梅 傲 李梓鴻

（西南政法大學(xué)爭端解決國際競爭力研究中心 重慶 401120）

1 引言

當(dāng)前，世界正面臨百年未有之大變局，我國國家安全內(nèi)涵和外延比歷史上任何時候都要豐富，時空領(lǐng)域比歷史上任何時候都要寬廣，內(nèi)外因素比歷史上任何時候都要復(fù)雜。在此背景下，習(xí)近平總書記在2014年4月15日中共中央國家安全委員會第一次全體會議上首次提出“總體國家安全觀”。這一新的國家安全理念統(tǒng)籌包括政治安全、國土安全、經(jīng)濟安全在內(nèi)的十六要素，形成統(tǒng)一的國家安全體系[1]。

數(shù)據(jù)作為一種新的生產(chǎn)要素，對于國家推進產(chǎn)業(yè)革命，爭奪國際話語權(quán)具有重要意義，對于企業(yè)而言，數(shù)據(jù)也是競爭力的保證。結(jié)合總體國家安全觀要求，應(yīng)當(dāng)將企業(yè)數(shù)據(jù)分為純粹商業(yè)性數(shù)據(jù)和公共安全性數(shù)據(jù)兩種[2]。前者是指會計數(shù)據(jù)、金融數(shù)據(jù)等企業(yè)內(nèi)部經(jīng)營數(shù)據(jù)，后者是指企業(yè)所收集的用戶信息、地理信息等。公共安全性數(shù)據(jù)的非法流動對國家總體安全威脅程度較高，例如，企業(yè)用戶身份、消費、社交等信息經(jīng)過分析可推測出黨政工作人員的人際關(guān)系網(wǎng)絡(luò)和消費、出行習(xí)慣。企業(yè)收集的地理信息會暴露國家重要軍事設(shè)施、研究機關(guān)、黨政機關(guān)所在區(qū)位。至于一些特殊企業(yè)所采集的生物信息更是會對國民健康造成重大影響。而企業(yè)內(nèi)部經(jīng)營數(shù)據(jù)也涉及國民經(jīng)濟運行指標(biāo)，不可輕易由其他國家掌握。在總體國家安全觀下，企業(yè)數(shù)據(jù)安全不單純歸屬于經(jīng)濟安全范疇，企業(yè)數(shù)據(jù)安全隱患也在挑動國家整體安全的神經(jīng)。特別是在現(xiàn)今國際局勢不明朗，美國等西方資本主義國家進一步對中國進行打壓的態(tài)勢下，企業(yè)所掌握的核心數(shù)據(jù)一旦泄露，將對我國軍事安全、政治安全造成實質(zhì)威脅。因此，企業(yè)數(shù)據(jù)治理困境已成為影響我國國家安全的不穩(wěn)定因子，有必要在總體國家安全觀視域下對現(xiàn)有企業(yè)數(shù)據(jù)安全治理體系予以重新審視，立足現(xiàn)實，積極探尋現(xiàn)行企業(yè)數(shù)據(jù)安全治理機制的癥結(jié)所在，展望未來，多維度措施并舉完善企業(yè)數(shù)據(jù)安全常態(tài)化治理機制，提升我國國家安全領(lǐng)域整體治理水平。

2 總體國家安全觀下企業(yè)數(shù)據(jù)安全保護的困境

2021年7月4日，滴滴出行（簡稱“滴滴”）在美上市后被緊急下架就是企業(yè)數(shù)據(jù)安全隱患引發(fā)國家安全隱憂的最好例證。滴滴通過其交通運輸業(yè)務(wù)收集了大量公民個人身份信息，并且在2018年發(fā)生幾起安全事故后，其在每一個終端上都開啟了視頻采集和錄音功能，盡管這一舉措能有效保證女性乘客安全，但采集到的數(shù)億用戶人臉、聲音信息卻在很大程度上為乘客創(chuàng)設(shè)了隱私泄露風(fēng)險。同時，滴滴在拿到全國高精地圖甲級測繪牌照后，采集了大量關(guān)系到社會安全的街景、地理坐標(biāo)、道路建筑等重要數(shù)據(jù)。這些關(guān)鍵數(shù)據(jù)一旦被我國敵對勢力所掌握，對總體國家安全將造成不小挑戰(zhàn)。而根據(jù)美國《外國公司問責(zé)法案》的規(guī)定，滴滴在美上市必須提交審計底稿、地圖、客戶信息等敏感數(shù)據(jù)。滴滴作為關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)運營者趕在《數(shù)據(jù)安全法》正式施行前在美的成功上市，一方面體現(xiàn)出企業(yè)自身國家安全觀念欠缺。這在一定程度上與滴滴的股權(quán)架構(gòu)有所關(guān)聯(lián)，在滴滴赴美首次公開募股前，軟銀愿景基金持股比例是21.5%、Uber持股比例是12.8%。赴美上市既是滴滴長期性、戰(zhàn)略性、商業(yè)化的考量，也是國外投資者的現(xiàn)實需要。另一方面也體現(xiàn)出國家對企業(yè)數(shù)據(jù)安全審查機制出現(xiàn)了瑕疵。相關(guān)機構(gòu)對于企業(yè)涉及數(shù)據(jù)安全的投資選擇缺乏敏感度，事前審查機制也未能有效反應(yīng)。

滴滴事件后，字節(jié)跳動、喜馬拉雅等國內(nèi)一些互聯(lián)網(wǎng)企業(yè)已經(jīng)取消近期IPO計劃。但暫緩“出?！辈⒉灰馕吨谰谩皵R淺”，鼓勵“走出去”仍然是我國大方向戰(zhàn)略，要對發(fā)展“第一要務(wù)”與安全“頭等大事”進行總體性把握[3]。規(guī)避法律，逃脫審查以獲取準入資格的行為在任何資本市場都不會受到歡迎。如何在堅守國家安全底線的同時，助力企業(yè)尋求進一步發(fā)展的機會才是企業(yè)數(shù)據(jù)安全保護機制所面臨的困境所在。

