我國企業(yè)數(shù)據(jù)出境的安全監(jiān)管問題研究*

焦小妹，沈本秋

(廣州大學(xué) 公共管理學(xué)院，廣東 廣州 510006)

0 引言

數(shù)據(jù)跨境流動，又稱信息跨境流動、信息跨境轉(zhuǎn)移，是指通過各種技術(shù)和方法，實現(xiàn)數(shù)據(jù)跨越國境(地理疆域)的流動[1]。數(shù)字貿(mào)易時代，數(shù)據(jù)流牽引和驅(qū)動著商品流、業(yè)務(wù)流、資金流及人才流等一系列全球貿(mào)易活動，數(shù)據(jù)跨境流動規(guī)模大幅增長，已成為促進全球經(jīng)濟增長的主要引擎。數(shù)據(jù)跨越國家地理邊界時，地緣政治、產(chǎn)業(yè)競爭、數(shù)據(jù)主權(quán)博弈、數(shù)據(jù)泄露、非法傳輸?shù)葐栴}都可能出現(xiàn)，個人、企業(yè)和國家的數(shù)據(jù)權(quán)益亦會受到影響。出于數(shù)據(jù)安全性考慮，建立并完善數(shù)據(jù)安全監(jiān)管機制已成為各國的主要著力點。數(shù)據(jù)跨境包括數(shù)據(jù)出境和數(shù)據(jù)入境。相對于數(shù)據(jù)入境，數(shù)據(jù)出境風(fēng)險更大，本文的討論語境正是數(shù)據(jù)出境安全監(jiān)管。我國“十四五”規(guī)劃明確提出要建立跨境數(shù)據(jù)流動安全監(jiān)管制度。近年來，我國陸續(xù)出臺《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱《網(wǎng)絡(luò)安全法》)、《中華人民共和國數(shù)據(jù)安全法》(以下簡稱《數(shù)據(jù)安全法》)、《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)等法律法規(guī)保障國家數(shù)據(jù)安全，但尚未出臺完備的數(shù)據(jù)出境安全監(jiān)管制度。我國目前的數(shù)據(jù)跨境流動監(jiān)管機制與位居世界第二的數(shù)字經(jīng)濟規(guī)模仍不匹配。

國內(nèi)學(xué)者主要從三大視角對數(shù)據(jù)跨境流動安全監(jiān)管進行研究。一是從立法角度比較分析各國數(shù)據(jù)跨境流動的規(guī)制路徑，發(fā)現(xiàn)當(dāng)前國際上存在四種典型的立法取向：美國經(jīng)濟利益最大化原則下的寬松立法、歐盟人權(quán)保護原則下的嚴(yán)格立法、俄羅斯數(shù)據(jù)主權(quán)安全戰(zhàn)略下的本地存取型立法、澳大利亞數(shù)據(jù)安全與發(fā)展利益均衡原則下的折中型立法[2]。其中，美國與歐盟在數(shù)據(jù)跨境流動領(lǐng)域已建立了相對完善的監(jiān)管體系[3]。美國憑借信息通信技術(shù)和互聯(lián)網(wǎng)企業(yè)實力優(yōu)勢采取了最為寬松的監(jiān)管模式和最低限度的隱私權(quán)保護制度；歐盟基于尊重和保護人權(quán)的立法傳統(tǒng)，采取了更高標(biāo)準(zhǔn)的個人信息保護和更嚴(yán)格的數(shù)據(jù)跨境流動監(jiān)管規(guī)則[4]。第二種視角聚焦政策制定偏好，各國在數(shù)據(jù)跨境流動政策制定中會綜合考慮跨境雙方的數(shù)據(jù)處理技術(shù)能力、數(shù)字產(chǎn)業(yè)規(guī)模、數(shù)據(jù)安全保護立法、國際規(guī)則對接等因素，繼而在寬松立法、嚴(yán)格立法、低保護立法、本地化存取型立法和折中型立法中選取最適合本國國情的數(shù)據(jù)跨境監(jiān)管政策[5]。也有少數(shù)學(xué)者聚焦第三種視野，探討數(shù)據(jù)跨境的安全風(fēng)險與監(jiān)管策略。有研究從金融數(shù)據(jù)跨境[6]、電商數(shù)據(jù)跨境[7]、粵港澳大灣區(qū)數(shù)據(jù)流動[8]等具體問題探討機制與對策，也有研究從個人數(shù)據(jù)權(quán)益受侵害、國內(nèi)數(shù)據(jù)資源流失以及國家社會安全受威脅的角度分析了數(shù)據(jù)跨境流動面臨的風(fēng)險[9]，還有研究從國家安全、商業(yè)利益、個人信息保護三個方面分析了海量數(shù)據(jù)的跨境流動給我國帶來的挑戰(zhàn)[10]。

總的來說，國內(nèi)學(xué)者對數(shù)據(jù)跨境流動監(jiān)管的研究重點聚焦于法學(xué)和政治學(xué)視野，從政府管理視野進行的研究相對薄弱；在研究對象的選擇上，主要集中于國家、區(qū)域、行業(yè)、個體的數(shù)據(jù)跨境流動監(jiān)管，對企業(yè)數(shù)據(jù)出境合規(guī)監(jiān)管的研究較少。目前，跨國企業(yè)在國際數(shù)字貿(mào)易中扮演著重要角色，深入剖析政府對企業(yè)在數(shù)據(jù)出境過程中的監(jiān)管問題及原因，有利于更有針對性地加強對數(shù)據(jù)跨境流動的合規(guī)指導(dǎo)與安全監(jiān)管。本文以企業(yè)數(shù)據(jù)跨境管理問題為導(dǎo)向，明確出境數(shù)據(jù)全生命周期安全，針對跨境數(shù)據(jù)采集、存儲、傳輸與交換、銷毀等環(huán)節(jié)出現(xiàn)的問題，從制度依據(jù)、分類分級標(biāo)準(zhǔn)、國際合作、機構(gòu)協(xié)同方面分析深層原因，并為我國建立完善的數(shù)據(jù)跨境流動監(jiān)管體系提供參考性建議。

