CAFTA背景下中國海外企業(yè)數(shù)據(jù)保護的法律風(fēng)險與應(yīng)對

摘"要：中國海外企業(yè)在“中國—東盟自由貿(mào)易區(qū)”（CAFTA）視域下的經(jīng)濟合作中扮演著重要角色。然而，信息安全問題已成為中國海外企業(yè)面臨的重要挑戰(zhàn)。在CAFTA視域下，探討中國海外企業(yè)信息保護路徑，中國海外企業(yè)應(yīng)加強對企業(yè)信息的保護，遵守當(dāng)?shù)氐臄?shù)據(jù)保護法律和隱私規(guī)定，加強對第三方合作伙伴的管理和控制，提高員工的信息安全意識和教育，加強信息安全技術(shù)的應(yīng)用和管理，積極參與國際信息安全合作和標(biāo)準(zhǔn)制定。

關(guān)鍵詞：CAFTA；中國海外企業(yè)；信息保護；國際合作

中圖分類號：F74"文獻標(biāo)識碼：A""doi：10.19311/j.cnki.16723198.2024.13.016

0"引言

“中國—東盟自由貿(mào)易區(qū)”（CAFTA）是中國與東盟10國于2010年簽署的自由貿(mào)易協(xié)定，旨在促進中國與東盟國家的貿(mào)易和經(jīng)濟合作。中國海外企業(yè)在CAFTA視域下扮演著重要角色，然而，信息安全問題已成為中國海外企業(yè)面臨的重要挑戰(zhàn)。如何保護企業(yè)信息的安全和隱私，已成為中國海外企業(yè)需要面對的重要問題。

1"中國海外企業(yè)信息保護現(xiàn)狀

中國海外企業(yè)在信息保護方面面臨著多重挑戰(zhàn)。不同國家和地區(qū)的數(shù)據(jù)保護法律和隱私規(guī)定存在差異，新加坡于2020年11月通過了《個人數(shù)據(jù)保護法修正案》，修改2012年通過的《個人數(shù)據(jù)保護法》。新的數(shù)據(jù)可移植性要求規(guī)定企業(yè)必須根據(jù)個人請求，把由該企業(yè)占有或控制的個人數(shù)據(jù)傳輸給其他企業(yè)。與東南亞許多其他國家的數(shù)據(jù)保護法一樣，這些新變化使《個人數(shù)據(jù)保護法》更接近歐盟《通用數(shù)據(jù)保護條例》。泰國首部數(shù)據(jù)保護法也稱《個人數(shù)據(jù)保護法》，為補充完善《個人數(shù)據(jù)保護法》，泰國政府還陸續(xù)發(fā)布了一些實施細則和指引。印度尼西亞于2022年10月17日通過了《個人數(shù)據(jù)保護法》。總體而言，新法不僅對現(xiàn)有數(shù)據(jù)保護法規(guī)進行了匯總和調(diào)整，而且也增加了與泰國類似的新原則和新規(guī)定。此外在適用方式上也與歐盟《通用數(shù)據(jù)保護條例》相似。中國海外企業(yè)需要遵守當(dāng)?shù)氐姆煞ㄒ?guī)，也需要面對不同國家和地區(qū)之間數(shù)據(jù)傳輸和隱私保護的差異。網(wǎng)絡(luò)攻擊的頻率和復(fù)雜性不斷增加，黑客、病毒、惡意軟件等網(wǎng)絡(luò)攻擊手段對企業(yè)的信息系統(tǒng)和數(shù)據(jù)構(gòu)成威脅。東盟頻繁地遭受恐怖分子和雇傭軍組織的網(wǎng)絡(luò)襲擊。其中一些威脅是面向商業(yè)的，針對金融機構(gòu)和政府的惡意軟件和勒索軟件的犯罪日益猖獗；更具威脅的則是與國家安全相關(guān)的攻擊，黑客組織已將東南亞政府和該地區(qū)的國防部門作為目標(biāo)。海外企業(yè)在跨境數(shù)據(jù)傳輸過程中也需要確保數(shù)據(jù)的安全和合規(guī)性。海外企業(yè)的員工可能來自不同國家和文化背景，對信息安全的認識和意識存在差異。一旦海外企業(yè)的信息安全出現(xiàn)問題，可能會引發(fā)社會輿論和聲譽風(fēng)險，影響企業(yè)形象和業(yè)務(wù)發(fā)展。

