前言：數(shù)據(jù)安全作為國家安全的重要組成部分，其重要性不言而喻。維護數(shù)據(jù)安全不僅是保障國家安全的必要條件，更是捍衛(wèi)國家主權、守護國家長遠發(fā)展的關鍵因素。

近年來，隨著中國經(jīng)濟實力的崛起，以及全球化進程的不斷深入，越來越多的中國企業(yè)開始放眼全球，尋求更為廣闊的發(fā)展空間，積極開拓國際市場。

對于科技類出海企業(yè)而言，數(shù)據(jù)跨境流動已成為企業(yè)進軍海外市場所面臨的一大重要合規(guī)挑戰(zhàn)。科技類出海企業(yè)在處理、存儲和傳輸數(shù)據(jù)時，不僅要嚴格遵守當?shù)氐姆煞ㄒ?guī)，還要確保數(shù)據(jù)的隱私和安全，防止數(shù)據(jù)泄露和濫用。那么，科技類出海企業(yè)應如何履行數(shù)據(jù)安全保護義務呢？

數(shù)據(jù)安全事件多發(fā)，全球監(jiān)管力度趨嚴

出?？萍计髽I(yè)在網(wǎng)絡安全保護方面承擔著不可推卸的責任，應嚴格遵守相關法律法規(guī)保護數(shù)據(jù)安全。尤其在出海過程中，科技企業(yè)面臨不同地區(qū)、國家法律差異，以及來自全球的技術安全威脅，更要提高警惕，構建健全數(shù)據(jù)安全防護體系，切實維護企業(yè)與用戶數(shù)據(jù)安全。

國際方面，根據(jù)公開數(shù)據(jù)顯示2023年全球企業(yè)因違反《通用數(shù)據(jù)保護條例》（General Data Protection Regulation，簡稱GDPR）而被處以的罰款合計約21億歐元。其中，社交媒體平臺Facebook的母公司Meta被處以創(chuàng)紀錄的12億歐元罰款，被稱為天價罰單。

國內(nèi)方面，隨著《中華人民共和國網(wǎng)絡安全法》《中華人民共和國個人信息保護法》《中華人民共和國數(shù)據(jù)安全法》等多部法律出臺，國家對于科技企業(yè)數(shù)據(jù)安全監(jiān)管體系日趨成熟，有效督促與監(jiān)管各科技企業(yè)盡快建立完善數(shù)據(jù)安全管理制度和技術保障措施。近期，各地公安局網(wǎng)安部門對多家不履行網(wǎng)絡安全保護義務的單位依法予以處罰。

科技類出海企業(yè)保護數(shù)據(jù)安全的重要性

（一）國防安全與數(shù)據(jù)主權

數(shù)字經(jīng)濟正在成為重組全球要素資源、重塑全球經(jīng)濟結構、改變?nèi)蚋偁幐窬值年P鍵力量。與此同時，數(shù)據(jù)的無序流動、泄露等問題給國家和社會安全帶來了潛在危害。我國作為世界數(shù)據(jù)資源大國之一，面臨的數(shù)據(jù)安全風險相較于其他國家也更為嚴峻，亟需建立健全數(shù)據(jù)跨境管理規(guī)則。如涉及基因數(shù)據(jù)、地理、氣象數(shù)據(jù)等戰(zhàn)略性敏感數(shù)據(jù)。

（二）品牌形象與用戶流失

近日，IBM最新發(fā)布的《2023年數(shù)據(jù)泄露報告》顯示，2023 年全球數(shù)據(jù)泄露的平均成本達到445萬美元，創(chuàng)下歷史新高。一旦企業(yè)發(fā)生數(shù)據(jù)泄露事件，用戶對企業(yè)的信任度會受到嚴重打擊，進而影響企業(yè)的品牌形象和聲譽。

