總體國家安全觀視域下企業跨境數據的合規治理

梅 傲 侯之帥

內容提要 總體國家安全觀的誕生既給社會有序與人民幸福提供了堅實保障，又為企業數據合規指引了新的方向。數據跨境流動是數據治理的內在動因，亦是數據主權的重要影響因素。在此推動下，我國的數據安全治理工作逐步展開并呈現出一定的發展規律。而各大數據規則的接連出臺，也為我國企業的數據合規工作提出了新的要求。從意識到行動，由風險及成本，自規范至執行，都是我國企業在“走出去”過程中所需解決的難題。我國企業應把握總體國家安全觀中“內外統一”的思想精髓，從內向性、外向性、自驅性三個維度科學探索跨境數據合規路徑；有破有立，內外統一，攻防轉化，以全新的姿態在跨境數據流動工作中迎接總體國家安全觀的層層考驗，全面突破“走出去”進程中的三大挑戰。

一、問題起源：行業熱點案例折射出的數據安全爭議

黨的二十大報告強調：國家安全是民族復興的根基，社會穩定是國家強盛的前提。增強維護國家安全能力，確保糧食、能源資源重要產業鏈供應鏈安全，維護我國公民、法人在海外合法權益，筑牢國家安全人民防線。數據安全作為總體國家安全觀框架體系中的一個重要組成部分，近年來得到了多部法律法規的保障和支持。在這一理念下，國家逐漸加強對各企業數據的安全審查，致力于由快速發展向高質量發展轉變。企業在加快數據跨境流通的同時，也必然給數據安全帶來了一定風險。“滴滴事件”的發生，正是總體國家安全觀之理想照進數據行業之現實的具體體現，亟須企業動態研判數據風險。

2021年7月2日至7月9日，出于保護國家數據安全之目的，國家網信辦連續發布3項公告，對“滴滴”實行網絡安全審查等系列措施。網信辦做出此決定的原因有二：一方面，“滴滴”跨境數據流動涉及國家安全?！暗蔚巍痹趪鴥冗\營過程中搜集了大量數據，其中包含有關國家發展的公務數據。依托龐大的數據庫，“滴滴”可以勾勒出各城市的交通等基礎設施發展狀況，這些信息可折射出經濟社會發展狀況，最終可能演化為國家安全數據信息。另一方面，“滴滴”跨境數據流動給數據安全帶來了巨大威脅。2020年美國通過的《外國公司問責法案》要求在本土上市的外國公司履行信息披露義務，否則將禁止上市。由此，“滴滴”于美國上市后，在規則及執法壓力下可能被迫交出審計底稿及關乎國家主權的部分數據，進而危及我國國家安全與公共利益。

從應用人工智能技術提升求職招聘效率的“BOSS直聘”，到利用互聯網打造中國最大的公路物流平臺“貨車幫”，再到基于大數據開發的貨運調度平臺“運滿滿”，國家安全審查已逐漸成為互聯網企業跨境上市的一大關口，數據監管與治理變革如火如荼。在總體國家安全觀背景下，上述問題已然成為企業“走出去”過程中數據治理的核心命題。

二、溯本求源：總體國家安全觀視域下跨境數據治理的動因及現狀

當今國際數據治理朝著立法愈加完善、執法更為嚴格的方向發展[1]梅傲、侯之帥：《互聯網企業跨境數據合規的困境及中國應對》，《中國行政管理》2021年第6期。。在總體國家安全觀的指導下，我國跨境數據，順應國際數據治理潮流，正逐步完善?？缇硵祿卫淼闹饕獎右蛟谟谖覈鴶祿袠I發展迅速，數據跨境流通與國家安全息息相關。通過不斷摸索，我國對企業的跨境數據治理已取得明顯成效，并呈現出一定的發展規律。