1 我國企業(yè)數(shù)據(jù)出境的安全風(fēng)險

在國內(nèi)企業(yè)“走出去”和“一帶一路”倡議的大背景下，境內(nèi)企業(yè)海外上市、設(shè)立海外分支機構(gòu)、海外并購、與境外企業(yè)合作等商務(wù)活動日益頻繁，數(shù)據(jù)跨境流動需求顯著增強?？缇硵?shù)據(jù)不可避免地涵蓋個人隱私信息、商業(yè)秘密和國家信息安全等敏感數(shù)據(jù)。隨著數(shù)據(jù)跨境流動和使用規(guī)模越來越大，所產(chǎn)生的安全威脅與隱私挑戰(zhàn)也隨之增加。一些企業(yè)違反我國“數(shù)據(jù)本地化存儲”的基本原則及相關(guān)行業(yè)數(shù)據(jù)出境管理規(guī)定，向境外提供大量敏感數(shù)據(jù)，給我國個人信息和國家數(shù)據(jù)安全帶來了沖擊和威脅。

1.1 外資企業(yè)數(shù)據(jù)出境帶來安全風(fēng)險

首先，我國關(guān)于數(shù)據(jù)出境的安全管理規(guī)則還不完善，導(dǎo)致外資企業(yè)在數(shù)據(jù)出境管理中存在不確定性。目前在中國運行的外資企業(yè)有42.9萬家，外資企業(yè)為中國社會經(jīng)濟做出貢獻的同時，企業(yè)數(shù)據(jù)跨境流動也給我國帶來了數(shù)據(jù)安全風(fēng)險?！稊?shù)據(jù)安全法》《個人信息保護法》要求關(guān)鍵信息基礎(chǔ)設(shè)施的運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者，在中國境內(nèi)收集和產(chǎn)生的個人信息及重要數(shù)據(jù)應(yīng)當(dāng)實現(xiàn)存儲本地化和跨境傳輸?shù)陌踩L(fēng)險評估。這兩部法律明確了相關(guān)外資企業(yè)的數(shù)據(jù)安全管理責(zé)任與法律義務(wù)，但是對于外資企業(yè)的具體類型、數(shù)據(jù)出境安全管理的相關(guān)規(guī)則仍不明確，具體行業(yè)所涉及重要數(shù)據(jù)的定義、范圍及認(rèn)定程序也未厘清，使得一些外資企業(yè)在數(shù)據(jù)存儲、跨境傳輸、數(shù)據(jù)銷毀中存在許多不確定的因素。例如，不少外資企業(yè)的信息技術(shù)團隊設(shè)立在境外，通過互聯(lián)網(wǎng)訪問并處理境內(nèi)服務(wù)器上存儲的數(shù)據(jù)來提供遠程技術(shù)服務(wù)，而這種遠程訪問情形理論上也屬于“數(shù)據(jù)出境”，在一定程度上亦會對境內(nèi)存儲的數(shù)據(jù)構(gòu)成一定風(fēng)險威脅。

其次，以美國為首的數(shù)字強國，通過“長臂管轄權(quán)”等舉措，延展國內(nèi)數(shù)據(jù)安全法的域外適用范圍，獲取源自我國的數(shù)據(jù)。美國2018年頒布《澄清海外合法使用數(shù)據(jù)法》(CLOUD ACT)，秉承“誰擁有數(shù)據(jù)誰就擁有數(shù)據(jù)控制權(quán)”的理念，澄清了美國執(zhí)法機構(gòu)請求通信服務(wù)提供商所保管數(shù)據(jù)的地理范圍，為其監(jiān)管部門請求訪問、程序調(diào)取美國公司存儲在境外的數(shù)據(jù)提供了一個有利的機制。此舉措將獲取美國境外數(shù)據(jù)的行為合法化，從而避開了數(shù)據(jù)實際存儲國的法律制度，該法案打破了以往跨國數(shù)據(jù)調(diào)取過程中遵循的數(shù)據(jù)屬地管轄模式，構(gòu)建了以實際控制權(quán)限為依據(jù)的標(biāo)準(zhǔn)框架[11]。這種“長臂域外管轄”與我國“境內(nèi)存儲+跨境評估”的管理規(guī)則存在矛盾，容易引發(fā)數(shù)據(jù)安全糾紛。例如，(中國)特斯拉(Tesla)汽車通過安裝攝像頭、激光雷達等傳感器采集車內(nèi)外環(huán)境，獲得了人臉圖像、個人語音、車輛行駛信息、道路信息等個人信息和敏感數(shù)據(jù)，并將上述數(shù)據(jù)傳輸至境外總部，這一行為嚴(yán)重違反了我國數(shù)據(jù)保護原則。特斯拉車主維權(quán)事件發(fā)生后，特斯拉才公開表示“今后在中國采集的數(shù)據(jù)會嚴(yán)格遵守中國的數(shù)據(jù)安全監(jiān)管規(guī)定”。

1.2 境內(nèi)企業(yè)海外上市、海外并購中的數(shù)據(jù)安全風(fēng)險

近年來越來越多的國內(nèi)企業(yè)在美國證券交易所上市融資。據(jù)相關(guān)數(shù)據(jù)顯示，2021年上半年，在美國納斯達克或紐交所主板上市的中國企業(yè)就達38家。2020年底美國通過《外國公司問責(zé)法案》(Holding Foreign Companies Accountable Act)，要求赴美上市的外國公司披露額外的信息數(shù)據(jù)，如證明自身不被外國政府所有或控制，披露董事會里共產(chǎn)黨官員姓名、共產(chǎn)黨黨章是否寫入公司章程，從企業(yè)原始交易數(shù)據(jù)到形成審計結(jié)論的過程中使用的數(shù)據(jù)和材料等。因此，美國證監(jiān)會可能根據(jù)自身的監(jiān)督職責(zé)，要求我國赴美上市的公司提交我國數(shù)據(jù)安全管理所規(guī)定的限制跨境傳輸?shù)拿舾袛?shù)據(jù)。由于不提供的企業(yè)可能需要承擔(dān)巨額罰款，以及連續(xù)三年內(nèi)達不到美國證監(jiān)會信息披露要求的企業(yè)還可能面臨強制退市的威脅，造成一些企業(yè)往往冒著違規(guī)風(fēng)險提供企業(yè)相關(guān)數(shù)據(jù)。我國互聯(lián)網(wǎng)企業(yè)掌握海量數(shù)據(jù)資源，很多涉及我國關(guān)鍵信息基礎(chǔ)設(shè)施、地理測繪信息、人口健康、人類遺傳等重要數(shù)據(jù)資源，一旦泄露出去，將給我國個人信息和國家數(shù)據(jù)安全帶來重大隱患。

