數(shù)據(jù)本地化法律規(guī)制的反思與完善*

唐彬彬

(中國人民公安大學(xué)法學(xué)院 北京 100038)

1 問題的提出

近期，由于滴滴出行、滿幫集團等赴美上市所引發(fā)的連鎖反應(yīng)，國家互聯(lián)網(wǎng)信息辦公室(以下簡稱“網(wǎng)信辦”)宣布下架相關(guān)APP、暫停新用戶注冊，并要求其進行依法整改。網(wǎng)信辦同時展開對“滴滴”“運滿滿”“貨車幫”“BOSS直聘”等APP的網(wǎng)絡(luò)安全審查工作。隨后，網(wǎng)信辦聯(lián)合工信部、公安部、保密局、密碼管理局等十余家部委，發(fā)布《網(wǎng)絡(luò)安全審查辦法(修訂草案征求意見稿)》(以下簡稱“《征求意見稿》”)，規(guī)制大型平臺(掌握超過100萬用戶個人信息的運營者)赴國外上市活動。根據(jù)美國《薩班斯法案》(Sarbanes-Oxley Act，SOX法案)與《外國公司問責(zé)法》(Holding Foreign Companies Accountable Act，HFCA 法案)的規(guī)定，境外企業(yè)赴美上市，可能持續(xù)、間接向美國政府披露包含審計底稿、內(nèi)部控制信息在內(nèi)的關(guān)鍵數(shù)據(jù)。前者包含基礎(chǔ)設(shè)施采購信息；后者通常包括網(wǎng)絡(luò)活動、數(shù)據(jù)庫活動、用戶活動等信息。作為交通領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施，滴滴、滿幫等企業(yè)應(yīng)當(dāng)按照我國《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《出口管制法》《個人信息保護法》等法律法規(guī)的要求，將運營產(chǎn)生的個人信息與重要數(shù)據(jù)存儲于我國境內(nèi)，在出境時接受網(wǎng)絡(luò)監(jiān)管部門的審查。然而，在赴美上市過程中，上述企業(yè)是否在未經(jīng)安全評估的前提下，將數(shù)據(jù)跨境轉(zhuǎn)移至美國相關(guān)部門？該問題引發(fā)公眾對我國網(wǎng)絡(luò)安全、數(shù)據(jù)安全的擔(dān)憂，甚至對國家安全提出了挑戰(zhàn)。7月16日，網(wǎng)信辦會同公安部、國安部、自然資源部、交通運輸部、稅務(wù)總局、市場監(jiān)管總局進駐滴滴出行，開展網(wǎng)絡(luò)安全審查。

按照《網(wǎng)絡(luò)安全法》的規(guī)定，我國對網(wǎng)絡(luò)安全采用廣義的解釋，包含基礎(chǔ)設(shè)施安全、網(wǎng)絡(luò)運行安全、網(wǎng)絡(luò)信息安全等多方面內(nèi)容。數(shù)據(jù)作為網(wǎng)絡(luò)運行的基礎(chǔ)要素，對數(shù)據(jù)生產(chǎn)、使用過程中的完整性、保密性、可用性的維護，自然是網(wǎng)絡(luò)安全的應(yīng)有之義。我國出于維護數(shù)據(jù)之上個人利益、公共利益、國家安全以及其他數(shù)據(jù)控制者利益的原因，基于網(wǎng)絡(luò)主權(quán)與數(shù)據(jù)主權(quán)的理論，在境內(nèi)數(shù)據(jù)立法上采用了本地化模式[1]。亦即，將網(wǎng)絡(luò)空間視為國家主權(quán)的自然延伸，數(shù)據(jù)處理者應(yīng)當(dāng)將境內(nèi)運營產(chǎn)生的數(shù)據(jù)存儲于我國境內(nèi)，并限制或禁止他國使用，從而實現(xiàn)我國對境內(nèi)數(shù)據(jù)的控制。

然而，由于網(wǎng)絡(luò)的互聯(lián)互通性、無邊界性，以及數(shù)據(jù)的虛擬性與海量性等特征，導(dǎo)致我國數(shù)據(jù)本地化的控制手段形同虛設(shè)[1]。物理意義上的一國邊境，已經(jīng)難以完成境內(nèi)數(shù)據(jù)的管轄。在數(shù)據(jù)跨境流動中，網(wǎng)絡(luò)安全監(jiān)管部門只能在事后進行倒查，難以在事前預(yù)防損害行為的發(fā)生。因此，在數(shù)據(jù)保護時難以實現(xiàn)維護數(shù)據(jù)安全、國家安全的最終目的。本文圍繞上述問題，從數(shù)據(jù)本地化的應(yīng)然規(guī)定與實然狀態(tài)出發(fā)，對該制度的實施狀況進行反思并提出完善建議。

2 我國數(shù)據(jù)本地化的理論基礎(chǔ)與立法路徑

數(shù)據(jù)本地化的實質(zhì)是各國基于數(shù)據(jù)主權(quán)理論，為限制本國數(shù)據(jù)出境設(shè)置的障礙。在過去20余年間，各國數(shù)據(jù)跨境流動的立法政策，迅速從禁止境外數(shù)據(jù)入境轉(zhuǎn)變?yōu)榉乐咕硟?nèi)數(shù)據(jù)出境[2]。除了信息化水平較低的非洲部分國家以外，絕大多數(shù)國家均已實施了不同程度的數(shù)據(jù)本地化政策[3]。在棱鏡門事件發(fā)酵之后，被越來越多的國家所接受[4]。即便是公開反對數(shù)據(jù)本地化的美國，也明確規(guī)定國防部門、稅務(wù)部門、醫(yī)療部門等關(guān)鍵部門的數(shù)據(jù)應(yīng)當(dāng)存儲于本地，并對其采取出口限制措施。我國基于復(fù)雜的現(xiàn)實情況，在數(shù)據(jù)自由流動與數(shù)據(jù)本地化之間選擇了后者。

2.1我國數(shù)據(jù)本地化的理論基礎(chǔ)在全球化數(shù)字經(jīng)濟時代，數(shù)據(jù)作為生產(chǎn)要素不可避免地需要進行跨境轉(zhuǎn)移。然而，跨境數(shù)據(jù)流動與數(shù)據(jù)安全之間還未尋求到平衡點。各國基于不同立場選擇了數(shù)據(jù)自由流動、數(shù)據(jù)權(quán)利保護與數(shù)據(jù)本地化模式[5]。

