前言：數據安全作為國家安全的重要組成部分，其重要性不言而喻。維護數據安全不僅是保障國家安全的必要條件，更是捍衛國家主權、守護國家長遠發展的關鍵因素。

近年來，隨著中國經濟實力的崛起，以及全球化進程的不斷深入，越來越多的中國企業開始放眼全球，尋求更為廣闊的發展空間，積極開拓國際市場。

對于科技類出海企業而言，數據跨境流動已成為企業進軍海外市場所面臨的一大重要合規挑戰。科技類出海企業在處理、存儲和傳輸數據時，不僅要嚴格遵守當地的法律法規，還要確保數據的隱私和安全，防止數據泄露和濫用。那么，科技類出海企業應如何履行數據安全保護義務呢？

數據安全事件多發，全球監管力度趨嚴

出海科技企業在網絡安全保護方面承擔著不可推卸的責任，應嚴格遵守相關法律法規保護數據安全。尤其在出海過程中，科技企業面臨不同地區、國家法律差異，以及來自全球的技術安全威脅，更要提高警惕，構建健全數據安全防護體系，切實維護企業與用戶數據安全。

國際方面，根據公開數據顯示2023年全球企業因違反《通用數據保護條例》（General Data Protection Regulation，簡稱GDPR）而被處以的罰款合計約21億歐元。其中，社交媒體平臺Facebook的母公司Meta被處以創紀錄的12億歐元罰款，被稱為天價罰單。

國內方面，隨著《中華人民共和國網絡安全法》《中華人民共和國個人信息保護法》《中華人民共和國數據安全法》等多部法律出臺，國家對于科技企業數據安全監管體系日趨成熟，有效督促與監管各科技企業盡快建立完善數據安全管理制度和技術保障措施。近期，各地公安局網安部門對多家不履行網絡安全保護義務的單位依法予以處罰。

科技類出海企業保護數據安全的重要性

（一）國防安全與數據主權

數字經濟正在成為重組全球要素資源、重塑全球經濟結構、改變全球競爭格局的關鍵力量。與此同時，數據的無序流動、泄露等問題給國家和社會安全帶來了潛在危害。我國作為世界數據資源大國之一，面臨的數據安全風險相較于其他國家也更為嚴峻，亟需建立健全數據跨境管理規則。如涉及基因數據、地理、氣象數據等戰略性敏感數據。

（二）品牌形象與用戶流失

近日，IBM最新發布的《2023年數據泄露報告》顯示，2023 年全球數據泄露的平均成本達到445萬美元，創下歷史新高。一旦企業發生數據泄露事件，用戶對企業的信任度會受到嚴重打擊，進而影響企業的品牌形象和聲譽。

（三）個人隱私數據泄露

數據泄露就像一個隱形炸彈，一旦引爆后果不堪設想，將對普通人的工作和生活都會產生直接而深遠的負面影響。詐騙分子可能會利用個人信息實施欺詐或敲詐勒索行為，為公眾財產安全帶來威脅。根據國內知名網絡安全公司奇安信集團監測的數據顯示，2022年3月到10月期間，超過950億條的中國境內機構數據在海外被非法交易，其中60%是公民個人信息。

科技類出海企業應當如何做

國外著名咨詢機構Verizon發布了《2023年數據泄露調查報告》（DBIR），對過去一年發生的16312起安全事件和大約5200起數據泄露事件進行分析，報告指出內部的各種違規行為更加頻繁，但83%數據泄露事件依然來自外部，且高達95%都是經濟利益驅動。

科技類出海企業如何構筑數據安全保護防火墻呢？

（一）數據安全技術

數據安全技術是保護數據安全的一把利刃，科技類出海企業需建立完善的信息安全防御體系，加強對外網安全防護、信息終端管理等工作。企業可使用數據庫加密存儲、傳輸，限制對隱私賬戶訪問權限、定期漏洞篩查等技術手段應對外部數據攻擊。

（二）企業內數據安全管理制度

科技類出海企業需要制定完善的信息安全管理制度，包括信息安全方針、組織結構、責任與義務、安全控制要求，以及明確用戶數據的保密等級、使用權限、存儲要求等，同時還需要建立用戶數據備份和恢復機制，以防出現數據損壞或丟失的情況。