2021年6月，依托“大數(shù)據(jù)”運行的滴滴出行在美上市。根據(jù)我國相關(guān)規(guī)定，該企業(yè)屬于關(guān)鍵信息基礎(chǔ)設(shè)施運營商，掌握大量用戶隱私信息、國家道路概況信息等敏感數(shù)據(jù)。為保護個人數(shù)據(jù)權(quán)益、維護國家數(shù)據(jù)安全，中國網(wǎng)絡(luò)安全審查辦公室在審查中發(fā)現(xiàn)該公司有違法違規(guī)收集和使用個人信息的嚴(yán)重問題。更嚴(yán)重的是，這種大型數(shù)字平臺企業(yè)在境外上市易引發(fā)數(shù)據(jù)安全風(fēng)險，因為根據(jù)美國的《外國公司問責(zé)法案》的規(guī)定，中國企業(yè)在美上市需提供可能侵犯個人隱私和威脅國家安全的數(shù)據(jù)材料。滴滴事件過后，國家網(wǎng)信辦發(fā)布《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見稿）》，專門明確了對境外上市企業(yè)進行更嚴(yán)格的安全審查，但是該辦法未明確已在境外上市的企業(yè)如無法通過網(wǎng)絡(luò)安全審查會導(dǎo)致何種后果，而《網(wǎng)絡(luò)安全法》僅規(guī)定了需停止使用數(shù)據(jù)并且進行罰款處罰，仍需完善相關(guān)配套制度并強化監(jiān)管實踐。

1.3 境內(nèi)機構(gòu)通過合作等方式將數(shù)據(jù)傳輸至境外

近年來，互聯(lián)網(wǎng)企業(yè)非法收集使用用戶信息，濫用、售賣或者大規(guī)模泄露個人隱私數(shù)據(jù)等嚴(yán)重侵犯數(shù)據(jù)權(quán)利的事件層出不窮，有些企業(yè)甚至將我國重要數(shù)據(jù)資源傳輸至境外引發(fā)數(shù)據(jù)安全風(fēng)險。2015年深圳華大基因科技服務(wù)有限公司被發(fā)現(xiàn)同華山醫(yī)院與英國牛津大學(xué)共同開展的人類基因國際合作研究中，在未經(jīng)許可的情況下將14萬中國人基因大數(shù)據(jù)從網(wǎng)上傳遞出境。根據(jù)《2020年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告》，2020年我國共發(fā)現(xiàn)國內(nèi)基因數(shù)據(jù)通過網(wǎng)絡(luò)出境717萬余次，流向境外170個國家和地區(qū)，其中流向美國273萬余次，占出境總次數(shù)的38.1%[12]。為此，科技部依據(jù)《人類遺傳資源管理暫行辦法》等有關(guān)規(guī)定，對華大基因科技服務(wù)有限公司實施了行政處罰，其中要求銷毀該國際合作研究中所有未出境的中國人基因大數(shù)據(jù)。此外，科技部在其官方網(wǎng)站還公布了8份2015-2020年間未經(jīng)授權(quán)將部分人類遺傳資源信息通過互聯(lián)網(wǎng)傳輸?shù)骄惩獾男姓幜P決定書。從行政處罰書的內(nèi)容上看，企業(yè)或科研機構(gòu)私自將中國人基因大數(shù)據(jù)傳遞出境，處罰僅是停止國際合作及銷毀未出境的數(shù)據(jù)，對已出境數(shù)據(jù)造成的國家經(jīng)濟和數(shù)據(jù)安全損失難以追回?；驍?shù)據(jù)是我國重要數(shù)據(jù)資源，企業(yè)違規(guī)跨境傳輸基因數(shù)據(jù)等國家重要數(shù)據(jù)資源會給我國帶來數(shù)據(jù)安全風(fēng)險。

2 我國企業(yè)數(shù)據(jù)出境安全風(fēng)險的成因

2.1 出境數(shù)據(jù)全生命周期下的監(jiān)管制度供給不足

就出境數(shù)據(jù)全生命周期來看，從數(shù)據(jù)采集、存儲、傳輸與交換到銷毀，我國對于數(shù)據(jù)出境的監(jiān)管主要集中于數(shù)據(jù)存儲本地化和跨境傳輸?shù)陌踩L(fēng)險評估方面，對出境數(shù)據(jù)的采集、銷毀過程中涉及的監(jiān)管還不到位。我國早期關(guān)于數(shù)據(jù)跨境流動的管理規(guī)定散見于有關(guān)行業(yè)規(guī)范或指導(dǎo)性文件中，均要求保護個人信息數(shù)據(jù)和數(shù)據(jù)本地化存儲。2017年6月開始實施的《網(wǎng)絡(luò)安全法》第三十七條規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲。如確需向境外提供數(shù)據(jù)，應(yīng)當(dāng)按照相關(guān)規(guī)定進行安全評估。由此我國正式確立了“數(shù)據(jù)存儲本地化+數(shù)據(jù)出境安全評估”的管理框架。

正因為我國目前的數(shù)據(jù)安全管理主要集中于本地化數(shù)據(jù)，對跨境數(shù)據(jù)監(jiān)管覆蓋較少，尤其是在跨境數(shù)據(jù)類型和重要級別、數(shù)據(jù)跨境安全風(fēng)險評估、跨境數(shù)據(jù)應(yīng)用后的刪除與銷毀等方面尚未出臺完整的標(biāo)準(zhǔn)規(guī)范，使得企業(yè)普遍缺乏標(biāo)準(zhǔn)的數(shù)據(jù)規(guī)范指引，監(jiān)管部門無法順利開展數(shù)據(jù)出境的科學(xué)監(jiān)管。雖然我國金融、衛(wèi)生健康、交通運輸?shù)炔块T很早就結(jié)合行業(yè)需求對特定數(shù)據(jù)出境提出了要求，如《征信管理條例》《人口健康信息管理辦法(試行)》《網(wǎng)絡(luò)預(yù)約出租汽車經(jīng)營服務(wù)管理暫行辦法》等，也形成了行業(yè)數(shù)據(jù)歸口管理的慣例，對其出境進行了限制性管理，但從具體的行業(yè)規(guī)范和管理條例來看，在數(shù)據(jù)本地化存儲以后，并未對數(shù)據(jù)出境的具體情形進行細化分類，缺乏相應(yīng)的程序性規(guī)定，即數(shù)據(jù)本地化存儲以后是否允許出境或者出境的條件是什么并不清楚，對相關(guān)具有數(shù)據(jù)出境需求的企業(yè)和監(jiān)管主體很難形成規(guī)范性指引。

