論數據出境安全評估的法律性質與救濟路徑

張凌寒

關鍵詞：數據出境安全評估；國家安全；安全審查；行政終局行為

一、問題的提出

數據生產要素價值的充分釋放取決于流通共享。數字經濟時代產品和服務全球化的背景下，數據跨境流動是貿易活動與國際交流的必然組成部分。企業、公共部門等數據處理者的業務都可能存在數據跨境需求場景，如中國企業為國外客戶進行跨境數據處理，境內企業為境外客戶提供服務與產品銷售，境外主體訪問、使用境內數據，國際企業需要傳輸實現跨境數據共享等。2022年9月開始實施的《數據出境安全評估辦法》（以下簡稱為《辦法》）明確了數據出境安全評估的合規路徑。新規出臺當日，中概股多數收漲，其中阿里巴巴上漲2.75%，京東上漲2.22%，拼多多上漲0.88%，攜程上漲6.95%，其原因在于規則的明晰使得監管的靴子得以“落地”，成為中國互聯網企業發展的利好因素。①

數據出境安全評估的結果決定了數據處理者能否進行數據跨境業務。根據《辦法》第4條的規定，以下四種情形需要數據出境安全評估：一是數據處理者向境外提供重要數據：二是關鍵信息基礎設施運營者和處理100萬以上個人信息的數據處理者向境外提供個人信息；三是自上年1月1日起累計向境外提供超過10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息；四是國家網信部門規定的其他需要申報數據出境安全評估的情形。基于我國數字經濟規模和數據處理的量級，可能相當數量的常見跨境數據處理活動都會落入《辦法》的調整范圍。這就決定了一旦數據出境安全評估未通過，數據處理者的活動會被“按下暫停鍵”，使業務開展和經營活動陷入被動。

征求意見后正式出臺的《辦法》已對數據出境安全評估結果新增了救濟條款，但救濟路徑還不夠明確。數據處理者申請數據出境安全評估的結果有通過安全評估、申報不予受理以及未通過安全評估三種情況。相較于《辦法》的征求意見稿，《辦法》第13條新增規定，數據處理者對評估結果有異議的，可以在收到評估結果15個工作日內向國家網信部門申請復評，復評結果為最終結論。這一條款為對數據出境安全評估結果有異議的數據處理者提供了一定的救濟。在理論和實踐層面，數據出境安全評估的法律性質與救濟路徑仍存在諸多亟待厘清的疑問。數據出境安全評估的復評結果作為“最終結論”表述的法律含義是什么？這是否意味著數據出境安全評估的復評結果可以免受行政復議與行政訴訟？如果可以免受行政復議與行政訴訟，那么這種前置性的數據出境安全評估法律性質是什么？如果可以行政復議，是否意味著復評的終局效力實際上流于形式？如果可以行政訴訟，那么數據出境安全評估的初評與復評的關系如何界定，哪個應作為可訴的具體行政行為？這些問題如果無法在實踐中明確，勢必造成數據處理者權利的不確定性，并帶來難以落地的合規風險。

討論數據出境安全評估的救濟路徑，一方面可在實踐上回應數據出境具體制度落地的問題；另一方面在理論上嘗試探究，已經成為互聯網治理基礎手段的評估制度對行政法理論的挑戰，以及如何對其進行法律定性并融入傳統行政法框架。本文的內容圍繞如下思路展開：首先梳理現有法律框架下的評估制度，厘清數據出境安全評估在制度意義與法律效力方面的特點。安全評估作為具體行政行為卻為何結果為“最終結論”，需探討兩種可能的理論解釋以及與其對應的救濟模式。下文分別根據模式一和模式二展開討論，一方面分析兩種解釋模式下如何進行理論與法律上的修正，另一方面討論初評與復評關系、法律救濟路徑類型化等實踐問題。

二、安全評估的法律性質及其可能的救濟模式

數據出境安全評估與我國現有的諸多風險評估、影響評估、安全評估相比，在法律依據、評估主體、法律效果方面均具有一定獨特性。數據出境安全評估由法律設定并由規章設定具體規則，從法律性質的角度考察，并非國家行為、安全審查制度，因具備具體行政行為的實質性要素，法律屬性應為具體行政行為。但安全評估作為具體行政行為，卻在《辦法》中規定評估結果為“最終結論”，這引發了理論困惑，需以不同的模式探討可能的理論解釋。

（一）安全評估的制度特點

數據出境安全評估制度相較已有的評估制度，具有兩個重要的制度特點：其一，從評估制度設立的考量標準上來說，數據出境安全評估主要基于國家安全的考量，而現有的評估制度多被作為一個事實發現工具，以科學性作為考量標準。其二，從評估制度的效力來說，數據出境安全評估結果直接具有法律效力。而現有的評估制度一般分為組織評估與作出決定兩個環節，基于組織評估的結果，經由相關考量作出評估決定。

1.蘊含極強的國家安全考量

評估制度是風險社會治理應運而生的制度。評估制度作為治理手段應用于事前與事中節點，以應對風險的不確定性、復雜性與多發性，目的在于增強相關活動的可控性、可信度和安全性，因此廣泛適用于金融監管、食品安全、環境保護等領域。評估制度的廣泛應用體現了風險社會的規制理論與實踐特點，從強調“命令——控制型”的行政規制、強調行政的高權性和行政相對人的服從，發展為利用多方知識、信息、資源和能力形成政府與相對人等多主體的多元協同治理。數據出境安全評估制度盡管也以應對風險為制度目的，但主要考量的是國家安全領域的風險。

風險評估往往被作為一門客觀理性的科學評估，為制定管理政策提供知識，通過量化方法建立概率性的因果關系。因此一般要求評估忠于科學，避免個人偏好、政策考慮對評估的不當干擾，確保價值中立。現有評估制度中較為典型的有環境影響評價、食品安全評估等。由于評估活動的高度技術性，《中華人民共和國食品安全法》（以下簡稱《食品安全法》）規定，食品安全風險評估由國務院衛生行政部門成立由醫學、農業、食品、營養等方面專家組成的食品安全風險評估專家委員會具體負責。起草《食品安全法》并擔任國家食品安全風險評估委員會主任的陳君石院士亦明確指出，風險評估“是一個由科學家獨立完成的純科學技術過程，不受其他因素的影響”①。