3 總體國家安全觀下企業(yè)數(shù)據(jù)安全領(lǐng)域的治理現(xiàn)狀

我國對數(shù)據(jù)安全領(lǐng)域的治理由來已久，但一直未形成完整的規(guī)制體系。自總體國家安全觀提出以來，有關(guān)網(wǎng)絡(luò)安全、數(shù)據(jù)安全等方面的立法逐漸增多，多部門聯(lián)合執(zhí)法的統(tǒng)一行政監(jiān)管體制也在逐步建立，并且在對外友好合作的過程中，企業(yè)數(shù)據(jù)跨境合規(guī)成為外交工作重點關(guān)注內(nèi)容。

3.1 數(shù)據(jù)安全法律體系尚未完備

3.1.1 碎片化階段

自1994年接入國際互聯(lián)網(wǎng)，我國就開始對數(shù)據(jù)安全的重要性有所認識，不過當(dāng)時國內(nèi)對互聯(lián)網(wǎng)的理解還停留在將其僅作為是一種新型技術(shù)工具的基礎(chǔ)階段?！队嬎銠C信息系統(tǒng)安全保護條例》（1944）和《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》（1996）的相繼出臺拉開我國立法保護數(shù)據(jù)安全的序幕。進入21世紀，互聯(lián)網(wǎng)的社會價值、商業(yè)價值被進一步開發(fā)，網(wǎng)購潮流掀起商業(yè)革命，企業(yè)建設(shè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施、收集客戶數(shù)據(jù)成為新趨勢，互聯(lián)網(wǎng)巨頭阿里巴巴、京東等企業(yè)迎來快速發(fā)展期。各級政府部門通過制訂《電信條例》（2000）、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》（2000）等規(guī)定對數(shù)據(jù)治理進行細化。2010年后，數(shù)據(jù)安全的態(tài)勢越發(fā)嚴峻，涉及個人隱私、國家安全的數(shù)據(jù)泄露事故頻發(fā)，網(wǎng)絡(luò)犯罪現(xiàn)象劇增。對此，我國立法機關(guān)相繼出臺《國家保密法》（2010）、《密碼法》（2010）等法律法規(guī)規(guī)制數(shù)據(jù)安全治理亂象。但總體上，這一階段對數(shù)據(jù)安全保護的立法呈現(xiàn)出碎片化、片面化、工具化的特點，尚無以數(shù)據(jù)保護為主要內(nèi)容的基本法統(tǒng)領(lǐng)全局。相關(guān)法律法規(guī)也未將企業(yè)數(shù)據(jù)安全置于重要地位，如《關(guān)于股份有限公司境外募集股份及上市的特別規(guī)定》（1994）中要求企業(yè)在境外上市時要向國務(wù)院證券主管部門報批，但相關(guān)部門審查內(nèi)容卻未包括數(shù)據(jù)泄露風(fēng)險等項目，而滴滴正是依據(jù)這一規(guī)定在美上市。

3.1.2 體系化階段

2013年“棱鏡門”事件爆發(fā)，前美國國家安全局工作人員斯諾登揭露美國政府對其他國家重要人物進行監(jiān)聽并通過技術(shù)手段竊取大量個人隱私信息和商業(yè)數(shù)據(jù)的行徑，且微軟、蘋果、谷歌等在內(nèi)的9家國際互聯(lián)網(wǎng)巨頭皆參與其中。國際上，許多國家將企業(yè)數(shù)據(jù)的有效保護上升到國家安全戰(zhàn)略層面。我國在總體國家安全觀的指引下也展開相應(yīng)的戰(zhàn)略部署，并通過系統(tǒng)化立法將數(shù)據(jù)安全貫穿各領(lǐng)域。經(jīng)過幾年的努力，我國已經(jīng)形成以《國家安全法》（2015）為統(tǒng)領(lǐng)，以《網(wǎng)絡(luò)安全法》（2017）、《數(shù)據(jù)安全法》（2021）為主體、以國務(wù)院各部門所頒布的《網(wǎng)絡(luò)安全審查辦法》（2020）、《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理辦法》等規(guī)章為軀干的企業(yè)數(shù)據(jù)安全保障法律法規(guī)體系。在這一體系外圍，《民法典》《出口管制法》《反不正當(dāng)競爭法》等法律也對數(shù)據(jù)安全提出其所調(diào)整的法律關(guān)系所要求的內(nèi)容。《刑法》第285條更是將企業(yè)非法爬蟲獲取數(shù)據(jù)行為納入規(guī)制范圍，并在“上海晟品有限公司、候某某等非法獲取計算機系統(tǒng)數(shù)據(jù)案”中首次引用①北京市海淀區(qū)人民法院（2017）京0108刑初2384號刑事判決書。。此外，《反外國制裁法》（2021）也為我國應(yīng)對其他國家的數(shù)據(jù)強權(quán)提供了法律對策。盡管已經(jīng)相對完備，但要完全實現(xiàn)企業(yè)數(shù)據(jù)安全治理的“有法可依”還需進一步完善這一法律系統(tǒng)[4]。

3.2 聯(lián)合保障企業(yè)數(shù)據(jù)安全的機構(gòu)框架尚未完成搭建

2011年5月，中華人民共和國國家互聯(lián)網(wǎng)信息辦公室成立，并在2018年與中央網(wǎng)絡(luò)安全和信息化委員會辦公室一個機構(gòu)兩塊牌子合署辦公，列入中共中央直屬機構(gòu)序列，這標(biāo)志著數(shù)據(jù)安全治理組織架構(gòu)的核心機構(gòu)誕生。根據(jù)《數(shù)據(jù)安全法》的規(guī)定，我國在企業(yè)數(shù)據(jù)安全領(lǐng)域已經(jīng)形成層次分明、分工相對明確的交叉行政監(jiān)管體制。在縱向上，中央國家安全領(lǐng)導(dǎo)機構(gòu)負責(zé)處理涉及國家安全的企業(yè)數(shù)據(jù)安全監(jiān)管工作，各地區(qū)政府部門負責(zé)監(jiān)管本地區(qū)企業(yè)數(shù)據(jù)安全。在橫向上，各行業(yè)、各部門負責(zé)監(jiān)管本行業(yè)、本領(lǐng)域內(nèi)企業(yè)數(shù)據(jù)安全。而公安機關(guān)、國家安全機關(guān)也在法定職責(zé)范圍內(nèi)承擔(dān)相應(yīng)的企業(yè)數(shù)據(jù)安全保障工作[5]。為更好地履行政府職能，提升網(wǎng)絡(luò)安全、數(shù)據(jù)安全審查的效率，由中央網(wǎng)絡(luò)安全和信息化委員會領(lǐng)導(dǎo)，國家互聯(lián)網(wǎng)信息辦公室會同工信部、財政部、中國人民銀行等12個部門建立了國家網(wǎng)絡(luò)安全審查工作機制。多重監(jiān)管體制與獨立審查機制相結(jié)合的行政制度構(gòu)成保障企業(yè)數(shù)據(jù)安全的有力屏障，但這一制度內(nèi)部職責(zé)還需要進一步細分，避免出現(xiàn)相互推諉、重復(fù)執(zhí)法等降低行政效率的現(xiàn)象。

