企業(yè)數(shù)據(jù)跨境流動中的合規(guī)對策和選擇

王 蕾

（南京財經(jīng)大學(xué)）

一、跨境數(shù)據(jù)以及數(shù)據(jù)合規(guī)概述

數(shù)字技術(shù)在近年深刻改變著全球的政治和經(jīng)濟(jì)格局，全球化背景下數(shù)據(jù)的跨境活動爆炸式增長且對數(shù)據(jù)流動的需求也在不斷的擴(kuò)張，數(shù)據(jù)流動是大數(shù)據(jù)產(chǎn)業(yè)的根本需求，隨著我國全球化程度的深入，在“一帶一路”倡議背景之下，國家之間的經(jīng)貿(mào)關(guān)系愈加緊密，數(shù)據(jù)的跨境流動也成為經(jīng)濟(jì)全球化以及數(shù)字經(jīng)濟(jì)發(fā)展不可避免的趨勢。與此同時企業(yè)作為數(shù)字經(jīng)濟(jì)的主體，隨著海外業(yè)務(wù)增長，數(shù)據(jù)跨境流動活躍，面臨著更加嚴(yán)峻的數(shù)字安全與合規(guī)風(fēng)險，需要尋求更加科學(xué)合理的合規(guī)體系建設(shè)，進(jìn)而更好地參與市場競爭。

（一）跨境數(shù)據(jù)流動內(nèi)涵的變化

所謂的“數(shù)據(jù)”是指對客觀事物進(jìn)行記錄并予以識別的符號，從數(shù)據(jù)的主體來看，可以分為個人數(shù)據(jù)、商業(yè)數(shù)據(jù)以及公共數(shù)據(jù)。不同類型數(shù)據(jù)的保護(hù)涉及不同的利益取舍，個人數(shù)據(jù)的跨境流動保護(hù)主要涉及到個人人格權(quán)和隱私權(quán)的保護(hù)；商業(yè)數(shù)據(jù)的跨境保護(hù)涉及到數(shù)據(jù)的政策以及出口；公共數(shù)據(jù)的跨境流動主要涉及到國家的數(shù)據(jù)安全、公共利益以及數(shù)據(jù)主權(quán)。數(shù)據(jù)跨境流動（Transborder Data Flow）的概念始見于1980年經(jīng)濟(jì)合作發(fā)展組織（OECD）制定的《關(guān)于保護(hù)隱私和個人數(shù)據(jù)跨境流動指南》，將其概括為個人數(shù)據(jù)跨越國境的運(yùn)動（Transborder of Personal Data）。歐盟在《一般數(shù)據(jù)保護(hù)條例》（GDPR）中采取的立場是不以跨越傳統(tǒng)的物理界限為唯一標(biāo)準(zhǔn)，如果數(shù)據(jù)可以被其他國家的主體訪問，也被認(rèn)為屬于數(shù)據(jù)跨境流動的范疇。由此可見，跨境數(shù)據(jù)的內(nèi)涵愈加豐富和具體，數(shù)據(jù)通過互聯(lián)網(wǎng)和信息系統(tǒng)跨越國家邊境的運(yùn)動，涉及到數(shù)據(jù)權(quán)屬、隱私保護(hù)、法律適用與管轄、乃至國際貿(mào)易規(guī)則等，具有強(qiáng)烈的數(shù)據(jù)時代的特征。

（二）企業(yè)數(shù)據(jù)合規(guī)的理論依據(jù)

