平台数据安全治理优化路径探析
——以“滴滴公司网络安全审查案”为切入视角

纪正坦

(河南财经政法大学法学院 郑州 450046)

在数字经济时代，数据安全构成了总体国家安全观下的重要一环.习近平总书记强调：“要切实保障国家数据安全.要加强关键信息基础设施安全保护，强化国家关键数据资源保护能力，增强数据安全预警和溯源能力.”[1]针对数据安全问题，我国先后出台了《中华人民共和国国家安全法》(以下简称《国家安全法》)《中华人民共和国网络安全法》(以下简称《网络安全法》)《关键信息基础设施安全保护条例》《中华人民共和国数据安全法》(以下简称《数据安全法》)《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)《网络安全审查办法》《数据出境安全评估办法》等法律法规，共同构成了当前我国数据安全保障的法律体系.随着我国的数据安全法律体系日趋完善，互联网平台的数据安全问题也逐渐被推到了风口浪尖.

2021年6月30日，滴滴公司火速赴美上市，2021年7月，国家信息网络安全审查办公室联合多个部门对滴滴公司实施了网络安全审查，随后对滴滴公司存在的严重违法违规处理个人信息的问题进行通报，要求应用商店下架“滴滴出行”和“滴滴企业版”等25款App，以保障用户的个人信息安全[2].自此之后，多个网约车平台被联合约谈，相关部门要求网约车平台对用户的数据和信息进行处理时，要严格依照相关法律法规的要求进行安全保障[3].2022年7月21日，根据网络安全审查的结果，“滴滴全球股份有限公司”存在违反《网络安全法》《数据安全法》《个人信息保护法》的16项违法事实，包括违法收集用户的剪切板信息、相册截图信息、亲情关系信息等，以及违法使用用户的人脸识别信息、精准位置信息、乘客出行意图等达647.09亿条.最终，国家互联网信息办公室依据相关法律法规对“滴滴全球股份有限公司”处以人民币80.26亿元罚款，对公司的董事长兼CEO程维、总裁柳青各处人民币100万元罚款[4].此案是《网络安全审查办法》颁布后的首次公开审查案例，对互联网平台的网络安全审查和数据安全治理具有重要意义.实践中，除了网约车平台，诸如外卖、地图、通信等其他类型的平台都存在着违法违规“处理数据”(1)包括数据的收集、存储、使用、加工、传输、提供、公开等.的现象，这在互联网平台领域似乎已经司空见惯，而其背后却裹挟着重大的数据安全隐患.

当前，数据安全成为理论界和实务界讨论的热点，国内学者也从不同视角对数据安全问题进行了研究.例如:张凌寒[5]从数据生产论的角度，对平台数据安全保障义务的性质、发展脉络和制度体系进行了研究；洪延青[6]从国家安全的视角，对数据的分类分级保护的现有路径、制度设计和国际意义进行了分析；刘金瑞[7]以美国的数据安全风险管控制度为例，对数字经济时代的数据安全风险和范式革新进行了探讨.鉴于此，为了解决数据安全问题，学界对数据安全治理也展开了一系列研究.譬如：文献[8]从数据安全治理技术研究的角度，围绕数据生命周期探讨各个阶段的适用技术；文献[9]针对典型数据安全框架，提出基于业务场景的数据安全治理模式；文献[10]对不同的行业实践进行分析，提出数据安全治理的政策建议[10].纵观现有的研究成果，虽不乏真知灼见，但迄今的研究大多集中在数据安全的制度现状、理论依据和模式创新等角度，尚需从互联网平台数据安全治理的角度进行深入研究.本文以“滴滴公司网络安全审查案”为切入视角，分析了互联网平台数据安全的风险隐患，并对平台数据安全治理的法律规制现状进行探讨，提出了平台数据安全治理的优化路径，以期为今后的平台数据安全治理提供借鉴.

1 平台数据安全的风险分析

互联网平台又称“数字平台”，数据已经成为数字经济时代最关键的生产要素.平台作为当前最主要的数据载体，如果脱离数据安全保障，数字经济的高质量发展则无从谈起，必将在国际形势的风云激荡中埋下安全隐患[11]. 实践中，部分大型互联网平台在不断扩展规模的过程中过度收集和滥用大量的用户数据，不仅侵犯了公民的个人信息权益，还造成了重大的国家安全隐患.