1.企業跨境數據流動對國家安全的多重影響

其一，企業跨境數據流動是重塑數據主權的動力源泉。從當前世界各國數據立法情況來看，主權者的意志在跨境數據流動內容中都得到了一定體現。在以歐盟《通用數據保護條例》（GDPR）為代表的數據規范中，主權者創建了嚴格的數據跨境流動限制規則，事先明確數據流動基本原則及各方主體權利義務，對后續具體情境中的數據流動實現間接規制，數據主權意志在抽象的規則中得到表達[2]A.Chander,Uyen P.Le,"Data Nationalism",Emory Law Journal,2015,64,pp.677-739.。同時，強制要求數據本地化存儲為數據主權的直接表達方式。無邊界的虛擬數據被限制在一國的領土范圍內，從而依據屬地管轄被納入國家治理中[3]劉天嬌：《數據主權與長臂管轄的理論分野與實踐沖突》，《環球法律評論》2020年第2期。。而在該種模式下，維護國家數據主權在數據流動中居于重要位置。

其二，企業跨境數據流動是事關家國穩定的重要因素。在經濟全球化、交易平臺網絡化的大背景下，企業在跨境貿易過程中頻繁的數據流動給國家安全帶來了巨大威脅。近年來，全球性數據泄露事件頻頻出現，不僅造成了極大的經濟破壞，也為家國安定帶來了巨大挑戰。企業的跨境數據體量更大，具有“批量性”。雖然出境數據單獨承載的信息有限，但多源信息融合技術的存在使得海量數據能夠有效拼接，原本不會威脅國家安全的個體數據從而具備了泄露國家機密的可能性。同時，犯罪集團的數據竊取技術日漸高超，其利用移動設備的GPS等定位服務跟蹤用戶情況，甚至通過蜂窩基站、熱點等收集未經授權的離線數據，進而使之成為后續電信網絡詐騙針對性投放的信息來源。此外，鑒于數據立法的差異性，跨境數據流動可能成為企業規避法律約束的重要手段。如今許多上市主體在海外注冊，利用證監會審批程序缺口，隱藏成為掌握國家核心數據的關鍵信息基礎設施的敏感身份，最終實現海外上市的目的。

2.總體國家安全觀下跨境數據治理的現狀

（1）數據安全在多部數據規范中得到體現

2016年《網絡安全法》的頒布正式開啟了我國網絡安全立法的先河，此后各類網絡數據法律法規被接連頒布。如今我國關于個人數據保護的法律法規接近70部，部門規章近200部，為數據安全提供了強有力的保障。

第一，內容相對完備，數據流通規定嚴密。總體而言，跨境數據流動主要由《個人信息保護法》《數據安全法》《網絡安全法》進行原則性規定，《個人信息出境安全評估辦法》（以下簡稱《評估辦法》）予以具化與落實?！稊祿踩ā返?1條對各部法律的適用對象予以區分，《網絡安全法》主要針對國家公共通信等重要行業和領域，統稱其為關鍵信息基礎設施部門，而針對其他數據處理者的跨境流通問題的法律法規則由國家網信部門會同國務院另行制定。數據類型不同，對應的數據流動規則亦存在差別。同時，針對《網絡安全法》《數據安全法》原則性條款過多的問題，網信辦等部門亦出臺了一系列規章予以細化。比如對于數據出境流程問題，《評估辦法》從權責內容到評估手續，再到禁止事項，都提供了較好的行為規范。再如，針對部分行業數據存在的專業性、特殊性問題，相關部門陸續出臺了《汽車數據安全管理若干規定》等予以細化?，F行法與尚未通過的法案在遵循“保障國家安全”的大原則下，建立了一套“由上至下”的數據跨境流通制度。隨著各類規則、辦法的施行，未來數據跨境傳輸制度將朝著更為嚴密的方向發展。

第二，與國際接軌，全力保障國家安全。以中國和東盟國家為代表的發展中國家，通過“一帶一路”等一系列合作構建數字領域的多元共治方案，打破歐美單邊主導的數據治理格局。國家安全在RCEP等條約中得到重視。根據RCEP第12章第15條，雖然數據自由流動得到了大力支持，但RCEP將締約國的基本安全利益置于首要位置，即RCEP更關注安全的數據流動。同時，“長臂管轄”的阻斷適用保障國家安全。部分國家不斷擴大本國數據法案的適用外延，為我國企業帶來了極大的合規難題。如美國CLOUD法案規定美國政府有權要求數據服務提供者保存、備份、披露其所擁有、控制的境內外數據；歐盟GDPR第1章第3條亦將其適用范圍擴大至歐盟境內外的數據控制者及處理者。這意味著我國企業不論身處何地，只要在歐美境內有數據業務，抑或為歐美公民提供數據服務，都將受到其法案的規制，合規風險大大提高。我國《數據安全法》第36條規定了“非經中華人民共和國主管機關批準”不得向境外執法或司法機構提供境內數據，并設置了相關的違法懲戒措施，有效應對了“長臂管轄”的濫用問題。此外，商務部頒布的《阻斷外國法律與措施不當域外適用辦法》是基于維護國家安全、主權、發展利益的目的，既保護了國家數據主權與安全，亦為我國企業發展數據業務提供了堅實的法律保障。