此外，企業應持續加強信息安全教育和培訓，增強員工的信息安全意識，深化信息安全督查工作。

（三）數據安全事件應急演練

《網絡安全事件分級指南》中將網絡安全事件根據具體情形分為特別重大網絡安全事件、重大網絡安全事件、較大網絡安全事件、一般網絡安全事件。數據泄露或數據竊取，均體現在前述四種網絡安全事件中。

而在《個人信息出境標準合同辦法》規定，運營者在發生網絡安全事件時，應當及時啟動應急預案進行處置。按照《網絡安全事件分級指南》，屬于較大、重大或特別重大網絡安全事件的，應當于1小時內進行報告。

如果企業沒有進行過任何應急演練，當真正發生數據安全事件時，可能會不知所措。而通過數據安全事件應急演練，企業可以提前模擬數據安全事件發生時可能發生的各種情況，制定相應的應對策略，補足數據安全管理制度中存在的問題。在真正遇到問題時，企業就能迅速、有序地進行處理，最大限度地減少損失。

科技類出海企業可設置數據安全應急指揮團隊和應急工作小組，由指揮團隊整體統籌協調數據安全應急全局，由應急工作小組負責具體落實相關措施。此外，可根據企業情況，引入外部數據安全專家顧問，在數據安全事件發生時，第一時間提供為企業提供專業建議和技術支持。

另外，企業也可根據企業實際情況，制定數據安全事件標準化處理流程，打通預警與報告、快速響應、分級評估、問題上報和后續處置全流程，快速響應解決數據安全事件。

（四）數據出境認證、安全評估和標準合同

2022年年中，國家互聯網信息辦公室、全國信息安全標準化技術委員會秘書處公布了個人信息出境規則，包括《網絡安全標準實踐指南—個人信息跨境處理活動安全認證規范》《數據出境安全評估辦法》《個人信息出境標準合同辦法》等，為信息出境安全工作提供了具體指引。

科技企業在出海過程中，如存在數據出境的需求，應及時識別出境數據的類型，是否為不得出境的核心數據，是否包含個人信息與重要數據，根據出境數據類型判斷是否需要履行數據出境合規程序，包括數據出境認證、安全評估或者簽訂數據出境標準合同等。

在履行數據出境合規程序時，企業應評估向境外提供個人信息目的與方式是否合法、正當、必要，出境活動對個人權益的影響及安全風險以及企業能否在個人信息出境過程中采取合法、有效、且與風險程度相適當的保護措施。

另一方面，企業還應重點評估數據出境活動可能對國家安全、公共利益、個人或者組織合法權益帶來的風險。其中包括：對出境數據的規模、范圍、種類、敏感程度，數據出境可能對國家安全、公共利益、個人或者組織合法權益帶來的風險；境外接收方承諾承擔的責任義務，以及履行責任義務的管理和技術措施、能力等能否保障出境數據的安全；與境外接收方擬訂立的數據出境相關合同或者其他具有法律效力的文件等是否充分約定了數據安全保護責任義務；數據出境中和出境后遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等的風險；個人信息權益維護的渠道是否通暢等進行描述分析。

符合以通過訂立標準合同的方式向境外提供個人信息的信息處理者，應當在標準合同生效之日起10個工作日內向所在地省級網信部門備案。值得注意的是，個人信息處理者不得采取數量拆分等手段，將依法應當通過出境安全評估的個人信息通過訂立標準合同的方式向境外提供。

為確保科技類企業數據出境的合規性與企業數據安全保護，事先明確和界定需要申報評估的數據范圍是至關重要的。通過明確的數據范圍界定，企業可以更好地管理和保護出境數據，降低潛在的數據安全風險。

參考資料：

董克；吳佳純；馬廷燦：《我國數據出境安全風險要素體系研究》，載《情報理論與實踐》2024年第1期

張紓婷：《數據安全在我國互聯網企業合規計劃中的構建》，載《特區經濟》2024年第1期

謝登科：《網絡民營企業數據合規的風險防范與體系建設——以Z公司非法獲取計算機信息系統數據案為視角》，載《蘇州大學學報》2024年第1期

章佳：《面對數據隱私的挑戰，企業如何應對？》，載《中國對外貿易》2024年第1期

Verizon：《2023年數據泄露調查報告》

IBM：《2023年數據泄露報告》

科技類出海企業如何履行數據安全保護義務？（科技類出海企業如何履行數據安全保護義務的職責）