law, Vol.6, Journal of Law & Cyber Warfare, 2018（2）, p. 165-190.相較網(wǎng)絡(luò)設(shè)施和運(yùn)營(yíng)安全，數(shù)據(jù)安全長(zhǎng)期居于從屬地位?！毒W(wǎng)安法》制定時(shí)尚未專(zhuān)門(mén)指向數(shù)據(jù)本身安全，因此數(shù)據(jù)安全被納入了網(wǎng)絡(luò)安全。隨著《數(shù)據(jù)安全法》（以下簡(jiǎn)稱(chēng)《數(shù)安法》）出臺(tái)，已形成了數(shù)據(jù)安全“單獨(dú)立法”局面，專(zhuān)門(mén)研究數(shù)據(jù)安全的等保合規(guī)成為題中應(yīng)有之義。

從本質(zhì)上，數(shù)據(jù)安全等保合規(guī)的目標(biāo)是以數(shù)據(jù)的完整性、保密性、可用性為原則，以安全等級(jí)保護(hù)為依據(jù)，重點(diǎn)禁止未經(jīng)授權(quán)的訪問(wèn)、使用、披露、破壞、滲透、修改或銷(xiāo)毀。其中，科學(xué)合理地設(shè)置安全等級(jí)保護(hù)的分級(jí)標(biāo)準(zhǔn)始終是該領(lǐng)域的核心議題。目前等保制度分為五級(jí)，其中“三級(jí)”以上等保涉及國(guó)家安全、社會(huì)秩序和公共利益；這些領(lǐng)域也是國(guó)外科技公司在數(shù)據(jù)安全上的主要鎖定區(qū)域。國(guó)外科技公司影響數(shù)據(jù)安全的重點(diǎn)領(lǐng)域包括：（1）公共事務(wù)領(lǐng)域，涉及空天地海一體化數(shù)據(jù)，氣象、水利、地理數(shù)據(jù)，領(lǐng)海、經(jīng)濟(jì)專(zhuān)屬區(qū)、人工島數(shù)據(jù)，航路、航道、航線(xiàn)等數(shù)據(jù)，多維社交平臺(tái)數(shù)據(jù)，實(shí)時(shí)更新新聞、輿情數(shù)據(jù)，超大、重點(diǎn)城市治理數(shù)據(jù)等?！?0〕參見(jiàn)李華、范鑫鑫等：《空天地一體化網(wǎng)絡(luò)安全防護(hù)技術(shù)分析》，載《中國(guó)電子科學(xué)研究院學(xué)報(bào)》2014年第6期，第593頁(yè)。（2）國(guó)民經(jīng)濟(jì)領(lǐng)域，涵蓋國(guó)民經(jīng)濟(jì)統(tǒng)計(jì)數(shù)據(jù)，區(qū)域經(jīng)濟(jì)與規(guī)劃治理數(shù)據(jù)，產(chǎn)業(yè)升級(jí)轉(zhuǎn)型的結(jié)構(gòu)調(diào)整數(shù)據(jù)，物資儲(chǔ)備和物流運(yùn)輸數(shù)據(jù)，大宗資本流動(dòng)、外匯管制與金融安全數(shù)據(jù)，稀缺戰(zhàn)略資源與環(huán)境規(guī)劃數(shù)據(jù)等?！?1〕參見(jiàn)趙彥云：《宏觀經(jīng)濟(jì)統(tǒng)計(jì)分析發(fā)展的基本問(wèn)題》，載《經(jīng)濟(jì)理論與經(jīng)濟(jì)管理》2013年第5期，第23頁(yè)。（3）社會(huì)治理領(lǐng)域，覆蓋車(chē)聯(lián)網(wǎng)、物聯(lián)網(wǎng)、人流峰值等實(shí)時(shí)流動(dòng)性數(shù)據(jù)，流行疾病預(yù)測(cè)與衛(wèi)生防控大數(shù)據(jù)，移動(dòng)終端的熱點(diǎn)軌跡數(shù)據(jù)；電商平臺(tái)不斷更新的消費(fèi)者偏好數(shù)據(jù)等。以上數(shù)據(jù)安全風(fēng)險(xiǎn)分為兩類(lèi)：一是敏感數(shù)據(jù)。需要在已有嚴(yán)格管制基礎(chǔ)上，更多使用“隔離帶”“主權(quán)線(xiàn)”“安全閥”“制度墻”等多功能工具，完成立體化嚴(yán)密布控。二是非敏感數(shù)據(jù)。需要全面實(shí)時(shí)有效甄別，防止多樣數(shù)據(jù)在完成集成比對(duì)、小樣本集校驗(yàn)、概率模擬與決策、人機(jī)推理驗(yàn)證后，直接或間接產(chǎn)生潛在的數(shù)據(jù)安全風(fēng)險(xiǎn)。

國(guó)外科技公司產(chǎn)生的數(shù)據(jù)安全問(wèn)題，導(dǎo)致了等保合規(guī)的領(lǐng)域性門(mén)檻提高、制度專(zhuān)業(yè)性增強(qiáng)、體系防控難度加大，以往針對(duì)網(wǎng)絡(luò)設(shè)定的等保合規(guī)規(guī)范，不能完全適應(yīng)和應(yīng)對(duì)數(shù)據(jù)安全評(píng)估。同時(shí)，等保合規(guī)又不能一味以數(shù)據(jù)安全為由“一刀切”，而是在數(shù)據(jù)安全嚴(yán)控底線(xiàn)的基礎(chǔ)上，同時(shí)支持供應(yīng)數(shù)據(jù)產(chǎn)品產(chǎn)生社會(huì)經(jīng)濟(jì)效益。對(duì)此，國(guó)家按照“急用先行、分類(lèi)推進(jìn)、成熟一批、發(fā)布一批”的原則加以建設(shè)和完善，既要強(qiáng)調(diào)國(guó)外科技公司數(shù)據(jù)安全的較高級(jí)別等保合規(guī)，又要推動(dòng)“要素級(jí)別”的數(shù)據(jù)被更大幅度、更深層次應(yīng)用，甚至不少難題在世界范圍內(nèi)也屬于“無(wú)人區(qū)”。因此基于數(shù)字化轉(zhuǎn)型背景，需要在促進(jìn)與規(guī)制的雙重視角上深入探討數(shù)據(jù)安全的等保合規(guī)。

二、國(guó)外等保理論和實(shí)踐前沿的梳理

國(guó)外科技公司因其地位和業(yè)務(wù)特殊性，已成為國(guó)內(nèi)外數(shù)據(jù)安全的等保制度重點(diǎn)對(duì)象。圍繞這一問(wèn)題的研究，理論上出現(xiàn)了“數(shù)據(jù)主權(quán)模式”〔12〕K. Singi, S. Choudhury, etc, Data Sovereignty Governance Framework, ICSE 20: 42nd International Conference on Software Engineering, june 27, 2020.“利益相關(guān)方治理”〔13〕Working Group on Internet Governance, Report from the Working Group on Internet Governance, Document WSIS-II/PC-3/DOC/5-E, August 2005, p. 3.“數(shù)據(jù)安全層級(jí)化”〔14〕R. Boncea, C. Cirnu, Cloud for Europe Project: New Solutions for Addressing Cloud Security Issues, Proceedings of the 15th International Conference on Quality and Dependability, September 15, 2016.“互聯(lián)網(wǎng)協(xié)商民主”〔15〕E. Sorensen, J. Torfing, Theories of Democratic Network Governance, Public Administration, 2008（3）, p. 859-862.“數(shù)據(jù)社群主義”〔16〕D. Bunders, Kriszitina Varró, Problematizing Data-Driven Urban Practices: Insights from five Dutch Smart Cities, Cities, 2019（4）,p.215-243.等不同立場(chǎng)，但聚焦于數(shù)據(jù)安全的等保研究都指向以下三大問(wèn)題。