目前，我國對于企業(yè)數(shù)據(jù)出境的安全審查是程序性審查，由企業(yè)先進行數(shù)據(jù)出境風(fēng)險自評估，網(wǎng)信部門再基于制度辦法進行審查，其審查對象并非是出境數(shù)據(jù)本身，而是數(shù)據(jù)企業(yè)圍繞數(shù)據(jù)形成的文字材料，很少涉及功能性檢查等實質(zhì)性措施。除了各方信用情況可以通過查閱相關(guān)材料進行判斷之外，其余評估項很難單純依靠企業(yè)的自評估材料進行審核，對于審核評價的具體標(biāo)準(zhǔn)、指標(biāo)也未見明確規(guī)定說明。并且，當(dāng)前具有監(jiān)管效力的評估制度辦法主要是針對跨境的個人數(shù)據(jù)，還未正式頒布有效的其他類型數(shù)據(jù)的評估制度。近些年我國也相繼出臺了一系列有關(guān)數(shù)據(jù)出境安全風(fēng)險評估的管理辦法，如《信息安全技術(shù) 數(shù)據(jù)出境安全評估指南(草案)》《數(shù)據(jù)出境安全評估辦法(征求意見稿)》等，逐漸完善了數(shù)據(jù)出境安全風(fēng)險評估的管理框架，但這些管理辦法都處于征求意見階段，尚未真正有效落地實施。

2.2 數(shù)據(jù)出境安全評估的分類分級標(biāo)準(zhǔn)有待完善

目前我國在數(shù)據(jù)出境評估審查中，對數(shù)據(jù)跨境進行“一刀切”式的審查監(jiān)管機制無法滿足跨國公司業(yè)務(wù)數(shù)據(jù)種類繁多的跨境合規(guī)需求。除了重要數(shù)據(jù)與個人信息數(shù)據(jù)絕對禁止出境外，國家網(wǎng)信辦發(fā)布的《數(shù)據(jù)出境安全評估辦法(征求意見稿)》對其他數(shù)據(jù)均規(guī)定了較為嚴(yán)格的出境安全審查程序，明確了數(shù)據(jù)出境安全評估的流程、要點、方法等內(nèi)容，包括履行“通知—同意”程序，構(gòu)建“企業(yè)數(shù)據(jù)出境自評估+主管部門評估”的兩級評估體系。這種將數(shù)據(jù)出境安全評估作為單一合規(guī)監(jiān)管機制，無法與全球化的數(shù)字經(jīng)濟發(fā)展趨勢相適應(yīng)，難以支撐國際貿(mào)易中大規(guī)模的數(shù)據(jù)跨境流動。從以上監(jiān)管規(guī)定來看，將大量原本基于開展市場經(jīng)營活動的數(shù)據(jù)出境需求納入安全審查范圍，容易增加數(shù)據(jù)跨境傳輸?shù)臅r長，降低數(shù)據(jù)的時效性，特別是在金融等對數(shù)據(jù)時效性要求很強的領(lǐng)域，15個工作日的審查評估時限難以滿足瞬息萬變的金融數(shù)據(jù)出境需求[13]。

究其原因，主要是我國還未完善數(shù)據(jù)分類分級方法和標(biāo)準(zhǔn)。早期關(guān)于數(shù)據(jù)出境的管理規(guī)定主要集中于個人數(shù)據(jù)的保護上，隨著全球數(shù)字貿(mào)易的進一步發(fā)展，數(shù)據(jù)跨境流動已從個人數(shù)據(jù)擴展至個人和組織數(shù)據(jù)層面，建立完善的數(shù)據(jù)分類分級標(biāo)準(zhǔn)非常必要。首先，關(guān)于“重要數(shù)據(jù)”的規(guī)定有待清晰和完善?！吨匾獢?shù)據(jù)識別指南》只是規(guī)定了27個特定行業(yè)的重要數(shù)據(jù)，主要關(guān)注具體領(lǐng)域或行業(yè)內(nèi)部數(shù)據(jù)，無法適用于全部數(shù)據(jù)類型。其次，對“敏感數(shù)據(jù)”的界定標(biāo)準(zhǔn)不完善?？鐕髽I(yè)的數(shù)據(jù)流動包括個人數(shù)據(jù)、產(chǎn)品數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、物流數(shù)據(jù)等不同敏感程度數(shù)據(jù)的跨境流動。盡管《數(shù)據(jù)安全法》強調(diào)建立數(shù)據(jù)分類分級保護制度，但尚未直接明確具體的跨境數(shù)據(jù)分類分級標(biāo)準(zhǔn)，未能妥善區(qū)分除個人數(shù)據(jù)和重要行業(yè)數(shù)據(jù)外的其他商業(yè)數(shù)據(jù)，未明確個人數(shù)據(jù)的范圍以及安全評估的要求、程序及方式，使得數(shù)據(jù)安全監(jiān)管主體無法開展統(tǒng)一的管理和監(jiān)督工作。

2.3 我國數(shù)據(jù)跨境流動管理與國際社會需要對接

我國簽訂的數(shù)據(jù)跨境流動國際合作協(xié)定較少，使得我國企業(yè)數(shù)據(jù)跨境流動面臨雙向合規(guī)難的困境。數(shù)據(jù)流動是全球性的，而立法與監(jiān)管卻是本地的，全球各地在數(shù)據(jù)安全監(jiān)管方面出臺的不同法規(guī)政策客觀造成了數(shù)據(jù)跨境流動壁壘，增加了企業(yè)數(shù)據(jù)跨境業(yè)務(wù)的法律風(fēng)險與合規(guī)成本。雖然我國數(shù)字經(jīng)濟發(fā)展已處于全球領(lǐng)先地位，但在數(shù)據(jù)跨境流動治理方面起步較晚，與數(shù)字貿(mào)易發(fā)展規(guī)模相比，在數(shù)據(jù)跨境流動領(lǐng)域的國際合作方面仍相對滯后。我國參與締結(jié)的國際合作協(xié)議中有關(guān)數(shù)據(jù)跨境的條款較少,截至2021年8月，我國已與26個國家和地區(qū)簽署了19個自由貿(mào)易協(xié)定。從協(xié)定內(nèi)容上看，基本都包括了個人信息保護條款，但幾乎都未涉及數(shù)據(jù)跨境領(lǐng)域的內(nèi)容，僅在2020年簽署的區(qū)域全面經(jīng)濟伙伴關(guān)系協(xié)定(Regional Comprehensive Economic Partnership，RCEP)中首次明確表示支持出于商業(yè)目的數(shù)據(jù)跨境自由流動，以及提出了數(shù)據(jù)本地化存儲措施。RCEP協(xié)定中關(guān)于電子商務(wù)的內(nèi)容部分對計算機設(shè)施位置、采用電子方法跨境傳送信息等作出了相應(yīng)規(guī)定，但只是原則上的承諾。

