近年來，數據作為新型生產要素展現出巨大的資源潛能和經濟價值，數據跨境流動合規治理問題引發了越來越多的關注。2024年3月22日，國家互聯網信息辦公室公布《促進和規范數據跨境流動規定》（以下簡稱《規定》），針對新形勢下保障數據安全、維護個人信息權益，促進數據依法有序自由流動的現實需求，對數據跨境活動作出了明確指引，優化完善了現有數據跨境標準和程序。《規定》的出臺順應了我國數字經濟高質量發展的趨勢，適應了我國保障數據主權、維護國家安全的需要，體現了我國對數據跨境活動合法有序開展的重視。

商業數據是日益數字化的全球經濟的核心，商業數據跨境流動被描述為“21世紀全球化的標志”和“維系全球經濟的結締組織”。商業數據跨境流動是全球主要經濟體之間商業貿易和通信不可或缺的重要環節。在我國不斷加大對外開放的背景下，商業數據跨境流動成為繼續推動數字經濟發展的必然選擇。

然而，商業數據跨境流動在為各國帶來豐厚的經濟收益的同時，也引發了一系列問題，對各國的國家安全、公民隱私帶來負面影響。對此，各國相繼從戰略層面采取應對措施，通過出臺數據跨境流動的相關法律，積極促成雙邊或多邊協議等舉措，對商業數據跨境傳輸活動進行治理。2018年，歐盟通過《一般數據保護條例》（以下簡稱GDPR），明確了數據控制者和處理者在開展數據跨境活動時的責任和義務，為數據流動的安全監管確立了標準。

美國通過制定或參與雙邊、多邊協定的方式，如《跨大西洋數據隱私框架》《APEC跨境隱私規則》等，積極促成與第三國數據的跨境自由流動。我國通過《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）《中華人民共和國數據安全法》（以下簡稱《數據安全法》）《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）等基礎性法律以及各項行政法規，為企業商業數據跨境合規提供了指引。

隨著商業數據跨境流動的政策環境趨于復雜，各國政府紛紛主張數據主權、網絡主權，如何平衡數據安全與數據跨境自由流動，成為該領域面臨的關鍵問題。我國作為數據大國，構建系統完善的商業數據跨境流動合規治理體系，在保障數據安全、保護個人信息權益的基礎上促進商業數據有序自由流動，為企業做好商業數據跨境合規工作提供指引和保障，是當前需要關注的重點問題。

一、商業數據跨境流動合規的必要性分析

商業數據的重要性日益凸顯，各國間的數字貿易往來日趨頻繁，商業數據跨境流動在促進經濟增長的同時也存在一定的安全隱患。結合商業數據的內涵特征以及對外部環境的考量，強調商業數據跨境流動合規確有其必要性。

（一）商業數據的內涵與價值

商業數據是企業等商業主體在其生產經營活動中積累的以電子或者非電子形式存在的信息、資料，主要包括三個方面的要素內容：運營成本、戰略規劃以及用戶聯系信息。一般來說，企業用于市場營銷、運營、人力資源或者是銷售計劃的任何數據信息都可以被視為商業數據。需要注意的是，此類信息中很可能會包含用戶隱私信息或專有信息，企業應當采取有效的數據保護措施，做好數據合規工作，以防用戶信息泄露。

當前，數字技術得到了普遍的應用，從數據源來看，商業數據類型豐富，既包括企業在經營過程中收集而來的與個人緊密相關的個人數據，也包括不涉及自然人權益的非個人數據。數據的“可識別性”是區分個人數據以及非個人數據的標準。根據《個人信息保護法》的定義，個人數據是指以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種數據信息，不包括匿名化處理后的信息。非個人數據則是指無法識別出特定自然人的數據信息。

從企業的角度來看，非個人數據可以被分為兩大類別，一類是企業生產經營中產生的數據，比如企業財會數據、企業經營記錄、日常管理記錄等；另一類是企業對原始數據信息，通過深度分析過濾、提煉整合以及匿名化脫敏處理后獲得衍生數據，如搜索引擎記錄、用戶偏好數據、潛在用戶群等。

