总体国家安全观下的企业数据安全研究

梅 傲 李梓鸿

（西南政法大学争端解决国际竞争力研究中心 重庆 401120）

1 引言

当前，世界正面临百年未有之大变局，我国国家安全内涵和外延比历史上任何时候都要丰富，时空领域比历史上任何时候都要宽广，内外因素比历史上任何时候都要复杂。在此背景下，习近平总书记在2014年4月15日中共中央国家安全委员会第一次全体会议上首次提出“总体国家安全观”。这一新的国家安全理念统筹包括政治安全、国土安全、经济安全在内的十六要素，形成统一的国家安全体系[1]。

数据作为一种新的生产要素，对于国家推进产业革命，争夺国际话语权具有重要意义，对于企业而言，数据也是竞争力的保证。结合总体国家安全观要求，应当将企业数据分为纯粹商业性数据和公共安全性数据两种[2]。前者是指会计数据、金融数据等企业内部经营数据，后者是指企业所收集的用户信息、地理信息等。公共安全性数据的非法流动对国家总体安全威胁程度较高，例如，企业用户身份、消费、社交等信息经过分析可推测出党政工作人员的人际关系网络和消费、出行习惯。企业收集的地理信息会暴露国家重要军事设施、研究机关、党政机关所在区位。至于一些特殊企业所采集的生物信息更是会对国民健康造成重大影响。而企业内部经营数据也涉及国民经济运行指标，不可轻易由其他国家掌握。在总体国家安全观下，企业数据安全不单纯归属于经济安全范畴，企业数据安全隐患也在挑动国家整体安全的神经。特别是在现今国际局势不明朗，美国等西方资本主义国家进一步对中国进行打压的态势下，企业所掌握的核心数据一旦泄露，将对我国军事安全、政治安全造成实质威胁。因此，企业数据治理困境已成为影响我国国家安全的不稳定因子，有必要在总体国家安全观视域下对现有企业数据安全治理体系予以重新审视，立足现实，积极探寻现行企业数据安全治理机制的症结所在，展望未来，多维度措施并举完善企业数据安全常态化治理机制，提升我国国家安全领域整体治理水平。

2 总体国家安全观下企业数据安全保护的困境

2021年7月4日，滴滴出行（简称“滴滴”）在美上市后被紧急下架就是企业数据安全隐患引发国家安全隐忧的最好例证。滴滴通过其交通运输业务收集了大量公民个人身份信息，并且在2018年发生几起安全事故后，其在每一个终端上都开启了视频采集和录音功能，尽管这一举措能有效保证女性乘客安全，但采集到的数亿用户人脸、声音信息却在很大程度上为乘客创设了隐私泄露风险。同时，滴滴在拿到全国高精地图甲级测绘牌照后，采集了大量关系到社会安全的街景、地理坐标、道路建筑等重要数据。这些关键数据一旦被我国敌对势力所掌握，对总体国家安全将造成不小挑战。而根据美国《外国公司问责法案》的规定，滴滴在美上市必须提交审计底稿、地图、客户信息等敏感数据。滴滴作为关键信息基础设施相关运营者赶在《数据安全法》正式施行前在美的成功上市，一方面体现出企业自身国家安全观念欠缺。这在一定程度上与滴滴的股权架构有所关联，在滴滴赴美首次公开募股前，软银愿景基金持股比例是21.5%、Uber持股比例是12.8%。赴美上市既是滴滴长期性、战略性、商业化的考量，也是国外投资者的现实需要。另一方面也体现出国家对企业数据安全审查机制出现了瑕疵。相关机构对于企业涉及数据安全的投资选择缺乏敏感度，事前审查机制也未能有效反应。

滴滴事件后，字节跳动、喜马拉雅等国内一些互联网企业已经取消近期IPO计划。但暂缓“出海”并不意味着永久“搁浅”，鼓励“走出去”仍然是我国大方向战略，要对发展“第一要务”与安全“头等大事”进行总体性把握[3]。规避法律，逃脱审查以获取准入资格的行为在任何资本市场都不会受到欢迎。如何在坚守国家安全底线的同时，助力企业寻求进一步发展的机会才是企业数据安全保护机制所面临的困境所在。