企業(yè)是各種數(shù)據(jù)收集、處理、存儲的主體之一，是數(shù)據(jù)跨境流動的主體，在數(shù)字經(jīng)濟(jì)的驅(qū)動下，過度的禁止和放松都是不合理的，一方面過度禁止數(shù)據(jù)的流動不利于數(shù)據(jù)的跨境流動，不利于數(shù)字經(jīng)濟(jì)的發(fā)展趨勢。另一方面過度放松的數(shù)據(jù)跨境流動，盲目追求在數(shù)據(jù)市場上的自由流通，會造成數(shù)據(jù)流動和使用的混亂，對數(shù)據(jù)安全造成極大的風(fēng)險。大數(shù)據(jù)企業(yè)為品牌商海外市場的拓展提供了營銷渠道和商業(yè)洞察支持，然而如果大數(shù)據(jù)企業(yè)的企業(yè)戰(zhàn)略缺乏數(shù)據(jù)應(yīng)用的合規(guī)框架，會將企業(yè)置于違反數(shù)據(jù)跨境政策的法務(wù)風(fēng)險中。推動企業(yè)開展數(shù)據(jù)合規(guī)具有現(xiàn)實(shí)意義和緊迫性，企業(yè)規(guī)范收集、使用數(shù)據(jù)，安全地進(jìn)行數(shù)據(jù)跨境流動，恰當(dāng)遵守本國以及他國關(guān)于數(shù)據(jù)跨境流動的法律規(guī)則。企業(yè)數(shù)據(jù)合規(guī)體系建設(shè)不僅有現(xiàn)實(shí)的需求緊迫性，還具有理論上的依據(jù)。

企業(yè)作為社會的組成部分，本身是一種復(fù)合型社會經(jīng)濟(jì)組織，兼具經(jīng)濟(jì)屬性和社會屬性。企業(yè)的社會責(zé)任理論是企業(yè)約束自身行為，合規(guī)搭建的理論依據(jù)。根據(jù)傳統(tǒng)的經(jīng)濟(jì)學(xué)理論，企業(yè)具有天然的營利性和趨利性，隨著科學(xué)技術(shù)不斷發(fā)展，企業(yè)的市場化特征會導(dǎo)致其忽視社會效益，進(jìn)而引發(fā)嚴(yán)重的社會矛盾，當(dāng)前傳統(tǒng)的社會責(zé)任理論內(nèi)涵也與時俱進(jìn)發(fā)生了改變，企業(yè)在為股東爭取利益的同時還要主動承擔(dān)社會責(zé)任。隨著數(shù)字經(jīng)濟(jì)的發(fā)展，企業(yè)對社會的影響越來越深刻，企業(yè)所擁有的數(shù)據(jù)具有極高的商業(yè)價值以及人格權(quán)屬性，其社會屬性更加顯現(xiàn)，在數(shù)字經(jīng)濟(jì)的驅(qū)動下，數(shù)據(jù)全球流動具有常態(tài)化的趨勢，體現(xiàn)在各種貿(mào)易活動之中。特別是大數(shù)據(jù)企業(yè)合法合規(guī)的數(shù)據(jù)跨境安全流動會給社會帶來穩(wěn)定的經(jīng)濟(jì)效益，因此企業(yè)針對跨境數(shù)據(jù)流動方面的合規(guī)體系搭建，正是其社會屬性增強(qiáng)的理性選擇，也是其積極應(yīng)對數(shù)據(jù)保護(hù)和數(shù)據(jù)安全問題的展現(xiàn)。

二、數(shù)據(jù)跨境規(guī)制的現(xiàn)狀

頻繁的數(shù)據(jù)跨境流動是數(shù)字經(jīng)濟(jì)時代的顯著特征，推動了國際數(shù)字貿(mào)易的迅速發(fā)展，但是如果缺少相關(guān)法律規(guī)制和企業(yè)合規(guī)建設(shè)，數(shù)據(jù)跨境流動可能會侵犯個人隱私、泄露商業(yè)秘密，甚至?xí)孤秶H秘密和威脅國家安全。各國在數(shù)字經(jīng)濟(jì)中如何最大程度保障數(shù)據(jù)的安全流動，成為各國博弈的焦點(diǎn)，并在這個問題上有著不同的立場。

