數(shù)字法治：數(shù)據(jù)跨境傳輸中標(biāo)準(zhǔn)化合同的構(gòu)建基礎(chǔ)與監(jiān)管轉(zhuǎn)型

2022-04-21 10:55:14

作者：趙精武，北京航空航天大學(xué)法學(xué)院助理教授，法學(xué)博士。本文來源于《法律科學(xué)》2022年第2期。

我國《數(shù)據(jù)出境安全評估辦法(征求意見稿)》第9條對數(shù)據(jù)跨境傳輸合同內(nèi)容作出了限定。但數(shù)據(jù)跨境傳輸標(biāo)準(zhǔn)化合同在標(biāo)準(zhǔn)化程度、合同條款結(jié)構(gòu)和內(nèi)容類型等方面仍然存在理論邏輯不清、條款內(nèi)容可操作性弱等問題。結(jié)合我國風(fēng)險可控式的數(shù)據(jù)安全立法目標(biāo)來看，標(biāo)準(zhǔn)化合同的制度功能不在于直接監(jiān)管數(shù)據(jù)處理者，而是建構(gòu)數(shù)據(jù)跨境傳輸?shù)目尚湃螤顟B(tài)，以此協(xié)調(diào)數(shù)據(jù)安全與數(shù)據(jù)流動的價值沖突。標(biāo)準(zhǔn)化合同規(guī)制邏輯是通過設(shè)定私法義務(wù)將數(shù)據(jù)安全保護(hù)這一公法義務(wù)的履行標(biāo)準(zhǔn)予以細(xì)化，并借助既有的數(shù)據(jù)分級分類制度歸納合同內(nèi)容類型，實(shí)現(xiàn)跨境數(shù)據(jù)流動監(jiān)管過程中“義務(wù)是否履行”向“義務(wù)履行如何”的判斷標(biāo)準(zhǔn)轉(zhuǎn)變。

一、問題的提出：數(shù)據(jù)跨境傳輸合同標(biāo)準(zhǔn)化的理論不足與制度沖突

網(wǎng)絡(luò)信息技術(shù)重塑了數(shù)據(jù)、信息和知識的商業(yè)價值和社會功能。審視國內(nèi)外近年來的立法趨勢，個人信息保護(hù)和數(shù)據(jù)安全評估顯然已經(jīng)成為各國立法者首要關(guān)注的規(guī)范議題。即便是以商業(yè)利益為優(yōu)先考慮的美國，在聯(lián)邦和州政府層面，也先后制定了有關(guān)個人信息、商業(yè)數(shù)據(jù)使用限定條件的規(guī)范性文件。雖然各國立法者對“數(shù)據(jù)安全”的概念和外延存在差異化認(rèn)知，但在具體的立法活動中，歐盟《通用數(shù)據(jù)保護(hù)條例》(以下簡稱“GDPR”)《日本個人信息保護(hù)法》《巴西通用數(shù)據(jù)保護(hù)法》等規(guī)范性文件均是圍繞“數(shù)據(jù)安全”與“數(shù)據(jù)利用”兩種法益的平衡方案予以展開。并且，在個人信息保護(hù)立法體系趨于成熟之后，數(shù)據(jù)安全立法的重心也在發(fā)生轉(zhuǎn)變，即從法律效力層級的制度框架轉(zhuǎn)向行政法規(guī)層級的具體機(jī)制細(xì)化。在這一轉(zhuǎn)變過程中，數(shù)據(jù)安全出境的立法問題自然而然地呈現(xiàn)于立法者面前：既滿足我國“國家安全”和“數(shù)據(jù)安全”立法目標(biāo)，又不會對數(shù)據(jù)跨境傳輸?shù)纳虡I(yè)活動造成非必要阻礙的數(shù)據(jù)跨境流動監(jiān)管制度該如何建構(gòu)?

現(xiàn)階段，學(xué)界有關(guān)數(shù)據(jù)跨境流動制度的理論探討主要聚焦于兩個層面：一是在制度設(shè)計(jì)層面，我國數(shù)據(jù)跨境流動監(jiān)管體系結(jié)構(gòu)的建構(gòu)多以歐盟GDPR中規(guī)定的“充分性保護(hù)”認(rèn)定機(jī)制為基礎(chǔ)，主張我國應(yīng)當(dāng)借鑒歐盟模式，建立數(shù)據(jù)出境安全評估制度、數(shù)據(jù)跨境傳輸合同標(biāo)準(zhǔn)化等具體制度；二是在國際法層面，探討我國數(shù)據(jù)跨境傳輸監(jiān)管制度的對外效力，以及我國如何在國際數(shù)據(jù)跨境傳輸規(guī)則制定過程中爭奪話語權(quán)，包括我國應(yīng)當(dāng)如何充分銜接國內(nèi)法與國際法規(guī)則，避免外國以“長臂管轄”規(guī)則為由指責(zé)和干涉我國數(shù)據(jù)安全監(jiān)管活動。不難發(fā)現(xiàn)，這兩種研究趨勢的重心均集中于具體制度建構(gòu)，其原因在于數(shù)據(jù)跨境傳輸監(jiān)管問題在很大程度上是有關(guān)數(shù)據(jù)如何安全地傳輸以及將數(shù)據(jù)傳輸過程如何納入有效的行政監(jiān)管框架內(nèi)。然而，具體制度的建構(gòu)依然需要在理論層面回應(yīng)這些制度模式的選擇依據(jù)和正當(dāng)性基礎(chǔ)。

我國《數(shù)據(jù)出境安全評估辦法(《征求意見稿》)》(以下簡稱《征求意見稿》)已于近期公布?！墩髑笠庖姼濉返?條規(guī)定了我國數(shù)據(jù)出境安全評估的重點(diǎn)事項(xiàng)，即在跨境數(shù)據(jù)傳輸時，要求數(shù)據(jù)處理者與境外接收方就訂立合同是否充分約定了數(shù)據(jù)安全保護(hù)義務(wù)進(jìn)行說明。第9條更是細(xì)化了“充分約定”的判斷標(biāo)準(zhǔn)，對合同應(yīng)當(dāng)約定的必要事項(xiàng)進(jìn)行列舉。合同條款標(biāo)準(zhǔn)化一直被認(rèn)為是數(shù)據(jù)跨境傳輸領(lǐng)域的有效監(jiān)管工具，歐盟GDPR將標(biāo)準(zhǔn)化合同條款(SCC)嵌入了跨境數(shù)據(jù)流動的全過程，原因在于該項(xiàng)機(jī)制既能實(shí)現(xiàn)監(jiān)管者對于數(shù)據(jù)跨境傳輸重要事項(xiàng)的直接審核，也能基于違約責(zé)任督促數(shù)據(jù)處理者積極履行數(shù)據(jù)安全保護(hù)義務(wù)。當(dāng)然，先前提及的如何建構(gòu)滿足安全立法目標(biāo)且實(shí)現(xiàn)數(shù)據(jù)充分流動的制度建構(gòu)問題仍然存在于該領(lǐng)域，其在理論層面有三類問題需要予以闡明。

第一，歐盟模式與我國合同“充分約定”模式之間存在何種關(guān)聯(lián)性?從現(xiàn)有條款來看，我國僅對合同內(nèi)容約定事項(xiàng)作出強(qiáng)制性要求，并沒有對具體的合同條款作出限定。結(jié)合《征求意見稿》第8條內(nèi)容來看，數(shù)據(jù)處理者與境外接收方訂立的合同僅是數(shù)據(jù)出境安全評估的評估對象。而歐盟模式所建構(gòu)的標(biāo)準(zhǔn)化合同條款(SCC)則是在“數(shù)據(jù)接收方在不滿足GDPR要求的‘能夠提供與歐盟同等保護(hù)水平’”情形時，數(shù)據(jù)處理者與數(shù)據(jù)控制者可以選擇的“替代方案”。兩相比較，無論是在數(shù)據(jù)跨境傳輸制度的體系結(jié)構(gòu)層面，還是在合同內(nèi)容限定層面，兩種合同標(biāo)準(zhǔn)化模式特征差異明顯，這是否意味著我國的數(shù)據(jù)跨境傳輸合同監(jiān)管模式需要遵循另一套理論邏輯?

第二，《征求意見稿》第8條、第9條的“充分約定”應(yīng)如何理解?這究竟是有別于歐盟模式的中國數(shù)據(jù)安全立法邏輯之特點(diǎn)，還是需要在解釋論和制度論層面對標(biāo)準(zhǔn)化合同機(jī)制予以進(jìn)一步明確?雖然《征求意見稿》言明了數(shù)據(jù)跨境傳輸合同標(biāo)準(zhǔn)化的制度路徑以及合同內(nèi)容的類型化，但在實(shí)施層面，數(shù)據(jù)處理者在合同中約定了諸如“數(shù)據(jù)出境目的、方式和傳輸范圍”“數(shù)據(jù)境外保存地點(diǎn)、期限”“限制再傳輸?shù)募s束條款”等內(nèi)容，但這不等于數(shù)據(jù)處理者符合這些要求就已經(jīng)滿足了數(shù)據(jù)出境安全評估所要求的數(shù)據(jù)安全風(fēng)險防范標(biāo)準(zhǔn)。事實(shí)上，《征求意見稿》第8條、第9條提供的僅是合同標(biāo)準(zhǔn)化的基本路徑，監(jiān)管機(jī)構(gòu)仍然需要提供一套類似政府采購合同、保單標(biāo)準(zhǔn)化模式的類型化數(shù)據(jù)跨境傳輸合同范本，并且要能夠與《數(shù)據(jù)安全法》第21條規(guī)定的重點(diǎn)數(shù)據(jù)目錄和數(shù)據(jù)分類分級制度銜接。

第三，我國數(shù)據(jù)跨境傳輸合同標(biāo)準(zhǔn)化機(jī)制的調(diào)整范圍和體系定位究竟如何解釋?我國現(xiàn)行立法有關(guān)數(shù)據(jù)安全評估的制度內(nèi)容包括業(yè)務(wù)評估、出境評估、事件評估、自評估、年度評估等內(nèi)容，在這些評估機(jī)制尚未體系化之前，是應(yīng)當(dāng)按照《征求意見稿》的第8條的規(guī)定將數(shù)據(jù)跨境傳輸合同標(biāo)準(zhǔn)化機(jī)制視為出境評估的事項(xiàng)之一，還是應(yīng)當(dāng)將合同標(biāo)準(zhǔn)化機(jī)制置于所有類型的數(shù)據(jù)出境制度背景下，將其上升至與安全評估機(jī)制相平行的監(jiān)管制度?

