数据本地化法律规制的反思与完善*

2022-12-28唐彬彬

情报杂志 2022年5期

唐彬彬

(中国人民公安大学法学院北京 100038)

1 问题的提出

近期，由于滴滴出行、满帮集团等赴美上市所引发的连锁反应，国家互联网信息办公室(以下简称“网信办”)宣布下架相关APP、暂停新用户注册，并要求其进行依法整改。网信办同时展开对“滴滴”“运满满”“货车帮”“BOSS直聘”等APP的网络安全审查工作。随后，网信办联合工信部、公安部、保密局、密码管理局等十余家部委，发布《网络安全审查办法(修订草案征求意见稿)》(以下简称“《征求意见稿》”)，规制大型平台(掌握超过100万用户个人信息的运营者)赴国外上市活动。根据美国《萨班斯法案》(Sarbanes-Oxley Act，SOX法案)与《外国公司问责法》(Holding Foreign Companies Accountable Act，HFCA 法案)的规定，境外企业赴美上市，可能持续、间接向美国政府披露包含审计底稿、内部控制信息在内的关键数据。前者包含基础设施采购信息；后者通常包括网络活动、数据库活动、用户活动等信息。作为交通领域的关键信息基础设施，滴滴、满帮等企业应当按照我国《网络安全法》《数据安全法》《出口管制法》《个人信息保护法》等法律法规的要求，将运营产生的个人信息与重要数据存储于我国境内，在出境时接受网络监管部门的审查。然而，在赴美上市过程中，上述企业是否在未经安全评估的前提下，将数据跨境转移至美国相关部门？该问题引发公众对我国网络安全、数据安全的担忧，甚至对国家安全提出了挑战。7月16日，网信办会同公安部、国安部、自然资源部、交通运输部、税务总局、市场监管总局进驻滴滴出行，开展网络安全审查。

按照《网络安全法》的规定，我国对网络安全采用广义的解释，包含基础设施安全、网络运行安全、网络信息安全等多方面内容。数据作为网络运行的基础要素，对数据生产、使用过程中的完整性、保密性、可用性的维护，自然是网络安全的应有之义。我国出于维护数据之上个人利益、公共利益、国家安全以及其他数据控制者利益的原因，基于网络主权与数据主权的理论，在境内数据立法上采用了本地化模式[1]。亦即，将网络空间视为国家主权的自然延伸，数据处理者应当将境内运营产生的数据存储于我国境内，并限制或禁止他国使用，从而实现我国对境内数据的控制。

然而，由于网络的互联互通性、无边界性，以及数据的虚拟性与海量性等特征，导致我国数据本地化的控制手段形同虚设[1]。物理意义上的一国边境，已经难以完成境内数据的管辖。在数据跨境流动中，网络安全监管部门只能在事后进行倒查，难以在事前预防损害行为的发生。因此，在数据保护时难以实现维护数据安全、国家安全的最终目的。本文围绕上述问题，从数据本地化的应然规定与实然状态出发，对该制度的实施状况进行反思并提出完善建议。

2 我国数据本地化的理论基础与立法路径

数据本地化的实质是各国基于数据主权理论，为限制本国数据出境设置的障碍。在过去20余年间，各国数据跨境流动的立法政策，迅速从禁止境外数据入境转变为防止境内数据出境[2]。除了信息化水平较低的非洲部分国家以外，绝大多数国家均已实施了不同程度的数据本地化政策[3]。在棱镜门事件发酵之后，被越来越多的国家所接受[4]。即便是公开反对数据本地化的美国，也明确规定国防部门、税务部门、医疗部门等关键部门的数据应当存储于本地，并对其采取出口限制措施。我国基于复杂的现实情况，在数据自由流动与数据本地化之间选择了后者。

2.1我国数据本地化的理论基础在全球化数字经济时代，数据作为生产要素不可避免地需要进行跨境转移。然而，跨境数据流动与数据安全之间还未寻求到平衡点。各国基于不同立场选择了数据自由流动、数据权利保护与数据本地化模式[5]。

