企業(yè)跨境數(shù)據(jù)保護(hù)成熟度研究：以面向歐盟區(qū)域?yàn)槔?

齊佳音 池雅瓊,2 劉 峰

(1.上海對(duì)外經(jīng)貿(mào)大學(xué)人工智能與變革管理研究院 上海 200336;2.上海對(duì)外經(jīng)貿(mào)大學(xué)統(tǒng)計(jì)與信息學(xué)院 上海 201620;3.華東師范大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 上海 200062；4.華東師范大學(xué)上海智能教育研究院 上海 200062)

0 引 言

縱觀數(shù)據(jù)保護(hù)的歷史淵源，尤以歐美走在世界前沿，其中歐盟秉持“對(duì)于公民權(quán)利的尊重”的價(jià)值主旨[1]，于2018年頒布的《通用數(shù)據(jù)保護(hù)條例》(GDPR)最具代表性；而后為維護(hù)自身相對(duì)于域外世界的主體地位[2]，歐盟對(duì)數(shù)據(jù)跨境政策的把控程度在逐漸提高，并且隨著Schrems II案件的判決，歐洲數(shù)據(jù)保護(hù)委員會(huì)(EDPB)于2020年11月11日又相繼發(fā)布的兩份針對(duì)國(guó)際數(shù)據(jù)傳輸?shù)慕ㄗh草案(“建議草案”)不僅延續(xù)了GDPR的執(zhí)法本質(zhì)，還更進(jìn)一步收緊控制了歐盟數(shù)據(jù)的跨境流動(dòng)。作為全球最嚴(yán)苛的數(shù)據(jù)保護(hù)立法，GDPR自生效以來便以維護(hù)人權(quán)的超然姿態(tài)對(duì)企業(yè)跨境數(shù)據(jù)操作合規(guī)問題提出了重重考驗(yàn)，尤其是從2019年初的谷歌天價(jià)罰款開始[3]，其執(zhí)法就呈現(xiàn)出破竹之勢(shì)，此后執(zhí)法機(jī)構(gòu)更是不斷以其雷霆手段震撼著全球數(shù)據(jù)保護(hù)合規(guī)群體。當(dāng)前GDPR對(duì)企業(yè)跨境數(shù)據(jù)合規(guī)問題的處罰依據(jù)主要包括：違反數(shù)據(jù)處理基本原則和未充分保障數(shù)據(jù)主體權(quán)利兩個(gè)方面。

因此，本研究著眼于面向歐盟區(qū)域的跨境數(shù)據(jù)流動(dòng)監(jiān)管要點(diǎn)，以數(shù)據(jù)隱私管理標(biāo)準(zhǔn)發(fā)展三階段：公平信息實(shí)踐FIP、隱私影響評(píng)估PIA與隱私保護(hù)設(shè)計(jì)PbD，以及數(shù)據(jù)出境安全評(píng)估、能力成熟度模型、數(shù)據(jù)安全能力成熟度模型等為理論基礎(chǔ)，從企業(yè)內(nèi)部數(shù)據(jù)保護(hù)及企業(yè)外部風(fēng)險(xiǎn)防控兩方面探索數(shù)據(jù)跨境保護(hù)的人文價(jià)值與維護(hù)國(guó)家安全、經(jīng)濟(jì)利益的平衡，通過區(qū)域監(jiān)管要點(diǎn)、歐盟關(guān)于數(shù)據(jù)跨境的最近進(jìn)展及GDPR經(jīng)典執(zhí)法案例，分析企業(yè)面向歐盟區(qū)域市場(chǎng)時(shí)的跨境數(shù)據(jù)保護(hù)成熟度評(píng)估因素構(gòu)成，掌握引起企業(yè)跨境數(shù)據(jù)監(jiān)管問題的關(guān)鍵要素，并運(yùn)用層次分析法形成成熟度評(píng)估指標(biāo)，構(gòu)建企業(yè)跨境數(shù)據(jù)保護(hù)成熟度評(píng)估模型。

