APP下载

总体国家安全观视域下企业跨境数据的合规治理

2022-03-15侯之帅

江苏社会科学 2022年6期
关键词:安全观数据安全合规

梅 傲 侯之帅

内容提要 总体国家安全观的诞生既给社会有序与人民幸福提供了坚实保障,又为企业数据合规指引了新的方向。数据跨境流动是数据治理的内在动因,亦是数据主权的重要影响因素。在此推动下,我国的数据安全治理工作逐步展开并呈现出一定的发展规律。而各大数据规则的接连出台,也为我国企业的数据合规工作提出了新的要求。从意识到行动,由风险及成本,自规范至执行,都是我国企业在“走出去”过程中所需解决的难题。我国企业应把握总体国家安全观中“内外统一”的思想精髓,从内向性、外向性、自驱性三个维度科学探索跨境数据合规路径;有破有立,内外统一,攻防转化,以全新的姿态在跨境数据流动工作中迎接总体国家安全观的层层考验,全面突破“走出去”进程中的三大挑战。

一、问题起源:行业热点案例折射出的数据安全争议

党的二十大报告强调:国家安全是民族复兴的根基,社会稳定是国家强盛的前提。增强维护国家安全能力,确保粮食、能源资源重要产业链供应链安全,维护我国公民、法人在海外合法权益,筑牢国家安全人民防线。数据安全作为总体国家安全观框架体系中的一个重要组成部分,近年来得到了多部法律法规的保障和支持。在这一理念下,国家逐渐加强对各企业数据的安全审查,致力于由快速发展向高质量发展转变。企业在加快数据跨境流通的同时,也必然给数据安全带来了一定风险。“滴滴事件”的发生,正是总体国家安全观之理想照进数据行业之现实的具体体现,亟须企业动态研判数据风险。

2021年7月2日至7月9日,出于保护国家数据安全之目的,国家网信办连续发布3项公告,对“滴滴”实行网络安全审查等系列措施。网信办做出此决定的原因有二:一方面,“滴滴”跨境数据流动涉及国家安全。“滴滴”在国内运营过程中搜集了大量数据,其中包含有关国家发展的公务数据。依托庞大的数据库,“滴滴”可以勾勒出各城市的交通等基础设施发展状况,这些信息可折射出经济社会发展状况,最终可能演化为国家安全数据信息。另一方面,“滴滴”跨境数据流动给数据安全带来了巨大威胁。2020年美国通过的《外国公司问责法案》要求在本土上市的外国公司履行信息披露义务,否则将禁止上市。由此,“滴滴”于美国上市后,在规则及执法压力下可能被迫交出审计底稿及关乎国家主权的部分数据,进而危及我国国家安全与公共利益。

从应用人工智能技术提升求职招聘效率的“BOSS直聘”,到利用互联网打造中国最大的公路物流平台“货车帮”,再到基于大数据开发的货运调度平台“运满满”,国家安全审查已逐渐成为互联网企业跨境上市的一大关口,数据监管与治理变革如火如荼。在总体国家安全观背景下,上述问题已然成为企业“走出去”过程中数据治理的核心命题。

二、溯本求源:总体国家安全观视域下跨境数据治理的动因及现状

当今国际数据治理朝着立法愈加完善、执法更为严格的方向发展[1]梅傲、侯之帅:《互联网企业跨境数据合规的困境及中国应对》,《中国行政管理》2021年第6期。。在总体国家安全观的指导下,我国跨境数据,顺应国际数据治理潮流,正逐步完善。跨境数据治理的主要动因在于我国数据行业发展迅速,数据跨境流通与国家安全息息相关。通过不断摸索,我国对企业的跨境数据治理已取得明显成效,并呈现出一定的发展规律。