（三）個人隱私數(shù)據(jù)泄露

數(shù)據(jù)泄露就像一個隱形炸彈，一旦引爆后果不堪設想，將對普通人的工作和生活都會產(chǎn)生直接而深遠的負面影響。詐騙分子可能會利用個人信息實施欺詐或敲詐勒索行為，為公眾財產(chǎn)安全帶來威脅。根據(jù)國內(nèi)知名網(wǎng)絡安全公司奇安信集團監(jiān)測的數(shù)據(jù)顯示，2022年3月到10月期間，超過950億條的中國境內(nèi)機構數(shù)據(jù)在海外被非法交易，其中60%是公民個人信息。

科技類出海企業(yè)應當如何做

國外著名咨詢機構Verizon發(fā)布了《2023年數(shù)據(jù)泄露調(diào)查報告》（DBIR），對過去一年發(fā)生的16312起安全事件和大約5200起數(shù)據(jù)泄露事件進行分析，報告指出內(nèi)部的各種違規(guī)行為更加頻繁，但83%數(shù)據(jù)泄露事件依然來自外部，且高達95%都是經(jīng)濟利益驅動。

科技類出海企業(yè)如何構筑數(shù)據(jù)安全保護防火墻呢？

（一）數(shù)據(jù)安全技術

數(shù)據(jù)安全技術是保護數(shù)據(jù)安全的一把利刃，科技類出海企業(yè)需建立完善的信息安全防御體系，加強對外網(wǎng)安全防護、信息終端管理等工作。企業(yè)可使用數(shù)據(jù)庫加密存儲、傳輸，限制對隱私賬戶訪問權限、定期漏洞篩查等技術手段應對外部數(shù)據(jù)攻擊。

（二）企業(yè)內(nèi)數(shù)據(jù)安全管理制度

科技類出海企業(yè)需要制定完善的信息安全管理制度，包括信息安全方針、組織結構、責任與義務、安全控制要求，以及明確用戶數(shù)據(jù)的保密等級、使用權限、存儲要求等，同時還需要建立用戶數(shù)據(jù)備份和恢復機制，以防出現(xiàn)數(shù)據(jù)損壞或丟失的情況。

此外，企業(yè)應持續(xù)加強信息安全教育和培訓，增強員工的信息安全意識，深化信息安全督查工作。

（三）數(shù)據(jù)安全事件應急演練

《網(wǎng)絡安全事件分級指南》中將網(wǎng)絡安全事件根據(jù)具體情形分為特別重大網(wǎng)絡安全事件、重大網(wǎng)絡安全事件、較大網(wǎng)絡安全事件、一般網(wǎng)絡安全事件。數(shù)據(jù)泄露或數(shù)據(jù)竊取，均體現(xiàn)在前述四種網(wǎng)絡安全事件中。

而在《個人信息出境標準合同辦法》規(guī)定，運營者在發(fā)生網(wǎng)絡安全事件時，應當及時啟動應急預案進行處置。按照《網(wǎng)絡安全事件分級指南》，屬于較大、重大或特別重大網(wǎng)絡安全事件的，應當于1小時內(nèi)進行報告。

如果企業(yè)沒有進行過任何應急演練，當真正發(fā)生數(shù)據(jù)安全事件時，可能會不知所措。而通過數(shù)據(jù)安全事件應急演練，企業(yè)可以提前模擬數(shù)據(jù)安全事件發(fā)生時可能發(fā)生的各種情況，制定相應的應對策略，補足數(shù)據(jù)安全管理制度中存在的問題。在真正遇到問題時，企業(yè)就能迅速、有序地進行處理，最大限度地減少損失。

科技類出海企業(yè)可設置數(shù)據(jù)安全應急指揮團隊和應急工作小組，由指揮團隊整體統(tǒng)籌協(xié)調(diào)數(shù)據(jù)安全應急全局，由應急工作小組負責具體落實相關措施。此外，可根據(jù)企業(yè)情況，引入外部數(shù)據(jù)安全專家顧問，在數(shù)據(jù)安全事件發(fā)生時，第一時間提供為企業(yè)提供專業(yè)建議和技術支持。