（2）數據安全在跨境執法機制中得到保障

在國際層面，數據執法普遍得到各國的重視。為維護國家數據主權、切實保障數據法案的落地實施，在101個有個人數據保護法的國家中，設立了獨立個人數據保護機構的便有75個。如根據GDPR之規定，歐盟成員國便負有設立國家數據保護機構（DAPs）及任命數據保護主管（EDPS）的義務，全面維護本國數據安全。而CNIL對Google的處罰也證實了其執法標準的嚴格程度。再如美國針對地方執法力度分散的現象，通過聯邦層面統一國家隱私立法實行中央集中執法體制，使得國家安全在執法層面得到有效保障。

在國內層面，我國形成了多主體協同執法機制。受國際數據執法趨勢之影響，為了更好地保護國家安全，近年來我國亦在一系列數據規則中不斷完善數據執法機制。根據《網絡安全法》第8條，如今我國形成了“國家網信辦主導，電信主管部門、公安部門、市場監管部門協同”的執法機制。在《個人信息保護法》中進一步細化了數據執法主體，個人信息保護和監督管理的執法主體具體到縣級地方人民政府。在“滴滴事件”中，國家網信辦等七部門共同開展網絡安全審查，協同執行數據規則。通過多部門的通力合作，將數據審查切割成若干份執法工作，既確保了數據審查工作的細致進行，保障了國家安全，又緩解了海量數據執法壓力，為企業數據跨境安全流動保駕護航。

三、窮本極源：總體國家安全觀下企業跨境數據合規的困境

隨著網絡數據與國家安全、地緣政治、產業競爭、網絡主權等議題關聯度的不斷提升，其跨境流動問題也日益成為各國政策博弈的重要戰場[1]張龑：《網絡空間安全立法的雙重基礎》，《中國社會科學》2021年第10期。?！暗蔚问录闭侵忻罃祿鳈酄帄Z這一隱因在企業跨境實踐上的顯著映照。在總體國家安全觀愈發成熟的時代背景下，行動意識低、安全風險多、雙向合規難，已成為我國企業在“走出去”過程中面臨的三大挑戰，這彰顯出數據安全是當今我國企業數據合規的核心要義。

1.從意識到行動：數據跨境流動中安全保障的缺乏

網絡技術與法律規范雖共同筑起了保障數據安全的雙重屏障，但防不勝防的數據隱患將企業推向更為未知的深淵?！?021安永全球信息安全調查報告（GISS）》（以下簡稱“GISS2021”）顯示，疫情背景下高破壞性且高復雜度的網絡攻擊數量大幅增長，67%的公司在過去一年中遭受的網絡攻擊數量有所增加，但網絡安全風險的預算十分有限，我國受訪企業中不確定其網絡安全保護體系是否能夠抵御黑客攻擊的比例高達75%。不論是意識層面還是行動層面，企業在跨境數據流動中都缺乏足夠的安全保障。

（1）尚未認識到后疫情時代數據安全的特殊性

一是線上工作模式下數據存量的增加。新冠肺炎疫情的出現為企業線下運營帶來了巨大困難，而各大企業也面向客戶推出了支持遠程服務的網絡技術工具，繼應用移動端之后更大程度地挖掘了網絡市場的深層疆域。各公司將掌握更為龐大的用戶數據，保護網絡安全的壓力也隨之增大。而很多企業疏于將網絡安全納入決策流程，導致新的數據漏洞存在于運行系統，給數據安全帶來巨大威脅。