3.3 尋求構(gòu)建數(shù)據(jù)安全保護的互助機制

為實現(xiàn)引進來與走出去戰(zhàn)略并重，形成更加全面、深入的開放格局，我國積極與其他國家和地區(qū)簽訂自由貿(mào)易協(xié)定（FTA）以提升合作水平，而企業(yè)數(shù)據(jù)跨境安全也逐漸成為FTA中不可或缺的組成部分。目前，我國在與新加坡、韓國、澳大利亞所簽訂的FTA中就有關(guān)于電子商務(wù)的章節(jié)，在我國所參加的RCEP中也有關(guān)于保護電子商務(wù)用戶個人信息、企業(yè)數(shù)據(jù)跨境安全的內(nèi)容[6]。另外，我國也在積極尋求加入CPTPP和DEPA。根據(jù)CPTPP第14章的內(nèi)容可知，CPTPP相比RCEP對數(shù)據(jù)跨境自由流動提出了更多的限制，給與締約國更少采取必要措施的空間，在企業(yè)數(shù)據(jù)的跨境流動安全方面對締約國提出了更高的制度保障要求。而DEPA更是全球第一個數(shù)字經(jīng)濟的規(guī)則安排，代表了數(shù)字經(jīng)貿(mào)規(guī)則發(fā)展的新趨勢，在數(shù)字貿(mào)易領(lǐng)域具有高標(biāo)準的特點，其“數(shù)據(jù)問題”模塊也規(guī)定有個人信息保護、通過電子手段進行的跨境數(shù)據(jù)流動、計算機設(shè)施的位置等直接關(guān)系到企業(yè)數(shù)據(jù)安全的內(nèi)容。

從近些年來所簽訂的FTA和申請加入的國際貿(mào)易協(xié)定中可以看出，我國正在積極尋求加強與其他國家在數(shù)據(jù)安全領(lǐng)域的合作[7]，努力搭建互助機制，同時也在不斷提升國內(nèi)數(shù)據(jù)安全方面的治理水平以對接國際標(biāo)準。但當(dāng)前我國僅有的4個包含電子商務(wù)內(nèi)容的FTA中，除RCEP外其余FTA僅原則性提及消費者信息保護，并未提出具體保護措施和違規(guī)處理方案，而我國對于如何實現(xiàn)數(shù)據(jù)市場開放與數(shù)據(jù)安全的總體平衡方面也未形成完整的規(guī)則體系，數(shù)據(jù)安全保護國際互助機制仍然處于低水平階段。

4 總體國家安全觀下企業(yè)數(shù)據(jù)安全的“內(nèi)憂外患”

危害企業(yè)數(shù)據(jù)安全行為的性質(zhì)可以分為商業(yè)性和公共性兩種，前者主要是指企業(yè)之間出于爭奪競爭優(yōu)勢目的而發(fā)生的非法爬取，后者主要表現(xiàn)為帶有政府背景的惡意獲取及黑客攻擊等。而無法避免這些危害行為之根源在于內(nèi)部保護體系存在缺陷及外部合規(guī)沖突的持續(xù)。

4.1 內(nèi)憂：企業(yè)數(shù)據(jù)內(nèi)部保護體系構(gòu)建不完整

4.1.1 企業(yè)自身數(shù)據(jù)保護能力、保護意識欠缺

在總體國家安全觀下，企業(yè)的數(shù)據(jù)安全治理工作不僅要滿足其基本商業(yè)競爭需要還應(yīng)當(dāng)符合國家安全需求，這就要求企業(yè)應(yīng)當(dāng)具有更高的數(shù)據(jù)保護意識和能力[8]。但一方面正如滴滴事件所折射出的商業(yè)現(xiàn)狀，國內(nèi)許多大型企業(yè)都有外資背景，例如騰訊的背后大股東是南非報業(yè)，阿里巴巴的背后持股人是軟銀、雅虎等海外企業(yè)。這些企業(yè)在進行擴張的過程中會在一定程度上受其背后股東的影響，通過其所掌握的數(shù)據(jù)換取進入相關(guān)金融市場的準入許可，且就算企業(yè)本身不受外資控制，赴外上市所能帶來的經(jīng)濟收益也讓許多企業(yè)趨之若鶩，做出國家安全讓步企業(yè)利益的決定。另一方面，建設(shè)存儲數(shù)據(jù)基礎(chǔ)設(shè)施的成本頗高。為防止日新月異的網(wǎng)絡(luò)攻擊手段，企業(yè)還需不斷更新防御技術(shù)及提高數(shù)據(jù)安全人員的技術(shù)能力、變革傳統(tǒng)數(shù)據(jù)安全治理架構(gòu)等，這一系列措施對企業(yè)而言是極大的經(jīng)濟負擔(dān)。因此許多企業(yè)出于經(jīng)濟性考量并不會將數(shù)據(jù)安全作為重要投入部門。這也在一定程度上使得企業(yè)自身的數(shù)據(jù)保護能力無法匹配國家安全的需要。

