【作者】楊力

【內(nèi)容提要】

*楊 力

上海交通大學(xué)凱原法學(xué)院教授

中國法與社會(huì)研究院副院長

 

原文刊載于《法學(xué)》2022年第6期。

 

摘要：面對(duì)數(shù)據(jù)安全正在經(jīng)受的全球性嚴(yán)峻考驗(yàn)，需要精準(zhǔn)、實(shí)時(shí)和動(dòng)態(tài)實(shí)現(xiàn)數(shù)據(jù)安全的風(fēng)險(xiǎn)識(shí)別與預(yù)警?！稊?shù)據(jù)安全法》的“單獨(dú)立法”，使數(shù)據(jù)安全的等保合規(guī)不再只是從屬于網(wǎng)絡(luò)安全，而具有區(qū)別性的獨(dú)立研究價(jià)值。數(shù)據(jù)安全的等保制度既要強(qiáng)調(diào)對(duì)國外科技公司較高級(jí)別的等保合規(guī)，又要推動(dòng)數(shù)據(jù)被更大幅度、更深層次應(yīng)用，這需要借鑒國際基本規(guī)則、國家主權(quán)控制、行業(yè)自律指引三者之間的公約數(shù)平衡，形成高彈性、低耦合、模型化的等保合規(guī)體系。構(gòu)建數(shù)據(jù)安全的等保合規(guī)體系除了基礎(chǔ)性法律，還需借助“技術(shù)標(biāo)準(zhǔn)”對(duì)數(shù)據(jù)全生命周期加以規(guī)定。在此基礎(chǔ)上，建立等保數(shù)標(biāo)軟法化、等保應(yīng)用場景化、等保分級(jí)類型化的高水平集成數(shù)據(jù)治理模式。

 

關(guān)鍵詞：數(shù)據(jù)安全  等保合規(guī)范式  等級(jí)保護(hù)  數(shù)據(jù)治理

互聯(lián)網(wǎng)時(shí)代幾乎所有個(gè)人或組織都在產(chǎn)生數(shù)據(jù)，數(shù)據(jù)記錄國家點(diǎn)滴，刻畫國家在多個(gè)維度上的全景實(shí)時(shí)變化。“許多看似無關(guān)的多維異構(gòu)數(shù)據(jù)在比對(duì)、關(guān)聯(lián)和有效融合后，仍可以推斷出具有穿透力、威懾力的致命信息，嚴(yán)重威脅國家安全和社會(huì)穩(wěn)定?！辈簧賴乙劳性谌虻目鐕虡I(yè)或研發(fā) 機(jī)構(gòu)，肆意搜集數(shù)據(jù)，監(jiān)控?cái)?shù)據(jù)傳輸，控制數(shù)據(jù)流向，操縱網(wǎng)上內(nèi)容。斯洛登披露“棱鏡門”、Google 境外操縱利比亞大選、美國中情局“Vault 7”計(jì)劃等標(biāo)志性事件，更是挑戰(zhàn)所有國家神經(jīng)，改變對(duì)數(shù)據(jù)風(fēng)險(xiǎn)的傳統(tǒng)認(rèn)知，折射數(shù)據(jù)安全正在經(jīng)受的全球性嚴(yán)峻考驗(yàn)。習(xí)近平總書記指出，“要以政治安全為根本，統(tǒng)籌外部安全和內(nèi)部安全、國土安全和國民安全、傳統(tǒng)安全和非傳統(tǒng)安全、自身安全和共同安全。”面對(duì)泛全球化的數(shù)據(jù)安全問題，國家迫切需要建立等保合規(guī)體系。根據(jù)國家標(biāo)準(zhǔn)的有關(guān)規(guī)定， 數(shù)據(jù)安全的等保合規(guī)是指依據(jù)數(shù)據(jù)和數(shù)據(jù)載體在國家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，以及一旦遭到破壞、喪失功能或者數(shù)據(jù)被篡改、泄露、丟失、損毀后，對(duì)國家安全、社會(huì)秩序、公共利益及公民、法人和其他組織的合法權(quán)益造成的侵害程度，國家相關(guān)部門、業(yè)務(wù)和系統(tǒng)的等保義務(wù)主體分等級(jí)予以保護(hù)和響應(yīng)的制度體系。

一、數(shù)據(jù)安全“等保合規(guī)”的正本清源

網(wǎng)絡(luò)是分散式終端的神經(jīng)元連接，更是產(chǎn)生、運(yùn)作和管理數(shù)據(jù)的“人”的連接和操控。“人”以代碼方式的“技術(shù)馴服”及關(guān)系轉(zhuǎn)化，使數(shù)據(jù)流動(dòng)超越地域，參與主體不確定，影響波及面大，防控難以及時(shí)響應(yīng)。長期以來，數(shù)據(jù)安全識(shí)別和應(yīng)對(duì)具有被動(dòng)性、跟進(jìn)式的明顯特征。隨著國外科技公司在中國境內(nèi)的領(lǐng)域性數(shù)據(jù)應(yīng)用日益廣泛，破解這一局面的緊迫性不斷增強(qiáng)。一方面，國外科技公司覆蓋更多的國民經(jīng)濟(jì)重點(diǎn)行業(yè)，“包括公共事業(yè)、電信業(yè)、石油和天然氣、教育、中小型商業(yè)、資本市場、銀行業(yè)、保險(xiǎn)業(yè)、高端媒體分析、裝備制造、醫(yī)療保障、消費(fèi)品、生命科學(xué)、零售等”。與之相應(yīng)，數(shù)據(jù)安全難以局限于單一化法律部門的考量，須根據(jù)立法格局辯證創(chuàng)新，以大安全視角實(shí)現(xiàn)制度精細(xì)化。另一方面，國外科技公司在中國業(yè)務(wù)幾乎涉及數(shù)據(jù)產(chǎn)業(yè)鏈所有環(huán)節(jié)，不僅有該產(chǎn)業(yè)鏈后端的數(shù)據(jù)應(yīng)用產(chǎn)品研發(fā)，而且觸及芯片、服務(wù)器等存儲(chǔ)、算力底層硬件設(shè)備，建模、補(bǔ)丁和更新的操作系統(tǒng)，以及全流程辦公或商業(yè)軟件的研發(fā)與運(yùn)維。其間，技術(shù)創(chuàng)新附隨的技術(shù)風(fēng)險(xiǎn)、操作風(fēng)險(xiǎn)，甚至誘發(fā)系統(tǒng)性風(fēng)險(xiǎn)的可能，使監(jiān)管者須予以有力回應(yīng)，面向網(wǎng)絡(luò)和數(shù)據(jù)，構(gòu)建分布式的等級(jí)監(jiān)管、實(shí)時(shí)性的風(fēng)險(xiǎn)識(shí)別、科學(xué)化的合規(guī)體系。