其中，数据本地化模式对数据流动的限制最为严格，不仅引发跨国企业、外国政府、国际组织的激烈反对，还受到国际社会的批评与制裁[6]。第一，数据本地化直接面临着阻碍全球数字经济发展的质疑。据美国学术机构统计，数据跨境流动在过去20年间，为全球经济增长的贡献度高达10.1%。即便数据本地化被认为是贸易保护主义措施，但各国因此遭受的损失可能远超过其收益。在采取数据本地化及其相关的数据隐私、安全法后，各国数字经济均将受到或轻或重的损失。第二，数据本地化将增加境内运营者的成本。经营者进行数据本地化存储的过程不可避免会提高经营的成本。同时，一国对数据本地化的主张还将伴随着行政监管、刑事处罚的强化，这也无形中增加了运营者防范法律风险的成本。第三，数据本地化不利于跨境网络犯罪治理效能。各国“高效、便捷”的数据协助是全球网络犯罪治理新格局的基本要求，然而，数据本地化存储会导致因数据管辖权冲突造成的取证困难，出现跨境犯罪打击的“低效、缓慢”[1]的局面。

然而，即便数据本地化面临着上述质疑，我国仍旧基于以下考量，通过立法确立数据本地化模式，对境内数据采取防御性的保护措施。第一，数据本地化更有利于维护我国国家安全与数据安全。大数据之大不仅在于其规模大，还在于其包含的海量信息。其中涉及生态、资源、军事、国防等重要领域的数据，更是国家安全的组成部分。滴滴出行、满帮集团、BOSS直聘等企业作为日常出行、货物运输、应聘求职领域的头部企业，掌握了所属行业超过80%的深度数据。这些数据可能直接或间接反映我国各区域人口分布、商业热力、人口和货物流动、企业经营、地理测绘信息等重要内容。一旦被他国掌握，很可能挖掘出重要信息，产生危害我国国家安全的风险。第二，作为发展中国家，我国由于自身经济和科技实力发展不足，以及数据保护技术存在短板，选择本地化模式有利于实现境内数据控制，从而更好地维护国家主权、公共安全与个人权利。美国之所以倡导数据自由流动，不仅是基于国家利益的驱动，也是仰赖于本国信息技术水平的领先优势。第三，中国作为网络大国，也是面临网络安全威胁最严重的国家之一，本地化模式可以通过加强对境内数据的控制，减少网络犯罪、提升侦查效率[7]，防范他国政府数据监控、窃取，提升相关部门网络事件响应能力，实现我国数据保护立法效能的最大化。总之，在数据跨境流动的监管模式选择中，我国现阶段对安全的需求更为强烈。

2.2我国数据本地化的立法路径

2.2.1 个人信息与重要数据存储于境内从数据本地化的实践来看，在一国运营产生的数据存储于来源国境内是数据本地化的基本要求。根据《网络安全法》的要求，涉及公共通信、能源、交通、金融等关键信息基础设施运营者在我国境内运营中，收集、产生的个人信息和重要数据应当在境内存储。同时，为了“促进数据跨境安全、自由流动”“保障网络信息依法有序自由流动”，更好地实现数据价值、促进国际贸易、打击数据犯罪等原因，我国对于非关键信息基础设施的运营商采取的措施是更为自由的，并不强制要求其数据存储于本地的政策。只是鼓励其“自愿参与关键信息基础设施保护体系”。

部分国家仅要求网络运营者在当地进行数据备份，并不对数据的跨境流动进行限制。以越南2013年实施的《关于管理、提供和适用互联网服务和在线信息内容的法令》(Decree on Management, Provision, and Use of Internet Services and Information Content online，Decree 72)为例，该法令要求越南境内的网络服务提供者(包含网络、社交平台、电话通讯、游戏服务的提供者)，必须在越南境内留存数据备份，以便于当局随时审查信息。