4.1.2 政府?dāng)?shù)據(jù)安全監(jiān)管體制未系統(tǒng)化

企業(yè)數(shù)據(jù)本身具有商業(yè)性質(zhì)，適當(dāng)利用市場機制進行調(diào)節(jié)有利于數(shù)據(jù)產(chǎn)業(yè)的繁榮[9]，然而企業(yè)數(shù)據(jù)所包含的核心數(shù)據(jù)、關(guān)鍵數(shù)據(jù)等具有高度安全敏感性，要求政府更應(yīng)當(dāng)有所作為?！稊?shù)據(jù)安全法》第6條針對數(shù)據(jù)安全治理特殊性設(shè)計出一套多層次交叉監(jiān)管體制，但只是模糊規(guī)定由國家網(wǎng)信部門進行統(tǒng)籌協(xié)調(diào)和相關(guān)監(jiān)管工作，并未明確各數(shù)據(jù)監(jiān)管主體的職責(zé)范圍。當(dāng)下國內(nèi)對企業(yè)數(shù)據(jù)安全的監(jiān)管也未實現(xiàn)規(guī)范化、體系化，形成一套集監(jiān)測、審查、評估、處置、備案的完整制度框架體系。政府監(jiān)測方面，《網(wǎng)絡(luò)安全法》第52條要求各級部門建立數(shù)據(jù)安全信息通報和監(jiān)測預(yù)警制度。在實際履行過程中，企業(yè)進行數(shù)據(jù)報送時出現(xiàn)報送程序混亂、行政主體重復(fù)要求報送、報送數(shù)據(jù)后續(xù)安全無法保障等現(xiàn)象，使得數(shù)據(jù)監(jiān)測工作效率降低[10]。政府審查、評估方面，盡管在滴滴事件后，國家互聯(lián)網(wǎng)信息辦公室進一步嚴格化、制度化企業(yè)赴外上市數(shù)據(jù)安全審查制度，對符合法律規(guī)定的關(guān)鍵基礎(chǔ)設(shè)施境外上市實行多部門聯(lián)合安全審查，但對于外資準入的數(shù)據(jù)安全風(fēng)險評估、數(shù)據(jù)安全產(chǎn)品、等級保護認證等方面并未形成統(tǒng)一工作標(biāo)準[11]。政府處置方面，《數(shù)據(jù)安全法》對各種數(shù)據(jù)違法行為設(shè)定了罰款額度，但對罰款主體的界定較為模糊，容易出現(xiàn)多部門管轄爭議。

4.1.3 數(shù)據(jù)權(quán)屬不明，爭端加劇

淘寶訴美景不正當(dāng)糾紛案中，法院一方面明確淘寶公司對涉案“生意參謀”數(shù)據(jù)享有財產(chǎn)性權(quán)益，另一方面又根據(jù)“物權(quán)法定原則”否定企業(yè)對數(shù)據(jù)產(chǎn)品享有所有權(quán)?！岸ǚ帧辈拍堋爸?fàn)帯?，企業(yè)對其掌握的數(shù)據(jù)所享有的權(quán)利性質(zhì)不明不利于數(shù)據(jù)糾紛實踐中爭議的平息。學(xué)界關(guān)于數(shù)據(jù)權(quán)屬的觀點主要有以下幾種，第一種是將企業(yè)數(shù)據(jù)納入知識產(chǎn)權(quán)體系中，將企業(yè)數(shù)據(jù)庫當(dāng)作是《著作權(quán)法》第14條所規(guī)定的匯編作品，或是《反不正當(dāng)競爭法》第9條所規(guī)定的商業(yè)秘密。第二種是為企業(yè)數(shù)據(jù)獨立設(shè)置財產(chǎn)權(quán)利[12]。但兩種觀點都存在理論邏輯上的難以自恰。首先，企業(yè)數(shù)據(jù)庫只是對數(shù)據(jù)的大量匯集，其對數(shù)據(jù)的編排方式并不一定具有獨創(chuàng)性，無法將其認定為傳統(tǒng)的匯編作品。其次，商業(yè)秘密具有保密性、價值性和秘密性的特點，而企業(yè)數(shù)據(jù)由于其收集的方式公開化、價值評估的標(biāo)準模糊化，因此并不能完全符合商業(yè)秘密三性要求。最后，若將企業(yè)數(shù)據(jù)獨立作為私法權(quán)利關(guān)系客體，那么將面臨財產(chǎn)權(quán)利與用戶個人隱私權(quán)、其他數(shù)據(jù)控制者數(shù)據(jù)占有權(quán)等權(quán)利的沖突[13]。而新出臺的《數(shù)據(jù)安全法》及其他政府相關(guān)規(guī)定也并未對企業(yè)數(shù)據(jù)權(quán)屬做出界定，司法實踐中更多是通過《反不正當(dāng)競爭法》一般條款的擴張適用來解決這一問題，但終究是無法從根源上解決數(shù)據(jù)糾紛的核心矛盾。

另外，企業(yè)應(yīng)當(dāng)對純粹商業(yè)性數(shù)據(jù)享有排他性財產(chǎn)權(quán)益的爭議較小，對于公共安全性數(shù)據(jù)權(quán)利歸屬是則國家安全方面立法所要關(guān)注重點，然而相關(guān)法律法規(guī)也并未就企業(yè)對此類數(shù)據(jù)所享有的權(quán)益做出特殊規(guī)定。洛克認為“只要一個人使某種東西脫離自然所提供狀態(tài)，那么他就已經(jīng)給予了它勞動，在這上面賦予的他自己所有的某些東西，因此使它成為他的財產(chǎn)?！卑凑章蹇说睦碚?，企業(yè)只要對其收集的信息進行一定的加工活動，付出人力、財力成本，就應(yīng)當(dāng)賦予其數(shù)據(jù)財產(chǎn)權(quán)利，但僅通過一般的確權(quán)模式對這類數(shù)據(jù)權(quán)利歸屬進行劃分不符合國家安全和社會安全保障的需求。