2"中國海外企業(yè)信息保護面臨的挑戰(zhàn)

2.1"不同國家和地區(qū)的法律規(guī)定存在差異

一是數(shù)據(jù)保護法律的適用范圍，一些國家和地區(qū)的數(shù)據(jù)保護法律適用范圍可能包括所有類型的個人數(shù)據(jù)，另一些國家和地區(qū)可能只涉及特定類型的個人數(shù)據(jù)，如醫(yī)療記錄、金融信息等。東盟內(nèi)部持續(xù)存在網(wǎng)絡(luò)安全能力差距。例如柬埔寨、老撾和緬甸等網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施欠發(fā)達的國家是缺乏資源來應(yīng)對境內(nèi)發(fā)生的高威脅網(wǎng)絡(luò)攻擊事件。馬來西亞和新加坡等技術(shù)更為先進的國家在制定區(qū)域網(wǎng)絡(luò)計劃方面發(fā)揮了主導(dǎo)作用。東盟很難跟蹤成員國在網(wǎng)絡(luò)安全方面的進展，因為此類問題往往被視為國家機密。各國往往隱藏其攻擊能力，隱瞞有關(guān)針對基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊的信息。東盟不愿采取可能被視為侵犯其成員國主權(quán)的措施，這一原則可能會因網(wǎng)絡(luò)信息共享的增加而受到壓力。

二是數(shù)據(jù)主體的權(quán)利和義務(wù)，不同國家和地區(qū)的法律可能對數(shù)據(jù)主體的權(quán)利和義務(wù)規(guī)定有所不同，如訪問、更正、刪除個人數(shù)據(jù)的權(quán)利等。三是數(shù)據(jù)安全要求，不同國家和地區(qū)的法律對數(shù)據(jù)安全措施和要求也可能存在差異，如加密要求、數(shù)據(jù)泄露通知要求等。四是處罰和制裁，不同國家和地區(qū)對違反數(shù)據(jù)保護法律的處罰和制裁也可能有所不同，包括罰款金額、刑事責(zé)任等。因此，對于在不同國家和地區(qū)開展業(yè)務(wù)的企業(yè)來說，了解和遵守當(dāng)?shù)氐臄?shù)據(jù)保護法律規(guī)定非常重要，以確保企業(yè)在信息保護方面的合規(guī)性。

2.2"網(wǎng)絡(luò)攻擊頻率和復(fù)雜性不斷增加

首先是技術(shù)進步和數(shù)字化轉(zhuǎn)型。隨著技術(shù)的不斷進步和企業(yè)的數(shù)字化轉(zhuǎn)型，網(wǎng)絡(luò)攻擊技術(shù)也在不斷發(fā)展和演變，黑客和攻擊者利用新技術(shù)和工具進行攻擊，使得網(wǎng)絡(luò)攻擊的復(fù)雜性不斷增加。其次是大規(guī)模數(shù)據(jù)泄露事件。近年來發(fā)生了許多大規(guī)模的數(shù)據(jù)泄露事件，這些事件暴露了許多企業(yè)和組織在信息安全方面的薄弱環(huán)節(jié)，也給黑客提供了更多的攻擊機會。再次是云計算和物聯(lián)網(wǎng)的普及。隨著云計算和物聯(lián)網(wǎng)技術(shù)的普及應(yīng)用，企業(yè)的信息系統(tǒng)變得更加復(fù)雜和龐大，也增加了遭受網(wǎng)絡(luò)攻擊機會。網(wǎng)絡(luò)攻擊手段的多樣化也是導(dǎo)致攻擊復(fù)雜性增加的原因。包括但不限于勒索軟件、零日漏洞利用、社交工程、釣魚攻擊等多種攻擊手段，網(wǎng)絡(luò)攻擊者的動機也日益多樣化，包括了經(jīng)濟利益、政治目的、個人惡作劇等多種動機，這使得網(wǎng)絡(luò)攻擊的頻率和復(fù)雜性不斷增加。