其中，數(shù)據(jù)本地化模式對數(shù)據(jù)流動的限制最為嚴(yán)格，不僅引發(fā)跨國企業(yè)、外國政府、國際組織的激烈反對，還受到國際社會的批評與制裁[6]。第一，數(shù)據(jù)本地化直接面臨著阻礙全球數(shù)字經(jīng)濟發(fā)展的質(zhì)疑。據(jù)美國學(xué)術(shù)機構(gòu)統(tǒng)計，數(shù)據(jù)跨境流動在過去20年間，為全球經(jīng)濟增長的貢獻度高達10.1%。即便數(shù)據(jù)本地化被認為是貿(mào)易保護主義措施，但各國因此遭受的損失可能遠超過其收益。在采取數(shù)據(jù)本地化及其相關(guān)的數(shù)據(jù)隱私、安全法后，各國數(shù)字經(jīng)濟均將受到或輕或重的損失。第二，數(shù)據(jù)本地化將增加境內(nèi)運營者的成本。經(jīng)營者進行數(shù)據(jù)本地化存儲的過程不可避免會提高經(jīng)營的成本。同時，一國對數(shù)據(jù)本地化的主張還將伴隨著行政監(jiān)管、刑事處罰的強化，這也無形中增加了運營者防范法律風(fēng)險的成本。第三，數(shù)據(jù)本地化不利于跨境網(wǎng)絡(luò)犯罪治理效能。各國“高效、便捷”的數(shù)據(jù)協(xié)助是全球網(wǎng)絡(luò)犯罪治理新格局的基本要求，然而，數(shù)據(jù)本地化存儲會導(dǎo)致因數(shù)據(jù)管轄權(quán)沖突造成的取證困難，出現(xiàn)跨境犯罪打擊的“低效、緩慢”[1]的局面。

然而，即便數(shù)據(jù)本地化面臨著上述質(zhì)疑，我國仍舊基于以下考量，通過立法確立數(shù)據(jù)本地化模式，對境內(nèi)數(shù)據(jù)采取防御性的保護措施。第一，數(shù)據(jù)本地化更有利于維護我國國家安全與數(shù)據(jù)安全。大數(shù)據(jù)之大不僅在于其規(guī)模大，還在于其包含的海量信息。其中涉及生態(tài)、資源、軍事、國防等重要領(lǐng)域的數(shù)據(jù)，更是國家安全的組成部分。滴滴出行、滿幫集團、BOSS直聘等企業(yè)作為日常出行、貨物運輸、應(yīng)聘求職領(lǐng)域的頭部企業(yè)，掌握了所屬行業(yè)超過80%的深度數(shù)據(jù)。這些數(shù)據(jù)可能直接或間接反映我國各區(qū)域人口分布、商業(yè)熱力、人口和貨物流動、企業(yè)經(jīng)營、地理測繪信息等重要內(nèi)容。一旦被他國掌握，很可能挖掘出重要信息，產(chǎn)生危害我國國家安全的風(fēng)險。第二，作為發(fā)展中國家，我國由于自身經(jīng)濟和科技實力發(fā)展不足，以及數(shù)據(jù)保護技術(shù)存在短板，選擇本地化模式有利于實現(xiàn)境內(nèi)數(shù)據(jù)控制，從而更好地維護國家主權(quán)、公共安全與個人權(quán)利。美國之所以倡導(dǎo)數(shù)據(jù)自由流動，不僅是基于國家利益的驅(qū)動，也是仰賴于本國信息技術(shù)水平的領(lǐng)先優(yōu)勢。第三，中國作為網(wǎng)絡(luò)大國，也是面臨網(wǎng)絡(luò)安全威脅最嚴(yán)重的國家之一，本地化模式可以通過加強對境內(nèi)數(shù)據(jù)的控制，減少網(wǎng)絡(luò)犯罪、提升偵查效率[7]，防范他國政府?dāng)?shù)據(jù)監(jiān)控、竊取，提升相關(guān)部門網(wǎng)絡(luò)事件響應(yīng)能力，實現(xiàn)我國數(shù)據(jù)保護立法效能的最大化?？傊跀?shù)據(jù)跨境流動的監(jiān)管模式選擇中，我國現(xiàn)階段對安全的需求更為強烈。

2.2我國數(shù)據(jù)本地化的立法路徑

2.2.1 個人信息與重要數(shù)據(jù)存儲于境內(nèi) 從數(shù)據(jù)本地化的實踐來看，在一國運營產(chǎn)生的數(shù)據(jù)存儲于來源國境內(nèi)是數(shù)據(jù)本地化的基本要求。根據(jù)《網(wǎng)絡(luò)安全法》的要求，涉及公共通信、能源、交通、金融等關(guān)鍵信息基礎(chǔ)設(shè)施運營者在我國境內(nèi)運營中，收集、產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲。同時，為了“促進數(shù)據(jù)跨境安全、自由流動”“保障網(wǎng)絡(luò)信息依法有序自由流動”，更好地實現(xiàn)數(shù)據(jù)價值、促進國際貿(mào)易、打擊數(shù)據(jù)犯罪等原因，我國對于非關(guān)鍵信息基礎(chǔ)設(shè)施的運營商采取的措施是更為自由的，并不強制要求其數(shù)據(jù)存儲于本地的政策。只是鼓勵其“自愿參與關(guān)鍵信息基礎(chǔ)設(shè)施保護體系”。

部分國家僅要求網(wǎng)絡(luò)運營者在當(dāng)?shù)剡M行數(shù)據(jù)備份，并不對數(shù)據(jù)的跨境流動進行限制。以越南2013年實施的《關(guān)于管理、提供和適用互聯(lián)網(wǎng)服務(wù)和在線信息內(nèi)容的法令》(Decree on Management, Provision, and Use of Internet Services and Information Content online，Decree 72)為例，該法令要求越南境內(nèi)的網(wǎng)絡(luò)服務(wù)提供者(包含網(wǎng)絡(luò)、社交平臺、電話通訊、游戲服務(wù)的提供者)，必須在越南境內(nèi)留存數(shù)據(jù)備份，以便于當(dāng)局隨時審查信息。