1.企业跨境数据流动对国家安全的多重影响

其一,企业跨境数据流动是重塑数据主权的动力源泉。从当前世界各国数据立法情况来看,主权者的意志在跨境数据流动内容中都得到了一定体现。在以欧盟《通用数据保护条例》(GDPR)为代表的数据规范中,主权者创建了严格的数据跨境流动限制规则,事先明确数据流动基本原则及各方主体权利义务,对后续具体情境中的数据流动实现间接规制,数据主权意志在抽象的规则中得到表达[2]A.Chander,Uyen P.Le,"Data Nationalism",Emory Law Journal,2015,64,pp.677-739.。同时,强制要求数据本地化存储为数据主权的直接表达方式。无边界的虚拟数据被限制在一国的领土范围内,从而依据属地管辖被纳入国家治理中[3]刘天娇:《数据主权与长臂管辖的理论分野与实践冲突》,《环球法律评论》2020年第2期。。而在该种模式下,维护国家数据主权在数据流动中居于重要位置。

其二,企业跨境数据流动是事关家国稳定的重要因素。在经济全球化、交易平台网络化的大背景下,企业在跨境贸易过程中频繁的数据流动给国家安全带来了巨大威胁。近年来,全球性数据泄露事件频频出现,不仅造成了极大的经济破坏,也为家国安定带来了巨大挑战。企业的跨境数据体量更大,具有“批量性”。虽然出境数据单独承载的信息有限,但多源信息融合技术的存在使得海量数据能够有效拼接,原本不会威胁国家安全的个体数据从而具备了泄露国家机密的可能性。同时,犯罪集团的数据窃取技术日渐高超,其利用移动设备的GPS等定位服务跟踪用户情况,甚至通过蜂窝基站、热点等收集未经授权的离线数据,进而使之成为后续电信网络诈骗针对性投放的信息来源。此外,鉴于数据立法的差异性,跨境数据流动可能成为企业规避法律约束的重要手段。如今许多上市主体在海外注册,利用证监会审批程序缺口,隐藏成为掌握国家核心数据的关键信息基础设施的敏感身份,最终实现海外上市的目的。

2.总体国家安全观下跨境数据治理的现状

(1)数据安全在多部数据规范中得到体现

2016年《网络安全法》的颁布正式开启了我国网络安全立法的先河,此后各类网络数据法律法规被接连颁布。如今我国关于个人数据保护的法律法规接近70部,部门规章近200部,为数据安全提供了强有力的保障。

第一,内容相对完备,数据流通规定严密。总体而言,跨境数据流动主要由《个人信息保护法》《数据安全法》《网络安全法》进行原则性规定,《个人信息出境安全评估办法》(以下简称《评估办法》)予以具化与落实。《数据安全法》第31条对各部法律的适用对象予以区分,《网络安全法》主要针对国家公共通信等重要行业和领域,统称其为关键信息基础设施部门,而针对其他数据处理者的跨境流通问题的法律法规则由国家网信部门会同国务院另行制定。数据类型不同,对应的数据流动规则亦存在差别。同时,针对《网络安全法》《数据安全法》原则性条款过多的问题,网信办等部门亦出台了一系列规章予以细化。比如对于数据出境流程问题,《评估办法》从权责内容到评估手续,再到禁止事项,都提供了较好的行为规范。再如,针对部分行业数据存在的专业性、特殊性问题,相关部门陆续出台了《汽车数据安全管理若干规定》等予以细化。现行法与尚未通过的法案在遵循“保障国家安全”的大原则下,建立了一套“由上至下”的数据跨境流通制度。随着各类规则、办法的施行,未来数据跨境传输制度将朝着更为严密的方向发展。

第二,与国际接轨,全力保障国家安全。以中国和东盟国家为代表的发展中国家,通过“一带一路”等一系列合作构建数字领域的多元共治方案,打破欧美单边主导的数据治理格局。国家安全在RCEP等条约中得到重视。根据RCEP第12章第15条,虽然数据自由流动得到了大力支持,但RCEP将缔约国的基本安全利益置于首要位置,即RCEP更关注安全的数据流动。同时,“长臂管辖”的阻断适用保障国家安全。部分国家不断扩大本国数据法案的适用外延,为我国企业带来了极大的合规难题。如美国CLOUD法案规定美国政府有权要求数据服务提供者保存、备份、披露其所拥有、控制的境内外数据;欧盟GDPR第1章第3条亦将其适用范围扩大至欧盟境内外的数据控制者及处理者。这意味着我国企业不论身处何地,只要在欧美境内有数据业务,抑或为欧美公民提供数据服务,都将受到其法案的规制,合规风险大大提高。我国《数据安全法》第36条规定了“非经中华人民共和国主管机关批准”不得向境外执法或司法机构提供境内数据,并设置了相关的违法惩戒措施,有效应对了“长臂管辖”的滥用问题。此外,商务部颁布的《阻断外国法律与措施不当域外适用办法》是基于维护国家安全、主权、发展利益的目的,既保护了国家数据主权与安全,亦为我国企业发展数据业务提供了坚实的法律保障。