（一）歐美跨境數(shù)據(jù)流動規(guī)制的現(xiàn)狀

在數(shù)據(jù)跨境流動的規(guī)制上，全球范圍內(nèi)未形成統(tǒng)一的規(guī)制規(guī)則。歐盟目前實(shí)行嚴(yán)苛的限制政策，其基于對人權(quán)保護(hù)的歷史傳統(tǒng)以及成員國區(qū)域內(nèi)統(tǒng)一市場形成的動因，對于數(shù)據(jù)跨境流動采取較為嚴(yán)格的限制，以地理區(qū)域?yàn)榛鶞?zhǔn)、充分保護(hù)為前提的事前防御規(guī)制模式。歐盟通過《一般數(shù)據(jù)保護(hù)條例》（GDPR），對于企業(yè)數(shù)據(jù)的跨境流動采取了一系列的措施，GDPR的實(shí)施范圍不斷地擴(kuò)大，歐盟之外的其他國家以及企業(yè)也不得不主動選擇適用歐盟的法律規(guī)則。歐盟規(guī)定給予一些國家“充分保護(hù)水平”的認(rèn)定是跨國企業(yè)進(jìn)行數(shù)據(jù)跨境最便捷的路徑，但是由于歐盟對于充分保護(hù)水平認(rèn)定的國家并不多，也因其本身具有政治性，跨國企業(yè)不具有明確的穩(wěn)定性，因此不在合規(guī)建設(shè)中予以考慮。此外歐盟要求在遵守適當(dāng)保障措施的前提下，采取了約束性公司規(guī)則以及采用歐盟提供的標(biāo)準(zhǔn)數(shù)據(jù)保護(hù)條款，允許非歐盟企業(yè)進(jìn)行數(shù)據(jù)跨境的轉(zhuǎn)移流動，成員國監(jiān)管當(dāng)局通過歐盟委員會批準(zhǔn)的標(biāo)準(zhǔn)數(shù)據(jù)保護(hù)條款，協(xié)會、不同類型的控制者、處理者組織編寫并經(jīng)過批準(zhǔn)的行為準(zhǔn)則，批準(zhǔn)的認(rèn)證機(jī)制以及第三國控制者或處理者的承諾等，這些機(jī)制為在歐企業(yè)處理所收集的數(shù)據(jù)提供了可選擇的路徑。

與歐盟規(guī)制不同，美國對數(shù)據(jù)的流動采取自由流通的態(tài)度，因其在數(shù)據(jù)技術(shù)以及數(shù)據(jù)市場上占據(jù)優(yōu)勢，所以美國主要以維護(hù)數(shù)據(jù)的流通以及產(chǎn)業(yè)的競爭優(yōu)勢為目的，構(gòu)建數(shù)據(jù)跨境流動的政策。一方面，美國通過在其他國家的貿(mào)易談判中對數(shù)據(jù)跨境自由流動的主張，破除一些國家因數(shù)據(jù)主權(quán)而主張的數(shù)據(jù)貿(mào)易市場準(zhǔn)入的壁壘。另一方面，美國限制重要技術(shù)的出口以及特定數(shù)據(jù)領(lǐng)域內(nèi)的外國投資。這種對外的主動破除壁壘的侵入以及內(nèi)部重要數(shù)據(jù)的限制保護(hù)，可達(dá)到遏制競爭對手，維持美國在數(shù)據(jù)經(jīng)濟(jì)市場上的巨大利益以及在科技領(lǐng)域的領(lǐng)導(dǎo)地位。除了在實(shí)體政策中美國采取一系列措施進(jìn)行自身利益最大化之外，在司法管轄權(quán)領(lǐng)域，美國通過在數(shù)據(jù)領(lǐng)域的“長臂管轄”，擴(kuò)大國內(nèi)法的域外適用，以防止跨國公司將數(shù)據(jù)存儲在別國本地服務(wù)器而阻止美國政府的跨境執(zhí)法需要，由此，數(shù)據(jù)的保護(hù)將依賴于企業(yè)自身的“商業(yè)決策”而非國家傳統(tǒng)的司法保障。為此《澄清境外數(shù)據(jù)的合法使用法案》（以下簡稱CLOUD法案），賦予美國的執(zhí)法機(jī)構(gòu)對于美國企業(yè)數(shù)據(jù)的控制權(quán)。不論企業(yè)是否在美國境內(nèi)，美國均享有控制權(quán)，此舉擴(kuò)大了美國執(zhí)法機(jī)關(guān)的域外數(shù)據(jù)證據(jù)調(diào)取的范圍，使得美國的數(shù)據(jù)主權(quán)甚至擴(kuò)展到美國企業(yè)所在的全球范圍，是一種司法管轄上的長臂管轄。同時基于美國自身的經(jīng)濟(jì)政治實(shí)力以及與他國達(dá)成的合作，其他國家要調(diào)取存儲在美國的數(shù)據(jù)則需要通過美國“適格外國政府”的審查。據(jù)此，美國通過一系列的措施，以數(shù)據(jù)的自由流通為立場，保護(hù)本國的數(shù)據(jù)安全，同時維護(hù)自身在數(shù)字經(jīng)濟(jì)時代的巨大利益。