2.3"跨境數(shù)據(jù)傳輸?shù)陌踩秃弦?guī)性

數(shù)據(jù)保護法律和規(guī)定，不同國家和地區(qū)都有各自的數(shù)據(jù)保護法律和規(guī)定，這些法律和規(guī)定對跨境數(shù)據(jù)傳輸設(shè)有一定的限制和要求。例如，歐盟的《通用數(shù)據(jù)保護條例》（GDPR）規(guī)定了跨境數(shù)據(jù)傳輸?shù)臈l件和限制，要求企業(yè)在將個人數(shù)據(jù)傳輸?shù)椒菤W盟國家時必須滿足特定的條件和保障措施。例如數(shù)據(jù)安全要求跨境數(shù)據(jù)傳輸需要滿足一定的數(shù)據(jù)安全輸送要求，包括跨境數(shù)據(jù)加密、跨境數(shù)據(jù)泄露防范、跨境安全傳輸協(xié)議等。不同國家和地區(qū)對數(shù)據(jù)安全要求的標(biāo)準(zhǔn)和規(guī)定可能有所不同。早在2016年，東盟就通過一個叫ADMM-Plus的組織成立了網(wǎng)絡(luò)安全專家工作組，并發(fā)起了多項網(wǎng)絡(luò)倡議，在各國政府中建立聯(lián)絡(luò)點來討論網(wǎng)絡(luò)事件和政策，以及進行涉及重大網(wǎng)絡(luò)攻擊的桌面演習(xí)，以練習(xí)防務(wù)合作。

2021年，ADMM提出創(chuàng)建ACICE以及新的網(wǎng)絡(luò)防御網(wǎng)絡(luò)以連接國家網(wǎng)絡(luò)防御運營中心。2018年創(chuàng)建的位于泰國的東盟—日本網(wǎng)絡(luò)安全能力建設(shè)中心，以及2020年創(chuàng)建的為網(wǎng)絡(luò)政策應(yīng)急響應(yīng)團隊提供培訓(xùn)的東盟—新加坡網(wǎng)絡(luò)安全卓越中心，也加入了該機構(gòu)。在跨境數(shù)據(jù)傳輸中，需要保障跨境傳輸數(shù)據(jù)主體的權(quán)利和利益，包括對個人及企業(yè)數(shù)據(jù)的有權(quán)訪問、更正、刪除等權(quán)利。除此之外，跨境數(shù)據(jù)流動的監(jiān)管和審查非常重要，一些國家和地區(qū)對跨境數(shù)據(jù)傳輸設(shè)有嚴(yán)格的監(jiān)管和審查機制，需要企業(yè)向相關(guān)監(jiān)管部門提交申請并獲得批準(zhǔn)。除了各國家和地區(qū)的法律和規(guī)定外，國際上也有一些數(shù)據(jù)安全和合規(guī)標(biāo)準(zhǔn)，如ISO"27001等，企業(yè)可以根據(jù)這些標(biāo)準(zhǔn)來制定自己的跨境數(shù)據(jù)傳輸安全和合規(guī)策略。