(2)数据安全在跨境执法机制中得到保障

在国际层面,数据执法普遍得到各国的重视。为维护国家数据主权、切实保障数据法案的落地实施,在101个有个人数据保护法的国家中,设立了独立个人数据保护机构的便有75个。如根据GDPR之规定,欧盟成员国便负有设立国家数据保护机构(DAPs)及任命数据保护主管(EDPS)的义务,全面维护本国数据安全。而CNIL对Google的处罚也证实了其执法标准的严格程度。再如美国针对地方执法力度分散的现象,通过联邦层面统一国家隐私立法实行中央集中执法体制,使得国家安全在执法层面得到有效保障。

在国内层面,我国形成了多主体协同执法机制。受国际数据执法趋势之影响,为了更好地保护国家安全,近年来我国亦在一系列数据规则中不断完善数据执法机制。根据《网络安全法》第8条,如今我国形成了“国家网信办主导,电信主管部门、公安部门、市场监管部门协同”的执法机制。在《个人信息保护法》中进一步细化了数据执法主体,个人信息保护和监督管理的执法主体具体到县级地方人民政府。在“滴滴事件”中,国家网信办等七部门共同开展网络安全审查,协同执行数据规则。通过多部门的通力合作,将数据审查切割成若干份执法工作,既确保了数据审查工作的细致进行,保障了国家安全,又缓解了海量数据执法压力,为企业数据跨境安全流动保驾护航。

三、穷本极源:总体国家安全观下企业跨境数据合规的困境

随着网络数据与国家安全、地缘政治、产业竞争、网络主权等议题关联度的不断提升,其跨境流动问题也日益成为各国政策博弈的重要战场[1]张龑:《网络空间安全立法的双重基础》,《中国社会科学》2021年第10期。。“滴滴事件”正是中美数据主权争夺这一隐因在企业跨境实践上的显著映照。在总体国家安全观愈发成熟的时代背景下,行动意识低、安全风险多、双向合规难,已成为我国企业在“走出去”过程中面临的三大挑战,这彰显出数据安全是当今我国企业数据合规的核心要义。

1.从意识到行动:数据跨境流动中安全保障的缺乏

网络技术与法律规范虽共同筑起了保障数据安全的双重屏障,但防不胜防的数据隐患将企业推向更为未知的深渊。《2021安永全球信息安全调查报告(GISS)》(以下简称“GISS2021”)显示,疫情背景下高破坏性且高复杂度的网络攻击数量大幅增长,67%的公司在过去一年中遭受的网络攻击数量有所增加,但网络安全风险的预算十分有限,我国受访企业中不确定其网络安全保护体系是否能够抵御黑客攻击的比例高达75%。不论是意识层面还是行动层面,企业在跨境数据流动中都缺乏足够的安全保障。

(1)尚未认识到后疫情时代数据安全的特殊性

一是线上工作模式下数据存量的增加。新冠肺炎疫情的出现为企业线下运营带来了巨大困难,而各大企业也面向客户推出了支持远程服务的网络技术工具,继应用移动端之后更大程度地挖掘了网络市场的深层疆域。各公司将掌握更为庞大的用户数据,保护网络安全的压力也随之增大。而很多企业疏于将网络安全纳入决策流程,导致新的数据漏洞存在于运行系统,给数据安全带来巨大威胁。

二是网络攻击手段具有多样性与复杂性。“GISS2021”显示,威胁者已采用新策略,企业网络被攻击数量升至峰值。仅2020年至2021年,破坏性网络攻击的数量便增加了18%。同时,网络攻击的伤害也相应增大。仅有33%的受访者表示有信心使供应链保持适当的稳固性或无懈可击。如在2020年,攻击者通过创新型供应链攻击渗透到SolarWinds并隐蔽存在数月,给社会经济及企业数据带来了极大损失。