《征求意見稿》與現(xiàn)行數(shù)據(jù)安全立法在適用范圍和體系定位層面存在內(nèi)容沖突(參見下表)?！墩髑笠庖姼濉返?條規(guī)定數(shù)據(jù)出境安全評估機(jī)制主要適用于“數(shù)據(jù)處理者向境外提供在中國境內(nèi)運(yùn)營中收集和產(chǎn)生的‘重要數(shù)據(jù)’和依法應(yīng)當(dāng)進(jìn)行安全評估的‘個人信息’”,并且第8條也明確數(shù)據(jù)出境安全評估事項(xiàng)之一即是審查數(shù)據(jù)跨境傳輸?shù)暮贤瑑?nèi)容。因此，在《征求意見稿》中，合同標(biāo)準(zhǔn)化模式的適用范圍不僅包括個人信息的跨境傳輸，還包括重要數(shù)據(jù)的跨境傳輸。但是，《個人信息保護(hù)法》第38條又將“安全評估”“個人信息保護(hù)認(rèn)證”“標(biāo)準(zhǔn)合同”以及“其他條件”作為向境外提供個人信息應(yīng)當(dāng)具備的條件之一。此時，至少在個人信息出境環(huán)節(jié)，個人信息處理者只要滿足“安全評估”和“標(biāo)準(zhǔn)合同”二者中一個條件，即可向境外提供個人信息。由此觀之，《征求意見稿》與《個人信息保護(hù)法》有關(guān)數(shù)據(jù)跨境傳輸合同標(biāo)準(zhǔn)化機(jī)制尚未形成體系化銜接。但真正的問題并不止于此。近期公布的《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(《征求意見稿》)》第35條與《個人信息保護(hù)法》第38條采用了類似的條款表述方式，但卻又用“向境外提供數(shù)據(jù)”這一表述替代了《個人信息保護(hù)法》第38條中的“向境外提供個人信息”的表述。從文義出發(fā)，數(shù)據(jù)跨境傳輸?shù)暮贤瑯?biāo)準(zhǔn)化適用范圍顯然又適用于所有類型的數(shù)據(jù)。并且，結(jié)合我國數(shù)據(jù)跨境傳輸立法活動來看，從2017年的《個人信息和重要數(shù)據(jù)出境安全評估辦法(《征求意見稿》)》到2019年的《個人信息出境安全評估辦法(《征求意見稿》)》,再到2021年的《數(shù)據(jù)出境安全評估辦法(《征求意見稿》)》,《征求意見稿》名稱的變化似乎反映了立法者的另一種考量：數(shù)據(jù)出境安全評估制度除了重點(diǎn)調(diào)整“重要數(shù)據(jù)”和“個人信息”出境活動之外，還應(yīng)當(dāng)包括未來可能出現(xiàn)的其他類型數(shù)據(jù)的出境活動。因此，在數(shù)據(jù)安全立法縱深化發(fā)展趨勢下，針對數(shù)據(jù)跨境傳輸合同標(biāo)準(zhǔn)化理論邏輯和制度內(nèi)容細(xì)化的研究有其必要性和迫切性，這既關(guān)系到我國立法層面如何完成私法層面和公法層面的數(shù)據(jù)跨境流動安全監(jiān)管，也關(guān)系到我國數(shù)據(jù)跨境傳輸制度的體例結(jié)構(gòu)與制度銜接。

表1 數(shù)據(jù)跨境傳輸合同標(biāo)準(zhǔn)化條款

二、數(shù)據(jù)跨境傳輸合同標(biāo)準(zhǔn)化的制度誤解與理論澄清

(一)歐盟標(biāo)準(zhǔn)化合同條款(SCC)模式的制度誤解

目前，學(xué)界已有幾種不同維度的數(shù)據(jù)跨境傳輸制度的學(xué)說主張。學(xué)者們大多傾向于以歐盟模式作為效仿對象或比照范本，主張借鑒GDPR所規(guī)定的“充分性保護(hù)”認(rèn)定機(jī)制和標(biāo)準(zhǔn)化合同條款(SCC)作為我國數(shù)據(jù)出境安全評估的核心內(nèi)容，如此既可以達(dá)到反制歐盟借助GDPR間接干涉我國數(shù)據(jù)出境監(jiān)管活動的效果，也可以有利回?fù)裘罋W等國對我國數(shù)據(jù)本地化模式的不當(dāng)指責(zé)。從現(xiàn)有主張來看，其結(jié)論大多是以歐盟GDPR制度的本土化效仿為落腳點(diǎn)，探討歐盟被遺忘權(quán)、個人數(shù)據(jù)權(quán)利等具體制度如何在我國數(shù)據(jù)安全保護(hù)制度框架內(nèi)實(shí)現(xiàn)制度移植或話語體系轉(zhuǎn)化，卻偏偏忽視了歐盟模式背后固有的法律價值順位與數(shù)字經(jīng)濟(jì)實(shí)踐基礎(chǔ)。殊不知看似以個人數(shù)據(jù)權(quán)利為優(yōu)先的歐盟模式，其內(nèi)核裹挾著歐盟立法者的政策傾向與價值定位，完全忽視了“國家安全”和“數(shù)據(jù)安全”在中國與歐盟制度體系中影響方式與功能定位的不同。既有學(xué)術(shù)觀點(diǎn)的共通性在于均認(rèn)可歐盟模式在我國數(shù)據(jù)跨境流動監(jiān)管領(lǐng)域的可移植性，其原因是GDPR條款內(nèi)容客觀上確實(shí)符合全球數(shù)據(jù)處理活動的實(shí)踐需求，且體系結(jié)構(gòu)也能夠滿足一個國家有效監(jiān)管個人數(shù)據(jù)出境的立法目標(biāo)。但是，歐盟模式“通用”特征的形成并不是因?yàn)闅W盟GDPR規(guī)定的數(shù)據(jù)跨境傳輸制度充分滿足了數(shù)據(jù)出境的商業(yè)需求，而是因?yàn)闅W盟憑借自身龐大的市場規(guī)模間接強(qiáng)加于他國數(shù)據(jù)處理者的“義務(wù)性要求”,其“個人數(shù)據(jù)權(quán)利保護(hù)”的制度外衣之下依然是以抽象模糊的國家安全和共同體利益為內(nèi)核。

在司法實(shí)踐層面，歐盟個人數(shù)據(jù)出境的法定標(biāo)準(zhǔn)與我國的“數(shù)據(jù)安全優(yōu)先”立場并無實(shí)質(zhì)差異，唯一的區(qū)別在于兩者對“數(shù)據(jù)安全”概念層面有著不同立場：歐盟立法者所追求的數(shù)據(jù)出境安全更側(cè)重于歐盟公民個人權(quán)利的保護(hù)，我國數(shù)據(jù)出境安全則是側(cè)重包括個人信息、重要數(shù)據(jù)在內(nèi)的出境活動安全。在案件中，雖然臉書確實(shí)按照GDPR規(guī)定的標(biāo)準(zhǔn)化合同條款(SCC)方式向美國傳輸歐盟個人數(shù)據(jù)，但歐盟法院的判斷顯然表明數(shù)據(jù)出境的合法性邊界是以“實(shí)質(zhì)性保護(hù)水平”為前提的，其裁判文書也是美國允許情報部門以國家安全為由收集境外關(guān)鍵情報，而個人數(shù)據(jù)是否包含在“關(guān)鍵情報”和“反恐監(jiān)控”的范疇之內(nèi)并不屬于美國法院的審查范疇。鑒于美國“斯諾登事件”等秘密收集外國公民個人信息的“劣跡”,歐盟法院認(rèn)定美國無法提供實(shí)質(zhì)相同的數(shù)據(jù)保護(hù)措施而否認(rèn)了“隱私盾協(xié)議”的有效性。換言之，歐盟基于GDPR所建構(gòu)的數(shù)據(jù)出境制度框架仍然需要滿足“實(shí)質(zhì)性保護(hù)水平”和“國家安全”兩項(xiàng)標(biāo)準(zhǔn)，標(biāo)準(zhǔn)化合同不過是“充分性保護(hù)”認(rèn)定的暫時性替代方案，一旦與歐盟立法者隱藏的“國家安全”“數(shù)據(jù)安全”立法目標(biāo)相悖，則會通過“充分性保護(hù)”認(rèn)定規(guī)則直接“繞開”。

歐盟模式之所以能夠?qū)θ蚋鲊鴶?shù)據(jù)跨境傳輸立法產(chǎn)生直接或間接的影響，部分原因在于GDPR所建構(gòu)的個人數(shù)據(jù)權(quán)利體系以及數(shù)據(jù)安全評估機(jī)制在一定程度上滿足了數(shù)據(jù)處理活動的實(shí)踐需求，也為各國政府在強(qiáng)化數(shù)據(jù)安全監(jiān)管能力方面提供了有效的監(jiān)管工具，尤其歐盟所提出的“充分性保護(hù)認(rèn)定”“數(shù)據(jù)出境標(biāo)準(zhǔn)化合同”的數(shù)據(jù)跨境傳輸機(jī)制更是被視為歐盟實(shí)現(xiàn)全球數(shù)字市場一體化的重要手段。但值得注意的是，歐盟模式并非國際社會層面唯一的合同標(biāo)準(zhǔn)化范本。早在2021年6月歐盟更新標(biāo)準(zhǔn)化合同條款(SCC)之前，東盟就公布了自己的數(shù)據(jù)跨境傳輸標(biāo)準(zhǔn)化合同(MCCs)。兩者比較而言(參見下表2),東盟標(biāo)準(zhǔn)化合同的制定依據(jù)并非完全依賴于東盟內(nèi)部的個人數(shù)據(jù)保護(hù)規(guī)則，允許東盟國家的“數(shù)據(jù)出口方”(data export)與“數(shù)據(jù)進(jìn)口方”(data export)根據(jù)GDPR、APEC隱私框架、ODEC隱私準(zhǔn)則等東盟認(rèn)可的國際協(xié)議調(diào)整具體條款內(nèi)容。東盟模式顯然弱化了“國家安全”層面的制度考量，以至于數(shù)據(jù)跨境傳輸活動在一定程度上受到歐盟GDPR的掣肘，未能真正實(shí)現(xiàn)合同標(biāo)準(zhǔn)化模式與國內(nèi)數(shù)據(jù)安全立法目標(biāo)的對接，更遑論“通過監(jiān)管實(shí)現(xiàn)數(shù)據(jù)出境安全”。