在科技發展中，基于科學性的風險評估起到了重要的推動作用。1972年美國國會組建科技評估辦公室，開啟專家預警式科技評估模式，技術專家對科技產品特征與應用后果進行評估，并為立法機關財政資源配置與科技監管政策制定提供基于科技事實分析的專家報告。②食品安全、環境影響這類風險評估將事實發現作為主要任務，將成本效益分析等帶有政策權衡的活動放在后續程序（如審批、許可）中進行，確保科學的部分分析更加客觀，政策的部分權衡更加清晰，以期在科學決策的基礎上使民主機制與法律制度能夠更好結合。

與科學性的風險評估相比，數據出境安全評估標準包含大量的國家安全考量。《辦法》中表述數據出境安全評估的制度目的是“保護個人信息權益，維護國家安全和社會公共利益，促進數據跨境安全、自由流動”①。《辦法》第8條、第9條也體現出，數據出境安全評估的標準包括網絡安全環境等技術性因素，但更為重要的是考量數據安全保護政策法規、法律制度、政策環境可能發生的變化等國家安全因素。世界各國在數據跨境流動領域設立的標準均呈現不同程度政治先行的特點。如歐盟的跨境流動政策對數據接收方“充分保護水平”的認定要考慮第三國的法治、人權和自由狀況、有關國家安全和公共安全領域的立法以及有效的司法和行政救濟。這些要求的相關概念具有高度政治色彩，范圍廣泛且模糊，缺乏可操作性。有學者直言，歐盟的“充分保護水平”認定標準中存在公共安全、國防、國家安全和刑事犯罪的相關立法評價，這些毫無疑問屬于國家主權問題，對第三國的這些立法進行審查勢必引起爭議。②

在我國實踐中，數據跨境流動也往往和國家安全審查交織在一起，制度目的類似且制度內容有交叉之處。我國2022年實施的《網絡安全審查辦法》第7條要求“掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市”需要進行網絡安全審查。《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）和《辦法》也要求處理100萬以上的個人信息處理者將數據本地化存儲，數據出境需要經過網信部門的出境安全評估。當數據以數據處理者需要赴國外上市的形式出境，應該既申請網絡安全審查又申請數據出境安全評估，還是只申請二者之一即可呢？目前實踐中尚無定論。除此之外，考察網絡安全審查的內容與數據出境安全評估的標準，二者也有較多的重合之處。

由此可見，數據出境安全評估的標準包含了國家安全等因素，與其他評估制度具有較為明確的技術指標與評價標準相比具有較大差異。

2.具有獨立直接的法律效力

我國法律制度中的評估制度多作為申請行政許可的必要條件，性質上屬于過程性行為，而數據出境安全評估則為一個具有獨立的、直接的法律效力的制度。依據《辦法》相關條款，可將安全評估的流程分為適用分析、申報準備、受理決定、進行評估、申請復評、重新評估等環節。評估結果書面通知數據處理者。

法律一般將涉及風險評估的決策劃分為事實探究和政策形成兩個階段，即首先通過評估制度將具體事務在科學層面的事實與風險厘清，方可通過利益衡平作出后續的監管決策，實踐法律賦予的職權。如環境影響評價是對可能影響環境的工程建設和開發活動，預先進行調查、預測和評價，提出環境影響及防治方案的報告，經主管部門審查和批準后才能進行建設的法律制度。③與此類似，《食品安全法》規定的食品安全風險評估是對食品、食品添加劑和食品相關產品中生物性、化學性和物理性危害進行評估，作出是否允許生產的監管決策，則是衡量了危害性和可接受性的判斷結果。

數據出境安全評估結果則直接對相對人發生法律效力。原因在于，安全評估標準已經是利益權衡之后的結果，如安全評估事項就包括對風險衡量之后的判斷，如“出境中和出境后遭到泄露、篡改、丟失、破壞、轉移或者被非法獲取、非法利用等風險”。換句話說，其評估事項本身就是若干個“風險評估”的集合。也是基于此，安全評估結果具有獨立的、直接的法律效力，不通過數據出境安全評估無法開展數據出境活動。

相比之下，互聯網治理領域的其他評估制度多作為行政許可的必要條件。如互聯網新聞信息評估是作為互聯網新聞信息許可的必要條件，評估申請人的信息安全管理制度和技術保障措施，以確定其風險等級。①

綜上所述，在我國現有的評估制度體系中，數據出境安全評估具有較為鮮明的制度特點。其一，數據出境安全評估的標準包含大量國家安全的考量，與網絡安全審查制度有一定的交叉之處。但其他多數評估制度以專業性、科學性作為評估標準，進行科學事實的判斷。其二，數據出境安全評估制度是一個獨立的法律制度，其評估結果直接決定相對人權利與義務，具有類似行政許可的效力。而其他多數評估制度或是行政許可的條件之一，或為行政決策提供正當性合理性依據。基于以上兩個特點，進一步引發了對于數據出境安全評估法律性質的討論。

（二）安全評估的法律性質

數據出境安全評估的法律性質是什么？由于其是新興制度所以尚未在學界展開充分討論。基于上文分析的特點，安全評估事項與國家安全高度相關，這是否使其性質不再是一個行政行為？本部分比較安全評估與國家行為、安全審查制度，可得出安全評估與安全審查在制度功能與適用范圍方面存在一定的重合，但性質仍是一個具體行政行為。