(2)企业数据处理流程中缺乏安全保障行动

总体国家安全观下的数据安全旨在实现各个数据环节的具体安全。从数据采集到数据分析,再到数据存储、数据服务,无不体现着个人安全在所有数据活动中的核心地位。

由于数据主体与数据处理者地位长期存在不平衡问题,作为数据主体的个人在数据处理过程中的参与度极低[2]梅傲、苏建维:《数据治理中“打包式”知情同意模式的再检视》,《情报杂志》2020年第2期。。也正因此,许多企业在数据活动中并未注重涵盖数据全生命周期的行为规范性。在总体国家安全观的时代背景下,这种由“算法霸权”思维惯性导致的惰性行为早已失去时代生命力,甚至会给企业带来数据合规的风险。近些年来,企业违规使用数据招致行政处罚的行业事件频频出现,正是因为企业在数据处理流程中安全意识滞后而导致安全保障行动缺失。

此外,救济保障机制亦是当前企业数据安全体系中缺少的一环,亟须建立与完善。在用户层面,救济保障机制下,其不仅能够在数据风险发生后第一时间启动应急保护方案,切实保护数据主体的信息安全,还能回应总体国家安全观下“以人民为中心”的数据安全要求;在企业层面,救济途径的建立有助于企业减少因违规事件带来的损失。救济保障机制的建立,将大大降低企业面对违规事件的风险抵御能力。

2.由风险及成本:数据合规难度不断加大

在愈发复杂的网络丛林中,识别安全风险及应对监管审查已成为企业数据合规工作的两项重要内容。

内外部风险的不断增多,是企业在数据安全保障工作中难以逾越的一道屏障。一方面,企业内部风险是数据泄露的重要原因。如今许多企业通过各种移动客户端实现随时随地的信息交换和通信交流,员工通过APP及小程序共享文件,有效提高了工作效率。但传输和存储数据的不同载体及数据信息的自由访问操作,成为数据泄露、商业秘密窃取等问题的罪魁祸首[1]王倩、顾雪莹:《GDPR下涉欧企业的员工个人数据合规管理》,《德国研究》2021年第2期。。加之开放经济时代企业的员工流动性较大,企业内部数据安全面临着更大风险。另一方面,企业外部风险是数据安全的重要威胁。从层出不穷的黑客攻击,到对外合作中向第三方机构开放的数据访问权,再到跨境交易中对象国严苛的披露义务,这些外部风险均对企业的数据流向追踪、安全监控及溯源调查能力提出了极高的要求。

数据风险的不断增多,也愈加引起公权机关的警惕与监管,企业数据合规的义务及成本亦随之增大。多部数据法的新设权利需要企业付出大量成本。以《个人信息保护法》为核心的数据信息权体系,不仅延长了数据保护的生命周期,还为用户创设了知情权、拒绝权、更正权等大批创新型权利,增加了企业的义务、负担。同时,“多头监管”亦是信息安全团队面临的合规难题之一。如今我国《数据安全法》确立了以国家网信办为主导的数据安全监管体系,实施数据安全执法工作;而其他各权力主体亦出台了各自的工作规范。这意味着企业的合规事项更多、违规成本更高。

3.自规范至执行:双向合规压力下跨境数据传输受阻

全球数据立法为企业跨境数据传输带来了较大难题。主权国家在参与全球数据治理进程中积极行使数据主权,稳步推进数据立法,进而形成了传输标准不一、复杂规则林立的局面。而在全球数据统一规则尚未建立的当下,各有特色的国内法作为个人数据跨境传输规则的主要法律渊源,势必对依赖跨境数据流动的产业分布及发展形成阻力[2]齐湘泉、文媛怡:《构建“一带一路”个人数据跨境传输法律制度:分歧、共识与合作路径》,《河南师范大学学报(哲学社会科学版)》2019年第6期。。而各类政治组织、人权组织对跨境数据治理的介入,使得数据行业发展从私权与产业的平衡与竞争上升到社会安全与国家安全的高度,进一步增加了跨境数据流动的复杂性[3]高山行、刘伟奇:《数据跨境流动规制及其应对——对〈网络安全法〉第三十七条的讨论》,《西安交通大学学报(社会科学版)》2017年第2期。。