第一個(gè)問(wèn)題，是堅(jiān)持?jǐn)?shù)據(jù)本地化還是跨境流動(dòng)。數(shù)據(jù)跨境流動(dòng)包括跨越國(guó)界的數(shù)據(jù)傳輸和處理，或者數(shù)據(jù)在境內(nèi)但被第三國(guó)主體訪問(wèn)。這個(gè)問(wèn)題的分歧與國(guó)家數(shù)字化能力相關(guān)。一方面，數(shù)字化強(qiáng)國(guó)依賴(lài)其在全球布局的國(guó)外科技公司，以場(chǎng)景應(yīng)用牽引數(shù)據(jù)的跨境流動(dòng)，試圖產(chǎn)生有利于本國(guó)數(shù)字化發(fā)展的“虹吸效應(yīng)”。在此基礎(chǔ)上，等保制度表現(xiàn)為包括技術(shù)標(biāo)準(zhǔn)在內(nèi)的軟法更多、硬法較少；〔17〕See X. Sun, Critical Security Issues in Cloud Computing: A Survey, 2018 IEEE 4th International Conference on Big Data Security on Cloud （Big Data Security）, IEEE International Conference on High Performance and Smart Computing, （HPSC） and IEEE International Conference on Intelligent Data and Security （IDS）, 2018, p. 216-221.合規(guī)管轄限于本國(guó)領(lǐng)土；跨境流動(dòng)的數(shù)據(jù)也以清單式列舉為主。比如，美國(guó)堅(jiān)決反對(duì)數(shù)據(jù)本地化，主張數(shù)據(jù)在全球市場(chǎng)的自由流動(dòng)?！?8〕美國(guó)也針對(duì)本土的部分?jǐn)?shù)據(jù)實(shí)施了本地化要求。比如，美國(guó)國(guó)防部規(guī)定所有為該部門(mén)服務(wù)的云計(jì)算服務(wù)提供商須在境內(nèi)儲(chǔ)存數(shù)據(jù)；美國(guó)國(guó)家稅務(wù)局也發(fā)布規(guī)定要求稅務(wù)信息系統(tǒng)應(yīng)當(dāng)位于美國(guó)境內(nèi)。目前影響最大的就是美國(guó)本土國(guó)安局“棱鏡”計(jì)劃，卷入了微軟、雅虎、谷歌、蘋(píng)果等科技巨頭，美國(guó)軍方的“情報(bào)界伙伴計(jì)劃”〔19〕高慶德：《美國(guó)情報(bào)界“一體化”的理論與實(shí)踐》，載《情報(bào)雜志》2012年第3期，第67頁(yè)。更是主導(dǎo)了Google、AT&T、蘭德公司、黑水國(guó)際等數(shù)以千計(jì)的科技公司。們借助在全球業(yè)務(wù)，要么“收集電郵、照片、即時(shí)消息、視頻、文件傳輸、存儲(chǔ)數(shù)據(jù)、語(yǔ)音聊天、視頻會(huì)議、登錄時(shí)間、社交資料等數(shù)據(jù)”，〔20〕熊剛、時(shí)金橋、郭莉：《棱鏡計(jì)劃幕后的技術(shù)分析》，載《保護(hù)科學(xué)技術(shù)》2013年第7期，第13頁(yè)。要么加入母國(guó)安全攻擊計(jì)劃，窺探、滲透和侵入他國(guó)計(jì)算機(jī)信息系統(tǒng)。

另一方面，數(shù)字化弱國(guó)沉淀數(shù)據(jù)的能力相對(duì)較弱，更多強(qiáng)調(diào)數(shù)據(jù)主權(quán)的底線(xiàn)，嚴(yán)格防止數(shù)據(jù)的跨境“凈流出”。因此，等保合規(guī)上的硬法偏多；數(shù)據(jù)立法管轄更多不限于領(lǐng)土內(nèi)，而以營(yíng)業(yè)地或控制地為原則，且實(shí)行“海外長(zhǎng)臂管轄”；跨境流動(dòng)數(shù)據(jù)也采取概括式定義，目的是讓本國(guó)擁有數(shù)據(jù)安全的更大話(huà)語(yǔ)權(quán)。根據(jù)這一邏輯，不少?lài)?guó)家開(kāi)始實(shí)行數(shù)據(jù)本地化與高標(biāo)準(zhǔn)限制跨境傳輸立法。作為等保合規(guī)的數(shù)據(jù)本地化典型代表，俄羅斯“對(duì)跨境數(shù)據(jù)流動(dòng)管理，已從自由放任轉(zhuǎn)向嚴(yán)格限制”?！?1〕K. Anna, K. Nikolay, “Survey on Big Data Analytics in Public Sector of Russian Federation”, Vol. 55, Procedia Computer Science, April, 2015, p. 905, 911.該國(guó)第97、242號(hào)法令確立了數(shù)據(jù)本地化的基本規(guī)則，明確國(guó)外科技公司收集、處理數(shù)據(jù)的數(shù)據(jù)庫(kù)必須位于境內(nèi)，且規(guī)定數(shù)據(jù)處理者應(yīng)向監(jiān)管機(jī)構(gòu)報(bào)告數(shù)據(jù)庫(kù)所在地。同時(shí)，近年來(lái)歐盟為降低數(shù)據(jù)跨境傳輸?shù)陌踩L(fēng)險(xiǎn)，廢止了歐美之間運(yùn)行多年的《安全港協(xié)議》，即使以妥協(xié)后的《隱私盾協(xié)議》代之，也加強(qiáng)了國(guó)外科技公司等在域外獲取或訪問(wèn)歐盟數(shù)據(jù)的限制?！?2〕M. Cuquet, A. Fensel, The Societal Impact of Big Data: A Research Roadmap for Europe, Vol.54, Technology in Society, August 2018, p.74-86.

與之密切相關(guān)的第二個(gè)問(wèn)題，是執(zhí)法數(shù)據(jù)的跨境調(diào)取。數(shù)據(jù)主權(quán)主義認(rèn)為，數(shù)據(jù)是“國(guó)家對(duì)其政權(quán)管轄地域范圍內(nèi)個(gè)人、企業(yè)和組織產(chǎn)生數(shù)據(jù)擁有的最高權(quán)力”?！?3〕Tsosie, Rebecca, Tribal Data Governance and Informational Privacy: Constructing Indigenous Data Sovereignty, Vol.80,Montana Law Review, 2019（2）, p. 229-267.然而，世界各國(guó)對(duì)數(shù)據(jù)主權(quán)范圍沒(méi)有達(dá)成共識(shí)，〔24〕See Native Nations Institute at the University of Arizona, US Indigenous Data Sovereignty Network, https://perma.cc/3W4HC5CR （last visit on Jan. 10, 2019）; Stephanie Rainie, Desie Rodriguez-Lonebear, and Andrew Martinez, Policy Brief: Data Governance for Native Nation Rebuilding （Native Nations Institute, 2017）, posted on website.導(dǎo)致執(zhí)法管轄在國(guó)際留下不少空白，〔25〕See Tahu Kukutai，John Taylor eds, Indigenous Data Sovereignty: Toward an Agenda, Australian National University Press,2016, xxi, xxi-xxii.國(guó)外科技公司可以通過(guò)數(shù)據(jù)轉(zhuǎn)移，繞開(kāi)數(shù)據(jù)安全規(guī)制，這加劇了數(shù)據(jù)管控的復(fù)雜性。