2.2.2 數(shù)據(jù)出境安全評估 最初，《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》僅提出對個人信息出境的限制規(guī)定，個人信息只有依據(jù)信息主體明示同意，或法律法規(guī)明確規(guī)定，或經(jīng)主管部門同意方可出境。2011年，人民銀行發(fā)布《關(guān)于銀行業(yè)金融機構(gòu)做好個人金融信息保護工作的通知》，明確“除法律法規(guī)及中國人民銀行另有規(guī)定外，銀行業(yè)金融機構(gòu)不得向境外提供境內(nèi)個人金融信息”。隨著立法對數(shù)據(jù)分類分級化管理的逐漸完善，我國數(shù)據(jù)出境安全評估制度采用與境內(nèi)存儲相同的二分法。

第一，對關(guān)鍵信息基礎(chǔ)設(shè)施運營者在境內(nèi)生產(chǎn)、收集的個人信息與重要數(shù)據(jù)，在出境時應(yīng)當(dāng)按照《信息安全技術(shù) 數(shù)據(jù)出境安全評估指南(草案)》《個人信息保護法》等規(guī)定進行安全評估。從數(shù)據(jù)出境計劃、數(shù)量、范圍、類型、敏感程度和技術(shù)處理情況、接收方信息等角度，對數(shù)據(jù)出境安全風(fēng)險進行判斷。2018年頒布的《國際刑事司法協(xié)助法》進一步強化了審查出境原則，非經(jīng)中華人民共和國主管機關(guān)同意，外國機構(gòu)、組織和個人也不得以司法協(xié)助需要為依據(jù)，調(diào)取我國境內(nèi)的數(shù)據(jù)。第二，對非關(guān)鍵信息基礎(chǔ)設(shè)施運營者而言，我國則是在綜合數(shù)據(jù)在產(chǎn)業(yè)發(fā)展、科技創(chuàng)新、國際貿(mào)易等領(lǐng)域的價值的前提下，基于此類數(shù)據(jù)自身較低的數(shù)據(jù)出境安全風(fēng)險，選擇了相對自由的數(shù)據(jù)出境方案，鼓勵數(shù)據(jù)自由流動。

2.2.3 部分?jǐn)?shù)據(jù)禁止出境 禁止出境作為《網(wǎng)絡(luò)安全法》對個人信息與重要數(shù)據(jù)數(shù)據(jù)跨境流動所規(guī)定的“本地存儲、評估出境”最嚴(yán)格的情形，是我國在總體安全觀的框架下，基于國家安全的核心利益，作出的數(shù)據(jù)安全保護措施。對符合條件的境內(nèi)數(shù)據(jù)在本地被鎖定，數(shù)據(jù)控制者只能在境內(nèi)進行數(shù)據(jù)存儲與處理，禁止其跨境流動。依據(jù)《數(shù)據(jù)安全法》第21條第2款的規(guī)定，上述數(shù)據(jù)包含“關(guān)系國家安全、國民經(jīng)濟命脈、重要民生、重大公共利益”等國家核心數(shù)據(jù)。《個人信息與重要數(shù)據(jù)出境安全評估辦法(征求意見稿及修訂稿)》進一步將其細化為：未經(jīng)個人信息主體同意，或可能損害個人利益；數(shù)據(jù)出境可能影響國家安全、社會公共利益；以及其他主管部門不允許出境的情形。

禁止涉及核心利益的數(shù)據(jù)出境，在世界范圍內(nèi)還有諸多實踐。如澳大利亞2021年頒布《個人控制電子健康記錄法案》(Personally Controlled Electronic Health Records Act, PCEHR),明確禁止所有掌握個人健康記錄的相關(guān)人員自行或允許他人將數(shù)據(jù)轉(zhuǎn)移出境，或在境外處理數(shù)據(jù)。除非該數(shù)據(jù)不包含任何PCEHR系統(tǒng)消費者、相關(guān)人員的個人信息或個人、實體的可識別信息。俄羅斯也存在相關(guān)的禁止性規(guī)定。根據(jù)聯(lián)邦242號法律——《個人數(shù)據(jù)法》(On Personal Data)的規(guī)定，俄羅斯基于公民的隱私與安全，為避免外國監(jiān)控以及保護國家安全的原因，禁止將個人信息存儲于境外。

3 數(shù)據(jù)本地化的實施困境

數(shù)據(jù)跨境流動在促進全球經(jīng)濟發(fā)展的同時，也可能會削弱數(shù)據(jù)主體的數(shù)據(jù)控制權(quán)、甚至是危害國家主權(quán)。在數(shù)據(jù)主權(quán)的概念下，數(shù)據(jù)本地化實際上是我國為了能更好地實現(xiàn)境內(nèi)數(shù)據(jù)控制、防范數(shù)據(jù)出境風(fēng)險，在權(quán)衡數(shù)據(jù)流動利益與數(shù)據(jù)安全、隱私保護之后作出的選擇[8]。然而，在實踐中由于網(wǎng)絡(luò)的互聯(lián)互通性、數(shù)據(jù)的虛擬性以及云計算、互聯(lián)網(wǎng)采用的分布式存儲方式，導(dǎo)致我國數(shù)據(jù)本地化的三項內(nèi)涵難以完全落實。除了存儲于本地的要求可以在事前通過代碼或技術(shù)手段進行控制，并供監(jiān)管部門檢查以外，審查出境與禁止出境的規(guī)定均面臨實踐操作的障礙。主要原因在于后兩者實現(xiàn)的前提，依賴數(shù)據(jù)控制者的主動報備與合規(guī)運營。滴滴事件便為我國數(shù)據(jù)本地化立法敲響了警鐘。監(jiān)管部門在實踐中，很難事前發(fā)現(xiàn)存在的安全問題與風(fēng)險，對可能損害國家安全、公共利益與個人信息主體合法利益的數(shù)據(jù)出境行為進行攔截。其原因如下：