美國、歐盟均是數(shù)據(jù)跨境自由流動的積極倡導(dǎo)者，主張將數(shù)據(jù)跨境自由流動引入雙多邊貿(mào)易談判中。美國憑借已有的信息技術(shù)優(yōu)勢及相對健全的數(shù)據(jù)市場規(guī)則，在國際貿(mào)易談判中把“數(shù)據(jù)跨境自由流動”列為協(xié)議條款,以降低主權(quán)國家利用數(shù)據(jù)安全保護立法設(shè)置的市場準(zhǔn)入門檻,進一步實現(xiàn)對全球數(shù)據(jù)要素的跨境管轄。美國曾在“跨太平洋伙伴關(guān)系協(xié)定”(Trans-Pacific Partnership Agreement，TPP)中提出“在保護個人信息的前提下，實現(xiàn)全球數(shù)據(jù)自由流動?！睔W盟制定《通用數(shù)據(jù)保護條例》(General Data Protection Regulation，GDPR)、《非個人數(shù)據(jù)在歐盟境內(nèi)自由流動框架條例》(Regulation on the Free Flow of Non-personal Data)以減少歐盟內(nèi)部數(shù)據(jù)自由流動阻礙，同時對歐盟外部實施高標(biāo)準(zhǔn)的數(shù)據(jù)保護要求，設(shè)置新的市場準(zhǔn)入壁壘。我國數(shù)據(jù)管理體制難以與國際通行規(guī)則相對接。歐洲議會一項名為“中國個人數(shù)據(jù)保護管理體制”的調(diào)查結(jié)果表明，我國立法中缺少個人數(shù)據(jù)保護的國際通行原則，無法與歐盟數(shù)據(jù)保護規(guī)則進行緊密對接。

2.4 數(shù)據(jù)跨境流動監(jiān)管主體之間缺乏協(xié)同

立法機關(guān)只能提供監(jiān)管規(guī)則，但對于監(jiān)管政策的選擇和執(zhí)行則要交由具體的監(jiān)管部門加以落實。目前，我國數(shù)據(jù)跨境流動監(jiān)管主體眾多，國家網(wǎng)信辦負責(zé)出臺相關(guān)管理規(guī)章，審查企業(yè)申報的數(shù)據(jù)出境安全風(fēng)險評估報告；工業(yè)和信息化部從工業(yè)和通信業(yè)行業(yè)管理視角出臺數(shù)據(jù)出境的管理標(biāo)準(zhǔn)；各行業(yè)監(jiān)管部門承擔(dān)特定行業(yè)或領(lǐng)域的數(shù)據(jù)安全監(jiān)管職責(zé)；公安機關(guān)、國家安全機關(guān)負責(zé)相應(yīng)職責(zé)范圍內(nèi)的數(shù)據(jù)安全監(jiān)管工作；網(wǎng)絡(luò)運營者承擔(dān)數(shù)據(jù)安全保護義務(wù)，實現(xiàn)數(shù)據(jù)存儲本地化和跨境傳輸?shù)陌踩L(fēng)險自評估。

橫向上看，數(shù)據(jù)跨境流動監(jiān)管主體重復(fù)，易出現(xiàn)“多龍治水”現(xiàn)象，導(dǎo)致企業(yè)數(shù)據(jù)出境手續(xù)繁多、流程復(fù)雜、管理混亂等問題。例如，《數(shù)據(jù)安全管理辦法(征求意見稿)》規(guī)定，網(wǎng)絡(luò)運營者向境外提供重要數(shù)據(jù)前，要對安全風(fēng)險完成自評估并經(jīng)行業(yè)主管部門同意，行業(yè)主管部門不明確的，應(yīng)經(jīng)省級網(wǎng)信部門批準(zhǔn)。而《數(shù)據(jù)出境安全評估辦法(征求意見稿)》規(guī)定：“數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)，應(yīng)當(dāng)通過所在地省級網(wǎng)信部門向國家網(wǎng)信部門申報數(shù)據(jù)出境安全評估?！睆囊陨蟽蓚€管理辦法的條款中可以看出企業(yè)需要跨境傳輸重要數(shù)據(jù)時，網(wǎng)信部門和行業(yè)主管部門存在交叉監(jiān)管的問題，而從現(xiàn)有規(guī)定上看，企業(yè)數(shù)據(jù)出境到底應(yīng)該先報經(jīng)行業(yè)主管部門同意還是應(yīng)該先通過網(wǎng)信部門申報數(shù)據(jù)出境安全評估仍不夠清晰。

縱向上看，目前我國尚未建立獨立的數(shù)據(jù)出境監(jiān)管協(xié)調(diào)機構(gòu)。一直以來我國對跨境數(shù)據(jù)采取行業(yè)歸口管理，這雖然強化了監(jiān)管的針對性，但是一個企業(yè)產(chǎn)生的數(shù)據(jù)往往涉及不同的行業(yè)，各行業(yè)又分別適用于不同的監(jiān)管辦法和標(biāo)準(zhǔn)，行業(yè)監(jiān)管機構(gòu)僅在特定職能范圍內(nèi)發(fā)揮監(jiān)管職責(zé)，因此容易產(chǎn)生溝通不暢、監(jiān)管競爭的情況，存在協(xié)同不暢的問題。所以，在歸口監(jiān)管模式之下，多行業(yè)審核監(jiān)管機制的實施必須建立協(xié)調(diào)機制，設(shè)立一個擁有最高監(jiān)督協(xié)調(diào)權(quán)力的統(tǒng)一機構(gòu)，以統(tǒng)籌各行業(yè)主管部門的審核職責(zé)，避免政出多門或監(jiān)管漏洞等問題的出現(xiàn)。其次，已有法律規(guī)范僅明確了國家網(wǎng)信部門具有審查企業(yè)數(shù)據(jù)出境安全風(fēng)險評估的職責(zé)，并未規(guī)定省市兩級網(wǎng)信部門的審查許可責(zé)任。另外，中國目前缺乏專門機構(gòu)對接國際數(shù)據(jù)跨境流動的有關(guān)事宜，代表國家參與數(shù)據(jù)流動的國際合作。