為了調(diào)取境外等保違規(guī)數(shù)據(jù)，提升本國(guó)執(zhí)法能力，歐美各國(guó)在立法上動(dòng)作頻頻。2018年，美國(guó)出臺(tái)《合法使用境外數(shù)據(jù)明確法》（Cloud法），旨在解決美國(guó)政府如何合法獲取境外數(shù)據(jù)，以及外國(guó)政府如何合法獲取美國(guó)境內(nèi)數(shù)據(jù)問(wèn)題?！?6〕參見(jiàn)胡文華：《美國(guó)〈合法使用境外數(shù)據(jù)明確法〉對(duì)中國(guó)的影響及應(yīng)對(duì)》，載《信息安全與通信保密》2019年第7期，第31頁(yè)。針對(duì)前者，該法允許美國(guó)執(zhí)法機(jī)構(gòu)直接調(diào)取美國(guó)境外數(shù)據(jù)，除非被執(zhí)行人有效抗辯且被美國(guó)法院認(rèn)可；針對(duì)后者，為緩解國(guó)際數(shù)據(jù)本地化立法趨勢(shì)給美國(guó)利益的沖擊及現(xiàn)行司法協(xié)助體系壓力，美國(guó)提出“執(zhí)行協(xié)議”，即與美簽訂協(xié)議的外國(guó)政府可直接向美國(guó)境內(nèi)企業(yè)發(fā)出數(shù)據(jù)調(diào)取令。隨后，為應(yīng)對(duì)Cloud法對(duì)司法主權(quán)等沖擊，歐盟提出制定新法以便執(zhí)法及司法當(dāng)局獲取電子證據(jù)，〔27〕See Open Communique from the Indigenous Data Sovereignty Summit, Canberra, ACT, to All Individuals Involved in Data and Data Infrastructure in Australia, Indigenous Data Sovereignty （June 20, 2018）, https://perma.cc/8VPR-9TTL.且與Cloud法類(lèi)似，主張不以數(shù)據(jù)存儲(chǔ)位置決定管轄。

此外，圍繞數(shù)據(jù)安全的等保合規(guī)關(guān)注的第三個(gè)問(wèn)題，指向數(shù)據(jù)非法內(nèi)容監(jiān)管。國(guó)外科技公司對(duì)數(shù)據(jù)內(nèi)容的不當(dāng)利用，已成為各國(guó)等保合規(guī)重點(diǎn)。立法可以分為兩種模式：實(shí)體性審查和透明度審查。實(shí)體性審查對(duì)象又可細(xì)分為三類(lèi)：一是公然挑釁他國(guó)主權(quán)和領(lǐng)土完整，影響一國(guó)的政治民主進(jìn)程。比如，萬(wàn)豪、美敦力、巴寶莉等公然把藏港臺(tái)列為“國(guó)家”，網(wǎng)絡(luò)軍火商Hackling Team與多國(guó)合作實(shí)施網(wǎng)絡(luò)攻擊竊密等?！?8〕See Wallace Coあey, Rebecca Tsosie, Rethinking the Tribal Sovereignty Doctrine: Cultural Sovereignty and the Collective Future of Indian Nations, Vol.12, Stan. L. & Pol’Y Rev, 2011, p. 191.二是隱蔽制造社會(huì)內(nèi)在矛盾，國(guó)外科技公司通過(guò)互聯(lián)網(wǎng)，向他國(guó)輸入非法內(nèi)容數(shù)據(jù)，借助輿情熱點(diǎn)事件煽動(dòng)焦慮情緒、恐怖主義、極端主義、淫穢色情等，妄圖引爆社會(huì)沖突。如羅斯柴爾德家族和共濟(jì)會(huì)的陰謀命題、YouTube網(wǎng)站的ElsaGate視頻。〔29〕Ming-Jen Lin, More Police, Less Crime: Evidence from US State Data, Vol.29, International Review of Law and Economics,2009（2）, p. 73-80.三是借助數(shù)字產(chǎn)品推行“文化殖民”，〔30〕Desi Rodriguez-Lonebear, Building a Data Revolution in Indian Country, in Indigenous Data Sovereignty: Toward Agenda （Tahu Kukutai & John Taylor eds.）, 2016, p. 253.影響國(guó)家文化主權(quán)，改寫(xiě)他國(guó)社會(huì)準(zhǔn)則。對(duì)此，不少?lài)?guó)家和地區(qū)出臺(tái)規(guī)定，要求在線(xiàn)平臺(tái)積極檢測(cè)、有效移除在線(xiàn)非法內(nèi)容，并采取措施預(yù)防再現(xiàn)。此外，透明度審查主要要求提升平臺(tái)信息發(fā)布的透明度，特別是政治廣告的透明度，以限制政治廣告的市場(chǎng)目標(biāo)選擇，還要求提高算法的透明度，以應(yīng)對(duì)虛假信息的傳播等。比如，為了回應(yīng)Facebook事件，歐盟發(fā)布《在線(xiàn)虛假信息的應(yīng)對(duì)：歐洲方法》，德國(guó)專(zhuān)門(mén)頒布《網(wǎng)絡(luò)執(zhí)法法》等。

以上對(duì)國(guó)外等保理論和實(shí)踐的梳理，目的是針對(duì)跨境的數(shù)據(jù)流通利用、執(zhí)法調(diào)取和內(nèi)容審查三個(gè)問(wèn)題，體現(xiàn)國(guó)家之間在數(shù)據(jù)安全等保合規(guī)上的差別立場(chǎng)及其歸因。根據(jù)德姆塞茨（Demsetz）的制度經(jīng)濟(jì)學(xué)理論，“在某一資源價(jià)值增值的背景下，人們對(duì)資源利用所產(chǎn)生的制度成本容忍邊界，會(huì)根據(jù)主體間的競(jìng)爭(zhēng)實(shí)力、資源占用量、受益程度有所不同?！薄?1〕Harold Demsetz, Toward a Theory of Property Rights, Vol.57, Am. Econ. Rev., 1967, p. 347-352.這就決定了討論等保理論不是簡(jiǎn)單從“安全”出發(fā)的非此即彼判斷，畢竟過(guò)度的數(shù)據(jù)安全會(huì)限制數(shù)據(jù)使用的效率，讓制度本身的正當(dāng)性存疑。因此，需要從本質(zhì)上進(jìn)一步探索數(shù)據(jù)安全在制度成本上的“被容忍度”。隨著數(shù)據(jù)價(jià)值和容忍的制度成本提升，需要引入在不同主體之間更為精細(xì)化的等保制度，建立起精細(xì)的權(quán)利及限制的利益平衡。

三、數(shù)據(jù)安全等保制度的法理依據(jù)

接下來(lái)的問(wèn)題是，數(shù)據(jù)安全在制度成本上的“被容忍度”界定標(biāo)準(zhǔn)，以及主體之間設(shè)計(jì)精細(xì)化平衡的等保范式，都有賴(lài)于先在法理上建立基礎(chǔ)認(rèn)知。數(shù)據(jù)安全的等保制度既要強(qiáng)調(diào)對(duì)國(guó)外科技公司較高級(jí)別的等保合規(guī)，又要推動(dòng)數(shù)據(jù)被更大幅度、更深層次應(yīng)用，核心是數(shù)據(jù)權(quán)利主體、數(shù)據(jù)管理者、數(shù)據(jù)利用者之間的權(quán)義合理分配；在此基礎(chǔ)上，除了參照國(guó)際上對(duì)國(guó)外科技公司的等保理論共識(shí)和實(shí)踐，還要在借鑒國(guó)際基本規(guī)則、國(guó)家主權(quán)控制、行業(yè)自律指引三者之間公約數(shù)平衡，形成高彈性、低耦合、模型化的等保制度。根據(jù)這一立場(chǎng)，建立數(shù)據(jù)安全等保制度的法理依據(jù)主要包括以下五個(gè)方面。