1 相關(guān)理論及研究方法

1.1 相關(guān)理論

1.1.1數(shù)據(jù)隱私管理標(biāo)準(zhǔn)及安全監(jiān)管相關(guān)理論

a.公平信息實(shí)踐FIP。為了從企業(yè)管理的視角出發(fā)來解決隨企業(yè)發(fā)展所帶來的隱私保護(hù)問題，誕生于1973年的公平信息實(shí)踐(Fair Information Practices)[4]，其初衷并非側(cè)重于個(gè)人數(shù)據(jù)的保護(hù)上，而是美國(guó)政府為回應(yīng)日益普遍的計(jì)算機(jī)數(shù)據(jù)庫(kù)處理個(gè)人信息所伴生的問題，成立了一個(gè)名為“關(guān)于個(gè)人數(shù)據(jù)自動(dòng)系統(tǒng)的建議小組”(Advisory Committee on Automated Personal Data Systems)，并由小組首先發(fā)布的一份“公平信息實(shí)踐準(zhǔn)則”報(bào)告[5]，確立了包括要求任何組織在計(jì)劃使用數(shù)據(jù)時(shí)必須采取預(yù)防措施防止數(shù)據(jù)的濫用等5項(xiàng)處理個(gè)人數(shù)據(jù)的原則。隨后又在 1977 年的“隱私保護(hù)學(xué)習(xí)委員會(huì)”報(bào)告中繼續(xù)發(fā)展，不僅構(gòu)建了數(shù)據(jù)保護(hù)系統(tǒng)的三大目標(biāo)，還將5項(xiàng)個(gè)人數(shù)據(jù)處理原則擴(kuò)展到8項(xiàng)，如公開原則、個(gè)人訪問原則等。至此，公平信息實(shí)踐大致確立了個(gè)人信息保護(hù)的基本框架與原則。

b.隱私影響評(píng)估PIA。20世紀(jì)70年代以來，越來越多的公眾迫切想知道自身的個(gè)人數(shù)據(jù)是如何為企業(yè)所濫用，隱私安全問題逐漸進(jìn)入公眾視野并廣受關(guān)注，與此同時(shí)企業(yè)更加意識(shí)到了隱私保護(hù)在管理戰(zhàn)略中的關(guān)鍵性地位。為了對(duì)消費(fèi)者權(quán)利讓渡，隱私影響評(píng)估(Privacy Impact Assessment，PIA)成為了政府以經(jīng)濟(jì)利益為導(dǎo)向在探索隱私管理工具之路上的豐碩成果之一[6]。作為政府規(guī)避隱私風(fēng)險(xiǎn)和進(jìn)行隱私保護(hù)工作的一項(xiàng)政策工具[7]，自誕生之日起，隱私影響評(píng)估便帶有極為強(qiáng)烈的問題意識(shí)與目標(biāo)導(dǎo)向，即首先識(shí)別、評(píng)估某些與政府?dāng)?shù)據(jù)管理項(xiàng)目相關(guān)的個(gè)人隱私風(fēng)險(xiǎn)，然后確定與之相對(duì)應(yīng)的隱私風(fēng)險(xiǎn)應(yīng)對(duì)方案，最終實(shí)現(xiàn)個(gè)人隱私的有效保護(hù)，并率先由美英加澳新帶頭成功實(shí)踐其原理及過程[8]，逐漸成為了信息安全領(lǐng)域最常規(guī)的信息保護(hù)手段。

c.隱私保護(hù)設(shè)計(jì)PbD。比隱私影響評(píng)估概念更加廣泛的“隱私保護(hù)設(shè)計(jì)”(PbD)起源于1995年荷蘭與加拿大數(shù)據(jù)保護(hù)當(dāng)局的一份報(bào)告，進(jìn)而為加拿大隱私保護(hù)專員Ann Cavoukian推動(dòng)倡導(dǎo)[9]，隨后又獲得歐盟委員會(huì)的高度認(rèn)同，并于2010年的“國(guó)際數(shù)據(jù)保護(hù)與隱私專員大會(huì)”列為保護(hù)隱私的重要方法。

d.數(shù)據(jù)出境安全評(píng)估。相比于美國(guó)的市場(chǎng)貿(mào)易利益導(dǎo)向和歐洲極致的人文價(jià)值追求，我國(guó)對(duì)數(shù)據(jù)跨境監(jiān)管則更注重人文價(jià)值與國(guó)家安全、經(jīng)濟(jì)利益的平衡。從國(guó)家安全法首次提出“網(wǎng)絡(luò)空間主權(quán)”到“數(shù)據(jù)主權(quán)”的不斷深入人心，我國(guó)將數(shù)據(jù)出境安全評(píng)估理論視為目前我國(guó)監(jiān)管跨境數(shù)據(jù)轉(zhuǎn)移最具彈性考量的法律依據(jù)[10]，并明確作為《網(wǎng)絡(luò)安全法》的監(jiān)管標(biāo)準(zhǔn)，規(guī)定了“個(gè)人信息”和“關(guān)鍵信息基礎(chǔ)設(shè)施”等數(shù)據(jù)的出境安全評(píng)估流程、評(píng)估要點(diǎn)、評(píng)估方法等，同時(shí)授權(quán)國(guó)家有關(guān)監(jiān)管部門進(jìn)行“安全評(píng)估”細(xì)則的制定，為平衡個(gè)人價(jià)值和國(guó)家利益發(fā)展留有充分的余地。