二是網絡攻擊手段具有多樣性與復雜性?！癎ISS2021”顯示，威脅者已采用新策略，企業網絡被攻擊數量升至峰值。僅2020年至2021年，破壞性網絡攻擊的數量便增加了18%。同時，網絡攻擊的傷害也相應增大。僅有33%的受訪者表示有信心使供應鏈保持適當的穩固性或無懈可擊。如在2020年，攻擊者通過創新型供應鏈攻擊滲透到SolarWinds并隱蔽存在數月，給社會經濟及企業數據帶來了極大損失。

（2）企業數據處理流程中缺乏安全保障行動

總體國家安全觀下的數據安全旨在實現各個數據環節的具體安全。從數據采集到數據分析，再到數據存儲、數據服務，無不體現著個人安全在所有數據活動中的核心地位。

由于數據主體與數據處理者地位長期存在不平衡問題，作為數據主體的個人在數據處理過程中的參與度極低[2]梅傲、蘇建維：《數據治理中“打包式”知情同意模式的再檢視》，《情報雜志》2020年第2期。。也正因此，許多企業在數據活動中并未注重涵蓋數據全生命周期的行為規范性。在總體國家安全觀的時代背景下，這種由“算法霸權”思維慣性導致的惰性行為早已失去時代生命力，甚至會給企業帶來數據合規的風險。近些年來，企業違規使用數據招致行政處罰的行業事件頻頻出現，正是因為企業在數據處理流程中安全意識滯后而導致安全保障行動缺失。

此外，救濟保障機制亦是當前企業數據安全體系中缺少的一環，亟須建立與完善。在用戶層面，救濟保障機制下，其不僅能夠在數據風險發生后第一時間啟動應急保護方案，切實保護數據主體的信息安全，還能回應總體國家安全觀下“以人民為中心”的數據安全要求；在企業層面，救濟途徑的建立有助于企業減少因違規事件帶來的損失。救濟保障機制的建立，將大大降低企業面對違規事件的風險抵御能力。

2.由風險及成本：數據合規難度不斷加大

在愈發復雜的網絡叢林中，識別安全風險及應對監管審查已成為企業數據合規工作的兩項重要內容。

內外部風險的不斷增多，是企業在數據安全保障工作中難以逾越的一道屏障。一方面，企業內部風險是數據泄露的重要原因。如今許多企業通過各種移動客戶端實現隨時隨地的信息交換和通信交流，員工通過APP及小程序共享文件，有效提高了工作效率。但傳輸和存儲數據的不同載體及數據信息的自由訪問操作，成為數據泄露、商業秘密竊取等問題的罪魁禍首[1]王倩、顧雪瑩：《GDPR下涉歐企業的員工個人數據合規管理》，《德國研究》2021年第2期。。加之開放經濟時代企業的員工流動性較大，企業內部數據安全面臨著更大風險。另一方面，企業外部風險是數據安全的重要威脅。從層出不窮的黑客攻擊，到對外合作中向第三方機構開放的數據訪問權，再到跨境交易中對象國嚴苛的披露義務，這些外部風險均對企業的數據流向追蹤、安全監控及溯源調查能力提出了極高的要求。

數據風險的不斷增多，也愈加引起公權機關的警惕與監管，企業數據合規的義務及成本亦隨之增大。多部數據法的新設權利需要企業付出大量成本。以《個人信息保護法》為核心的數據信息權體系，不僅延長了數據保護的生命周期，還為用戶創設了知情權、拒絕權、更正權等大批創新型權利，增加了企業的義務、負擔。同時，“多頭監管”亦是信息安全團隊面臨的合規難題之一。如今我國《數據安全法》確立了以國家網信辦為主導的數據安全監管體系，實施數據安全執法工作；而其他各權力主體亦出臺了各自的工作規范。這意味著企業的合規事項更多、違規成本更高。

3.自規范至執行：雙向合規壓力下跨境數據傳輸受阻

全球數據立法為企業跨境數據傳輸帶來了較大難題。主權國家在參與全球數據治理進程中積極行使數據主權，穩步推進數據立法，進而形成了傳輸標準不一、復雜規則林立的局面。而在全球數據統一規則尚未建立的當下，各有特色的國內法作為個人數據跨境傳輸規則的主要法律淵源，勢必對依賴跨境數據流動的產業分布及發展形成阻力[2]齊湘泉、文媛怡：《構建“一帶一路”個人數據跨境傳輸法律制度：分歧、共識與合作路徑》，《河南師范大學學報（哲學社會科學版）》2019年第6期。。而各類政治組織、人權組織對跨境數據治理的介入，使得數據行業發展從私權與產業的平衡與競爭上升到社會安全與國家安全的高度，進一步增加了跨境數據流動的復雜性[3]高山行、劉偉奇：《數據跨境流動規制及其應對——對〈網絡安全法〉第三十七條的討論》，《西安交通大學學報（社會科學版）》2017年第2期。。