3.1網(wǎng)絡(luò)空間的虛擬性與開放性，造成網(wǎng)絡(luò)空間國邊境的模糊互聯(lián)網(wǎng)的互聯(lián)互通性為數(shù)據(jù)跨境傳輸提供了便捷途經(jīng)，數(shù)據(jù)可以快速跨越物理國邊境進行轉(zhuǎn)移。也正是因為互聯(lián)網(wǎng)的虛擬性，使得用戶與網(wǎng)絡(luò)服務(wù)提供者無需同處一國疆域之內(nèi)，便可完成服務(wù)提供。傳統(tǒng)的購物模式為用戶在商戶門店進行選購，并現(xiàn)場完成交易。而線上服務(wù)則不然。A國買家與B國賣家在C國提供的網(wǎng)絡(luò)平臺上進行交易，使用D國提供的網(wǎng)絡(luò)支付工具，E國提供的網(wǎng)絡(luò)基礎(chǔ)設(shè)施服務(wù)，F(xiàn)國提供的跨境運輸服務(wù)，G國提供的保險服務(wù)……，其產(chǎn)生的數(shù)據(jù)可能在多個國家的多方運營實體中流轉(zhuǎn)。就數(shù)據(jù)存儲而言，云計算服務(wù)通過虛擬化存儲服務(wù)，服務(wù)商為避免硬件或軟件損壞、漏洞造成的數(shù)據(jù)破壞、丟失，會在多個位置、設(shè)備上進行數(shù)據(jù)的備份。Google與Microsoft的每個數(shù)據(jù)集都會在不同的數(shù)據(jù)中心保存兩份副本，以至于云服務(wù)提供者所在地也難以界定數(shù)據(jù)存儲的物理位置[9]。許多云服務(wù)提供者甚至采用了遠程數(shù)據(jù)存儲的方式，導(dǎo)致數(shù)據(jù)存儲、處理的地址位置不斷變化，從而造成各國數(shù)據(jù)管轄的難題。也正是由于數(shù)據(jù)的虛擬性與網(wǎng)絡(luò)的無邊界性，導(dǎo)致數(shù)據(jù)傳輸難以實時監(jiān)控。以走私文物為例，傳統(tǒng)的海關(guān)出入境口岸能對文物的運輸、郵寄、攜帶進行審核查驗、禁止入境或出境。由于數(shù)據(jù)的虛擬性，網(wǎng)絡(luò)服務(wù)者通過設(shè)立于外國的托管服務(wù)商，將數(shù)據(jù)以電腦終端的途徑傳輸至外國第三方；或者直接通過電子郵件的方式，將大量數(shù)據(jù)打包發(fā)送至國外，我國網(wǎng)絡(luò)監(jiān)管部門也難以察覺；即便是將數(shù)據(jù)存儲于物理介質(zhì)中，由個人攜帶、通過公共交通的方式離境，也無法被安檢部門發(fā)覺。

3.2我國數(shù)據(jù)出境安全評估標(biāo)準(zhǔn)尚不完備關(guān)鍵信息基礎(chǔ)設(shè)施是一項動態(tài)、復(fù)雜的巨系統(tǒng)[10]，分散于不同行業(yè)、不同規(guī)模的企業(yè)之中。政府部門對其進行監(jiān)管、保護的壓力與成本極大。在《網(wǎng)絡(luò)安全法》明確的公共通信、信息服務(wù)、能源、交通等關(guān)鍵信息基礎(chǔ)設(shè)施的八大重要領(lǐng)域之上，2017年網(wǎng)信辦公布的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例(征求意見稿)》，進一步細化出社保、教育、網(wǎng)絡(luò)服務(wù)、國防科工等分類。但是，上述內(nèi)容仍然不能完全涵蓋所有需要重點保護的關(guān)鍵信息基礎(chǔ)設(shè)施種類。相較于美國《改進關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》(Framework for Critical Infrastructure Cyber Security)《關(guān)鍵基礎(chǔ)設(shè)施安全和彈性恢復(fù)指南》(A Guide to Critical Infrastructure Security and Resilience)將關(guān)鍵基礎(chǔ)設(shè)施細化為16類的標(biāo)準(zhǔn)，并采用識別、保護、檢測、響應(yīng)、恢復(fù)為框架結(jié)構(gòu)的保護措施，我國還有進一步細化的空間。隨著網(wǎng)絡(luò)社會的發(fā)展，關(guān)鍵信息基礎(chǔ)設(shè)施的保護名單會陸續(xù)進行更新、完善。例如，隨著汽車行業(yè)的蓬勃發(fā)展以及汽車數(shù)據(jù)保護問題的進一步凸顯，國家互聯(lián)網(wǎng)信息辦公室向社會公開《汽車數(shù)據(jù)安全管理若干規(guī)定(征求意見稿)》，完善汽車數(shù)據(jù)安全的保護。不可忽視，在關(guān)鍵信息基礎(chǔ)設(shè)施的保護中，可能會涉及大量私營企業(yè)。一方面是由于其經(jīng)營范圍被明確列為重點領(lǐng)域，另一方面是由于其掌握了大量的數(shù)據(jù)，導(dǎo)致企業(yè)的安全不再是簡單的私人問題，而成為一項公共問題、國家安全問題。根據(jù)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》的規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施運營者進行數(shù)據(jù)跨境傳輸時，需要由網(wǎng)信辦與國務(wù)院有關(guān)部門進行評估。然而，如何評估、評估的標(biāo)準(zhǔn)如何，并未明確。2021年出臺的《個人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿及修訂稿)》也只是概括性地規(guī)定安全評估的內(nèi)容，缺乏具體標(biāo)準(zhǔn)。除了數(shù)據(jù)的數(shù)量、范圍、類型可以量化以外，對于何為可能有“危害國家安全、社會公共利益、個人合法利益風(fēng)險”的要求，審查者難以客觀評估?，F(xiàn)階段，網(wǎng)信辦與相關(guān)主管部門在數(shù)據(jù)安全評估上的執(zhí)法案例還不充分，安全評估尺度還需要進一步摸索。