2.4"員工信息安全意識和文化背景差異

在海外企業(yè)中，員工信息安全意識和文化差異對企業(yè)信息保護有著重要的影響，不同國家和地區(qū)的員工對信息安全的重視程度和意識水平可能存在差異。一些國家和地區(qū)的員工可能對信息安全的重要性認識不足，缺乏對安全風(fēng)險的敏感性，這可能導(dǎo)致信息泄露和安全事件的發(fā)生。不同國家和地區(qū)的法律法規(guī)對于信息保護的要求和規(guī)定可能存在差異，如果海外企業(yè)的員工對當(dāng)?shù)氐姆煞ㄒ?guī)不夠了解或者對信息保護的要求存在誤解，可能會導(dǎo)致信息保護不符合當(dāng)?shù)胤傻那闆r發(fā)生。文化差異不同也會影響信息安全傳輸及保存的行為，文化背景差異的情況下也會導(dǎo)致員工的信息安全行為影響。例如，一些文化背景下，對于隱私和個人數(shù)據(jù)的保護可能有不同的理解，員工可能會對數(shù)據(jù)保護的要求產(chǎn)生不同的態(tài)度和行為。此外，不同國家和地區(qū)對于信息安全意識培訓(xùn)的程度和方式可能存在差異。一些國家和地區(qū)可能對信息安全意識培訓(xùn)投入較少，員工的安全意識培訓(xùn)水平可能相對較低。

3"中國海外企業(yè)信息保護路徑

3.1"遵守當(dāng)?shù)氐臄?shù)據(jù)保護法律和隱私規(guī)定

中國海外企業(yè)需要遵守當(dāng)?shù)氐臄?shù)據(jù)保護法律和隱私規(guī)定，確保個人信息的合法收集、使用和處理，以免觸犯當(dāng)?shù)胤煞ㄒ?guī)。加強合規(guī)管理，嚴(yán)格遵守當(dāng)?shù)睾蛧H的信息保護法律法規(guī)，建立合規(guī)管理制度，確保企業(yè)信息保護工作符合法律要求。在網(wǎng)絡(luò)安全立法方面，新加坡頒布了東盟國家第一部《網(wǎng)絡(luò)安全法》，與《濫用電腦和網(wǎng)絡(luò)安全法令》《個人信息保護法》《電子交易法》等共同構(gòu)成網(wǎng)絡(luò)空間法律保障體系。馬來西亞也有一系列保護網(wǎng)絡(luò)環(huán)境的立法，如《計算機犯罪法》《電子商務(wù)法》《個人數(shù)據(jù)保護法案》《國家安全委員會法案》等。其中，《個人數(shù)據(jù)保護法案》用于保護個人姓名、地址、身份證或護照、電子郵件、電話號碼等數(shù)據(jù)不被濫用，但是該法律僅適用于商業(yè)交易中的個人，不適用于馬來西亞聯(lián)邦政府或州政府。中國海外企業(yè)應(yīng)該深入了解所在國家或地區(qū)的數(shù)據(jù)保護法律法規(guī)和隱私規(guī)定，包括數(shù)據(jù)收集、存儲、處理和傳輸?shù)确矫娴囊?guī)定。

按照法律規(guī)定收集和使用數(shù)據(jù)：企業(yè)在收集和使用個人數(shù)據(jù)時，必須遵守當(dāng)?shù)氐姆梢?guī)定，包括明確告知數(shù)據(jù)使用目的、取得數(shù)據(jù)主體的同意等要求。建立合規(guī)的數(shù)據(jù)處理流程：企業(yè)需要建立合規(guī)的數(shù)據(jù)處理流程，確保個人數(shù)據(jù)的合法、合理和安全處理，包括數(shù)據(jù)存儲、加密、訪問控制等方面的措施。尊重用戶隱私權(quán)：企業(yè)應(yīng)該尊重用戶的隱私權(quán)，保護用戶的個人信息不被濫用或泄露，同時建立隱私政策，告知用戶個人數(shù)據(jù)的收集和使用情況。數(shù)據(jù)安全保護措施：企業(yè)需要采取有效的數(shù)據(jù)安全保護措施，包括建立網(wǎng)絡(luò)安全防護系統(tǒng)、加密敏感數(shù)據(jù)、定期進行安全審計等措施，確保數(shù)據(jù)不被非法獲取和泄露。建立數(shù)據(jù)保護負責(zé)人或數(shù)據(jù)保護團隊：企業(yè)可以組建專門的數(shù)據(jù)保護負責(zé)人或數(shù)據(jù)法務(wù)團隊，負責(zé)數(shù)據(jù)的監(jiān)督和管理工作，保證企業(yè)數(shù)據(jù)處理合規(guī)合法。及時報告數(shù)據(jù)泄露事件：一旦發(fā)生數(shù)據(jù)泄露事件，企業(yè)應(yīng)該及時向相關(guān)監(jiān)管機構(gòu)和用戶報告，并按照法律規(guī)定采取相應(yīng)的應(yīng)對措施。