第一，從主權(quán)單邊規(guī)制到基于比例原則的競(jìng)爭(zhēng)性規(guī)制。從全球范圍看，數(shù)據(jù)安全存在跨境數(shù)據(jù)自由流動(dòng)、數(shù)據(jù)保護(hù)自主權(quán)、良好的數(shù)據(jù)保護(hù)“三難選擇”，〔32〕黃寧、李楊：《“三難選擇”下跨境數(shù)據(jù)流動(dòng)限制的演進(jìn)與成因》，載《清華大學(xué)學(xué)報(bào)（哲社版）》2017年第5期，第179頁(yè)。其根本原因在于國(guó)外科技公司的數(shù)據(jù)安全等保既是國(guó)內(nèi)問(wèn)題也是國(guó)際問(wèn)題。一方面，極端的數(shù)據(jù)本地化國(guó)內(nèi)立法通過(guò)限制出口數(shù)據(jù)類(lèi)型、實(shí)施歧視性標(biāo)準(zhǔn)，會(huì)對(duì)國(guó)際投資、貿(mào)易和技術(shù)研發(fā)產(chǎn)生不利影響?！?3〕See ECIPE, The Cost of Data Localisation: Friendly Fire on Economic Recovery, ECIPE Occasional Paper, 2014（2）, p. 2.另一方面，國(guó)際規(guī)制試圖提供數(shù)據(jù)安全統(tǒng)一標(biāo)準(zhǔn)，目標(biāo)是解決國(guó)內(nèi)數(shù)據(jù)立法差異造成的跨境流動(dòng)、執(zhí)法管轄和內(nèi)容審查障礙?！?4〕參見(jiàn)［德］庫(kù)勒：《歐洲數(shù)據(jù)保護(hù)法：公司遵守與管制》，曠野、楊會(huì)永等譯，法律出版社2008年版，第354頁(yè)。其中，又存在兩種競(jìng)爭(zhēng)性規(guī)制方式：美國(guó)主導(dǎo)的OCED指南、APEC框架、FTAs談判，以國(guó)際組織或協(xié)定為基礎(chǔ)，數(shù)據(jù)保護(hù)自主權(quán)主要依賴(lài)行業(yè)自律機(jī)制，致力于數(shù)據(jù)的跨國(guó)自由流動(dòng)和執(zhí)法調(diào)取，要求數(shù)據(jù)轉(zhuǎn)出機(jī)構(gòu)為轉(zhuǎn)移后的數(shù)據(jù)保護(hù)負(fù)責(zé)；歐盟以地域?yàn)榛A(chǔ)，把源于成員國(guó)的國(guó)內(nèi)立法融合形成GDPR，以法令形式確立數(shù)據(jù)保護(hù)自主權(quán)，全面主張對(duì)數(shù)據(jù)控制者的義務(wù)和數(shù)據(jù)產(chǎn)生者的權(quán)利，要求數(shù)據(jù)流入方提供充分、類(lèi)似和對(duì)等保障，嚴(yán)格限制向歐盟外轉(zhuǎn)移數(shù)據(jù)，尤為關(guān)注隱私保護(hù)和非法內(nèi)容審查。歐美兩種規(guī)制方式嘗試以BCRs、CBPRs等實(shí)現(xiàn)局部融合，但從未形成統(tǒng)一、約束力較強(qiáng)的數(shù)據(jù)安全共識(shí)?；诂F(xiàn)實(shí)主義考量，行政法的“比例原則”需要介入競(jìng)爭(zhēng)性規(guī)制。它強(qiáng)調(diào)數(shù)據(jù)安全等保制度不是以主權(quán)單邊規(guī)制下的“確定性指令”，以一種“全有或全無(wú)”方式被適用，而是體系化考慮其他對(duì)立面的存在，追求目的（數(shù)據(jù)安全）和手段（制度成本）之間的合比例性要求，從而建立具有“分量”的向度，強(qiáng)調(diào)在數(shù)據(jù)安全“被容忍度”判斷上制度與效果之間的關(guān)聯(lián)性、可適用性和預(yù)見(jiàn)可能性。

第二，從完全契約的防御到基于不完全契約的等保平衡。誠(chéng)然，既要實(shí)現(xiàn)跨境數(shù)據(jù)流動(dòng)，又有良好的數(shù)據(jù)保護(hù)，理想方案是讓國(guó)家放棄數(shù)據(jù)保護(hù)自主權(quán)，以國(guó)際共識(shí)或協(xié)定產(chǎn)生約束力。但正如以上分析，即使當(dāng)前具有較大影響力的跨境數(shù)據(jù)安全等保規(guī)制也都限于區(qū)域范圍，沒(méi)有出現(xiàn)主導(dǎo)性的多邊規(guī)制，各國(guó)對(duì)數(shù)據(jù)安全的等保合規(guī)目標(biāo)差異，使更大范圍的權(quán)力讓渡十分困難。那么，既然終極意義的防御型數(shù)據(jù)安全共識(shí)尚難達(dá)成，等保制度設(shè)計(jì)可以轉(zhuǎn)向“不完全契約”?！?5〕Sanford J. Grossman and Oliver D. Hart, The Costs and Benefits of Ownership: A Theory of Vertical and Lateral Integration,Vol.94, Journal of Political Economy,1986（4）, p. 691-719.其基本含義是，當(dāng)國(guó)外科技公司與東道國(guó)達(dá)成數(shù)據(jù)安全的“完全契約”代價(jià)過(guò)大時(shí)，可以更多體現(xiàn)“不完全契約”特征，也就是把等保制度的“被容忍度”界定標(biāo)準(zhǔn)和主體之間的等保平衡重點(diǎn)，從設(shè)計(jì)數(shù)據(jù)安全等保制度之前能夠預(yù)見(jiàn)和實(shí)施的規(guī)則，轉(zhuǎn)向現(xiàn)有等保制度未覆蓋到的數(shù)據(jù)安全風(fēng)險(xiǎn)剩余控制權(quán)討論。根據(jù)這一邏輯，基于國(guó)家的數(shù)據(jù)保護(hù)自主權(quán)，圍繞“跨境數(shù)據(jù)流動(dòng)”與“良好的數(shù)據(jù)保護(hù)”之間的競(jìng)爭(zhēng)權(quán)衡過(guò)程，除了已確定在容忍度范疇內(nèi)的數(shù)據(jù)安全風(fēng)險(xiǎn)，尋找那些不能預(yù)先確定的數(shù)據(jù)安全平衡點(diǎn)在等保制度里變得尤為重要。事實(shí)上，“目標(biāo)平衡點(diǎn)的選擇、競(jìng)爭(zhēng)主體的力量對(duì)比和規(guī)制本身的客觀規(guī)律共同決定了競(jìng)爭(zhēng)的結(jié)果，從而影響規(guī)制的演進(jìn)方向”?！?6〕黃寧、李楊：《“三難選擇”下跨境數(shù)據(jù)流動(dòng)限制的演進(jìn)與成因》，載《清華大學(xué)學(xué)報(bào)（哲社版）》2017年第5期，第176頁(yè)。

第三，從硬法偏多的強(qiáng)干預(yù)到現(xiàn)代軟法的引導(dǎo)性干預(yù)。國(guó)內(nèi)《網(wǎng)安法》對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者、《數(shù)安法》對(duì)其他數(shù)據(jù)處理者在境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)分別進(jìn)行規(guī)制，但法理基礎(chǔ)不受限于“法律控制模式”，〔37〕S. Bambauer-Sachse, S. Mangold, Do Consumers Still Believe What is Said in Online Product Review? A Persuasion Knowledge Approach, Vol.20, Journal of Retailing & Consumer Services, April 2013, p. 373-381.而是主張需要“在分級(jí)分類(lèi)基礎(chǔ)上建立數(shù)據(jù)安全認(rèn)證、風(fēng)險(xiǎn)評(píng)估和危機(jī)應(yīng)對(duì)等制度”?！?8〕翟志勇：《數(shù)據(jù)主權(quán)時(shí)代的法理新秩序》，載《讀書(shū)》2021年第6期，第99頁(yè)。目前，盡管?chē)?guó)內(nèi)一系列數(shù)據(jù)安全法律法規(guī)趨于完善，但硬法偏多，推動(dòng)法律實(shí)施的“工具箱”里的手段仍不夠豐富，尤其在面對(duì)國(guó)外科技公司的數(shù)據(jù)流通利用、執(zhí)法調(diào)取和內(nèi)容審查等問(wèn)題時(shí)，涉及競(jìng)爭(zhēng)性規(guī)則、不完全契約的等保平衡分寸拿捏較難，導(dǎo)致不少執(zhí)法者會(huì)“選擇性忽略”，直到后果較為嚴(yán)重。因此，除了構(gòu)建數(shù)據(jù)安全的等保制度基礎(chǔ)性法律，亟須借助“技術(shù)標(biāo)準(zhǔn)”對(duì)數(shù)據(jù)全生命周期加以規(guī)定，開(kāi)發(fā)技術(shù)標(biāo)準(zhǔn)高度的敏捷性、迭代的靈活性、探索的前導(dǎo)性、自適應(yīng)的流暢性、軟法的規(guī)則性等獨(dú)特功能。