首先，在日常生活中，各种App、小程序过度处理个人信息的现象层出不穷，使得“知情同意”的原则形同虚设，严重侵犯了公民的隐私权等个人信息权益.例如，滴滴公司的系列App是典型的以数据为核心驱动力的平台，在其日常的运营中，收集存储海量的用户数据，并加以整合分析成可利用的信息，以提高乘客出行的匹配程度，从而增强用户对平台的依赖性，但是在多数情况下，平台所收集的数据已经超出了合理范围[12].2021年3月22日，针对App超范围收集个人信息、违法违规使用个人信息等现象，国家互联网信息办公室等4部门联合印发了《常见类型移动互联网应用程序必要个人信息范围规定》，明确了39种常见类型App的必要个人信息范围.以网约车平台为例，其个人信息收集的必要范围包括用户的电话号码、乘车人的出发地和到达地、位置信息等，除此之外的信息则属于非必要的个人信息，平台不得因用户不同意收集而拒绝用户使用App的基本功能服务[13].如果平台违规收集并滥用非必要个人信息，则很有可能侵犯公民的隐私权等个人信息权益.

其次，对于国家安全而言，数据包含着国家的政治、军事、外交等方面的重要信息，这些数据可以通过算法进行解读和分析，最终成为影响国家安全的敏感信息[14].在“16项重大国家安全领域”(2)包括政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、网络安全、生态安全、资源安全、核安全、海外利益安全、生物安全、太空安全、极地安全、深海安全于一体的国家安全体系.，数据构成了这些领域的核心要素.因此，维护数据安全成为保障国家安全工作的重要环节，数据安全应当置于国家安全的核心位置.此外，从国际法视角探究该问题，只有国家掌握了“数据主权”(3)“数据主权”指一个国家对其政权管辖地域范围内个人、企业和相关组织所产生的数据拥有的最高权力.，才能保障公民个人的数据安全.随着数据不断拓展到各个领域，数据逐渐成为国家的一种战略资源，数据的跨境流动已经成为国家安全的突出问题[15].当前，为了应对数据跨境流动带来的“数据主权”问题，美国在《外国公司问责法案》中明确要求在美上市的公司负有额外的信息披露义务，这些规定实质上是对其他国家的“数据主权”和国家安全的变相侵害[16].在本案中，如果滴滴公司成功赴美上市，在美国国内资本介入滴滴公司之后，其所拥有的海量中国用户的数据因美国的法律规定而被美国政府获取，一些重要的数据将被美国政府整合分析成其所需要的各种关键信息，严重影响中国用户的数据安全，使得中国的“数据主权”荡然无存，进而对国家安全造成重大威胁.在当前国际社会变幻莫测的形势下，为了警惕“数据霸权主义”，维护中国的“数据主权”和国家安全，需要以治理平台的数据安全问题为切入点.

2 平台数据安全治理的现状分析

在数字经济时代，“数据资源争夺战”愈演愈烈，全球数据安全治理规则的博弈进入白热化阶段，平台主要面临的问题是数据的跨境流动带来的安全隐患，国家紧急叫停滴滴公司赴美上市旨在避免数据流向境外而产生数据安全和国家安全风险.以美欧为代表的国家和地区通过立法持续争夺有限的数据资源，抢占“数据高地”，主要表现为采取多种方式“将境外数据存储至境内，限制境内数据流向境外”，使得发达国家拥有更多的“数据话语权”，容易滋生“数据霸权主义”，进一步加剧国际社会发展的失衡状态.

美国作为数据大国，拥有全球大部分的数据资源，其凭借自身的数据资源优势，通过进出口管制、对外投资审查等方式限制境内数据的跨境流动.针对平台的数据跨境流动，美国发布了《联邦数据战略与2020年行动计划》，并通过《澄清境外数据合法使用法》中的长臂管辖机制赋予美国政府直接调取本土企业存储境外数据的权利[17].美国意图通过制定一系列数据战略计划和法律，以实现自身在平台数据跨境流动方面的主导地位.欧盟发布了《欧洲数据保护监管局战略计划2020—2024》，提出了后疫情时代欧洲未来数据战略的发展计划，旨在通过多种政策方式吸引更多的数据，提高欧洲在全球数据治理领域的话语权[18].此外，欧盟的《通用数据保护条例》(GDPR)作为当前全球数据治理领域具有代表性的法律，其适用范围极为广泛，任何处理涉及欧盟所有成员国国内数据的平台均受该条例的约束，GDPR也对中国平台企业在欧盟市场的投资经营产生了重大影响[19].因此，在数字经济时代，中国如何应对全球视域下平台的数据跨境流动带来的安全风险，如何在全球数据治理中掌握更多的主动权，这是当前亟需解决的问题.