2.2.2 数据出境安全评估最初，《信息安全技术公共及商用服务信息系统个人信息保护指南》仅提出对个人信息出境的限制规定，个人信息只有依据信息主体明示同意，或法律法规明确规定，或经主管部门同意方可出境。2011年，人民银行发布《关于银行业金融机构做好个人金融信息保护工作的通知》，明确“除法律法规及中国人民银行另有规定外，银行业金融机构不得向境外提供境内个人金融信息”。随着立法对数据分类分级化管理的逐渐完善，我国数据出境安全评估制度采用与境内存储相同的二分法。

第一，对关键信息基础设施运营者在境内生产、收集的个人信息与重要数据，在出境时应当按照《信息安全技术数据出境安全评估指南(草案)》《个人信息保护法》等规定进行安全评估。从数据出境计划、数量、范围、类型、敏感程度和技术处理情况、接收方信息等角度，对数据出境安全风险进行判断。2018年颁布的《国际刑事司法协助法》进一步强化了审查出境原则，非经中华人民共和国主管机关同意，外国机构、组织和个人也不得以司法协助需要为依据，调取我国境内的数据。第二，对非关键信息基础设施运营者而言，我国则是在综合数据在产业发展、科技创新、国际贸易等领域的价值的前提下，基于此类数据自身较低的数据出境安全风险，选择了相对自由的数据出境方案，鼓励数据自由流动。

2.2.3 部分数据禁止出境禁止出境作为《网络安全法》对个人信息与重要数据数据跨境流动所规定的“本地存储、评估出境”最严格的情形，是我国在总体安全观的框架下，基于国家安全的核心利益，作出的数据安全保护措施。对符合条件的境内数据在本地被锁定，数据控制者只能在境内进行数据存储与处理，禁止其跨境流动。依据《数据安全法》第21条第2款的规定，上述数据包含“关系国家安全、国民经济命脉、重要民生、重大公共利益”等国家核心数据。《个人信息与重要数据出境安全评估办法(征求意见稿及修订稿)》进一步将其细化为：未经个人信息主体同意，或可能损害个人利益；数据出境可能影响国家安全、社会公共利益；以及其他主管部门不允许出境的情形。

禁止涉及核心利益的数据出境，在世界范围内还有诸多实践。如澳大利亚2021年颁布《个人控制电子健康记录法案》(Personally Controlled Electronic Health Records Act, PCEHR),明确禁止所有掌握个人健康记录的相关人员自行或允许他人将数据转移出境，或在境外处理数据。除非该数据不包含任何PCEHR系统消费者、相关人员的个人信息或个人、实体的可识别信息。俄罗斯也存在相关的禁止性规定。根据联邦242号法律——《个人数据法》(On Personal Data)的规定，俄罗斯基于公民的隐私与安全，为避免外国监控以及保护国家安全的原因，禁止将个人信息存储于境外。

3 数据本地化的实施困境

数据跨境流动在促进全球经济发展的同时，也可能会削弱数据主体的数据控制权、甚至是危害国家主权。在数据主权的概念下，数据本地化实际上是我国为了能更好地实现境内数据控制、防范数据出境风险，在权衡数据流动利益与数据安全、隐私保护之后作出的选择[8]。然而，在实践中由于网络的互联互通性、数据的虚拟性以及云计算、互联网采用的分布式存储方式，导致我国数据本地化的三项内涵难以完全落实。除了存储于本地的要求可以在事前通过代码或技术手段进行控制，并供监管部门检查以外，审查出境与禁止出境的规定均面临实践操作的障碍。主要原因在于后两者实现的前提，依赖数据控制者的主动报备与合规运营。滴滴事件便为我国数据本地化立法敲响了警钟。监管部门在实践中，很难事前发现存在的安全问题与风险，对可能损害国家安全、公共利益与个人信息主体合法利益的数据出境行为进行拦截。其原因如下：