為此國家設(shè)立了數(shù)據(jù)安全的等保合規(guī)制度，該制度最早規(guī)定在 2007 年的《信息安全等級(jí)保護(hù)管理辦法》，之后被《網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)安法》）加以固化，它規(guī)定了國家實(shí)施網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，尤其重點(diǎn)保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施。近年來，國家在硬件和系統(tǒng)的國產(chǎn)化替代上先后推動(dòng)“安可”“信創(chuàng)”工程。但是，網(wǎng)絡(luò)安全不等于數(shù)據(jù)安全，數(shù)據(jù)依附于網(wǎng)絡(luò)，兩者卻在內(nèi)涵、目標(biāo)、實(shí)施機(jī)制等方面存在巨大差異。網(wǎng)絡(luò)安全受到侵害，不一定危及數(shù)據(jù)安全；數(shù)據(jù)安全受到侵害，也可能并不危及網(wǎng)絡(luò)安全。相較網(wǎng)絡(luò)設(shè)施和運(yùn)營安全，數(shù)據(jù)安全長期居于從屬地位。《網(wǎng)安法》制定時(shí)尚未專門指向數(shù)據(jù)本身安全，因此數(shù)據(jù)安全被納入了網(wǎng)絡(luò)安全。隨著《數(shù)據(jù)安全法》（以下簡稱《數(shù)安法》）出臺(tái)，已形成了數(shù)據(jù)安全“單獨(dú)立法”局面，專門研究數(shù)據(jù)安全的等保合規(guī)成為題中應(yīng)有之義。

從本質(zhì)上，數(shù)據(jù)安全等保合規(guī)的目標(biāo)是以數(shù)據(jù)的完整性、保密性、可用性為原則，以安全等級(jí)保護(hù)為依據(jù)，重點(diǎn)禁止未經(jīng)授權(quán)的訪問、使用、披露、破壞、滲透、修改或銷毀。其中，科學(xué)合理地設(shè)置安全等級(jí)保護(hù)的分級(jí)標(biāo)準(zhǔn)始終是該領(lǐng)域的核心議題。目前等保制度分為五級(jí)，其中“三級(jí)”以上等保涉及國家安全、社會(huì)秩序和公共利益；這些領(lǐng)域也是國外科技公司在數(shù)據(jù)安全上的主要鎖定區(qū)域。國外科技公司影響數(shù)據(jù)安全的重點(diǎn)領(lǐng)域包括：（1）公共事務(wù)領(lǐng)域，涉及空天地海一體化數(shù)據(jù)，氣象、水利、地理數(shù)據(jù)，領(lǐng)海、經(jīng)濟(jì)專屬區(qū)、人工島數(shù)據(jù)，航路、航道、航線等數(shù)據(jù)，多維社交平臺(tái)數(shù)據(jù)，實(shí)時(shí)更新新聞、輿情數(shù)據(jù)，超大、重點(diǎn)城市治理數(shù)據(jù)等。（2）國民經(jīng)濟(jì)領(lǐng)域，涵蓋國民經(jīng)濟(jì)統(tǒng)計(jì)數(shù)據(jù)，區(qū)域經(jīng)濟(jì)與規(guī)劃治理數(shù)據(jù)，產(chǎn)業(yè)升級(jí)轉(zhuǎn)型的結(jié)構(gòu)調(diào)整數(shù)據(jù)，物資儲(chǔ)備和物流運(yùn)輸數(shù)據(jù)，大宗資本流動(dòng)、外匯管制與金融安全數(shù)據(jù)，稀缺戰(zhàn)略資源與環(huán)境規(guī)劃數(shù)據(jù)等。（3）社會(huì)治理領(lǐng)域，覆蓋車聯(lián)網(wǎng)、物聯(lián)網(wǎng)、人流峰值等實(shí)時(shí)流動(dòng)性數(shù)據(jù)，流行疾病預(yù)測與衛(wèi)生防控大數(shù)據(jù)，移動(dòng)終端的熱點(diǎn)軌跡數(shù)據(jù)；電商平臺(tái)不斷更新的消費(fèi)者偏好數(shù)據(jù)等。以上數(shù)據(jù)安全風(fēng)險(xiǎn)分為兩類：一是敏感數(shù)據(jù)。需要在已有嚴(yán)格管制基礎(chǔ)上，更多使用“隔離帶”“主權(quán)線”“安全閥”“制度墻”等多功能工具，完成立體化嚴(yán)密布控。二是非敏感數(shù)據(jù)。需要全面實(shí)時(shí)有效甄別，防止多樣數(shù)據(jù)在完成集成比對(duì)、小樣本集校驗(yàn)、概率模擬與決策、人機(jī)推理驗(yàn)證后，直接或間接產(chǎn)生潛在的數(shù)據(jù)安全風(fēng)險(xiǎn)。

國外科技公司產(chǎn)生的數(shù)據(jù)安全問題，導(dǎo)致了等保合規(guī)的領(lǐng)域性門檻提高、制度專業(yè)性增強(qiáng)、體系防控難度加大，以往針對(duì)網(wǎng)絡(luò)設(shè)定的等保合規(guī)規(guī)范，不能完全適應(yīng)和應(yīng)對(duì)數(shù)據(jù)安全評(píng)估。同時(shí)，等保合規(guī)又不能一味以數(shù)據(jù)安全為由“一刀切”，而是在數(shù)據(jù)安全嚴(yán)控底線的基礎(chǔ)上，同時(shí)支持供應(yīng)數(shù)據(jù)產(chǎn)品產(chǎn)生社會(huì)經(jīng)濟(jì)效益。對(duì)此，國家按照“急用先行、分類推進(jìn)、成熟一批、發(fā)布一批”的原則加以建設(shè)和完善，既要強(qiáng)調(diào)國外科技公司數(shù)據(jù)安全的較高級(jí)別等保合規(guī)，又要推動(dòng)“要素級(jí)別”的數(shù)據(jù)被更大幅度、更深層次應(yīng)用，甚至不少難題在世界范圍內(nèi)也屬于“無人區(qū)”。因此基于數(shù)字化轉(zhuǎn)型背景，需要在促進(jìn)與規(guī)制的雙重視角上深入探討數(shù)據(jù)安全的等保合規(guī)。

二、國外等保理論和實(shí)踐前沿的梳理

國外科技公司因其地位和業(yè)務(wù)特殊性，已成為國內(nèi)外數(shù)據(jù)安全的等保制度重點(diǎn)對(duì)象。圍繞這一問題的研究，理論上出現(xiàn)了“數(shù)據(jù)主權(quán)模式”“利益相關(guān)方治理”“數(shù)據(jù)安全層級(jí)化”“互聯(lián)網(wǎng)協(xié)商民主”“數(shù)據(jù)社群主義”等不同立場，但聚焦于數(shù)據(jù)安全的等保研究都指向以下三大問題。

第一個(gè)問題，是堅(jiān)持?jǐn)?shù)據(jù)本地化還是跨境流動(dòng)。數(shù)據(jù)跨境流動(dòng)包括跨越國界的數(shù)據(jù)傳輸和處理，或者數(shù)據(jù)在境內(nèi)但被第三國主體訪問。這個(gè)問題的分歧與國家數(shù)字化能力相關(guān)。一方面，數(shù)字化強(qiáng)國依賴其在全球布局的國外科技公司，以場景應(yīng)用牽引數(shù)據(jù)的跨境流動(dòng)，試圖產(chǎn)生有利于本國數(shù)字化發(fā)展的“虹吸效應(yīng)”。在此基礎(chǔ)上，等保制度表現(xiàn)為包括技術(shù)標(biāo)準(zhǔn)在內(nèi)的軟法更多、硬法較少；合規(guī)管轄限于本國領(lǐng)土；跨境流動(dòng)的數(shù)據(jù)也以清單式列舉為主。比如，美國堅(jiān)決反對(duì)數(shù)據(jù)本地化，主張數(shù)據(jù)在全球市場的自由流動(dòng)。目前影響最大的就是美國本土國安局“棱鏡”計(jì)劃，卷入了微軟、雅虎、谷歌、蘋果等科技巨頭，美國軍方的“情報(bào)界伙伴計(jì)劃”更是主導(dǎo)了Google、AT&T、蘭德公司、黑水國際等數(shù)以千計(jì)的科技公司。們借助在全球業(yè)務(wù)，要么“收集電郵、照片、即時(shí)消息、視頻、文件傳輸、存儲(chǔ)數(shù)據(jù)、語音聊天、視頻會(huì)議、登錄時(shí)間、社交資料等數(shù)據(jù)”，要么加入母國安全攻擊計(jì)劃，窺探、滲透和侵入他國計(jì)算機(jī)信息系統(tǒng)。