3.3數(shù)據(jù)自身價值是數(shù)據(jù)跨境流動的驅(qū)動力人類社會隨著網(wǎng)絡(luò)信息技術(shù)的高速發(fā)展進入到大數(shù)據(jù)時代。大數(shù)據(jù)時代的明顯標(biāo)志就是海量的數(shù)據(jù)化信息被不停地生產(chǎn)、收集、存儲、整理與使用[11]。人類社會也已經(jīng)從簡單的信息獲取時代、信息挖掘時代，過渡到價值輸出時代、數(shù)據(jù)賦能時代。在這個階段，信息技術(shù)可以體現(xiàn)為一種技術(shù)創(chuàng)新、組織創(chuàng)新和管理創(chuàng)新的內(nèi)在范式[12]。作為信息技術(shù)的基礎(chǔ)要素，數(shù)據(jù)具有加速提升科技創(chuàng)新、商業(yè)決策、服務(wù)水平，降低服務(wù)成本等典型價值，因而被譽為新時代的石油，是大型企業(yè)發(fā)展的核心要素，也成為世界各國競相爭奪的重要資源。企業(yè)對于合法收集的數(shù)據(jù)具有使用的權(quán)利，該權(quán)利是基于法律行為的原始取得，并不依賴于被收集者的授權(quán)[11]。法律對數(shù)據(jù)權(quán)、個人信息權(quán)的打造，應(yīng)重視信息的公共屬性，從整體性的權(quán)衡來進行數(shù)據(jù)使用的規(guī)則設(shè)計[13]。企業(yè)對所掌握的數(shù)據(jù)使用也應(yīng)當(dāng)從整體出發(fā)，符合國家安全、個人隱私保護等多方利益，而非只顧及企業(yè)的經(jīng)濟利益與發(fā)展利益。然而，由于數(shù)據(jù)的巨大價值，使得企業(yè)難以保持商業(yè)中立，可能突破一國堅持?jǐn)?shù)據(jù)本地化、以主權(quán)為核心的數(shù)據(jù)保護底線。企業(yè)為獲取更大的經(jīng)濟效益，可能會突破立法的限制，自行將數(shù)據(jù)轉(zhuǎn)移出境。網(wǎng)信辦在《征求意見稿》中明確強制“掌握超過100萬用戶個人信息”的運營者，在赴國外上市前擬提交的IPO材料，必須主動向網(wǎng)絡(luò)安全評估辦公室申報網(wǎng)絡(luò)安全評估。同時，《征求意見稿》明確將企業(yè)外國上市可能帶來的“關(guān)鍵信息基礎(chǔ)設(shè)施，核心數(shù)據(jù)、重要數(shù)據(jù)或大量個人信息”的“出境風(fēng)險或被外國政府影響、控制、惡意利用的風(fēng)險”上升為國家安全風(fēng)險。除此以外，對境內(nèi)運營的外國企業(yè)，可能通過商業(yè)活動的便利，進行數(shù)據(jù)的跨境傳輸。例如棱鏡門事件就曾揭露出微軟、谷歌等互聯(lián)網(wǎng)企業(yè)，自2007年起，陸續(xù)在消費者與他國不知情的情況下，向美國政府情報機構(gòu)提供大量的海外用戶信息。此后，各國紛紛加強對境內(nèi)外國企業(yè)，尤其是網(wǎng)絡(luò)服務(wù)企業(yè)的安全評估要求。我國也應(yīng)當(dāng)在立法與實踐層面，堅決杜絕資本逐利性特征引發(fā)的企業(yè)對國家安全保障義務(wù)的弱化。

3.4國家網(wǎng)絡(luò)空間戰(zhàn)略競爭導(dǎo)致數(shù)據(jù)安全的威脅長期存在該風(fēng)險是網(wǎng)絡(luò)安全固有的風(fēng)險，也是長期威脅我國數(shù)據(jù)本地化的重要因素之一。我國境內(nèi)的數(shù)據(jù)控制者很可能在非自愿的情況下造成數(shù)據(jù)出境。網(wǎng)絡(luò)空間作為未來國際博弈的新疆域，全球性的規(guī)則體系尚未健全，維護網(wǎng)絡(luò)安全主要取決于國家能力，這導(dǎo)致網(wǎng)絡(luò)空間安全的天平偏向了技術(shù)一端[14]。技術(shù)較弱一方，則長期面臨著網(wǎng)絡(luò)空間的非傳統(tǒng)安全威脅。外國政府在數(shù)據(jù)利益驅(qū)動下，會主動通過技術(shù)優(yōu)勢與網(wǎng)絡(luò)平臺優(yōu)勢，對他國、地區(qū)采取數(shù)據(jù)調(diào)取、數(shù)據(jù)滲透、技術(shù)控制等措施[15]。根據(jù)中國國家互聯(lián)網(wǎng)應(yīng)急中心數(shù)據(jù)顯示，位于境外的約5.2萬個計算機惡意程序控制服務(wù)器，在2020年控制了我國境內(nèi)531萬臺主機，曾對中國航空航天科研機構(gòu)、石油行業(yè)、大型互聯(lián)網(wǎng)公司進行長達11年的網(wǎng)絡(luò)滲透。又如“海蓮花”黑客組織，自2012年以來，在海外通過木馬程序或在網(wǎng)頁植入攻擊代碼，持續(xù)對我國29個省市的能源行業(yè)、海事機構(gòu)、海域建設(shè)部門、科研院所和航運企業(yè)等進行精準(zhǔn)網(wǎng)絡(luò)攻擊。除通過網(wǎng)絡(luò)技術(shù)實施“數(shù)據(jù)竊取”以外，他國、經(jīng)濟體還通過立法的方式，單邊確立對我國境內(nèi)數(shù)據(jù)實施長臂管轄。最為典型的就是歐盟通過《通用數(shù)據(jù)保護條例》(General Data Protection Regulation，GDPR)，超越歐盟地域管轄的范圍，賦予歐盟內(nèi)監(jiān)管機構(gòu)強大的數(shù)據(jù)調(diào)查權(quán)、行政執(zhí)法權(quán)與處罰權(quán)；美國政府則以微軟案(United States v. Microsoft Corp.)為契機，頒布《澄清合法使用境外數(shù)據(jù)法案》(Clarifying Lawful Overseas Use of Data Act，CLOUD Act)，明確賦予執(zhí)法部門調(diào)取本國企業(yè)存儲于境外的數(shù)據(jù)的權(quán)力。因此，網(wǎng)絡(luò)技術(shù)的縱深發(fā)展帶來的網(wǎng)絡(luò)安全概念的演進與國家之間的戰(zhàn)略博弈，促使部分國家、經(jīng)濟體紛紛通過技術(shù)、立法的方式，擴大數(shù)據(jù)的控制范圍，導(dǎo)致國際社會網(wǎng)絡(luò)安全治理困境重重。將數(shù)據(jù)爭奪提升到國家戰(zhàn)略層面后，各國由數(shù)據(jù)引發(fā)的網(wǎng)絡(luò)沖突時有發(fā)生。很多國家經(jīng)常突破不干涉他國內(nèi)政的約束，使用單邊制裁的方式進行處理[16]。同時，由于網(wǎng)絡(luò)技術(shù)的開放性與匿名性，導(dǎo)致網(wǎng)絡(luò)攻擊呈現(xiàn)溯源難與防御難的特征，使得網(wǎng)絡(luò)安全攻擊更有利于進攻方。理性的決策者在網(wǎng)絡(luò)治理中均會選擇加強基礎(chǔ)設(shè)施建設(shè)或資源投入的方式，來保護自身安全或增強競爭優(yōu)勢。因此，對于數(shù)據(jù)技術(shù)較弱的國家，均更傾向于選擇數(shù)據(jù)本地化模式，追求網(wǎng)絡(luò)與數(shù)據(jù)的安全。

