文/郑孜青 编辑/王亚亚

随着全球经济逐步进入数字化时代，大规模跨境数据流动日渐频繁，越来越多的国家都更加重视跨境数据流动的安全问题，主要国家的跨境数据监管与国家安全审查博弈也开始进入“强对流”时代。美国力求主导全球网络空间，并奉行单边主义，而其他多国都坚定捍卫数据主权。在此背景下，跨国经营的企业需要兼顾境内外数据的监管要求，做好合规工作安排。

美、欧跨境数据披露和监管态势

美国跨境数据披露和监管特点

由于数据所有者、存储者与使用者在地理位置上的分离，导致国际上对究竟以何为标准划定数据主权，长期存在争议。美国在2018年发布的《澄清域外合法使用数据法案》（以下简称《云法案》）要求，以数据控制者为标准划定数据主权，强调无论数据存储于何地，只要数据由美国主体所控制，则美国便有权获取，相关主体也有义务提供。参考TikTok（抖音海外版）在美国受到数据安全挑战的案例，可以看出，虽然TikTok反复证明相关数据存储于美国境内且未交予中国政府，美国也依旧表示担忧数据的安全性。除政治因素外，有业内专家认为，如果美国认可了TikTok的抗辩，无疑就削弱了其以数据控制者为核心的数据主权界定，进而会弱化美国对全球数据治理规则的话语权。

当前，在全球数据流动规则的博弈中，美国实际上奉行的是双重标准：一方面，其不容许其他国家未经其批准获取其本国数据；另一方面，倚仗其技术优势在全球任意获取数据，以破除他国数据保护并实现美国的利益，体现出美国的特权主义色彩。对于外国政府，想要获取存储在美国的数据十分耗时耗力。根据美国与其他国家签署的双边协议，这些外国政府必须经过漫长而繁琐的申请流程（Mutual Legal Assistance Treaties, MLAT），且美国司法部和地方法院对此几乎拥有绝对的审批决定权，审批标准的具体内容也很模糊。《云法案》颁布后，仅有极少数美国认可的盟友国家才可不经过MLAT程序获取储存在美国的数据。

根据《云法案》，无论数据存储于何地，只要其最终控制人是美国企业，美国政府就可以调取相关数据；同时，由于世界主流信息通信技术企业多为美国企业，美国实际上凭借《云法案》取得了直接获取海量数据的法律依据，且可以绕过其他国家的司法申请流程。例如，微软一度以数据储存在爱尔兰而拒绝执行纽约南区联邦法院发出的数据调取命令，但联邦第二巡回法庭驳回了微软的抗辩。而随着《云法案》的出台，该案件终止审理，微软最终还是向美国法院提交了相关数据。

欧盟跨境数据披露和监管特点

当前，欧盟在数据经济中的地位与其在全球经济中的地位并不相称，世界主要互联网领军企业多为美国公司或中国公司。为了扭转不利地位，欧盟致力于加强与数据相关的人权保护，扩大法律适用范围，引导市场选择，增大其在数据跨境国际规则方面的话语权。2018年5月欧盟全面实施《一般数据保护条例》（General Data Protection Regulation, GDPR），该条例是欧盟在数据保护方面的重要立法，其赋予欧盟主管机关广泛的管辖权，包括属地管辖权和属人管辖权。根据GDPR第3款，几乎任何收集、传输、存储或者处理活动，如果由设立于欧盟成员国的机构组织来从事，均受GDPR管辖。即使在欧盟境内未设立实体且仅提供免费服务的欧盟境外的组织机构，如果向欧盟成员国的信息主体提供了服务，或监控了其在成员国内的行为，则也受GDPR管辖。此外，欧盟坚持严格的数据出境审查，以较高的隐私保护水平来确保数据跨境流动的安全性。GDPR只允许向达到欧盟认可的隐私保护水平的第三国传输个人信息。目前，仅有阿根廷、日本、新西兰、韩国、英国等十几个国家达到了该标准。