表2 標(biāo)準(zhǔn)化合同條款的歐盟模式與東盟模式

(二)歐盟數(shù)據(jù)跨境傳輸?shù)牧龀吻澹骸皻W盟的國家安全”

從上述歐盟與東盟的數(shù)據(jù)跨境傳輸合同模式比較結(jié)果來看，歐盟模式似乎更符合主權(quán)國家對于本國數(shù)據(jù)安全的監(jiān)管需求。在事實(shí)層面，以“知情同意規(guī)則”“被遺忘權(quán)”等數(shù)據(jù)主體權(quán)利和數(shù)據(jù)處理規(guī)則為核心的歐盟模式已經(jīng)成為數(shù)據(jù)保護(hù)的“國際范本”。這種現(xiàn)象被人們稱為“布魯塞爾效應(yīng)”,即歐盟繞過雙邊或多邊對話機(jī)制，僅憑歐盟龐大的經(jīng)濟(jì)市場實(shí)現(xiàn)“單方面”監(jiān)管全球市場目標(biāo)。伴隨著歐盟數(shù)字化單一市場戰(zhàn)略的推進(jìn)，布魯塞爾效應(yīng)的影響范圍被不斷放大：GDPR第45條明確了個人數(shù)據(jù)跨境傳輸?shù)那疤釛l件是以歐盟的“充分性保護(hù)”審查認(rèn)定為前提。這種審查認(rèn)定的依據(jù)并未在立法文件中予以明確，僅是以數(shù)據(jù)接收方的第三國現(xiàn)行制度體系能否為歐盟公民個人數(shù)據(jù)提供充分保護(hù)的模糊性表述為主，認(rèn)定結(jié)果實(shí)際上仍然是以歐盟政治博弈為基礎(chǔ)，歐盟借此將國家之間的數(shù)據(jù)跨境“同化為歐盟內(nèi)部的數(shù)據(jù)傳輸”,這從日本、韓國、加拿大等國被視為“充分性保護(hù)”第三國的認(rèn)定結(jié)果可見一斑。

當(dāng)然，為了適當(dāng)拓展數(shù)據(jù)實(shí)際傳輸范圍，歐盟還允許通過標(biāo)準(zhǔn)化合同(SCC)、約束性企業(yè)規(guī)則等“可替代方案”實(shí)現(xiàn)出于商業(yè)目的的數(shù)據(jù)出境。其中，歐盟在2021年6月4日頒布的數(shù)據(jù)傳輸標(biāo)準(zhǔn)合同條款取代了之前根據(jù)“95指令”制定的三套陳舊的標(biāo)準(zhǔn)化合同，首次以數(shù)據(jù)傳輸路徑為標(biāo)準(zhǔn)，創(chuàng)設(shè)“數(shù)據(jù)控制者到數(shù)據(jù)控制者的數(shù)據(jù)傳輸”“數(shù)據(jù)控制者到數(shù)據(jù)處理者的數(shù)據(jù)傳輸”“數(shù)據(jù)處理者到數(shù)據(jù)處理者的數(shù)據(jù)傳輸”“數(shù)據(jù)處理者到數(shù)據(jù)控制者的數(shù)據(jù)傳輸”四類數(shù)據(jù)跨境傳輸方案，其目的是為避免處于產(chǎn)業(yè)鏈不同階段的數(shù)據(jù)處理者、數(shù)據(jù)控制者出現(xiàn)數(shù)據(jù)安全保障義務(wù)履行標(biāo)準(zhǔn)的不統(tǒng)一。值得注意的是，更新后的標(biāo)準(zhǔn)化合同適用范圍不單單是數(shù)據(jù)傳輸方和數(shù)據(jù)接收方兩方主體，也同樣適用于參與到整個數(shù)據(jù)處理生命周期的其他存在業(yè)務(wù)合作關(guān)系的數(shù)據(jù)處理者與數(shù)據(jù)控制者。此外，歐盟標(biāo)準(zhǔn)化合同在義務(wù)層面特別強(qiáng)調(diào)“透明度”,要求“數(shù)據(jù)進(jìn)口方”直接或通過“數(shù)據(jù)出口方”向數(shù)據(jù)主體告知其身份和聯(lián)系方式、處理的個人數(shù)據(jù)類型、獲得數(shù)據(jù)跨境傳輸合同副本的權(quán)利以及向業(yè)務(wù)關(guān)聯(lián)第三方傳輸數(shù)據(jù)的相關(guān)信息。而這種告知義務(wù)的目的是為了確保數(shù)據(jù)主體能夠有效行使標(biāo)準(zhǔn)化合同約定的具體權(quán)利，并且在條件允許的情況下，“數(shù)據(jù)進(jìn)口方”還需要確保這些信息能夠被社會公眾所訪問獲知。

從整體結(jié)構(gòu)來看，標(biāo)準(zhǔn)化合同背后的歐盟模式是以“業(yè)務(wù)鏈遵循同等保護(hù)水平”為核心，意欲實(shí)現(xiàn)歐盟公民個人數(shù)據(jù)出境后處理活動的全程跟蹤與監(jiān)管：一方面，歐盟以業(yè)務(wù)關(guān)聯(lián)作為GDPR法定義務(wù)適用范圍的認(rèn)定標(biāo)準(zhǔn)，盡可能簡化因?yàn)閿?shù)據(jù)處理業(yè)務(wù)參與者類型眾多可能導(dǎo)致的標(biāo)準(zhǔn)不統(tǒng)一；另一方面，標(biāo)準(zhǔn)化合同條款(SCC)的“模塊化”特征在保障標(biāo)準(zhǔn)統(tǒng)一的前提下，又兼顧了數(shù)據(jù)處理者與數(shù)據(jù)控制者的數(shù)據(jù)控制能力差異性。即數(shù)據(jù)控制者是決定個人數(shù)據(jù)處理目的和方式的“實(shí)際控制人”,而數(shù)據(jù)處理者則是根據(jù)前者的請求提供技術(shù)支撐的服務(wù)提供商。不過，需要注意的是歐盟模式的局限性，即個人數(shù)據(jù)安全并不是國家安全和數(shù)據(jù)安全的全部內(nèi)容，并且，在“充分性保護(hù)”原則優(yōu)先的背景下，歐盟模式依舊繞不開歐盟立法者所考量的“國家安全”和“政治博弈”。

(三)我國數(shù)據(jù)跨境流動制度建構(gòu)的基本立場：風(fēng)險可控與社會信任

國內(nèi)外有關(guān)數(shù)據(jù)跨境流動的監(jiān)管制度實(shí)際上早已存在，但由于信息技術(shù)處理能力、數(shù)據(jù)戰(zhàn)略價值開發(fā)程度、數(shù)據(jù)存在形式單一等外部客觀因素的影響，早年的立法內(nèi)容始終停留于“國家秘密”和“個人隱私”這兩類數(shù)據(jù)，安全與使用之間的法益沖突也未如現(xiàn)階段數(shù)據(jù)跨境流動立法那般明顯。現(xiàn)階段，我國數(shù)據(jù)跨境傳輸制度也是以數(shù)據(jù)主權(quán)理論為基礎(chǔ)，數(shù)據(jù)出境活動不再是以經(jīng)營自主權(quán)為主的商事活動，而是涉及國家安全和數(shù)據(jù)主權(quán)的重要監(jiān)管領(lǐng)域。出于安全保密的制度考量，通過禁止數(shù)據(jù)出境實(shí)現(xiàn)國家安全，這種數(shù)據(jù)出境監(jiān)管邏輯顯然已經(jīng)與我國數(shù)據(jù)處理商業(yè)實(shí)踐脫節(jié)。進(jìn)一步而言，數(shù)據(jù)跨境傳輸制度建構(gòu)的基本立場也應(yīng)當(dāng)從傳統(tǒng)的國家安全概念轉(zhuǎn)型至總體國家安全觀和風(fēng)險可控安全觀。

《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》在第1條均將“安全”置于“行業(yè)健康發(fā)展”“數(shù)據(jù)開發(fā)利用”之前，意在強(qiáng)調(diào)安全優(yōu)先的立法價值選擇。但需要注意的是，所謂的“國家安全”早已不再是政治安全、國土安全等層面的傳統(tǒng)安全?！毒W(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等法律法規(guī)多次提及“總體國家安全觀”等表述，網(wǎng)絡(luò)安全和數(shù)據(jù)安全的實(shí)際含義已經(jīng)轉(zhuǎn)化為“風(fēng)險可控”和“社會信任”?！帮L(fēng)險可控”安全觀是指，立法層面的安全狀態(tài)除了在最大限度范圍內(nèi)實(shí)現(xiàn)抵御外部攻擊和意外事故可能造成的損害結(jié)果，還包括在發(fā)生安全事件時，網(wǎng)絡(luò)和數(shù)據(jù)能夠快速恢復(fù)至事件發(fā)生之前的狀態(tài)；“社會信任”安全觀是指通過現(xiàn)有的數(shù)據(jù)安全保護(hù)制度，社會公眾能夠合理期待滿足法律規(guī)定的數(shù)據(jù)處理活動不存在安全風(fēng)險，或者即便存在安全風(fēng)險，技術(shù)保障措施和應(yīng)急響應(yīng)機(jī)制均可實(shí)現(xiàn)快速恢復(fù)至數(shù)據(jù)安全事件發(fā)生之前的權(quán)利“無損狀態(tài)”。這種安全概念的解釋方式絕非理論臆想，而是基于現(xiàn)階段的數(shù)據(jù)安全風(fēng)險特征所建構(gòu)。