第四，從法律框架性規(guī)定到設(shè)定重點(diǎn)議題的兜底效應(yīng)。無(wú)疑法律的效力位階更高，在等保制度上發(fā)揮著“議題設(shè)定”（agenda setting）的支撐引領(lǐng)作用?！?9〕See M. Roberts, M. Mccombs, Agenda Setting and Political Advertising: Origins of the News Agenda, Vol.11, Political Communication,1994（3）, p. 249-262.國(guó)外科技公司引起的數(shù)據(jù)安全等保合規(guī)涉及多元博弈等難題，對(duì)于境內(nèi)的國(guó)外科技公司，東道國(guó)的等保合規(guī)標(biāo)準(zhǔn)精準(zhǔn)、高效，數(shù)據(jù)安全尚在可控范圍，但境外或跨境的國(guó)外科技公司潛在風(fēng)險(xiǎn)難以估量，且受到更為復(fù)雜的因素影響。比如，針對(duì)等保合規(guī)的數(shù)據(jù)本地化和安全出境評(píng)估，國(guó)內(nèi)出臺(tái)過(guò)的一系列法規(guī)、規(guī)章提出了明確要求，〔40〕國(guó)務(wù)院2012年《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見(jiàn)》、國(guó)務(wù)院2013年《征信業(yè)管理?xiàng)l例》、衛(wèi)計(jì)委2014年《人口健康信息管理辦法（試行）》、中央網(wǎng)信辦2014年《關(guān)于加強(qiáng)黨政部門(mén)云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的意見(jiàn)》、國(guó)務(wù)院2016年《地圖管理?xiàng)l例》、國(guó)家新聞出版廣電總局及工業(yè)和信息化部2016年《網(wǎng)絡(luò)出版服務(wù)管理規(guī)定》等，都對(duì)數(shù)據(jù)本地化提出過(guò)明確要求?！毒W(wǎng)安法》《數(shù)安法》又對(duì)此作出規(guī)定。但是，國(guó)際上的數(shù)據(jù)本地化反對(duì)者將之當(dāng)成投資和貿(mào)易壁壘，甚至上升到破壞全球互聯(lián)互通的高度，認(rèn)為此類(lèi)規(guī)定嚴(yán)重阻礙數(shù)據(jù)自由流動(dòng)?！?1〕See Jonah Hill, The Growth of Data Localization Post-Snowden: Analysis and Recommendations for U.S. Policymakers and Business Leaders, SSRN Electronic Journal, 2014, p. 19-23.因此，中國(guó)正在討論的數(shù)據(jù)安全出境評(píng)估辦法，以及仍然未見(jiàn)實(shí)質(zhì)性進(jìn)展的配套技術(shù)標(biāo)準(zhǔn)，已成為當(dāng)下推動(dòng)基本法律實(shí)施的突出問(wèn)題，同時(shí)也導(dǎo)致美國(guó)Cloud法出臺(tái)后，面對(duì)“執(zhí)法”數(shù)據(jù)跨境的洗牌式全新規(guī)則，國(guó)內(nèi)難以提出有針對(duì)性的“跨境執(zhí)法數(shù)據(jù)”的監(jiān)管應(yīng)對(duì)之策。

第五，從上位法的體系性協(xié)調(diào)到尋找共識(shí)性法律原則。國(guó)家需要在數(shù)據(jù)安全的細(xì)分領(lǐng)域建立分類(lèi)分級(jí)、安全審查、跨境管制、評(píng)估反饋的等保合規(guī)標(biāo)準(zhǔn)。它作為法律法規(guī)的觸角，將抽象、概括的條款轉(zhuǎn)化為操作性、技術(shù)性、場(chǎng)景性更強(qiáng)的技術(shù)規(guī)范。當(dāng)然，圍繞“上位法”的等保標(biāo)準(zhǔn)制定，更易引起各方參與主體的關(guān)注和支持，且不會(huì)讓其淪為爭(zhēng)奪數(shù)據(jù)話(huà)語(yǔ)權(quán)的角斗場(chǎng)，造成數(shù)據(jù)安全的“公地悲劇”。但在缺少?lài)?guó)際共識(shí)的情況下，針對(duì)多元、博弈、權(quán)衡和分裂的國(guó)外科技公司，只是圍繞《網(wǎng)安法》《數(shù)安法》以及民法、行政法的“上位法”進(jìn)行體系性協(xié)調(diào)是一個(gè)難題，因此，通過(guò)對(duì)法律法規(guī)之間尋找共識(shí)的“法律原則”，可以為等保合規(guī)標(biāo)準(zhǔn)的細(xì)化提供鋪墊。與數(shù)據(jù)安全等保的軟法標(biāo)準(zhǔn)、法律法規(guī)相比，法律原則的抽象層次更高，它將標(biāo)準(zhǔn)、法律與跨境數(shù)據(jù)安全的競(jìng)爭(zhēng)性權(quán)衡勾連起來(lái)成為“中間橋梁”，提供了更加抽象的政策討論空間，指引對(duì)案例和標(biāo)準(zhǔn)的討論。涉及數(shù)據(jù)安全的等保制度的原則包括知情原則、同意原則、比例原則、合法必要和正當(dāng)原則、公開(kāi)透明原則、最小化采集原則、保密原則、其他信息控制權(quán)等。

四、等保合規(guī)數(shù)標(biāo)治理的實(shí)踐效力

根據(jù)制度供給的主體來(lái)源，數(shù)據(jù)安全的等保標(biāo)準(zhǔn)（以下簡(jiǎn)稱(chēng)“等保數(shù)標(biāo)”）分為三類(lèi)：政府頒布的強(qiáng)制性標(biāo)準(zhǔn)、標(biāo)準(zhǔn)制定組織的行業(yè)或地方標(biāo)準(zhǔn)、其他非正式標(biāo)準(zhǔn)，它們之間產(chǎn)生了等保數(shù)標(biāo)的效力層級(jí)化。國(guó)際上對(duì)等保數(shù)標(biāo)的本體研究，主要包括通用標(biāo)準(zhǔn)的政府干預(yù)、行業(yè)標(biāo)準(zhǔn)的市場(chǎng)供給、數(shù)標(biāo)供給的激勵(lì)政策、標(biāo)準(zhǔn)對(duì)技術(shù)創(chuàng)新的影響力分析等。國(guó)外體制的一個(gè)顯著變化是：政府在等保數(shù)標(biāo)的制定上具有“穩(wěn)健”“節(jié)制”的明顯特征，同時(shí)，行業(yè)性、團(tuán)體性、區(qū)域性的非官方標(biāo)準(zhǔn)數(shù)據(jù)正在迅速積累，且發(fā)揮了越來(lái)越重要的功能。