4.2 外患：規(guī)范沖突態(tài)勢下企業(yè)數(shù)據(jù)泄露風(fēng)險增加

4.2.1 合規(guī)風(fēng)險下企業(yè)數(shù)據(jù)泄露

合規(guī)風(fēng)險既包括雙向合規(guī)風(fēng)險、也包括規(guī)則適用風(fēng)險。雙向合規(guī)風(fēng)險引發(fā)的數(shù)據(jù)泄露主要發(fā)生在企業(yè)赴外上市或投資等商業(yè)行為的事前審查過程中。企業(yè)為成功赴外，其對數(shù)據(jù)的收集、存儲、處置須符合國內(nèi)法律要求及獲得目標(biāo)國法律認可。各國經(jīng)濟發(fā)展程度、數(shù)據(jù)保護理念等存在差異，基于數(shù)據(jù)主權(quán)所作規(guī)定也有所不同，盡管在一定程度上，合規(guī)已經(jīng)成為一些國家限制外資、維護本國企業(yè)的重要方式，但合規(guī)同樣也是防止風(fēng)險流入，維護國家安全的重要手段。以中美企業(yè)數(shù)據(jù)合規(guī)沖突為例，我國通過《國家安全法》第59條確立了國家安全審查制度，將外商投資、網(wǎng)絡(luò)信息技術(shù)產(chǎn)品或服務(wù)等涉及國家安全的事項都納入國家安全審查范圍中，《數(shù)據(jù)安全法》第36條更是規(guī)定存儲于中國境內(nèi)的數(shù)據(jù)未經(jīng)批準不得向外國司法或執(zhí)法機構(gòu)提供，而美國出臺《澄清境外數(shù)據(jù)合法使用法》賦予美國政府機構(gòu)直接調(diào)取本國企業(yè)存儲在境外數(shù)據(jù)的權(quán)力。縱然蘋果公司在貴州建立“云上貴州”平臺用以存儲其在中國境內(nèi)所產(chǎn)生的經(jīng)營數(shù)據(jù)符合準入中國數(shù)據(jù)市場的相關(guān)規(guī)定，但也面臨合規(guī)沖突即在美方依據(jù)《澄清境外數(shù)據(jù)合法使用法》調(diào)取中國境內(nèi)數(shù)據(jù)時，蘋果公司是否應(yīng)當(dāng)提供。我國企業(yè)赴美上市面臨合規(guī)沖突風(fēng)險更甚，如前文所述滴滴事件中《外國公司問責(zé)法案》與《數(shù)據(jù)安全法》的碰撞，在這種情況下企業(yè)數(shù)據(jù)泄露的風(fēng)險程度取決于企業(yè)的態(tài)度，但企業(yè)本質(zhì)上的求利性使得對其做出利益讓步數(shù)據(jù)安全選擇的期待程度無法過高。規(guī)則適用風(fēng)險則更多發(fā)生在企業(yè)經(jīng)營過程中。2020年6月,歐盟依據(jù)GDPR對Tik Tok進行數(shù)據(jù)安全審查。同年8月，美國外國投資委員會依據(jù)其國內(nèi)外資審查規(guī)定對2017年字節(jié)跳動收購Musical.ly一案進行調(diào)查[14]。特朗普政府也依據(jù)《國家緊急經(jīng)濟權(quán)力法》對Tik Tok和微信發(fā)布禁令，禁止其在美國的業(yè)務(wù)[15]。兩次合規(guī)審查對字節(jié)跳動的美歐業(yè)務(wù)造成重大沖擊，也對其所存儲數(shù)據(jù)安全提出挑戰(zhàn)。相比雙向合規(guī)風(fēng)險，規(guī)則適用風(fēng)險對企業(yè)所造成的影響更甚，目標(biāo)國對既存規(guī)則或新規(guī)則的適用具有自主性和不確定性，企業(yè)在境外更需審慎經(jīng)營，一旦違規(guī)，目標(biāo)國司法、執(zhí)法機構(gòu)對其經(jīng)營數(shù)據(jù)的審查極易引發(fā)數(shù)據(jù)泄露危機。

4.2.2 非合規(guī)風(fēng)險下企業(yè)數(shù)據(jù)泄露

市場風(fēng)險及政治風(fēng)險也是引發(fā)企業(yè)數(shù)據(jù)泄露的重要因子。2016年至2019年，美國劍橋分析公司通過對Face Book 6500萬用戶數(shù)據(jù)進行收集和分析從而定向發(fā)布新聞、精準投送廣告、影響選民偏好[16]。數(shù)據(jù)的高價值讓其在市場交易中也可成為炙手可熱的商品，若企業(yè)在境外正常的市場經(jīng)營活動中進行數(shù)據(jù)交易很可能陷入泄露數(shù)據(jù)的陷阱中。政治風(fēng)險則更是數(shù)據(jù)安全的頭號威脅，尤其是美國近些年出于政治考量對中國企業(yè)的圍堵。從直接利用政府情報機構(gòu)強大技術(shù)實力侵入企業(yè)計算機系統(tǒng)獲取相關(guān)數(shù)據(jù)到通過政策限制企業(yè)正常經(jīng)營活動以要挾企業(yè)提供關(guān)鍵信息，政治打壓手段五花八門，企業(yè)對其數(shù)據(jù)安全的防御能力堪憂。

5 總體國家安全觀下加強企業(yè)數(shù)據(jù)安全保障的措施

面對企業(yè)數(shù)據(jù)安全的“內(nèi)憂外患”，國家應(yīng)當(dāng)結(jié)合總體國家安全觀和網(wǎng)絡(luò)安全命運共同體理念，從立法、執(zhí)法、外交層面對內(nèi)進行制度改良，對外進行深度合作，實現(xiàn)對企業(yè)數(shù)據(jù)的有效治理。而企業(yè)也應(yīng)當(dāng)獨善其身，承擔(dān)社會責(zé)任，提高保衛(wèi)能力。