3 总体国家安全观下企业数据安全领域的治理现状

我国对数据安全领域的治理由来已久，但一直未形成完整的规制体系。自总体国家安全观提出以来，有关网络安全、数据安全等方面的立法逐渐增多，多部门联合执法的统一行政监管体制也在逐步建立，并且在对外友好合作的过程中，企业数据跨境合规成为外交工作重点关注内容。

3.1 数据安全法律体系尚未完备

3.1.1 碎片化阶段

自1994年接入国际互联网，我国就开始对数据安全的重要性有所认识，不过当时国内对互联网的理解还停留在将其仅作为是一种新型技术工具的基础阶段。《计算机信息系统安全保护条例》（1944）和《计算机信息网络国际联网管理暂行规定》（1996）的相继出台拉开我国立法保护数据安全的序幕。进入21世纪，互联网的社会价值、商业价值被进一步开发，网购潮流掀起商业革命，企业建设网络基础设施、收集客户数据成为新趋势，互联网巨头阿里巴巴、京东等企业迎来快速发展期。各级政府部门通过制订《电信条例》（2000）、《互联网信息服务管理办法》（2000）等规定对数据治理进行细化。2010年后，数据安全的态势越发严峻，涉及个人隐私、国家安全的数据泄露事故频发，网络犯罪现象剧增。对此，我国立法机关相继出台《国家保密法》（2010）、《密码法》（2010）等法律法规规制数据安全治理乱象。但总体上，这一阶段对数据安全保护的立法呈现出碎片化、片面化、工具化的特点，尚无以数据保护为主要内容的基本法统领全局。相关法律法规也未将企业数据安全置于重要地位，如《关于股份有限公司境外募集股份及上市的特别规定》（1994）中要求企业在境外上市时要向国务院证券主管部门报批，但相关部门审查内容却未包括数据泄露风险等项目，而滴滴正是依据这一规定在美上市。

3.1.2 体系化阶段

2013年“棱镜门”事件爆发，前美国国家安全局工作人员斯诺登揭露美国政府对其他国家重要人物进行监听并通过技术手段窃取大量个人隐私信息和商业数据的行径，且微软、苹果、谷歌等在内的9家国际互联网巨头皆参与其中。国际上，许多国家将企业数据的有效保护上升到国家安全战略层面。我国在总体国家安全观的指引下也展开相应的战略部署，并通过系统化立法将数据安全贯穿各领域。经过几年的努力，我国已经形成以《国家安全法》（2015）为统领，以《网络安全法》（2017）、《数据安全法》（2021）为主体、以国务院各部门所颁布的《网络安全审查办法》（2020）、《网络产品安全漏洞管理办法》等规章为躯干的企业数据安全保障法律法规体系。在这一体系外围，《民法典》《出口管制法》《反不正当竞争法》等法律也对数据安全提出其所调整的法律关系所要求的内容。《刑法》第285条更是将企业非法爬虫获取数据行为纳入规制范围，并在“上海晟品有限公司、候某某等非法获取计算机系统数据案”中首次引用①北京市海淀区人民法院（2017）京0108刑初2384号刑事判决书。。此外，《反外国制裁法》（2021）也为我国应对其他国家的数据强权提供了法律对策。尽管已经相对完备，但要完全实现企业数据安全治理的“有法可依”还需进一步完善这一法律系统[4]。

3.2 联合保障企业数据安全的机构框架尚未完成搭建

2011年5月，中华人民共和国国家互联网信息办公室成立，并在2018年与中央网络安全和信息化委员会办公室一个机构两块牌子合署办公，列入中共中央直属机构序列，这标志着数据安全治理组织架构的核心机构诞生。根据《数据安全法》的规定，我国在企业数据安全领域已经形成层次分明、分工相对明确的交叉行政监管体制。在纵向上，中央国家安全领导机构负责处理涉及国家安全的企业数据安全监管工作，各地区政府部门负责监管本地区企业数据安全。在横向上，各行业、各部门负责监管本行业、本领域内企业数据安全。而公安机关、国家安全机关也在法定职责范围内承担相应的企业数据安全保障工作[5]。为更好地履行政府职能，提升网络安全、数据安全审查的效率，由中央网络安全和信息化委员会领导，国家互联网信息办公室会同工信部、财政部、中国人民银行等12个部门建立了国家网络安全审查工作机制。多重监管体制与独立审查机制相结合的行政制度构成保障企业数据安全的有力屏障，但这一制度内部职责还需要进一步细分，避免出现相互推诿、重复执法等降低行政效率的现象。