另一方面，數(shù)字化弱國沉淀數(shù)據(jù)的能力相對(duì)較弱，更多強(qiáng)調(diào)數(shù)據(jù)主權(quán)的底線，嚴(yán)格防止數(shù)據(jù)的跨境“凈流出”。因此，等保合規(guī)上的硬法偏多；數(shù)據(jù)立法管轄更多不限于領(lǐng)土內(nèi)，而以營業(yè)地或控制地為原則，且實(shí)行“海外長臂管轄”；跨境流動(dòng)數(shù)據(jù)也采取概括式定義，目的是讓本國擁有數(shù)據(jù)安全的更大話語權(quán)。根據(jù)這一邏輯，不少國家開始實(shí)行數(shù)據(jù)本地化與高標(biāo)準(zhǔn)限制跨境傳輸立法。作為等保合規(guī)的數(shù)據(jù)本地化典型代表，俄羅斯“對(duì)跨境數(shù)據(jù)流動(dòng)管理，已從自由放任轉(zhuǎn)向嚴(yán)格限制”。該國第97、242 號(hào)法令確立了數(shù)據(jù)本地化的基本規(guī)則，明確國外科技公司收集、處理數(shù)據(jù)的數(shù)據(jù)庫必須位于境內(nèi)，且規(guī)定數(shù)據(jù)處理者應(yīng)向監(jiān)管機(jī)構(gòu)報(bào)告數(shù)據(jù)庫所在地。同時(shí)，近年來歐盟為降低數(shù)據(jù)跨境傳輸?shù)陌踩L(fēng)險(xiǎn)，廢止了歐美之間運(yùn)行多年的《安全港協(xié)議》，即使以妥協(xié)后的《隱私盾協(xié)議》代之，也加強(qiáng)了國外科技公司等在域外獲取或訪問歐盟數(shù)據(jù)的限制。

與之密切相關(guān)的第二個(gè)問題，是執(zhí)法數(shù)據(jù)的跨境調(diào)取。數(shù)據(jù)主權(quán)主義認(rèn)為，數(shù)據(jù)是“國家對(duì)其政權(quán)管轄地域范圍內(nèi)個(gè)人、企業(yè)和組織產(chǎn)生數(shù)據(jù)擁有的最高權(quán)力”。然而，世界各國對(duì)數(shù)據(jù)主權(quán)范圍沒有達(dá)成共識(shí)，導(dǎo)致執(zhí)法管轄在國際留下不少空白，國外科技公司可以通過數(shù)據(jù)轉(zhuǎn)移，繞開數(shù)據(jù)安全規(guī)制，這加劇了數(shù)據(jù)管控的復(fù)雜性。

為了調(diào)取境外等保違規(guī)數(shù)據(jù)，提升本國執(zhí)法能力，歐美各國在立法上動(dòng)作頻頻。2018 年，美國出臺(tái)《合法使用境外數(shù)據(jù)明確法》（Cloud 法），旨在解決美國政府如何合法獲取境外數(shù)據(jù)，以及外國政府如何合法獲取美國境內(nèi)數(shù)據(jù)問題。針對(duì)前者，該法允許美國執(zhí)法機(jī)構(gòu)直接調(diào)取美國境外數(shù)據(jù)，除非被執(zhí)行人有效抗辯且被美國法院認(rèn)可；針對(duì)后者，為緩解國際數(shù)據(jù)本地化立法趨勢給美國利益的沖擊及現(xiàn)行司法協(xié)助體系壓力，美國提出“執(zhí)行協(xié)議”，即與美簽訂協(xié)議的外國政府可直接向美國境內(nèi)企業(yè)發(fā)出數(shù)據(jù)調(diào)取令。隨后，為應(yīng)對(duì) Cloud 法對(duì)司法主權(quán)等沖擊，歐盟提出制定新法以便執(zhí)法及司法當(dāng)局獲取電子證據(jù)，且與 Cloud 法類似，主張不以數(shù)據(jù)存儲(chǔ)位置決定管轄。

此外，圍繞數(shù)據(jù)安全的等保合規(guī)關(guān)注的第三個(gè)問題，指向數(shù)據(jù)非法內(nèi)容監(jiān)管。國外科技公司對(duì)數(shù)據(jù)內(nèi)容的不當(dāng)利用，已成為各國等保合規(guī)重點(diǎn)。立法可以分為兩種模式：實(shí)體性審查和透明度審查。實(shí)體性審查對(duì)象又可細(xì)分為三類：一是公然挑釁他國主權(quán)和領(lǐng)土完整，影響一國的政治民主進(jìn)程。比如，萬豪、美敦力、巴寶莉等公然把藏港臺(tái)列為“國家”，網(wǎng)絡(luò)軍火商 Hackling Team 與多國合作實(shí)施網(wǎng)絡(luò)攻擊竊密等。二是隱蔽制造社會(huì)內(nèi)在矛盾，國外科技公司通過互聯(lián)網(wǎng)，向他國輸入非法內(nèi)容數(shù)據(jù)，借助輿情熱點(diǎn)事件煽動(dòng)焦慮情緒、恐怖主義、極端主義、淫穢色情等，妄圖引爆社會(huì)沖突。如羅斯柴爾德家族和共濟(jì)會(huì)的陰謀命題、YouTube 網(wǎng)站的 ElsaGate 視頻。三是借助數(shù)字產(chǎn)品推行“文化殖民”，影響國家文化主權(quán)，改寫他國社會(huì)準(zhǔn)則。對(duì)此，不少國家和地區(qū)出臺(tái)規(guī)定，要求在線平臺(tái)積極檢測、有效移除在線非法內(nèi)容，并采取措施預(yù)防再現(xiàn)。此外，透明度審查主要要求提升平臺(tái)信息發(fā)布的透明度，特別是政治廣告的透明度，以限制政治廣告的市場目標(biāo)選擇，還要求提高算法的透明度，以應(yīng)對(duì)虛假信息的傳播等。比如，為了回應(yīng) Facebook 事件，歐盟發(fā)布《在線虛假信息的應(yīng)對(duì)：歐洲方法》，德國專門頒布《網(wǎng)絡(luò)執(zhí)法法》等。