在網(wǎng)絡(luò)社會中，區(qū)塊鏈等信息技術(shù)方案具有去中心化特征，不再依賴中心化節(jié)點(diǎn)實(shí)施對整個網(wǎng)絡(luò)節(jié)點(diǎn)的整體管理，這與“自上而下”的國家強(qiáng)監(jiān)管模式存在天然沖突。傳統(tǒng)行政監(jiān)管活動所依賴的強(qiáng)制性法定義務(wù)和禁止性規(guī)范無法全面回應(yīng)信息技術(shù)創(chuàng)新迭代所能帶來的諸多不確定性。在烏爾里?！へ惪怂?gòu)的“風(fēng)險社會”框架下，風(fēng)險社會的特征是“人們不再極力追求‘好’,而是盡力避免‘最壞’”。這在法律系統(tǒng)層面表現(xiàn)為立法者不再追求風(fēng)險結(jié)果的不可發(fā)生，而是將風(fēng)險控制在可接受范圍內(nèi)。數(shù)據(jù)安全風(fēng)險在客觀上是不可避免的，因?yàn)樾畔⒓夹g(shù)創(chuàng)新的商業(yè)邏輯不同于傳統(tǒng)法律規(guī)制的價值邏輯，前者主要衡量的是技術(shù)應(yīng)用的可能性與可行性，即“只要技術(shù)方案能夠滿足開發(fā)需求即可用”,后者則是以假想和預(yù)期的風(fēng)險結(jié)果“倒逼”技術(shù)方案的實(shí)際內(nèi)容。因此，至少在理解數(shù)據(jù)安全風(fēng)險層面，已然不適宜繼續(xù)秉持傳統(tǒng)安全領(lǐng)域那套“點(diǎn)對點(diǎn)”的治理模式，而是應(yīng)當(dāng)正視風(fēng)險不可規(guī)避和社會公眾接受風(fēng)險程度所導(dǎo)致的立法理念現(xiàn)代性轉(zhuǎn)型：風(fēng)險可控與社會信任才是現(xiàn)階段數(shù)據(jù)安全立法所應(yīng)當(dāng)追求的立法目標(biāo)。

在《個人信息保護(hù)法》中，立法者并沒有苛求所有的信息處理者均應(yīng)當(dāng)采取最高標(biāo)準(zhǔn)的安全技術(shù)措施保障個人信息安全，而是選擇以“知情同意”“目的限定”等具體規(guī)則強(qiáng)化數(shù)據(jù)個人信息處理活動的透明度，幫助權(quán)利主體判斷是否能夠基于信任將個人信息交由信息處理者予以處理。個人信息保護(hù)領(lǐng)域的這種立法邏輯是否同樣適用于數(shù)據(jù)安全保護(hù)領(lǐng)域呢?從《數(shù)據(jù)安全法》和《征求意見稿》中重要數(shù)據(jù)相關(guān)的保護(hù)制度來看，數(shù)據(jù)安全的立法邏輯是通過安全風(fēng)險評估的實(shí)際結(jié)果來確定重要數(shù)據(jù)的處理規(guī)則和保護(hù)措施的，評估結(jié)果則是數(shù)據(jù)處理者和監(jiān)管機(jī)構(gòu)判斷具體數(shù)據(jù)處理行為是否處于風(fēng)險可控狀態(tài)的直接依據(jù)?，F(xiàn)行立法多次提及數(shù)據(jù)安全風(fēng)險評估機(jī)制，但從具體條款內(nèi)容來看，安全風(fēng)險評估并非是一個外延封閉、內(nèi)容明確的制度概念，從數(shù)據(jù)收集、存儲到數(shù)據(jù)出境，只要社會對重要數(shù)據(jù)的處理者存在“不信任”或“風(fēng)險擔(dān)憂”,即需要開展定期和不定期、自評估與他評估等不同層面的風(fēng)險評估活動(參見下表3),確保數(shù)據(jù)安全風(fēng)險狀態(tài)始終屬于可控狀態(tài)。

表3 數(shù)據(jù)出境安全風(fēng)險評估機(jī)制

結(jié)合上述復(fù)雜的安全風(fēng)險評估機(jī)制來看，數(shù)據(jù)出境安全評估的基本立場是為了盡可能明確實(shí)際的數(shù)據(jù)安全風(fēng)險水平，并根據(jù)實(shí)際風(fēng)險水平是否可接受、可控，確定是否允許具體的數(shù)據(jù)處理活動。倘若將安全評估的基本立場理解為徹底消除所有可能的風(fēng)險根源，其直接結(jié)果則是在制度層面直接禁止所有數(shù)據(jù)出境。因?yàn)榻^對安全的信息技術(shù)并不存在，而且數(shù)據(jù)出境之后國家監(jiān)管活動難以觸及他國的數(shù)據(jù)處理者，禁止出境成為風(fēng)險水平和經(jīng)濟(jì)成本最低的監(jiān)管制度方案。換言之，數(shù)據(jù)出境安全評估的制度效果應(yīng)當(dāng)是如何在數(shù)據(jù)處理者與監(jiān)管機(jī)構(gòu)、社會公眾之間達(dá)成信任關(guān)系，這是解決“數(shù)據(jù)出境不安全-數(shù)據(jù)不能出境-數(shù)據(jù)商業(yè)價值貶損-數(shù)據(jù)有必要出境-數(shù)據(jù)出境不安全”循環(huán)論證的最佳制度工具。一方面，數(shù)據(jù)處理者所面臨的現(xiàn)實(shí)問題是如何向監(jiān)管者和社會公眾樹立其數(shù)據(jù)處理行為在風(fēng)險可控意義上是值得信任的。除了依賴積極響應(yīng)監(jiān)管要求、樹立良好的企業(yè)社會形象之外，合同所建構(gòu)的一整套專門適用于數(shù)據(jù)出境的私法規(guī)則及其制裁措施恰好滿足了信賴關(guān)系的制度建構(gòu)需求。通過設(shè)置違約金賠償機(jī)制，能夠有效督促數(shù)據(jù)處理者依照約定處理數(shù)據(jù)，這也是合同條款標(biāo)準(zhǔn)化成為當(dāng)下數(shù)據(jù)跨境傳輸監(jiān)管制度工具的原因之一。另一方面，風(fēng)險信息一旦公開和知悉并不當(dāng)然意味著“風(fēng)險的可接受與可控”,在此之后還需要結(jié)合出境的數(shù)據(jù)類型、范圍和數(shù)量進(jìn)一步判斷可能的損害結(jié)果是否可接受，以及能夠通過應(yīng)急響應(yīng)處置機(jī)制將損害狀態(tài)快速恢復(fù)至尚未發(fā)生數(shù)據(jù)安全事件的狀態(tài)。這種數(shù)據(jù)跨境傳輸?shù)牧⒎ㄟ壿媱荼匦枰c數(shù)據(jù)分級分類制度予以銜接，用以判斷和確定不同安全級別和不同類型的數(shù)據(jù)在出境時分別需要滿足何種安全標(biāo)準(zhǔn)。

三、規(guī)制合同論下數(shù)據(jù)跨境傳輸合同的標(biāo)準(zhǔn)化路徑

(一)數(shù)據(jù)跨境傳輸合同標(biāo)準(zhǔn)化的理論邏輯：公私義務(wù)的私法化和標(biāo)準(zhǔn)化

從消除風(fēng)險根源向風(fēng)險可控可接受的安全概念轉(zhuǎn)變過程中，強(qiáng)制性要求數(shù)據(jù)處理者在合同中約定數(shù)據(jù)安全保護(hù)義務(wù)，既滿足了數(shù)據(jù)處理者建構(gòu)可信任的市場形象之需求，也通過違約責(zé)任之“威脅”降低風(fēng)險誘發(fā)的可能性，故而合同義務(wù)法定化成為數(shù)據(jù)跨境傳輸監(jiān)管的重要制度工具?！墩髑笠庖姼濉返?條規(guī)定了數(shù)據(jù)跨境傳輸合同的內(nèi)容應(yīng)當(dāng)滿足“充分約定數(shù)據(jù)安全保護(hù)義務(wù)”這一要求，并進(jìn)一步列舉了合同當(dāng)事人之間應(yīng)當(dāng)約定的具體事項(xiàng)。從制度外觀上看，歐盟模式和中國模式似乎屬于兩種不同的合同標(biāo)準(zhǔn)化路徑，前者是對合同條款框架和約定內(nèi)容作出限定，后者則是僅對合同約定事項(xiàng)的類型作出限定。但是，兩種制度模式在理論邏輯和監(jiān)管層面具有一定的相似性，均是通過合同文本和相對固定的條款框架，將原本公法層面的數(shù)據(jù)安全保護(hù)義務(wù)轉(zhuǎn)化為私法層面的合同義務(wù)，間接實(shí)現(xiàn)公法義務(wù)履行方式的標(biāo)準(zhǔn)化。