3.1网络空间的虚拟性与开放性，造成网络空间国边境的模糊互联网的互联互通性为数据跨境传输提供了便捷途经，数据可以快速跨越物理国边境进行转移。也正是因为互联网的虚拟性，使得用户与网络服务提供者无需同处一国疆域之内，便可完成服务提供。传统的购物模式为用户在商户门店进行选购，并现场完成交易。而线上服务则不然。A国买家与B国卖家在C国提供的网络平台上进行交易，使用D国提供的网络支付工具，E国提供的网络基础设施服务，F国提供的跨境运输服务，G国提供的保险服务……，其产生的数据可能在多个国家的多方运营实体中流转。就数据存储而言，云计算服务通过虚拟化存储服务，服务商为避免硬件或软件损坏、漏洞造成的数据破坏、丢失，会在多个位置、设备上进行数据的备份。Google与Microsoft的每个数据集都会在不同的数据中心保存两份副本，以至于云服务提供者所在地也难以界定数据存储的物理位置[9]。许多云服务提供者甚至采用了远程数据存储的方式，导致数据存储、处理的地址位置不断变化，从而造成各国数据管辖的难题。也正是由于数据的虚拟性与网络的无边界性，导致数据传输难以实时监控。以走私文物为例，传统的海关出入境口岸能对文物的运输、邮寄、携带进行审核查验、禁止入境或出境。由于数据的虚拟性，网络服务者通过设立于外国的托管服务商，将数据以电脑终端的途径传输至外国第三方；或者直接通过电子邮件的方式，将大量数据打包发送至国外，我国网络监管部门也难以察觉；即便是将数据存储于物理介质中，由个人携带、通过公共交通的方式离境，也无法被安检部门发觉。

3.2我国数据出境安全评估标准尚不完备关键信息基础设施是一项动态、复杂的巨系统[10]，分散于不同行业、不同规模的企业之中。政府部门对其进行监管、保护的压力与成本极大。在《网络安全法》明确的公共通信、信息服务、能源、交通等关键信息基础设施的八大重要领域之上，2017年网信办公布的《关键信息基础设施安全保护条例(征求意见稿)》，进一步细化出社保、教育、网络服务、国防科工等分类。但是，上述内容仍然不能完全涵盖所有需要重点保护的关键信息基础设施种类。相较于美国《改进关键基础设施网络安全框架》(Framework for Critical Infrastructure Cyber Security)《关键基础设施安全和弹性恢复指南》(A Guide to Critical Infrastructure Security and Resilience)将关键基础设施细化为16类的标准，并采用识别、保护、检测、响应、恢复为框架结构的保护措施，我国还有进一步细化的空间。随着网络社会的发展，关键信息基础设施的保护名单会陆续进行更新、完善。例如，随着汽车行业的蓬勃发展以及汽车数据保护问题的进一步凸显，国家互联网信息办公室向社会公开《汽车数据安全管理若干规定(征求意见稿)》，完善汽车数据安全的保护。不可忽视，在关键信息基础设施的保护中，可能会涉及大量私营企业。一方面是由于其经营范围被明确列为重点领域，另一方面是由于其掌握了大量的数据，导致企业的安全不再是简单的私人问题，而成为一项公共问题、国家安全问题。根据《网络安全法》《数据安全法》的规定，关键信息基础设施运营者进行数据跨境传输时，需要由网信办与国务院有关部门进行评估。然而，如何评估、评估的标准如何，并未明确。2021年出台的《个人信息和重要数据出境安全评估办法(征求意见稿及修订稿)》也只是概括性地规定安全评估的内容，缺乏具体标准。除了数据的数量、范围、类型可以量化以外，对于何为可能有“危害国家安全、社会公共利益、个人合法利益风险”的要求，审查者难以客观评估。现阶段，网信办与相关主管部门在数据安全评估上的执法案例还不充分，安全评估尺度还需要进一步摸索。

