梅 傲 侯之帥

內(nèi)容提要 總體國家安全觀的誕生既給社會(huì)有序與人民幸福提供了堅(jiān)實(shí)保障，又為企業(yè)數(shù)據(jù)合規(guī)指引了新的方向。數(shù)據(jù)跨境流動(dòng)是數(shù)據(jù)治理的內(nèi)在動(dòng)因，亦是數(shù)據(jù)主權(quán)的重要影響因素。在此推動(dòng)下，我國的數(shù)據(jù)安全治理工作逐步展開并呈現(xiàn)出一定的發(fā)展規(guī)律。而各大數(shù)據(jù)規(guī)則的接連出臺，也為我國企業(yè)的數(shù)據(jù)合規(guī)工作提出了新的要求。從意識到行動(dòng)，由風(fēng)險(xiǎn)及成本，自規(guī)范至執(zhí)行，都是我國企業(yè)在“走出去”過程中所需解決的難題。我國企業(yè)應(yīng)把握總體國家安全觀中“內(nèi)外統(tǒng)一”的思想精髓，從內(nèi)向性、外向性、自驅(qū)性三個(gè)維度科學(xué)探索跨境數(shù)據(jù)合規(guī)路徑；有破有立，內(nèi)外統(tǒng)一，攻防轉(zhuǎn)化，以全新的姿態(tài)在跨境數(shù)據(jù)流動(dòng)工作中迎接總體國家安全觀的層層考驗(yàn)，全面突破“走出去”進(jìn)程中的三大挑戰(zhàn)。

一、問題起源：行業(yè)熱點(diǎn)案例折射出的數(shù)據(jù)安全爭議

黨的二十大報(bào)告強(qiáng)調(diào)：國家安全是民族復(fù)興的根基，社會(huì)穩(wěn)定是國家強(qiáng)盛的前提。增強(qiáng)維護(hù)國家安全能力，確保糧食、能源資源重要產(chǎn)業(yè)鏈供應(yīng)鏈安全，維護(hù)我國公民、法人在海外合法權(quán)益，筑牢國家安全人民防線。數(shù)據(jù)安全作為總體國家安全觀框架體系中的一個(gè)重要組成部分，近年來得到了多部法律法規(guī)的保障和支持。在這一理念下，國家逐漸加強(qiáng)對各企業(yè)數(shù)據(jù)的安全審查，致力于由快速發(fā)展向高質(zhì)量發(fā)展轉(zhuǎn)變。企業(yè)在加快數(shù)據(jù)跨境流通的同時(shí)，也必然給數(shù)據(jù)安全帶來了一定風(fēng)險(xiǎn)?！暗蔚问录钡陌l(fā)生，正是總體國家安全觀之理想照進(jìn)數(shù)據(jù)行業(yè)之現(xiàn)實(shí)的具體體現(xiàn)，亟須企業(yè)動(dòng)態(tài)研判數(shù)據(jù)風(fēng)險(xiǎn)。

2021年7月2日至7月9日，出于保護(hù)國家數(shù)據(jù)安全之目的，國家網(wǎng)信辦連續(xù)發(fā)布3項(xiàng)公告，對“滴滴”實(shí)行網(wǎng)絡(luò)安全審查等系列措施。網(wǎng)信辦做出此決定的原因有二：一方面，“滴滴”跨境數(shù)據(jù)流動(dòng)涉及國家安全?！暗蔚巍痹趪鴥?nèi)運(yùn)營過程中搜集了大量數(shù)據(jù)，其中包含有關(guān)國家發(fā)展的公務(wù)數(shù)據(jù)。依托龐大的數(shù)據(jù)庫，“滴滴”可以勾勒出各城市的交通等基礎(chǔ)設(shè)施發(fā)展?fàn)顩r，這些信息可折射出經(jīng)濟(jì)社會(huì)發(fā)展?fàn)顩r，最終可能演化為國家安全數(shù)據(jù)信息。另一方面，“滴滴”跨境數(shù)據(jù)流動(dòng)給數(shù)據(jù)安全帶來了巨大威脅。2020年美國通過的《外國公司問責(zé)法案》要求在本土上市的外國公司履行信息披露義務(wù)，否則將禁止上市。由此，“滴滴”于美國上市后，在規(guī)則及執(zhí)法壓力下可能被迫交出審計(jì)底稿及關(guān)乎國家主權(quán)的部分?jǐn)?shù)據(jù)，進(jìn)而危及我國國家安全與公共利益。

從應(yīng)用人工智能技術(shù)提升求職招聘效率的“BOSS直聘”，到利用互聯(lián)網(wǎng)打造中國最大的公路物流平臺“貨車幫”，再到基于大數(shù)據(jù)開發(fā)的貨運(yùn)調(diào)度平臺“運(yùn)滿滿”，國家安全審查已逐漸成為互聯(lián)網(wǎng)企業(yè)跨境上市的一大關(guān)口，數(shù)據(jù)監(jiān)管與治理變革如火如荼。在總體國家安全觀背景下，上述問題已然成為企業(yè)“走出去”過程中數(shù)據(jù)治理的核心命題。

二、溯本求源：總體國家安全觀視域下跨境數(shù)據(jù)治理的動(dòng)因及現(xiàn)狀

當(dāng)今國際數(shù)據(jù)治理朝著立法愈加完善、執(zhí)法更為嚴(yán)格的方向發(fā)展[1]梅傲、侯之帥：《互聯(lián)網(wǎng)企業(yè)跨境數(shù)據(jù)合規(guī)的困境及中國應(yīng)對》，《中國行政管理》2021年第6期。。在總體國家安全觀的指導(dǎo)下，我國跨境數(shù)據(jù)，順應(yīng)國際數(shù)據(jù)治理潮流，正逐步完善?？缇硵?shù)據(jù)治理的主要?jiǎng)右蛟谟谖覈鴶?shù)據(jù)行業(yè)發(fā)展迅速，數(shù)據(jù)跨境流通與國家安全息息相關(guān)。通過不斷摸索，我國對企業(yè)的跨境數(shù)據(jù)治理已取得明顯成效，并呈現(xiàn)出一定的發(fā)展規(guī)律。