（二）我國跨境數(shù)據(jù)流動治理現(xiàn)狀

我國在數(shù)據(jù)跨境流動趨勢下也在不斷地建立和完善數(shù)據(jù)跨境流動規(guī)制，維護(hù)國內(nèi)數(shù)據(jù)的規(guī)范跨境，維護(hù)國家的安全。我國在數(shù)據(jù)保護(hù)方面從《網(wǎng)絡(luò)安全保護(hù)法》《數(shù)據(jù)安全保護(hù)法》到《個人信息數(shù)據(jù)保護(hù)法》以及相關(guān)數(shù)據(jù)標(biāo)準(zhǔn)的頒布，其中都不乏包括對跨境數(shù)據(jù)流通的規(guī)制內(nèi)容，確定了企業(yè)對于個人信息，重要數(shù)據(jù)的本地化存儲以及跨境流動安全評估的義務(wù)，但是這些法律規(guī)則對于企業(yè)數(shù)據(jù)跨境流動的規(guī)制操作性不強(qiáng)，規(guī)則中要求對跨境數(shù)據(jù)的安全評估方法不明確，安全評估標(biāo)準(zhǔn)和辦法尚處于缺位狀態(tài)。各規(guī)則之間缺乏系統(tǒng)的設(shè)計，制度較為零散，沒有形成系統(tǒng)化的數(shù)據(jù)治理規(guī)范體系。除此之外沒有獨(dú)立的監(jiān)管機(jī)構(gòu)進(jìn)行數(shù)據(jù)監(jiān)管，監(jiān)管職責(zé)劃分不清。在數(shù)據(jù)執(zhí)法上未形成健全的數(shù)據(jù)跨境執(zhí)法程序。雖然目前我國的數(shù)據(jù)跨境流動規(guī)制尚存問題，但我國仍在進(jìn)行構(gòu)建數(shù)據(jù)保護(hù)、數(shù)據(jù)跨境流通治理體系的嘗試和選擇，增強(qiáng)與國際社會的對話和談判，在數(shù)據(jù)保護(hù)國際規(guī)則方面爭取話語權(quán)，在“一帶一路”政策背景加持下，我國與沿線國家的聯(lián)系愈加緊密，也需要在數(shù)據(jù)保護(hù)規(guī)制與合作治理方面有所體現(xiàn)。

三、企業(yè)數(shù)據(jù)跨境合規(guī)的風(fēng)險與困境

數(shù)據(jù)跨境流動是企業(yè)在國際貿(mào)易中的業(yè)務(wù)需求,隨著數(shù)字經(jīng)濟(jì)以及全球化的深入發(fā)展，數(shù)據(jù)領(lǐng)域與產(chǎn)業(yè)競爭、經(jīng)貿(mào)關(guān)系等各種議題相結(jié)合，越來越成為國家間博弈的復(fù)雜領(lǐng)域之一。國家間的博弈勢必會影響國家的經(jīng)貿(mào)政策，我國企業(yè)在全球化趨勢下不斷地開展海外業(yè)務(wù)，在這種復(fù)雜的各國博弈形勢下，企業(yè)在數(shù)據(jù)跨境流動方面面臨風(fēng)險以及合規(guī)困境。