3.3 寻求构建数据安全保护的互助机制

为实现引进来与走出去战略并重，形成更加全面、深入的开放格局，我国积极与其他国家和地区签订自由贸易协定（FTA）以提升合作水平，而企业数据跨境安全也逐渐成为FTA中不可或缺的组成部分。目前，我国在与新加坡、韩国、澳大利亚所签订的FTA中就有关于电子商务的章节，在我国所参加的RCEP中也有关于保护电子商务用户个人信息、企业数据跨境安全的内容[6]。另外，我国也在积极寻求加入CPTPP和DEPA。根据CPTPP第14章的内容可知，CPTPP相比RCEP对数据跨境自由流动提出了更多的限制，给与缔约国更少采取必要措施的空间，在企业数据的跨境流动安全方面对缔约国提出了更高的制度保障要求。而DEPA更是全球第一个数字经济的规则安排，代表了数字经贸规则发展的新趋势，在数字贸易领域具有高标准的特点，其“数据问题”模块也规定有个人信息保护、通过电子手段进行的跨境数据流动、计算机设施的位置等直接关系到企业数据安全的内容。

从近些年来所签订的FTA和申请加入的国际贸易协定中可以看出，我国正在积极寻求加强与其他国家在数据安全领域的合作[7]，努力搭建互助机制，同时也在不断提升国内数据安全方面的治理水平以对接国际标准。但当前我国仅有的4个包含电子商务内容的FTA中，除RCEP外其余FTA仅原则性提及消费者信息保护，并未提出具体保护措施和违规处理方案，而我国对于如何实现数据市场开放与数据安全的总体平衡方面也未形成完整的规则体系，数据安全保护国际互助机制仍然处于低水平阶段。

4 总体国家安全观下企业数据安全的“内忧外患”

危害企业数据安全行为的性质可以分为商业性和公共性两种，前者主要是指企业之间出于争夺竞争优势目的而发生的非法爬取，后者主要表现为带有政府背景的恶意获取及黑客攻击等。而无法避免这些危害行为之根源在于内部保护体系存在缺陷及外部合规冲突的持续。

4.1 内忧：企业数据内部保护体系构建不完整

4.1.1 企业自身数据保护能力、保护意识欠缺

在总体国家安全观下，企业的数据安全治理工作不仅要满足其基本商业竞争需要还应当符合国家安全需求，这就要求企业应当具有更高的数据保护意识和能力[8]。但一方面正如滴滴事件所折射出的商业现状，国内许多大型企业都有外资背景，例如腾讯的背后大股东是南非报业，阿里巴巴的背后持股人是软银、雅虎等海外企业。这些企业在进行扩张的过程中会在一定程度上受其背后股东的影响，通过其所掌握的数据换取进入相关金融市场的准入许可，且就算企业本身不受外资控制，赴外上市所能带来的经济收益也让许多企业趋之若鹜，做出国家安全让步企业利益的决定。另一方面，建设存储数据基础设施的成本颇高。为防止日新月异的网络攻击手段，企业还需不断更新防御技术及提高数据安全人员的技术能力、变革传统数据安全治理架构等，这一系列措施对企业而言是极大的经济负担。因此许多企业出于经济性考量并不会将数据安全作为重要投入部门。这也在一定程度上使得企业自身的数据保护能力无法匹配国家安全的需要。