1.企業(yè)跨境數(shù)據(jù)流動(dòng)對國家安全的多重影響

其一，企業(yè)跨境數(shù)據(jù)流動(dòng)是重塑數(shù)據(jù)主權(quán)的動(dòng)力源泉。從當(dāng)前世界各國數(shù)據(jù)立法情況來看，主權(quán)者的意志在跨境數(shù)據(jù)流動(dòng)內(nèi)容中都得到了一定體現(xiàn)。在以歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）為代表的數(shù)據(jù)規(guī)范中，主權(quán)者創(chuàng)建了嚴(yán)格的數(shù)據(jù)跨境流動(dòng)限制規(guī)則，事先明確數(shù)據(jù)流動(dòng)基本原則及各方主體權(quán)利義務(wù)，對后續(xù)具體情境中的數(shù)據(jù)流動(dòng)實(shí)現(xiàn)間接規(guī)制，數(shù)據(jù)主權(quán)意志在抽象的規(guī)則中得到表達(dá)[2]A.Chander,Uyen P.Le,"Data Nationalism",Emory Law Journal,2015,64,pp.677-739.。同時(shí)，強(qiáng)制要求數(shù)據(jù)本地化存儲為數(shù)據(jù)主權(quán)的直接表達(dá)方式。無邊界的虛擬數(shù)據(jù)被限制在一國的領(lǐng)土范圍內(nèi)，從而依據(jù)屬地管轄被納入國家治理中[3]劉天嬌：《數(shù)據(jù)主權(quán)與長臂管轄的理論分野與實(shí)踐沖突》，《環(huán)球法律評論》2020年第2期。。而在該種模式下，維護(hù)國家數(shù)據(jù)主權(quán)在數(shù)據(jù)流動(dòng)中居于重要位置。

其二，企業(yè)跨境數(shù)據(jù)流動(dòng)是事關(guān)家國穩(wěn)定的重要因素。在經(jīng)濟(jì)全球化、交易平臺網(wǎng)絡(luò)化的大背景下，企業(yè)在跨境貿(mào)易過程中頻繁的數(shù)據(jù)流動(dòng)給國家安全帶來了巨大威脅。近年來，全球性數(shù)據(jù)泄露事件頻頻出現(xiàn)，不僅造成了極大的經(jīng)濟(jì)破壞，也為家國安定帶來了巨大挑戰(zhàn)。企業(yè)的跨境數(shù)據(jù)體量更大，具有“批量性”。雖然出境數(shù)據(jù)單獨(dú)承載的信息有限，但多源信息融合技術(shù)的存在使得海量數(shù)據(jù)能夠有效拼接，原本不會(huì)威脅國家安全的個(gè)體數(shù)據(jù)從而具備了泄露國家機(jī)密的可能性。同時(shí)，犯罪集團(tuán)的數(shù)據(jù)竊取技術(shù)日漸高超，其利用移動(dòng)設(shè)備的GPS等定位服務(wù)跟蹤用戶情況，甚至通過蜂窩基站、熱點(diǎn)等收集未經(jīng)授權(quán)的離線數(shù)據(jù)，進(jìn)而使之成為后續(xù)電信網(wǎng)絡(luò)詐騙針對性投放的信息來源。此外，鑒于數(shù)據(jù)立法的差異性，跨境數(shù)據(jù)流動(dòng)可能成為企業(yè)規(guī)避法律約束的重要手段。如今許多上市主體在海外注冊，利用證監(jiān)會(huì)審批程序缺口，隱藏成為掌握國家核心數(shù)據(jù)的關(guān)鍵信息基礎(chǔ)設(shè)施的敏感身份，最終實(shí)現(xiàn)海外上市的目的。

2.總體國家安全觀下跨境數(shù)據(jù)治理的現(xiàn)狀

（1）數(shù)據(jù)安全在多部數(shù)據(jù)規(guī)范中得到體現(xiàn)

2016年《網(wǎng)絡(luò)安全法》的頒布正式開啟了我國網(wǎng)絡(luò)安全立法的先河，此后各類網(wǎng)絡(luò)數(shù)據(jù)法律法規(guī)被接連頒布。如今我國關(guān)于個(gè)人數(shù)據(jù)保護(hù)的法律法規(guī)接近70部，部門規(guī)章近200部，為數(shù)據(jù)安全提供了強(qiáng)有力的保障。

第一，內(nèi)容相對完備，數(shù)據(jù)流通規(guī)定嚴(yán)密?？傮w而言，跨境數(shù)據(jù)流動(dòng)主要由《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》進(jìn)行原則性規(guī)定，《個(gè)人信息出境安全評估辦法》（以下簡稱《評估辦法》）予以具化與落實(shí)?！稊?shù)據(jù)安全法》第31條對各部法律的適用對象予以區(qū)分，《網(wǎng)絡(luò)安全法》主要針對國家公共通信等重要行業(yè)和領(lǐng)域，統(tǒng)稱其為關(guān)鍵信息基礎(chǔ)設(shè)施部門，而針對其他數(shù)據(jù)處理者的跨境流通問題的法律法規(guī)則由國家網(wǎng)信部門會(huì)同國務(wù)院另行制定。數(shù)據(jù)類型不同，對應(yīng)的數(shù)據(jù)流動(dòng)規(guī)則亦存在差別。同時(shí)，針對《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》原則性條款過多的問題，網(wǎng)信辦等部門亦出臺了一系列規(guī)章予以細(xì)化。比如對于數(shù)據(jù)出境流程問題，《評估辦法》從權(quán)責(zé)內(nèi)容到評估手續(xù)，再到禁止事項(xiàng)，都提供了較好的行為規(guī)范。再如，針對部分行業(yè)數(shù)據(jù)存在的專業(yè)性、特殊性問題，相關(guān)部門陸續(xù)出臺了《汽車數(shù)據(jù)安全管理若干規(guī)定》等予以細(xì)化?，F(xiàn)行法與尚未通過的法案在遵循“保障國家安全”的大原則下，建立了一套“由上至下”的數(shù)據(jù)跨境流通制度。隨著各類規(guī)則、辦法的施行，未來數(shù)據(jù)跨境傳輸制度將朝著更為嚴(yán)密的方向發(fā)展。