國(guó)內(nèi)在等保數(shù)標(biāo)生態(tài)上呈現(xiàn)較強(qiáng)的“舉國(guó)體制”特征，政府部門(mén)牽頭制定國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)，為迅速實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型起到重要保障作用。針對(duì)國(guó)外科技公司數(shù)據(jù)安全風(fēng)險(xiǎn)“蝴蝶效應(yīng)”，尤其對(duì)于三級(jí)以上等保，政府介入通用性、基礎(chǔ)性的等保數(shù)標(biāo)具有“正外部性”，不能純粹依靠市場(chǎng)機(jī)制提供。與此同時(shí)，行業(yè)性、場(chǎng)景化的等保數(shù)標(biāo)可以更多探索采取“自下而上”的機(jī)制，這可以促進(jìn)數(shù)據(jù)有效管理、建立數(shù)據(jù)開(kāi)放市場(chǎng)、節(jié)約數(shù)據(jù)流通成本、提高數(shù)據(jù)加工質(zhì)量。當(dāng)然，非政府干預(yù)標(biāo)準(zhǔn)也存在弊端，比如，等保數(shù)標(biāo)制定的利益相關(guān)方參與不充分、不透明，缺乏科學(xué)論證，會(huì)較難產(chǎn)生現(xiàn)實(shí)效力；同時(shí)，缺陷標(biāo)準(zhǔn)一旦發(fā)揮事實(shí)效力，又會(huì)阻礙市場(chǎng)準(zhǔn)入、競(jìng)爭(zhēng)中立和執(zhí)法介入。因此，可以在等保數(shù)標(biāo)的制定程序里采取引入利益相關(guān)方等方式，對(duì)等保數(shù)標(biāo)的制定參與組織加以協(xié)調(diào)，在數(shù)標(biāo)制定過(guò)程中反復(fù)權(quán)衡考慮質(zhì)量、產(chǎn)出、交易均衡、第三方意見(jiàn)等因素，為各方參與者的成本和評(píng)估進(jìn)行建模。〔42〕See Farrell J, Simcoe T, Four Paths to Compatibility, in Peitz M, Waldfogel J, editors, The Oxford Handbook of the Digital Economy, New York: Oxford University Press, 2012, p. 34-58.

在此基礎(chǔ)上，進(jìn)一步厘清國(guó)內(nèi)存在的強(qiáng)制性標(biāo)準(zhǔn)與法律法規(guī)關(guān)系尤為重要，也是等保數(shù)標(biāo)治理在法源研究上的核心問(wèn)題。比較經(jīng)典的標(biāo)準(zhǔn)定性觀點(diǎn)認(rèn)為，“強(qiáng)制性標(biāo)準(zhǔn)就是技術(shù)法規(guī)的主要表現(xiàn)形式?！薄?3〕文松山：《再論技術(shù)法規(guī)與強(qiáng)制性標(biāo)準(zhǔn)》，載《中國(guó)標(biāo)準(zhǔn)化》1996年第4期，第9頁(yè)。從本質(zhì)上講，等保數(shù)標(biāo)應(yīng)與法律上的“強(qiáng)制性”具有依附性。尤其考慮到國(guó)外科技公司掌握國(guó)內(nèi)海量業(yè)務(wù)數(shù)據(jù)的現(xiàn)狀，以及高附加值的穿透性滲透、豐富關(guān)聯(lián)點(diǎn)的數(shù)據(jù)派生等，推動(dòng)制定等保數(shù)標(biāo)與技術(shù)法規(guī)之間需要協(xié)調(diào)一致、同步進(jìn)行、從粗到細(xì)和逐步過(guò)渡，探索建立技術(shù)法規(guī)與等保數(shù)標(biāo)相結(jié)合的新型體制。

事實(shí)上，等保數(shù)標(biāo)的效力界定也經(jīng)過(guò)了一個(gè)變化過(guò)程。早期研究認(rèn)為，技術(shù)標(biāo)準(zhǔn)與法律規(guī)范在效力上存在“功能等價(jià)性”。〔44〕宋華琳：《當(dāng)代中國(guó)技術(shù)標(biāo)準(zhǔn)法律制度的確立與演進(jìn)》，載《學(xué)習(xí)與探索》2009年第5期，第18頁(yè)。換言之，即使等保數(shù)標(biāo)不完全具有授權(quán)依據(jù)、訂立程序、公布與否、文本形式等法律的外觀，但法律條文會(huì)援引數(shù)標(biāo)，裁判中也會(huì)用數(shù)標(biāo)對(duì)事實(shí)界定，讓等保產(chǎn)生合規(guī)意義上的事實(shí)拘束力。但是，近年來(lái)的研究開(kāi)始關(guān)注等保數(shù)標(biāo)的原因分析，提出了數(shù)據(jù)安全等保的“合規(guī)性”本身需要法律提供程序規(guī)范，法律甚至可能賦予等保合規(guī)強(qiáng)制執(zhí)行力，讓違規(guī)主體直接受到法律制裁。這表明等保數(shù)標(biāo)與法律合規(guī)在效力上存在天然的依存性，為使之形成外在于法律系統(tǒng)的自給自足體系提供了堅(jiān)實(shí)基礎(chǔ)。

但是，國(guó)內(nèi)基于“合規(guī)性”探討等保數(shù)標(biāo)的效力淵源仍處于起步階段，這也讓當(dāng)下標(biāo)準(zhǔn)制定“舉國(guó)體制”成為必然。其根本原因在于數(shù)據(jù)安全“等保合規(guī)理論”支撐不足，尤其對(duì)等保數(shù)標(biāo)的基本概念、作用機(jī)制及與法律規(guī)范的互動(dòng)，現(xiàn)實(shí)中仍表現(xiàn)為相互割裂和缺乏對(duì)話(huà)。

那么，接下來(lái)又如何進(jìn)一步解決這一問(wèn)題？“要素級(jí)別”的數(shù)據(jù)更大程度開(kāi)發(fā)和流通勢(shì)在必行，國(guó)家也在深入研究圍繞數(shù)據(jù)安全的等保分級(jí)分類(lèi)，尤其已在公共數(shù)據(jù)、行業(yè)數(shù)據(jù)上進(jìn)行了局部探索。然而，數(shù)據(jù)一旦涉及開(kāi)發(fā)和流通，會(huì)持續(xù)出現(xiàn)許多數(shù)據(jù)安全認(rèn)知的有限理性、數(shù)據(jù)臨界風(fēng)險(xiǎn)的非線(xiàn)性、數(shù)據(jù)算法的不透明性等“元問(wèn)題”，尤其對(duì)更為復(fù)雜的跨境數(shù)據(jù)流動(dòng)、執(zhí)法調(diào)取和非法內(nèi)容審查等會(huì)變得更為敏感。它們使數(shù)據(jù)安全在數(shù)據(jù)占有者、使用者和國(guó)家利益之間的內(nèi)在特性不同于一般的民商事或行政契約，而是更多表現(xiàn)為一系列“契約的不完全性”。面對(duì)數(shù)據(jù)這樣一個(gè)甚至改變了經(jīng)濟(jì)學(xué)“邊際效益遞減”規(guī)律、數(shù)量幾何級(jí)增長(zhǎng)、未知空間巨大、柔韌性又很強(qiáng)的全新領(lǐng)域，單純以法律規(guī)則實(shí)現(xiàn)數(shù)據(jù)的法定性、穩(wěn)定性和預(yù)見(jiàn)性不切實(shí)際；同時(shí)，試圖在立法控制下建立一個(gè)法律與標(biāo)準(zhǔn)融合的宏觀全局模式，目前也還不具備這種能力或可能性。因此，更多引入具有靈活、彈性和持續(xù)迭代特點(diǎn)的等保數(shù)標(biāo)方式，敲定那些在數(shù)據(jù)安全競(jìng)爭(zhēng)性規(guī)制上的“剩余控制權(quán)”歸屬，才是破解難題的關(guān)鍵。