GDPR所采用的“充分性认定白名单”制度，使欧盟得以在国际数据博弈过程中，向其他国家推广欧盟标准和欧盟价值观，完成其国内法向国际法的转化。如果无法达到“充分性认定标准”，则GDPR第46款还提供了其他个案适用的跨境传输方案，包括采用监管机构批准的 “标准合同条款”（Standard Clause Contract）及“约束性公司规则”（Binding Corporate Rules）等。通过构建较高的欧盟标准，欧盟也希望最终能够促使更多企业出于合规方面的考虑而选择将数据存储在欧盟境内，并在欧盟境内进行数据处理。

美、欧在跨境数据传输规则上的博弈

由于美欧在跨境数据传输规则方面的立场并不相同，从而导致了二者在该问题上频繁拉锯。美国采取全球主义立场，希望欧盟等世界各国减少对数据跨境流动的干预，以促进“数据自由流动”；而欧盟则致力于建构以数据存储者为核心的数据主权概念，并重视数据的本地化存储，无论是GDPR还是其前身1995年的《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》，都强调欧盟有权介入数据的跨境流动并有责任对第三国的数据保护做出评估，凸显其属地主义原则的数据主权立场。

2020年7月，欧盟法院做出判决，认定欧盟与美国在2016年签署的、关于跨境数据传输的《隐私盾协议》无效，从而使美国公司无法继续通过该协议将欧盟的个人数据传输到美国，也将迫使美国继续向欧盟隐私保护制度做出让步，接受欧盟越来越高的隐私保护标准。该判决进一步加剧了美欧在跨境数据领域的紧张关系，并将产生深远影响。美国前任商务部部长威尔伯·罗斯称，对这一判决“深感失望”，并表示美国将继续与欧盟就此事保持密切联系。

我国跨境数据披露监管范围扩大

近年来，我国日益重视数据安全，跨境数据法律监管体系可概括为“1+3+N”的格局。“1”是指《国家安全法》，这是我国跨境数据法律规范体系的基石，也凸显数据跨境合规其最重要的目的是保护国家的利益和安全。“3”是指《网络安全法》《数据安全法》和即将出台的《个人信息保护法》。这三部法律堪称我国数据保护三大基本法。“N”指《网络安全审查办法》《个人信息出境安全评估办法（征求意见稿）》等规章以及《信息安全技术数据出境安全评估指南（征求意见稿）》等规范和一系列相关的国家标准，旨在为数据跨境规范提供详细补充。

现行《网络安全审查办法》于2020年4月印发，2020年6月1日起实施。该办法以关键信息基础设施运营者（Critical Information Infrastructure Operator,CIIO）为监管抓手，以CIIO采购网络产品和服务为主要切入点，目标是维护关键信息基础设施（Critical Information Infrastructure, CII）的供应链安排。2021年7月10日，国家互联网信息办公室发布《网络安全审查办法（修订草案征求意见稿）》，其中，对跨境上市企业提出了更严格的信息审查要求。

一是新增数据处理行为。《网络安全审查办法（修订草案征求意见稿）》（下称《审查办法》）进一步明确要求数据处理者开展数据处理活动，影响或可能影响国家安全的，亦应当进行网络安全审查，扩大了网络安全审查的适用范围和义务主体范围。但《审查办法》并未明确哪些情形属于影响国家安全的数据和处理活动，仅列举了其中的一种情形，即 “掌握超过 100 万用户个人信息的运营者（关键信息基础设施运营者及数据处理者）赴国外上市”。这意味着无论掌握超过100万用户个人信息的运营者是否属于关键信息基础设施运营者，其都将落入“数据处理者”这一义务主体范围。此次《审查办法》的修订，亦表明《数据安全法》进入实施前紧锣密鼓的准备阶段，其已提及的各项重大制度将逐步通过法规和细则予以落实。《审查办法》的修订和实施，应该也会和《数据安全法》的生效日期保持协同。