隨著商業數據市場價值的日益凸顯，商業數據成為企業的核心戰略資源，企業通過云計算、區塊鏈等前沿技術對數據進行深度開發和系統整合，形成具有經濟價值的數據產品，通過市場交易由此獲得可觀的經濟利益和商業價值。我國于2022年11月發布的《中華人民共和國反不正當競爭法（修訂草案征求意見稿）》中對商業數據作出定義，“本法所稱商業數據，是指經營者依法收集、具有商業價值并采取相應技術管理措施的數據”。

其中，“依法收集”要求經營者在收集數據，尤其是涉及個人隱私相關的數據信息時，必須依法、依規；而“具有商業價值”主要體現在經營者收集整合的數據可以為其帶來商業利益，帶來市場競爭優勢，可見，商業數據之所以受到保護主要在于其市場意義與經濟價值。

綜上，商業數據逐漸成為社會經濟發展中的關鍵要素。商業數據的內涵較為豐富，不僅包括商業信息還涉及與個人緊密相關的個人數據。因此，我國企業在進行商業數據跨境活動過程中要尤其注意依法依規，做好合規工作，防止關鍵核心數據泄露，避免侵犯用戶個人隱私，保障數據安全。

（二）商業數據跨境流動的不確定性

數據跨境流動（Transborder Data Flows）這一概念最早在經濟合作與發展組織（OECD）公布的《跨境數據流動宣言》中被作出解釋，即“計算機化的數據或者信息在國際層面的流動”。商業數據跨境流動意味著商業數據需要跨越地理邊界，且處于可以被獲取的狀態。商業數據跨境傳輸具有體量大、速度快的特征，具備不確定性和不可控性。在商業數據跨境流動的過程中往往涉及不同國家或地區的數據處理者，而不同國家或地區的數據保護程度要求高低不一，數據處理者的數據保護能力參差不齊，一定程度上加劇了數據的不當使用和數據泄露的風險。

結合前述分析可知，商業數據涉及商業信息、經營信息乃至用戶個人信息，單個數據可能價值有限，但一旦形成數據集合，便會產生巨大的經濟價值和社會價值，他人通過對商業數據集進行處理、分析便可以挖掘數據集合背后的經營信息，用戶信息等。企業如果未能恰當履行商業數據跨境合規義務，數據分析結果將可能被不當利用，企業甚至社會公眾的數據安全將由此受到威脅。商業數據的跨境流動在為企業帶來巨大商業利益的同時也存在著極大的不確定性，存在泄露侵犯個人隱私、危害國家安全的風險。

（三）商業數據跨境流動合規的社會責任要求

合規義務在設立之初是為了企業通過約束內部員工行為促使其依法依規行事，實現自我監督，從而減緩公眾對企業不信任的情況。從企業的角度探究合規，其本質在于企業通過建立合理的合規計劃，并保證計劃得到有效執行，以實現自我管理，避免承擔包括刑事訴訟、行政處罰在內的運營風險。與傳統公司合規治理體系相同，企業商業數據跨境合規也是一套旨在預防、識別和應對合規風險的自我監管機制，企業應當依據數據領域的特定風險，對商業數據的跨境處理行為進行有效規制，圍繞商業數據的合規管理構建數據保護、預防、監控等流程體系。

企業社會責任理論是企業約束自身行為，履行合規義務的重要依據。企業社會責任理論是指企業政策、運營和行為要充分考慮投資者、消費者、員工等利益相關各方的利益，強調企業不但要對股東負責，而且要對其他利益相關方負責。數字化背景下，生產組織活動呈現開放融合的特征，公共利益、社會訴求等因素被內化于企業的經營活動之中，成為企業的必要考量因素。

同時，數字技術的發展為企業履行社會責任提供了便利，數字技術具備較高的包容性和普惠性，即便企業處于創業初期，也可以借助數字技術，通過商業模式創新向社會釋放正外部性。企業是社會的重要組成部分，兼具經濟屬性及社會屬性，其數據處理行為將會對社會產生深刻影響。作為商業數據收集、處理、跨境運營的主體，企業在利用商業數據創造經濟價值的同時，理應積極承擔社會責任，保障公共利益、滿足社會訴求。因此，企業應當規范商業數據的收集和處理行為，遵守數據輸出國和輸入國的相關立法規定，保障商業數據安全合法合規地跨境流動。