（一）數(shù)據(jù)跨境流動規(guī)制未形成統(tǒng)一規(guī)則，企業(yè)數(shù)據(jù)合規(guī)面臨不確定性

由上述的國際主要經(jīng)濟(jì)體的數(shù)據(jù)跨境流動治理實(shí)踐來看，各國數(shù)據(jù)流動法律、法規(guī)有著各不相同的歷史根源、立法模式以及利益立場，數(shù)據(jù)保護(hù)沒有形成統(tǒng)一的國際標(biāo)準(zhǔn)，對于企業(yè)而言，企業(yè)面臨著巨大的法律風(fēng)險，如果企業(yè)沒有進(jìn)行有效的合規(guī)體系搭建，應(yīng)對此類法律風(fēng)險的能力不足，將導(dǎo)致在海外拓展業(yè)務(wù)的企業(yè)因觸犯當(dāng)?shù)赜嘘P(guān)數(shù)據(jù)跨境流動的法律限制性規(guī)定而遭受巨額行政罰款，給企業(yè)帶來巨大損失。同樣因?yàn)楦鲊鴶?shù)據(jù)保護(hù)的力度以及標(biāo)準(zhǔn)不一，存在諸多不確定性為企業(yè)的合規(guī)工作帶來難點(diǎn)，也增加了企業(yè)合規(guī)的成本。

（二）各國數(shù)據(jù)領(lǐng)域的博弈加劇，企業(yè)數(shù)據(jù)合規(guī)面臨困擾

當(dāng)前跨國企業(yè)主要借助網(wǎng)絡(luò)實(shí)現(xiàn)跨境交易，業(yè)務(wù)的需求使得數(shù)據(jù)在各國之間的流動加劇，數(shù)據(jù)主權(quán)問題也越來越成為各國博弈的焦點(diǎn)，為了在數(shù)據(jù)治理國際博弈中取得制度先機(jī)，遏制中國互聯(lián)網(wǎng)等高新技術(shù)產(chǎn)業(yè)的發(fā)展，以歐美為首的西方國家，設(shè)立了極其嚴(yán)格的合規(guī)標(biāo)準(zhǔn)以提高數(shù)據(jù)市場準(zhǔn)入門檻，增強(qiáng)本國互聯(lián)網(wǎng)企業(yè)同外國巨頭的博弈籌碼。我國企業(yè)在他國遭受到歧視性待遇，遭遇壁壘準(zhǔn)入限制，諸如美國政府對TikTok的封禁，將其列為不受信任的APP，從美國的移動應(yīng)用商店進(jìn)行下架，對TikTok進(jìn)行審查稱其有可能向中國政府泄露美國的個人隱私數(shù)據(jù)，在這背后是數(shù)據(jù)主權(quán)的政治斗爭與利益博弈，因此對于企業(yè)而言這些不確定的風(fēng)險對企業(yè)合規(guī)工作造成困擾。

（三）國內(nèi)數(shù)據(jù)跨境流動規(guī)制存在問題，企業(yè)數(shù)據(jù)合規(guī)存在難題

企業(yè)開展海外業(yè)務(wù)，涉及到數(shù)據(jù)跨境流動，不僅要遵守當(dāng)?shù)氐臄?shù)據(jù)跨境流動規(guī)則，也要遵守本國關(guān)于企業(yè)“走出去”的數(shù)據(jù)傳輸規(guī)制，我國關(guān)于數(shù)據(jù)跨境流動的規(guī)則與其他國家的規(guī)則存在沖突，如前所述的歐盟以及美國的相關(guān)法律規(guī)則都包含域外適用的內(nèi)容和趨勢，我國的數(shù)據(jù)安全保護(hù)方面也針對他國的不當(dāng)域外適用進(jìn)行阻斷，在數(shù)據(jù)主權(quán)問題上的爭議，以及由此引發(fā)的在出口管制方面的調(diào)查等復(fù)雜局面使得企業(yè)合規(guī)壓力增大，合規(guī)的成本進(jìn)一步增加。