通過遵守當(dāng)?shù)氐臄?shù)據(jù)保護法律和隱私規(guī)定，中國海外企業(yè)可以降低法律風(fēng)險，維護企業(yè)聲譽，增強客戶信任。

3.2"加強對第三方合作伙伴的管理和控制

海外企業(yè)在運營過程中可能與各種第三方合作伙伴打交道，包括供應(yīng)商、服務(wù)提供商、合作伙伴等。但這些合作伙伴可能存在信息安全風(fēng)險，如果不加以控制和管理，可能導(dǎo)致個人信息泄露、數(shù)據(jù)被濫用等問題。企業(yè)應(yīng)該對潛在的合作伙伴進行嚴(yán)格的篩選和評估，包括對其信息安全管理能力、合規(guī)性、信譽等方面進行全面考察。再者與合作伙伴簽訂明確的保密協(xié)議，明確雙方在數(shù)據(jù)共享和合作過程中的責(zé)任和義務(wù)，規(guī)定數(shù)據(jù)保護的要求和措施。企業(yè)需要對合作伙伴的員工進行權(quán)限管理，只提供必要的數(shù)據(jù)訪問權(quán)限，避免過度授權(quán)和濫用數(shù)據(jù)的風(fēng)險。建立監(jiān)控和審計機制，對合作伙伴的數(shù)據(jù)訪問和使用行為進行監(jiān)控和審計，及時發(fā)現(xiàn)異常情況并采取相應(yīng)措施。向合作伙伴提供信息安全培訓(xùn)，加強其對數(shù)據(jù)保護的意識和能力，確保其遵守企業(yè)的信息安全政策和要求。與合作伙伴共同設(shè)立信息安全事件應(yīng)急預(yù)案，明確雙方在信息安全事件出現(xiàn)時的安全措施和責(zé)任安排。

最后要定期對合作伙伴的信息安全管理能力進行評估，及時發(fā)現(xiàn)問題，并采取改進措施，確保合作伙伴的信息安全水平與企業(yè)要求保持一致。

3.3"提高員工的信息安全意識和教育

海外企業(yè)的員工可能來自不同國家和文化背景，對信息安全的認識和意識存在差異。要針對不同國家和地區(qū)的員工，定期開展信息安全意識培訓(xùn)，提高員工對信息安全的重視程度和風(fēng)險意識。制定統(tǒng)一的信息安全政策，明確規(guī)范員工在不同國家和地區(qū)的信息保護要求，確保員工遵守公司的信息安全規(guī)定。對于一些信息安全風(fēng)險較高的地區(qū)，企業(yè)需要加強對員工信息安全行為的監(jiān)管和審查，確保信息保護符合當(dāng)?shù)胤煞ㄒ?guī)的要求。