二、商業數據跨境流動的主要規制模式

據聯合國貿易和發展會議的相關統計，在194個成員國中已經有137個國家或地區制定了數據與隱私保護相關立法，其中大多數包含跨境數據流動法律、法規或者相關政策規定。部分國家和地區已經具備較為成熟完善的立法體系，并對數據跨境流動的國際基本格局產生了影響。

（一）以數據保護為核心的歐盟規制模式

歐盟地區很早就注重對數據的保護，在數據跨境流動治理方面比較有代表性。歐盟早期較多關注個人數據的保護，數據跨境治理方面主要強調對個人數據的規制。隨著數字經濟的蓬勃發展，數據的經濟價值逐漸顯現，歐盟出臺了《非個人數據自由流動框架條例》《數據治理法案》《數據法案》等規范文件，彌補了非個人數據跨境監管的空白，形成了較為完整的數據跨境治理法律規范體系。

就數據傳輸而言，歐盟對于境內和境外采取了兩種不同的規制標準,即對內鼓勵數據的自由流動，對外則嚴格保證數據安全。在成員國內部，歐盟確立了禁止成員各國借數據保護的名義限制數據在歐盟境內自由流動的標準，但針對數據跨境卻作出了不同的規定，即禁止將數據轉移到歐盟以外的地理區域，除非該國家或地區能夠提供“充分”的數據保護。

對于個人數據的跨境流動，歐盟早在1981年就在《有關個人數據自動化處理的個人保護公約》中作出了規定，允許締約國之間自由傳輸數據，同時對締約方向非締約方傳輸數據作出限制，僅針對特殊類型的數據，且要求非締約方需提供同等保護。1995年歐盟《個人數據保護指令》（以下簡稱“95指令”）明確了個人數據的跨境自由流動僅限于歐盟成員國之間，而對于向第三國傳輸數據則作出了“充分性認定”的要求，即只有在第三國個人數據隱私的保護方面達到了足夠的保護水平，才允許將個人信息向該第三國傳遞。

此后，GDPR對“充分性認定”標準作了進一步明確。相較于95指令，GDPR對于“充分性認定”的評估增加了除國家外的特定區域及國際組織，但95指令所確立的規則繼續有效。在評估第三國或國際組織對個人數據的保護程度時，GDPR在第31條中提出了相關的考慮因素，包括對基本人權的保護程度，是否存在獨立且有效運作的監管機構，以及承擔有關個人數據保護的國家責任或國際承諾等。可見，歐盟以保障境內個人數據安全為基本出發點，對個人數據跨境傳輸采取較為保守的態度。

在非個人數據的跨境流動監管上，歐盟也采取了“內外有別”的監管模式。對于歐盟成員國內部，《非個人數據自由流動框架條例》要求非個人數據成員國之間自由流動，但數據向域外流動方面則主要通過《數據治理法案》和《數據法案》加以明確。《非個人數據自由流動條例》對歐盟成員國實施數據本地化措施作出了限制，旨在降低歐盟內部數據驅動型經濟的壁壘，促進非個人數據在歐盟境內的自由流動，以增強數據的可訪問性與再利用性。

2022年通過的《數據治理法案》以及《數據法案》彌補了歐盟非個人數據跨境監管的空白，均強調了歐盟內部數據的共享，而對于非個人數據向境外的傳輸，則表現出審慎的態度，通過擴張監管區域范圍、設定嚴苛的審查標準、設置多樣化的數據審核評估機構等形式，為數據的跨境流動設置了較高的壁壘。

（二）以自由貿易為主導的美國規制模式

與歐盟不同，美國采取以市場主導、行業自律的分散式立法，在數據跨境流動上更加看重數據自由流動和經濟利益, 通過促進數據跨境維護信息優勢，在與各國的貿易談判中積極主張加入數字跨境自由流動相關條款。2004年，美國推動構建了《APEC隱私保護框架》，該協議成為亞太地區首份有關跨境數據流動規制的法律指導文件。