1.1.2成熟度相關(guān)理論

a.能力成熟度模型(CMM)。由Humphrey等人提出的成熟度模型的概念內(nèi)涵立足于提高生產(chǎn)率和利潤(rùn)率的目標(biāo)[11]，為組織構(gòu)建一個(gè)有規(guī)律的、成熟的軟件發(fā)展過程提供了一個(gè)階梯式的改進(jìn)框架，根據(jù)開發(fā)工作之間的內(nèi)外在關(guān)聯(lián)和先后次序逐步指引組織開展計(jì)劃并以增量的方式引入過程演化，并將變化階段劃分為初始級(jí)、可重復(fù)級(jí)、已定義級(jí)、已管理級(jí)以及優(yōu)化級(jí)5個(gè)成熟度級(jí)別，促使軟件組織最終趨于成熟化[12]。

b.數(shù)據(jù)安全能力成熟度模型(DSMM)。數(shù)據(jù)安全能力成熟度模型以采集、傳輸、存儲(chǔ)、處理、交換、銷毀6個(gè)階段的數(shù)據(jù)生命周期過程的安全為關(guān)鍵內(nèi)容，為組織提供了包括組織架構(gòu)和制度流程的建設(shè)、技術(shù)工具的使用要求以及數(shù)據(jù)安全從業(yè)者的數(shù)據(jù)保護(hù)意識(shí)在內(nèi)的4項(xiàng)安全能力衡量指標(biāo)、5項(xiàng)能力成熟度劃分等級(jí)以及結(jié)合形成數(shù)據(jù)安全過程的11項(xiàng)通用安全過程域，共同構(gòu)成了組織數(shù)據(jù)安全能力的成熟度基礎(chǔ)模型架構(gòu)[13]。

1.2 研究方法

本研究采用群決策層次分析法及其計(jì)算軟件yaahp(Yet Another AHP)[14]，通過構(gòu)建各專家判斷矩陣并檢驗(yàn)其一致性，繼而集結(jié)所有的判斷矩陣，對(duì)企業(yè)跨境數(shù)據(jù)保護(hù)成熟度評(píng)估指標(biāo)賦權(quán)，從而為企業(yè)最終的成熟度得分提供數(shù)據(jù)計(jì)算支持。

2 企業(yè)跨境數(shù)據(jù)保護(hù)成熟度評(píng)價(jià)體系設(shè)計(jì)

2.1 企業(yè)跨境數(shù)據(jù)保護(hù)成熟度評(píng)價(jià)體系設(shè)計(jì)思路

企業(yè)跨境數(shù)據(jù)保護(hù)成熟度不僅涉及到企業(yè)內(nèi)部自發(fā)的數(shù)據(jù)保護(hù)，還與企業(yè)積極應(yīng)對(duì)外部風(fēng)險(xiǎn)息息相關(guān)。因此本研究將從內(nèi)部和外部?jī)蓚€(gè)方面來設(shè)計(jì)企業(yè)跨境數(shù)據(jù)保護(hù)成熟度評(píng)價(jià)體系。

a.內(nèi)部數(shù)據(jù)保護(hù)的設(shè)計(jì)思路。企業(yè)內(nèi)部數(shù)據(jù)保護(hù)主要通過軟硬件層面的安全設(shè)計(jì)與管理層面的合規(guī)治理兩方面來體現(xiàn)?；诖耍瑢⑵髽I(yè)內(nèi)部數(shù)據(jù)保護(hù)劃分為平臺(tái)風(fēng)險(xiǎn)與企業(yè)行為兩個(gè)維度。

平臺(tái)風(fēng)險(xiǎn)是指企業(yè)在軟硬件設(shè)計(jì)上的數(shù)據(jù)風(fēng)險(xiǎn)把控，參考DSMM中通用安全過程域和對(duì)數(shù)據(jù)保護(hù)工具的相關(guān)規(guī)定，隱私影響評(píng)估的過程及其關(guān)鍵風(fēng)險(xiǎn)內(nèi)容，將平臺(tái)風(fēng)險(xiǎn)劃分為信息系統(tǒng)層面的安全性、網(wǎng)絡(luò)協(xié)議層面的安全程度、設(shè)施各方面的物理環(huán)境安全性、網(wǎng)站用戶隱私安全設(shè)置水平、抵御黑客竊取的安全水平[15]。企業(yè)行為是指企業(yè)在管理意識(shí)、規(guī)章制度、行為表現(xiàn)上的數(shù)據(jù)保護(hù)合規(guī)治理，依據(jù)CMM、DSMM對(duì)組織架構(gòu)及制度的構(gòu)建、數(shù)據(jù)安全從業(yè)者的數(shù)據(jù)保護(hù)意識(shí)和專業(yè)技能的強(qiáng)調(diào)，將數(shù)據(jù)隱私意識(shí)程度、數(shù)據(jù)隱私管理制度水平和信息保護(hù)行為水平作為企業(yè)行為的評(píng)價(jià)維度[16]。