當(dāng)然，競(jìng)爭(zhēng)性規(guī)制以場(chǎng)景、行業(yè)、地方試點(diǎn)為切入口，自下而上逐步建立的數(shù)據(jù)安全等保合規(guī)體系，需要充分吸收和考慮“洛淪茲曲線(xiàn)”的影響，畢竟其初始參數(shù)及其微小的差別會(huì)決定性影響最終結(jié)果。它主要包括緊密銜接“上位法”，等保數(shù)標(biāo)制定程序合理合法，發(fā)揮類(lèi)似法律規(guī)范的強(qiáng)制性約束力，同時(shí)釋放多元主體參與技術(shù)門(mén)檻高、專(zhuān)業(yè)性較強(qiáng)的等保數(shù)標(biāo)制定的能動(dòng)性。

在此基礎(chǔ)上，一是逐步建立數(shù)標(biāo)治理的效力權(quán)威性，借助于數(shù)標(biāo)提高《網(wǎng)安法》《數(shù)安法》的執(zhí)法效果，包括避免執(zhí)法的主動(dòng)性而不是中規(guī)中矩，釋放《數(shù)安法》、網(wǎng)絡(luò)安全審查辦法等實(shí)施之初的黃金時(shí)間段價(jià)值、增加對(duì)“重點(diǎn)”企業(yè)的上限執(zhí)法等；二是強(qiáng)化數(shù)標(biāo)治理的執(zhí)法方式創(chuàng)新，不是法律機(jī)械套用違法場(chǎng)景，而是既強(qiáng)調(diào)對(duì)已有問(wèn)題的精準(zhǔn)應(yīng)對(duì)，又要監(jiān)管機(jī)關(guān)虛構(gòu)場(chǎng)景和創(chuàng)造問(wèn)題，防止保守、僵化導(dǎo)致的執(zhí)法高代價(jià)；三是評(píng)估、利用境外數(shù)標(biāo)治理經(jīng)驗(yàn)，國(guó)外科技公司的數(shù)據(jù)風(fēng)險(xiǎn)會(huì)傳導(dǎo)轉(zhuǎn)化對(duì)國(guó)家產(chǎn)生影響，同時(shí)，任何國(guó)家的數(shù)標(biāo)治理經(jīng)驗(yàn)都必須進(jìn)行適合本國(guó)的改造和調(diào)整，包括體系化層次性的等保數(shù)標(biāo)系統(tǒng)構(gòu)建、數(shù)標(biāo)指引的疊加關(guān)聯(lián)分析、DOA數(shù)聯(lián)網(wǎng)的中臺(tái)建設(shè)、語(yǔ)義分析知識(shí)圖譜、多主體聯(lián)邦學(xué)習(xí)、場(chǎng)景式深度轉(zhuǎn)化應(yīng)用等。

五、等保合規(guī)的集成數(shù)據(jù)治理模式

根據(jù)以上分析，面對(duì)國(guó)外機(jī)構(gòu)在數(shù)據(jù)上的“影子風(fēng)險(xiǎn)”對(duì)國(guó)家安全影響和程度加深，以及國(guó)際探索和踐行的比較經(jīng)驗(yàn)，為了迅速解決國(guó)內(nèi)在數(shù)據(jù)安全上的突出問(wèn)題，需要建立更高水平、更為有效的等保數(shù)標(biāo)體系。下一步重點(diǎn)要頂層設(shè)計(jì)、敲定紅線(xiàn)、軟硬兼顧，在此基礎(chǔ)上，推動(dòng)制度配套、風(fēng)險(xiǎn)評(píng)級(jí)、有序合作、分類(lèi)管理、技術(shù)為盾、失信關(guān)注、違法嚴(yán)懲等多角度立體治理，構(gòu)建起全覆蓋、全鏈條的數(shù)據(jù)治理模式。

首先，等保數(shù)標(biāo)的“軟法化”。當(dāng)超越了標(biāo)準(zhǔn)與法律合一或分離的二元對(duì)立，通過(guò)對(duì)等保數(shù)標(biāo)的規(guī)范性與效力分析，可以發(fā)現(xiàn)標(biāo)準(zhǔn)的規(guī)范性與法律的規(guī)范性存在本質(zhì)區(qū)別：等保數(shù)標(biāo)的法定效力不來(lái)自于標(biāo)準(zhǔn)本身，而來(lái)自法律規(guī)定。所以，標(biāo)準(zhǔn)根本上體現(xiàn)的是“軟法”的理念和屬性。

采取這種“硬法—軟法”的分析框架，有利于廓清等保數(shù)標(biāo)與數(shù)據(jù)安全立法之間的內(nèi)在邏輯。畢竟在數(shù)據(jù)定位不清、數(shù)據(jù)治理過(guò)于原則、數(shù)據(jù)運(yùn)營(yíng)缺乏統(tǒng)一性、法律保障措施不足的情形下，以“軟法”的等保數(shù)標(biāo)方式為切入口，可以靈活、彈性地探索數(shù)據(jù)權(quán)益的層次劃分、個(gè)人信息的精細(xì)化保護(hù)、“紅旗規(guī)則”與“避風(fēng)港原則”適用、重要數(shù)據(jù)的目錄管理機(jī)制、數(shù)據(jù)中心的知識(shí)圖譜索引、數(shù)據(jù)資產(chǎn)評(píng)估、數(shù)據(jù)生產(chǎn)要素統(tǒng)計(jì)核算、區(qū)域數(shù)據(jù)質(zhì)量管理、數(shù)字認(rèn)證等問(wèn)題。可以說(shuō)，數(shù)據(jù)安全立法與等保數(shù)標(biāo)作為硬法與軟法，體現(xiàn)為在立法上平行推進(jìn)、在執(zhí)法上協(xié)同運(yùn)用的法治范式，它們理論上共同構(gòu)成了現(xiàn)代數(shù)字治理格局。

當(dāng)然，等保數(shù)標(biāo)事項(xiàng)即使符合了強(qiáng)制性標(biāo)準(zhǔn)，被作為法律事實(shí)或證據(jù)在執(zhí)法中加以援引，也并非一定能作為法定的抗辯事由。為了解決執(zhí)法中的這一問(wèn)題，達(dá)到一定等級(jí)以上的數(shù)據(jù)強(qiáng)制性標(biāo)準(zhǔn)須經(jīng)立法程序轉(zhuǎn)化為技術(shù)法規(guī)，才能作為“準(zhǔn)據(jù)法”，獲得在數(shù)據(jù)領(lǐng)域中的法律確定性。雖然強(qiáng)制性標(biāo)準(zhǔn)不完全等同于技術(shù)法規(guī)，不直接屬于法律法規(guī)范疇，但調(diào)整技術(shù)法規(guī)體系或用技術(shù)法規(guī)代替一些強(qiáng)制性標(biāo)準(zhǔn)并不可行。國(guó)內(nèi)數(shù)據(jù)領(lǐng)域的強(qiáng)制性標(biāo)準(zhǔn)與技術(shù)法規(guī)共同存在具有合理性，能夠良性發(fā)展?？梢哉f(shuō)，將等保數(shù)標(biāo)納入“軟法”視角，一定程度上終結(jié)了關(guān)于強(qiáng)制性標(biāo)準(zhǔn)到底是不是技術(shù)法規(guī)的爭(zhēng)議，使關(guān)于等保數(shù)標(biāo)的討論從基本概念推進(jìn)到技術(shù)標(biāo)準(zhǔn)的功能和影響層面。

其次，等保應(yīng)用的“場(chǎng)景化”。技術(shù)標(biāo)準(zhǔn)是不是法，“軟法”理論已做出回答，技術(shù)標(biāo)準(zhǔn)作為軟法區(qū)別于硬法。但是，技術(shù)標(biāo)準(zhǔn)作為軟法的作用機(jī)制，缺少令人滿(mǎn)意的答案。畢竟多數(shù)等保數(shù)標(biāo)并不具有強(qiáng)制約束力，那么數(shù)據(jù)處理者何以要遵守技術(shù)標(biāo)準(zhǔn)，對(duì)此需要借助數(shù)標(biāo)作用機(jī)理作出解釋?，F(xiàn)有研究主要從法教義學(xué)角度討論技術(shù)標(biāo)準(zhǔn)如何經(jīng)由法律條文、司法審判或合同條款援引產(chǎn)生法律效力，更多停留在“紙面上的法”，缺乏在實(shí)踐層次上的“數(shù)標(biāo)建模”分析，限制了軟法理論支撐等保數(shù)標(biāo)研究的實(shí)用性。