《APEC隱私保護框架》強調數據的自由流動，如協議要求各個成員體應盡可能采取恰當、合理的方法和措施，最大程度地避免甚至消除數據流動阻礙。隨后，美國在美韓自由貿易協定以及TPP談判中也相繼加入了數據跨境條款。2019年，美國與墨西哥、加拿大簽訂了《美墨加協定》（USMCA），試圖進一步促進國際間的數據自由流動。

值得一提的是，即便在數據跨境問題上與歐盟有著不同的基本立場，美國依然積極與歐盟進行談判，實現數據的跨境互聯互通。鑒于歐美之間數據跨境流動的現實需求，美國與歐盟于2000年簽署了《安全港協議》，美國企業只需要向美國商務部證明滿足了歐盟要求的包括告知用戶數據使用目的等在內的七項原則即可進行數據跨境傳輸。

2016年，美國與歐盟簽訂了《隱私盾協議》，對美國的數據保護提出了更高的要求，美國需要設立數據監察專崗、建立歐美聯合審查機制等。2022年3月，美國與歐盟達成了《跨大西洋數據隱私框架》，對美歐之間的商業數據跨境傳輸進行了重構，為更好地促進跨大西洋的數據傳輸奠定了基礎。

三、我國商業數據跨境流動合規治理的潛在問題

我國在數據跨境流動規制領域起步較晚，在商業數據跨境治理方面仍面臨一些問題。一方面，我國現階段相關法律體系尚不完善，存在一些立法空白和交叉，不利于商業數據跨境合規治理工作的開展；另一方面，各國數據合規標準不斷提高，企業履行合規義務需要同時兼顧數據輸出國與輸入國的相關法律制度，當前我國企業的數據跨境合規意識與能力還有待加強，商業數據跨境合規治理仍存在不少難題。

（一）商業數據跨境流動的立法呈分散式

當前，我國出臺了眾多涉及商業數據跨境流動的規范性法律文件，主要包括數據跨境流動統籌立法和個人信息跨境流動專項立法兩大方面。數據跨境流動統籌立法強調確保國內數據的規范跨境，維護國家安全，要求企業將其在生產經營過程中產生的重要數據存儲在境內，確因業務需要跨境傳輸數據的，應當根據相關規定，進行風險預測與安全評估。

2017年6月，《網絡安全法》的實施將我國數據治理納入法治軌道時代，數據安全被納入到國家安全的范疇進行保護，其中第37條規定了關鍵信息基礎設施的運營者數據本地化要求，并明確因業務需求，需要向境外提供數據的，應當進行安全評估。

2021年9月，《數據安全法》作為數據安全領域內的專項立法在我國正式得以實施，對企業收集使用數據作出原則性要求，為我國企業域內數據合規提供指引。在數據跨境方面，該法采用了“參照”立法，即關鍵信息基礎設施的運營者在我國境內運營中收集和產生的重要數據的出境適用《網絡安全法》的規定。此后，我國陸續出臺了《網絡數據安全管理條例》《數據出境安全評估辦法》等，作為《網絡安全法》《數據安全法》以及《個人信息保護法》的補充，規定了數據處理者對外提供數據需要申報數據出境安全評估以及重點評估的具體情形，為規范數據跨境流動活動提供依據。

2024年3月，國家互聯網信息辦公室公布了《促進和規范數據跨境流動規定》，對數據出境安全評估、個人信息出境標準合同、個人信息保護認證等數據出境制度作出了優化調整，進一步完善了我國數據跨境治理機制。

個人信息跨境流動專項立法著眼于對本國公民個人隱私的保護。我國對個人信息跨境采取審慎的立法態度，作出立法限制，要求個人數據本地存儲和處理，出境則需要經過網信部門的出境安全評估。

2019年6月，國家網信辦發布了《個人信息出境安全評估辦法征求意見稿》，明確網絡運營者向境外提供其在中國境內運營中獲取的個人信息，需要申報個人信息出境安全評估，并就評估的流程和要求作出了較為詳盡的規定。