各國數據規范的落地施行，使得我國“走出去”企業“雙向合規”的壓力陡增。企業不僅要遵守國內相關規范完成數據出境手續，亦需應對東道國的業務要求，披露必要的數據內容[4]許多奇：《論跨境數據流動規制企業雙向合規的法治保障》，《東方法學》2020年第2期。。不論是“滴滴”公司事件，還是2014中國四大會計師事務所在美國所遭受的暫停業務處罰，均體現了“雙向合規”壓力下我國“走出去”企業所面臨的嚴峻風險。此外，以數據安全保護為名的貿易壁壘，也成為外國阻礙我國新興技術對外發展的創新手段[5]馮碩：《TikTok被禁中的數據博弈與法律回應》，《東方法學》2021年第1期。。此類因他國濫用安全政策催生的合規難題，是我國企業與“數據安全”這一時代命題相互較量的另一戰場。

四、正本清源：總體國家安全觀下企業跨境數據合規的應對

總體國家安全觀以我國“大安全”為方針理念，旨在構建普遍安全的人類命運共同體，其注重各類安全內容的動態聯系、內部安全與外部安全的互聯互通[1]李建偉：《總體國家安全觀的理論要義闡釋》，《政治與法律》2021年第10期。。此次“滴滴”公司被多部門聯動整治的內在動因，便是其在數據跨境流動中忽視了國家安全這一內部要素。在安全價值日益凸顯的當下，面對跨境數據合規的三大困境，我國企業應把握總體國家安全觀中“內外統一”的思想精髓，從內向性、外向性、自驅性3個維度科學探索跨境數據合規路徑。

1.內向性路徑：以人為本，構建數據合規體系

（1）全流程的數據保護體系

《個人信息保護法》中關于個人信息處理者適用過錯推定原則、個人信息執法部門在執法活動時擁有查閱權等相關規定，均體現了我國信息保護思想由“登記注冊制”向“問責制”的轉變[2]中國信息通信研究院互聯網法律研究中心：《個人信息保護立法研究》，中國法制出版社2021年版，第295—300頁。。《個人信息保護法》第51條及《網絡安全法》第21條均規定，企業應防止個人信息的泄露、篡改及丟失，制定數據操作規程等內部管理制度。《數據安全法》第27條亦明確，企業應當建立健全全流程數據安全管理制度。結合國家《信息安全技術個人信息安全規范》（以下簡稱“《安全規范》”）的規定，全流程的數據保護應涵蓋以下方面。

第一，數據接入階段的數據搜集與告知。企業在搜集數據的過程中應遵循合法、正當、必要的原則。首先，在目的性上，企業應制定個人信息保護政策并向用戶告知，具體包含搜集、使用數據的目的、方式和范圍，其所具備的數據安全能力及采取的安全保護措施等，以尋求用戶的授權同意。其次，在自愿性上，企業應尊重用戶的選擇意愿，保證多項業務功能的自主選擇，避免打包式同意及因用戶拒絕特定業務而降低整體服務質量的情形出現。最后，在透明性上，企業既要追求告知信息的真實準確、清晰易懂，又要保證信息獲取途徑易于訪問，確保信息披露義務履行。

第二，數據處理階段的數據存儲與分析。企業數據存儲期限應限制在個人數據授權使用目的所需的最短時間內，期限超過之后應征求用戶做出新的同意表示，讓知情同意處于動態的環境中。同時，企業應對用戶數據進行去標識化處理，并根據國家密碼管理標準采取加密等技術措施以確保數據安全。

第三，數據共享階段的產品應用及保障。首先，在產品正式發布前，應提前評估個人信息安全影響并形成個人信息安全影響評估報告，預判個人數據使用的潛在風險。其次，在產品投入使用中，應針對可能發生的個人信息安全事件制定應急預案，并通過應急演練等方式掌握必要的應急方法。最后，在數據安全事件發生后，全面記錄事件內容并及時上報執法部門。通過細化數據處理流程中的安全措施，為用戶數據提供可靠的安全保障。