4 數(shù)據(jù)本地化制度的完善建議

數(shù)據(jù)本地化作為數(shù)據(jù)保護的措施，由于網(wǎng)絡(luò)空間的無邊界性、虛擬性，數(shù)據(jù)出境安全評估體系不健全，數(shù)據(jù)流動的重大利益驅(qū)動，國家網(wǎng)絡(luò)空間戰(zhàn)略競爭等原因，單靠我國單邊立法規(guī)定與技術(shù)革新是難以完成的。在具體實踐中，還應(yīng)當(dāng)從企業(yè)外部監(jiān)管與內(nèi)部控制角度，對數(shù)據(jù)本地化制度進行完善，構(gòu)建完整的數(shù)據(jù)保護體系，防止數(shù)據(jù)非法出境造成的損害。在降低數(shù)據(jù)出境安全風(fēng)險的基礎(chǔ)上，放寬數(shù)據(jù)跨境流動的限制，促進全球化數(shù)字經(jīng)濟發(fā)展。

4.1外部監(jiān)管：安全評估制度與壟斷企業(yè)規(guī)制

4.1.1 完善數(shù)據(jù)出境安全評估制度 為融入全球化數(shù)字經(jīng)濟的發(fā)展，我國通過立法在數(shù)據(jù)安全的基礎(chǔ)上，確保數(shù)據(jù)的跨境流動。如上文所言，數(shù)據(jù)分級分類管理是實現(xiàn)數(shù)據(jù)流動的前提，安全評估機制則是數(shù)據(jù)流動的守門員。但是，我國數(shù)據(jù)分類、安全評估的標(biāo)準(zhǔn)均還存在完善的空間。

首先，整合、制定關(guān)鍵基礎(chǔ)設(shè)施、重要數(shù)據(jù)的目錄。我國關(guān)于數(shù)據(jù)安全評估的法律、文件規(guī)定較為零散，缺乏統(tǒng)一、明確的標(biāo)準(zhǔn)，增加了數(shù)據(jù)安全評估的不確定性?，F(xiàn)階段迫切需要統(tǒng)籌相關(guān)部門整合關(guān)鍵信息基礎(chǔ)設(shè)施、制定重要數(shù)據(jù)、核心數(shù)據(jù)的目錄，根據(jù)適用場景的變化隨時進行完善、更新、公布。并以此為基礎(chǔ)，對我國境內(nèi)重要數(shù)據(jù)、核心數(shù)據(jù)進行重點保護，并在出境審查時進行嚴(yán)格對照。其中，重要數(shù)據(jù)標(biāo)注應(yīng)當(dāng)以可能影響國家安全、社會公共安全、公民個人利益為標(biāo)準(zhǔn)。根據(jù)數(shù)據(jù)來源的多元化、復(fù)雜性，將重要數(shù)據(jù)認定的負責(zé)部門交由各領(lǐng)域、各行業(yè)的主管部門負責(zé)更為專業(yè)[17]。同時，應(yīng)當(dāng)落實上述主管部門在數(shù)據(jù)出境安全評估中的主體作用，參與網(wǎng)信辦組織的數(shù)據(jù)安全評估工作，并承擔(dān)重要數(shù)據(jù)認定異議程序的復(fù)核責(zé)任。

其次，數(shù)據(jù)安全評估部門應(yīng)當(dāng)通過實質(zhì)審查的方式，對數(shù)據(jù)出境是否存在風(fēng)險進行判斷?！秱€人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿及修訂稿)》采用客觀數(shù)量標(biāo)準(zhǔn)，將“50萬人以上”“超過1000GB”作為衡量是否需要組織安全評估的門檻?！墩髑笠庖姼濉穼⑵脚_掌握超過“100萬”用戶個人信息作為啟動數(shù)據(jù)出境審查的標(biāo)準(zhǔn)。但是，該標(biāo)準(zhǔn)可能會遺漏諸多影響國家安全的數(shù)據(jù)，抑或是過度阻攔不具備威脅風(fēng)險的數(shù)據(jù)出境。從數(shù)據(jù)技術(shù)角度出發(fā)，通過數(shù)據(jù)分析、挖掘技術(shù)，非個人數(shù)據(jù)的聚合可能形成具有識別性的數(shù)據(jù)，碎片化、不具有敏感性的數(shù)據(jù)也可分析出敏感信息，海量數(shù)據(jù)聚合甚至可能挖掘出影響國家安全的信息[4]。因此，安全評估部門除了組織相關(guān)領(lǐng)域?qū)＜野凑贞P(guān)鍵信息基礎(chǔ)設(shè)施與重要數(shù)據(jù)目錄進行評估以外，還應(yīng)當(dāng)通過模型計算的方式對出境數(shù)據(jù)進行實質(zhì)審查。例如，對出境數(shù)據(jù)被非法利用或被挖掘出的涉密信息的可能性進行實際檢測、驗算。只有經(jīng)過實質(zhì)性風(fēng)險審查的數(shù)據(jù)，才能被允許出境。

最后，中國作為數(shù)據(jù)大國，應(yīng)當(dāng)積極主動參與到全球數(shù)據(jù)跨境規(guī)則與評估方案的制定中，把握全球數(shù)據(jù)戰(zhàn)略的先機[18]。積極從我國利益出發(fā)，以多邊參與、多方參與為原則，簽訂符合我國數(shù)據(jù)保護立場的雙邊、多邊條約，積極與國際社會現(xiàn)有立法進行銜接。同時，積極利用“一帶一路”等國際平臺，落實我國數(shù)據(jù)安全保護的域外效力，為企業(yè)數(shù)據(jù)出境提供保護框架。

4.1.2 加強對數(shù)據(jù)壟斷企業(yè)的法律規(guī)制，防止數(shù)據(jù)風(fēng)險擴大 隨著一部分平臺企業(yè)越來越大，掌握的數(shù)據(jù)越來越多，其對國家安全、公共安全、個人隱私潛在的威脅就越來越嚴(yán)峻。一方面，數(shù)據(jù)過于集中不僅會增加數(shù)據(jù)存儲的風(fēng)險，還可能增加其易損性[19]。另一方面，由于大量涉及國計民生的數(shù)據(jù)集中掌握在特定企業(yè)手中，一旦企業(yè)數(shù)據(jù)安全管理制度失靈或被他人惡意攻擊，我國國家安全、個人隱私所面臨的風(fēng)險也呈指數(shù)式暴增。