以上對(duì)國外等保理論和實(shí)踐的梳理，目的是針對(duì)跨境的數(shù)據(jù)流通利用、執(zhí)法調(diào)取和內(nèi)容審查三個(gè)問題，體現(xiàn)國家之間在數(shù)據(jù)安全等保合規(guī)上的差別立場及其歸因。根據(jù)德姆塞茨（Demsetz）的制度經(jīng)濟(jì)學(xué)理論，“在某一資源價(jià)值增值的背景下，人們對(duì)資源利用所產(chǎn)生的制度成本容忍邊界，會(huì)根據(jù)主體間的競爭實(shí)力、資源占用量、受益程度有所不同?！边@就決定了討論等保理論不是簡單從“安全”出發(fā)的非此即彼判斷，畢竟過度的數(shù)據(jù)安全會(huì)限制數(shù)據(jù)使用的效率，讓制度本身的正當(dāng)性存疑。因此，需要從本質(zhì)上進(jìn)一步探索數(shù)據(jù)安全在制度成本上的“被容忍度”。隨著數(shù)據(jù)價(jià)值和容忍的制度成本提升，需要引入在不同主體之間更為精細(xì)化的等保制度，建立起精細(xì)的權(quán)利及限制的利益平衡。

三、數(shù)據(jù)安全等保制度的法理依據(jù)

接下來的問題是，數(shù)據(jù)安全在制度成本上的“被容忍度”界定標(biāo)準(zhǔn)，以及主體之間設(shè)計(jì)精細(xì)化平衡的等保范式，都有賴于先在法理上建立基礎(chǔ)認(rèn)知。數(shù)據(jù)安全的等保制度既要強(qiáng)調(diào)對(duì)國外科技公司較高級(jí)別的等保合規(guī)，又要推動(dòng)數(shù)據(jù)被更大幅度、更深層次應(yīng)用，核心是數(shù)據(jù)權(quán)利主體、數(shù)據(jù)管理者、數(shù)據(jù)利用者之間的權(quán)義合理分配；在此基礎(chǔ)上，除了參照國際上對(duì)國外科技公司的等保理論共識(shí)和實(shí)踐，還要在借鑒國際基本規(guī)則、國家主權(quán)控制、行業(yè)自律指引三者之間公約數(shù)平衡，形成高彈性、低耦合、模型化的等保制度。根據(jù)這一立場，建立數(shù)據(jù)安全等保制度的法理依據(jù)主要包括以下五個(gè)方面。

第一，從主權(quán)單邊規(guī)制到基于比例原則的競爭性規(guī)制。從全球范圍看，數(shù)據(jù)安全存在跨境數(shù)據(jù)自由流動(dòng)、數(shù)據(jù)保護(hù)自主權(quán)、良好的數(shù)據(jù)保護(hù)“三難選擇”，其根本原因在于國外科技公司的數(shù)據(jù)安全等保既是國內(nèi)問題也是國際問題。一方面，極端的數(shù)據(jù)本地化國內(nèi)立法通過限制出口數(shù)據(jù)類型、實(shí)施歧視性標(biāo)準(zhǔn)，會(huì)對(duì)國際投資、貿(mào)易和技術(shù)研發(fā)產(chǎn)生不利影響。另一方面，國際規(guī)制試圖提供數(shù)據(jù)安全統(tǒng)一標(biāo)準(zhǔn)，目標(biāo)是解決國內(nèi)數(shù)據(jù)立法差異造成的跨境流動(dòng)、執(zhí)法管轄和內(nèi)容審查障礙。其中，又存在兩種競爭性規(guī)制方式：美國主導(dǎo)的 OCED 指南、APEC 框架、FTAs 談判，以國際組織或協(xié)定為基礎(chǔ)，數(shù)據(jù)保護(hù)自主權(quán)主要依賴行業(yè)自律機(jī)制，致力于數(shù)據(jù)的跨國自由流動(dòng)和執(zhí)法調(diào)取，要求數(shù)據(jù)轉(zhuǎn)出機(jī)構(gòu)為轉(zhuǎn)移后的數(shù)據(jù)保護(hù)負(fù)責(zé)；歐盟以地域?yàn)榛A(chǔ)，把源于成員國的國內(nèi)立法融合形成 GDPR，以法令形式確立數(shù)據(jù)保護(hù)自主權(quán)，全面主張對(duì)數(shù)據(jù)控制者的義務(wù)和數(shù)據(jù)產(chǎn)生者的權(quán)利，要求數(shù)據(jù)流入方提供充分、類似和對(duì)等保障，嚴(yán)格限制向歐盟外轉(zhuǎn)移數(shù)據(jù)，尤為關(guān)注隱私保護(hù)和非法內(nèi)容審查。歐美兩種規(guī)制方式嘗試以 BCRs、CBPRs 等實(shí)現(xiàn)局部融合，但從未形成統(tǒng)一、約束力較強(qiáng)的數(shù)據(jù)安全共識(shí)。基于現(xiàn)實(shí)主義考量，行政法的“比例原則”需要介入競爭性規(guī)制。它強(qiáng)調(diào)數(shù)據(jù)安全等保制度不是以主權(quán)單邊規(guī)制下的“確定性指令”，以一種“全有或全無”方式被適用，而是體系化考慮其他對(duì)立面的存在，追求目的（數(shù)據(jù)安全）和手段（制度成本）之間的合比例性要求，從而建立具有“分量”的向度，強(qiáng)調(diào)在數(shù)據(jù)安全“被容忍度”判斷上制度與效果之間的關(guān)聯(lián)性、可適用性和預(yù)見可能性。

第二，從完全契約的防御到基于不完全契約的等保平衡。誠然，既要實(shí)現(xiàn)跨境數(shù)據(jù)流動(dòng)，又有良好的數(shù)據(jù)保護(hù)，理想方案是讓國家放棄數(shù)據(jù)保護(hù)自主權(quán)，以國際共識(shí)或協(xié)定產(chǎn)生約束力。但正如以上分析，即使當(dāng)前具有較大影響力的跨境數(shù)據(jù)安全等保規(guī)制也都限于區(qū)域范圍，沒有出現(xiàn)主導(dǎo)性的多邊規(guī)制，各國對(duì)數(shù)據(jù)安全的等保合規(guī)目標(biāo)差異，使更大范圍的權(quán)力讓渡十分困難。那么，既然終極意義的防御型數(shù)據(jù)安全共識(shí)尚難達(dá)成，等保制度設(shè)計(jì)可以轉(zhuǎn)向“不完全契約”。其基本含義是，當(dāng)國外科技公司與東道國達(dá)成數(shù)據(jù)安全的“完全契約”代價(jià)過大時(shí)，可以更多體現(xiàn)“不完全契約”特征，也就是把等保制度的“被容忍度”界定標(biāo)準(zhǔn)和主體之間的等保平衡重點(diǎn)，從設(shè)計(jì)數(shù)據(jù)安全等保制度之前能夠預(yù)見和實(shí)施的規(guī)則，轉(zhuǎn)向現(xiàn)有等保制度未覆蓋到的數(shù)據(jù)安全風(fēng)險(xiǎn)剩余控制權(quán)討論。根據(jù)這一邏輯， 基于國家的數(shù)據(jù)保護(hù)自主權(quán)，圍繞“跨境數(shù)據(jù)流動(dòng)”與“良好的數(shù)據(jù)保護(hù)”之間的競爭權(quán)衡過程，除了已確定在容忍度范疇內(nèi)的數(shù)據(jù)安全風(fēng)險(xiǎn)，尋找那些不能預(yù)先確定的數(shù)據(jù)安全平衡點(diǎn)在等保制度里變得尤為重要。事實(shí)上，“目標(biāo)平衡點(diǎn)的選擇、競爭主體的力量對(duì)比和規(guī)制本身的客觀規(guī)律共同決定了競爭的結(jié)果，從而影響規(guī)制的演進(jìn)方向”。