b.外部風(fēng)險(xiǎn)防控的設(shè)計(jì)思路。借鑒以國(guó)際隱私保護(hù)法的合規(guī)為核心導(dǎo)向的企業(yè)隱私保護(hù)實(shí)踐：Intel隱私成熟度模型、AICPA/CICA隱私成熟度模型和GDPR成熟度框架的重點(diǎn)內(nèi)涵，將境內(nèi)外有關(guān)法規(guī)的合規(guī)要求作為企業(yè)的相對(duì)數(shù)據(jù)保護(hù)外部風(fēng)控依據(jù)，如知識(shí)產(chǎn)權(quán)保護(hù)、境內(nèi)外國(guó)家政策影響、隱私保護(hù)技術(shù)代差和數(shù)據(jù)跨境傳輸保護(hù)水平是企業(yè)面對(duì)外部風(fēng)險(xiǎn)的主要防控[16]。

2.2 企業(yè)跨境數(shù)據(jù)保護(hù)成熟度評(píng)價(jià)體系指標(biāo)提取

如表1歐盟區(qū)域跨境數(shù)據(jù)監(jiān)管要點(diǎn)及數(shù)據(jù)出境最新建議示例所示，從歐盟跨境數(shù)據(jù)監(jiān)管要點(diǎn)及數(shù)據(jù)出境最新建議的具體內(nèi)容出發(fā)，綜合考量歐盟的數(shù)據(jù)處理基本原則與數(shù)據(jù)主體權(quán)利的高度人文價(jià)值追求。如根據(jù)最小范圍原則、責(zé)任原則的有關(guān)詳細(xì)要求抽離相應(yīng)的數(shù)據(jù)保護(hù)要點(diǎn)，形成了表3中的最小化原則設(shè)置水平、數(shù)據(jù)處控雙方職責(zé)踐行水平兩項(xiàng)指標(biāo)的依據(jù)來源；根據(jù)GDPR要求保障數(shù)據(jù)主體的知情權(quán)、訪問權(quán)、刪除權(quán)、拒絕權(quán)等有關(guān)說明，分別構(gòu)成表3中的用戶數(shù)據(jù)管理透明度、用戶數(shù)據(jù)訪問權(quán)限程度、用戶數(shù)據(jù)刪除權(quán)意識(shí)程度、用戶數(shù)據(jù)拒絕權(quán)意識(shí)程度幾項(xiàng)指標(biāo)的內(nèi)容范疇，同時(shí)對(duì)這些個(gè)人權(quán)利的保障也是我國(guó)最新出臺(tái)的《個(gè)人信息保護(hù)法》用以更加清晰、準(zhǔn)確和便于理解的規(guī)則來進(jìn)行企業(yè)數(shù)據(jù)監(jiān)管的重點(diǎn)。此外，歐盟針對(duì)數(shù)據(jù)出境最新建議不僅為企業(yè)評(píng)估第三國(guó)的數(shù)據(jù)保護(hù)水平提供了“六步走”的指導(dǎo)，還額外補(bǔ)充了包括技術(shù)、合同、組織方面的一系列補(bǔ)充措施，均成為了表3中外部風(fēng)險(xiǎn)管控體系水平、數(shù)據(jù)安全基本技術(shù)保障水平、其他保障措施水平、員工數(shù)據(jù)隱私意識(shí)培訓(xùn)程度、數(shù)據(jù)保護(hù)影響評(píng)估制度水平、保密協(xié)議簽訂制度水平、隱私評(píng)估流程踐行水平等指標(biāo)的重要方面，其中特別針對(duì)諸如標(biāo)準(zhǔn)合同條款、公司約束性規(guī)則、例外情況以及自歐盟法院(CJEU)判決“隱私盾協(xié)議”無效之后提出的數(shù)據(jù)跨境“個(gè)案審查”的原則[17]等作為其他保障措施水平的關(guān)鍵內(nèi)涵，并將其設(shè)為本研究模型的一個(gè)彈性考量因素以應(yīng)對(duì)未來國(guó)際形勢(shì)的變化影響。根據(jù)中興通訊數(shù)據(jù)保護(hù)合規(guī)部、數(shù)據(jù)法盟聯(lián)合發(fā)布的兩份有關(guān)GDPR執(zhí)法案例的白皮書，整理出相關(guān)處罰案例如表2所示。歐盟的GDPR處罰主要集中在缺乏數(shù)據(jù)處理合法性基礎(chǔ)、缺乏保障信息安全的技術(shù)和組織措施、違反數(shù)據(jù)處理基本原則、未滿足數(shù)據(jù)主體權(quán)利的實(shí)現(xiàn)、未履行充分性告知義務(wù)、違反數(shù)據(jù)泄露響應(yīng)義務(wù)、違反DPO任命義務(wù)以及未簽署數(shù)據(jù)處理協(xié)議/與監(jiān)管機(jī)構(gòu)的合作不足9項(xiàng)內(nèi)容上，并將區(qū)域監(jiān)管要點(diǎn)、歐盟關(guān)于數(shù)據(jù)跨境的最近進(jìn)展和GDPR執(zhí)法要點(diǎn)納入軟硬件層面、合規(guī)治理層面以及外部風(fēng)險(xiǎn)防控層面，來拓展企業(yè)跨境數(shù)據(jù)保護(hù)成熟度評(píng)價(jià)的三級(jí)指標(biāo)體系，如GDPR的數(shù)據(jù)處理基本原則和數(shù)據(jù)主體權(quán)利可在平臺(tái)風(fēng)險(xiǎn)和企業(yè)行為中充分展現(xiàn)，而各區(qū)域執(zhí)法要點(diǎn)，尤其是跨境執(zhí)法規(guī)則則可在外部風(fēng)險(xiǎn)防控中具體展示。此外添加計(jì)算機(jī)硬件安全性、數(shù)據(jù)庫(kù)安全性、網(wǎng)絡(luò)協(xié)議安全性的4項(xiàng)具體表現(xiàn)、物理環(huán)境安全性的3項(xiàng)具體表現(xiàn)、黑客竊取安全水平的5項(xiàng)具體表現(xiàn)、員工數(shù)據(jù)隱私意識(shí)培訓(xùn)程度、隱私評(píng)估流程踐行水平、知識(shí)產(chǎn)權(quán)保護(hù)水平的3項(xiàng)具體表現(xiàn)、外部風(fēng)險(xiǎn)管控體系水平、數(shù)據(jù)安全基本技術(shù)保障水平、跨境金融欺詐防控水平，來與上述內(nèi)容共同構(gòu)成如表3所示的12項(xiàng)二級(jí)指標(biāo)、41項(xiàng)三級(jí)指標(biāo)。