四、企業(yè)數(shù)據(jù)跨境合規(guī)的對策

我國《數(shù)據(jù)安全法》《個人信息保護(hù)法》的頒布，對數(shù)據(jù)跨境流動限制嚴(yán)格程度對標(biāo)歐盟的GDPR，在立法水平上確保中國企業(yè)符合個人信息保護(hù)和數(shù)據(jù)安全的要求，為中國企業(yè)跨境業(yè)務(wù)提供法理支持。處于當(dāng)前國際形勢復(fù)雜的企業(yè)，需要關(guān)注經(jīng)營業(yè)務(wù)所涉及的國家及地區(qū)的數(shù)據(jù)隱私安全方面的立法動態(tài)，評析相關(guān)規(guī)則對企業(yè)業(yè)務(wù)的影響，主動適用，積極應(yīng)對，制定合規(guī)對策，確保其數(shù)據(jù)處理和傳輸符合相關(guān)法律的要求。

（一）關(guān)注國內(nèi)外立法動態(tài)及監(jiān)管趨勢

一方面，國際規(guī)則尚未形成統(tǒng)一標(biāo)準(zhǔn)，要求企業(yè)關(guān)注各國的立法動態(tài)，留意各國關(guān)于數(shù)據(jù)跨境流動治理規(guī)則的差異性，根據(jù)國內(nèi)外生效的數(shù)據(jù)規(guī)范做好自身的合規(guī)工作，留意國內(nèi)外數(shù)據(jù)規(guī)范的立法趨勢以及立法動態(tài)，評估對其業(yè)務(wù)的影響以及將要面臨的法律風(fēng)險，以便及時建立事前的預(yù)防法律風(fēng)險的措施，做好應(yīng)對準(zhǔn)備，更加從容面對發(fā)生的法律風(fēng)險，減少因未建立事前的合規(guī)機(jī)制而造成的企業(yè)經(jīng)營損失。另一方面，雖然關(guān)于數(shù)據(jù)治理的國際規(guī)則尚未形成統(tǒng)一的治理標(biāo)準(zhǔn)和共識，各國的數(shù)據(jù)立法存在差異，但是各國的數(shù)據(jù)保護(hù)法規(guī)仍然存在共同之處，各國之間也在積極尋求統(tǒng)一銜接的可能，在各自的治理立場前提下進(jìn)行一定的妥協(xié)和理性衡量，試圖在數(shù)據(jù)規(guī)制方面建立共識性標(biāo)準(zhǔn)，尋求制定國際規(guī)則的最大可能，并最大程度發(fā)揮數(shù)據(jù)的經(jīng)濟(jì)價值，不減損數(shù)據(jù)經(jīng)濟(jì)帶來的巨大經(jīng)濟(jì)效益。因此對于企業(yè)來講，針對國際趨勢的預(yù)判非常重要，需要企業(yè)在數(shù)據(jù)跨境合規(guī)工作中，增強(qiáng)合規(guī)工作的效能，靈活應(yīng)對合規(guī)風(fēng)險，在此基礎(chǔ)上制定合規(guī)框架，定時自檢。

（二）主動適用跨境數(shù)據(jù)規(guī)制規(guī)則

在世界各國加速數(shù)據(jù)立法以取得制度先機(jī)的時代背景下，企業(yè)應(yīng)該直面國際數(shù)據(jù)治理的難題，通過內(nèi)外轉(zhuǎn)變化被動為主動，并以此為契機(jī)優(yōu)化自身產(chǎn)業(yè)結(jié)構(gòu)。因此企業(yè)應(yīng)在數(shù)據(jù)跨境過程中主動適用跨境數(shù)據(jù)規(guī)則，諸如在當(dāng)前形勢下很多國家提出了數(shù)字本地化的要求，要求企業(yè)將物理數(shù)據(jù)中心或者物理服務(wù)器設(shè)在業(yè)務(wù)開展所在國內(nèi)，并通過對數(shù)字本地化的要求對企業(yè)的數(shù)據(jù)流動提出審查甚至是壁壘。因此企業(yè)主動考慮采取數(shù)據(jù)本地化的部署，一定程度上避免數(shù)據(jù)跨境的問題。除此之外在歐企業(yè)也可以采取歐盟的標(biāo)準(zhǔn)合同條款作為公司合同的擬定樣板，這樣對于采取標(biāo)準(zhǔn)合同項(xiàng)下的跨境數(shù)據(jù)不需要監(jiān)管機(jī)構(gòu)的個案審批，在一定程度上避免了法律風(fēng)險的產(chǎn)生，遵守了法律要求，避免被處以巨額的行政罰款。