第三，從硬法偏多的強(qiáng)干預(yù)到現(xiàn)代軟法的引導(dǎo)性干預(yù)。國內(nèi)《網(wǎng)安法》對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者、《數(shù)安法》對(duì)其他數(shù)據(jù)處理者在境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)分別進(jìn)行規(guī)制，但法理基礎(chǔ)不受限于“法律控制模式”，而是主張需要“在分級(jí)分類基礎(chǔ)上建立數(shù)據(jù)安全認(rèn)證、風(fēng)險(xiǎn)評(píng)估和危機(jī)應(yīng)對(duì)等制度”。目前，盡管國內(nèi)一系列數(shù)據(jù)安全法律法規(guī)趨于完善，但硬法偏多，推動(dòng)法律實(shí)施的“工具箱”里的手段仍不夠豐富，尤其在面對(duì)國外科技公司的數(shù)據(jù)流通利用、執(zhí)法調(diào)取和內(nèi)容審查等問題時(shí)，涉及競爭性規(guī)則、不完全契約的等保平衡分寸拿捏較難，導(dǎo)致不少執(zhí)法者會(huì)“選擇性忽略”，直到后果較為嚴(yán)重。因此，除了構(gòu)建數(shù)據(jù)安全的等保制度基礎(chǔ)性法律，亟須借助“技術(shù)標(biāo)準(zhǔn)”對(duì)數(shù)據(jù)全生命周期加以規(guī)定，開發(fā)技術(shù)標(biāo)準(zhǔn)高度的敏捷性、迭代的靈活性、探索的前導(dǎo)性、自適應(yīng)的流暢性、軟法的規(guī)則性等獨(dú)特功能。

第四，從法律框架性規(guī)定到設(shè)定重點(diǎn)議題的兜底效應(yīng)。無疑法律的效力位階更高，在等保制度上發(fā)揮著“議題設(shè)定”（agenda setting）的支撐引領(lǐng)作用。國外科技公司引起的數(shù)據(jù)安全等保合規(guī)涉及多元博弈等難題，對(duì)于境內(nèi)的國外科技公司，東道國的等保合規(guī)標(biāo)準(zhǔn)精準(zhǔn)、高效，數(shù)據(jù)安全尚在可控范圍，但境外或跨境的國外科技公司潛在風(fēng)險(xiǎn)難以估量，且受到更為復(fù)雜的因素影響。比如，針對(duì)等保合規(guī)的數(shù)據(jù)本地化和安全出境評(píng)估，國內(nèi)出臺(tái)過的一系列法規(guī)、規(guī)章提出了明確要求，《網(wǎng)安法》《數(shù)安法》又對(duì)此作出規(guī)定。但是，國際上的數(shù)據(jù)本地化反對(duì)者將之當(dāng)成投資和貿(mào)易壁壘，甚至上升到破壞全球互聯(lián)互通的高度，認(rèn)為此類規(guī)定嚴(yán)重阻礙數(shù)據(jù)自由流動(dòng)。因此，中國正在討論的數(shù)據(jù)安全出境評(píng)估辦法，以及仍然未見實(shí)質(zhì)性進(jìn)展的配套技術(shù)標(biāo)準(zhǔn)，已成為當(dāng)下推動(dòng)基本法律實(shí)施的突出問題，同時(shí)也導(dǎo)致美國 Cloud  法出臺(tái)后，面對(duì)“執(zhí)法”數(shù)據(jù)跨境的洗牌式全新規(guī)則，國內(nèi)難以提出有針對(duì)性的“跨境執(zhí)法數(shù)據(jù)”的監(jiān)管應(yīng)對(duì)之策。

第五，從上位法的體系性協(xié)調(diào)到尋找共識(shí)性法律原則。國家需要在數(shù)據(jù)安全的細(xì)分領(lǐng)域建立分類分級(jí)、安全審查、跨境管制、評(píng)估反饋的等保合規(guī)標(biāo)準(zhǔn)。它作為法律法規(guī)的觸角，將抽象、概括的條款轉(zhuǎn)化為操作性、技術(shù)性、場景性更強(qiáng)的技術(shù)規(guī)范。當(dāng)然，圍繞“上位法”的等保標(biāo)準(zhǔn)制定，更易引起各方參與主體的關(guān)注和支持，且不會(huì)讓其淪為爭奪數(shù)據(jù)話語權(quán)的角斗場，造成數(shù)據(jù)安全的“公地悲 劇”。但在缺少國際共識(shí)的情況下，針對(duì)多元、博弈、權(quán)衡和分裂的國外科技公司，只是圍繞《網(wǎng)安法》《數(shù)安法》以及民法、行政法的“上位法”進(jìn)行體系性協(xié)調(diào)是一個(gè)難題，因此，通過對(duì)法律法規(guī)之間尋找共識(shí)的“法律原則”，可以為等保合規(guī)標(biāo)準(zhǔn)的細(xì)化提供鋪墊。與數(shù)據(jù)安全等保的軟法標(biāo)準(zhǔn)、法律法規(guī)相比，法律原則的抽象層次更高，它將標(biāo)準(zhǔn)、法律與跨境數(shù)據(jù)安全的競爭性權(quán)衡勾連起來成為“中間橋梁”，提供了更加抽象的政策討論空間，指引對(duì)案例和標(biāo)準(zhǔn)的討論。涉及數(shù)據(jù)安全的等保制度的原則包括知情原則、同意原則、比例原則、合法必要和正當(dāng)原則、公開透明原則、最小化采集原則、保密原則、其他信息控制權(quán)等。

四、等保合規(guī)數(shù)標(biāo)治理的實(shí)踐效力

根據(jù)制度供給的主體來源，數(shù)據(jù)安全的等保標(biāo)準(zhǔn)（以下簡稱“等保數(shù)標(biāo)”）分為三類：政府頒布的強(qiáng)制性標(biāo)準(zhǔn)、標(biāo)準(zhǔn)制定組織的行業(yè)或地方標(biāo)準(zhǔn)、其他非正式標(biāo)準(zhǔn)，它們之間產(chǎn)生了等保數(shù)標(biāo)的效力層級(jí)化。國際上對(duì)等保數(shù)標(biāo)的本體研究，主要包括通用標(biāo)準(zhǔn)的政府干預(yù)、行業(yè)標(biāo)準(zhǔn)的市場供給、數(shù)標(biāo)供給的激勵(lì)政策、標(biāo)準(zhǔn)對(duì)技術(shù)創(chuàng)新的影響力分析等。國外體制的一個(gè)顯著變化是：政府在等保數(shù)標(biāo)的制定上具有“穩(wěn)健”“節(jié)制”的明顯特征，同時(shí)，行業(yè)性、團(tuán)體性、區(qū)域性的非官方標(biāo)準(zhǔn)數(shù)據(jù)正在迅速積累，且發(fā)揮了越來越重要的功能。