表1 歐盟區(qū)域跨境數(shù)據(jù)監(jiān)管要點(diǎn)及數(shù)據(jù)出境最新建議示例

表2 GDPR自生效至今處罰案例及處罰內(nèi)容示例

表3 二級(jí)指標(biāo)及三級(jí)指標(biāo)

續(xù)表3 二級(jí)指標(biāo)及三級(jí)指標(biāo)

最終獲得如表4所示的企業(yè)跨境數(shù)據(jù)保護(hù)成熟度評(píng)估指標(biāo)總覽表和圖1企業(yè)跨境數(shù)據(jù)保護(hù)成熟度評(píng)估體系。

表4 企業(yè)跨境數(shù)據(jù)保護(hù)成熟度評(píng)估指標(biāo)總覽表

圖1 企業(yè)跨境數(shù)據(jù)保護(hù)成熟度評(píng)估體系

3 企業(yè)跨境數(shù)據(jù)保護(hù)成熟度評(píng)估因素評(píng)價(jià)

3.1 構(gòu)建企業(yè)跨境數(shù)據(jù)保護(hù)成熟度評(píng)估模型

根據(jù)上述成熟度評(píng)估指標(biāo)總覽表(表4)及指標(biāo)體系圖(圖1)，運(yùn)用AHP來構(gòu)建企業(yè)跨境數(shù)據(jù)保護(hù)成熟度評(píng)估層次模型，如圖2所示，其中A層為目標(biāo)層， 目標(biāo)定位企業(yè)跨境數(shù)據(jù)保護(hù)成熟度因素評(píng)價(jià)；B1-B3是維度層，C1-C12是指標(biāo)層，D1-D41是在企業(yè)跨境數(shù)據(jù)保護(hù)成熟度評(píng)估過程中的具體表現(xiàn)，視為方案層。

圖2 企業(yè)跨境數(shù)據(jù)保護(hù)成熟度評(píng)估層次模型

同時(shí)沿用能力成熟度模型的5個(gè)成熟度等級(jí)劃分，但目前少有文獻(xiàn)詳細(xì)介紹成熟度的打分方法，僅有部分企業(yè)實(shí)踐中有所涉及。因此，本文參考Intel隱私成熟度模型的評(píng)分方式，設(shè)置分值下限為0.5、上限為5，分值粒度為0.5，以便于模型計(jì)算，具體內(nèi)容如表5所示[16]。

表5 成熟度打分(分值粒度0.5)