4.1.2 政府数据安全监管体制未系统化

企业数据本身具有商业性质，适当利用市场机制进行调节有利于数据产业的繁荣[9]，然而企业数据所包含的核心数据、关键数据等具有高度安全敏感性，要求政府更应当有所作为。《数据安全法》第6条针对数据安全治理特殊性设计出一套多层次交叉监管体制，但只是模糊规定由国家网信部门进行统筹协调和相关监管工作，并未明确各数据监管主体的职责范围。当下国内对企业数据安全的监管也未实现规范化、体系化，形成一套集监测、审查、评估、处置、备案的完整制度框架体系。政府监测方面，《网络安全法》第52条要求各级部门建立数据安全信息通报和监测预警制度。在实际履行过程中，企业进行数据报送时出现报送程序混乱、行政主体重复要求报送、报送数据后续安全无法保障等现象，使得数据监测工作效率降低[10]。政府审查、评估方面，尽管在滴滴事件后，国家互联网信息办公室进一步严格化、制度化企业赴外上市数据安全审查制度，对符合法律规定的关键基础设施境外上市实行多部门联合安全审查，但对于外资准入的数据安全风险评估、数据安全产品、等级保护认证等方面并未形成统一工作标准[11]。政府处置方面，《数据安全法》对各种数据违法行为设定了罚款额度，但对罚款主体的界定较为模糊，容易出现多部门管辖争议。

4.1.3 数据权属不明，争端加剧

淘宝诉美景不正当纠纷案中，法院一方面明确淘宝公司对涉案“生意参谋”数据享有财产性权益，另一方面又根据“物权法定原则”否定企业对数据产品享有所有权。“定分”才能“止争”，企业对其掌握的数据所享有的权利性质不明不利于数据纠纷实践中争议的平息。学界关于数据权属的观点主要有以下几种，第一种是将企业数据纳入知识产权体系中，将企业数据库当作是《著作权法》第14条所规定的汇编作品，或是《反不正当竞争法》第9条所规定的商业秘密。第二种是为企业数据独立设置财产权利[12]。但两种观点都存在理论逻辑上的难以自恰。首先，企业数据库只是对数据的大量汇集，其对数据的编排方式并不一定具有独创性，无法将其认定为传统的汇编作品。其次，商业秘密具有保密性、价值性和秘密性的特点，而企业数据由于其收集的方式公开化、价值评估的标准模糊化，因此并不能完全符合商业秘密三性要求。最后，若将企业数据独立作为私法权利关系客体，那么将面临财产权利与用户个人隐私权、其他数据控制者数据占有权等权利的冲突[13]。而新出台的《数据安全法》及其他政府相关规定也并未对企业数据权属做出界定，司法实践中更多是通过《反不正当竞争法》一般条款的扩张适用来解决这一问题，但终究是无法从根源上解决数据纠纷的核心矛盾。

另外，企业应当对纯粹商业性数据享有排他性财产权益的争议较小，对于公共安全性数据权利归属是则国家安全方面立法所要关注重点，然而相关法律法规也并未就企业对此类数据所享有的权益做出特殊规定。洛克认为“只要一个人使某种东西脱离自然所提供状态，那么他就已经给予了它劳动，在这上面赋予的他自己所有的某些东西，因此使它成为他的财产。”按照洛克的理论，企业只要对其收集的信息进行一定的加工活动，付出人力、财力成本，就应当赋予其数据财产权利，但仅通过一般的确权模式对这类数据权利归属进行划分不符合国家安全和社会安全保障的需求。