國內(nèi)在等保數(shù)標(biāo)生態(tài)上呈現(xiàn)較強(qiáng)的“舉國體制”特征，政府部門牽頭制定國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)，為迅速實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型起到重要保障作用。針對(duì)國外科技公司數(shù)據(jù)安全風(fēng)險(xiǎn)“蝴蝶效應(yīng)”，尤其對(duì)于三級(jí)以上等保，政府介入通用性、基礎(chǔ)性的等保數(shù)標(biāo)具有“正外部性”，不能純粹依靠市場機(jī)制提供。與此同時(shí)，行業(yè)性、場景化的等保數(shù)標(biāo)可以更多探索采取“自下而上”的機(jī)制，這可以促進(jìn)數(shù)據(jù)有效管理、建立數(shù)據(jù)開放市場、節(jié)約數(shù)據(jù)流通成本、提高數(shù)據(jù)加工質(zhì)量。當(dāng)然，非政府干預(yù)標(biāo)準(zhǔn)也存在弊端，比如，等保數(shù)標(biāo)制定的利益相關(guān)方參與不充分、不透明，缺乏科學(xué)論證，會(huì)較難產(chǎn)生現(xiàn)實(shí)效力；同時(shí)，缺陷標(biāo)準(zhǔn)一旦發(fā)揮事實(shí)效力，又會(huì)阻礙市場準(zhǔn)入、競爭中立和執(zhí)法介入。因此，可以在等保數(shù)標(biāo)的制定程序里采取引入利益相關(guān)方等方式，對(duì)等保數(shù)標(biāo)的制定參與組織加以協(xié)調(diào)，在數(shù)標(biāo)制定過程中反復(fù)權(quán)衡考慮質(zhì)量、產(chǎn)出、交易均衡、第三方意見等因素，為各方參與者的成本和評(píng)估進(jìn)行建模。

在此基礎(chǔ)上，進(jìn)一步厘清國內(nèi)存在的強(qiáng)制性標(biāo)準(zhǔn)與法律法規(guī)關(guān)系尤為重要，也是等保數(shù)標(biāo)治理在法源研究上的核心問題。比較經(jīng)典的標(biāo)準(zhǔn)定性觀點(diǎn)認(rèn)為，“強(qiáng)制性標(biāo)準(zhǔn)就是技術(shù)法規(guī)的主要表現(xiàn)形式。”從本質(zhì)上講，等保數(shù)標(biāo)應(yīng)與法律上的“強(qiáng)制性”具有依附性。尤其考慮到國外科技公司掌握國內(nèi)海量業(yè)務(wù)數(shù)據(jù)的現(xiàn)狀，以及高附加值的穿透性滲透、豐富關(guān)聯(lián)點(diǎn)的數(shù)據(jù)派生等，推動(dòng)制定等保數(shù)標(biāo)與技術(shù)法規(guī)之間需要協(xié)調(diào)一致、同步進(jìn)行、從粗到細(xì)和逐步過渡，探索建立技術(shù)法規(guī)與等保數(shù)標(biāo)相結(jié)合的新型體制。

事實(shí)上，等保數(shù)標(biāo)的效力界定也經(jīng)過了一個(gè)變化過程。早期研究認(rèn)為，技術(shù)標(biāo)準(zhǔn)與法律規(guī)范在效力上存在“功能等價(jià)性”。換言之，即使等保數(shù)標(biāo)不完全具有授權(quán)依據(jù)、訂立程序、公布與否、文本形式等法律的外觀，但法律條文會(huì)援引數(shù)標(biāo)，裁判中也會(huì)用數(shù)標(biāo)對(duì)事實(shí)界定，讓等保產(chǎn)生合規(guī)意義上的事實(shí)拘束力。但是，近年來的研究開始關(guān)注等保數(shù)標(biāo)的原因分析，提出了數(shù)據(jù)安全等保的“合規(guī)性”本身需要法律提供程序規(guī)范，法律甚至可能賦予等保合規(guī)強(qiáng)制執(zhí)行力，讓違規(guī)主體直接受到法律制裁。這表明等保數(shù)標(biāo)與法律合規(guī)在效力上存在天然的依存性，為使之形成外在于法律系統(tǒng)的自給自足體系提供了堅(jiān)實(shí)基礎(chǔ)。

但是，國內(nèi)基于“合規(guī)性”探討等保數(shù)標(biāo)的效力淵源仍處于起步階段，這也讓當(dāng)下標(biāo)準(zhǔn)制定“舉國體制”成為必然。其根本原因在于數(shù)據(jù)安全“等保合規(guī)理論”支撐不足，尤其對(duì)等保數(shù)標(biāo)的基本概念、作用機(jī)制及與法律規(guī)范的互動(dòng)，現(xiàn)實(shí)中仍表現(xiàn)為相互割裂和缺乏對(duì)話。

那么，接下來又如何進(jìn)一步解決這一問題？“要素級(jí)別”的數(shù)據(jù)更大程度開發(fā)和流通勢在必行，國家也在深入研究圍繞數(shù)據(jù)安全的等保分級(jí)分類，尤其已在公共數(shù)據(jù)、行業(yè)數(shù)據(jù)上進(jìn)行了局部探索。然而，數(shù)據(jù)一旦涉及開發(fā)和流通，會(huì)持續(xù)出現(xiàn)許多數(shù)據(jù)安全認(rèn)知的有限理性、數(shù)據(jù)臨界風(fēng)險(xiǎn)的非線性、數(shù)據(jù)算法的不透明性等“元問題”，尤其對(duì)更為復(fù)雜的跨境數(shù)據(jù)流動(dòng)、執(zhí)法調(diào)取和非法內(nèi)容審查等會(huì)變得更為敏感。它們使數(shù)據(jù)安全在數(shù)據(jù)占有者、使用者和國家利益之間的內(nèi)在特性不同于一般的民商事或行政契約，而是更多表現(xiàn)為一系列“契約的不完全性”。面對(duì)數(shù)據(jù)這樣一個(gè)甚至改變了經(jīng)濟(jì)學(xué)“邊際效益遞減”規(guī)律、數(shù)量幾何級(jí)增長、未知空間巨大、柔韌性又很強(qiáng)的全新領(lǐng)域，單純以法律規(guī)則實(shí)現(xiàn)數(shù)據(jù)的法定性、穩(wěn)定性和預(yù)見性不切實(shí)際；同時(shí)，試圖在立法控制下建立一個(gè)法律與標(biāo)準(zhǔn)融合的宏觀全局模式，目前也還不具備這種能力或可能性。因此，更多引入具有靈活、彈性和持續(xù)迭代特點(diǎn)的等保數(shù)標(biāo)方式，敲定那些在數(shù)據(jù)安全競爭性規(guī)制上的“剩余控制權(quán)”歸屬，才是破解難題的關(guān)鍵。

當(dāng)然，競爭性規(guī)制以場景、行業(yè)、地方試點(diǎn)為切入口，自下而上逐步建立的數(shù)據(jù)安全等保合規(guī)體系，需要充分吸收和考慮“洛淪茲曲線”的影響，畢竟其初始參數(shù)及其微小的差別會(huì)決定性影響最終結(jié)果。它主要包括緊密銜接“上位法”，等保數(shù)標(biāo)制定程序合理合法，發(fā)揮類似法律規(guī)范的強(qiáng)制性約束力，同時(shí)釋放多元主體參與技術(shù)門檻高、專業(yè)性較強(qiáng)的等保數(shù)標(biāo)制定的能動(dòng)性。