在柯林斯所提出的規(guī)制合同范式中，合同的法律規(guī)制存在“私法”和“福利規(guī)制”兩種截然不同的方式。所謂的“私法”規(guī)制是以商業(yè)效益為邏輯起點(diǎn)，在發(fā)生合同糾紛時，法院裁判合同約定的權(quán)利義務(wù)關(guān)系對等性和公正性的理論邏輯是該合同是否滿足同類合同的效率目標(biāo)。所謂的“福利規(guī)制”也通常被稱為公共利益的例外，如針對消費(fèi)者的格式合同、勞動合同等特殊類型的合同，需要考慮到消費(fèi)者、勞動者在合同締結(jié)過程中無法依靠的合同規(guī)則的內(nèi)生性認(rèn)定邏輯實(shí)現(xiàn)對等締結(jié)和權(quán)利救濟(jì)，因此就需要在公法層面提供破除意思自治導(dǎo)致的合同規(guī)則優(yōu)先之僵局。在柯林斯看來，“規(guī)制”指向的是“以治理其目標(biāo)對象行為的規(guī)則系統(tǒng)”,私法規(guī)制的局限性在于始終以合同當(dāng)事人之間約定的封閉性規(guī)則為限，法院在解決合同糾紛的過程中也僅以合同約定為限，這意味著立法者希望通過私法規(guī)則實(shí)現(xiàn)合同關(guān)系內(nèi)部與外部權(quán)利義務(wù)的對等的目標(biāo)極為困難，合同規(guī)則會限制法官考察特定合同所處行業(yè)、市場、領(lǐng)域的外部性因素。換言之，合同在約定規(guī)則框架內(nèi)成為“自我規(guī)制的管理制度”,天然地排斥外部因素對意思自治的直接干預(yù)，這也是私法規(guī)制模式的固有不足。相對地，“福利規(guī)制”所代表的乃是“通過合同的治理”這一規(guī)制模式，從買賣合同領(lǐng)域常見的格式合同到保險領(lǐng)域的保單條款標(biāo)準(zhǔn)化，表面上該規(guī)制模式似乎是公法層面的強(qiáng)制性義務(wù)侵蝕私法層面的約定性義務(wù)，其實(shí)質(zhì)則是公私法話語體系的轉(zhuǎn)換。

需要澄清的是，這種公私法話語體系的轉(zhuǎn)化在我國現(xiàn)行立法和理論研究領(lǐng)域早已有之，保單標(biāo)準(zhǔn)化、建設(shè)工程合同、政府采購合同等特定合同均采用了“公法義務(wù)私法化”的監(jiān)管邏輯。保單標(biāo)準(zhǔn)化的目的在于將保險業(yè)務(wù)內(nèi)容標(biāo)準(zhǔn)化，避免保險公司之間打“價格戰(zhàn)”而影響到保險金的償付能力；建設(shè)工程合同的標(biāo)準(zhǔn)化則是為了確保施工方能夠如約完成符合國家質(zhì)量要求的建設(shè)工程，將《建設(shè)工程質(zhì)量管理?xiàng)l例》《建設(shè)工程安全生產(chǎn)管理?xiàng)l例》所提及的強(qiáng)制性技術(shù)標(biāo)準(zhǔn)轉(zhuǎn)化為具體合同條款得以實(shí)施；政府采購合同的標(biāo)準(zhǔn)化則是出于國家安全和社會公共利益的考量，嚴(yán)格限定合同文本內(nèi)容，并要求政府采購機(jī)構(gòu)和供貨商強(qiáng)制使用的標(biāo)準(zhǔn)化合同文本。上述類型的合同標(biāo)準(zhǔn)化程度雖然存在差異，但理論邏輯皆是為了將抽象性法益的保護(hù)義務(wù)具體內(nèi)容和履行方式標(biāo)準(zhǔn)化。對于義務(wù)主體而言，消費(fèi)者權(quán)益保護(hù)、房屋質(zhì)量安全和國家財(cái)產(chǎn)安全等強(qiáng)制性義務(wù)在實(shí)施層面存在標(biāo)準(zhǔn)模糊的問題；對于監(jiān)管機(jī)構(gòu)而言，有限的監(jiān)管資源決定了其不可能實(shí)時監(jiān)控、全程監(jiān)管態(tài)，所以需要對合同予以標(biāo)準(zhǔn)化，是否履行公法義務(wù)的監(jiān)管活動可以通過違約責(zé)任認(rèn)定予以補(bǔ)強(qiáng)。公法義務(wù)與私法規(guī)則的相互嵌套實(shí)現(xiàn)了“通過合同的治理”的治理效果，這也是我國國家現(xiàn)代化治理的必然選擇。

回歸數(shù)據(jù)跨境流動監(jiān)管領(lǐng)域，既然已經(jīng)明晰“數(shù)據(jù)安全”的立法目標(biāo)是以“數(shù)據(jù)傳輸安全狀態(tài)的可信任”和“數(shù)據(jù)傳輸風(fēng)險的可接受性”為核心內(nèi)容，那么就需要在數(shù)據(jù)跨境合同的標(biāo)準(zhǔn)化過程中闡明這種“數(shù)據(jù)安全”的具體內(nèi)容和數(shù)據(jù)安全保護(hù)義務(wù)的履行標(biāo)準(zhǔn)?！氨O(jiān)管者-被監(jiān)管者”的傳統(tǒng)社會治理邏輯固然有其“立竿見影”的制度優(yōu)勢，但這種邏輯在網(wǎng)絡(luò)空間治理活動中卻存在疲于應(yīng)付的困境。面對不斷涌現(xiàn)的數(shù)據(jù)安全問題，強(qiáng)監(jiān)管型的社會治理邏輯已經(jīng)無法一一回應(yīng)和解釋“采取哪些措施才算是已經(jīng)履行了法定義務(wù)?”這一核心問題。在從單方行政監(jiān)管向社會共治模式的轉(zhuǎn)型過程中，“已經(jīng)(或者沒有)履行義務(wù)”的判斷標(biāo)準(zhǔn)無助于解決如何控制數(shù)據(jù)出境安全風(fēng)險的事件需求，而量化或細(xì)化義務(wù)標(biāo)準(zhǔn)才是數(shù)據(jù)跨境傳輸領(lǐng)域亟需建構(gòu)的制度內(nèi)容。在信息技術(shù)高速迭代的發(fā)展趨勢下，數(shù)據(jù)跨境傳輸?shù)膶?shí)踐方式勢必呈現(xiàn)復(fù)雜化特征，合同標(biāo)準(zhǔn)化能夠明確且可操作的數(shù)據(jù)傳輸要求盡可能降低數(shù)據(jù)傳輸方之間存在的制度障礙，我國數(shù)據(jù)跨境傳輸監(jiān)管制度的下一個重心是要創(chuàng)設(shè)“細(xì)化”或“量化”數(shù)據(jù)出境安全保障義務(wù)的履行標(biāo)準(zhǔn)。

(二)數(shù)據(jù)跨境傳輸合同標(biāo)準(zhǔn)化的規(guī)制邊界：細(xì)化、量化或是兩者兼具?

在解釋完數(shù)據(jù)跨境傳輸領(lǐng)域以合同標(biāo)準(zhǔn)化實(shí)現(xiàn)“數(shù)據(jù)安全”立法目標(biāo)的理論邏輯之后，接下來需要解決的問題是：數(shù)據(jù)跨境傳輸合同標(biāo)準(zhǔn)化應(yīng)當(dāng)達(dá)到何種程度，是對合同條款結(jié)構(gòu)予以限定，還是對數(shù)據(jù)傳輸類型、存儲期限等條款內(nèi)容予以指標(biāo)量化?細(xì)言之，基于規(guī)制合同論的合同標(biāo)準(zhǔn)化顯然不可能將全部的合同內(nèi)容交由監(jiān)管者進(jìn)行預(yù)設(shè)，即便是在標(biāo)準(zhǔn)化程度最為嚴(yán)格的保險合同領(lǐng)域，也決然不會將所有交易活動都納入標(biāo)準(zhǔn)化的范疇之內(nèi)，因?yàn)槭袌鰴C(jī)制的自由競爭屬性決定了標(biāo)準(zhǔn)化合同應(yīng)當(dāng)存在相應(yīng)的標(biāo)準(zhǔn)化邊界。

“通過合同的治理”以監(jiān)管機(jī)構(gòu)的公權(quán)力作為實(shí)現(xiàn)保障，但在公私法話語體系的轉(zhuǎn)換過程中，仍然需要尊重私法規(guī)制的內(nèi)在邏輯，即在不違反現(xiàn)行立法的前提下，合同當(dāng)事人基于平等自由的意志達(dá)成合意，義務(wù)履行的內(nèi)在動機(jī)應(yīng)當(dāng)是合同當(dāng)事人對于違約責(zé)任的恐懼和希望對方當(dāng)事人同樣履行約定義務(wù)的期待，而不是公法層面的強(qiáng)制性義務(wù)履行，否則只會陷入“公權(quán)力侵蝕私權(quán)利”的制度泥沼。因而，也有學(xué)者借用柯林斯的理論范式，將這種治理模式總結(jié)為“政府從回應(yīng)民眾的官僚科層體系轉(zhuǎn)化為準(zhǔn)確和界限分明地提供有效產(chǎn)品和服務(wù)的服務(wù)者”。進(jìn)一步而言，我國在通過標(biāo)準(zhǔn)化合同治理數(shù)據(jù)跨境傳輸時需要在“細(xì)化義務(wù)履行標(biāo)準(zhǔn)”和“量化義務(wù)履行標(biāo)準(zhǔn)”中予以選擇，因?yàn)檫@兩種模式意味著不同的數(shù)據(jù)跨境傳輸效率：第一，細(xì)化模式僅是對約定事項(xiàng)的范圍、類型進(jìn)行細(xì)化，明確合同當(dāng)事人之間應(yīng)當(dāng)約定哪些條款和內(nèi)容，合同當(dāng)事人依然可以在可選方案中自行協(xié)商滿足實(shí)際商業(yè)效益需求的數(shù)據(jù)傳輸方式，監(jiān)管者“通過合同治理”所達(dá)成的監(jiān)管效果僅是確保數(shù)據(jù)傳輸者與數(shù)據(jù)接受者均在法律既定的安全框架內(nèi)從事數(shù)據(jù)交易活動。該模式意味著數(shù)據(jù)處理者之間無法通過合同約定減輕或免除自身的數(shù)據(jù)安全保護(hù)義務(wù)，而義務(wù)履行標(biāo)準(zhǔn)化的效果表現(xiàn)為“數(shù)據(jù)安全保護(hù)義務(wù)的全面性和體系性”。第二，量化模式則是對數(shù)據(jù)跨境傳輸?shù)闹T多指標(biāo)提出可以量化的標(biāo)準(zhǔn)化要求，如每次跨境傳輸?shù)臄?shù)據(jù)類型和數(shù)量應(yīng)當(dāng)維持在什么水平、數(shù)據(jù)傳輸所采用的加密安全技術(shù)應(yīng)當(dāng)滿足哪些技術(shù)安全指標(biāo)等。這種內(nèi)容詳盡的標(biāo)準(zhǔn)化合同模式雖然是以犧牲當(dāng)事人意思自治為代價，但是數(shù)據(jù)傳輸者與數(shù)據(jù)接受者能夠更加清晰地理解數(shù)據(jù)跨境流動的具體監(jiān)管要求，合同當(dāng)事人之間省略了約定數(shù)據(jù)傳輸安全保障的煩瑣磋商過程，更側(cè)重于對數(shù)據(jù)跨境傳輸經(jīng)濟(jì)效益(如數(shù)據(jù)處理價格等)的合意。第三，同時選擇“細(xì)化”和“量化”兩種模式，看似能夠取長補(bǔ)短，但其直接效果無異于將數(shù)據(jù)跨境傳輸合同標(biāo)準(zhǔn)化程度提升至政府采購合同等特定類型合同標(biāo)準(zhǔn)。合同當(dāng)事人之間能夠自行約定的事項(xiàng)和范圍極為有限，這既違背了數(shù)據(jù)跨境傳輸?shù)纳淌滦剩矡o法證成強(qiáng)制使用內(nèi)容標(biāo)準(zhǔn)化合同的正當(dāng)性。

