文/鄭孜青 編輯/王亞亞

隨著全球經(jīng)濟逐步進入數(shù)字化時代，大規(guī)模跨境數(shù)據(jù)流動日漸頻繁，越來越多的國家都更加重視跨境數(shù)據(jù)流動的安全問題，主要國家的跨境數(shù)據(jù)監(jiān)管與國家安全審查博弈也開始進入“強對流”時代。美國力求主導全球網(wǎng)絡(luò)空間，并奉行單邊主義，而其他多國都堅定捍衛(wèi)數(shù)據(jù)主權(quán)。在此背景下，跨國經(jīng)營的企業(yè)需要兼顧境內(nèi)外數(shù)據(jù)的監(jiān)管要求，做好合規(guī)工作安排。

美、歐跨境數(shù)據(jù)披露和監(jiān)管態(tài)勢

美國跨境數(shù)據(jù)披露和監(jiān)管特點

由于數(shù)據(jù)所有者、存儲者與使用者在地理位置上的分離，導致國際上對究竟以何為標準劃定數(shù)據(jù)主權(quán)，長期存在爭議。美國在2018年發(fā)布的《澄清域外合法使用數(shù)據(jù)法案》（以下簡稱《云法案》）要求，以數(shù)據(jù)控制者為標準劃定數(shù)據(jù)主權(quán)，強調(diào)無論數(shù)據(jù)存儲于何地，只要數(shù)據(jù)由美國主體所控制，則美國便有權(quán)獲取，相關(guān)主體也有義務(wù)提供。參考TikTok（抖音海外版）在美國受到數(shù)據(jù)安全挑戰(zhàn)的案例，可以看出，雖然TikTok反復(fù)證明相關(guān)數(shù)據(jù)存儲于美國境內(nèi)且未交予中國政府，美國也依舊表示擔憂數(shù)據(jù)的安全性。除政治因素外，有業(yè)內(nèi)專家認為，如果美國認可了TikTok的抗辯，無疑就削弱了其以數(shù)據(jù)控制者為核心的數(shù)據(jù)主權(quán)界定，進而會弱化美國對全球數(shù)據(jù)治理規(guī)則的話語權(quán)。

當前，在全球數(shù)據(jù)流動規(guī)則的博弈中，美國實際上奉行的是雙重標準：一方面，其不容許其他國家未經(jīng)其批準獲取其本國數(shù)據(jù)；另一方面，倚仗其技術(shù)優(yōu)勢在全球任意獲取數(shù)據(jù)，以破除他國數(shù)據(jù)保護并實現(xiàn)美國的利益，體現(xiàn)出美國的特權(quán)主義色彩。對于外國政府，想要獲取存儲在美國的數(shù)據(jù)十分耗時耗力。根據(jù)美國與其他國家簽署的雙邊協(xié)議，這些外國政府必須經(jīng)過漫長而繁瑣的申請流程（Mutual Legal Assistance Treaties, MLAT），且美國司法部和地方法院對此幾乎擁有絕對的審批決定權(quán)，審批標準的具體內(nèi)容也很模糊?！对品ò浮奉C布后，僅有極少數(shù)美國認可的盟友國家才可不經(jīng)過MLAT程序獲取儲存在美國的數(shù)據(jù)。

根據(jù)《云法案》，無論數(shù)據(jù)存儲于何地，只要其最終控制人是美國企業(yè)，美國政府就可以調(diào)取相關(guān)數(shù)據(jù)；同時，由于世界主流信息通信技術(shù)企業(yè)多為美國企業(yè)，美國實際上憑借《云法案》取得了直接獲取海量數(shù)據(jù)的法律依據(jù)，且可以繞過其他國家的司法申請流程。例如，微軟一度以數(shù)據(jù)儲存在愛爾蘭而拒絕執(zhí)行紐約南區(qū)聯(lián)邦法院發(fā)出的數(shù)據(jù)調(diào)取命令，但聯(lián)邦第二巡回法庭駁回了微軟的抗辯。而隨著《云法案》的出臺，該案件終止審理，微軟最終還是向美國法院提交了相關(guān)數(shù)據(jù)。