在此基礎(chǔ)上，一是逐步建立數(shù)標(biāo)治理的效力權(quán)威性，借助于數(shù)標(biāo)提高《網(wǎng)安法》《數(shù)安法》的執(zhí)法效果，包括避免執(zhí)法的主動(dòng)性而不是中規(guī)中矩，釋放《數(shù)安法》、網(wǎng)絡(luò)安全審查辦法等實(shí)施之初的黃金時(shí)間段價(jià)值、增加對(duì)“重點(diǎn)”企業(yè)的上限執(zhí)法等；二是強(qiáng)化數(shù)標(biāo)治理的執(zhí)法方式創(chuàng)新，不是法律機(jī)械套用違法場景，而是既強(qiáng)調(diào)對(duì)已有問題的精準(zhǔn)應(yīng)對(duì)，又要監(jiān)管機(jī)關(guān)虛構(gòu)場景和創(chuàng)造問題，防止保守、僵化導(dǎo)致的執(zhí)法高代價(jià)；三是評(píng)估、利用境外數(shù)標(biāo)治理經(jīng)驗(yàn)，國外科技公司的數(shù)據(jù)風(fēng)險(xiǎn)會(huì)傳導(dǎo)轉(zhuǎn)化對(duì)國家產(chǎn)生影響，同時(shí)，任何國家的數(shù)標(biāo)治理經(jīng)驗(yàn)都必須進(jìn)行適合本國的改造和調(diào)整，包括體系化層次性的等保數(shù)標(biāo)系統(tǒng)構(gòu)建、數(shù)標(biāo)指引的疊加關(guān)聯(lián)分析、DOA 數(shù)聯(lián)網(wǎng)的中臺(tái)建設(shè)、語義分析知識(shí)圖譜、多主體聯(lián)邦學(xué)習(xí)、場景式深度轉(zhuǎn)化應(yīng)用等。

五、等保合規(guī)的集成數(shù)據(jù)治理模式

根據(jù)以上分析，面對(duì)國外機(jī)構(gòu)在數(shù)據(jù)上的“影子風(fēng)險(xiǎn)”對(duì)國家安全影響和程度加深，以及國際探索和踐行的比較經(jīng)驗(yàn)，為了迅速解決國內(nèi)在數(shù)據(jù)安全上的突出問題，需要建立更高水平、更為有效的等保數(shù)標(biāo)體系。下一步重點(diǎn)要頂層設(shè)計(jì)、敲定紅線、軟硬兼顧，在此基礎(chǔ)上，推動(dòng)制度配套、風(fēng)險(xiǎn)評(píng)級(jí)、有序合作、分類管理、技術(shù)為盾、失信關(guān)注、違法嚴(yán)懲等多角度立體治理，構(gòu)建起全覆蓋、全鏈條的數(shù)據(jù)治理模式。

首先，等保數(shù)標(biāo)的“軟法化”。當(dāng)超越了標(biāo)準(zhǔn)與法律合一或分離的二元對(duì)立，通過對(duì)等保數(shù)標(biāo)的  規(guī)范性與效力分析，可以發(fā)現(xiàn)標(biāo)準(zhǔn)的規(guī)范性與法律的規(guī)范性存在本質(zhì)區(qū)別：等保數(shù)標(biāo)的法定效力不來自于標(biāo)準(zhǔn)本身，而來自法律規(guī)定。所以，標(biāo)準(zhǔn)根本上體現(xiàn)的是“軟法”的理念和屬性。

采取這種“硬法—軟法”的分析框架，有利于廓清等保數(shù)標(biāo)與數(shù)據(jù)安全立法之間的內(nèi)在邏輯。畢竟在數(shù)據(jù)定位不清、數(shù)據(jù)治理過于原則、數(shù)據(jù)運(yùn)營缺乏統(tǒng)一性、法律保障措施不足的情形下，以“軟法”的等保數(shù)標(biāo)方式為切入口，可以靈活、彈性地探索數(shù)據(jù)權(quán)益的層次劃分、個(gè)人信息的精細(xì)化保護(hù)、“紅旗規(guī)則”與“避風(fēng)港原則”適用、重要數(shù)據(jù)的目錄管理機(jī)制、數(shù)據(jù)中心的知識(shí)圖譜索引、數(shù)據(jù)資產(chǎn)評(píng)估、數(shù)據(jù)生產(chǎn)要素統(tǒng)計(jì)核算、區(qū)域數(shù)據(jù)質(zhì)量管理、數(shù)字認(rèn)證等問題?？梢哉f，數(shù)據(jù)安全立法與等保數(shù)標(biāo)作為硬法與軟法，體現(xiàn)為在立法上平行推進(jìn)、在執(zhí)法上協(xié)同運(yùn)用的法治范式，它們理論上共同構(gòu)成了現(xiàn)代數(shù)字治理格局。

當(dāng)然，等保數(shù)標(biāo)事項(xiàng)即使符合了強(qiáng)制性標(biāo)準(zhǔn)，被作為法律事實(shí)或證據(jù)在執(zhí)法中加以援引，也并非一定能作為法定的抗辯事由。為了解決執(zhí)法中的這一問題，達(dá)到一定等級(jí)以上的數(shù)據(jù)強(qiáng)制性標(biāo)準(zhǔn)須經(jīng)立法程序轉(zhuǎn)化為技術(shù)法規(guī)，才能作為“準(zhǔn)據(jù)法”，獲得在數(shù)據(jù)領(lǐng)域中的法律確定性。雖然強(qiáng)制性標(biāo)準(zhǔn)不完全等同于技術(shù)法規(guī)，不直接屬于法律法規(guī)范疇，但調(diào)整技術(shù)法規(guī)體系或用技術(shù)法規(guī)代替一些強(qiáng)制性標(biāo)準(zhǔn)并不可行。國內(nèi)數(shù)據(jù)領(lǐng)域的強(qiáng)制性標(biāo)準(zhǔn)與技術(shù)法規(guī)共同存在具有合理性，能夠良性發(fā)展?？梢哉f，將等保數(shù)標(biāo)納入“軟法”視角，一定程度上終結(jié)了關(guān)于強(qiáng)制性標(biāo)準(zhǔn)到底是不是技術(shù)法規(guī)的爭議，使關(guān)于等保數(shù)標(biāo)的討論從基本概念推進(jìn)到技術(shù)標(biāo)準(zhǔn)的功能和影響層面。

其次，等保應(yīng)用的“場景化”。技術(shù)標(biāo)準(zhǔn)是不是法，“軟法”理論已做出回答，技術(shù)標(biāo)準(zhǔn)作為軟法區(qū)別于硬法。但是，技術(shù)標(biāo)準(zhǔn)作為軟法的作用機(jī)制，缺少令人滿意的答案。畢竟多數(shù)等保數(shù)標(biāo)并不具有強(qiáng)制約束力，那么數(shù)據(jù)處理者何以要遵守技術(shù)標(biāo)準(zhǔn)，對(duì)此需要借助數(shù)標(biāo)作用機(jī)理作出解釋?，F(xiàn)有研究主要從法教義學(xué)角度討論技術(shù)標(biāo)準(zhǔn)如何經(jīng)由法律條文、司法審判或合同條款援引產(chǎn)生法律效力，更多停留在“紙面上的法”，缺乏在實(shí)踐層次上的“數(shù)標(biāo)建模”分析，限制了軟法理論支撐等保數(shù)標(biāo)研究的實(shí)用性。