1.安全評估不是國家行為

國家行為是指國務院、中央軍事委員會、國防部、外交部等根據憲法和法律的授權，以國家的名義實施的有關國防和外交事務的行為，以及經憲法和法律授權的國家機關宣布緊急狀態等行為。①國家行為在不同的國家有著不同的稱呼。英國稱為“國家行為”（act of state），法國和日本稱為“統治行為”（acte de gouvernement），美國稱為“政治行為”或“政治問題”（political ques-tions），國家行為免受司法審查已經成為各國通例。②判斷一個行為是否為國家行為，主要看這個行為是否以政治上的利益為目的，是否涉及國家主權和整體上的國家利益。③雖然各國未形成國家行為的統一標準，但基于各國理論和我國實踐，一般認為國家行為是具有較強的政治性，實施主體多為國防、外交等有明確法律授權的機關，并以國家的名義實施的行為。

第一，數據出境安全評估并非以國家名義實施的行為。實施國家行為的特定國家機關是國務院、中央軍事委員會、國防部、外交部，以及經憲法和法律授權宣布緊急狀態的國家機關。根據最高人民法院行政審判庭的觀點，實施國家行為的特定國家機關僅指國務院、中央軍事委員會、國防部、外交部以及特別情況下的省一級人民政府。④即使實踐中可能落到具體行政部門，但因主要行為對象多為境外個人、組織和國家，因此具有高度的國家代表性，如海關、外交、公安的出入境管理部門等。數據出境安全評估決定是以國家網信部門的名義作出，主要針對的對象是境內的數據處理者，顯然并非以國家名義對境外對象作出的行為。

第二，數據出境安全評估的適用情形并非全部具有較強的國家安全因素考量。《辦法》第4條所要求進行數據出境安全評估的情形中，第一種情形數據處理者向境外提供重要數據和第二種情形關鍵信息基礎設施運營者提供信息，基于《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）、《中華人民共和國數據安全法》（以下簡稱《數據安全法》）的規定可能涉及國家安全。但第三種情形“自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息”僅在《個人信息保護法》中有規定，更多體現保護個人信息權益的制度目標，并非完全為國家安全考量。

2.安全評估并非安全審查

數據出境安全評估與安全審查制度功能相似，并有一定交叉重合之處，但在法律依據、實施主體、適用情形、審查或者評估要素、工作程序、法律效果上都有較大差異。

第一，從法律依據來看.安全審查是以國家安全審查為上位概念，網絡安全審查、數據安全審查為具體制度的制度體系。數據出境安全評估則是數據跨境流動制度體系的具體制度，安全評估、認證和跨境標準合同構成了數據跨境的三個并行具體制度。尤其是安全評估需企業基于商業活動自行申請，安全審查則由監管機構主動發起，因此分屬不同的制度，這也在相關主管機構的機構設置當中得到了體現。但與此同時，數據出境安全評估又與數據安全審查存在重合，如赴境外上市的企業如果已經通過網絡安全審查，是否還需要再進行安全評估？數據安全審查的制度目標在于國家安全，但安全評估的制度價值雖然蘊含國家安全考量，但也仍以日常數據跨境的商業活動為主要適用場景，因此仍須分別進行。

第二，從考察事項及適用場景來看，安全審查更為復雜。結合《數據安全法》的條文表述及近期對滴滴出行等多家企業的網絡安全審查，數據安全審查的適用范圍將涵蓋全鏈路、全周期的數據處理行為（如收集、傳輸、共享、融合等）。除此之外，安全審查的適用情形除了涉及數據出境場景，還可能涉及外商投資等其他領域。《網絡安全審查辦法》第22條第2款指出，國家對數據安全審查、外商投資安全審查另有規定的，應當同時符合其規定。換言之，網絡安全審查的適用范圍并不限于《辦法》中列出的數據出境安全評估的情形。今后，監管部門可能會在數據安全、外商投資相關審查辦法中提出網絡安全審查的要求。數據出境安全評估則主要是為了滿足數據跨境流動的監管需求，目的在于防范國家安全、數據安全、個人信息權益等面臨的風險。

第三，從實施主體上看，數據出境安全評估的主體是國家網信部門，而安全審查則涉及中央國家機關與國家安全審查的所有部門。《中華人民共和國國家安全法》（以下簡稱《國家安全法》）第60條明確賦予中央國家機關各部門行使國家安全審查職責，各部門可依法作出國家安全審查決定或者提出安全審查意見并監督執行。在網信部門內部，有專門的網絡審查安全辦公室。①數據出境安全評估則由國家網信部門受理申報后，根據申報情況組織國務院有關部門、省級網信部門、專門機構等進行安全評估。

綜上所述，數據出境安全評估制度盡管與數據安全審查功能相似，且適用條件有一定的交叉重合，但并非同一個制度。《數據安全法》第24條規定的“依法作出的安全審查決定為最終決定”是不是《辦法》規定的“安全評估復評結論為最終結論”的法律依據，后續將予以展開討論。

3.安全評估是具體行政行為

數據出境安全評估符合行政行為的要素。根據一般理論和司法實踐，具體行政行為是指國家行政機關和行政機關工作人員、法律法規授權的組織、行政機關委托的組織或者個人在行政管理活動中行使行政職權，針對特定的公民、法人或者其他組織，就特定的具體事項，作出的有關該公民、法人或者其他組織權利義務的單方行為。②數據出境安全評估符合具體行政行為的四要素：

第一，安全評估是由國家網信部門實施的行為，這符合具體行政行為的主體要素。2014年國務院頒布《國務院關于授予國家互聯網信息辦公室負責互聯網信息內容管理工作的通知》以來，網信部門密集地出臺規章與規范性文件。2022年國家網信辦成立執法局，并于9月就《網信部門行政執法程序規定（征求意見稿）》公開征求意見。這些進一步明確了網信部門具有獨立制定部門規章和開展行政執法的行政主體地位。

第二，安全評估是國家網信部門行使行政權力所為的單方行為，這符合具體行政行為的成立要素。即該行為無需對方同意，僅行政機關單方即可決定，且決定后即發生法律效力。數據出境安全評估是針對數據處理者，就數據出境的具體事項，作出的有關數據處理者是否可以開展數據出境活動的單方行為。根據《辦法》第4條規定，凡是有相關情形的數據出境處理者，在數據出境之前，都需申請數據出境安全評估，由網信部門評估數據出境活動可能對國家安全、公共利益、個人或者組織合法權益帶來的風險。評估決定由網信部門單方作出，并直接決定數據處理者是否可以繼續從事數據出境活動。