4.2 外患：规范冲突态势下企业数据泄露风险增加

4.2.1 合规风险下企业数据泄露

合规风险既包括双向合规风险、也包括规则适用风险。双向合规风险引发的数据泄露主要发生在企业赴外上市或投资等商业行为的事前审查过程中。企业为成功赴外，其对数据的收集、存储、处置须符合国内法律要求及获得目标国法律认可。各国经济发展程度、数据保护理念等存在差异，基于数据主权所作规定也有所不同，尽管在一定程度上，合规已经成为一些国家限制外资、维护本国企业的重要方式，但合规同样也是防止风险流入，维护国家安全的重要手段。以中美企业数据合规冲突为例，我国通过《国家安全法》第59条确立了国家安全审查制度，将外商投资、网络信息技术产品或服务等涉及国家安全的事项都纳入国家安全审查范围中，《数据安全法》第36条更是规定存储于中国境内的数据未经批准不得向外国司法或执法机构提供，而美国出台《澄清境外数据合法使用法》赋予美国政府机构直接调取本国企业存储在境外数据的权力。纵然苹果公司在贵州建立“云上贵州”平台用以存储其在中国境内所产生的经营数据符合准入中国数据市场的相关规定，但也面临合规冲突即在美方依据《澄清境外数据合法使用法》调取中国境内数据时，苹果公司是否应当提供。我国企业赴美上市面临合规冲突风险更甚，如前文所述滴滴事件中《外国公司问责法案》与《数据安全法》的碰撞，在这种情况下企业数据泄露的风险程度取决于企业的态度，但企业本质上的求利性使得对其做出利益让步数据安全选择的期待程度无法过高。规则适用风险则更多发生在企业经营过程中。2020年6月,欧盟依据GDPR对Tik Tok进行数据安全审查。同年8月，美国外国投资委员会依据其国内外资审查规定对2017年字节跳动收购Musical.ly一案进行调查[14]。特朗普政府也依据《国家紧急经济权力法》对Tik Tok和微信发布禁令，禁止其在美国的业务[15]。两次合规审查对字节跳动的美欧业务造成重大冲击，也对其所存储数据安全提出挑战。相比双向合规风险，规则适用风险对企业所造成的影响更甚，目标国对既存规则或新规则的适用具有自主性和不确定性，企业在境外更需审慎经营，一旦违规，目标国司法、执法机构对其经营数据的审查极易引发数据泄露危机。

4.2.2 非合规风险下企业数据泄露

市场风险及政治风险也是引发企业数据泄露的重要因子。2016年至2019年，美国剑桥分析公司通过对Face Book 6500万用户数据进行收集和分析从而定向发布新闻、精准投送广告、影响选民偏好[16]。数据的高价值让其在市场交易中也可成为炙手可热的商品，若企业在境外正常的市场经营活动中进行数据交易很可能陷入泄露数据的陷阱中。政治风险则更是数据安全的头号威胁，尤其是美国近些年出于政治考量对中国企业的围堵。从直接利用政府情报机构强大技术实力侵入企业计算机系统获取相关数据到通过政策限制企业正常经营活动以要挟企业提供关键信息，政治打压手段五花八门，企业对其数据安全的防御能力堪忧。

5 总体国家安全观下加强企业数据安全保障的措施

面对企业数据安全的“内忧外患”，国家应当结合总体国家安全观和网络安全命运共同体理念，从立法、执法、外交层面对内进行制度改良，对外进行深度合作，实现对企业数据的有效治理。而企业也应当独善其身，承担社会责任，提高保卫能力。

5.1 国家层面：内外兼修

5.1.1 立法先行

（1）进一步厘清涉及企业数据安全基础概念。2017年12月8日，习近平总书记在中共中央政治局第二次集体学习时强调，“要制订数据资源确权、开放、流通、交易相关制度，完善数据产权保护制度”。实现对企业数据安全的全方位治理，数据确权是先决条件，而在确权前还需进行概念厘清。首先，立法机关应当就总体国家安全理念下的企业数据规制地域范围、行业范围进行界定，对核心数据、关键基础设施等关键词分行业进行详细解释，对不同类型、不同流向、不同领域的企业数据根据国家安全敏感度实行分级分类管理[17]。其次，赋予企业对其数据所享有的权利不能简单照搬财产权、知识产权等现有法定权利，应当根据企业数据所特有的属性独立设置数据运营权。在这一权利架构内，允许企业对数据享有占有、使用、收益、处分权能，但通过建构强制许可、强制公开等制度规范其权利行使，并根据国家安全、社会福利、市场竞争秩序维护等公共利益的需要对运营权属范围进行限制[18]。最后，划分数据主体、数据控制者、数据处理者、数据监管者等不同主体的权限范畴，保证各类权利的独立安全运行，特别加强对个人隐私、公共事务数据、国家秘密的保护。