2021年11月，我國第一部個人信息專門性立法《個人信息保護法》正式實施，明確個人信息處理者向境外提供存儲于我國的個人信息需要事前報請主管機關批準，確因業務需要向境外提供個人信息的，應通過安全評估、經專業機構進行個人信息保護認證或簽訂標準合同。

2023年2月，國家網信辦公布《個人信息出境標準合同辦法》，根據該辦法，個人信息處理者向境外提供個人信息且未達到數據安全評估標準時，可以通過簽訂標準合同的方式實現個人信息出境。

上述法律法規的頒布實施，既表明我國的數據安全立法已進入快速發展階段，也為當前我國境內企業進行數據跨境流動合規建設提供了基本遵循。然而，我國目前的立法仍然呈現分散式、碎片化的特點，表現為針對同一個問題作出重復性規定，甚至出現對于同一問題在不同的法律文件中有著不同解決方案的情況，這可能導致概念混淆、執法標準不統一、企業合規標準不明確等諸多問題。

以數據出境安全評估為例，《個人信息和重要數據出境安全評估辦法(征求意見稿)》規定，安全評估的主體為網絡運營者，安全評估工作由國家網信部門統籌協調，行業主管或監管部門主要負責；而《數據出境安全評估辦法》規定安全評估主體為數據處理者，安全評估工作由國家網信部門負責。

商業數據和個人信息存有交叉重疊的部分，安全評估主體很難清晰判斷應當依據哪部法律文件確定安全評估負責機構。

此外，分散式立法特點使得相關法律制度并不明晰，企業尋求法律依據存在困難，這給企業開展商業數據跨境合規帶來了阻礙。例如，《個人信息保護法》中要求處理個人信息達到國家網信部門規定數量的個人信息處理者應當將在國內收集和產生的個人信息采取數據本地化措施，將數據存儲于境內，但現有立法尚未對信息數量要求作出細化規定，導致企業難以判斷其收集處理的數據是否可以跨境流動，不利于我國企業與境外接收方的數字貿易往來。

（二）各國規則未統一，企業雙向合規難

由于各國的經濟、技術發展水平不同，價值取向不一致等原因，各國在商業數據跨境流通相關立法上所反映的立法宗旨和保護目的存在較大差異。盡管目前不少國家都在積極簽訂雙邊或者多邊協議，促成數據跨境的自由流通，但仍無法實現規則上的統一，這給企業商業數據跨境合規帶來了較大的挑戰。企業在“走出去”的過程中，需要同時關注本國以及進口國的相關立法要求。

從我國商業數據跨境規制的相關立法來看，我國更注重在保障數據安全以及個人信息權益的基礎上，促進商業數據的依法有序自由流動。我國立法以確保數據主權為核心，強調國家對于商業數據跨境活動的合法規制。比如，我國要求特定類型的數據應當進行本地化存儲，確因業務需要向境外提供數據的，應當報請國家主管部門進行安全評估。同時，我國在保障數據主權，確保數據安全的前提下，也積極鼓勵商業數據的跨境自由流動，通過參與國際協商的形式讓渡一部分數據保護自主權，達成一致協議。

截至目前，我國已與26個國家和地區簽署了19個自貿協定,自貿伙伴覆蓋亞洲、大洋洲、拉丁美洲、歐洲和非洲，積極推動實施《區域全面經濟伙伴關系協定》（RCEP），持續推進加入《全面與進步跨太平洋伙伴關系協定》（CPTPP）和《數字經濟伙伴關系協定》（DEPA）。由此，我國確立了以保障數據主權、數據安全為核心，鼓勵數據依法有序自由跨境流動的規制模式。

企業在開展涉及商業數據跨境相關海外業務的過程中，不僅需要遵守“數據輸出國”的數據跨境相關法律要求，還需要遵循“數據輸入國”的數據跨境傳輸規則。目前，各國的數據跨境傳輸規則由于其基本立場的不同而存在差異甚至沖突，數據主權、國家安全問題上的爭議以及由此引發的在出口管制方面的調查等諸多復雜局面給企業合規工作帶來巨大壓力，企業商業數據跨境合規難度也隨之升級。