第三，安全評估是對從事數據出境業務的數據處理者實施的行為，這符合具體行政行為對特定的公民、法人或者其他組織作出的對象要素。安全評估適用的數據處理者范圍可分為靜態和動態兩類標準。靜態即指關鍵信息基礎設施運營者和涉及處理100萬人以上的個人信息處理者，從主體角度要求數據出境業務需要通過安全評估實施。在中國市場，100萬人以上是較為容易達到的標準，各大應用市場的APP下載量顯示極少有低于100萬量級的個人信息處理者。動態條件則指自上年1月1日起累計向境外提供10萬個人信息和1萬敏感個人信息的數據處理者向境外提供個人信息。在當年內累計的跨境個人信息數據流動達到這個標準也仍然較為容易。

第四，安全評估是直接對特定數據處理者的權利義務產生影響的行為，這符合具體行政行為的內容要素。通過評估即可進行數據出境業務，未通過評估則需中止數據出境業務。從法律效果的角度來看，安全評估的法律效果表現于外部，針對特定的數據處理者，安全評估對數據出境活動的效力本身即存在，無需借助于其他行政行為。除了通過安全評估的情形，還有未申請、未通過或已通過但情形變更的三種情形，對應三種法律效果：一是數據處理者如不通過數據出境安全評估不可進行數據出境，需申請復評；二是之前通過評估后因情形變化不再符合安全管理要求的，“數據處理者終止數據出境活動”①；三是“違反本辦法向境外提供數據的”，任何組織和個人可向省級以上網信部門舉報。②由此可見，數據出境安全評估結果具有實質上決定相對人是否可以進行數據出境活動的法律效果。

綜上，數據出境安全評估的法律性質仍是具體行政行為，甚至是授益性行政行為。“判斷一個行為是否屬于行政法律行為，重要的是它的法律效果，而非實施依據。”③區分一個行為是否屬于行政處理、是否構成法律行為，不能只看名稱，而要看其所涉事項和實際影響。④通過安全評估，數據處理者被準予實施數據出境行為，這是在《個人信息保護法》明確規定相關數據應該本地化存儲的前提下，對其數據出境行為的“解禁”。

（三）小結：基于法律性質的可能救濟模式

數據出境安全評估的法律性質應為行政行為，但這一結論又與數據出境安全評估復評結果為“最終結論”存在制度上的不協調之處。存在以下困惑需要進一步討論：如果數據出境安全評估的法律性質是行政行為，數據出境安全評估的復評結果為“最終結論”的法律含義是什么？不同的答案引向了不同的可能性。

第一，如果“最終結論”的法律含義是數據出境安全評估是終局行為，不可進行行政復議和行政訴訟，然而這并不滿足現行法律關于終局行政行為的既有規定。這就需要討論，為何數據出境安全評估是一個終局性的行政行為？

第二，如果“最終結論”的法律含義是復評結論，僅僅是國家網信部門內部的最終結論，數據出境安全評估是一個可以復議可以訴訟的行政行為，那么如何進行行政復議和行政訴訟救濟呢？

綜上所述，如果數據出境安全評估的法律性質是行政行為，那么其復評結果為何“最終結論”即令人疑惑。本文將在第二、三部分探究“最終結論”的法律含義并進一步分析數據出境安全評估救濟路徑。

三、模式選擇一：基于“不可訴性”的分析

如果數據出境安全評估復評結論為“最終結論”的法律含義是數據出境安全評估不可訴，那么，安全評估不可訴的法律與理論依據是什么？本節分情形討論安全評估作為行政終局行為的理論基礎與法律依據，提出安全評估的不可訴性的法律依據應通過修改法律或擴張解釋在法律層面予以明確。此外，動態累計情形的個人信息出境安全評估在數字經濟運行中具有普遍性，這使得為此種情形的安全評估設置一定的救濟路徑成為必要。

（一）“最終結論”為不可訴性指向安全評估為行政終局行為

數據出境安全評估復評結果為“最終結論”的一個可能解釋是指行政機關的行為是終局行為，效力由行政機關最終決定，不受法院的司法審查而具有不可訴性。根據《辦法》的規定，國家網信部門應當自向數據處理者發出書面受理通知書之日起45個工作日內完成數據出境安全評估；情況復雜或者需要補充、更正材料的，可以適當延長并告知數據處理者預計延長的時間。數據處理者對評估結果有異議的，可以在收到評估結果15個工作日內向國家網信部門申請復評，復評結果為最終結論。故討論數據出境安全評估的復評是終局性行政行為，是指在數據出境安全評估與復評之后，行政機關不再作出其他行政行為，相對人也不可以向法院起訴，不屬于人民法院行政訴訟受案范圍。

類似的具有終局效力的制度在互聯網治理制度中并非唯一，但其并不直接決定相對人權利義務。如《互聯網信息服務算法推薦管理規定》要求算法推薦服務提供者進行算法備案，《區塊鏈信息服務管理規定》要求區塊鏈信息服務提供者進行區塊鏈信息服務備案。兩種備案的程序相似：如材料齊全則發放備案編號并公布備案信息，材料不齊全的不予備案并說明理由。①盡管相關規章未規定行政機關的后續行為，但實踐中相對人往往在當次備案沒有通過的情況下，會申請下一批次備案。在《辦法》征求意見過程中，有學者提出如沒有復評結果之后的后續行為，則可能相對人會選擇更改目的、方式、范圍、種類等內容，根據《辦法》第14條的規定作為新的數據出境安全評估申請而規避第13條的“最終結論”規定。但在《辦法》現有條文中并未規定行政機關后續的行為，因此可理解為第13條的“最終結論”即為終局行為。