二是增加中国证券监督管理委员会（以下简称“证监会”）为监管主体。《审查办法》第4条将证监会新增纳入国家网络安全审查工作机制成员单位，反映出国家对企业国外上市行为所产生的数据安全问题的高度关注。需要注意的是，在中国香港上市很可能属于境外上市而非国外上市，因此，企业赴中国香港上市可能不在必须主动申报网络安全审查的范围之内。

三是企业合规风险增加。不同于拟海外上市企业未通过网络安全审查可能导致无法上市的直接后果,对已海外上市企业未通过审查的情形, 《网络安全法》仅规定了停止使用数据和罚款处罚, 而《数据安全法》则未做规定。因此，对已境外上市企业，如果网络安全审查未通过会导致何种后果, 仍有待后续配套法规和监管实践予以明确。

企业应对策略

一是适时调整上市计划。企业需要紧密跟踪变化中的国际跨境数据监管博弈，并根据公司的发展需要，适时做出调整。当前，我国企业赴美上市需要考虑到我国网络安全审查风险和由此导致的业务停滞风险，以及由于连续三年达不到美国证监会信息披露要求而被强制退市的风险、在美面临集体诉讼的风险等等，并据此谨慎评估是否需要变更相关赴美上市计划。

根据《审查办法》，当前，我国香港地区可能不受事前申报网络安全审查的限制。虽然，与赴美上市相比，赴港上市仍有较高门槛，且在市场流动性、股东退出难易度等方面港股也略逊于美股，但仍有多家中资企业在综合权衡后，暂停或终止了赴美上市的进程，包括科技企业Keep、喜马拉雅以及医疗科技公司零氪科技等。

二是主动做好数据合规。无论是否计划上市的企业，均建议做好数据安全和个人信息保护方面的合规。随着《数据安全法》即将在2021年9月1日正式实施，以及未来《个人信息保护法》的颁行，可以预见，包括《审查办法》在内的各项配套规定也会密集出台，数据保护方面的执法将日趋严格。当前，鉴于美国、欧盟在内的世界各主要司法辖区在不断加强数据保护，我国企业也应更加积极主动地做好数据合规，并将数据合规的需要和业务发展战略相协调，以数据合规促进业务发展。

企业被动进行数据合规不仅成本高昂，而且社会效益低；企业主动开展数据合规虽然合规成本不变，但很可能带来额外的经济效益和社会效益，从而使合规从烧钱的工作变成创造财富的工作。举例而言，美国互联网巨头已经率先受到欧盟GDPR的巨大合规压力，从美国互联网巨头已经采取的措施和效果可以看到主动合规的诸多优势。例如，苹果通过对在线广告数据安全方面的管制，实际上进一步加强了其对在线广告市场的控制力，并同时赢得了消费者的信任，增强了消费者粘性。微软积极开发数据保护方面的软硬件，不仅用于企业自身数据合规的需要，也用于吸引其他有合规需求的客户，使数据保护合规服务成为一项新的业务增长点。

三是充分利用法律允许的抗辩理由。当前，国外的数据披露要求和我国法律监管要求存有一定的冲突。实践中，有企业通过在美国法院提起诉讼，减少或豁免了相关数据披露要求的案例。在个案中，企业可以聘请经验丰富的中外律师，协助处理信息披露方面的法律冲突，以隔离企业或其高管可能面临的法律风险，并充分利用法律允许的抗辩理由，力争减少数据披露的要求；对于确须披露的信息，企业则可在专业机构的协助下获得我国司法部、证监会等主管机关的批准。

四是积极参与规则制定。企业可通过多渠道参与我国或国外相关规则的制定过程，积极提交反馈意见。各国政府制定监管规则均有其特定背景、理由和目的，企业除了从自身利益角度出发提出反馈意见，还可以尝试提出建设性和创新性的制度构建建议。通常，各国政府在不影响相关立法目的的情况下，会考虑尽量减少对企业的不利影响。

应对不同司法辖区的监管规则，对企业而言是一个复杂的过程。鉴此，企业应从自身发展阶段、业务领域、主管机关、背景原因、国际关系、发展趋势等各方面综合收集信息、审慎分析，结合相关商业决策研判，提前制定公司合规举措。