另外，企業(yè)也可根據(jù)企業(yè)實際情況，制定數(shù)據(jù)安全事件標準化處理流程，打通預警與報告、快速響應、分級評估、問題上報和后續(xù)處置全流程，快速響應解決數(shù)據(jù)安全事件。

（四）數(shù)據(jù)出境認證、安全評估和標準合同

2022年年中，國家互聯(lián)網(wǎng)信息辦公室、全國信息安全標準化技術委員會秘書處公布了個人信息出境規(guī)則，包括《網(wǎng)絡安全標準實踐指南—個人信息跨境處理活動安全認證規(guī)范》《數(shù)據(jù)出境安全評估辦法》《個人信息出境標準合同辦法》等，為信息出境安全工作提供了具體指引。

科技企業(yè)在出海過程中，如存在數(shù)據(jù)出境的需求，應及時識別出境數(shù)據(jù)的類型，是否為不得出境的核心數(shù)據(jù)，是否包含個人信息與重要數(shù)據(jù)，根據(jù)出境數(shù)據(jù)類型判斷是否需要履行數(shù)據(jù)出境合規(guī)程序，包括數(shù)據(jù)出境認證、安全評估或者簽訂數(shù)據(jù)出境標準合同等。

在履行數(shù)據(jù)出境合規(guī)程序時，企業(yè)應評估向境外提供個人信息目的與方式是否合法、正當、必要，出境活動對個人權益的影響及安全風險以及企業(yè)能否在個人信息出境過程中采取合法、有效、且與風險程度相適當?shù)谋Ｗo措施。

另一方面，企業(yè)還應重點評估數(shù)據(jù)出境活動可能對國家安全、公共利益、個人或者組織合法權益帶來的風險。其中包括：對出境數(shù)據(jù)的規(guī)模、范圍、種類、敏感程度，數(shù)據(jù)出境可能對國家安全、公共利益、個人或者組織合法權益帶來的風險；境外接收方承諾承擔的責任義務，以及履行責任義務的管理和技術措施、能力等能否保障出境數(shù)據(jù)的安全；與境外接收方擬訂立的數(shù)據(jù)出境相關合同或者其他具有法律效力的文件等是否充分約定了數(shù)據(jù)安全保護責任義務；數(shù)據(jù)出境中和出境后遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等的風險；個人信息權益維護的渠道是否通暢等進行描述分析。

符合以通過訂立標準合同的方式向境外提供個人信息的信息處理者，應當在標準合同生效之日起10個工作日內(nèi)向所在地省級網(wǎng)信部門備案。值得注意的是，個人信息處理者不得采取數(shù)量拆分等手段，將依法應當通過出境安全評估的個人信息通過訂立標準合同的方式向境外提供。

為確保科技類企業(yè)數(shù)據(jù)出境的合規(guī)性與企業(yè)數(shù)據(jù)安全保護，事先明確和界定需要申報評估的數(shù)據(jù)范圍是至關重要的。通過明確的數(shù)據(jù)范圍界定，企業(yè)可以更好地管理和保護出境數(shù)據(jù)，降低潛在的數(shù)據(jù)安全風險。

參考資料：

董克；吳佳純；馬廷燦：《我國數(shù)據(jù)出境安全風險要素體系研究》，載《情報理論與實踐》2024年第1期

張紓婷：《數(shù)據(jù)安全在我國互聯(lián)網(wǎng)企業(yè)合規(guī)計劃中的構建》，載《特區(qū)經(jīng)濟》2024年第1期

謝登科：《網(wǎng)絡民營企業(yè)數(shù)據(jù)合規(guī)的風險防范與體系建設——以Z公司非法獲取計算機信息系統(tǒng)數(shù)據(jù)案為視角》，載《蘇州大學學報》2024年第1期

章佳：《面對數(shù)據(jù)隱私的挑戰(zhàn)，企業(yè)如何應對？》，載《中國對外貿(mào)易》2024年第1期

Verizon：《2023年數(shù)據(jù)泄露調(diào)查報告》

IBM：《2023年數(shù)據(jù)泄露報告》