哪些行為屬于終局行為不受司法審查需要有法律的明確規定。《辦法》作為部門規章顯然并無此權限，而《網絡安全法》《數據安全法》和《個人信息保護法》中雖然多次提及數據出境安全評估制度，但一般限于需要評估的情形，并未涉及評估效力的問題。因此，只能考察數據安全出境評估是否符合《行政訴訟法》相關法律規定的不屬于人民法院行政訴訟的受案范圍。《行政訴訟法》第13條第1款規定：人民法院不受理公民、法人或者其他組織對下列事項提起的訴訟：（一）國防、外交等國家行為；（二）行政法規、規章或者行政機關制定、發布的具有普遍約束力的決定、命令；（三）行政機關對行政機關工作人員的獎懲、任免等決定；（四）法律規定由行政機關最終裁決的行政行為。《最高人民法院關于適用（中華人民共和國行政訴訟法）的解釋》第1條也詳細列舉了九項不具有可訴性的行為。①經過法條梳理，安全評估并無明確適用條款，因此只可能歸于《行政訴訟法》第13條第1款第4項所規定的“法律規定由行政機關最終裁決的行政行為”。那么，下文將進一步尋找安全評估作為行政終局行為的法律依據，就其可能的理由展開討論。

（二）安全評估是否符合行政終局行為的情形？

某一行為是否屬于行政終局行為應當具有相應的特征，滿足特定的條件。雖然從形式而言，法律可以規定一些行政行為由行政機關最終來裁決，從而排除司法審查，但從實質法治層面分析，立法者不能隨意設定行政終局行為。從我國行政訴訟法學理和實務主流觀點來分析，行政機關最終裁決的行政行為具有五個特征：一是涉及國家重要機密，一旦進入訴訟，會嚴重損害國家利益；二是具有極強的專業性，需要非常專門的知識、經驗和技能，以至于法院沒有能力進行審查；三是不可能或者極少可能侵犯相對人的權益；四是已經有近乎司法程序的行政程序作保障，以至于司法救濟沒有必要；五是因不可抗力，使得司法救濟不可能。②為此，有必要靈活處理個人利益與國家利益，局部調整司法權與行政權的關系，排除對這些行為的訴訟。那么數據出境安全評估是否符合這幾種情形呢？

第一，數據出境安全評估是否符合“涉及國家重要機密，一旦進入訴訟，會嚴重損害國家利益”的特征？這需要分具體情況來分別對待。從類型而言，數據出境安全評估的啟動大致分為兩類，第一類是基于安全價值的關鍵信息基礎設施和重要數據的出境，這可能與國家秘密相關。《辦法》第19條定義重要數據，是指“一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等，可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據”。第一類分類可能與國家安全、國家利益相關，但并不當然屬于“涉及國家重要機密”的情形。第二類則是基于一定規模的個人信息的數據出境安全評估，一般情況很難說涉及“國家重要機密”。

第二，數據出境安全評估是否符合“不可能或者極少可能侵犯相對人的權益”？根據前文分析，按照《辦法》需進行數據出境安全評估的情形，“未申請、未通過或已通過但情形變更的三種情形，數據處理者不能開展數據出境活動”。③數據出境安全評估具有實質上準許相對人是否可以進行數據出境活動的法律效果。因此，安全評估結果一旦出錯，一定會影響到數據處理者的數據跨境活動，很難不對相對人權益產生影響。

第三，數據出境安全評估是否滿足“已經有近乎司法程序的行政程序作保障，以至于司法救濟沒有必要”的特征？這就需要分析我國《辦法》對數據出境安全評估的具體程序。對于該程序，《辦法》第11條、第12條、第13條作了極為簡單的規定，如材料不全的要求相對人補充更正材料、評估的期限、以及復評程序。對于數據處理者所享有的基本權利，比如評估之后能否獲得證據文件和理由說明的權利，并未作任何規定。顯而易見的是，目前的數據出境安全評估程序遠遠不是“近乎司法程序的行政程序，以至于司法救濟沒有必要”。安全評估是一個單方行為，并非行政機關居間裁決，相對人也一般只有提交材料和申請復評的權利，并無“近乎司法程序的行政程序”。可見，基于此理由主張數據出境安全評估屬于行政終局行為的觀點不成立。

第四，數據出境安全評估是否符合“具有極強的專業性，以至于法院沒有能力進行審查”？數據出境安全評估具有較強的專業性。數據出境安全一方面涉及數據處理行為的應用場景，結果具有較強的技術性，另一方面涉及對國家安全、公共利益、個人信息權益保障等不確定性概念的判斷，因此具有較強的專業性。《辦法》中評估的工作由國家網信部門組織國務院有關部門、省級網信部門、專門機構等進行，落地可能由網信部門組織國家互聯網安全中心進行評估，法院很有可能不具有相關專業能力進行審查。

綜上，數據出境安全評估可能成為終局行政行為的理由有二：其一，可能因涉及國家秘密，進入訴訟會損害國家利益；其二，具有極強的專業性以至于法院沒有能力審查。那么，這兩個原因是否適用于《辦法》規定的安全評估呢？

（三）安全評估因國家安全例外而成為行政終局

數據出境安全評估因為何種原因成為終局行政行為？最可能的法律依據是因為安全評估涉及國家安全因而進入“國家秘密”范疇而無法進入訴訟，否則會損害國家利益。在我國總體國家安全觀中，數據安全是國家安全的重要組成部分。至于推論的第二個理由，安全評估僅可能因評估具有極強的專業性，以至于法院沒有能力進行審查而成為行政終局行為。但目前并無法律的明確規定，涉及重大的行政訴訟制度，在權力來源上應當嚴格把握，即法律授權應當作出直接而明確的規定。

安全評估的三種適用情形均事關國家安全。第一種情形，向境外提供重要數據需安全評估與國家安全密切相關，并在相關法律層面有明確規定。《網絡安全法》第37條明確要求關鍵信息基礎設施的運營者向境外提供重要數據需要進行安全評估。《數據安全法》第31條重申了以上立場，并在此基礎上將其他數據處理者向境外提供重要數據所適用的具體出境安全管理辦法交“由國家網信部門會同國務院有關部門制定”。《辦法》第19條對重要數據作出的定義：“本辦法所稱重要數據，是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等，可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據。”這些法律規定充分體現了重要數據對于國家安全的重大意義。