歐盟跨境數(shù)據(jù)披露和監(jiān)管特點

當前，歐盟在數(shù)據(jù)經(jīng)濟中的地位與其在全球經(jīng)濟中的地位并不相稱，世界主要互聯(lián)網(wǎng)領(lǐng)軍企業(yè)多為美國公司或中國公司。為了扭轉(zhuǎn)不利地位，歐盟致力于加強與數(shù)據(jù)相關(guān)的人權(quán)保護，擴大法律適用范圍，引導市場選擇，增大其在數(shù)據(jù)跨境國際規(guī)則方面的話語權(quán)。2018年5月歐盟全面實施《一般數(shù)據(jù)保護條例》（General Data Protection Regulation, GDPR），該條例是歐盟在數(shù)據(jù)保護方面的重要立法，其賦予歐盟主管機關(guān)廣泛的管轄權(quán)，包括屬地管轄權(quán)和屬人管轄權(quán)。根據(jù)GDPR第3款，幾乎任何收集、傳輸、存儲或者處理活動，如果由設(shè)立于歐盟成員國的機構(gòu)組織來從事，均受GDPR管轄。即使在歐盟境內(nèi)未設(shè)立實體且僅提供免費服務(wù)的歐盟境外的組織機構(gòu)，如果向歐盟成員國的信息主體提供了服務(wù)，或監(jiān)控了其在成員國內(nèi)的行為，則也受GDPR管轄。此外，歐盟堅持嚴格的數(shù)據(jù)出境審查，以較高的隱私保護水平來確保數(shù)據(jù)跨境流動的安全性。GDPR只允許向達到歐盟認可的隱私保護水平的第三國傳輸個人信息。目前，僅有阿根廷、日本、新西蘭、韓國、英國等十幾個國家達到了該標準。

GDPR所采用的“充分性認定白名單”制度，使歐盟得以在國際數(shù)據(jù)博弈過程中，向其他國家推廣歐盟標準和歐盟價值觀，完成其國內(nèi)法向國際法的轉(zhuǎn)化。如果無法達到“充分性認定標準”，則GDPR第46款還提供了其他個案適用的跨境傳輸方案，包括采用監(jiān)管機構(gòu)批準的 “標準合同條款”（Standard Clause Contract）及“約束性公司規(guī)則”（Binding Corporate Rules）等。通過構(gòu)建較高的歐盟標準，歐盟也希望最終能夠促使更多企業(yè)出于合規(guī)方面的考慮而選擇將數(shù)據(jù)存儲在歐盟境內(nèi)，并在歐盟境內(nèi)進行數(shù)據(jù)處理。

美、歐在跨境數(shù)據(jù)傳輸規(guī)則上的博弈

由于美歐在跨境數(shù)據(jù)傳輸規(guī)則方面的立場并不相同，從而導致了二者在該問題上頻繁拉鋸。美國采取全球主義立場，希望歐盟等世界各國減少對數(shù)據(jù)跨境流動的干預(yù)，以促進“數(shù)據(jù)自由流動”；而歐盟則致力于建構(gòu)以數(shù)據(jù)存儲者為核心的數(shù)據(jù)主權(quán)概念，并重視數(shù)據(jù)的本地化存儲，無論是GDPR還是其前身1995年的《關(guān)于涉及個人數(shù)據(jù)處理的個人保護以及此類數(shù)據(jù)自由流動的指令》，都強調(diào)歐盟有權(quán)介入數(shù)據(jù)的跨境流動并有責任對第三國的數(shù)據(jù)保護做出評估，凸顯其屬地主義原則的數(shù)據(jù)主權(quán)立場。

2020年7月，歐盟法院做出判決，認定歐盟與美國在2016年簽署的、關(guān)于跨境數(shù)據(jù)傳輸?shù)摹峨[私盾協(xié)議》無效，從而使美國公司無法繼續(xù)通過該協(xié)議將歐盟的個人數(shù)據(jù)傳輸?shù)矫绹?，也將迫使美國繼續(xù)向歐盟隱私保護制度做出讓步，接受歐盟越來越高的隱私保護標準。該判決進一步加劇了美歐在跨境數(shù)據(jù)領(lǐng)域的緊張關(guān)系，并將產(chǎn)生深遠影響。美國前任商務(wù)部部長威爾伯·羅斯稱，對這一判決“深感失望”，并表示美國將繼續(xù)與歐盟就此事保持密切聯(lián)系。