3.3数据自身价值是数据跨境流动的驱动力人类社会随着网络信息技术的高速发展进入到大数据时代。大数据时代的明显标志就是海量的数据化信息被不停地生产、收集、存储、整理与使用[11]。人类社会也已经从简单的信息获取时代、信息挖掘时代，过渡到价值输出时代、数据赋能时代。在这个阶段，信息技术可以体现为一种技术创新、组织创新和管理创新的内在范式[12]。作为信息技术的基础要素，数据具有加速提升科技创新、商业决策、服务水平，降低服务成本等典型价值，因而被誉为新时代的石油，是大型企业发展的核心要素，也成为世界各国竞相争夺的重要资源。企业对于合法收集的数据具有使用的权利，该权利是基于法律行为的原始取得，并不依赖于被收集者的授权[11]。法律对数据权、个人信息权的打造，应重视信息的公共属性，从整体性的权衡来进行数据使用的规则设计[13]。企业对所掌握的数据使用也应当从整体出发，符合国家安全、个人隐私保护等多方利益，而非只顾及企业的经济利益与发展利益。然而，由于数据的巨大价值，使得企业难以保持商业中立，可能突破一国坚持数据本地化、以主权为核心的数据保护底线。企业为获取更大的经济效益，可能会突破立法的限制，自行将数据转移出境。网信办在《征求意见稿》中明确强制“掌握超过100万用户个人信息”的运营者，在赴国外上市前拟提交的IPO材料，必须主动向网络安全评估办公室申报网络安全评估。同时，《征求意见稿》明确将企业外国上市可能带来的“关键信息基础设施，核心数据、重要数据或大量个人信息”的“出境风险或被外国政府影响、控制、恶意利用的风险”上升为国家安全风险。除此以外，对境内运营的外国企业，可能通过商业活动的便利，进行数据的跨境传输。例如棱镜门事件就曾揭露出微软、谷歌等互联网企业，自2007年起，陆续在消费者与他国不知情的情况下，向美国政府情报机构提供大量的海外用户信息。此后，各国纷纷加强对境内外国企业，尤其是网络服务企业的安全评估要求。我国也应当在立法与实践层面，坚决杜绝资本逐利性特征引发的企业对国家安全保障义务的弱化。

3.4国家网络空间战略竞争导致数据安全的威胁长期存在该风险是网络安全固有的风险，也是长期威胁我国数据本地化的重要因素之一。我国境内的数据控制者很可能在非自愿的情况下造成数据出境。网络空间作为未来国际博弈的新疆域，全球性的规则体系尚未健全，维护网络安全主要取决于国家能力，这导致网络空间安全的天平偏向了技术一端[14]。技术较弱一方，则长期面临着网络空间的非传统安全威胁。外国政府在数据利益驱动下，会主动通过技术优势与网络平台优势，对他国、地区采取数据调取、数据渗透、技术控制等措施[15]。根据中国国家互联网应急中心数据显示，位于境外的约5.2万个计算机恶意程序控制服务器，在2020年控制了我国境内531万台主机，曾对中国航空航天科研机构、石油行业、大型互联网公司进行长达11年的网络渗透。又如“海莲花”黑客组织，自2012年以来，在海外通过木马程序或在网页植入攻击代码，持续对我国29个省市的能源行业、海事机构、海域建设部门、科研院所和航运企业等进行精准网络攻击。除通过网络技术实施“数据窃取”以外，他国、经济体还通过立法的方式，单边确立对我国境内数据实施长臂管辖。最为典型的就是欧盟通过《通用数据保护条例》(General Data Protection Regulation，GDPR)，超越欧盟地域管辖的范围，赋予欧盟内监管机构强大的数据调查权、行政执法权与处罚权；美国政府则以微软案(United States v. Microsoft Corp.)为契机，颁布《澄清合法使用境外数据法案》(Clarifying Lawful Overseas Use of Data Act，CLOUD Act)，明确赋予执法部门调取本国企业存储于境外的数据的权力。因此，网络技术的纵深发展带来的网络安全概念的演进与国家之间的战略博弈，促使部分国家、经济体纷纷通过技术、立法的方式，扩大数据的控制范围，导致国际社会网络安全治理困境重重。将数据争夺提升到国家战略层面后，各国由数据引发的网络冲突时有发生。很多国家经常突破不干涉他国内政的约束，使用单边制裁的方式进行处理[16]。同时，由于网络技术的开放性与匿名性，导致网络攻击呈现溯源难与防御难的特征，使得网络安全攻击更有利于进攻方。理性的决策者在网络治理中均会选择加强基础设施建设或资源投入的方式，来保护自身安全或增强竞争优势。因此，对于数据技术较弱的国家，均更倾向于选择数据本地化模式，追求网络与数据的安全。