以滴滴為例，作為互聯(lián)網(wǎng)時代運輸業(yè)的新興產(chǎn)物，滴滴改變了整個出租車行業(yè)的運行現(xiàn)狀，在網(wǎng)約車行業(yè)占據(jù)絕對的龍頭地位。按照正常的網(wǎng)絡(luò)效應(yīng)，當(dāng)平臺越大，可能吸引加入平臺的人數(shù)就越多，其所掌握、生產(chǎn)的數(shù)據(jù)體量就更加龐大[20]。在平臺用戶達到一定體量之后，用戶數(shù)據(jù)與平臺發(fā)展便可能形成正向循環(huán)關(guān)系。也就是說，當(dāng)平臺所掌握的用戶數(shù)據(jù)越多，就可能通過數(shù)據(jù)分析進行精準(zhǔn)服務(wù)、提升用戶體驗，進而吸引更多的客戶。然而，平臺用戶增多也可能造成負面影響，例如平臺服務(wù)水平下降導(dǎo)致用戶流失[21]。但前者的影響更為顯著。由于平臺企業(yè)兩端用戶間交叉網(wǎng)絡(luò)外部性的存在，容易產(chǎn)生“贏家通吃”“一家獨大”的情形。企業(yè)在本行業(yè)領(lǐng)域占有的份額就會越來越重，甚至可能對本行業(yè)的其他企業(yè)、或者可能進入本行業(yè)的企業(yè)產(chǎn)生競爭壁壘。滴滴在2015年與快的合并，2016年收購優(yōu)步中國之后，迅速成為網(wǎng)約車界的利維坦，占據(jù)所有網(wǎng)約車行業(yè)絕大部分的市場份額。滴滴掌握的駕駛員或乘客的個人信息、地理信息、車輛信息等重要信息，以及從中可能挖掘、衍生出的其他海量信息的價值無法計算。

一方面，監(jiān)管部門可以通過反壟斷審查避免產(chǎn)生數(shù)據(jù)超級企業(yè)。其目的在于不將所有雞蛋都放在一個籃子里，避免數(shù)據(jù)過于集中帶來數(shù)據(jù)安全風(fēng)險的擴大。根據(jù)市場監(jiān)管總局關(guān)于平臺經(jīng)濟領(lǐng)域的反壟斷指南(征求意見稿)》與國務(wù)院印發(fā)的《國務(wù)院反壟斷委員會關(guān)于平臺經(jīng)濟領(lǐng)域的反壟斷指南》，治理大數(shù)據(jù)領(lǐng)域的反壟斷已經(jīng)迫在眉睫。2021年7月13日，市場監(jiān)管總局基于《反壟斷法》《經(jīng)營者集中審查暫行規(guī)定》，拒絕斗魚與虎牙合并，避免騰訊在游戲直播中占據(jù)壟斷地位。因此，市場監(jiān)管部門在平臺企業(yè)治理與監(jiān)管中，應(yīng)當(dāng)積極進行反壟斷審查權(quán)，防止經(jīng)營者過于集中，維持市場的競爭生態(tài)。另一方面，對于已經(jīng)做大、做強的平臺企業(yè)，互聯(lián)網(wǎng)審查辦公室應(yīng)當(dāng)加大對網(wǎng)絡(luò)基礎(chǔ)設(shè)施與數(shù)據(jù)安全的主動檢查、定期檢查、突擊檢查的力度，在事前確保數(shù)據(jù)安全。

4.2內(nèi)部控制：企業(yè)數(shù)據(jù)合規(guī)隨著數(shù)據(jù)安全立法與配套制度的逐漸完善，網(wǎng)絡(luò)平臺在網(wǎng)絡(luò)空間的法律義務(wù)與責(zé)任不斷擴張，其所面臨的由數(shù)據(jù)泄露、篡改、滅失導(dǎo)致的法律風(fēng)險也在提升。數(shù)據(jù)的虛擬性決定企業(yè)治理應(yīng)當(dāng)采用區(qū)別于傳統(tǒng)公司治理中使用的獨立董事、信息披露等內(nèi)部監(jiān)管方式。針對基于經(jīng)濟利益驅(qū)動進行的數(shù)據(jù)主動流出，以及外國政府的數(shù)據(jù)竊取或外國執(zhí)法部門長臂管轄導(dǎo)致的數(shù)據(jù)被動流出，除了要求企業(yè)提升自身數(shù)據(jù)安全防御等技術(shù)能力以外，為保護數(shù)據(jù)安全，督促其建立完善的數(shù)據(jù)合規(guī)體系是目前最具實效、也是唯一的選擇。

4.2.1 平臺企業(yè)應(yīng)當(dāng)根據(jù)法律法規(guī)、執(zhí)法案例等內(nèi)容，建立符合企業(yè)服務(wù)特色與屬性的合規(guī)計劃 自然，企業(yè)走出面臨的海外執(zhí)法風(fēng)險，也是企業(yè)數(shù)據(jù)合規(guī)應(yīng)當(dāng)重視的問題。但該問題并非本文關(guān)注的重點，本文所謂的數(shù)據(jù)合規(guī)重點在于境內(nèi)企業(yè)(包含我國境內(nèi)的國有企業(yè)、集體企業(yè)、私人企業(yè)、外商獨資、外商合資等所有類型)，能夠更好地按照我國法律體系，梳理并制定符合我國利益的數(shù)據(jù)管理體系，降低企業(yè)觸刑風(fēng)險以及保證我國國家安全、公共利益、個人利益。從事撮合業(yè)務(wù)、信息發(fā)布的平臺應(yīng)當(dāng)建立不同類別刑事合規(guī)體系，根據(jù)自身屬性，在合規(guī)風(fēng)險、作為義務(wù)、法律責(zé)任層面體現(xiàn)出差異[22]。在數(shù)據(jù)保護方面，應(yīng)當(dāng)嚴(yán)格按照《刑法》《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》等立法，以及《個人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿及修訂稿)》《數(shù)據(jù)出境安全評估指南》等文件，嚴(yán)格根據(jù)企業(yè)自身屬性建立數(shù)據(jù)收集、使用、出境的合規(guī)體系、員工手冊。尤其是在數(shù)據(jù)出境管理上，企業(yè)不論是為了經(jīng)濟利益進行的數(shù)據(jù)流動，還是作為外國執(zhí)法部門數(shù)據(jù)調(diào)取的對象，均應(yīng)當(dāng)嚴(yán)格遵守數(shù)據(jù)合規(guī)體系的規(guī)定，依法履行數(shù)據(jù)出境自評、報請評估等規(guī)定。在公司高管角度，應(yīng)當(dāng)承諾守法、合規(guī)經(jīng)營，明確數(shù)據(jù)安全管理的重要性與法定義務(wù)；在公司員工管理角度，應(yīng)當(dāng)制定員工行為準(zhǔn)則、建立數(shù)據(jù)安全管理定期培訓(xùn)制度、簽署數(shù)據(jù)保密協(xié)議等；在企業(yè)經(jīng)營角度，應(yīng)當(dāng)定期界定企業(yè)經(jīng)營行為、IPO程序、相關(guān)企業(yè)行為的法律邊界，明確禁止企業(yè)違法違規(guī)行為[23]。