3.4"加強信息安全技術(shù)的應(yīng)用和管理

中國海外企業(yè)應(yīng)加強信息安全技術(shù)的應(yīng)用和管理，包括網(wǎng)絡(luò)安全、數(shù)據(jù)加密、安全審計等方面，確保信息系統(tǒng)和數(shù)據(jù)的安全和保密。強化技術(shù)保障措施，采用先進的信息安全技術(shù)和工具，包括數(shù)據(jù)加密、網(wǎng)絡(luò)防火墻、入侵檢測系統(tǒng)等，確保敏感信息在存儲、傳輸和處理過程中得到有效保護。加強網(wǎng)絡(luò)安全系統(tǒng)防護，建立完善的網(wǎng)絡(luò)安全防護體系，包括入侵檢測、漏洞修復(fù)、網(wǎng)絡(luò)監(jiān)控等措施，及時發(fā)現(xiàn)并應(yīng)對網(wǎng)絡(luò)安全威脅。

3.5"積極參與國際信息安全合作和標(biāo)準(zhǔn)制定

中國海外企業(yè)應(yīng)積極參與國際信息安全合作和標(biāo)準(zhǔn)制定，了解最新的信息保護要求和最佳實踐，提高信息保護水平。制定健全的信息安全政策，企業(yè)應(yīng)該建立健全的信息安全管理制度和政策，明確規(guī)范員工在處理敏感信息時的行為規(guī)范和責(zé)任，包括數(shù)據(jù)存儲、傳輸、處理等方面的規(guī)定。中國海外企業(yè)積極參加國際組織和標(biāo)準(zhǔn)制定，例如國際標(biāo)準(zhǔn)化組織（ISO）、互聯(lián)網(wǎng)工程任務(wù)組（IETF）等，參與制定信息安全標(biāo)準(zhǔn)和規(guī)范，推動全球信息安全合作和標(biāo)準(zhǔn)化發(fā)展。要積極與當(dāng)?shù)氐男畔踩珯C構(gòu)和組織建立合作關(guān)系，例如歐洲信息安全局（ENISA）、美國國家安全局（NSA）等，共同開展信息安全研究和交流，分享信息安全經(jīng)驗和最佳實踐。在信息安全方面中國海外企業(yè)可以積極參加各類信息安全會議和研討會，例如RSA安全會議、黑帽安全大會等，了解最新的信息安全技術(shù)和趨勢，與業(yè)界專家和同行交流心得和經(jīng)驗，建立信息安全聯(lián)盟，與其他企業(yè)和組織共同開展信息安全研究和交流，共同維護信息安全，推動信息安全標(biāo)準(zhǔn)化和合作。2023年7月，為了加強網(wǎng)絡(luò)安全區(qū)域合作，東南亞國家聯(lián)盟（ASEAN）成員國在新加坡樟宜海軍基地開設(shè)了網(wǎng)絡(luò)安全和信息卓越中心（ACICE），通過積極參加國際信息安全合作和標(biāo)準(zhǔn)制定，中國海外企業(yè)可以了解全球信息安全趨勢和最新技術(shù)，提高信息安全能力和水平，加強與國際社會的合作和交流，共同維護全球信息安全。

4"結(jié)語

中國海外企業(yè)在CAFTA視域下，面臨著諸多信息安全問題和挑戰(zhàn)。為了保護個人信息的安全和隱私，中國海外企業(yè)應(yīng)加強對企業(yè)信息的保護，遵守當(dāng)?shù)氐臄?shù)據(jù)保護法律和隱私規(guī)定，加強對第三方合作伙伴的管理和控制，提高員工的信息安全意識和教育，加強信息安全技術(shù)的應(yīng)用和管理。

參考文獻

［1］魏依.1929年《民國海商法》立法研究[D].大連海事大學(xué)，2017.

［2］李志文.船舶所有權(quán)法律制度研究[D].大連海事大學(xué)，2005.

［3］劉巖.“一帶一路”倡議下我國設(shè)立國際商事法庭的必要性[J].沈陽工業(yè)大學(xué)學(xué)報（社會科學(xué)版），2018，11（06）：499504.