從條款內(nèi)容來看，《征求意見稿》第9條采取了“一般性規(guī)則+具體列舉”的方式確定數(shù)據(jù)跨境傳輸合同應(yīng)當(dāng)約定的具體事項(xiàng)。不過，該條提及的“充分約定數(shù)據(jù)安全保護(hù)責(zé)任義務(wù)”實(shí)際上也淡化了“細(xì)化義務(wù)履行標(biāo)準(zhǔn)”的明確程度。即便合同當(dāng)事人之間約定了諸如數(shù)據(jù)出境的目的、方式和數(shù)據(jù)范圍、具有約束力且可執(zhí)行的爭議解決條款等，但只要不滿足“充分約定”這一條件依然可能被視為合同不符合數(shù)據(jù)安全出境的監(jiān)管要求。在此層面，本來具有中國制度特色的“充分約定”又似乎與歐盟數(shù)據(jù)跨境傳輸監(jiān)管領(lǐng)域的“充分性保護(hù)”認(rèn)定機(jī)制有所重合。這種尷尬局面的成因在于誤將《征求意見稿》第9條作為數(shù)據(jù)跨境傳輸合同標(biāo)準(zhǔn)化條款的全部內(nèi)容，而忽視了合同標(biāo)準(zhǔn)化的真正重心在于合同內(nèi)容本身的創(chuàng)設(shè)。在體系解釋層面，“充分約定”的制度邏輯并不是“通過充分約定權(quán)利義務(wù)關(guān)系實(shí)現(xiàn)數(shù)據(jù)安全的充分性保護(hù)”,而是僅僅停留于“權(quán)利義務(wù)關(guān)系細(xì)化，責(zé)任主體明確”這一環(huán)節(jié)。《數(shù)據(jù)出境安全評估辦法(《征求意見稿》)》在第8條中將“充分約定”作為數(shù)據(jù)出境安全評估的重點(diǎn)事項(xiàng)，而《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》卻在第35條中將“安全評估”和“標(biāo)準(zhǔn)合同”予以并列，《個人信息保護(hù)法》第38條也采用了類似的表述，強(qiáng)調(diào)的也是數(shù)據(jù)處理者之間是否按照標(biāo)準(zhǔn)合同的相關(guān)要求約定雙方權(quán)利和義務(wù)。鑒于《個人信息保護(hù)法》已經(jīng)生效，《征求意見稿》顯然應(yīng)當(dāng)保持與《個人信息保護(hù)法》的內(nèi)容銜接，即合同標(biāo)準(zhǔn)化制度應(yīng)當(dāng)與數(shù)據(jù)安全評估制度平行，“充分約定”的實(shí)際含義也應(yīng)當(dāng)理解為“充分約定合同標(biāo)準(zhǔn)化制度要求的權(quán)利和義務(wù)”和“不得出現(xiàn)數(shù)據(jù)處理者減輕或免除數(shù)據(jù)安全責(zé)任之約定”。

根據(jù)前述結(jié)論，可以發(fā)現(xiàn)，我國數(shù)據(jù)跨境傳輸合同標(biāo)準(zhǔn)化的立法重心實(shí)際上是對權(quán)利義務(wù)具體內(nèi)容的標(biāo)準(zhǔn)化，與“細(xì)化義務(wù)履行標(biāo)準(zhǔn)”存在天然的契合性。倘若將“量化義務(wù)履行標(biāo)準(zhǔn)”作為我國數(shù)據(jù)跨境傳輸合同標(biāo)準(zhǔn)化模式，勢必?zé)o法有效區(qū)分?jǐn)?shù)據(jù)安全風(fēng)險評估制度和合同標(biāo)準(zhǔn)化制度之間的功能差異。我國現(xiàn)行立法多次提及“安全評估”等類似表述，但具體內(nèi)容卻停留在需要“包括但不限于”評估事項(xiàng)，其背后的原因是立法技術(shù)要求法律文本的表述需要滿足簡潔性之要求，故而諸如《數(shù)據(jù)安全法》第18條、《網(wǎng)絡(luò)安全法》第17條等條款為國家主管機(jī)關(guān)制定具體的安全評估細(xì)則預(yù)留了足夠的解釋空間和授權(quán)依據(jù)。并且，數(shù)據(jù)安全風(fēng)險評估顯然需要在量化層面對數(shù)據(jù)出境活動的各項(xiàng)指標(biāo)予以預(yù)設(shè)，如數(shù)據(jù)出境應(yīng)當(dāng)滿足的安全技術(shù)標(biāo)準(zhǔn)，百萬級、千萬級、億萬級的數(shù)據(jù)出境需要評估哪些事項(xiàng)。那么，既然數(shù)據(jù)安全風(fēng)險評估已經(jīng)能夠達(dá)到“量化義務(wù)履行標(biāo)準(zhǔn)”的法律效果，又何必在合同標(biāo)準(zhǔn)化制度層面選擇重復(fù)的“量化模式”呢?

(三)數(shù)據(jù)跨境傳輸合同標(biāo)準(zhǔn)化的模塊化導(dǎo)向

以“細(xì)化義務(wù)履行標(biāo)準(zhǔn)”作為合同標(biāo)準(zhǔn)化的限制邊界，最后需要回應(yīng)的現(xiàn)實(shí)問題是“細(xì)化”的方式應(yīng)當(dāng)是根據(jù)數(shù)據(jù)類型和級別進(jìn)行統(tǒng)一化的條款標(biāo)準(zhǔn)化，還是根據(jù)數(shù)據(jù)傳輸路徑進(jìn)行模塊化的條款標(biāo)準(zhǔn)化?因?yàn)樵诹⒎▽?shí)踐中，所謂的“細(xì)化”存在著不同的實(shí)現(xiàn)方案：或是不對數(shù)據(jù)傳輸路徑作過多細(xì)化，適用于所有業(yè)務(wù)環(huán)節(jié)的標(biāo)準(zhǔn)化條款，僅是在數(shù)據(jù)分級分類層面設(shè)置差異性合同文本內(nèi)容；或是根據(jù)數(shù)據(jù)傳輸路徑采用模塊化條款，細(xì)化“數(shù)據(jù)出口方”“數(shù)據(jù)進(jìn)口方”“其他數(shù)據(jù)處理者”在特定數(shù)據(jù)處理環(huán)節(jié)的權(quán)利義務(wù)關(guān)系。歐盟在更新數(shù)據(jù)跨境傳輸標(biāo)準(zhǔn)化合同時，將業(yè)務(wù)鏈參與主體義務(wù)履行標(biāo)準(zhǔn)統(tǒng)一化視為更新工作的重點(diǎn)內(nèi)容，將以數(shù)據(jù)處理者與數(shù)據(jù)控制者之間的數(shù)據(jù)傳輸方式作為四類傳輸模塊的劃分依據(jù)。這種“細(xì)化”方式的適用前提完全依賴于歐盟GDPR既定的個人數(shù)據(jù)保護(hù)制度框架，無法在我國現(xiàn)行數(shù)據(jù)安全立法框架內(nèi)予以實(shí)現(xiàn)。

與歐盟GDPR相比，我國《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》等法律并沒有采用類似的“數(shù)據(jù)處理者”“數(shù)據(jù)控制者”這類義務(wù)主體類型的劃分，而是直接統(tǒng)稱為信息(數(shù)據(jù))處理者。我國對于數(shù)據(jù)跨境傳輸?shù)谋O(jiān)管范圍也遠(yuǎn)超歐盟GDPR所限定的“個人數(shù)據(jù)”,囊括了諸如行業(yè)數(shù)據(jù)、市場數(shù)據(jù)、公開數(shù)據(jù)等非個人數(shù)據(jù)。這些制度差異決定了我國數(shù)據(jù)跨境傳輸合同標(biāo)準(zhǔn)化所采用的模塊化路徑無法效仿歐盟模式、東盟模式，而是需要在數(shù)據(jù)分級分類制度層面采用其他方式的模塊化路徑。