（三）跨境數據合規嚴，企業合規成本高

隨著世界對GDPR等數據保護法、數據跨境規則的執行，相關企業將因未履行或未有效履行數據合規義務而被處以高額的罰款。以歐盟GDPR為例，該項數據法案對數據控制者和處理者提出了較高的合規要求：將個人數據從歐盟移轉至其他國家或地區，需要滿足歐盟委員會確定的滿足“充分性保護水平”的要求；在缺乏GDPR規定條件的情況下，企業只有在提供適當的保障措施，且存在有效的數據主體法律保障的情況下，企業才可以向第三國提供數據。

此外，GDPR還規定，企業需要告知其客戶數據的使用方式、使用范圍以及使用對象，當發生個人數據泄露，并威脅客戶隱私時，企業需要在得知泄露事件后的72小時內通知客戶并報告。數據保護機構在綜合考量侵權行為的性質、嚴重程度、持續時間以及數據控制者、數據處理者所采取的技術以及管理措施的充分程度等因素，將罰款分為兩個層面，較低水平意味著最高可以處以1000萬歐元的行政罰款；較高水平則指最高可以處以上一財政年度全球營業總額2%的行政罰款。

為了規避高額數據的違規處罰，相關企業一般會主動開展數據合規工作，但此項工作對于企業來說也是一項高額的成本，且隨著商業數據的體量不斷擴大，企業必須定期重復審計過程以遵守公司政策和當地法律規定的合規要求，成本和工作量會隨著時間的推移而不斷增加。

（四）企業合規意識薄弱，數據跨境風險高

隨著數字技術的飛速發展，商業數據的價值不斷攀升，數據安全問題也逐漸暴露出來。從近年來發生的一系列數據泄露事件可以看出，企業面臨的數據安全風險呈多元化趨勢。現階段，企業在數據方面的合規意識還有待提升，數據安全的技術措施和組織保障需要進一步強化。

數據安全技術的不完善是企業數據泄露的一個重要因素，也是企業數據合規工作的重要突破點。根據《2022年數據泄露成本報告》，安全技術的短缺使得企業需要承擔巨額的數據泄露成本。研究表明，目前只有38％的企業表示其安全技術團隊有充足的人員配備，而這種技術差距將導致人員配備不足的企業的數據泄露成本比人員充足的安全技術團隊高出55萬美元。商業數據合規已成為企業開展合規工作至關重要的環節，構建完備的商業數據跨境合規管理體系、保障企業合法合規的開展商業數據跨境運營工作成為當務之急。

四、我國商業數據跨境流動合規治理的優化路徑

構建良好的商業數據跨境流動生態是政府和企業的共同目標，構建科學合理的商業數據跨境流動合規治理體系成為我國數據治理領域的重要議題。商業數據跨境合規不僅是企業履行保障信息安全這一社會責任的要求，更是企業走向世界，履行合規義務的職責所在。我國作為數據資源大國，應當積極參與全球數據治理，在商業數據跨境流動合規問題上貢獻中國方案。

（一）完善商業數據合規法律體系

針對我國企業商業數據跨境流動立法的問題，相關部門應當對現有立法進行梳理、整合，銜接好相關行政法規之間、行政法規與各行業主管部門出臺的部門規章之間的關系，統一基礎概念，刪除某些重復性規定，對不同類型的企業商業數據的處理情況進行清晰的劃定，使《數據出境安全評估辦法》《個人信息出境安全評估辦法》等下位法更好地與《網絡安全法》《數據安全法》《個人信息保護法》等上位法相互配合，為企業合規工作提供清晰明確的法律遵循。

具體而言，我國不同法律文件對數據出境安全評估的主體有“網絡運營者”“數據處理者”等不同的稱謂，且均未對其作出明確定義，不利于企業數據跨境合規工作的落實。

對此，可以參考域外做法，將“網絡運營者”細化為“數據處理者”以及“數據控制者”，進一步明確各自的權利與義務。例如，根據歐盟GDPR，“數據控制者” 是指那些決定（不論是單獨決定還是共同決定）個人數據處理目的與方式的自然人或法人、公共機構、規制機構或其他實體；“數據處理者”是指為了數據控制者而處理個人數據的自然人或法人、公共機構、規制機構或其他實體。