4 数据本地化制度的完善建议

数据本地化作为数据保护的措施，由于网络空间的无边界性、虚拟性，数据出境安全评估体系不健全，数据流动的重大利益驱动，国家网络空间战略竞争等原因，单靠我国单边立法规定与技术革新是难以完成的。在具体实践中，还应当从企业外部监管与内部控制角度，对数据本地化制度进行完善，构建完整的数据保护体系，防止数据非法出境造成的损害。在降低数据出境安全风险的基础上，放宽数据跨境流动的限制，促进全球化数字经济发展。

4.1外部监管：安全评估制度与垄断企业规制

4.1.1 完善数据出境安全评估制度为融入全球化数字经济的发展，我国通过立法在数据安全的基础上，确保数据的跨境流动。如上文所言，数据分级分类管理是实现数据流动的前提，安全评估机制则是数据流动的守门员。但是，我国数据分类、安全评估的标准均还存在完善的空间。

首先，整合、制定关键基础设施、重要数据的目录。我国关于数据安全评估的法律、文件规定较为零散，缺乏统一、明确的标准，增加了数据安全评估的不确定性。现阶段迫切需要统筹相关部门整合关键信息基础设施、制定重要数据、核心数据的目录，根据适用场景的变化随时进行完善、更新、公布。并以此为基础，对我国境内重要数据、核心数据进行重点保护，并在出境审查时进行严格对照。其中，重要数据标注应当以可能影响国家安全、社会公共安全、公民个人利益为标准。根据数据来源的多元化、复杂性，将重要数据认定的负责部门交由各领域、各行业的主管部门负责更为专业[17]。同时，应当落实上述主管部门在数据出境安全评估中的主体作用，参与网信办组织的数据安全评估工作，并承担重要数据认定异议程序的复核责任。

其次，数据安全评估部门应当通过实质审查的方式，对数据出境是否存在风险进行判断。《个人信息和重要数据出境安全评估办法(征求意见稿及修订稿)》采用客观数量标准，将“50万人以上”“超过1000GB”作为衡量是否需要组织安全评估的门槛。《征求意见稿》将平台掌握超过“100万”用户个人信息作为启动数据出境审查的标准。但是，该标准可能会遗漏诸多影响国家安全的数据，抑或是过度阻拦不具备威胁风险的数据出境。从数据技术角度出发，通过数据分析、挖掘技术，非个人数据的聚合可能形成具有识别性的数据，碎片化、不具有敏感性的数据也可分析出敏感信息，海量数据聚合甚至可能挖掘出影响国家安全的信息[4]。因此，安全评估部门除了组织相关领域专家按照关键信息基础设施与重要数据目录进行评估以外，还应当通过模型计算的方式对出境数据进行实质审查。例如，对出境数据被非法利用或被挖掘出的涉密信息的可能性进行实际检测、验算。只有经过实质性风险审查的数据，才能被允许出境。

最后，中国作为数据大国，应当积极主动参与到全球数据跨境规则与评估方案的制定中，把握全球数据战略的先机[18]。积极从我国利益出发，以多边参与、多方参与为原则，签订符合我国数据保护立场的双边、多边条约，积极与国际社会现有立法进行衔接。同时，积极利用“一带一路”等国际平台，落实我国数据安全保护的域外效力，为企业数据出境提供保护框架。