第二，與國際接軌，全力保障國家安全。以中國和東盟國家為代表的發(fā)展中國家，通過“一帶一路”等一系列合作構(gòu)建數(shù)字領(lǐng)域的多元共治方案，打破歐美單邊主導(dǎo)的數(shù)據(jù)治理格局。國家安全在RCEP等條約中得到重視。根據(jù)RCEP第12章第15條，雖然數(shù)據(jù)自由流動(dòng)得到了大力支持，但RCEP將締約國的基本安全利益置于首要位置，即RCEP更關(guān)注安全的數(shù)據(jù)流動(dòng)。同時(shí)，“長臂管轄”的阻斷適用保障國家安全。部分國家不斷擴(kuò)大本國數(shù)據(jù)法案的適用外延，為我國企業(yè)帶來了極大的合規(guī)難題。如美國CLOUD法案規(guī)定美國政府有權(quán)要求數(shù)據(jù)服務(wù)提供者保存、備份、披露其所擁有、控制的境內(nèi)外數(shù)據(jù)；歐盟GDPR第1章第3條亦將其適用范圍擴(kuò)大至歐盟境內(nèi)外的數(shù)據(jù)控制者及處理者。這意味著我國企業(yè)不論身處何地，只要在歐美境內(nèi)有數(shù)據(jù)業(yè)務(wù)，抑或?yàn)闅W美公民提供數(shù)據(jù)服務(wù)，都將受到其法案的規(guī)制，合規(guī)風(fēng)險(xiǎn)大大提高。我國《數(shù)據(jù)安全法》第36條規(guī)定了“非經(jīng)中華人民共和國主管機(jī)關(guān)批準(zhǔn)”不得向境外執(zhí)法或司法機(jī)構(gòu)提供境內(nèi)數(shù)據(jù)，并設(shè)置了相關(guān)的違法懲戒措施，有效應(yīng)對了“長臂管轄”的濫用問題。此外，商務(wù)部頒布的《阻斷外國法律與措施不當(dāng)域外適用辦法》是基于維護(hù)國家安全、主權(quán)、發(fā)展利益的目的，既保護(hù)了國家數(shù)據(jù)主權(quán)與安全，亦為我國企業(yè)發(fā)展數(shù)據(jù)業(yè)務(wù)提供了堅(jiān)實(shí)的法律保障。

（2）數(shù)據(jù)安全在跨境執(zhí)法機(jī)制中得到保障

在國際層面，數(shù)據(jù)執(zhí)法普遍得到各國的重視。為維護(hù)國家數(shù)據(jù)主權(quán)、切實(shí)保障數(shù)據(jù)法案的落地實(shí)施，在101個(gè)有個(gè)人數(shù)據(jù)保護(hù)法的國家中，設(shè)立了獨(dú)立個(gè)人數(shù)據(jù)保護(hù)機(jī)構(gòu)的便有75個(gè)。如根據(jù)GDPR之規(guī)定，歐盟成員國便負(fù)有設(shè)立國家數(shù)據(jù)保護(hù)機(jī)構(gòu)（DAPs）及任命數(shù)據(jù)保護(hù)主管（EDPS）的義務(wù)，全面維護(hù)本國數(shù)據(jù)安全。而CNIL對Google的處罰也證實(shí)了其執(zhí)法標(biāo)準(zhǔn)的嚴(yán)格程度。再如美國針對地方執(zhí)法力度分散的現(xiàn)象，通過聯(lián)邦層面統(tǒng)一國家隱私立法實(shí)行中央集中執(zhí)法體制，使得國家安全在執(zhí)法層面得到有效保障。

在國內(nèi)層面，我國形成了多主體協(xié)同執(zhí)法機(jī)制。受國際數(shù)據(jù)執(zhí)法趨勢之影響，為了更好地保護(hù)國家安全，近年來我國亦在一系列數(shù)據(jù)規(guī)則中不斷完善數(shù)據(jù)執(zhí)法機(jī)制。根據(jù)《網(wǎng)絡(luò)安全法》第8條，如今我國形成了“國家網(wǎng)信辦主導(dǎo)，電信主管部門、公安部門、市場監(jiān)管部門協(xié)同”的執(zhí)法機(jī)制。在《個(gè)人信息保護(hù)法》中進(jìn)一步細(xì)化了數(shù)據(jù)執(zhí)法主體，個(gè)人信息保護(hù)和監(jiān)督管理的執(zhí)法主體具體到縣級地方人民政府。在“滴滴事件”中，國家網(wǎng)信辦等七部門共同開展網(wǎng)絡(luò)安全審查，協(xié)同執(zhí)行數(shù)據(jù)規(guī)則。通過多部門的通力合作，將數(shù)據(jù)審查切割成若干份執(zhí)法工作，既確保了數(shù)據(jù)審查工作的細(xì)致進(jìn)行，保障了國家安全，又緩解了海量數(shù)據(jù)執(zhí)法壓力，為企業(yè)數(shù)據(jù)跨境安全流動(dòng)保駕護(hù)航。

三、窮本極源：總體國家安全觀下企業(yè)跨境數(shù)據(jù)合規(guī)的困境

隨著網(wǎng)絡(luò)數(shù)據(jù)與國家安全、地緣政治、產(chǎn)業(yè)競爭、網(wǎng)絡(luò)主權(quán)等議題關(guān)聯(lián)度的不斷提升，其跨境流動(dòng)問題也日益成為各國政策博弈的重要戰(zhàn)場[1]張龑：《網(wǎng)絡(luò)空間安全立法的雙重基礎(chǔ)》，《中國社會(huì)科學(xué)》2021年第10期。?！暗蔚问录闭侵忻罃?shù)據(jù)主權(quán)爭奪這一隱因在企業(yè)跨境實(shí)踐上的顯著映照。在總體國家安全觀愈發(fā)成熟的時(shí)代背景下，行動(dòng)意識低、安全風(fēng)險(xiǎn)多、雙向合規(guī)難，已成為我國企業(yè)在“走出去”過程中面臨的三大挑戰(zhàn)，這彰顯出數(shù)據(jù)安全是當(dāng)今我國企業(yè)數(shù)據(jù)合規(guī)的核心要義。