（三）建立數(shù)據(jù)分級管理與保護(hù)制度

不同類型的數(shù)據(jù)風(fēng)險等級有差異性，企業(yè)通過收集到的各種類型數(shù)據(jù)，在制定企業(yè)合規(guī)策略時，根據(jù)產(chǎn)品或服務(wù)采集的數(shù)據(jù)來源、方式、類型的不同對數(shù)據(jù)進(jìn)行劃分，分類別、分級別對數(shù)據(jù)進(jìn)行管理，根據(jù)不同的數(shù)據(jù)隱私級別制定相應(yīng)級別的加密規(guī)則以及訪問權(quán)限范圍，建立多元化有效的合規(guī)流程。企業(yè)將收集的數(shù)據(jù)進(jìn)行梳理分類，制定DI（Data Inventory）清單作為評估參考。對于數(shù)據(jù)分類分級的標(biāo)準(zhǔn)問題，可以按照其歸屬業(yè)務(wù)范疇劃分類別，且分類的顆粒度應(yīng)當(dāng)保持適度，按照層次遞進(jìn)的分類順序進(jìn)行分類，在分級標(biāo)準(zhǔn)上以數(shù)據(jù)的敏感度、關(guān)鍵度以及司法管轄要求進(jìn)行定級。對于具有敏感性、重要性的數(shù)據(jù)跨境采取謹(jǐn)慎態(tài)度，企業(yè)非必要不予將此部分?jǐn)?shù)據(jù)進(jìn)行跨境流動，在處理數(shù)據(jù)時要遵守必要性和有限性原則，避免對跨境數(shù)據(jù)的濫用。

當(dāng)企業(yè)向第三方提供數(shù)據(jù)時，企業(yè)應(yīng)與第三方供應(yīng)商簽訂數(shù)據(jù)相關(guān)的安全與保密協(xié)議以及滿足當(dāng)?shù)財?shù)據(jù)跨境法律規(guī)定的跨境轉(zhuǎn)移協(xié)議，協(xié)議明確共享數(shù)據(jù)的范圍、內(nèi)容、使用方法以及保護(hù)手段等雙方的權(quán)利義務(wù)，對其供應(yīng)提出數(shù)據(jù)合規(guī)的基線，要求供應(yīng)商定期自檢，并按照約定的目的和范圍使用數(shù)據(jù)。企業(yè)對下游供應(yīng)商的數(shù)據(jù)處理關(guān)系以及處理流程提出要求并定期監(jiān)督和審計，要求和督促第三方下游供應(yīng)商組建數(shù)據(jù)合規(guī)團(tuán)隊，形成全方位的合規(guī)布局。

（四）建立專業(yè)化的合規(guī)團(tuán)隊

企業(yè)在內(nèi)部可以考慮成立由法務(wù)部門、信息安全部門、隱私合規(guī)部門和業(yè)務(wù)部門成員組成專業(yè)的部門，定期研究各地區(qū)的法律動態(tài)，實(shí)時更新面向用戶的協(xié)議文本，由專業(yè)的技術(shù)組成人員提供技術(shù)支持，并利用數(shù)據(jù)合規(guī)工具整體規(guī)劃，構(gòu)建企業(yè)有效的合規(guī)工作流程。盡可能在每個國家或地區(qū)聘任專業(yè)的人員，負(fù)責(zé)數(shù)據(jù)的保護(hù)事宜，參與到具體的數(shù)據(jù)跨境過程的設(shè)計和評估中，以達(dá)到降低法律風(fēng)險的目的，從企業(yè)的長遠(yuǎn)發(fā)展出發(fā)，降低企業(yè)的成本。