3.2 相對(duì)權(quán)重計(jì)算

本文采用九級(jí)標(biāo)度法確定指標(biāo)的相對(duì)權(quán)重[18]，而作為確定指標(biāo)的一般方法，傳統(tǒng)的層次分析法局限于單專家決策使用，使得判定結(jié)果極具主觀性，因此為降低單專家決策對(duì)指標(biāo)權(quán)重的影響，本文利用群決策層次分析法[14]，邀請(qǐng)了43位涉及金融、管理、跨境貿(mào)易、數(shù)據(jù)法、信息技術(shù)、信息安全、數(shù)據(jù)隱私等各領(lǐng)域的專家共同參與測(cè)量模型指標(biāo)權(quán)重。使用群決策層次分析法計(jì)算軟件yaahp(Yet Another AHP)[14]矯正專家數(shù)據(jù)的誤差累積。在分別計(jì)算并修正各專家的單獨(dú)判斷矩陣，使得所有判斷矩陣均具有一致性的基礎(chǔ)上，采用數(shù)值平均的計(jì)算方式集結(jié)所有專家判斷矩陣，以此來降低誤差。再通過香農(nóng)信息熵方法確定各項(xiàng)評(píng)估指標(biāo)的熵值以獲得指標(biāo)的客觀權(quán)重值，最后進(jìn)行主客觀指標(biāo)權(quán)重值的綜合計(jì)算[15]，以此來平衡群決策分析法的主觀性，獲取最終的指標(biāo)權(quán)重值。

3.3 企業(yè)跨境數(shù)據(jù)保護(hù)成熟度評(píng)估模型應(yīng)用

3.3.1GDPR案例應(yīng)用

首先將面向歐盟的評(píng)估體系應(yīng)用于上文19個(gè)歐盟GDPR案例(見表6)，各案例不僅均覆蓋對(duì)應(yīng)的GDPR執(zhí)法依據(jù)，還違反了評(píng)估體系的其他指標(biāo)，其中尤以案例6沃達(dá)豐系列數(shù)據(jù)違規(guī)事件表現(xiàn)最為突出，違反了信息系統(tǒng)安全性、網(wǎng)絡(luò)協(xié)議安全性、隱私安全設(shè)置水平、黑客竊取安全水平、數(shù)據(jù)隱私意識(shí)程度、數(shù)據(jù)隱私管理制度水平、信息保護(hù)行為水平等二級(jí)指標(biāo)。與其數(shù)次為GDPR，諸如將個(gè)人數(shù)據(jù)發(fā)送給非授權(quán)第三人、數(shù)據(jù)處理的法律依據(jù)不足、違反數(shù)據(jù)安全保障義務(wù)等多項(xiàng)處罰內(nèi)容處以嚴(yán)懲事實(shí)相符，用以初步驗(yàn)證評(píng)估體系的有效性。

表6 19個(gè)GDPR案例及對(duì)應(yīng)違反的指標(biāo)

續(xù)表6 19個(gè)GDPR案例及對(duì)應(yīng)違反的指標(biāo)

3.3.2區(qū)域問卷數(shù)據(jù)收集應(yīng)用

為了對(duì)模型進(jìn)行應(yīng)用，本文首先以金融、保險(xiǎn)業(yè)、信息傳輸、計(jì)算機(jī)服務(wù)與軟件業(yè)和批發(fā)、零售業(yè)為對(duì)象，并針對(duì)有對(duì)歐業(yè)務(wù)的跨境企業(yè)進(jìn)行了問卷發(fā)放(回收問卷總數(shù)450份)，以獲取三個(gè)行業(yè)中擁有歐盟區(qū)域跨境業(yè)務(wù)的企業(yè)跨境數(shù)據(jù)保護(hù)實(shí)際情況。同時(shí)邀請(qǐng)了國(guó)內(nèi)43位有關(guān)金融、管理、跨境貿(mào)易、數(shù)據(jù)法、信息技術(shù)、信息安全、數(shù)據(jù)隱私等各領(lǐng)域的專家共同對(duì)模型指標(biāo)賦權(quán)(本文研究涉及的原始數(shù)據(jù)均放置于網(wǎng)址：https://github.com/CHIYAQIONG/Enterprise-cross-border-data-protection-questionnaire)。首先使用群決策層次分析法計(jì)算軟件yaahp計(jì)算，同時(shí)修正每一位專家的判斷矩陣，使其通過一致性檢驗(yàn)，再集結(jié)全部判斷矩陣，最后使用信息熵綜合計(jì)算模型指標(biāo)權(quán)重，最終獲得如表7所示的一級(jí)指標(biāo)總排序。

表7 一級(jí)指標(biāo)總排序

續(xù)表7 一級(jí)指標(biāo)總排序

結(jié)合所收集的450份目標(biāo)行業(yè)(行業(yè)問卷數(shù)量比例1∶1∶1)的企業(yè)跨境數(shù)據(jù)保護(hù)成熟度初始評(píng)分的有效問卷數(shù)據(jù)進(jìn)一步分析，得到如表8所示的3個(gè)行業(yè)的最終評(píng)估情況。