1.從意識到行動(dòng)：數(shù)據(jù)跨境流動(dòng)中安全保障的缺乏

網(wǎng)絡(luò)技術(shù)與法律規(guī)范雖共同筑起了保障數(shù)據(jù)安全的雙重屏障，但防不勝防的數(shù)據(jù)隱患將企業(yè)推向更為未知的深淵?！?021安永全球信息安全調(diào)查報(bào)告（GISS）》（以下簡稱“GISS2021”）顯示，疫情背景下高破壞性且高復(fù)雜度的網(wǎng)絡(luò)攻擊數(shù)量大幅增長，67%的公司在過去一年中遭受的網(wǎng)絡(luò)攻擊數(shù)量有所增加，但網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的預(yù)算十分有限，我國受訪企業(yè)中不確定其網(wǎng)絡(luò)安全保護(hù)體系是否能夠抵御黑客攻擊的比例高達(dá)75%。不論是意識層面還是行動(dòng)層面，企業(yè)在跨境數(shù)據(jù)流動(dòng)中都缺乏足夠的安全保障。

（1）尚未認(rèn)識到后疫情時(shí)代數(shù)據(jù)安全的特殊性

一是線上工作模式下數(shù)據(jù)存量的增加。新冠肺炎疫情的出現(xiàn)為企業(yè)線下運(yùn)營帶來了巨大困難，而各大企業(yè)也面向客戶推出了支持遠(yuǎn)程服務(wù)的網(wǎng)絡(luò)技術(shù)工具，繼應(yīng)用移動(dòng)端之后更大程度地挖掘了網(wǎng)絡(luò)市場的深層疆域。各公司將掌握更為龐大的用戶數(shù)據(jù)，保護(hù)網(wǎng)絡(luò)安全的壓力也隨之增大。而很多企業(yè)疏于將網(wǎng)絡(luò)安全納入決策流程，導(dǎo)致新的數(shù)據(jù)漏洞存在于運(yùn)行系統(tǒng)，給數(shù)據(jù)安全帶來巨大威脅。

二是網(wǎng)絡(luò)攻擊手段具有多樣性與復(fù)雜性?！癎ISS2021”顯示，威脅者已采用新策略，企業(yè)網(wǎng)絡(luò)被攻擊數(shù)量升至峰值。僅2020年至2021年，破壞性網(wǎng)絡(luò)攻擊的數(shù)量便增加了18%。同時(shí)，網(wǎng)絡(luò)攻擊的傷害也相應(yīng)增大。僅有33%的受訪者表示有信心使供應(yīng)鏈保持適當(dāng)?shù)姆€(wěn)固性或無懈可擊。如在2020年，攻擊者通過創(chuàng)新型供應(yīng)鏈攻擊滲透到SolarWinds并隱蔽存在數(shù)月，給社會(huì)經(jīng)濟(jì)及企業(yè)數(shù)據(jù)帶來了極大損失。

（2）企業(yè)數(shù)據(jù)處理流程中缺乏安全保障行動(dòng)

總體國家安全觀下的數(shù)據(jù)安全旨在實(shí)現(xiàn)各個(gè)數(shù)據(jù)環(huán)節(jié)的具體安全。從數(shù)據(jù)采集到數(shù)據(jù)分析，再到數(shù)據(jù)存儲、數(shù)據(jù)服務(wù)，無不體現(xiàn)著個(gè)人安全在所有數(shù)據(jù)活動(dòng)中的核心地位。

由于數(shù)據(jù)主體與數(shù)據(jù)處理者地位長期存在不平衡問題，作為數(shù)據(jù)主體的個(gè)人在數(shù)據(jù)處理過程中的參與度極低[2]梅傲、蘇建維：《數(shù)據(jù)治理中“打包式”知情同意模式的再檢視》，《情報(bào)雜志》2020年第2期。。也正因此，許多企業(yè)在數(shù)據(jù)活動(dòng)中并未注重涵蓋數(shù)據(jù)全生命周期的行為規(guī)范性。在總體國家安全觀的時(shí)代背景下，這種由“算法霸權(quán)”思維慣性導(dǎo)致的惰性行為早已失去時(shí)代生命力，甚至?xí)o企業(yè)帶來數(shù)據(jù)合規(guī)的風(fēng)險(xiǎn)。近些年來，企業(yè)違規(guī)使用數(shù)據(jù)招致行政處罰的行業(yè)事件頻頻出現(xiàn)，正是因?yàn)槠髽I(yè)在數(shù)據(jù)處理流程中安全意識滯后而導(dǎo)致安全保障行動(dòng)缺失。

此外，救濟(jì)保障機(jī)制亦是當(dāng)前企業(yè)數(shù)據(jù)安全體系中缺少的一環(huán)，亟須建立與完善。在用戶層面，救濟(jì)保障機(jī)制下，其不僅能夠在數(shù)據(jù)風(fēng)險(xiǎn)發(fā)生后第一時(shí)間啟動(dòng)應(yīng)急保護(hù)方案，切實(shí)保護(hù)數(shù)據(jù)主體的信息安全，還能回應(yīng)總體國家安全觀下“以人民為中心”的數(shù)據(jù)安全要求；在企業(yè)層面，救濟(jì)途徑的建立有助于企業(yè)減少因違規(guī)事件帶來的損失。救濟(jì)保障機(jī)制的建立，將大大降低企業(yè)面對違規(guī)事件的風(fēng)險(xiǎn)抵御能力。

2.由風(fēng)險(xiǎn)及成本：數(shù)據(jù)合規(guī)難度不斷加大

在愈發(fā)復(fù)雜的網(wǎng)絡(luò)叢林中，識別安全風(fēng)險(xiǎn)及應(yīng)對監(jiān)管審查已成為企業(yè)數(shù)據(jù)合規(guī)工作的兩項(xiàng)重要內(nèi)容。