各国数据规范的落地施行,使得我国“走出去”企业“双向合规”的压力陡增。企业不仅要遵守国内相关规范完成数据出境手续,亦需应对东道国的业务要求,披露必要的数据内容[4]许多奇:《论跨境数据流动规制企业双向合规的法治保障》,《东方法学》2020年第2期。。不论是“滴滴”公司事件,还是2014中国四大会计师事务所在美国所遭受的暂停业务处罚,均体现了“双向合规”压力下我国“走出去”企业所面临的严峻风险。此外,以数据安全保护为名的贸易壁垒,也成为外国阻碍我国新兴技术对外发展的创新手段[5]冯硕:《TikTok被禁中的数据博弈与法律回应》,《东方法学》2021年第1期。。此类因他国滥用安全政策催生的合规难题,是我国企业与“数据安全”这一时代命题相互较量的另一战场。

四、正本清源:总体国家安全观下企业跨境数据合规的应对

总体国家安全观以我国“大安全”为方针理念,旨在构建普遍安全的人类命运共同体,其注重各类安全内容的动态联系、内部安全与外部安全的互联互通[1]李建伟:《总体国家安全观的理论要义阐释》,《政治与法律》2021年第10期。。此次“滴滴”公司被多部门联动整治的内在动因,便是其在数据跨境流动中忽视了国家安全这一内部要素。在安全价值日益凸显的当下,面对跨境数据合规的三大困境,我国企业应把握总体国家安全观中“内外统一”的思想精髓,从内向性、外向性、自驱性3个维度科学探索跨境数据合规路径。

1.内向性路径:以人为本,构建数据合规体系

(1)全流程的数据保护体系

《个人信息保护法》中关于个人信息处理者适用过错推定原则、个人信息执法部门在执法活动时拥有查阅权等相关规定,均体现了我国信息保护思想由“登记注册制”向“问责制”的转变[2]中国信息通信研究院互联网法律研究中心:《个人信息保护立法研究》,中国法制出版社2021年版,第295—300页。。《个人信息保护法》第51条及《网络安全法》第21条均规定,企业应防止个人信息的泄露、篡改及丢失,制定数据操作规程等内部管理制度。《数据安全法》第27条亦明确,企业应当建立健全全流程数据安全管理制度。结合国家《信息安全技术个人信息安全规范》(以下简称“《安全规范》”)的规定,全流程的数据保护应涵盖以下方面。

第一,数据接入阶段的数据搜集与告知。企业在搜集数据的过程中应遵循合法、正当、必要的原则。首先,在目的性上,企业应制定个人信息保护政策并向用户告知,具体包含搜集、使用数据的目的、方式和范围,其所具备的数据安全能力及采取的安全保护措施等,以寻求用户的授权同意。其次,在自愿性上,企业应尊重用户的选择意愿,保证多项业务功能的自主选择,避免打包式同意及因用户拒绝特定业务而降低整体服务质量的情形出现。最后,在透明性上,企业既要追求告知信息的真实准确、清晰易懂,又要保证信息获取途径易于访问,确保信息披露义务履行。

第二,数据处理阶段的数据存储与分析。企业数据存储期限应限制在个人数据授权使用目的所需的最短时间内,期限超过之后应征求用户做出新的同意表示,让知情同意处于动态的环境中。同时,企业应对用户数据进行去标识化处理,并根据国家密码管理标准采取加密等技术措施以确保数据安全。

第三,数据共享阶段的产品应用及保障。首先,在产品正式发布前,应提前评估个人信息安全影响并形成个人信息安全影响评估报告,预判个人数据使用的潜在风险。其次,在产品投入使用中,应针对可能发生的个人信息安全事件制定应急预案,并通过应急演练等方式掌握必要的应急方法。最后,在数据安全事件发生后,全面记录事件内容并及时上报执法部门。通过细化数据处理流程中的安全措施,为用户数据提供可靠的安全保障。