4.1.2 加强对数据垄断企业的法律规制，防止数据风险扩大随着一部分平台企业越来越大，掌握的数据越来越多，其对国家安全、公共安全、个人隐私潜在的威胁就越来越严峻。一方面，数据过于集中不仅会增加数据存储的风险，还可能增加其易损性[19]。另一方面，由于大量涉及国计民生的数据集中掌握在特定企业手中，一旦企业数据安全管理制度失灵或被他人恶意攻击，我国国家安全、个人隐私所面临的风险也呈指数式暴增。

以滴滴为例，作为互联网时代运输业的新兴产物，滴滴改变了整个出租车行业的运行现状，在网约车行业占据绝对的龙头地位。按照正常的网络效应，当平台越大，可能吸引加入平台的人数就越多，其所掌握、生产的数据体量就更加庞大[20]。在平台用户达到一定体量之后，用户数据与平台发展便可能形成正向循环关系。也就是说，当平台所掌握的用户数据越多，就可能通过数据分析进行精准服务、提升用户体验，进而吸引更多的客户。然而，平台用户增多也可能造成负面影响，例如平台服务水平下降导致用户流失[21]。但前者的影响更为显著。由于平台企业两端用户间交叉网络外部性的存在，容易产生“赢家通吃”“一家独大”的情形。企业在本行业领域占有的份额就会越来越重，甚至可能对本行业的其他企业、或者可能进入本行业的企业产生竞争壁垒。滴滴在2015年与快的合并，2016年收购优步中国之后，迅速成为网约车界的利维坦，占据所有网约车行业绝大部分的市场份额。滴滴掌握的驾驶员或乘客的个人信息、地理信息、车辆信息等重要信息，以及从中可能挖掘、衍生出的其他海量信息的价值无法计算。

一方面，监管部门可以通过反垄断审查避免产生数据超级企业。其目的在于不将所有鸡蛋都放在一个篮子里，避免数据过于集中带来数据安全风险的扩大。根据市场监管总局关于平台经济领域的反垄断指南(征求意见稿)》与国务院印发的《国务院反垄断委员会关于平台经济领域的反垄断指南》，治理大数据领域的反垄断已经迫在眉睫。2021年7月13日，市场监管总局基于《反垄断法》《经营者集中审查暂行规定》，拒绝斗鱼与虎牙合并，避免腾讯在游戏直播中占据垄断地位。因此，市场监管部门在平台企业治理与监管中，应当积极进行反垄断审查权，防止经营者过于集中，维持市场的竞争生态。另一方面，对于已经做大、做强的平台企业，互联网审查办公室应当加大对网络基础设施与数据安全的主动检查、定期检查、突击检查的力度，在事前确保数据安全。

4.2内部控制：企业数据合规随着数据安全立法与配套制度的逐渐完善，网络平台在网络空间的法律义务与责任不断扩张，其所面临的由数据泄露、篡改、灭失导致的法律风险也在提升。数据的虚拟性决定企业治理应当采用区别于传统公司治理中使用的独立董事、信息披露等内部监管方式。针对基于经济利益驱动进行的数据主动流出，以及外国政府的数据窃取或外国执法部门长臂管辖导致的数据被动流出，除了要求企业提升自身数据安全防御等技术能力以外，为保护数据安全，督促其建立完善的数据合规体系是目前最具实效、也是唯一的选择。

4.2.1 平台企业应当根据法律法规、执法案例等内容，建立符合企业服务特色与属性的合规计划自然，企业走出面临的海外执法风险，也是企业数据合规应当重视的问题。但该问题并非本文关注的重点，本文所谓的数据合规重点在于境内企业(包含我国境内的国有企业、集体企业、私人企业、外商独资、外商合资等所有类型)，能够更好地按照我国法律体系，梳理并制定符合我国利益的数据管理体系，降低企业触刑风险以及保证我国国家安全、公共利益、个人利益。从事撮合业务、信息发布的平台应当建立不同类别刑事合规体系，根据自身属性，在合规风险、作为义务、法律责任层面体现出差异[22]。在数据保护方面，应当严格按照《刑法》《网络安全法》《数据安全法》《个人信息保护法》等立法，以及《个人信息和重要数据出境安全评估办法(征求意见稿及修订稿)》《数据出境安全评估指南》等文件，严格根据企业自身属性建立数据收集、使用、出境的合规体系、员工手册。尤其是在数据出境管理上，企业不论是为了经济利益进行的数据流动，还是作为外国执法部门数据调取的对象，均应当严格遵守数据合规体系的规定，依法履行数据出境自评、报请评估等规定。在公司高管角度，应当承诺守法、合规经营，明确数据安全管理的重要性与法定义务；在公司员工管理角度，应当制定员工行为准则、建立数据安全管理定期培训制度、签署数据保密协议等；在企业经营角度，应当定期界定企业经营行为、IPO程序、相关企业行为的法律边界，明确禁止企业违法违规行为[23]。