內(nèi)外部風(fēng)險(xiǎn)的不斷增多，是企業(yè)在數(shù)據(jù)安全保障工作中難以逾越的一道屏障。一方面，企業(yè)內(nèi)部風(fēng)險(xiǎn)是數(shù)據(jù)泄露的重要原因。如今許多企業(yè)通過各種移動(dòng)客戶端實(shí)現(xiàn)隨時(shí)隨地的信息交換和通信交流，員工通過APP及小程序共享文件，有效提高了工作效率。但傳輸和存儲數(shù)據(jù)的不同載體及數(shù)據(jù)信息的自由訪問操作，成為數(shù)據(jù)泄露、商業(yè)秘密竊取等問題的罪魁禍?zhǔn)譡1]王倩、顧雪瑩：《GDPR下涉歐企業(yè)的員工個(gè)人數(shù)據(jù)合規(guī)管理》，《德國研究》2021年第2期。。加之開放經(jīng)濟(jì)時(shí)代企業(yè)的員工流動(dòng)性較大，企業(yè)內(nèi)部數(shù)據(jù)安全面臨著更大風(fēng)險(xiǎn)。另一方面，企業(yè)外部風(fēng)險(xiǎn)是數(shù)據(jù)安全的重要威脅。從層出不窮的黑客攻擊，到對外合作中向第三方機(jī)構(gòu)開放的數(shù)據(jù)訪問權(quán)，再到跨境交易中對象國嚴(yán)苛的披露義務(wù)，這些外部風(fēng)險(xiǎn)均對企業(yè)的數(shù)據(jù)流向追蹤、安全監(jiān)控及溯源調(diào)查能力提出了極高的要求。

數(shù)據(jù)風(fēng)險(xiǎn)的不斷增多，也愈加引起公權(quán)機(jī)關(guān)的警惕與監(jiān)管，企業(yè)數(shù)據(jù)合規(guī)的義務(wù)及成本亦隨之增大。多部數(shù)據(jù)法的新設(shè)權(quán)利需要企業(yè)付出大量成本。以《個(gè)人信息保護(hù)法》為核心的數(shù)據(jù)信息權(quán)體系，不僅延長了數(shù)據(jù)保護(hù)的生命周期，還為用戶創(chuàng)設(shè)了知情權(quán)、拒絕權(quán)、更正權(quán)等大批創(chuàng)新型權(quán)利，增加了企業(yè)的義務(wù)、負(fù)擔(dān)。同時(shí)，“多頭監(jiān)管”亦是信息安全團(tuán)隊(duì)面臨的合規(guī)難題之一。如今我國《數(shù)據(jù)安全法》確立了以國家網(wǎng)信辦為主導(dǎo)的數(shù)據(jù)安全監(jiān)管體系，實(shí)施數(shù)據(jù)安全執(zhí)法工作；而其他各權(quán)力主體亦出臺了各自的工作規(guī)范。這意味著企業(yè)的合規(guī)事項(xiàng)更多、違規(guī)成本更高。

3.自規(guī)范至執(zhí)行：雙向合規(guī)壓力下跨境數(shù)據(jù)傳輸受阻

全球數(shù)據(jù)立法為企業(yè)跨境數(shù)據(jù)傳輸帶來了較大難題。主權(quán)國家在參與全球數(shù)據(jù)治理進(jìn)程中積極行使數(shù)據(jù)主權(quán)，穩(wěn)步推進(jìn)數(shù)據(jù)立法，進(jìn)而形成了傳輸標(biāo)準(zhǔn)不一、復(fù)雜規(guī)則林立的局面。而在全球數(shù)據(jù)統(tǒng)一規(guī)則尚未建立的當(dāng)下，各有特色的國內(nèi)法作為個(gè)人數(shù)據(jù)跨境傳輸規(guī)則的主要法律淵源，勢必對依賴跨境數(shù)據(jù)流動(dòng)的產(chǎn)業(yè)分布及發(fā)展形成阻力[2]齊湘泉、文媛怡：《構(gòu)建“一帶一路”個(gè)人數(shù)據(jù)跨境傳輸法律制度：分歧、共識與合作路徑》，《河南師范大學(xué)學(xué)報(bào)（哲學(xué)社會(huì)科學(xué)版）》2019年第6期。。而各類政治組織、人權(quán)組織對跨境數(shù)據(jù)治理的介入，使得數(shù)據(jù)行業(yè)發(fā)展從私權(quán)與產(chǎn)業(yè)的平衡與競爭上升到社會(huì)安全與國家安全的高度，進(jìn)一步增加了跨境數(shù)據(jù)流動(dòng)的復(fù)雜性[3]高山行、劉偉奇：《數(shù)據(jù)跨境流動(dòng)規(guī)制及其應(yīng)對——對〈網(wǎng)絡(luò)安全法〉第三十七條的討論》，《西安交通大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版）》2017年第2期。。

各國數(shù)據(jù)規(guī)范的落地施行，使得我國“走出去”企業(yè)“雙向合規(guī)”的壓力陡增。企業(yè)不僅要遵守國內(nèi)相關(guān)規(guī)范完成數(shù)據(jù)出境手續(xù)，亦需應(yīng)對東道國的業(yè)務(wù)要求，披露必要的數(shù)據(jù)內(nèi)容[4]許多奇：《論跨境數(shù)據(jù)流動(dòng)規(guī)制企業(yè)雙向合規(guī)的法治保障》，《東方法學(xué)》2020年第2期。。不論是“滴滴”公司事件，還是2014中國四大會(huì)計(jì)師事務(wù)所在美國所遭受的暫停業(yè)務(wù)處罰，均體現(xiàn)了“雙向合規(guī)”壓力下我國“走出去”企業(yè)所面臨的嚴(yán)峻風(fēng)險(xiǎn)。此外，以數(shù)據(jù)安全保護(hù)為名的貿(mào)易壁壘，也成為外國阻礙我國新興技術(shù)對外發(fā)展的創(chuàng)新手段[5]馮碩：《TikTok被禁中的數(shù)據(jù)博弈與法律回應(yīng)》，《東方法學(xué)》2021年第1期。。此類因他國濫用安全政策催生的合規(guī)難題，是我國企業(yè)與“數(shù)據(jù)安全”這一時(shí)代命題相互較量的另一戰(zhàn)場。

四、正本清源：總體國家安全觀下企業(yè)跨境數(shù)據(jù)合規(guī)的應(yīng)對

總體國家安全觀以我國“大安全”為方針理念，旨在構(gòu)建普遍安全的人類命運(yùn)共同體，其注重各類安全內(nèi)容的動(dòng)態(tài)聯(lián)系、內(nèi)部安全與外部安全的互聯(lián)互通[1]李建偉：《總體國家安全觀的理論要義闡釋》，《政治與法律》2021年第10期。。此次“滴滴”公司被多部門聯(lián)動(dòng)整治的內(nèi)在動(dòng)因，便是其在數(shù)據(jù)跨境流動(dòng)中忽視了國家安全這一內(nèi)部要素。在安全價(jià)值日益凸顯的當(dāng)下，面對跨境數(shù)據(jù)合規(guī)的三大困境，我國企業(yè)應(yīng)把握總體國家安全觀中“內(nèi)外統(tǒng)一”的思想精髓，從內(nèi)向性、外向性、自驅(qū)性3個(gè)維度科學(xué)探索跨境數(shù)據(jù)合規(guī)路徑。