5.1 國家層面：內(nèi)外兼修

5.1.1 立法先行

（1）進一步厘清涉及企業(yè)數(shù)據(jù)安全基礎(chǔ)概念。2017年12月8日，習(xí)近平總書記在中共中央政治局第二次集體學(xué)習(xí)時強調(diào)，“要制訂數(shù)據(jù)資源確權(quán)、開放、流通、交易相關(guān)制度，完善數(shù)據(jù)產(chǎn)權(quán)保護制度”。實現(xiàn)對企業(yè)數(shù)據(jù)安全的全方位治理，數(shù)據(jù)確權(quán)是先決條件，而在確權(quán)前還需進行概念厘清。首先，立法機關(guān)應(yīng)當(dāng)就總體國家安全理念下的企業(yè)數(shù)據(jù)規(guī)制地域范圍、行業(yè)范圍進行界定，對核心數(shù)據(jù)、關(guān)鍵基礎(chǔ)設(shè)施等關(guān)鍵詞分行業(yè)進行詳細解釋，對不同類型、不同流向、不同領(lǐng)域的企業(yè)數(shù)據(jù)根據(jù)國家安全敏感度實行分級分類管理[17]。其次，賦予企業(yè)對其數(shù)據(jù)所享有的權(quán)利不能簡單照搬財產(chǎn)權(quán)、知識產(chǎn)權(quán)等現(xiàn)有法定權(quán)利，應(yīng)當(dāng)根據(jù)企業(yè)數(shù)據(jù)所特有的屬性獨立設(shè)置數(shù)據(jù)運營權(quán)。在這一權(quán)利架構(gòu)內(nèi)，允許企業(yè)對數(shù)據(jù)享有占有、使用、收益、處分權(quán)能，但通過建構(gòu)強制許可、強制公開等制度規(guī)范其權(quán)利行使，并根據(jù)國家安全、社會福利、市場競爭秩序維護等公共利益的需要對運營權(quán)屬范圍進行限制[18]。最后，劃分數(shù)據(jù)主體、數(shù)據(jù)控制者、數(shù)據(jù)處理者、數(shù)據(jù)監(jiān)管者等不同主體的權(quán)限范疇，保證各類權(quán)利的獨立安全運行，特別加強對個人隱私、公共事務(wù)數(shù)據(jù)、國家秘密的保護。

（2）完善規(guī)范數(shù)據(jù)流動法律武器，加強針對性立法?？缇硵?shù)據(jù)治理領(lǐng)域，歐盟通過GDPR進一步擴大其法律的域外效力，美國基于其數(shù)據(jù)優(yōu)勢地位不斷推動數(shù)據(jù)跨境自由流動國際規(guī)則的訂立，且進行政治性差別對待。我國可以借鑒歐盟立法模式，并在數(shù)據(jù)主權(quán)的基礎(chǔ)上結(jié)合我國企業(yè)實力現(xiàn)狀制訂數(shù)據(jù)跨境規(guī)則，將數(shù)據(jù)流動目標(biāo)國具有完善數(shù)據(jù)保護制度及做出保護承諾、數(shù)據(jù)處理者采取充分保護措施作為通過數(shù)據(jù)跨境流動審核的條件[19]。另外，進一步細化數(shù)據(jù)跨境事前審查和事后登記備案規(guī)則，擴大安全審查范圍，規(guī)范企業(yè)數(shù)據(jù)報送程序及管理部門職責(zé)。同時，加強針對性立法，對于限制數(shù)據(jù)流通、通過政治制裁獲取本國企業(yè)數(shù)據(jù)的行為進行對等規(guī)制，以法為矛采取反制措施，合理擴展“長臂管轄”跨境規(guī)則。

數(shù)據(jù)國內(nèi)流動治理領(lǐng)域，為保證數(shù)據(jù)的高效流通，應(yīng)當(dāng)采取柔和性保護模式，用列舉負面清單的方式預(yù)防和阻卻數(shù)據(jù)安全違法行為。在對禁止爬取的數(shù)據(jù)范圍進行界定時，采取靈活性立法將數(shù)據(jù)來源、數(shù)據(jù)公開程度、爬取目的等因素納入考量范疇[20]。并通過稅收減免、數(shù)據(jù)強制公開等規(guī)定推動國內(nèi)數(shù)據(jù)市場的統(tǒng)一和發(fā)展。

5.1.2 執(zhí)法保駕

（1）完善數(shù)據(jù)安全執(zhí)法體系，提升執(zhí)法效率。一方面，在制度設(shè)計上，政府應(yīng)當(dāng)形成一套集監(jiān)測、審查、評估、處置、備案的數(shù)據(jù)安全行政執(zhí)法完整流程，盡量減少出現(xiàn)對企業(yè)數(shù)據(jù)違規(guī)漏管或錯管的現(xiàn)象。同時，對流程內(nèi)的各個環(huán)節(jié)所需制度安排進行設(shè)計。第一，在監(jiān)測環(huán)節(jié)，建立企業(yè)主動報送和政府?dāng)?shù)據(jù)情報分析機制，規(guī)范數(shù)據(jù)報送程序、主管部門權(quán)限、報送數(shù)據(jù)存儲安全責(zé)任劃分。另外，市場監(jiān)管部門與公安、國安部門構(gòu)建聯(lián)合工作平臺合力對企業(yè)數(shù)據(jù)安全進行監(jiān)測預(yù)警。第二，在審查、評估環(huán)節(jié)，對于不同類型、不同流向的數(shù)據(jù)，政府應(yīng)當(dāng)設(shè)置不同的審查程序和評估標(biāo)準，同時設(shè)定工作期限，提升效率，并建立終身責(zé)任制，對違規(guī)審查、評估的工作人員進行問責(zé)。第三，在處置環(huán)節(jié)，執(zhí)法部門應(yīng)當(dāng)在《數(shù)據(jù)安全法》的基礎(chǔ)上對主管企業(yè)數(shù)據(jù)安全的行政機關(guān)范圍進行進一步劃分，并對處罰標(biāo)準細化，對應(yīng)受處罰行為構(gòu)成要件詳細規(guī)定。此外，結(jié)合《行政訴訟法》的規(guī)定，建立特殊聽證制度以保證企業(yè)在有關(guān)數(shù)據(jù)安全行政執(zhí)法中就專業(yè)性問題進行充分陳述，維護其合法權(quán)益。第四，在備案環(huán)節(jié)，政府無法付出巨大時間和經(jīng)濟成本就所有跨境數(shù)據(jù)進行審查，因此應(yīng)當(dāng)對這些跨境數(shù)據(jù)特別是需要實時傳輸或基于云服務(wù)的數(shù)據(jù)進行嚴格的備案制度，對企業(yè)在合規(guī)跨境數(shù)據(jù)中還夾帶有重要數(shù)據(jù)的行為在發(fā)現(xiàn)后進行嚴肅處罰。

另一方面，在機構(gòu)設(shè)置上，可以參考歐盟個人數(shù)據(jù)保護專員和個人數(shù)據(jù)保護官制度建設(shè)獨立企業(yè)數(shù)據(jù)安全監(jiān)管機構(gòu)，就企業(yè)數(shù)據(jù)收集、處理、流通全過程進行監(jiān)督，對用戶隱私信息、涉及國家安全數(shù)據(jù)提供充分保護，并賦予該機構(gòu)一定行政處罰權(quán)力，提升執(zhí)法效率。