4.2.2 各級政府網(wǎng)信辦應(yīng)當(dāng)主動介入大型企業(yè)(超過100萬用戶)的數(shù)據(jù)合規(guī)管理 除了上述防范體系之外，企業(yè)還應(yīng)當(dāng)建立完整的數(shù)據(jù)安全監(jiān)控體系。主要的內(nèi)容包含：控制管理、審計、投訴處理與報告責(zé)任，并針對投訴事務(wù)設(shè)立專門的調(diào)查官[24]。企業(yè)所在地的省、市一級網(wǎng)信辦可以向企業(yè)派駐工作人員，專門負責(zé)企業(yè)合規(guī)體系的監(jiān)控，并直接對接數(shù)據(jù)合規(guī)負責(zé)人。首先，駐企工作人員可以對企業(yè)的具體業(yè)務(wù)、項目進行隨機檢查，對數(shù)據(jù)保護的不合規(guī)行為可以隨時要求企業(yè)整改。其次，駐企工作人員應(yīng)當(dāng)作為監(jiān)督者參與企業(yè)數(shù)據(jù)保護投訴的調(diào)查。該工作人員不僅可以展開針對普通工作人員的調(diào)查，還可以是針對董事、經(jīng)理等高級管理人員。長期以來，企業(yè)獨立董事作為監(jiān)督者，由于受雇于企業(yè)，一直面臨著身份不中立的質(zhì)疑。由網(wǎng)信辦工作人員當(dāng)任監(jiān)督者，還能解決監(jiān)督者中立的難題。最后，對數(shù)據(jù)出境難以監(jiān)督的難題，與其以企業(yè)主動匯報、網(wǎng)信部門抽檢為主要安全評估啟動模式，不如將網(wǎng)信辦工作人員直接置于企業(yè)之中，主動參與數(shù)據(jù)管理，能夠更好地在事前對數(shù)據(jù)流動進行控制。

4.2.3 對涉及國家安全、社會公共利益的關(guān)鍵性公共服務(wù)企業(yè)，還可以通過黨組織嵌入或混改方式進行企業(yè)數(shù)據(jù)合規(guī)管理 其一，通過黨組織介入企業(yè)經(jīng)營的方式，黨委直接參與公司治理、管理內(nèi)部數(shù)據(jù)。從理論與實踐來看，黨組織參與國企公司治理，不僅可以有效抑制國內(nèi)的內(nèi)部人控制問題，還可以與其經(jīng)濟效益目標(biāo)協(xié)調(diào)融合[25]。其二，可以考慮國企混改的方式，通過國有資本控股的路徑，進行企業(yè)治理。社會主義公有制經(jīng)濟與市場失靈調(diào)整是國企存在的正當(dāng)性基礎(chǔ)[26]。在石油、通信、電網(wǎng)、軍工等關(guān)系國家經(jīng)濟命脈的行業(yè)，均采用國企壟斷的方式。對同樣涉及國家命脈的平臺企業(yè)采用黨組織嵌入或混改的方式，加大對企業(yè)數(shù)據(jù)存儲、處理的監(jiān)管力度，便于相關(guān)部門在數(shù)據(jù)出境前及時展開監(jiān)督活動，確保國家安全與數(shù)據(jù)安全。

4.2.4 為數(shù)據(jù)不合規(guī)行為設(shè)置高額罰金，尤其是涉及到國家安全的領(lǐng)域 根據(jù)《網(wǎng)絡(luò)安全法》的規(guī)定，企業(yè)違反數(shù)據(jù)本地存儲與跨境流動規(guī)定時，可能面臨5～50萬元罰款、暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷許可證等處罰；直接責(zé)任人可能被處以1～10萬元的罰款。若具體行為違反《刑法》的，還應(yīng)當(dāng)依法追究刑事責(zé)任。該處罰力度若與科技發(fā)達國家比較來看，并不算嚴(yán)苛。2018年，F(xiàn)acebook因劍橋分析公司(Cambridge Analytica)未獲得用戶同意的情況下，擅自獲取8 700萬Facebook用戶信息，用于對美國選民定向推送政治信息，被聯(lián)邦貿(mào)易委員會(Federal Trade Commission, FTC)展開調(diào)查。最后以美國司法部、FTC、Facebook三方達成用戶隱私保護和解協(xié)議告終。其中一項和解內(nèi)容便是Facebook需要繳納50億美元的罰金。2020年，經(jīng)法國國務(wù)委員會裁定，同意國家數(shù)據(jù)保護委員會基于Google違反GDPR中關(guān)于個人隱私保護的規(guī)定，對其作出5 000萬歐元的處罰。對企業(yè)而言，只有高額罰金才能真正發(fā)揮威懾作用。因此，除了在事前要求企業(yè)建立數(shù)據(jù)風(fēng)險識別、防控的合規(guī)體系之外，還應(yīng)當(dāng)為數(shù)據(jù)保護不合規(guī)的行為設(shè)置高額罰金。

5 結(jié) 語

誠然，數(shù)據(jù)的生命在于流動，但是真正的價值落腳點卻在于安全。相較于追趕歐美加速數(shù)據(jù)流動的一系列舉措，快速在全球數(shù)字經(jīng)濟中占據(jù)優(yōu)勢地位，倒不如回頭認真審視數(shù)據(jù)保護、數(shù)據(jù)監(jiān)管面臨的問題，對我國數(shù)據(jù)本地化方案抱有更多的自信，配合我國立法與技術(shù)的綜合實力的提升，徐徐打開數(shù)據(jù)流動之門。