表8 金融業(yè)、信息技術(shù)業(yè)、零售業(yè)數(shù)據(jù)保護(hù)成熟度最終評(píng)估情況

對(duì)比3個(gè)目標(biāo)行業(yè)面向歐盟區(qū)域的跨境數(shù)據(jù)保護(hù)成熟度評(píng)估情況可得：信息技術(shù)行業(yè)總體成熟度得分位居第一，金融業(yè)第二，零售業(yè)最后。具體分析如下：

歐洲的行業(yè)標(biāo)準(zhǔn)始終都走在世界前沿，其嚴(yán)格的市場(chǎng)準(zhǔn)入規(guī)定也令眾多企業(yè)望而生畏，而后又諸如將人工智能等信息技術(shù)行業(yè)囊括于外國(guó)對(duì)歐投資的敏感行業(yè)此一條歐盟新規(guī)，更加使得各國(guó)有關(guān)涉歐行業(yè)為此保持高度警惕。并且隨著GDPR執(zhí)法與IT部門的關(guān)系日漸緊密，我國(guó)涉歐信息技術(shù)行業(yè)為極力保住歐洲市場(chǎng)，很大一部分跨境企業(yè)早早就開始了為GDPR合規(guī)做準(zhǔn)備，將數(shù)據(jù)隱私安全保護(hù)納入企業(yè)對(duì)歐的發(fā)展戰(zhàn)略當(dāng)中；而與信息技術(shù)行業(yè)同樣歸屬于服務(wù)業(yè)的金融、保險(xiǎn)行業(yè)始終處于歐盟規(guī)定的敏感領(lǐng)域，并且根據(jù)一份歐盟文件指示，歐盟擬實(shí)施更嚴(yán)厲的金融市場(chǎng)準(zhǔn)入規(guī)則，迫使各金融機(jī)構(gòu)不得不重視包括數(shù)據(jù)等全方面安全在內(nèi)的對(duì)歐標(biāo)準(zhǔn)?？v觀我國(guó)零售行業(yè)相對(duì)信息技術(shù)及金融行業(yè)的數(shù)據(jù)保護(hù)意識(shí)較為薄弱，其行業(yè)數(shù)據(jù)泄露事件也在各類數(shù)據(jù)泄露事件報(bào)告中占據(jù)榜首，但本就因?yàn)橐咔閷?duì)零售行業(yè)的巨大沖擊，使得各國(guó)零售業(yè)處于低迷狀態(tài)，再加上歐盟本地的競(jìng)爭(zhēng)對(duì)手極有可能在過去幾年里已經(jīng)投入了GDPR合規(guī)成本等等競(jìng)爭(zhēng)情況，均迫使我國(guó)與歐盟境內(nèi)個(gè)人信息緊密關(guān)聯(lián)的零售業(yè)不僅要遵守歐盟市場(chǎng)監(jiān)管新規(guī) (EU) 2019/1020，還應(yīng)更加積極踐行GDPR的有關(guān)監(jiān)管條例。

由表8可知，3個(gè)行業(yè)最薄弱的領(lǐng)域均為外部威脅；成熟度得分最差的二級(jí)指標(biāo)均包括黑客竊取安全水平、物理環(huán)境安全性、隱私安全設(shè)置水平、數(shù)據(jù)跨境傳輸保護(hù)水平、網(wǎng)絡(luò)協(xié)議安全性、隱私保護(hù)技術(shù)代差水平6項(xiàng)；雖然各行業(yè)在三級(jí)指標(biāo)維度的薄弱順序有所不同，但含括的指標(biāo)均相同,其中尤其是數(shù)據(jù)主體權(quán)利及最小化原則等指標(biāo)也赫然在列。基于硬件等基礎(chǔ)架構(gòu)設(shè)施作為企業(yè)發(fā)展的先決條件，應(yīng)對(duì)平臺(tái)風(fēng)險(xiǎn)就成為了企業(yè)正常運(yùn)轉(zhuǎn)的基本保障。隨著目標(biāo)市場(chǎng)的特殊性突顯，對(duì)接歐盟GDPR等準(zhǔn)則對(duì)企業(yè)的市場(chǎng)戰(zhàn)略產(chǎn)生了重大的影響，其中尤其是在進(jìn)行數(shù)據(jù)處理時(shí)更加注重遵守?cái)?shù)據(jù)處理的基本原則，但數(shù)據(jù)主體的各項(xiàng)權(quán)利依舊是企業(yè)管理的弱勢(shì)環(huán)節(jié)。然而，以保護(hù)人權(quán)著稱的GDPR在未來終將不斷加大執(zhí)法力度，所有涉歐行業(yè)需審慎對(duì)待；同時(shí)根據(jù)民眾強(qiáng)烈反映的App非法、超范圍收集個(gè)人信息等現(xiàn)狀再出重拳整治的強(qiáng)勢(shì)態(tài)度下，各行各業(yè)均需拉響警鐘，應(yīng)在維持正常業(yè)務(wù)運(yùn)作下合理合規(guī)、最小化范圍收集用戶數(shù)據(jù)。