（2）全面型的法律研判體系

第一，企業應依法進行數據分類，明確數據類型及所屬行業。一方面，依法進行數據分類。目前數據分類分級保護制度在《數據安全法》等相關規定中得到充分肯定。在國家分類保護愈加精細的安全趨勢下，企業進行數據分類并根據類別采取不同的安全措施不僅是其法定義務，亦是數據出境的必經環節。企業應根據《安全規范》附錄B的相關標準，做好個人敏感信息及一般信息的區分工作，完成敏感信息出境報備及用戶告知等相關出境手續。另一方面，明確數據所屬行業。如今各領域根據本行業的特殊性，制定了許多數據守則，其規定了更為專業、細致的合規標準，值得企業重視。

第二，立足“雙向”法律，利用法律規則轉守為攻。在各國數據主權爭奪愈加白熱化的趨勢下，未來各國對于數據安全審查的要求將會更為嚴格。在快速的數據安全法律變革中，企業如若合理利用規則將能緩解當前的合規窘境。企業既要加強出口國法律文本研析，及時跟進規則變動，也要善于研究糾紛解決方式，堅決維護應有權益。各國對于數據保護和安全等領域的觀點取向各有特點[1]王銳：《對外投資中的數據法律責任及其風險防范》，《政法論叢》2019年第4期。。企業在提高內部安全合規水平的同時，亦須順應各國司法、執法特點，提出合理抗辯。特別是許多普通法系國家，通過司法判決細化了數據法案的認定標準。此前TikTok面對多國不合理封禁使用多重武器，起訴美國政府使得禁令得以暫緩執行；而通過與印尼政府溝通并接受公權審核小組介入監督等方式，使得印尼政府最終撤銷行政禁令。

（3）全球化的風險分散體系

一方面，利用合作分散風險。當今國際立法趨勢及行業實踐傾向于溯源追責，要求簽署業務關聯協議，鎖定雙方的監管義務，如美國《健康保險可攜性和責任法案》（HIPAA）等。但從合作協議內部來看，企業即便被溯源追責，仍能通過協議的約定尋求事后索賠，降低違規成本。另一方面，多點分散業務布局。部分中小型企業面對出口國嚴苛的合規要求，亦可通過調整貿易產業全球布局，降低合規風險及合規成本。比如許多中小企業便利用歐盟GDPR“充分性認定白名單”之規定，在名單認可的國家建立數據中心及數據港，有效降低了數據安全合規成本。

此外，善于利用網絡保險。根據普華永道記載，如今網絡保險已被逐漸開發，年度保費金額已高達25億美元。我國企業可通過購買網絡數據泄露保險、網絡責任產品來分散數據經營風險。比如中興科技便為評估風險較高地區的具體業務購買了必要的出口保險以規避損失。京東集團亦持有多類保單，防范安全風險及意外的發生。

2.外向性路徑：對外聯通，積極轉變傳統本位

傳統“以自我為中心”的發展模式早已不能適應經濟全球化進程中分工精細化、資源互補化的時代趨勢[2]許憲春、王洋：《大數據在企業生產經營中的應用》，《改革》2021年第1期。。在跨境數據安全這一新興視域下，企業集群作為直接利益相關的對象，更應積極聯動，打造數據合規命運共同體。

（1）聯動構建合規命運共同體

《數據安全法》等數據法體系中，均提及了企業、行業組織等主體共同參與數據安全保護工作、營造良好環境的相關內容，為企業聯動構建數據安全合規命運共同體提供了法理基礎。數據合規命運共同體作為企業落實總體國家安全觀及網絡安全命運共同體的具化方式，具有多重時代價值。

從國際治理大格局上看，數據合規命運共同體與人類命運共同體、網絡安全命運共同體具有相同的邏輯蘊涵。人類命運共同體是全球安全治理的旨歸點，在網絡安全領域生動體現為網絡安全命運共同體。而總體國家安全觀作為全球安全治理的重要組成部分，亦服務于全體人類。三者均體現了以人民安全為宗旨的現代化國家安全體系思想，有機融入于社會治理共同體的深層蘊涵中。數據合規命運共同體將眾多企業的數據安全緊緊相連，為用戶數據信息筑起堅實的防護墻。三者均超越了狹隘的“個體本位”，求同存異，體現了共同體的價值觀念和文化包容，都是國際治理體系的重要組成部分。

