数据跨境网络安全审查实施的基本构建及法律策略研究

数据跨境网络安全审查实施的基本构建及法律策略研究

邹郁文，贾鸿瑾，张浩，杨志达

四川电科网安科技有限公司610000

摘要：数据跨境网络安全审查是保障数据跨境网络安全的重要举措，也是数据安全保障的重要制度工具。然而，当前我国数据跨境网络安全审查存在审查实施程序不明确、审查机构职责不清晰以及审查标准要求不细化等问题，制约了审查工作的开展。基于此，本文首先提出了数据跨境网络安全审查的基本构建，而后从完善审查实施程序、明确审查审查机构职责以及细化审查标准要求方面提出了数据跨境网络安全审查的法律策略。

关键词：数据跨境网络；安全审查；基本构建；法律策略

引言

当前，随着我国数据跨境网络安全问题日益凸显，对数据跨境网络安全审查的立法需求也日益增加。本文立足于数据跨境网络安全审查的实践经验，借鉴域外有关数据跨境网络安全审查的先进制度设计，对我国数据跨境网络安全审查的基本构建和法律策略进行探讨。

1数据跨境网络安全审查实施的基本构建

1.1 审查主体

数据跨境网络安全审查制度的基本构建是通过设置网络安全审查机构，并由其具体负责网络安全审查的具体实施。本文认为，数据跨境网络安全审查制度应是一项由国家安全机关主导的行政行为。一方面，网络安全审查制度具有保障数据跨境的重要作用，其所保护的数据类型、范围、功能和重要性均决定了需要由国家安全机关实施，且其审查结果具有法律效力，更易于达成社会共识。另一方面，我国《国家安全法》《网络安全法》等法律规定了国家对网络安全的审查制度，而网络安全审查作为国家安全机关的行政行为，更能够保证数据跨境安全审查制度的实施。

1.2 审查程序

《网络安全审查办法》（以下简称《办法》）规定了数据跨境安全审查的三种不同的审查程序，即事前申报、联合审查和事后监督。“网络安全审查办公室”发布《办法》时，规定了事前申报程序，即在数据跨境网络安全审查过程中，相关主体应当主动向网络安全审查办公室提交申报材料。对于通过网络安全审查的产品和服务，网络安全审查办公室将会同有关部门、机构组织专家对相关产品和服务进行评估，并根据情况开展后续审查。此外，《办法》规定了联合审查程序。即在网络安全审查过程中，相关部门、机构可以要求关键信息基础设施运营者及其他参与跨境传输数据的主体提供必要的材料。

1.3 审查依据

在我国现有法律体系中，网络安全审查制度是由网络安全和信息化领导小组办公室（以下简称“国家网信部门”）来负责具体实施的，由国家网信办、工业和信息化部、公安部、国家安全部和商务部等相关部门联合制定实施细则。《网络安全审查办法》是目前我国唯一以“网络安全”为主题的法律法规，《办法》确立了“统筹协调、分类审查、协同联动”的网络安全审查制度，强调了各部门在网络安全审查工作中的分工协作，明确了各部门的审查职责和义务。因此，《办法》也被视为我国当前开展网络安全审查的法律依据，但《办法》本身并不具有直接的法律效力，其法律地位还有待进一步明确。

2数据跨境网络安全审查实施的法律策略

2.1 完善审查实施程序

从《网络安全法》实施情况看，在网络安全审查中，网络安全审查办公室是主要的审查主体，其应当在《网络安全法》实施之日起10个月内完成对网络运营者向境外提供数据情况的安全审查。在此期间，如果发生《网络安全法》规定的“关键信息基础设施的运营者采购网络产品和服务”情况，网络安全审查办公室应当向商务部提出安全审查申请。这说明在《网络安全法》实施前，我国对于关键信息基础设施运营者的数据出境安全管理是比较严格的。随着《网络安全法》实施后，国家层面在落实数据出境安全管理方面没有出现任何不一致之处，这是《网络安全法》与其他法律法规衔接过程中一个显著的亮点。从数据出境安全审查实践情况看，目前网络安全审查办公室的审查实施程序在一定程度上还不完善，为了让《网络安全法》在数据跨境安全管理方面落地生根，就需要在程序上进一步完善，这样才能实现《网络安全法》的立法目标[1]。

2.2 明确审查审查机构职责

网络安全审查办公室为国家网络安全工作的决策机构，主要负责组织制定网络安全审查工作的方针政策和具体办法，研究拟订网络安全审查工作规划，组织拟定网络安全审查的基本原则、标准和程序等。负责指导、监督各部门、地方开展网络安全审查工作，会同有关部门提出本行业、本领域网络安全审查建议。负责指导、协调国家网络安全宣传教育工作，开展网络安全知识普及、技能培训，会同有关部门开展国内外交流与合作。具体而言，由国家互联网信息办公室和各省、自治区、直辖市网信办根据工作需要设立的网络安全审查机构具体负责数据跨境网络安全审查的组织实施和协调工作。《办法》第十二条规定了网络安全审查机构的职责：（1）对网络产品和服务的安全进行审查；（2）对可能影响国家安全的数据处理活动进行审查；（3）根据需要对关键信息基础设施运营者采购网络产品和服务进行审查；（4）按照规定需要进行的其他审查

[2]。

根据上述规定，我们可以得出结论，国家互联网信息办公室和各省、自治区、直辖市网信办作为重要的数据跨境安全审查机构，主要负责对影响或者可能影响国家安全的数据处理活动进行审查，其中在针对数据处理活动进行审查时，还需要结合数据类型、行业等因素进一步明确具体的审查标准。

2.3 细化审查标准要求

在我国法律法规及相关规范性文件中，对于数据跨境网络安全审查的相关标准要求尚处于空白状态，尤其是关于数据安全审查的标准要求并不明确。在《数据安全法》《个人信息保护法》和《关键信息基础设施安全保护条例》中，均未对数据跨境网络安全审查的标准要求进行明确规定。在《国家安全法》《网络安全法》和《数据安全法》中，虽然提到了对于涉及国家安全的数据跨境活动进行审查，但并未对审查的具体标准和要求做出明确规定。而在《数据出境安全评估办法（征求意见稿）》中，虽然提出了关于个人信息出境安全评估的相关标准要求，但仍然需要细化到具体的标准要求[3]。

3 结束语

总而言之，在数据跨境网络安全审查的具体实践中，需要进一步明确我国数据跨境网络安全审查的基本原则和制度设计，探索建立以数据安全为核心的数据跨境网络安全审查模式，并构建起相应的配套机制和制度体系。

参考文献

[1]朱明婷.数字贸易中有关网络安全的主要挑战、治理进路及对策[J].中国科技论坛,2023,(07):106-115+158.

[2]徐程锦.中国跨境数据流动规制体系的CPTPP合规性研究[J].国际经贸探索,2023,39(02):69-87.

[3]阙天舒,王子玥.美欧跨境数据流动治理范式及中国的进路[J].国际关系研究,2021,(06):76-96+155.