(2)全面型的法律研判体系

第一,企业应依法进行数据分类,明确数据类型及所属行业。一方面,依法进行数据分类。目前数据分类分级保护制度在《数据安全法》等相关规定中得到充分肯定。在国家分类保护愈加精细的安全趋势下,企业进行数据分类并根据类别采取不同的安全措施不仅是其法定义务,亦是数据出境的必经环节。企业应根据《安全规范》附录B的相关标准,做好个人敏感信息及一般信息的区分工作,完成敏感信息出境报备及用户告知等相关出境手续。另一方面,明确数据所属行业。如今各领域根据本行业的特殊性,制定了许多数据守则,其规定了更为专业、细致的合规标准,值得企业重视。

第二,立足“双向”法律,利用法律规则转守为攻。在各国数据主权争夺愈加白热化的趋势下,未来各国对于数据安全审查的要求将会更为严格。在快速的数据安全法律变革中,企业如若合理利用规则将能缓解当前的合规窘境。企业既要加强出口国法律文本研析,及时跟进规则变动,也要善于研究纠纷解决方式,坚决维护应有权益。各国对于数据保护和安全等领域的观点取向各有特点[1]王锐:《对外投资中的数据法律责任及其风险防范》,《政法论丛》2019年第4期。。企业在提高内部安全合规水平的同时,亦须顺应各国司法、执法特点,提出合理抗辩。特别是许多普通法系国家,通过司法判决细化了数据法案的认定标准。此前TikTok面对多国不合理封禁使用多重武器,起诉美国政府使得禁令得以暂缓执行;而通过与印尼政府沟通并接受公权审核小组介入监督等方式,使得印尼政府最终撤销行政禁令。

(3)全球化的风险分散体系

一方面,利用合作分散风险。当今国际立法趋势及行业实践倾向于溯源追责,要求签署业务关联协议,锁定双方的监管义务,如美国《健康保险可携性和责任法案》(HIPAA)等。但从合作协议内部来看,企业即便被溯源追责,仍能通过协议的约定寻求事后索赔,降低违规成本。另一方面,多点分散业务布局。部分中小型企业面对出口国严苛的合规要求,亦可通过调整贸易产业全球布局,降低合规风险及合规成本。比如许多中小企业便利用欧盟GDPR“充分性认定白名单”之规定,在名单认可的国家建立数据中心及数据港,有效降低了数据安全合规成本。

此外,善于利用网络保险。根据普华永道记载,如今网络保险已被逐渐开发,年度保费金额已高达25亿美元。我国企业可通过购买网络数据泄露保险、网络责任产品来分散数据经营风险。比如中兴科技便为评估风险较高地区的具体业务购买了必要的出口保险以规避损失。京东集团亦持有多类保单,防范安全风险及意外的发生。

2.外向性路径:对外联通,积极转变传统本位

传统“以自我为中心”的发展模式早已不能适应经济全球化进程中分工精细化、资源互补化的时代趋势[2]许宪春、王洋:《大数据在企业生产经营中的应用》,《改革》2021年第1期。。在跨境数据安全这一新兴视域下,企业集群作为直接利益相关的对象,更应积极联动,打造数据合规命运共同体。

(1)联动构建合规命运共同体

《数据安全法》等数据法体系中,均提及了企业、行业组织等主体共同参与数据安全保护工作、营造良好环境的相关内容,为企业联动构建数据安全合规命运共同体提供了法理基础。数据合规命运共同体作为企业落实总体国家安全观及网络安全命运共同体的具化方式,具有多重时代价值。

从国际治理大格局上看,数据合规命运共同体与人类命运共同体、网络安全命运共同体具有相同的逻辑蕴涵。人类命运共同体是全球安全治理的旨归点,在网络安全领域生动体现为网络安全命运共同体。而总体国家安全观作为全球安全治理的重要组成部分,亦服务于全体人类。三者均体现了以人民安全为宗旨的现代化国家安全体系思想,有机融入于社会治理共同体的深层蕴涵中。数据合规命运共同体将众多企业的数据安全紧紧相连,为用户数据信息筑起坚实的防护墙。三者均超越了狭隘的“个体本位”,求同存异,体现了共同体的价值观念和文化包容,都是国际治理体系的重要组成部分。