由于我國目前已經引入“標準合同”，并出臺了相應的辦法，監管部門可以根據不同的數據主體，結合不同的數據類型，適用不同的標準合同條款，以更有針對性地確保不同場景下，企業商業數據的安全跨境傳輸。

《網絡安全法》《個人信息保護法》等法律規范要求關鍵信息基礎設施的運營者在我國境內運營中收集和產生的個人信息和重要數據應當在境內存儲，因業務需要，確需向境外提供的，應當進行安全評估。但相關立法并沒有對關鍵信息基礎設施的范圍作出具體的界定，對于何種數據屬于重要數據也欠缺明確的劃分，這使得企業在處理商業數據跨境業務時，難以清晰定位從而采取適當的合規措施。

再者，此種“一刀切”的模式會無形中增加評估審核的工作負擔，不利于企業商業數據跨境自由流通。對此，可以采取數據分級分類管理的模式，依據不同行業典型數據類型以及應用場景不斷完善立法，對于企業商業數據中與隱私緊密相關的個人數據嚴格禁止跨境流動，對于不涉及自然人權益的非個人數據則允許在滿足安全管理要求的前提下有序跨境流動，管理形式除了安全評估外，還可以采用問責制、合同干預等。

（二）設立數據跨境監督機構

商業數據跨境流動引發的數據泄露、數據非法獲取等數據安全問題頻發，企業商業數據跨境合規工作的展開迫在眉睫。除了企業自身加強數據合規意識，主動展開合規工作外，監管機構的監督和管理也必不可少。通過對商業數據跨境涉及的網絡安全、數據安全等展開監管、執法活動，有利于敦促企業進行合規整改，完善現有合規體系，從而實現商業數據的合法有序跨境。

我國數據跨境監管呈現多頭監管的特點，數據監管職責分散在各個相關部門，尚未建立獨立專職的數據監管機構。以商業數據跨境的安全評估工作為例，相關立法規定，由國家網信部門統籌協調，具體工作由各行業主管部門或者監管部門負責。事實上，國家網信部門和各行業主管部門或監管部門之間并不存在直接的領導與被領導的關系，不同類型數據的跨境會涉及不同的行業、領域、主體，如果缺乏統一的最高數據監管機構，可能會出現政策不協調、管理效率低、管理效果差等問題。

在商業數據跨境監管上，可以適時在國家數據局下設立一個專門、獨立、權責明確的數據跨境監管內設機構 ，賦予其審核權、調查權、處罰權等權能，統籌負責國家層面的數據跨境監管工作。地方的數據跨境監管部門對國家數據局負責、并受其監督，統一履行數據監管職責，避免多頭執法、權責不明的問題，為商業數據跨境流動的監管提供切實保障。

商業數據跨境監管需要企業主動配合，可以在企業內部設置數據合規官，主要負責企業商業數據的合規監管工作。具體而言，數據合規官不僅要維護企業日常商業數據的安全，保證企業數據跨境操作行為合規，包括承擔數據處理中的審計職責，對企業內部員工進行合規培訓等，還要積極與監管機構達成合作，配合其數據監管工作的開展，同時與數據主體進行對接，掌握企業商業數據跨境合規的監管動向。

此外，企業應當重視數據信息安全技術的運用，聘用專門的安全技術團隊，從技術層面對企業商業數據跨境活動進行全流程的跟蹤監管，對企業商業數據安全隱患進行定期排查，將數據泄露的可能性降到最低。

（三）構建商業數據跨境流動綜合治理體系

針對企業數據合規意識較為薄弱，商業數據跨境風險高的問題，國家數據局可以聯合國家網信辦、工信部、公安機關等行政機構強化執法權，加大對企業數據違規處理行為的處罰力度。

雖然我國《數據安全法》針對未經安全評估違法向境外提供重要數據的行為，以及未經主管機關批準向外國司法或者執法機構提供數據的行為規定了分別向企業和直接責任人處以10萬—100萬，1萬—10萬不等的罰款，但相較于其他國家，處罰力度明顯偏低。相關主管部門應當依法、合理加大對企業商業數據跨境違規行為的處罰力度，提高企業商業數據違法跨境處理行為的罰金額度，增加企業違法成本，促進企業積極履行數據合規義務。