我國數(shù)據(jù)出境安全評估面臨著更為復(fù)雜的現(xiàn)實(shí)難題：一是需要跨境傳輸?shù)臄?shù)據(jù)類型復(fù)雜，重要數(shù)據(jù)與核心數(shù)據(jù)顯然是嚴(yán)格限制出境的數(shù)據(jù)類型，但現(xiàn)行立法以及監(jiān)管實(shí)踐尚未形成《數(shù)據(jù)安全法》第21條所提及的“重要數(shù)據(jù)目錄”,原本并不涉及國家安全的個人數(shù)據(jù)完全可能因?yàn)閿?shù)量積累而成為“重要數(shù)據(jù)”,此時，條款結(jié)構(gòu)的標(biāo)準(zhǔn)化所預(yù)設(shè)的數(shù)據(jù)跨境傳輸合同顯然無法有效回應(yīng)這種現(xiàn)象。二是數(shù)據(jù)出境安全評估還存在數(shù)據(jù)出境之后的不可控性，即出于業(yè)務(wù)關(guān)聯(lián)的需要，國外的數(shù)據(jù)接收方可能還需要與其他數(shù)據(jù)處理者進(jìn)行合作。此時，如若采用條款結(jié)構(gòu)標(biāo)準(zhǔn)化的合同，倘若立法者和監(jiān)管者希冀這些業(yè)務(wù)關(guān)聯(lián)的數(shù)據(jù)處理者遵循同樣的數(shù)據(jù)安全保障標(biāo)準(zhǔn)，只能由數(shù)據(jù)接收方另行約定新的數(shù)據(jù)處理合同予以實(shí)現(xiàn)，因?yàn)闂l款結(jié)構(gòu)的標(biāo)準(zhǔn)化意味著需要事前確定有限類型的合同當(dāng)事人，無法將整個業(yè)務(wù)鏈均納入標(biāo)準(zhǔn)化合同的范圍。

模塊化條款的優(yōu)勢在于能夠在保持同質(zhì)性義務(wù)內(nèi)容的前提下，提升實(shí)際履行義務(wù)的充分程度，如保單的標(biāo)準(zhǔn)化采用的即是模塊化條款，其內(nèi)在邏輯在限定保險市場同類保險產(chǎn)品的服務(wù)內(nèi)容和價格，避免保價畸高或畸低可能引發(fā)“價格戰(zhàn)”等惡性競爭，保險機(jī)構(gòu)在無法修改保單實(shí)際條款的前提下，只能對理賠周期、出單速度等服務(wù)質(zhì)量進(jìn)行調(diào)整，最大化保險消費(fèi)者的利益。再如房地產(chǎn)買賣合同的標(biāo)準(zhǔn)化并沒有對具體義務(wù)內(nèi)容進(jìn)行整體化要求，而是根據(jù)各地的房地產(chǎn)政策、經(jīng)濟(jì)水平等外部因素設(shè)置各地區(qū)的模塊化條款。

學(xué)界也有觀點(diǎn)主張將合同標(biāo)準(zhǔn)化方式理解為“合同文本內(nèi)容的強(qiáng)制性限定程度”,即合同文本的限定實(shí)際上可以劃分為“合同文本的強(qiáng)制使用”“格式合同文本的事前備案”和“格式合同文本的‘應(yīng)當(dāng)包括’”由強(qiáng)到弱的三種類型。這種劃分方式實(shí)際上混淆了“私法規(guī)則調(diào)整合同關(guān)系平等公正”和“通過合同的治理”兩種理論邏輯。前述觀點(diǎn)本質(zhì)上是圍繞合同雙方當(dāng)事人的約定規(guī)則的不平等性為前提，如買賣合同中的格式條款實(shí)質(zhì)削弱了消費(fèi)者的談判空間和享有的實(shí)體權(quán)利，因而需要根據(jù)影響消費(fèi)者實(shí)體權(quán)利程度具體選擇“強(qiáng)制使用標(biāo)準(zhǔn)化保單”“不應(yīng)當(dāng)包括不合理地免除或減輕其責(zé)任”等合同監(jiān)管模式。而數(shù)據(jù)跨境傳輸所涉及的法律主體包括“數(shù)據(jù)傳輸方-數(shù)據(jù)接收方-監(jiān)管機(jī)構(gòu)”,其標(biāo)準(zhǔn)化方式的選擇邏輯顯然不是以私法層面的權(quán)利義務(wù)關(guān)系調(diào)整為核心，而是以公法層面的數(shù)據(jù)安全風(fēng)險可控為目標(biāo)，標(biāo)準(zhǔn)化數(shù)據(jù)跨境傳輸?shù)臉I(yè)務(wù)方式，透明化數(shù)據(jù)出境的詳細(xì)信息，因而以傳輸數(shù)據(jù)的分級分類顯然更能滿足多樣化的數(shù)據(jù)跨境傳輸監(jiān)管需求，也能夠提供多元化的模塊路徑滿足商業(yè)實(shí)踐和監(jiān)管實(shí)踐的現(xiàn)實(shí)需求。

四、數(shù)據(jù)分級分類框架下的標(biāo)準(zhǔn)化合同設(shè)計(jì)

(一)數(shù)據(jù)分級分類框架下合同內(nèi)容類型化的基本導(dǎo)向

國內(nèi)既有研究所提出的數(shù)據(jù)分級分類標(biāo)準(zhǔn)大多還是以數(shù)據(jù)的敏感性、行業(yè)屬性、重要程度、保密要求為主，存在數(shù)據(jù)分級和數(shù)據(jù)分類標(biāo)準(zhǔn)混同的問題。此外，在數(shù)據(jù)跨境流動監(jiān)管領(lǐng)域還存在這樣一個悖論：出于安全監(jiān)管效果以及立法技術(shù)的考慮，不適宜在法律法規(guī)中細(xì)化數(shù)據(jù)跨境傳輸?shù)木唧w方式和監(jiān)管標(biāo)準(zhǔn)，再豐富的立法資源也無法承受不同行業(yè)、不同類型、不同安全級別、不同場景下的數(shù)據(jù)跨境流動監(jiān)管要求；但是，如果不予以細(xì)化數(shù)據(jù)跨境傳輸?shù)木唧w方式和監(jiān)管標(biāo)準(zhǔn)，又會增加數(shù)據(jù)傳輸過程中義務(wù)主體有關(guān)義務(wù)內(nèi)容和履行標(biāo)準(zhǔn)的困惑，按照各自理解的標(biāo)準(zhǔn)履行義務(wù)，此時抽象化、模糊化的法律文本表述又失去了實(shí)踐價值。這種悖論的形成根源可歸結(jié)為信息技術(shù)創(chuàng)新大幅提升數(shù)據(jù)處理能力導(dǎo)致數(shù)據(jù)關(guān)聯(lián)化程度加深：早期的個人信息內(nèi)容和形態(tài)較為單一，多表現(xiàn)為個人隱私的信息化、數(shù)據(jù)化，能夠與國家秘密等傳統(tǒng)安全信息明確區(qū)分；但伴隨著數(shù)據(jù)挖掘能力的提升，以往數(shù)量有限的個人信息在數(shù)量上達(dá)至百萬級、千萬級之后，開始與國家安全信息難以區(qū)分，數(shù)據(jù)彼此之間的關(guān)聯(lián)關(guān)系以及離散程度能夠反映出僅憑數(shù)據(jù)內(nèi)容無法發(fā)現(xiàn)的隱藏內(nèi)容。更重要的是，商業(yè)活動中的數(shù)據(jù)之所以存在分類困難，是因?yàn)椴煌瑪?shù)據(jù)的組合又會產(chǎn)生新類型的數(shù)據(jù)，行業(yè)數(shù)據(jù)、公開數(shù)據(jù)確實(shí)不屬于重要數(shù)據(jù)范疇，可一旦數(shù)據(jù)接收者從其他渠道獲取與行業(yè)數(shù)據(jù)相關(guān)的個人數(shù)據(jù)，行業(yè)數(shù)據(jù)似乎又具有成為重要數(shù)據(jù)的可能性。

數(shù)據(jù)內(nèi)容和屬性的交叉特征決定了數(shù)據(jù)分級分類方式顯然不能采用單一化標(biāo)準(zhǔn)，但綜合性的分級分類方式又回到“同時締結(jié)數(shù)個行業(yè)標(biāo)準(zhǔn)化合同應(yīng)當(dāng)采用哪一個標(biāo)準(zhǔn)合同”的實(shí)踐難題，這就需要回歸數(shù)據(jù)分級分類制度目的予以解決。數(shù)據(jù)分級分類的直接目的是為了厘清數(shù)據(jù)特性并確定數(shù)據(jù)處理行為所應(yīng)當(dāng)遵循的安全保障水平，行業(yè)分類標(biāo)準(zhǔn)表面上看似將數(shù)據(jù)跨境傳輸合同劃分為行業(yè)化標(biāo)準(zhǔn)合同，但從具體要求和監(jiān)管標(biāo)準(zhǔn)來看，行業(yè)之間的數(shù)據(jù)跨境傳輸安全風(fēng)險特征并無太大差異，均表現(xiàn)為數(shù)據(jù)接收者是否有可能根據(jù)匿名化數(shù)據(jù)或加密數(shù)據(jù)反向挖掘其他信息、是否存在健全的內(nèi)部訪問權(quán)限訪問制度、是否存在擅自向其他第三方機(jī)構(gòu)共享等同質(zhì)性風(fēng)險事件。數(shù)據(jù)跨境傳輸?shù)臉?biāo)準(zhǔn)化合同設(shè)置目的不可能也無法通過合同根治風(fēng)險，正如前文所提及的，“通過合同的治理”意在強(qiáng)調(diào)形成數(shù)據(jù)處理者、監(jiān)管者以及社會公眾對數(shù)據(jù)跨境傳輸活動的信任和風(fēng)險水平可接受性，通過合同內(nèi)容的類型化盡可能透明化數(shù)據(jù)跨境傳輸?shù)木唧w流程、參與主體以及傳輸之后數(shù)據(jù)處理活動方式。如此一來，無論是數(shù)據(jù)處理者自身，還是監(jiān)管機(jī)構(gòu)、自然人，均能對數(shù)據(jù)跨境傳輸?shù)幕A(chǔ)流程形成相對清晰的認(rèn)識：對于數(shù)次跨境傳輸而言，通過標(biāo)準(zhǔn)化合同約定的傳輸次數(shù)和數(shù)量來確定已經(jīng)傳輸?shù)臄?shù)據(jù)數(shù)量是否會導(dǎo)致數(shù)據(jù)性質(zhì)的變化；對于一般的數(shù)據(jù)傳輸而言，監(jiān)管機(jī)構(gòu)能夠根據(jù)合同約定的接收主體、數(shù)據(jù)實(shí)際存儲地點(diǎn)、數(shù)據(jù)傳輸路徑等類型化信息判斷數(shù)據(jù)發(fā)送方和接收方是否按照約定的方式傳輸數(shù)據(jù)。