从行业共治的微观视角上看,数据合规命运共同体的构建能为企业提供良好的数据安全合规环境,其根植于总体国家安全观及人类命运共同体,是共建共治共享治理目标的延续。多方协同参与网络安全综合治理,既可以推进数据安全信息共享机制的形成,又能加强行业自律,提高企业的数据保护水平;同时,其能有效促进企业合规联盟的构建,帮助企业形成数据跨境的合力,共同应对“双向合规”压力陡增的难题。

(2)积极对接公权部门

当前,因数据违法触发的刑事责任相对较少,由数据主体引发的民事责任一般亦不足以威胁企业发展。从各国数据立法的一般规律上看,企业的数据安全保障风险最主要来自行政责任与风险。在我国《数据安全法》《网络安全法》《个人信息保护法》这三部最为主要的法律中,均对企业提出了及时报告、配合主管部门审查等对接公权部门的要求。而这并非仅为被动的法律义务,其亦能成为企业养成合规习惯、降低风险成本的重要途径。随着各国数据立法、执法愈加严格,行政处罚也已从勒令整改逐步发展为巨额罚款、停业整改等措施。而认真披露企业管理信息是安全违规事件发生后争取和解、避免高额行政处罚的必要条件。日常工作中与主管部门对接,亦能及时清除违规事件,避免因批量性安全风险的出现而导致企业停业整改,最终错过数据出境、公司上市、扩大规模等发展良机。

3.自驱性路径:创新改革,加快技术内核发展

各国数据法案的接续出台,导致很多企业因合规成本过高而放弃部分数据业务甚至直接破产。加之疫情影响,企业工作形式与竞争环境都发生了巨大的变革[1]梅傲、苏建维:《数字信息运用于公共卫生应急管理的检视及其完善》,《法治论坛》2021年第2期。。面对“数字化+后疫情”时代,数字化转型已经成为各大企业应对时代挑战、突破发展桎梏的重要法宝。

一是进一步挖掘可视化与结构化适用功能,实现数据资源稽核与监督。在内容存量庞大、流转关系繁杂的数据环境中,树状图式、圆形填充式、旭日式等可视化技术能有效监控企业数据流转情况,企业通过自动化扫描、分析资产分布状态等途径,实现数据系统的集中化、常态化管理[2]武长海:《数据法学》,法律出版社2022年版,第51—61页。。同时,可视化手段有助于分析数据安全事件发生趋势、计算安全事件处置率等工作的建模,进而在数据安全周期内对数据风险进行全方位的评估及管理,通过快速实现数据收集管理、反馈跟踪等功能,降低数据安全保障成本。

二是积极利用创新激励政策,提升企业技术创新能力。我国“十三五”“十四五”规划中亦体现了国家对“数据安全建设”的重视。针对涉及国家安全等重要产业,鼓励加大研发投入并制定普惠税收减免政策。由此,各大企业应利用政策红利,不断加快科技体制改革,驱动技术内核发展,通过推进产学研深度融合等革新方式,适应总体国家安全观之下数据安全发展新要求[3]肖君拥、张志朋:《中国国家安全法治研究四十年:回眸与展望》,《国际安全研究》2019年第1期。。

五、结语

党的二十大报告指出,中国式现代化为人类实现现代化提供了新的选择,中国共产党和中国人民为解决人类面临的共同问题提供更多更好的中国智慧、中国方案、中国力量。总体国家安全观为全球安全治理注入了中国动力,是全球安全治理机制建设的中国方案。数据安全作为国家安全体系的有机组成部分,亦是全球安全治理的重点规制对象。面对这一时代要求,我国企业唯有立足安全发展之“本”,顺应国家安全理念之“源”,全面提升数据合规能力,才能在百年未有之大变局的时代挑战中破浪乘风,逆流而上。

猜你喜欢

安全观数据安全合规
王毅:秉持践行正确的民主观、发展观、安全观、秩序观
王毅:秉持践行正确的民主观、发展观、安全观、秩序观
推动国家总体安全观入脑入心
对企业合规风险管理的思考
外贸企业海关合规重点提示
GDPR实施下的企业合规管理
云计算中基于用户隐私的数据安全保护方法
Palabras claves de China
建立激励相容机制保护数据安全
大数据云计算环境下的数据安全