3 加強我國數(shù)據(jù)出境安全監(jiān)管的建議

基于保障數(shù)據(jù)安全和促進數(shù)據(jù)開發(fā)利用并重的發(fā)展原則，我國針對企業(yè)數(shù)據(jù)出境中的違規(guī)行為和數(shù)據(jù)跨境流動監(jiān)管存在的問題，亟需在數(shù)據(jù)存儲本地化原則下對數(shù)據(jù)跨境流動監(jiān)管體系加以擴容。應(yīng)理順數(shù)據(jù)出境監(jiān)管流程，對企業(yè)出境數(shù)據(jù)全生命周期的各個環(huán)節(jié)實施過程控制，督促企業(yè)數(shù)據(jù)依法合規(guī)出境；進一步細化管理制度和標(biāo)準(zhǔn)規(guī)范，健全出境數(shù)據(jù)分類分級制度，為企業(yè)數(shù)據(jù)出境提供清晰的制度依據(jù)；合理對接相應(yīng)的國際規(guī)則，加強數(shù)據(jù)跨境流動監(jiān)管的國際合作，協(xié)調(diào)解決數(shù)據(jù)管轄沖突，保障跨國企業(yè)在全球貿(mào)易活動中的合法權(quán)益和我國數(shù)據(jù)安全訴求；設(shè)立獨立的數(shù)據(jù)跨境流動監(jiān)管機構(gòu)，強化專門機構(gòu)的管理協(xié)調(diào)職能，同時構(gòu)建多元主體聯(lián)動的監(jiān)管機制。

3.1 實施出境數(shù)據(jù)全生命周期安全過程控制

《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》中將數(shù)據(jù)生命周期分為采集、傳輸、存儲、處理、交換和銷毀六個階段。從政府監(jiān)管角度來看，對企業(yè)數(shù)據(jù)出境的監(jiān)管主要集中于數(shù)據(jù)采集、存儲、傳輸與交換、銷毀這四個環(huán)節(jié)，數(shù)據(jù)處理環(huán)節(jié)是組織在內(nèi)部對數(shù)據(jù)進行計算、分析、可視化等操作，很少涉及外部交流，因此無需過分監(jiān)管。

數(shù)據(jù)采集應(yīng)該與已經(jīng)出臺的數(shù)據(jù)安全管理有關(guān)的上位法要求接軌，明確數(shù)據(jù)采集渠道、范圍及方法，規(guī)范數(shù)據(jù)采集流程，同時明確數(shù)據(jù)處理者的數(shù)據(jù)采集隱私保護責(zé)任與義務(wù)，在采集數(shù)據(jù)前應(yīng)履行充分告知義務(wù)，遵循“告知—同意；撤回—同意；拒絕”的采集規(guī)則，并根據(jù)具體行業(yè)數(shù)據(jù)采集要求落實，實現(xiàn)數(shù)據(jù)分行業(yè)、分類、分級采集，為接下來的存儲、傳輸與交換、銷毀環(huán)節(jié)做準(zhǔn)備。行業(yè)主管部門應(yīng)重點立足知情同意、公開透明、分類分級、主體參與等原則進行監(jiān)管審查。

數(shù)據(jù)存儲建議采用最小化方法，以避免將本身并不敏感，但與重要、敏感數(shù)據(jù)并存的數(shù)據(jù)包括在內(nèi)。在個人數(shù)據(jù)存儲上，可以借鑒印度的做法，選擇中間路線本地化存儲的做法，對個人數(shù)據(jù)進行分類分級，對一般個人數(shù)據(jù)不做要求，對敏感數(shù)據(jù)、關(guān)鍵個人數(shù)據(jù)嚴(yán)格進行本地化存儲。行業(yè)主管部門應(yīng)重點立足數(shù)據(jù)類型、數(shù)據(jù)存儲介質(zhì)安全等進行監(jiān)管審查。

數(shù)據(jù)出境安全評估應(yīng)該繼續(xù)予以完善，借鑒國外數(shù)據(jù)分類經(jīng)驗，合理確定重要數(shù)據(jù)、核心數(shù)據(jù)的內(nèi)涵和范圍，對其可能影響國家安全、商業(yè)利益和個人權(quán)益的數(shù)據(jù)跨境采取審慎態(tài)度。根據(jù)數(shù)據(jù)出境的業(yè)務(wù)需求和監(jiān)管需求制定數(shù)據(jù)出境評估框架，盡可能對接WTO規(guī)則，為國際數(shù)字貿(mào)易創(chuàng)造有利條件。加快修訂和出臺具有可操作性和明確性的數(shù)據(jù)出境安全評估實施細則，進一步明確數(shù)據(jù)處理者對數(shù)據(jù)出境風(fēng)險自評估的法律義務(wù)，明確網(wǎng)信部門對數(shù)據(jù)出境安全風(fēng)險評估的審查職責(zé)。

出境數(shù)據(jù)刪除與銷毀通常是指數(shù)據(jù)接收方的處理行為，是跨境數(shù)據(jù)生命周期的最后一環(huán)。數(shù)據(jù)與傳統(tǒng)貨物不同，出境后被濫用可能會導(dǎo)致對國內(nèi)組織與個人的數(shù)據(jù)權(quán)益造成損害，甚至?xí)：怖婧蛧野踩?。?yīng)依照數(shù)據(jù)分類分級建立針對出境數(shù)據(jù)刪除與銷毀的處置規(guī)范和管理制度，明確數(shù)據(jù)銷毀的場景、對象、方式及要求，行業(yè)主管部門應(yīng)明確有關(guān)數(shù)據(jù)銷毀的監(jiān)管機構(gòu)與職責(zé)，并出臺行業(yè)數(shù)據(jù)銷毀的具體操作標(biāo)準(zhǔn)與程序，實現(xiàn)對數(shù)據(jù)銷毀的有效監(jiān)管。

3.2 完善數(shù)據(jù)跨境流動監(jiān)管的制度依據(jù)

一是從法制途徑入手確立監(jiān)管依據(jù)。順應(yīng)全球數(shù)字經(jīng)濟發(fā)展趨勢，針對數(shù)據(jù)跨境流動的現(xiàn)實需求，持續(xù)完善數(shù)據(jù)跨境流動監(jiān)管的法制依據(jù)。通過出臺專門監(jiān)管制度和規(guī)則明確數(shù)據(jù)跨境的定義及類型、“重要數(shù)據(jù)”等關(guān)鍵概念及范圍、數(shù)據(jù)權(quán)屬、數(shù)據(jù)跨境流動的處理規(guī)則、數(shù)據(jù)主體的權(quán)利、數(shù)據(jù)處理者的法律義務(wù)、監(jiān)管部門的管理職責(zé)、國內(nèi)與國際數(shù)據(jù)跨境安全規(guī)制的對接機制等。