第二種情形，關鍵信息基礎設施運營者向境外提供個人信息，同樣基于國家安全的考量需要評估。由于關鍵信息基礎設施運營者的數據活動本身就事關網絡安全國家利益，此主體實施的數據處理行為都需要更為嚴格的安全評估。

第三種情形，處理100萬以上個人信息的數據處理者和自上年1月1日起累計向境外提供超過10萬人個人信息和1萬人敏感個人信息的處理者。《個人信息保護法》第40條是處理個人信息達到國家網信部門規定數量即應進行數據出境安全評估的法律依據。①達到一定量級的個人信息處理如果發生重大網絡安全事件，在我國法律體系中被列為與重要數據安全事件同等級別的事件。在《關鍵信息基礎設施安全保護條例》中明確將二者并列，②與此類似，《網絡安全審查辦法》也將重要數據、關鍵信息基礎設施與大量個人信息的風險并列。③因此基于體系性解釋，第三種情形適用的安全評估也同樣基于國家安全例外，成為行政終局行為。

涉及國家安全的行政行為免受司法審查在國內外也有相似制度。在國內，因涉及國家安全而不可訴的是我國法律規定的對于恐怖組織和人員的認定決定。《中華人民共和國反恐怖主義法》賦予了國家反恐怖主義工作領導機構認定恐怖活動組織和人員的權力。該法同時規定，被認定的恐怖活動組織和人員對認定不服的，可以通過國家反恐怖主義工作領導機構的辦事機構申請復核。國家反恐怖主義工作領導機構應當及時進行復核。復核決定為最終決定。在國外，也有因數據跨境流動涉及國家安全而免受司法審查的制度。歐盟2020年實施《外國直接投資審查框架條例》，將數據出境活動納入審查范圍，提出成員國應重點關注涉及“取得敏感資料（包括個人數據）或控制這些資料信息能力”的投資領域。2018年8月，美國總統特朗普簽署了《外國投資風險審查現代化法》（Foreign Investment Risk Review Modernization Act of 2018，FIRRMA）重點之一就是關注和應對外國投資交易中高風險敏感數據對國家安全的影響。該法一是界定影響國家安全的高風險敏感數據的范圍；二是將涉及這些高風險敏感數據的外國非控制性投資納入外資安全審查范圍。④

綜上所述，數據出境安全評估的復評結果為“最終結論”的理由是安全評估基于國家安全原因成為行政終局行為。但仍存在問題需要探討：第一，現有法律并無明確規定涉及國家安全即可能構成行政終局行為，數據出境安全評估的復評結論為最終結論的理由與依據仍不充分。第二，在現有數字經濟規模下，絕大多數數據出境活動落入了安全評估的適用情形，如何在保證國家安全的前提下給予相對人一定的救濟？

（四）安全評估作為行政終局行為的救濟路徑

盡管安全評估基于國家安全考量應作為行政終局行為，但仍應及時在法律層面進行修改賦予其明確法律依據。考慮到我國數字經濟規模，絕大多數數據出境落入了安全評估適用范圍。對于最普遍常見的數據出境活動，有必要基于數字經濟發展的考慮給予其一定的救濟路徑。

1.基于國家安全作為行政終局行為應及時在法律層面予以修改回應

安全評估因為涉及國家安全而免于司法審查，其在理論上與國內外司法實踐中可獲得解釋，但在法律層面仍需明確依據。安全評估的復評結論為“最終結論”與《數據安全法》第24條規定“數據安全審查的決定為最終決定”盡管都涉及國家安全且均免于司法審查，但法律依據并不相同。

數據安全審查的決定為最終決定，并不能成為出境安全評估的復評結論為最終結論的法律依據。盡管數據安全審查與數據出境安全評估在制度目的和適用情形上有諸多相似之處，但不可忽略其設立的根本目的和法律依據有本質不同。一是在設計的根本目的上，安全評估是為了常態的數據跨境流動活動，安全審查則是為了應對非常態的“影響或者可能影響國家安全”的情形。換句話說，安全評估是為了避免正常商業活動中數據出境可能造成的國家安全和個人信息風險，但安全審查一旦啟動意味著國家安全已經存在出現問題的高度可能性。二是在行為結果上，安全評估的結果為通過或未通過，安全審查的結果則是決定。換句話說，安全評估滿足評估事項要求即可通過，而安全審查則是有了影響國家安全的情形才啟動，目的在于探究其對國家安全影響的嚴重程度。三是在法律依據上，安全評估是具體行政行為，即使存在高度國家安全考量，但在數字經濟背景下與行政相對人的日常經營活動密切關聯，仍應在行政法框架內予以規范。數據安全審查是國家安全審查的具體制度，與網絡安全審查并列，其具有高度政治性、不可預測性，無需遵循行政正當程序，無需說明理由且并無期限限制，本質上是以國家安全目的為導向的行為。基于此三點理由，《數據安全法》第24條規定的數據安全審查決定為最終決定，并非安全評估的結論為最終結論的法律依據。

因此，涉及國家安全而免于司法審查仍需要法律層面的規定，以消解對于《辦法》作為規章的立法權限的質疑。針對此問題，有兩條路徑可供選擇，一是對法律中行政終局行為予以有權的擴張性解釋。數據出境安全評估是由規章設立的，如果直接規定其具有不可訴性，《辦法》作為部門規章并不具有超出法律進行擴張解釋的權限。未來或應在法律中明確規定，或對《行政訴訟法》第13條作出具有權限的擴張性解釋。二是對“國家安全例外”免于審查作出法律層面的明確規定。如果數據出境安全評估具有不可訴性的原因是國家安全的考慮，則需要在未來《網絡安全法》《數據安全法》的修改或其他相關法律的制定中予以明確。安全評估是國家網信部門在履行行政管理職能過程中作出的行政行為。目前已有的規定中，依據《最高人民法院關于適用（中華人民共和國行政訴訟法）的解釋》（法釋[2018]1號）第1條、第2條，可豁免行政司法審查的公權力行為是國家安全等機關實施的刑事領域相關行為。因此，如何與美國、歐盟一樣在數據跨境流動中也在一定場景適用“國家安全例外”，應在法律中及時修訂予以回應。