從行業共治的微觀視角上看，數據合規命運共同體的構建能為企業提供良好的數據安全合規環境，其根植于總體國家安全觀及人類命運共同體，是共建共治共享治理目標的延續。多方協同參與網絡安全綜合治理，既可以推進數據安全信息共享機制的形成，又能加強行業自律，提高企業的數據保護水平；同時，其能有效促進企業合規聯盟的構建，幫助企業形成數據跨境的合力，共同應對“雙向合規”壓力陡增的難題。

（2）積極對接公權部門

當前，因數據違法觸發的刑事責任相對較少，由數據主體引發的民事責任一般亦不足以威脅企業發展。從各國數據立法的一般規律上看，企業的數據安全保障風險最主要來自行政責任與風險。在我國《數據安全法》《網絡安全法》《個人信息保護法》這三部最為主要的法律中，均對企業提出了及時報告、配合主管部門審查等對接公權部門的要求。而這并非僅為被動的法律義務，其亦能成為企業養成合規習慣、降低風險成本的重要途徑。隨著各國數據立法、執法愈加嚴格，行政處罰也已從勒令整改逐步發展為巨額罰款、停業整改等措施。而認真披露企業管理信息是安全違規事件發生后爭取和解、避免高額行政處罰的必要條件。日常工作中與主管部門對接，亦能及時清除違規事件，避免因批量性安全風險的出現而導致企業停業整改，最終錯過數據出境、公司上市、擴大規模等發展良機。

3.自驅性路徑：創新改革，加快技術內核發展

各國數據法案的接續出臺，導致很多企業因合規成本過高而放棄部分數據業務甚至直接破產。加之疫情影響，企業工作形式與競爭環境都發生了巨大的變革[1]梅傲、蘇建維：《數字信息運用于公共衛生應急管理的檢視及其完善》，《法治論壇》2021年第2期。。面對“數字化+后疫情”時代，數字化轉型已經成為各大企業應對時代挑戰、突破發展桎梏的重要法寶。

一是進一步挖掘可視化與結構化適用功能，實現數據資源稽核與監督。在內容存量龐大、流轉關系繁雜的數據環境中，樹狀圖式、圓形填充式、旭日式等可視化技術能有效監控企業數據流轉情況，企業通過自動化掃描、分析資產分布狀態等途徑，實現數據系統的集中化、常態化管理[2]武長海：《數據法學》，法律出版社2022年版，第51—61頁。。同時，可視化手段有助于分析數據安全事件發生趨勢、計算安全事件處置率等工作的建模，進而在數據安全周期內對數據風險進行全方位的評估及管理，通過快速實現數據收集管理、反饋跟蹤等功能，降低數據安全保障成本。

二是積極利用創新激勵政策，提升企業技術創新能力。我國“十三五”“十四五”規劃中亦體現了國家對“數據安全建設”的重視。針對涉及國家安全等重要產業，鼓勵加大研發投入并制定普惠稅收減免政策。由此，各大企業應利用政策紅利，不斷加快科技體制改革，驅動技術內核發展，通過推進產學研深度融合等革新方式，適應總體國家安全觀之下數據安全發展新要求[3]肖君擁、張志朋：《中國國家安全法治研究四十年：回眸與展望》，《國際安全研究》2019年第1期。。

五、結語

黨的二十大報告指出，中國式現代化為人類實現現代化提供了新的選擇，中國共產黨和中國人民為解決人類面臨的共同問題提供更多更好的中國智慧、中國方案、中國力量?？傮w國家安全觀為全球安全治理注入了中國動力，是全球安全治理機制建設的中國方案。數據安全作為國家安全體系的有機組成部分，亦是全球安全治理的重點規制對象。面對這一時代要求，我國企業唯有立足安全發展之“本”，順應國家安全理念之“源”，全面提升數據合規能力，才能在百年未有之大變局的時代挑戰中破浪乘風，逆流而上。