（2）完善规范数据流动法律武器，加强针对性立法。跨境数据治理领域，欧盟通过GDPR进一步扩大其法律的域外效力，美国基于其数据优势地位不断推动数据跨境自由流动国际规则的订立，且进行政治性差别对待。我国可以借鉴欧盟立法模式，并在数据主权的基础上结合我国企业实力现状制订数据跨境规则，将数据流动目标国具有完善数据保护制度及做出保护承诺、数据处理者采取充分保护措施作为通过数据跨境流动审核的条件[19]。另外，进一步细化数据跨境事前审查和事后登记备案规则，扩大安全审查范围，规范企业数据报送程序及管理部门职责。同时，加强针对性立法，对于限制数据流通、通过政治制裁获取本国企业数据的行为进行对等规制，以法为矛采取反制措施，合理扩展“长臂管辖”跨境规则。

数据国内流动治理领域，为保证数据的高效流通，应当采取柔和性保护模式，用列举负面清单的方式预防和阻却数据安全违法行为。在对禁止爬取的数据范围进行界定时，采取灵活性立法将数据来源、数据公开程度、爬取目的等因素纳入考量范畴[20]。并通过税收减免、数据强制公开等规定推动国内数据市场的统一和发展。

5.1.2 执法保驾

（1）完善数据安全执法体系，提升执法效率。一方面，在制度设计上，政府应当形成一套集监测、审查、评估、处置、备案的数据安全行政执法完整流程，尽量减少出现对企业数据违规漏管或错管的现象。同时，对流程内的各个环节所需制度安排进行设计。第一，在监测环节，建立企业主动报送和政府数据情报分析机制，规范数据报送程序、主管部门权限、报送数据存储安全责任划分。另外，市场监管部门与公安、国安部门构建联合工作平台合力对企业数据安全进行监测预警。第二，在审查、评估环节，对于不同类型、不同流向的数据，政府应当设置不同的审查程序和评估标准，同时设定工作期限，提升效率，并建立终身责任制，对违规审查、评估的工作人员进行问责。第三，在处置环节，执法部门应当在《数据安全法》的基础上对主管企业数据安全的行政机关范围进行进一步划分，并对处罚标准细化，对应受处罚行为构成要件详细规定。此外，结合《行政诉讼法》的规定，建立特殊听证制度以保证企业在有关数据安全行政执法中就专业性问题进行充分陈述，维护其合法权益。第四，在备案环节，政府无法付出巨大时间和经济成本就所有跨境数据进行审查，因此应当对这些跨境数据特别是需要实时传输或基于云服务的数据进行严格的备案制度，对企业在合规跨境数据中还夹带有重要数据的行为在发现后进行严肃处罚。

另一方面，在机构设置上，可以参考欧盟个人数据保护专员和个人数据保护官制度建设独立企业数据安全监管机构，就企业数据收集、处理、流通全过程进行监督，对用户隐私信息、涉及国家安全数据提供充分保护，并赋予该机构一定行政处罚权力，提升执法效率。

（2）推动建立企业数据安全行政保障机制

对中小型企业而言，建设独立数据安全监管部门和持续提升数据存储硬件水平的成本较高，许多企业只能负担起对其数据进行简单加密的防御措施。而大型企业虽然能够承受保障数据安全较高水准的开支，但在面对更高技术水平的情报机构或黑客时，也显得束手无策。对此，政府可以借鉴“信托”制度建立一些数据托管机构，以国家科技实力为依托保障企业所存储的核心数据安全。另外，为建成“数字中国”，各地区政府间应当减少数据流动壁垒，并整合数据资源，通过对大数据的分析，为本区域内中小企业找准市场定位，扶持本地区特色产业发展，推动乡村振兴战略实施。此外，政府还应当积极鼓励数据的本地化存储，并对升级数据安保措施的企业提供政策福利。最后，当国内企业在国外遭受的不公对待时，相关部门应当积极联系企业提供意见并与外国政府进行磋商，必要时寻求国际组织斡旋，争取国际舆论支持，对于企业因维护国家安全而遭受的损失可以给予适当补偿。