2.基于數字經濟發展需要應對一定情形的安全評估設置必要救濟途徑

基于數字經濟發展的需要，《辦法》規定的安全評估適用的第三種情形“自上年1月1日起累計向境外提供超過10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息”應設置必要的救濟途徑。

首先，此種情形落入安全評估是基于國家安全的考量，但也囊括了大多數日常的數據出境活動。基于《個人信息保護法》第40條的“一定規模個人信息處理者”落人安全評估，既包含靜態規模情形，也包括動態數量情形。靜態規模情形是指“處理100萬以上個人信息的數據處理者”，其中的處理是包含所有數據處理方式。動態數量情形是指“自上年1月1日起累計向境外提供超過10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息”，僅指數據出境的數量。當一個企業或者公共部門有跨境業務時，按照我國數字經濟的用戶規模，上述動態數量情形是極為容易達到的。因此，安全評估的適用情形實際上囊括了大多數日常的數字經濟中的數據出境活動。

其次，動態數量的情形由于其數量要求較低成為安全評估的常態，可能涉及海量的從事數據跨境業務的行政相對人，應基于數字經濟發展的考慮設置一定的救濟路徑。在消費、投資、外貿作為三駕馬車的中國經濟中，涉及數據跨境的不僅包括互聯網企業，也包括有跨境業務的傳統企業，以及保險、金融、醫院、高校等。在這種情況下，基于數字經濟發展應對的需要，為安全評估設置一定的救濟即成為必要。此外，安全評估是數據跨境的主要途徑，即使蘊含國家安全考量，也應更為明晰可預測，避免公眾對于具體行政行為“安全例外”濫用的憂慮。國家網信部門應盡快出臺評估指南，對評估中的各種程序環節事前作出安排，對評估標準如何落地作出具體規定，可以形成對裁量權行使的自我約束，此外應加強評估過程的透明度。

最后，不僅應區隔安全評估與安全審查，而且應明晰各個不同數據出境方式的適用情形，盡快實現數據出境制度的合理化與體系化。常理來說，適用于普遍數據跨境流動活動的安全評估與安全審查應有明確的區別。國家安全審查制度的優勢在于具有較強靈活性以應對國家安全的復雜性與不可預測性。數據出境安全評估則包含著安全考量也包含著個人信息保護考量，而個人信息權益保護的制度目的也可通過數據出境制度中的標準合同與認證制度實現。過于強調數據出境安全評估中的安全評估事項，可能造成制度適用場景的重合和制度比較優勢無法充分發揮的后果。

四、模式選擇二：以限縮解釋為中心的分析

如果將“最終結論”理解為復評結果僅僅是國家網信部門作出的最終結論，而非不可訴的行政終局行為，則面臨著更為嚴峻的行政復議與行政訴訟救濟的實質性困難。

（一）“最終結論”的限縮解釋

數據出境安全評估復評結果為“最終結論”的第二個可能解釋是對“最終結論”作出限縮性解釋，即最終結論并不指評估結論是行政終局行為，僅僅指復評結果是國家網信部門作出的最終結論，數據出境安全評估的相對人可以對數據出境安全評估的結果提起行政復議或行政訴訟進行救濟。通過對比《辦法》的征求意見稿和正式稿，《辦法》明確了評估不同環節的程序性要求，并增加了復評程序，意在為相對人提供更為明確的指引和一定的救濟路徑。一是《辦法》的正式稿明確了省級網信部門是接受申請的主體，且明確了省級網信部門完成完備性查驗的時間要求及材料補正程序，以及明確了該完備性查驗的時間是不計算在國家網信部門作出正式受理的時間之內的。二是《辦法》正式稿提供了申報材料不符合要求時的補正程序，明確了數據出境安全評估的完成時間期限為發出書面受理通知書之日起45日。三是《辦法》增加了數據處理者申請復評的權利，以及復評的法律效力。然而，在海量的數據出境安全評估涌來之后，《辦法》中較為粗略的規定必然面臨實踐中細化規則的要求。在大量的數據出境安全評估結果產生之后，當事人或存在尋求行政復議和行政訴訟救濟的較大需求。

（二）行政復議救濟的困境

假設數據出境安全評估可以行政復議救濟，有兩項突出優點：一是行政復議范圍遠大于行政訴訟，根據概括性條款，行政相對人認為行政機關的其他具體行政行為侵犯其合法權益的，也可以申請行政復議。二是行政復議向行政機關提起，而數據安全領域的爭議需要有管理經驗和專門知識方可判定，行政機關比法院更為適合從事糾紛解決的工作。但數據出境安全評估如可進行行政復議，則存在以下困境：

第一，數據出境安全評估如進行復議，缺乏層級監督關系，主要通過審查具體行政行為的合法性和適當性，為受到行政侵權的公民、法人和其他組織提供法律救濟。數據出境安全評估是由國家網信部門作出的具體行政行為，如果進行復議，是否仍由國家網信部門進行復議？國家網信部門作出的結論，不可能交給國務院，或者由本部門行政復議？根據《行政復議法》規定：“對國務院部門或者省、自治區、直轄市人民政府的具體行政行為不服的，向作出該具體行政行為的國務院部門或者省、自治區、直轄市人民政府申請復議。”在數據出境安全評估制度中，省級網信部門并不作出評估決定，其職責只是在時間要求內完成完備性查驗以及依照程序補正材料。數據出境安全評估仍由國家網信部門組織并作出評估決定。因此，如果可以申請行政復議，則應由相對人向國家網信部門申請行政復議。但經過了數據出境安全評估和復評，再次向國家網信部門申請復議，等于一個部門審查行政行為三次，是否具有實際意義？數據處理者對行政復議決定不服的，可以向人民法院提起行政訴訟；也可以向國務院申請裁決，國務院依照本法的規定作出最終裁決。但目前以數據出境安全評估可能產生的體量判斷，國務院很難專門設置部門和組織專業隊伍對數據出境安全評估作出最終決定。