（2）推動建立企業(yè)數(shù)據(jù)安全行政保障機制

對中小型企業(yè)而言，建設(shè)獨立數(shù)據(jù)安全監(jiān)管部門和持續(xù)提升數(shù)據(jù)存儲硬件水平的成本較高，許多企業(yè)只能負擔(dān)起對其數(shù)據(jù)進行簡單加密的防御措施。而大型企業(yè)雖然能夠承受保障數(shù)據(jù)安全較高水準的開支，但在面對更高技術(shù)水平的情報機構(gòu)或黑客時，也顯得束手無策。對此，政府可以借鑒“信托”制度建立一些數(shù)據(jù)托管機構(gòu)，以國家科技實力為依托保障企業(yè)所存儲的核心數(shù)據(jù)安全。另外，為建成“數(shù)字中國”，各地區(qū)政府間應(yīng)當(dāng)減少數(shù)據(jù)流動壁壘，并整合數(shù)據(jù)資源，通過對大數(shù)據(jù)的分析，為本區(qū)域內(nèi)中小企業(yè)找準市場定位，扶持本地區(qū)特色產(chǎn)業(yè)發(fā)展，推動鄉(xiāng)村振興戰(zhàn)略實施。此外，政府還應(yīng)當(dāng)積極鼓勵數(shù)據(jù)的本地化存儲，并對升級數(shù)據(jù)安保措施的企業(yè)提供政策福利。最后，當(dāng)國內(nèi)企業(yè)在國外遭受的不公對待時，相關(guān)部門應(yīng)當(dāng)積極聯(lián)系企業(yè)提供意見并與外國政府進行磋商，必要時尋求國際組織斡旋，爭取國際輿論支持，對于企業(yè)因維護國家安全而遭受的損失可以給予適當(dāng)補償。

5.1.3 外交護航

（1）積極參加國際條約，維護數(shù)據(jù)主權(quán)。申請加入CPTPP和DEPA是我國在對外投資、跨境數(shù)字貿(mào)易治理等領(lǐng)域邁出的重要一步，盡管能否成為締約國還需要經(jīng)過重重關(guān)卡考驗，但為符合準入資格而變革相關(guān)國內(nèi)制度的過程也能在一定程度上提升我國企業(yè)數(shù)據(jù)安全領(lǐng)域的治理水平。俄羅斯通過制訂《關(guān)于信息、信息技術(shù)和信息保護法》《俄羅斯聯(lián)邦個人數(shù)據(jù)法》等法律法規(guī)體系搭建起其國內(nèi)數(shù)據(jù)保護的嚴密制度結(jié)構(gòu)，但帶來的問題是其對于數(shù)據(jù)必須在俄羅斯境內(nèi)進行存儲和處理等強制性限制數(shù)據(jù)流動的規(guī)定使得跨國公司對俄羅斯的投資興趣度大減，同時也讓其他國家與俄羅斯有關(guān)數(shù)據(jù)跨境交流的國際條約的簽訂出現(xiàn)障礙[21]。這種“閉關(guān)鎖國”政策限制了俄羅斯獲得優(yōu)質(zhì)數(shù)據(jù)和信息的機會，進而阻礙了其國內(nèi)數(shù)字貿(mào)易的發(fā)展，對GDP的增長帶來負面影響，反而不利于俄羅斯的經(jīng)濟整體安全。

在總體國家安全觀的指引下，我們不能因噎廢食僅因存在國家安全風(fēng)險而拒絕推動企業(yè)數(shù)據(jù)跨境流動，而是仍應(yīng)當(dāng)堅持“人類命運共同體”的發(fā)展格局，積極尋求加入更先進、更高標(biāo)準，并且符合國內(nèi)企業(yè)發(fā)展水平、充分保障數(shù)據(jù)主權(quán)的條約，這同時也是維護我國經(jīng)濟安全的要求。當(dāng)前，歐盟的GDPR和美國、墨西哥、加拿大的USMCA為企業(yè)數(shù)據(jù)跨境流動安全國際協(xié)定提出了兩種建構(gòu)思路，GDPR更強調(diào)數(shù)據(jù)保護而USMCA則更強調(diào)數(shù)據(jù)自由流動，兩者雖都是對數(shù)據(jù)安全和經(jīng)濟利益進行平衡后的結(jié)果，但有著不同的價值取向[22]。對我國而言，應(yīng)當(dāng)秉持寬嚴相濟、合作共贏的理念，在充分借鑒眾多協(xié)定之長的基礎(chǔ)上形成符合本國利益要求的數(shù)字貿(mào)易談判模板，掌握談判主動權(quán)，展現(xiàn)大國擔(dān)當(dāng)。

（2）堅決抵抗數(shù)據(jù)霸權(quán)，構(gòu)建新型“數(shù)據(jù)保護神盾”?！皵?shù)據(jù)泄露”“國家安全”已經(jīng)成為美國等西方資本主義國家打壓我國科技企業(yè)的常用攻擊借口。面對這種野蠻行徑，我們既要以總體國家安全為根本，強硬抵抗數(shù)據(jù)霸權(quán)行為，也要行中庸之策，努力尋求建立企業(yè)數(shù)據(jù)安全國際治理機制。

一方面，可以借鑒美歐之間的“隱私盾”搭建起符合本國及合作伙伴方利益的“數(shù)據(jù)保護神盾”?！峨[私盾協(xié)議》承繼《安全港協(xié)議》的數(shù)據(jù)保護基本宗旨及總體思路，但在數(shù)據(jù)加工主體責(zé)任履行、行政權(quán)力限制、救濟措施多樣性、數(shù)據(jù)安全保護專門機構(gòu)設(shè)置等方面做出了重大變革[23]。在構(gòu)建“數(shù)據(jù)保護神盾”的過程中可參考“隱私盾”，規(guī)定政府必須書面聲明數(shù)據(jù)監(jiān)管范圍、企業(yè)公開隱私政策，以及設(shè)立獨立于國家安全機構(gòu)的聯(lián)合數(shù)據(jù)安全監(jiān)察機關(guān)、爭端解決專家組等。從立法、執(zhí)法、司法三個維度建立起數(shù)據(jù)保護完整制度體系。