(二)數(shù)據(jù)分級分類制度框架下標(biāo)準(zhǔn)化合同的設(shè)置思路：業(yè)務(wù)鏈上下游的分類模式

數(shù)據(jù)跨境傳輸合同內(nèi)容的類型化不能簡單理解為合同內(nèi)容根據(jù)數(shù)據(jù)所屬行業(yè)特征、安全保護(hù)級別設(shè)置相對應(yīng)的具體條款，否則監(jiān)管部門將疲于制定不同行業(yè)、不同領(lǐng)域的數(shù)據(jù)跨境傳輸標(biāo)準(zhǔn)化合同。數(shù)據(jù)分級分類制度所提供的指引功能意在說明特定類別的數(shù)據(jù)在出境安全保障過程中是否存在需要特別關(guān)注的環(huán)節(jié)。例如物流數(shù)據(jù)能夠反映我國年度物流走向和經(jīng)濟(jì)發(fā)展趨勢，其風(fēng)險特征表現(xiàn)為外國對我國物流實(shí)際狀況的數(shù)據(jù)分析，故而在物流數(shù)據(jù)跨境傳輸中，應(yīng)當(dāng)刪去有關(guān)重點(diǎn)管控區(qū)域(如軍事管控地域)、全國性物流信息等部分內(nèi)容，標(biāo)準(zhǔn)化合同應(yīng)當(dāng)將“數(shù)據(jù)范圍”類型化：一是傳輸數(shù)據(jù)不包括哪些指標(biāo)；二是數(shù)據(jù)形成時間、地點(diǎn)、訪問權(quán)限是否合法；三是傳輸數(shù)據(jù)包括哪些量化信息。再如金融個人信息因?yàn)楝F(xiàn)行立法所要求的適當(dāng)性義務(wù)、風(fēng)險偏好評估機(jī)制等強(qiáng)行性規(guī)定，包含了能夠反映自然人財(cái)務(wù)狀況、風(fēng)險承受能力、家庭狀況等詳細(xì)信息，故而在傳輸金融個人信息時，需要對傳輸目的進(jìn)行限定，除非是外國金融服務(wù)機(jī)構(gòu)需要根據(jù)用戶風(fēng)險偏好提供適當(dāng)?shù)慕鹑诋a(chǎn)品或服務(wù)，否則原則上不允許此類數(shù)據(jù)出境。此時，標(biāo)準(zhǔn)化合同應(yīng)當(dāng)將“傳輸目的”類型化：一是基于直接向我國境內(nèi)提供產(chǎn)品或服務(wù)之必要；二是基于業(yè)務(wù)鏈上下游關(guān)系需要統(tǒng)一處理關(guān)聯(lián)數(shù)據(jù)，例如保險行業(yè)根據(jù)歷史數(shù)據(jù)進(jìn)行風(fēng)險精算等。

由此觀之，數(shù)據(jù)分級分類對于數(shù)據(jù)跨境傳輸標(biāo)準(zhǔn)化合同的影響方式主要是以內(nèi)容類型化來滿足“細(xì)化義務(wù)履行標(biāo)準(zhǔn)”的理論邏輯，不至于在合同內(nèi)容類型化之后，數(shù)據(jù)傳輸者與數(shù)據(jù)接受者僅在義務(wù)是否履行層面約定具體事項(xiàng)，而忽視了不同級別、類型數(shù)據(jù)對義務(wù)履行方式和充分程度的不同要求。

此外，囿于歐盟GDPR布魯塞爾效應(yīng)的影響以及我國立法前期對于個人信息跨境制度的關(guān)注，部分學(xué)者傾向?qū)?shù)據(jù)跨境流動監(jiān)管制度局限于個人信息領(lǐng)域，但無論是《征求意見稿》第2條，還是監(jiān)管實(shí)踐需求，均需要更全面的整體性數(shù)據(jù)跨境流動監(jiān)管制度。第一，在個人信息保護(hù)層面，數(shù)據(jù)跨境合同標(biāo)準(zhǔn)化的設(shè)置思路應(yīng)當(dāng)是按照一般個人信息和敏感個人信息的分類方式予以細(xì)化義務(wù)履行標(biāo)準(zhǔn)，因?yàn)閺纳虡I(yè)實(shí)踐來看，金融、醫(yī)療、教育等行業(yè)的一般個人信息面臨同質(zhì)化的安全風(fēng)險，沒有必要按照行業(yè)屬性作特別約定。第二，在重點(diǎn)數(shù)據(jù)保護(hù)層面，數(shù)據(jù)安全的規(guī)制重心在于明確各個數(shù)據(jù)處理業(yè)務(wù)環(huán)節(jié)的具體責(zé)任主體，所以合同標(biāo)準(zhǔn)化的設(shè)置思路是細(xì)化不同業(yè)務(wù)環(huán)節(jié)應(yīng)當(dāng)履行的相應(yīng)義務(wù)內(nèi)容，即數(shù)據(jù)出境采用的標(biāo)準(zhǔn)合同應(yīng)當(dāng)反映從數(shù)據(jù)出境開始到數(shù)據(jù)出境目的達(dá)成這一階段的數(shù)據(jù)傳輸路徑、各個數(shù)據(jù)接收方、數(shù)據(jù)存儲地點(diǎn)和期限、數(shù)據(jù)訪問記錄以及數(shù)據(jù)復(fù)制記錄等內(nèi)容。第三，在其他數(shù)據(jù)保護(hù)層面，因?yàn)檫@些數(shù)據(jù)既不涉及自然人的個人信息權(quán)利，也不涉及國家安全，所以合同標(biāo)準(zhǔn)化的主要路徑在于預(yù)防這些數(shù)據(jù)積聚可能產(chǎn)生性質(zhì)變化，即依托大數(shù)據(jù)等信息技術(shù)從本不屬于個人信息和重要數(shù)據(jù)的數(shù)據(jù)集合中獲取有關(guān)特定自然人和國家安全的相關(guān)信息內(nèi)容。此時，合同標(biāo)準(zhǔn)化的導(dǎo)向則轉(zhuǎn)變?yōu)閿?shù)量層面的劃分，即一般規(guī)模數(shù)據(jù)傳輸?shù)臉?biāo)準(zhǔn)化合同條款和海量規(guī)模數(shù)據(jù)傳輸?shù)臉?biāo)準(zhǔn)化合同條款，并在后者中約定更為嚴(yán)格的數(shù)據(jù)安全保障義務(wù)。

五、結(jié)語

標(biāo)準(zhǔn)化合同是數(shù)據(jù)出境安全評估的必要條件，但不是充分條件。在數(shù)據(jù)跨境傳輸制度框架內(nèi)，數(shù)據(jù)出境安全評估的制度邏輯是因?yàn)閭€人信息和重要數(shù)據(jù)均屬于重要程度和安全級別較為特殊的數(shù)據(jù)類型，一旦發(fā)生安全事件，其損害結(jié)果無法以恢復(fù)原狀的方式予以填補(bǔ)，故而數(shù)據(jù)出境安全評估的主要范圍是重要數(shù)據(jù)和個人數(shù)據(jù)。但從商業(yè)施加的整體需求考量，我國未來數(shù)據(jù)跨境流動監(jiān)管理應(yīng)對其他網(wǎng)絡(luò)數(shù)據(jù)的跨境傳輸提供相應(yīng)的標(biāo)準(zhǔn)化合同，指引數(shù)據(jù)處理者恰當(dāng)締結(jié)具體的數(shù)據(jù)跨境傳輸合同。標(biāo)準(zhǔn)化合同的制度功能除了確保數(shù)據(jù)處理者依照現(xiàn)行立法要求的數(shù)據(jù)安全保護(hù)義務(wù)對合同內(nèi)容作出相應(yīng)約定之外，還表現(xiàn)為引導(dǎo)不同行業(yè)的數(shù)據(jù)處理者形成本行業(yè)特定數(shù)據(jù)類型傳輸?shù)男袠I(yè)標(biāo)準(zhǔn)或商業(yè)慣例。公法目標(biāo)的私法化需要遵循私法規(guī)制的基本邏輯：合同當(dāng)事人之間的信任關(guān)系依賴損害風(fēng)險的降低和預(yù)期收益的增加，違約責(zé)任的直接效果是使當(dāng)事人違約意愿和可能性較低，但這并不足以建構(gòu)相當(dāng)信任的數(shù)據(jù)傳輸關(guān)系。信任關(guān)系的建立還需要通過“細(xì)化義務(wù)履行標(biāo)準(zhǔn)”和“合同內(nèi)容類型化”等方式增加數(shù)據(jù)傳輸者與接受者對于數(shù)據(jù)跨境傳輸行為合法性的可理解性，降低雙方之間有關(guān)數(shù)據(jù)安全保護(hù)義務(wù)履行標(biāo)準(zhǔn)不明、數(shù)據(jù)安全責(zé)任承擔(dān)方式等相關(guān)內(nèi)容的磋商成本，使預(yù)期利益的增加也得以實(shí)現(xiàn)。標(biāo)準(zhǔn)化合同的安全保障功能存在一定的限度，如何避免合同雙方通過國際商事仲裁規(guī)避適用中國法、違約責(zé)任的可執(zhí)行等問題均是數(shù)據(jù)跨境流動監(jiān)管在國際私法層面亟需解決的制度難題。此外，由于各國立法乃至歐盟成員國各自的國內(nèi)法均對個人數(shù)據(jù)、重要數(shù)據(jù)、涉密數(shù)據(jù)存在不同的界定模式，數(shù)據(jù)概念的差異性也在加劇數(shù)據(jù)碎片化程度，標(biāo)準(zhǔn)化合同所能解決的僅僅是單向數(shù)據(jù)傳輸可能存在的安全風(fēng)險，至于國家之間的數(shù)據(jù)雙向傳輸則更有賴于通過雙邊協(xié)議、多邊協(xié)議的方式確定風(fēng)險水平可接受的數(shù)據(jù)傳輸模式。

《數(shù)字法治》專題由華東政法大學(xué)數(shù)字法治研究院特約供稿。專題統(tǒng)籌：秦前松

編輯：海洋