1.內(nèi)向性路徑：以人為本，構(gòu)建數(shù)據(jù)合規(guī)體系

（1）全流程的數(shù)據(jù)保護(hù)體系

《個(gè)人信息保護(hù)法》中關(guān)于個(gè)人信息處理者適用過錯(cuò)推定原則、個(gè)人信息執(zhí)法部門在執(zhí)法活動(dòng)時(shí)擁有查閱權(quán)等相關(guān)規(guī)定，均體現(xiàn)了我國信息保護(hù)思想由“登記注冊制”向“問責(zé)制”的轉(zhuǎn)變[2]中國信息通信研究院互聯(lián)網(wǎng)法律研究中心：《個(gè)人信息保護(hù)立法研究》，中國法制出版社2021年版，第295—300頁。?！秱€(gè)人信息保護(hù)法》第51條及《網(wǎng)絡(luò)安全法》第21條均規(guī)定，企業(yè)應(yīng)防止個(gè)人信息的泄露、篡改及丟失，制定數(shù)據(jù)操作規(guī)程等內(nèi)部管理制度。《數(shù)據(jù)安全法》第27條亦明確，企業(yè)應(yīng)當(dāng)建立健全全流程數(shù)據(jù)安全管理制度。結(jié)合國家《信息安全技術(shù)個(gè)人信息安全規(guī)范》（以下簡稱“《安全規(guī)范》”）的規(guī)定，全流程的數(shù)據(jù)保護(hù)應(yīng)涵蓋以下方面。

第一，數(shù)據(jù)接入階段的數(shù)據(jù)搜集與告知。企業(yè)在搜集數(shù)據(jù)的過程中應(yīng)遵循合法、正當(dāng)、必要的原則。首先，在目的性上，企業(yè)應(yīng)制定個(gè)人信息保護(hù)政策并向用戶告知，具體包含搜集、使用數(shù)據(jù)的目的、方式和范圍，其所具備的數(shù)據(jù)安全能力及采取的安全保護(hù)措施等，以尋求用戶的授權(quán)同意。其次，在自愿性上，企業(yè)應(yīng)尊重用戶的選擇意愿，保證多項(xiàng)業(yè)務(wù)功能的自主選擇，避免打包式同意及因用戶拒絕特定業(yè)務(wù)而降低整體服務(wù)質(zhì)量的情形出現(xiàn)。最后，在透明性上，企業(yè)既要追求告知信息的真實(shí)準(zhǔn)確、清晰易懂，又要保證信息獲取途徑易于訪問，確保信息披露義務(wù)履行。

第二，數(shù)據(jù)處理階段的數(shù)據(jù)存儲與分析。企業(yè)數(shù)據(jù)存儲期限應(yīng)限制在個(gè)人數(shù)據(jù)授權(quán)使用目的所需的最短時(shí)間內(nèi)，期限超過之后應(yīng)征求用戶做出新的同意表示，讓知情同意處于動(dòng)態(tài)的環(huán)境中。同時(shí)，企業(yè)應(yīng)對用戶數(shù)據(jù)進(jìn)行去標(biāo)識化處理，并根據(jù)國家密碼管理標(biāo)準(zhǔn)采取加密等技術(shù)措施以確保數(shù)據(jù)安全。

第三，數(shù)據(jù)共享階段的產(chǎn)品應(yīng)用及保障。首先，在產(chǎn)品正式發(fā)布前，應(yīng)提前評估個(gè)人信息安全影響并形成個(gè)人信息安全影響評估報(bào)告，預(yù)判個(gè)人數(shù)據(jù)使用的潛在風(fēng)險(xiǎn)。其次，在產(chǎn)品投入使用中，應(yīng)針對可能發(fā)生的個(gè)人信息安全事件制定應(yīng)急預(yù)案，并通過應(yīng)急演練等方式掌握必要的應(yīng)急方法。最后，在數(shù)據(jù)安全事件發(fā)生后，全面記錄事件內(nèi)容并及時(shí)上報(bào)執(zhí)法部門。通過細(xì)化數(shù)據(jù)處理流程中的安全措施，為用戶數(shù)據(jù)提供可靠的安全保障。

（2）全面型的法律研判體系

第一，企業(yè)應(yīng)依法進(jìn)行數(shù)據(jù)分類，明確數(shù)據(jù)類型及所屬行業(yè)。一方面，依法進(jìn)行數(shù)據(jù)分類。目前數(shù)據(jù)分類分級保護(hù)制度在《數(shù)據(jù)安全法》等相關(guān)規(guī)定中得到充分肯定。在國家分類保護(hù)愈加精細(xì)的安全趨勢下，企業(yè)進(jìn)行數(shù)據(jù)分類并根據(jù)類別采取不同的安全措施不僅是其法定義務(wù)，亦是數(shù)據(jù)出境的必經(jīng)環(huán)節(jié)。企業(yè)應(yīng)根據(jù)《安全規(guī)范》附錄B的相關(guān)標(biāo)準(zhǔn)，做好個(gè)人敏感信息及一般信息的區(qū)分工作，完成敏感信息出境報(bào)備及用戶告知等相關(guān)出境手續(xù)。另一方面，明確數(shù)據(jù)所屬行業(yè)。如今各領(lǐng)域根據(jù)本行業(yè)的特殊性，制定了許多數(shù)據(jù)守則，其規(guī)定了更為專業(yè)、細(xì)致的合規(guī)標(biāo)準(zhǔn)，值得企業(yè)重視。