二是確立出境數(shù)據(jù)全生命周期的監(jiān)管制度。當(dāng)前數(shù)據(jù)跨境流動監(jiān)管制度主要是基于數(shù)據(jù)本地化存儲原則的靜態(tài)規(guī)則設(shè)計，對跨境數(shù)據(jù)的采集、存儲、傳輸與交換、銷毀這一系列動態(tài)過程監(jiān)管不足，需要出臺出境數(shù)據(jù)全生命周期合規(guī)監(jiān)管制度。針對出境數(shù)據(jù)全生命周期進行合規(guī)監(jiān)管，形成配套的實施細則，明確數(shù)據(jù)出境各階段相關(guān)監(jiān)管部門的管理職責(zé)。

三是試點探索中國特色數(shù)據(jù)跨境流動監(jiān)管制度。借鑒國際經(jīng)驗，結(jié)合特定地區(qū)數(shù)據(jù)跨境需求，建立數(shù)據(jù)自由貿(mào)易試驗區(qū)，以“個人數(shù)據(jù)”先行試驗，繼而引入企業(yè)“業(yè)務(wù)數(shù)據(jù)”。積極探索數(shù)據(jù)出境風(fēng)險評估、數(shù)據(jù)安全保護能力認(rèn)證、標(biāo)準(zhǔn)合同條款、“白名單”等機制，嘗試在數(shù)據(jù)自由貿(mào)易試驗區(qū)建立數(shù)據(jù)跨境流動便捷通道，實現(xiàn)數(shù)據(jù)跨境安全有序流動、循序漸進、以點帶面。鼓勵數(shù)據(jù)自貿(mào)試驗區(qū)開展數(shù)據(jù)海關(guān)監(jiān)管創(chuàng)新，建立“數(shù)據(jù)海關(guān)”試點，構(gòu)建權(quán)責(zé)清晰的數(shù)據(jù)跨境流動管理規(guī)則、組織體系、技術(shù)平臺及服務(wù)體系，建立針對數(shù)據(jù)出境的“自檢”“報關(guān)”“通關(guān)”等制度，并建立對“通關(guān)”后數(shù)據(jù)的持續(xù)保護機制。

3.3 健全出境數(shù)據(jù)分類分級制度

個人信息、重要數(shù)據(jù)、其他商業(yè)數(shù)據(jù)涉及的風(fēng)險和所需保護的法益各有不同，應(yīng)健全分類分級監(jiān)管制度，確立寬嚴(yán)不同的數(shù)據(jù)跨境流動監(jiān)管政策。

首先，對于個人數(shù)據(jù)出境，應(yīng)當(dāng)堅持市場導(dǎo)向，建議根據(jù)個人數(shù)據(jù)對公民隱私保護、商業(yè)利益和國家數(shù)據(jù)安全影響的差異，分為一般個人數(shù)據(jù)、敏感個人數(shù)據(jù)、關(guān)鍵個人數(shù)據(jù)三個等級，根據(jù)不同重要級別采取差異化的監(jiān)管要求，同時通過合同約束、備案許可等方式，重點保障出境后個人數(shù)據(jù)主體的權(quán)益。

其次，對于重要數(shù)據(jù)出境，根據(jù)數(shù)據(jù)出境具體應(yīng)用場景，綜合考察數(shù)據(jù)出境后產(chǎn)生的風(fēng)險及影響，對其跨境傳輸實施差異化監(jiān)管。根據(jù)數(shù)據(jù)跨境傳輸后對國家安全造成影響的程度，確定高、中、低風(fēng)險下分別采取禁止跨境傳輸、評估后限制跨境傳輸或跨境傳輸后持續(xù)安全監(jiān)測、跨境傳輸后備案等不同的監(jiān)管方式[14]，并從組織層面和技術(shù)層面做好數(shù)據(jù)出境后的安全保障。

最后，對于其他商業(yè)數(shù)據(jù)，原則上允許自由流動，企業(yè)應(yīng)該承擔(dān)主要風(fēng)險責(zé)任。對低級別、非敏感的普通商業(yè)數(shù)據(jù)支持跨境自由流動，以促進企業(yè)合資、跨境經(jīng)營、多廠商跨境合作等國際數(shù)字貿(mào)易的發(fā)展；而對高級別、敏感的核心商業(yè)數(shù)據(jù)需重點監(jiān)管，綜合考量數(shù)據(jù)權(quán)屬、業(yè)務(wù)需求、應(yīng)用場景、安全防護等關(guān)鍵因素，做好數(shù)據(jù)出境外部規(guī)則的排查、梳理及跟蹤，在保障數(shù)據(jù)跨境安全流動前提下促進數(shù)據(jù)的開發(fā)利用，最大限度地釋放數(shù)據(jù)價值。

3.4 尋求國際規(guī)則制定中的銜接與共贏

在“一帶一路”倡議下嘗試與沿線國家開展數(shù)據(jù)跨境合作?？紤]到國際上暫時難以形成統(tǒng)一、全面的數(shù)據(jù)跨境流動規(guī)則體系，我國應(yīng)當(dāng)充分利用“一帶一路”建設(shè)的主動優(yōu)勢，在完善國內(nèi)數(shù)據(jù)跨境監(jiān)管體系的基礎(chǔ)上，秉持開放合作態(tài)度，積極探索與沿線國家在數(shù)據(jù)跨境流動領(lǐng)域的合作機制，努力爭取數(shù)據(jù)跨境流動國際合作的主動權(quán)。我國與“一帶一路”沿線國家已經(jīng)具備了相當(dāng)程度的互信合作基礎(chǔ)，應(yīng)該積極推動簽訂區(qū)域數(shù)據(jù)流動協(xié)議，將數(shù)據(jù)保護、數(shù)字貿(mào)易政策與標(biāo)準(zhǔn)、數(shù)據(jù)跨境流動規(guī)則等作為雙多邊貿(mào)易協(xié)定的談判內(nèi)容。采取共同或相近立法原則及規(guī)范措施，推動形成共同認(rèn)可的數(shù)據(jù)保護認(rèn)證、標(biāo)準(zhǔn)合同條款等機制，建立由中國引領(lǐng)的區(qū)域數(shù)據(jù)流動互信合作平臺。