针对所面临的问题，我国在《国家安全法》设定的总体国家安全观的框架下出台了一系列平台数据治理的法律法规:首先，《网络安全法》规定了平台的网络运行和信息安全的保护义务，并对平台数据跨境流动的基本原则进行了明确，即平台企业作为关键信息基础设施的运营者，在对数据进行处理时应遵循“境内存储，出境评估”的原则;其次，《关键信息基础设施安全保护条例》对关键信息基础设施安全保护的适用范围、监管责任和评估对象作了规定，明确了平台企业在关键信息基础设施安全保护的权利和义务(4)参见《关键信息基础设施安全保护条例》第2条.；再次，《数据安全法》规定了数据分类分级保护制度和数据安全保护义务，并对“国家核心数据”作出原则性规定，形成了平台数据安全保障的制度架构(5)参见《数据安全法》第21条..此外，《网络安全审查办法》将网络安全审查的范围从关键信息基础设施运营者的采购活动与供应链安全扩展至数据处理者在数据处理时的数据安全，因滴滴公司属于公路运输领域的关键信息基础设施的运营者，因此成为被审查的对象[20].最后，《数据出境安全评估办法》对平台数据出境的评估范围、评估方式和“重要数据”作出了规定(6)参见《数据出境安全评估办法》第19条..

这些法律法规出台后，主管机关对一些掌握有海量重要数据资源的平台企业相继进行网络安全审查，体现了数据安全与国家安全之间的联系日益紧密，给数字平台领域的监管带来了警示作用.然而，由于平台数据的无形性和易流动性，数据在不同国家和地区的流动在所难免.尽管国际社会已经察觉到平台数据安全治理的紧迫性，但由于各国的治理理念和利益诉求不同，在全球平台数据安全治理领域尚未形成统一的制度标准[21].此外，虽然当前中国的相关法律法规确立了数据安全和自由流动的原则，但在国际社会上仍处于相对弱势的状态，且这些制度多为原则性、概括性的规定，在实践中如何对平台的数据安全进行有效治理，如何对平台数据的跨境流动进行有效规制，还留有很多的制度构建余地[22].概观当前的平台数据安全治理现状，中国仍面临着法律规制不完善、政府监管不足、平台不够自律3个主要方面的问题.因此，进一步优化平台数据安全治理的路径，提升中国在全球平台数据安全治理领域的话语权，进而化解重大国家安全风险，保障数字经济的高质量发展，这些举措对中国而言意义重大.

3 平台数据安全治理的优化路径

数字经济时代的互联网平台具有多边市场的特征，虽然数据安全法律保障体系日趋完善，但平台的数据安全治理仍然可以优化.具体而言，笔者认为可以从法律规制、政府监管、平台自律3个维度进行优化.

3.1 法律规制维度

在当前数字经济高速发展的态势下，平台的数据安全问题千变万化，即使当前的数据安全法律保障体系较为完善，但由于法律的滞后性，对平台的数据安全问题无法面面俱到.“法律的生命在于实践”，因此，需要立法机关和司法机关对实践中的问题及时作出回应.

首先，虽然《数据安全法》已经出台，但其中的制度多为宏观的原则性规定，缺少实践操作性.例如，由于平台存储的数据具有多元性，所涉及的个人利益和国家利益的程度有所不同，且“同一种数据在不同场景中所承载的权益不同，而数据的保护和流通需要在具体场景中才能实现”[23].虽然《数据安全法》规定了数据的分类分级保护制度，但平台重要数据的具体目录尚未形成，且平台数据的分类审查制度有待完善.此外，在我国的数据保护法律中存在许多具有模糊性的术语.针对这些问题，应当健全《数据安全法》配套的实施细则，出台相应的司法解释进行补充规定，并制定平台数据治理的专门性法律.针对尚不明确的术语，通过列举加原则性规定的方式用以指导实践.譬如，在《互联网平台分类分级指南(征求意见稿)》等相关法律法规中，可以根据数据的安全梯度规定平台数据的分类审查制度，以更加精准地对平台的数据安全进行监管.尽管这种做法不能穷尽平台所有的数据类型，但可以通过“种类列举+原则性规定”进行个案分析，以此对平台数据的类型和等级实行动态管理，以应对层出不穷的平台数据种类，保障平台的数据安全.