4.2.2 各级政府网信办应当主动介入大型企业(超过100万用户)的数据合规管理除了上述防范体系之外，企业还应当建立完整的数据安全监控体系。主要的内容包含：控制管理、审计、投诉处理与报告责任，并针对投诉事务设立专门的调查官[24]。企业所在地的省、市一级网信办可以向企业派驻工作人员，专门负责企业合规体系的监控，并直接对接数据合规负责人。首先，驻企工作人员可以对企业的具体业务、项目进行随机检查，对数据保护的不合规行为可以随时要求企业整改。其次，驻企工作人员应当作为监督者参与企业数据保护投诉的调查。该工作人员不仅可以展开针对普通工作人员的调查，还可以是针对董事、经理等高级管理人员。长期以来，企业独立董事作为监督者，由于受雇于企业，一直面临着身份不中立的质疑。由网信办工作人员当任监督者，还能解决监督者中立的难题。最后，对数据出境难以监督的难题，与其以企业主动汇报、网信部门抽检为主要安全评估启动模式，不如将网信办工作人员直接置于企业之中，主动参与数据管理，能够更好地在事前对数据流动进行控制。

4.2.3 对涉及国家安全、社会公共利益的关键性公共服务企业，还可以通过党组织嵌入或混改方式进行企业数据合规管理其一，通过党组织介入企业经营的方式，党委直接参与公司治理、管理内部数据。从理论与实践来看，党组织参与国企公司治理，不仅可以有效抑制国内的内部人控制问题，还可以与其经济效益目标协调融合[25]。其二，可以考虑国企混改的方式，通过国有资本控股的路径，进行企业治理。社会主义公有制经济与市场失灵调整是国企存在的正当性基础[26]。在石油、通信、电网、军工等关系国家经济命脉的行业，均采用国企垄断的方式。对同样涉及国家命脉的平台企业采用党组织嵌入或混改的方式，加大对企业数据存储、处理的监管力度，便于相关部门在数据出境前及时展开监督活动，确保国家安全与数据安全。

4.2.4 为数据不合规行为设置高额罚金，尤其是涉及到国家安全的领域根据《网络安全法》的规定，企业违反数据本地存储与跨境流动规定时，可能面临5～50万元罚款、暂停相关业务、停业整顿、吊销许可证等处罚；直接责任人可能被处以1～10万元的罚款。若具体行为违反《刑法》的，还应当依法追究刑事责任。该处罚力度若与科技发达国家比较来看，并不算严苛。2018年，Facebook因剑桥分析公司(Cambridge Analytica)未获得用户同意的情况下，擅自获取8 700万Facebook用户信息，用于对美国选民定向推送政治信息，被联邦贸易委员会(Federal Trade Commission, FTC)展开调查。最后以美国司法部、FTC、Facebook三方达成用户隐私保护和解协议告终。其中一项和解内容便是Facebook需要缴纳50亿美元的罚金。2020年，经法国国务委员会裁定，同意国家数据保护委员会基于Google违反GDPR中关于个人隐私保护的规定，对其作出5 000万欧元的处罚。对企业而言，只有高额罚金才能真正发挥威慑作用。因此，除了在事前要求企业建立数据风险识别、防控的合规体系之外，还应当为数据保护不合规的行为设置高额罚金。