加強與歐美發(fā)達國家在數(shù)據(jù)跨境流動領(lǐng)域的對話與合作。歐美發(fā)達國家依靠信息技術(shù)優(yōu)勢，堅持?jǐn)?shù)據(jù)自由出境不受干擾。在此背景下，更需加強與歐美等經(jīng)濟主體在數(shù)據(jù)跨境流動領(lǐng)域的對話與合作。例如，可考慮參與亞太經(jīng)濟合作組織(Asia-Pacific Economic Cooperation，APEC)下的《跨境隱私規(guī)則體系》(CBPR)等國際協(xié)定，CBPR主要規(guī)范的對象仍是在亞太地區(qū)的貿(mào)易中牽涉到個人信息跨境傳輸?shù)墓?，既包括專門從事跨境電子商務(wù)的企業(yè)，還包括一些金融、交通、通信設(shè)備制造等關(guān)鍵信息基礎(chǔ)設(shè)施運營者[15]。參與有關(guān)數(shù)據(jù)跨境的國際協(xié)定，可以通過享受協(xié)定簽署各方所達成的平等待遇，減輕企業(yè)數(shù)據(jù)跨境流動的雙向合規(guī)負擔(dān)，支持出于商業(yè)目的數(shù)據(jù)跨境自由流動，提高數(shù)據(jù)跨境流動的便捷性和安全性。

此外，還應(yīng)該以《全球數(shù)據(jù)安全倡議》為基礎(chǔ)，在數(shù)據(jù)存儲本地化、數(shù)據(jù)跨境流動、數(shù)據(jù)跨境執(zhí)法協(xié)調(diào)等關(guān)鍵事項上加強與世界各國的對話與合作。在尊重他國數(shù)據(jù)保護原則情況下，應(yīng)堅持立足于我國有關(guān)數(shù)據(jù)保護的法律法規(guī)、國際條約與協(xié)定，根據(jù)數(shù)據(jù)跨境具體應(yīng)用場景和適用范圍，設(shè)計符合我國國家利益、保障數(shù)據(jù)安全、利于跨境貿(mào)易發(fā)展的執(zhí)法數(shù)據(jù)調(diào)取方案。

3.5 建立多元主體聯(lián)動協(xié)調(diào)的監(jiān)管機制

設(shè)立專門的監(jiān)管協(xié)調(diào)機構(gòu)，加強對跨境數(shù)據(jù)全生命周期管理的整體規(guī)劃和協(xié)同管理。基于數(shù)據(jù)跨境流動的特殊性明確專門監(jiān)管協(xié)調(diào)機構(gòu)的職能，包括但不限于：(1)進行數(shù)據(jù)出境業(yè)務(wù)登記。(2)對于企業(yè)出境數(shù)據(jù)涉及多行業(yè)、行業(yè)主管部門不明確或標(biāo)準(zhǔn)不統(tǒng)一的情況，進行統(tǒng)籌協(xié)調(diào)。(3)對于非法跨境傳輸國內(nèi)數(shù)據(jù)的行為主體，依法進行行政調(diào)查與處罰；對非法跨境傳輸國外數(shù)據(jù)的行為主體，可作為傳入方代表或監(jiān)管機構(gòu)向具有管轄權(quán)的境外法院提出涉外訴訟。(4)與其他國家的主管部門簽訂跨境數(shù)據(jù)共享協(xié)議等合作機制，以降低數(shù)據(jù)跨境的法律風(fēng)險并營造良好的營商環(huán)境。

實施多元主體聯(lián)動監(jiān)管。延續(xù)目前行業(yè)歸口管理和網(wǎng)信部門負責(zé)安全評估的同時，在數(shù)據(jù)自由貿(mào)易試驗區(qū)增加海關(guān)作為監(jiān)管部門，實現(xiàn)多元主體聯(lián)動、雙保險監(jiān)管，塑造具有中國特色的數(shù)據(jù)跨境監(jiān)管模式。行業(yè)主管部門在專門監(jiān)管機構(gòu)的統(tǒng)籌協(xié)調(diào)下承擔(dān)本行業(yè)、本領(lǐng)域出境數(shù)據(jù)全生命周期的安全監(jiān)管職責(zé)。網(wǎng)信部門根據(jù)企業(yè)體量、數(shù)據(jù)內(nèi)容、內(nèi)部數(shù)據(jù)合規(guī)制度、數(shù)據(jù)重要程度、接收方保障能力等維度，探索適用于企業(yè)的安全評估路徑，包括但不限于定期認(rèn)證、逐次評估、標(biāo)準(zhǔn)合同等，建立自評估、聯(lián)合評估、申報等準(zhǔn)則規(guī)范?！皵?shù)據(jù)海關(guān)”在轄區(qū)范圍內(nèi)執(zhí)行對數(shù)據(jù)跨境傳輸?shù)膶徍恕⒃u估、監(jiān)管等職責(zé)，對數(shù)據(jù)發(fā)送、接收等相關(guān)組織的數(shù)據(jù)保護能力制定相應(yīng)的安全評估路徑，并對境內(nèi)相關(guān)責(zé)任方開展定期審計等工作。根據(jù)相關(guān)組織能力與數(shù)據(jù)分類分級情況，對數(shù)據(jù)跨境的風(fēng)險程度進行綜合評定。通過數(shù)據(jù)托管中心的方式，探索在數(shù)據(jù)自由貿(mào)易試驗區(qū)針對風(fēng)險綜合評定級別較高的數(shù)據(jù)采取“托管存儲、規(guī)范使用、技術(shù)監(jiān)管”的強監(jiān)管模式。

4 結(jié)論

數(shù)字經(jīng)濟時代，面對企業(yè)數(shù)據(jù)出境的安全風(fēng)險，迫切需要實施出境數(shù)據(jù)全生命周期安全過程控制，對數(shù)據(jù)跨境流動監(jiān)管機制進行擴容，健全出境數(shù)據(jù)分類分級制度，尋求國際規(guī)則制定中的銜接與共贏，建立多元主體聯(lián)動協(xié)調(diào)的監(jiān)管機制。鑒于國際上短期內(nèi)難以形成統(tǒng)一的數(shù)據(jù)跨境流動規(guī)則，我國應(yīng)在完善國內(nèi)數(shù)據(jù)跨境監(jiān)管體系的基礎(chǔ)上，積極探索與“一帶一路”沿線等國家建立數(shù)據(jù)跨境流動合作機制，爭取數(shù)據(jù)跨境流動國際合作的主動權(quán)。同時，加強與歐美發(fā)達國家在數(shù)據(jù)跨境流動領(lǐng)域的對話與合作。