企業作為社會的重要成員之一，理應主動承擔起數據跨境安全保護義務，保障自身管轄范圍內的商業數據跨境安全，提高自身商業數據合規意識。對此，企業可以參考相應的法律法規的要求，構建企業內部制度規范，建立企業商業數據跨境合規體系。制度體系可采用分層的模式，內容上避免重復和矛盾。

一般可以分為四級，一級文件包含方針、策略等總的管理要求；二級文件包含企業商業數據跨境流動的具體管理制度和辦法；三級文件包含企業商業數據跨境各生命周期的操作流程、規范與具體操作指南，以便執行者理解；四級文件包含執行企業商業數據跨境管理制度產生的相應運行文件，包括表格、計劃、報告、工作日志等。

此外，第三方數據安全服務機構在企業商業數據跨境流動綜合治理體系中也發揮著重要作用。企業可以通過外包托管的方式將企業的數據安全監管工作交給第三方服務機構，開展針對性的企業數據安全運營、管理與技術服務，協助企業構建數據安全防范機制。數據跨境安全監管是一項技術復雜、風險高的工作，涉及資產信息、機密數據等敏感問題，相較于企業自建的數據安全監管部門，第三方數據安全服務機構往往擁有更為專業的技術實力、豐富的數據監管經驗，對數據安全問題和威脅有更為深入的了解，可以根據企業需求提供定制服務，節省企業自建數據監管體系的人力成本和技術投入。

（四）積極達成國際合作

為了打破不同國家及地區之間在數據跨境流動上的限制和壁壘，減輕企業商業數據跨境雙向合規的壓力，為企業合規工作提供標準化規范指南，實現全球數字貿易的自由化、便利化，各國應當積極達成合作，推動全球數據治理友好對話協商，促成統一數據治理國際規則，塑造共建共贏共享新格局。

一方面，我國應積極與其他國家和地區開展雙邊對話機制，在本國（地區）原有的數據治理制度基礎之上，秉承著彼此尊重、充分協商的原則，最大程度地形成國家間的共識，構建互惠共贏的商業數據跨境傳輸制度體系。

另一方面，隨著國家間的數據跨境傳輸活動日趨頻繁，國際間的合作必不可少，我國應當積極推動探索全球性的多邊協商，為形成全球統一的數據跨境流動法律框架貢獻中國智慧、提出中國方案。在“一帶一路”背景下，我國可以與沿線國家積極展開談判，踐行相互尊重、合作共贏的國際關系理念，在商業數據跨境流動這一爭議問題上與各方進一步達成共識，打破數字壁壘，深化數據互聯，積極拓展平等開放共贏的數字伙伴關系。

在數字經濟發展全球化的影響下，數據的收集、存儲、使用、傳輸等行為已經遍及全球，早已跨越了國家及地區的界限，這意味著，商業數據的跨境流動問題的解決需要依托于各國之間的合作與協商。各國應當積極溝通，爭取在商業數據跨境問題上達成共識，建立商業數據跨境流動的普適性規則，在保障商業數據安全的基礎上，促進數據的自由跨境流動，促進全球數字貿易的蓬勃發展。

結語

數字經濟時代下，大規模的數據跨境流動成為常態，商業數據跨境流動對我國對外貿易以及經濟發展具有重大意義。然而，由于網絡環境的復雜性與不可控性，各國對數據跨境流動問題持有不同的態度和立場，數據保護水平參差不齊。我國應當重視企業商業數據跨境合規工作，優化現有商業數據跨境流動合規治理路徑。

在國際層面，我國應積極與世界主要國家和地區就商業數據跨境問題開展雙邊或者多邊談判，在確保數據安全的基礎上盡可能促進數據跨境的自由流動，共同推動全球數字經濟蓬勃發展。在國內層面，我國應當完善現有數據跨境相關立法，為企業商業數據跨境合規提供更加系統、科學的法律指引。在數據跨境監管方面，應當構建企業自查自糾、第三方服務機構協助指導、國家數據主管部門統籌協調監管三位一體的組織格局。

來源：《行政管理改革雜志》