其次，应当参照GDPR中有关“数据保护官”(DPO)的规定，从立法层面对平台企业设立“数据合规官”作出明确规定.GDPR将“数据控制者或数据处理者”作为强制聘任DPO的主体类型之一，意味着欧盟境内符合条件的平台企业需要设立DPO岗位来保障数据合规.事实上，虽然起步较晚，但随着我国对企业合规化经营日趋重视，平台数据合规领域已经有所发展，一些大型平台企业相继设立了“数据合规”的岗位.然而，由于我国尚未设置关于“数据合规官”的专门法律制度，因此实践中缺少统一的适用标准.当前，法律制度层面已经体现了设立“数据合规官”的重要性(7)例如，《数据安全法》第27条提到：“重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任.”， 但仍未对平台企业设立“数据合规官”进行明确规定，留下了立法空白.为此，应当参照GDPR中对DPO的有关规定，对我国“数据合规官”的选任方式、权利义务、岗位职责等作出细致规定，并对平台企业应当设立“数据合规官”的条件作出强制性规定，以从制度层面为平台企业设立“数据合规官”提供指导[24].

最后，针对平台企业的数据跨境流动问题，由于国际上尚未形成统一的多边法律文件，为了保障平台数据在跨境流动过程中的数据安全和国家安全，有必要廓清国内数据保护法域外效力的合理边界.一方面，不仅要明确我国境内存储数据的范围和出境数据的审查标准，还要在境内外数据的传输以及数据的管辖上作出明确规定.另一方面，需要明确数据跨境流动过程中各类主体的责任，加强数据跨境流动领域的国际合作，为确保平台数据跨境流动的安全性保驾护航.此外，为了应对欧盟GDPR等数据保护法的域外适用措施，维护我国的“数据主权”和国家安全，在认真研学该条例的同时，需要健全我国数据跨境流动的域外法律规制.为此，可以借鉴欧盟GDPR对数据安全保护的域外经验，并结合我国的实际国情进行完善.例如，针对境外平台数据管辖的适用效力方面，中国可以参照GDPR第3条规定的“设立机构”“目标指向”和“基于国际公法”的原则进行完善(8)参见EU General Data Protection Regulation , Article 3.；此外，为了保证中国数据安全法律体系域外适用的效果，中国应当积极开展数据保护合作，并主动推进国际数据安全保护组织的建立[25].具体而言，为了在未来的“数字经济格局”中掌握主动权，中国应加强与其他国家和地区的多边合作，通过“一带一路”、上合组织、金砖国家等主动推广在数据治理方面的中国智慧[26].此外，中国应积极参与全球数据安全治理的国际规则制定，力求在全球数据治理中融入中国理念，提升中国在制定数据安全域外法律规制中的话语权，争取在全球数据治理中掌握更多的主动权.