另一方面，為更有效規(guī)制政府情報機構(gòu)的違規(guī)行為，還應(yīng)當(dāng)建立聯(lián)合定期審查機制，監(jiān)督和評估“神盾”締約國履約情況和相關(guān)制度運行狀況。此外，為提升企業(yè)維護所存儲數(shù)據(jù)安全的能力，“神盾”締約國還可以對在其境內(nèi)的數(shù)據(jù)存儲基礎(chǔ)設(shè)施的建設(shè)和運行提供稅收、安保等政策支持。最后，各國還可以設(shè)立聯(lián)合基金會資助企業(yè)提高抵御黑客攻擊的技術(shù)能力。

5.2 企業(yè)層面：內(nèi)外合規(guī)

5.2.1 內(nèi)優(yōu)其身

企業(yè)首先應(yīng)當(dāng)提高國家安全、數(shù)據(jù)安全意識，積極承擔(dān)社會責(zé)任，加強對員工特別是重要崗位人員思想政治教育和法律教育。其次，建立完備的數(shù)據(jù)安全監(jiān)管規(guī)章制度，配備專業(yè)化數(shù)據(jù)安全管理部門。同時加強培訓(xùn)，提升技術(shù)人員安全技術(shù)水平，防止因員工失誤操作導(dǎo)致數(shù)據(jù)泄露事件發(fā)生。再次，加大數(shù)據(jù)安全投資力度，不斷升級存儲信息基礎(chǔ)設(shè)施，持續(xù)完善和更新技術(shù)防范措施，定期進行數(shù)據(jù)安全隱患排查處置工作。最后，跨國企業(yè)還可以購買數(shù)據(jù)泄露險、網(wǎng)絡(luò)安全責(zé)任險等保險產(chǎn)品以在保險合同條件成就后于保險責(zé)任范圍內(nèi)抵消企業(yè)因保險事故而增加的成本，分散因數(shù)據(jù)糾紛所引發(fā)的投資風(fēng)險，保障企業(yè)的正常運營，提高企業(yè)抗壓能力[24]。

5.2.2 外規(guī)其行

面對各國愈發(fā)嚴格的數(shù)據(jù)安全保護法規(guī)，合規(guī)已經(jīng)成為企業(yè)的重要競爭力之一。對于企業(yè)而言，認真履行法律責(zé)任是其基本生存之道，這要求企業(yè)積極配合相關(guān)部門進行數(shù)據(jù)報送、對外投資安全審查、數(shù)據(jù)流通登記備案等工作，如實提交數(shù)據(jù)信息。赴外投資或上市的企業(yè)還應(yīng)當(dāng)設(shè)立專門針對跨境經(jīng)營目標(biāo)國的法務(wù)部門，仔細研究當(dāng)?shù)鼗举Q(mào)易法律、數(shù)據(jù)保護要求、政策導(dǎo)向、對本國企業(yè)的歧性規(guī)定等，并根據(jù)目標(biāo)國法律規(guī)范調(diào)整經(jīng)營行為。

此外，個人信息保護已成為立法重點，企業(yè)要保證利用合法途徑收集用戶信息，對本公司的隱私保護政策進一步細化，采用更加靈活的方式提醒用戶注意涉及其信息安全的條款，在處理帶有個人隱私的數(shù)據(jù)時采取嚴格脫敏措施，防止侵犯數(shù)據(jù)主體隱私權(quán)。

面對國內(nèi)外規(guī)范沖突加劇的嚴峻形勢，“撤美赴A”對有赴外IPO計劃的企業(yè)而言是更優(yōu)選擇，歐盟由于其數(shù)據(jù)保護理念與我國較為接近也是相對理想的投資目標(biāo)地。企業(yè)若是在境外正常經(jīng)營過程中遭受政治性合規(guī)審查，并被要求交出用戶數(shù)據(jù)、運營數(shù)據(jù)等對國家安全造成影響的數(shù)據(jù)時，有以下應(yīng)對之策：首先，積極配合執(zhí)法部門的其他執(zhí)法行為，規(guī)避執(zhí)法風(fēng)險。其次，針對侵犯其合法權(quán)益的行為提起訴訟或其他救濟措施。再次，在對雙向違規(guī)成本進行考量并做出是否提交決定時，將公共利益作為重要考慮因素做出整體評估，不能唯利益論。最后，應(yīng)當(dāng)積極聯(lián)系本國政府和使領(lǐng)館，尋求通過外交途徑解決，并與政府協(xié)商處理方案，對重要數(shù)據(jù)進行國內(nèi)備案。對于嚴重影響國家安全的數(shù)據(jù)堅決不予提交，要善于運用國際輿論對目標(biāo)國政府進行施壓。

6 結(jié)語

瞰覽現(xiàn)行開創(chuàng)數(shù)字化格局進程，數(shù)據(jù)資源在多維度場景的廣泛運用使其價值上升為與土地、勞動等生產(chǎn)要素相并列的層面，成為新時代的“石油”，而企業(yè)數(shù)據(jù)因具有價值內(nèi)涵與安全保障系數(shù)等級間的不匹配性亦使其成為引發(fā)國家安全隱憂的重要因素。因此，如何在總體國家安全觀的視域下開展企業(yè)數(shù)據(jù)安全治理工作成為學(xué)術(shù)界和實務(wù)界關(guān)注的重點議題。我們要明晰企業(yè)數(shù)據(jù)治理困境，找尋現(xiàn)行企業(yè)數(shù)據(jù)安全保障機制的癥結(jié)所在，以企業(yè)發(fā)展與國家安全之間的利益衡平理念為指引，探求因地制宜、因時制宜的企業(yè)數(shù)據(jù)安全良法善治路徑。具體應(yīng)從不同層級采取多元措施的角度出發(fā)，在國家總體治理層面，豐富法律資源，完善執(zhí)法體系，尋求國際共治；企業(yè)自治層面，優(yōu)化內(nèi)部保障機制，規(guī)范外部市場行為，以求從根本上解決企業(yè)數(shù)據(jù)治理所面臨的現(xiàn)實問題。