我國跨境數(shù)據(jù)披露監(jiān)管范圍擴大

近年來，我國日益重視數(shù)據(jù)安全，跨境數(shù)據(jù)法律監(jiān)管體系可概括為“1+3+N”的格局。“1”是指《國家安全法》，這是我國跨境數(shù)據(jù)法律規(guī)范體系的基石，也凸顯數(shù)據(jù)跨境合規(guī)其最重要的目的是保護國家的利益和安全?！?”是指《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》和即將出臺的《個人信息保護法》。這三部法律堪稱我國數(shù)據(jù)保護三大基本法?！癗”指《網(wǎng)絡(luò)安全審查辦法》《個人信息出境安全評估辦法（征求意見稿）》等規(guī)章以及《信息安全技術(shù)數(shù)據(jù)出境安全評估指南（征求意見稿）》等規(guī)范和一系列相關(guān)的國家標準，旨在為數(shù)據(jù)跨境規(guī)范提供詳細補充。

現(xiàn)行《網(wǎng)絡(luò)安全審查辦法》于2020年4月印發(fā)，2020年6月1日起實施。該辦法以關(guān)鍵信息基礎(chǔ)設(shè)施運營者（Critical Information Infrastructure Operator,CIIO）為監(jiān)管抓手，以CIIO采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)為主要切入點，目標是維護關(guān)鍵信息基礎(chǔ)設(shè)施（Critical Information Infrastructure, CII）的供應(yīng)鏈安排。2021年7月10日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見稿）》，其中，對跨境上市企業(yè)提出了更嚴格的信息審查要求。

一是新增數(shù)據(jù)處理行為?！毒W(wǎng)絡(luò)安全審查辦法（修訂草案征求意見稿）》（下稱《審查辦法》）進一步明確要求數(shù)據(jù)處理者開展數(shù)據(jù)處理活動，影響或可能影響國家安全的，亦應(yīng)當進行網(wǎng)絡(luò)安全審查，擴大了網(wǎng)絡(luò)安全審查的適用范圍和義務(wù)主體范圍。但《審查辦法》并未明確哪些情形屬于影響國家安全的數(shù)據(jù)和處理活動，僅列舉了其中的一種情形，即 “掌握超過 100 萬用戶個人信息的運營者（關(guān)鍵信息基礎(chǔ)設(shè)施運營者及數(shù)據(jù)處理者）赴國外上市”。這意味著無論掌握超過100萬用戶個人信息的運營者是否屬于關(guān)鍵信息基礎(chǔ)設(shè)施運營者，其都將落入“數(shù)據(jù)處理者”這一義務(wù)主體范圍。此次《審查辦法》的修訂，亦表明《數(shù)據(jù)安全法》進入實施前緊鑼密鼓的準備階段，其已提及的各項重大制度將逐步通過法規(guī)和細則予以落實。《審查辦法》的修訂和實施，應(yīng)該也會和《數(shù)據(jù)安全法》的生效日期保持協(xié)同。

二是增加中國證券監(jiān)督管理委員會（以下簡稱“證監(jiān)會”）為監(jiān)管主體?！秾彶檗k法》第4條將證監(jiān)會新增納入國家網(wǎng)絡(luò)安全審查工作機制成員單位，反映出國家對企業(yè)國外上市行為所產(chǎn)生的數(shù)據(jù)安全問題的高度關(guān)注。需要注意的是，在中國香港上市很可能屬于境外上市而非國外上市，因此，企業(yè)赴中國香港上市可能不在必須主動申報網(wǎng)絡(luò)安全審查的范圍之內(nèi)。

三是企業(yè)合規(guī)風險增加。不同于擬海外上市企業(yè)未通過網(wǎng)絡(luò)安全審查可能導致無法上市的直接后果,對已海外上市企業(yè)未通過審查的情形, 《網(wǎng)絡(luò)安全法》僅規(guī)定了停止使用數(shù)據(jù)和罰款處罰, 而《數(shù)據(jù)安全法》則未做規(guī)定。因此，對已境外上市企業(yè)，如果網(wǎng)絡(luò)安全審查未通過會導致何種后果, 仍有待后續(xù)配套法規(guī)和監(jiān)管實踐予以明確。

企業(yè)應(yīng)對策略

一是適時調(diào)整上市計劃。企業(yè)需要緊密跟蹤變化中的國際跨境數(shù)據(jù)監(jiān)管博弈，并根據(jù)公司的發(fā)展需要，適時做出調(diào)整。當前，我國企業(yè)赴美上市需要考慮到我國網(wǎng)絡(luò)安全審查風險和由此導致的業(yè)務(wù)停滯風險，以及由于連續(xù)三年達不到美國證監(jiān)會信息披露要求而被強制退市的風險、在美面臨集體訴訟的風險等等，并據(jù)此謹慎評估是否需要變更相關(guān)赴美上市計劃。