第二，立足“雙向”法律，利用法律規(guī)則轉(zhuǎn)守為攻。在各國數(shù)據(jù)主權(quán)爭奪愈加白熱化的趨勢下，未來各國對于數(shù)據(jù)安全審查的要求將會(huì)更為嚴(yán)格。在快速的數(shù)據(jù)安全法律變革中，企業(yè)如若合理利用規(guī)則將能緩解當(dāng)前的合規(guī)窘境。企業(yè)既要加強(qiáng)出口國法律文本研析，及時(shí)跟進(jìn)規(guī)則變動(dòng)，也要善于研究糾紛解決方式，堅(jiān)決維護(hù)應(yīng)有權(quán)益。各國對于數(shù)據(jù)保護(hù)和安全等領(lǐng)域的觀點(diǎn)取向各有特點(diǎn)[1]王銳：《對外投資中的數(shù)據(jù)法律責(zé)任及其風(fēng)險(xiǎn)防范》，《政法論叢》2019年第4期。。企業(yè)在提高內(nèi)部安全合規(guī)水平的同時(shí)，亦須順應(yīng)各國司法、執(zhí)法特點(diǎn)，提出合理抗辯。特別是許多普通法系國家，通過司法判決細(xì)化了數(shù)據(jù)法案的認(rèn)定標(biāo)準(zhǔn)。此前TikTok面對多國不合理封禁使用多重武器，起訴美國政府使得禁令得以暫緩執(zhí)行；而通過與印尼政府溝通并接受公權(quán)審核小組介入監(jiān)督等方式，使得印尼政府最終撤銷行政禁令。

（3）全球化的風(fēng)險(xiǎn)分散體系

一方面，利用合作分散風(fēng)險(xiǎn)。當(dāng)今國際立法趨勢及行業(yè)實(shí)踐傾向于溯源追責(zé)，要求簽署業(yè)務(wù)關(guān)聯(lián)協(xié)議，鎖定雙方的監(jiān)管義務(wù)，如美國《健康保險(xiǎn)可攜性和責(zé)任法案》（HIPAA）等。但從合作協(xié)議內(nèi)部來看，企業(yè)即便被溯源追責(zé)，仍能通過協(xié)議的約定尋求事后索賠，降低違規(guī)成本。另一方面，多點(diǎn)分散業(yè)務(wù)布局。部分中小型企業(yè)面對出口國嚴(yán)苛的合規(guī)要求，亦可通過調(diào)整貿(mào)易產(chǎn)業(yè)全球布局，降低合規(guī)風(fēng)險(xiǎn)及合規(guī)成本。比如許多中小企業(yè)便利用歐盟GDPR“充分性認(rèn)定白名單”之規(guī)定，在名單認(rèn)可的國家建立數(shù)據(jù)中心及數(shù)據(jù)港，有效降低了數(shù)據(jù)安全合規(guī)成本。

此外，善于利用網(wǎng)絡(luò)保險(xiǎn)。根據(jù)普華永道記載，如今網(wǎng)絡(luò)保險(xiǎn)已被逐漸開發(fā)，年度保費(fèi)金額已高達(dá)25億美元。我國企業(yè)可通過購買網(wǎng)絡(luò)數(shù)據(jù)泄露保險(xiǎn)、網(wǎng)絡(luò)責(zé)任產(chǎn)品來分散數(shù)據(jù)經(jīng)營風(fēng)險(xiǎn)。比如中興科技便為評估風(fēng)險(xiǎn)較高地區(qū)的具體業(yè)務(wù)購買了必要的出口保險(xiǎn)以規(guī)避損失。京東集團(tuán)亦持有多類保單，防范安全風(fēng)險(xiǎn)及意外的發(fā)生。

2.外向性路徑：對外聯(lián)通，積極轉(zhuǎn)變傳統(tǒng)本位

傳統(tǒng)“以自我為中心”的發(fā)展模式早已不能適應(yīng)經(jīng)濟(jì)全球化進(jìn)程中分工精細(xì)化、資源互補(bǔ)化的時(shí)代趨勢[2]許憲春、王洋：《大數(shù)據(jù)在企業(yè)生產(chǎn)經(jīng)營中的應(yīng)用》，《改革》2021年第1期。。在跨境數(shù)據(jù)安全這一新興視域下，企業(yè)集群作為直接利益相關(guān)的對象，更應(yīng)積極聯(lián)動(dòng)，打造數(shù)據(jù)合規(guī)命運(yùn)共同體。

（1）聯(lián)動(dòng)構(gòu)建合規(guī)命運(yùn)共同體

《數(shù)據(jù)安全法》等數(shù)據(jù)法體系中，均提及了企業(yè)、行業(yè)組織等主體共同參與數(shù)據(jù)安全保護(hù)工作、營造良好環(huán)境的相關(guān)內(nèi)容，為企業(yè)聯(lián)動(dòng)構(gòu)建數(shù)據(jù)安全合規(guī)命運(yùn)共同體提供了法理基礎(chǔ)。數(shù)據(jù)合規(guī)命運(yùn)共同體作為企業(yè)落實(shí)總體國家安全觀及網(wǎng)絡(luò)安全命運(yùn)共同體的具化方式，具有多重時(shí)代價(jià)值。

從國際治理大格局上看，數(shù)據(jù)合規(guī)命運(yùn)共同體與人類命運(yùn)共同體、網(wǎng)絡(luò)安全命運(yùn)共同體具有相同的邏輯蘊(yùn)涵。人類命運(yùn)共同體是全球安全治理的旨?xì)w點(diǎn)，在網(wǎng)絡(luò)安全領(lǐng)域生動(dòng)體現(xiàn)為網(wǎng)絡(luò)安全命運(yùn)共同體。而總體國家安全觀作為全球安全治理的重要組成部分，亦服務(wù)于全體人類。三者均體現(xiàn)了以人民安全為宗旨的現(xiàn)代化國家安全體系思想，有機(jī)融入于社會(huì)治理共同體的深層蘊(yùn)涵中。數(shù)據(jù)合規(guī)命運(yùn)共同體將眾多企業(yè)的數(shù)據(jù)安全緊緊相連，為用戶數(shù)據(jù)信息筑起堅(jiān)實(shí)的防護(hù)墻。三者均超越了狹隘的“個(gè)體本位”，求同存異，體現(xiàn)了共同體的價(jià)值觀念和文化包容，都是國際治理體系的重要組成部分。