根據(jù)這一傾向，目前以等保合規(guī)為對(duì)象的數(shù)據(jù)安全研究，主要聚焦于抽象意義上的技術(shù)標(biāo)準(zhǔn)與法律之間關(guān)系討論，較少關(guān)注等保數(shù)標(biāo)的技術(shù)性、場(chǎng)景性、實(shí)用性特征，導(dǎo)致論證的邏輯鏈條缺漏、論證強(qiáng)度不足，結(jié)論具有一定武斷性。但是，規(guī)?；瘮?shù)據(jù)的治理和流通，除了通用性、基礎(chǔ)性領(lǐng)域，正從以往的“數(shù)據(jù)供應(yīng)”向“數(shù)據(jù)需求”轉(zhuǎn)型，“場(chǎng)景再造”是高水平、精細(xì)化等保數(shù)標(biāo)制定的起點(diǎn)和牽引力。它要求以場(chǎng)景為切入點(diǎn)，充分考慮技術(shù)標(biāo)準(zhǔn)在約束力類(lèi)型、行業(yè)領(lǐng)域、實(shí)施主體等維度上的復(fù)雜性，實(shí)現(xiàn)業(yè)務(wù)引領(lǐng)的等保數(shù)標(biāo)精細(xì)化分類(lèi)。

最后，等保分級(jí)的“類(lèi)型化”。數(shù)據(jù)所涵蓋的數(shù)據(jù)類(lèi)型具有多樣性、廣泛性的特點(diǎn)，無(wú)法“一刀切”規(guī)制。因此，分級(jí)分類(lèi)是對(duì)數(shù)據(jù)收集、存儲(chǔ)、加工、使用、提供、交易、公開(kāi)等行為進(jìn)行精細(xì)化、差異化管理的前提。但是，分級(jí)分類(lèi)標(biāo)準(zhǔn)的制定需要立足于技術(shù)標(biāo)準(zhǔn)法治體系的大框架。從“上位法”的視角對(duì)數(shù)據(jù)的分級(jí)分類(lèi)，需要綜合參考一系列法律或規(guī)范性文件，大幅提升整全性與靈活性、閉合性與開(kāi)放性之間的高度擬合度。包括國(guó)家標(biāo)準(zhǔn)《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》、各地方政府?dāng)?shù)據(jù)分類(lèi)分級(jí)指南、《網(wǎng)安法》《數(shù)安法》等。需要考慮不同領(lǐng)域數(shù)據(jù)共性，如敏感度、數(shù)據(jù)規(guī)模、隱私保護(hù)、使用價(jià)值等分級(jí)維度，設(shè)計(jì)一套通用性的數(shù)據(jù)分級(jí)分類(lèi)標(biāo)準(zhǔn)框架；充分考慮到不同應(yīng)用可能對(duì)數(shù)據(jù)分類(lèi)的個(gè)性，保持標(biāo)準(zhǔn)框架的開(kāi)放性。

在此基礎(chǔ)上，建立數(shù)據(jù)的“法律與技術(shù)一體化”治理方案、面向規(guī)?；臄?shù)據(jù)安全生命周期，以“技術(shù)標(biāo)準(zhǔn)”“法律規(guī)范”為雙要素的等保合規(guī)方案。其特征包括：（1）相對(duì)確定性。這種穩(wěn)定性和確定性可以讓數(shù)據(jù)主體對(duì)照等保，完成投入研發(fā)、內(nèi)控審計(jì)、外部認(rèn)證、流程再造。畢竟朝令夕改的規(guī)則和標(biāo)準(zhǔn)難以提供明確的合規(guī)指引，其所產(chǎn)生的實(shí)際效力會(huì)有存疑。因此，規(guī)則和標(biāo)準(zhǔn)的制定需重視其相對(duì)確定性。（2）較大柔韌性。數(shù)據(jù)科技發(fā)展之快不斷更迭著對(duì)數(shù)據(jù)的認(rèn)知和治理，這也意味著數(shù)據(jù)規(guī)則和標(biāo)準(zhǔn)體系的構(gòu)建必須具有足夠大的彈性，避免其一經(jīng)制定便被時(shí)代拋在身后的問(wèn)題。（3）內(nèi)容實(shí)質(zhì)性。區(qū)別于規(guī)則，等保數(shù)標(biāo)需要避免流于抽象原則和權(quán)利的列舉，或只是對(duì)法律規(guī)則的照本宣科，而是要體現(xiàn)在執(zhí)法上的強(qiáng)操作性，否則便失去了技術(shù)標(biāo)準(zhǔn)的存在意義，所以，必須在標(biāo)準(zhǔn)規(guī)范中規(guī)定更具有實(shí)質(zhì)性?xún)?nèi)容的舉措。

六、結(jié)語(yǔ)

毫無(wú)疑問(wèn)，針對(duì)不少境外、跨境的國(guó)外科技公司在不同程度上挖掘和獲取規(guī)模海量、授權(quán)模糊、邊界不清的多種大數(shù)據(jù)，由于國(guó)家監(jiān)管信息和執(zhí)行力度有限，產(chǎn)生的違法非法使用數(shù)據(jù)風(fēng)險(xiǎn)往往難以估量，直接或間接威脅我國(guó)的社會(huì)穩(wěn)定和政治安全，所以構(gòu)建數(shù)據(jù)安全的等保合規(guī)體系變得尤為迫切。面對(duì)這種數(shù)據(jù)影響安全的深刻痕跡，以及國(guó)際探索踐行的比較經(jīng)驗(yàn)，我國(guó)需要迅速解決在數(shù)據(jù)監(jiān)管上的短板，把等保合規(guī)推向建設(shè)更高水平、更為有效的全景式數(shù)據(jù)安全等保合規(guī)體系。在宏觀上，高起點(diǎn)構(gòu)建全覆蓋、全鏈條的系統(tǒng)集成數(shù)據(jù)安全等保合規(guī)模式。重點(diǎn)是以頂層設(shè)計(jì)、敲定紅線(xiàn)、軟硬兼顧為原則，定位于分類(lèi)建立領(lǐng)域性的數(shù)據(jù)安全動(dòng)態(tài)風(fēng)險(xiǎn)識(shí)別和預(yù)警標(biāo)準(zhǔn)，實(shí)施更為精準(zhǔn)的等保分級(jí)管理。在此基礎(chǔ)上，以硬法和軟法協(xié)同、核心技術(shù)自主原創(chuàng)、守法激勵(lì)和失信懲戒、監(jiān)管分工和綜合執(zhí)法清單、國(guó)家安全瀆職問(wèn)責(zé)機(jī)制等方式，逐步實(shí)現(xiàn)數(shù)據(jù)安全等保合規(guī)的立體化治理。在微觀上，逐步建立一系列促進(jìn)與規(guī)制之間的高水平科學(xué)治理模式。包括在個(gè)人信息保護(hù)上借助于“紅旗規(guī)則”“避風(fēng)港原則”，探索數(shù)據(jù)安全的等保合規(guī)責(zé)任豁免機(jī)制；構(gòu)建數(shù)據(jù)出境安全評(píng)價(jià)指標(biāo)體系，以加強(qiáng)安全保障為要素強(qiáng)調(diào)數(shù)據(jù)本地化和有序跨境流動(dòng)；通過(guò)關(guān)鍵性數(shù)據(jù)甄別例行比對(duì)、應(yīng)對(duì)在線(xiàn)虛假信息傳播、提高算法可解釋性、發(fā)布在線(xiàn)非內(nèi)容處理指南等，以提升透明度為導(dǎo)向加強(qiáng)內(nèi)容監(jiān)管審核。