根據(jù)這一傾向，目前以等保合規(guī)為對(duì)象的數(shù)據(jù)安全研究，主要聚焦于抽象意義上的技術(shù)標(biāo)準(zhǔn)與法律之間關(guān)系討論，較少關(guān)注等保數(shù)標(biāo)的技術(shù)性、場景性、實(shí)用性特征，導(dǎo)致論證的邏輯鏈條缺漏、論證強(qiáng)度不足，結(jié)論具有一定武斷性。但是，規(guī)?；瘮?shù)據(jù)的治理和流通，除了通用性、基礎(chǔ)性領(lǐng)域，正從以往的“數(shù)據(jù)供應(yīng)”向“數(shù)據(jù)需求”轉(zhuǎn)型，“場景再造”是高水平、精細(xì)化等保數(shù)標(biāo)制定的起點(diǎn)和牽引力。它要求以場景為切入點(diǎn)，充分考慮技術(shù)標(biāo)準(zhǔn)在約束力類型、行業(yè)領(lǐng)域、實(shí)施主體等維度上的復(fù)雜性，實(shí)現(xiàn)業(yè)務(wù)引領(lǐng)的等保數(shù)標(biāo)精細(xì)化分類。

最后，等保分級(jí)的“類型化”。數(shù)據(jù)所涵蓋的數(shù)據(jù)類型具有多樣性、廣泛性的特點(diǎn)，無法“一刀切” 規(guī)制。因此，分級(jí)分類是對(duì)數(shù)據(jù)收集、存儲(chǔ)、加工、使用、提供、交易、公開等行為進(jìn)行精細(xì)化、差異化管理的前提。但是，分級(jí)分類標(biāo)準(zhǔn)的制定需要立足于技術(shù)標(biāo)準(zhǔn)法治體系的大框架。從“上位法”的視角對(duì)數(shù)據(jù)的分級(jí)分類，需要綜合參考一系列法律或規(guī)范性文件，大幅提升整全性與靈活性、閉合性與開放性之間的高度擬合度。包括國家標(biāo)準(zhǔn)《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》、各地方政府?dāng)?shù)據(jù)分類分級(jí)指南、《網(wǎng)安法》《數(shù)安法》等。需要考慮不同領(lǐng)域數(shù)據(jù)共性，如敏感度、數(shù)據(jù)規(guī)模、隱私保護(hù)、使用價(jià)值等分級(jí)維度，設(shè)計(jì)一套通用性的數(shù)據(jù)分級(jí)分類標(biāo)準(zhǔn)框架；充分考慮到不同應(yīng)用可能對(duì)數(shù)據(jù)分類的個(gè)性，保持標(biāo)準(zhǔn)框架的開放性。

在此基礎(chǔ)上，建立數(shù)據(jù)的“法律與技術(shù)一體化”治理方案、面向規(guī)?；臄?shù)據(jù)安全生命周期，以“技術(shù)標(biāo)準(zhǔn)”“法律規(guī)范”為雙要素的等保合規(guī)方案。其特征包括：（1）相對(duì)確定性。這種穩(wěn)定性和確定性可以讓數(shù)據(jù)主體對(duì)照等保，完成投入研發(fā)、內(nèi)控審計(jì)、外部認(rèn)證、流程再造。畢竟朝令夕改的規(guī)則和標(biāo)準(zhǔn)難以提供明確的合規(guī)指引，其所產(chǎn)生的實(shí)際效力會(huì)有存疑。因此，規(guī)則和標(biāo)準(zhǔn)的制定需重視其相對(duì)確定性。（2）較大柔韌性。數(shù)據(jù)科技發(fā)展之快不斷更迭著對(duì)數(shù)據(jù)的認(rèn)知和治理，這也意味著數(shù)據(jù)規(guī)則和標(biāo)準(zhǔn)體系的構(gòu)建必須具有足夠大的彈性，避免其一經(jīng)制定便被時(shí)代拋在身后的問題。（3）內(nèi)容實(shí)質(zhì)性。區(qū)別于規(guī)則，等保數(shù)標(biāo)需要避免流于抽象原則和權(quán)利的列舉，或只是對(duì)法律規(guī)則的照本宣科， 而是要體現(xiàn)在執(zhí)法上的強(qiáng)操作性，否則便失去了技術(shù)標(biāo)準(zhǔn)的存在意義，所以，必須在標(biāo)準(zhǔn)規(guī)范中規(guī)定更具有實(shí)質(zhì)性內(nèi)容的舉措。

六、結(jié)語

毫無疑問，針對(duì)不少境外、跨境的國外科技公司在不同程度上挖掘和獲取規(guī)模海量、授權(quán)模糊、邊界不清的多種大數(shù)據(jù)，由于國家監(jiān)管信息和執(zhí)行力度有限，產(chǎn)生的違法非法使用數(shù)據(jù)風(fēng)險(xiǎn)往往難以估量，直接或間接威脅我國的社會(huì)穩(wěn)定和政治安全，所以構(gòu)建數(shù)據(jù)安全的等保合規(guī)體系變得尤為迫切。面對(duì)這種數(shù)據(jù)影響安全的深刻痕跡，以及國際探索踐行的比較經(jīng)驗(yàn)，我國需要迅速解決在數(shù)據(jù)監(jiān)管上的短板，把等保合規(guī)推向建設(shè)更高水平、更為有效的全景式數(shù)據(jù)安全等保合規(guī)體系。在宏觀上，高起點(diǎn)構(gòu)建全覆蓋、全鏈條的系統(tǒng)集成數(shù)據(jù)安全等保合規(guī)模式。重點(diǎn)是以頂層設(shè)計(jì)、敲定紅線、軟硬兼顧為原則，定位于分類建立領(lǐng)域性的數(shù)據(jù)安全動(dòng)態(tài)風(fēng)險(xiǎn)識(shí)別和預(yù)警標(biāo)準(zhǔn)，實(shí)施更為精準(zhǔn)的等保分級(jí)管理。在此基礎(chǔ)上，以硬法和軟法協(xié)同、核心技術(shù)自主原創(chuàng)、守法激勵(lì)和失信懲戒、監(jiān)管分工和綜合執(zhí)法清單、國家安全瀆職問責(zé)機(jī)制等方式，逐步實(shí)現(xiàn)數(shù)據(jù)安全等保合規(guī)的立體化治理。在微觀上，逐步建立一系列促進(jìn)與規(guī)制之間的高水平科學(xué)治理模式。包括在個(gè)人信息保護(hù)上借助于“紅旗規(guī)則”“避風(fēng)港原則”，探索數(shù)據(jù)安全的等保合規(guī)責(zé)任豁免機(jī)制；構(gòu)建數(shù)據(jù)出境安全評(píng)價(jià)指標(biāo)體系，以加強(qiáng)安全保障為要素強(qiáng)調(diào)數(shù)據(jù)本地化和有序跨境流動(dòng)；通過關(guān)鍵性數(shù)據(jù)甄別例行比對(duì)、應(yīng)對(duì)在線虛假信息傳播、提高算法可解釋性、發(fā)布在線非內(nèi)容處理指南等，以提升透明度為導(dǎo)向加強(qiáng)內(nèi)容監(jiān)管審核。