從行業(yè)共治的微觀視角上看，數(shù)據(jù)合規(guī)命運(yùn)共同體的構(gòu)建能為企業(yè)提供良好的數(shù)據(jù)安全合規(guī)環(huán)境，其根植于總體國家安全觀及人類命運(yùn)共同體，是共建共治共享治理目標(biāo)的延續(xù)。多方協(xié)同參與網(wǎng)絡(luò)安全綜合治理，既可以推進(jìn)數(shù)據(jù)安全信息共享機(jī)制的形成，又能加強(qiáng)行業(yè)自律，提高企業(yè)的數(shù)據(jù)保護(hù)水平；同時(shí)，其能有效促進(jìn)企業(yè)合規(guī)聯(lián)盟的構(gòu)建，幫助企業(yè)形成數(shù)據(jù)跨境的合力，共同應(yīng)對“雙向合規(guī)”壓力陡增的難題。

（2）積極對接公權(quán)部門

當(dāng)前，因數(shù)據(jù)違法觸發(fā)的刑事責(zé)任相對較少，由數(shù)據(jù)主體引發(fā)的民事責(zé)任一般亦不足以威脅企業(yè)發(fā)展。從各國數(shù)據(jù)立法的一般規(guī)律上看，企業(yè)的數(shù)據(jù)安全保障風(fēng)險(xiǎn)最主要來自行政責(zé)任與風(fēng)險(xiǎn)。在我國《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》《個(gè)人信息保護(hù)法》這三部最為主要的法律中，均對企業(yè)提出了及時(shí)報(bào)告、配合主管部門審查等對接公權(quán)部門的要求。而這并非僅為被動(dòng)的法律義務(wù)，其亦能成為企業(yè)養(yǎng)成合規(guī)習(xí)慣、降低風(fēng)險(xiǎn)成本的重要途徑。隨著各國數(shù)據(jù)立法、執(zhí)法愈加嚴(yán)格，行政處罰也已從勒令整改逐步發(fā)展為巨額罰款、停業(yè)整改等措施。而認(rèn)真披露企業(yè)管理信息是安全違規(guī)事件發(fā)生后爭取和解、避免高額行政處罰的必要條件。日常工作中與主管部門對接，亦能及時(shí)清除違規(guī)事件，避免因批量性安全風(fēng)險(xiǎn)的出現(xiàn)而導(dǎo)致企業(yè)停業(yè)整改，最終錯(cuò)過數(shù)據(jù)出境、公司上市、擴(kuò)大規(guī)模等發(fā)展良機(jī)。

3.自驅(qū)性路徑：創(chuàng)新改革，加快技術(shù)內(nèi)核發(fā)展

各國數(shù)據(jù)法案的接續(xù)出臺，導(dǎo)致很多企業(yè)因合規(guī)成本過高而放棄部分?jǐn)?shù)據(jù)業(yè)務(wù)甚至直接破產(chǎn)。加之疫情影響，企業(yè)工作形式與競爭環(huán)境都發(fā)生了巨大的變革[1]梅傲、蘇建維：《數(shù)字信息運(yùn)用于公共衛(wèi)生應(yīng)急管理的檢視及其完善》，《法治論壇》2021年第2期。。面對“數(shù)字化+后疫情”時(shí)代，數(shù)字化轉(zhuǎn)型已經(jīng)成為各大企業(yè)應(yīng)對時(shí)代挑戰(zhàn)、突破發(fā)展桎梏的重要法寶。

一是進(jìn)一步挖掘可視化與結(jié)構(gòu)化適用功能，實(shí)現(xiàn)數(shù)據(jù)資源稽核與監(jiān)督。在內(nèi)容存量龐大、流轉(zhuǎn)關(guān)系繁雜的數(shù)據(jù)環(huán)境中，樹狀圖式、圓形填充式、旭日式等可視化技術(shù)能有效監(jiān)控企業(yè)數(shù)據(jù)流轉(zhuǎn)情況，企業(yè)通過自動(dòng)化掃描、分析資產(chǎn)分布狀態(tài)等途徑，實(shí)現(xiàn)數(shù)據(jù)系統(tǒng)的集中化、常態(tài)化管理[2]武長海：《數(shù)據(jù)法學(xué)》，法律出版社2022年版，第51—61頁。。同時(shí)，可視化手段有助于分析數(shù)據(jù)安全事件發(fā)生趨勢、計(jì)算安全事件處置率等工作的建模，進(jìn)而在數(shù)據(jù)安全周期內(nèi)對數(shù)據(jù)風(fēng)險(xiǎn)進(jìn)行全方位的評估及管理，通過快速實(shí)現(xiàn)數(shù)據(jù)收集管理、反饋跟蹤等功能，降低數(shù)據(jù)安全保障成本。

二是積極利用創(chuàng)新激勵(lì)政策，提升企業(yè)技術(shù)創(chuàng)新能力。我國“十三五”“十四五”規(guī)劃中亦體現(xiàn)了國家對“數(shù)據(jù)安全建設(shè)”的重視。針對涉及國家安全等重要產(chǎn)業(yè)，鼓勵(lì)加大研發(fā)投入并制定普惠稅收減免政策。由此，各大企業(yè)應(yīng)利用政策紅利，不斷加快科技體制改革，驅(qū)動(dòng)技術(shù)內(nèi)核發(fā)展，通過推進(jìn)產(chǎn)學(xué)研深度融合等革新方式，適應(yīng)總體國家安全觀之下數(shù)據(jù)安全發(fā)展新要求[3]肖君擁、張志朋：《中國國家安全法治研究四十年：回眸與展望》，《國際安全研究》2019年第1期。。

五、結(jié)語

黨的二十大報(bào)告指出，中國式現(xiàn)代化為人類實(shí)現(xiàn)現(xiàn)代化提供了新的選擇，中國共產(chǎn)黨和中國人民為解決人類面臨的共同問題提供更多更好的中國智慧、中國方案、中國力量。總體國家安全觀為全球安全治理注入了中國動(dòng)力，是全球安全治理機(jī)制建設(shè)的中國方案。數(shù)據(jù)安全作為國家安全體系的有機(jī)組成部分，亦是全球安全治理的重點(diǎn)規(guī)制對象。面對這一時(shí)代要求，我國企業(yè)唯有立足安全發(fā)展之“本”，順應(yīng)國家安全理念之“源”，全面提升數(shù)據(jù)合規(guī)能力，才能在百年未有之大變局的時(shí)代挑戰(zhàn)中破浪乘風(fēng)，逆流而上。