4 結(jié)論及研究局限

4.1 結(jié)論

本研究以面向歐盟區(qū)域的跨境數(shù)據(jù)流動(dòng)保護(hù)問題為出發(fā)點(diǎn)，根據(jù)數(shù)據(jù)隱私管理標(biāo)準(zhǔn)發(fā)展三階段以及數(shù)據(jù)出境安全評(píng)估、能力成熟度模型、數(shù)據(jù)安全能力成熟度模型等理論基礎(chǔ)，從企業(yè)內(nèi)部數(shù)據(jù)保護(hù)及企業(yè)外部風(fēng)險(xiǎn)防控兩方面探索數(shù)據(jù)跨境保護(hù)的人文價(jià)值與維護(hù)國(guó)家安全、經(jīng)濟(jì)利益的平衡，通過區(qū)域監(jiān)管要點(diǎn)、歐盟關(guān)于數(shù)據(jù)跨境的最近進(jìn)展及GDPR經(jīng)典執(zhí)法案例，運(yùn)用群決策層次分析及信息熵方法構(gòu)建面向歐盟區(qū)域的企業(yè)跨境數(shù)據(jù)保護(hù)成熟度評(píng)估模型，并以GDPR經(jīng)典19個(gè)案例及國(guó)內(nèi)三個(gè)典型行業(yè)：金融、保險(xiǎn)業(yè)，信息傳輸、計(jì)算機(jī)服務(wù)與軟件業(yè)，批發(fā)、零售業(yè)中涉歐企業(yè)進(jìn)行模型運(yùn)用。結(jié)果發(fā)現(xiàn)在面向歐盟區(qū)域時(shí)，企業(yè)跨境數(shù)據(jù)保護(hù)的突出區(qū)域性監(jiān)管缺陷，有利于客觀、準(zhǔn)確地掌握我國(guó)企業(yè)對(duì)歐跨境數(shù)據(jù)保護(hù)方面的成熟度評(píng)估，對(duì)我國(guó)企業(yè)未來的GDPR合規(guī)踐行以及企業(yè)行業(yè)自律具有一定的現(xiàn)實(shí)意義。

4.2 研究局限

本研究構(gòu)建了數(shù)字貿(mào)易背景下企業(yè)對(duì)歐跨境數(shù)據(jù)保護(hù)成熟度的評(píng)估模型，深入研究了企業(yè)GDPR合規(guī)的實(shí)踐管理及方法運(yùn)用。同時(shí)本文還存在如下局限性，在后續(xù)的研究中有待改進(jìn)：評(píng)估指標(biāo)及權(quán)重的確定主要通過區(qū)域監(jiān)管要點(diǎn)以及GDPR條例法規(guī)和邀請(qǐng)專家問卷打分，群決策及信息熵等方式綜合計(jì)算，但主觀偏差依舊不可避免，且邀請(qǐng)的專家僅限于國(guó)內(nèi)有關(guān)領(lǐng)域的專家，國(guó)際專家的建議還有所欠缺，成熟度評(píng)估分析方法的適用性還需進(jìn)一步提高。此外，在數(shù)據(jù)監(jiān)管方面的“數(shù)據(jù)確權(quán)”問題也始終紛爭(zhēng)不斷，并且在當(dāng)前的法律層面尚存空白，有關(guān)規(guī)定中也多以數(shù)據(jù)“控制者”與“處理者”來避免所有權(quán)的問題，而本文研究正是從企業(yè)作為數(shù)據(jù)的控制者或處理者的身份出發(fā)，來思考企業(yè)的數(shù)據(jù)跨境流動(dòng)問題，但未來還需更進(jìn)一步將“數(shù)據(jù)確權(quán)”納入該問題的一個(gè)重要考量因素范疇。而隨著以微軟為代表的企業(yè)絕對(duì)的數(shù)據(jù)本地化策略的宣稱，數(shù)據(jù)本地化也或?qū)⒊蔀榻窈笃髽I(yè)出海的首選方案之一，也應(yīng)在未來的研究中予以更多關(guān)注。最后，本研究簡(jiǎn)化了企業(yè)面向歐盟區(qū)域的業(yè)務(wù)場(chǎng)景，而實(shí)際上對(duì)于企業(yè)來說情況更為復(fù)雜，因此本研究為面向歐盟市場(chǎng)的企業(yè)跨境數(shù)據(jù)保護(hù)起到一個(gè)拋磚引玉的作用，希望在今后的領(lǐng)域研究中會(huì)有更多的創(chuàng)新發(fā)展。