根據(jù)《審查辦法》，當前，我國香港地區(qū)可能不受事前申報網(wǎng)絡(luò)安全審查的限制。雖然，與赴美上市相比，赴港上市仍有較高門檻，且在市場流動性、股東退出難易度等方面港股也略遜于美股，但仍有多家中資企業(yè)在綜合權(quán)衡后，暫?；蚪K止了赴美上市的進程，包括科技企業(yè)Keep、喜馬拉雅以及醫(yī)療科技公司零氪科技等。

二是主動做好數(shù)據(jù)合規(guī)。無論是否計劃上市的企業(yè)，均建議做好數(shù)據(jù)安全和個人信息保護方面的合規(guī)。隨著《數(shù)據(jù)安全法》即將在2021年9月1日正式實施，以及未來《個人信息保護法》的頒行，可以預(yù)見，包括《審查辦法》在內(nèi)的各項配套規(guī)定也會密集出臺，數(shù)據(jù)保護方面的執(zhí)法將日趨嚴格。當前，鑒于美國、歐盟在內(nèi)的世界各主要司法轄區(qū)在不斷加強數(shù)據(jù)保護，我國企業(yè)也應(yīng)更加積極主動地做好數(shù)據(jù)合規(guī)，并將數(shù)據(jù)合規(guī)的需要和業(yè)務(wù)發(fā)展戰(zhàn)略相協(xié)調(diào)，以數(shù)據(jù)合規(guī)促進業(yè)務(wù)發(fā)展。

企業(yè)被動進行數(shù)據(jù)合規(guī)不僅成本高昂，而且社會效益低；企業(yè)主動開展數(shù)據(jù)合規(guī)雖然合規(guī)成本不變，但很可能帶來額外的經(jīng)濟效益和社會效益，從而使合規(guī)從燒錢的工作變成創(chuàng)造財富的工作。舉例而言，美國互聯(lián)網(wǎng)巨頭已經(jīng)率先受到歐盟GDPR的巨大合規(guī)壓力，從美國互聯(lián)網(wǎng)巨頭已經(jīng)采取的措施和效果可以看到主動合規(guī)的諸多優(yōu)勢。例如，蘋果通過對在線廣告數(shù)據(jù)安全方面的管制，實際上進一步加強了其對在線廣告市場的控制力，并同時贏得了消費者的信任，增強了消費者粘性。微軟積極開發(fā)數(shù)據(jù)保護方面的軟硬件，不僅用于企業(yè)自身數(shù)據(jù)合規(guī)的需要，也用于吸引其他有合規(guī)需求的客戶，使數(shù)據(jù)保護合規(guī)服務(wù)成為一項新的業(yè)務(wù)增長點。

三是充分利用法律允許的抗辯理由。當前，國外的數(shù)據(jù)披露要求和我國法律監(jiān)管要求存有一定的沖突。實踐中，有企業(yè)通過在美國法院提起訴訟，減少或豁免了相關(guān)數(shù)據(jù)披露要求的案例。在個案中，企業(yè)可以聘請經(jīng)驗豐富的中外律師，協(xié)助處理信息披露方面的法律沖突，以隔離企業(yè)或其高管可能面臨的法律風險，并充分利用法律允許的抗辯理由，力爭減少數(shù)據(jù)披露的要求；對于確須披露的信息，企業(yè)則可在專業(yè)機構(gòu)的協(xié)助下獲得我國司法部、證監(jiān)會等主管機關(guān)的批準。

四是積極參與規(guī)則制定。企業(yè)可通過多渠道參與我國或國外相關(guān)規(guī)則的制定過程，積極提交反饋意見。各國政府制定監(jiān)管規(guī)則均有其特定背景、理由和目的，企業(yè)除了從自身利益角度出發(fā)提出反饋意見，還可以嘗試提出建設(shè)性和創(chuàng)新性的制度構(gòu)建建議。通常，各國政府在不影響相關(guān)立法目的的情況下，會考慮盡量減少對企業(yè)的不利影響。

應(yīng)對不同司法轄區(qū)的監(jiān)管規(guī)則，對企業(yè)而言是一個復(fù)雜的過程。鑒此，企業(yè)應(yīng)從自身發(fā)展階段、業(yè)務(wù)領(lǐng)域、主管機關(guān)、背景原因、國際關(guān)系、發(fā)展趨勢等各方面綜合收集信息、審慎分析，結(jié)合相關(guān)商業(yè)決策研判，提前制定公司合規(guī)舉措。