3.2 政府监管维度

政府作为平台数据安全最直接的监管者，应当进一步加大平台数据安全领域的监管力度.首先，针对平台数据安全问题要加强对平台数据安全的审查力度，对平台开展定期审查，时刻关注平台数据安全问题.为此，监管部门应做到“事前审查+事中监管+事后备案”的全链条监管机制.在执法过程中，对平台违法违规处理个人数据、侵犯个人信息的行为予以严厉打击，通过加大罚款力度、下架有关App、惩戒主要责任人等措施警示其他平台，切实保障人民群众的合法权益.其次，政府要积极引导平台进行数据合规化经营，通过以案释法、宣传教育等手段对平台的运营模式进行指导，通过多种方式弥补平台存在的数据安全漏洞，促进平台的持续健康发展.再次，针对平台数据跨境流动的安全问题，需要加强数据的跨境监管合作，中国要积极与其他国家和地区在执法、司法等领域探索平台数据跨境监管合作的方式，构建区域性数据监管协作机制.最后，政府应组织社会机构对平台开展数据安全认证.随着全球数据治理手段不断推陈出新，数据安全认证已成为各个国家和地区重点推行的方式之一.欧盟GDPR第42条、第43条专门规定了数据保护认证的原则和期限、认证的方式、认证机构等，是当前全球数据治理领域中对数据安全认证规定的较为完善的法律.我国的《网络安全法》第17条、《数据安全法》第18条、《个人信息保护法》第62条作出了有关开展数据认证的规定.在具体实践中，应当由政府组织和指导，通过制定科学合理的认证机制，选定与平台不存在利益关系、具有高度专业性的第三方机构，由第三方机构对平台开展数据安全认证[27].这一做法不仅能减少政府的过度干预给平台经济带来的不利影响，还可以避免平台企业不够自律导致的自我懈怠.此外，平台数据安全认证的范围应当包括过往的数据安全违法违规行为、当前的数据安全风险化解能力、将来的数据安全隐患.对于已经通过数据安全认证的平台实施动态监管，如果发现平台存在数据安全问题及时采取相应措施.通过数据安全认证机制，不仅可以提升平台的信誉，引导平台企业数据的合规化管理，还能减少因平台数据安全问题带来的隐患，从而规范平台经济的健康发展.

3.3 平台自律维度

平台企业要严格遵循我国数据安全法律体系的要求，及时建立数据安全的纠察机制.例如，在当前的法律制度尚未明确规定的情况下，企业可以参照GDPR关于DPO的规定，在企业内部设立专门的“平台数据合规官”，由具有法律、管理、数据等专业知识和技能的复合人才对平台的数据安全进行风险管控，帮助企业从员工培训、管理制度、技术革新等方面建立数据合规体系，保障平台的数据安全.

具体而言，首先，企业应建立数据安全的管理体系，聘任“数据合规官”担任高级管理人员，对平台的数据进行分类分级管理，并对企业员工开展数据安全培训，提高员工的数据安全意识和风险化解能力.其次，“数据合规官”应制定科学合理的数据安全风险评估机制，定期对平台开展数据安全评估，及时发现和排除数据安全隐患，做到防患于未然.此外，由于“数据合规官”职责的特殊性和重要性，其通常掌握着平台的核心数据，关联到企业的发展命脉，因此，企业应当维持该岗位的稳定性，不宜经常更换该职位的人员.为此，企业应当对“数据合规官”的职位予以资金和政策支持，例如，企业以优厚待遇引进高素质的数据合规人才，提供经费支持“数据合规官”参与各种培训，以提高自身的专业能力和水平.此外，为了保证“数据合规官”履职的独立性，应当赋予其较高的级别和权限，避免过度干涉其业务，影响其决策能力[28].最后，针对平台数据跨境流动的安全问题，“数据合规官”应当熟知域外的数据保护制度，明确平台所处理数据的类型、范围、敏感度以及相应的保护措施，规范相关主体的权利和义务，并通过“大数据”“云计算”等先进技术加强对平台数据跨境流动的监管.在具体实践中，“数据合规官”应当监督平台在采集用户数据之后采取相应的保护措施，防止数据在跨境流动中出现泄露、丢失等现象[29].总之，在应对平台的数据跨境流动安全问题时，企业要肩负起社会责任，维护好国家利益，保障好平台的数据安全，避免给国家安全带来不必要的风险.

4 结 语

在当前数字经济发展的黄金时期，数据成为影响国家政治、经济、军事等多个领域安全的核心要素.在数字经济时代，互联网平台作为数据处理的主要载体，需要对平台的数据安全问题进行有效治理，以保障平台的数据安全和国家安全，并在数据的跨境流动中维护好中国的“数据主权”.为了更好地化解平台数据的跨境流动带来的数据安全和国家安全风险，应当从法律规制层面细化数据安全保障的实施细则，从政府层面加大监管力度，组织开展数据安全认证，在平台自律层面参照GDPR设立“数据合规官”保障平台的数据安全.本文虽然围绕着平台的数据安全治理提出了相应的优化路径，但无法做到一应俱全，还需接力性探讨.当前，深度开展互联网平台的数据安全治理，已经成为实现数字经济高质量发展的必经之路.