第二，如果可以進行行政復議，數據出境安全評估與復評的關系如何？評估和復評應該作為一個行政行為還是兩個行政行為？我國法律存在類似的復評、復核制度。如公安部2008年《道路交通事故處理程序規定》規定，當事人對道路交通事故認定有異議的，可以在規定期限內書面提出復核申請；上一級公安機關交通管理部門應當予以審查，并作出復核結論。《中華人民共和國教師法》第39條規定，教師對學校或者其他教育機構侵犯其合法權益的，或者對學校或者其他教育機構作出的處理不服的，可以向教育行政部門提出申訴。在這些制度中，均是相對人向上一級行政機關提出復核、申訴，并不符合數據出境安全評估仍然向國家網信部門申請復評的情形。《辦法》也未提供數據出境安全評估的行政復議救濟路徑。因此，如相對人可以提起行政訴訟救濟，應將數據出境安全評估與復評作為一個整體的行政行為。

可以預見，未來對安全評估允許復議面臨著實質性的困難。國家網信部門并不適合同時作為作出評估決定和對評估決定復議的機關，國務院設置相關部門作為復議機關難以實現。

（三）司法救濟的實踐難題

司法審查也是傳統行政法的核心支柱，具有確保行政機關遵循立法機關的意志、避免行政機關被利益集團俘獲、促進行政決策的合理性、增進行政決策的透明度和保證公眾參與等制衡行政權力的功能。①但是，司法審查制度的確立、運轉多少會減損行政權的效率，這是不言而喻的事實。②因此數據出境安全評估如果可以申請司法救濟，也存在實踐中亟待解決的實際困難：

第一，專業性過強司法審查力有不逮。數據出境安全評估涉及專業數據安全、網絡安全知識，又涉及模糊的國家安全考量與不確定概念，世界各國均存在不同程度的專業力量不足問題。以歐盟為例，歐盟委員會即使擁有技術專長的官僚和高水平律師團隊，也無法準確認定“充分性認定”中需要確認的第三國立法的保護水平：歐洲人權法院往往也需要數年時間才能對監控案件作出判決；對于海量的數據工作，歐盟已有其他繁重任務、人手嚴重不足且對國家安全立法缺乏專業能力的數據保護機構無力應對。歐盟評估主體的“能力赤字”，使得“充分保護水平”的評估呈碎片化趨勢。③基于該數據評估的復雜性、專業性，司法機關存在實質審查上的困難。即使可以進行司法審查，法院應從司法實踐倫理出發，通過設定合法性標準與程序性義務對明顯具有不合理情形的評估結論作出甄別和判斷。第二，如果進行數據出境安全評估的司法審查，實際中的第三人制度如何實踐？我國《行政訴訟法》第29條規定：“同提起訴訟的具體行政行為有利害關系的公民、法人或其他組織，可以作為第三人申請參加訴訟，或者由人民法院通知參加訴訟。”如數據處理者向法院提起對國家網信部門的行政訴訟，涉及個人信息權益的第三人是否應被通知參加訴訟？“超過10萬人個人信息和1萬人個人敏感信息出境”也使得潛在的第三人數量過多，不可能實現行政訴訟第三人的訴訟制度。

因此，如果數據出境安全評估可以獲得后續的行政訴訟救濟，仍有實質性的現實困難。法院不能裁決安全評估決定的實質正當性，可能僅能就評估部門是否遵循了正當程序原則進行審查。由于安全評估具有國家安全考量，不應對安全評估結論作出實質性審查。但是，可以在司法審查層面考察程序的合法性，是否遵循了時限要求與透明度要求，這是具體行為行政正當程序的重要體現。

余論

數據出境安全評估與我國現有的諸多風險評估、影響評估、安全評估相比，在法律依據、評估主體、法律效果方面均具有一定獨特性。數據出境安全評估由法律設定并由規章設定具體規則，從法律性質的角度考察，并非國家行為、安全審查制度，因具備具體行政行為的實質性要素，法律屬性應為具體行政行為。作為一種具體行政行為，數據出境安全評估的復評結果為“最終結論”的法律含義是什么？不同的答案引向了不同的可能性。第一，如果“最終結論”的法律含義是數據出境安全評估是終局行為，不可進行行政復議和行政訴訟，《辦法》作為規章并無權限規定。數據出境安全評估基于國家安全例外成為行政終局行為，在法律系統內達成自洽仍需進行制度修改或擴張解釋。對于可能海量的常態化的基于動態數量的個人信息出境安全評估情形，應考慮提高安全評估透明度，出臺指南并提供一定的救濟路徑。第二，如果“最終結論”的法律含義是復評結論僅僅是國家網信部門作出最終結論，數據出境安全評估是一個可以復議可以訴訟的行政行為，則面臨復議與訴訟的實質性障礙。安全評估基于復議主體等問題應免于行政復議，但對于基于動態數量情形的個人信息出境安全評估，應允許對于程序正當性的司法審查。但司法審查專業力量不足的問題，以及行政訴訟中第三人制度如何實踐都有待進一步討論。

互聯網治理領域近年來的治理手段給傳統行政法理論提出了諸多挑戰，數據出境安全評估制度的救濟問題僅僅是管中窺豹。應對國家安全、網絡安全與數據安全的風險，各種安全審查、安全評估制度被廣泛應用，但其程序、權利義務、救濟方式大多缺乏詳細的法律規定。由于網絡安全與數據安全的特殊性，在政府采購、數據跨境、外資審查等大量領域存在國家安全例外，但其具體標準模糊，救濟路徑不明。隨著數字經濟的發展，這些規則將日益成為影響公民、法人的重要制度，亟待學界的進一步深入研究。

（責任編輯：王玎）