5.1.3 外交护航

（1）积极参加国际条约，维护数据主权。申请加入CPTPP和DEPA是我国在对外投资、跨境数字贸易治理等领域迈出的重要一步，尽管能否成为缔约国还需要经过重重关卡考验，但为符合准入资格而变革相关国内制度的过程也能在一定程度上提升我国企业数据安全领域的治理水平。俄罗斯通过制订《关于信息、信息技术和信息保护法》《俄罗斯联邦个人数据法》等法律法规体系搭建起其国内数据保护的严密制度结构，但带来的问题是其对于数据必须在俄罗斯境内进行存储和处理等强制性限制数据流动的规定使得跨国公司对俄罗斯的投资兴趣度大减，同时也让其他国家与俄罗斯有关数据跨境交流的国际条约的签订出现障碍[21]。这种“闭关锁国”政策限制了俄罗斯获得优质数据和信息的机会，进而阻碍了其国内数字贸易的发展，对GDP的增长带来负面影响，反而不利于俄罗斯的经济整体安全。

在总体国家安全观的指引下，我们不能因噎废食仅因存在国家安全风险而拒绝推动企业数据跨境流动，而是仍应当坚持“人类命运共同体”的发展格局，积极寻求加入更先进、更高标准，并且符合国内企业发展水平、充分保障数据主权的条约，这同时也是维护我国经济安全的要求。当前，欧盟的GDPR和美国、墨西哥、加拿大的USMCA为企业数据跨境流动安全国际协定提出了两种建构思路，GDPR更强调数据保护而USMCA则更强调数据自由流动，两者虽都是对数据安全和经济利益进行平衡后的结果，但有着不同的价值取向[22]。对我国而言，应当秉持宽严相济、合作共赢的理念，在充分借鉴众多协定之长的基础上形成符合本国利益要求的数字贸易谈判模板，掌握谈判主动权，展现大国担当。

（2）坚决抵抗数据霸权，构建新型“数据保护神盾”。“数据泄露”“国家安全”已经成为美国等西方资本主义国家打压我国科技企业的常用攻击借口。面对这种野蛮行径，我们既要以总体国家安全为根本，强硬抵抗数据霸权行为，也要行中庸之策，努力寻求建立企业数据安全国际治理机制。

一方面，可以借鉴美欧之间的“隐私盾”搭建起符合本国及合作伙伴方利益的“数据保护神盾”。《隐私盾协议》承继《安全港协议》的数据保护基本宗旨及总体思路，但在数据加工主体责任履行、行政权力限制、救济措施多样性、数据安全保护专门机构设置等方面做出了重大变革[23]。在构建“数据保护神盾”的过程中可参考“隐私盾”，规定政府必须书面声明数据监管范围、企业公开隐私政策，以及设立独立于国家安全机构的联合数据安全监察机关、争端解决专家组等。从立法、执法、司法三个维度建立起数据保护完整制度体系。

另一方面，为更有效规制政府情报机构的违规行为，还应当建立联合定期审查机制，监督和评估“神盾”缔约国履约情况和相关制度运行状况。此外，为提升企业维护所存储数据安全的能力，“神盾”缔约国还可以对在其境内的数据存储基础设施的建设和运行提供税收、安保等政策支持。最后，各国还可以设立联合基金会资助企业提高抵御黑客攻击的技术能力。

5.2 企业层面：内外合规

5.2.1 内优其身

企业首先应当提高国家安全、数据安全意识，积极承担社会责任，加强对员工特别是重要岗位人员思想政治教育和法律教育。其次，建立完备的数据安全监管规章制度，配备专业化数据安全管理部门。同时加强培训，提升技术人员安全技术水平，防止因员工失误操作导致数据泄露事件发生。再次，加大数据安全投资力度，不断升级存储信息基础设施，持续完善和更新技术防范措施，定期进行数据安全隐患排查处置工作。最后，跨国企业还可以购买数据泄露险、网络安全责任险等保险产品以在保险合同条件成就后于保险责任范围内抵消企业因保险事故而增加的成本，分散因数据纠纷所引发的投资风险，保障企业的正常运营，提高企业抗压能力[24]。

5.2.2 外规其行

面对各国愈发严格的数据安全保护法规，合规已经成为企业的重要竞争力之一。对于企业而言，认真履行法律责任是其基本生存之道，这要求企业积极配合相关部门进行数据报送、对外投资安全审查、数据流通登记备案等工作，如实提交数据信息。赴外投资或上市的企业还应当设立专门针对跨境经营目标国的法务部门，仔细研究当地基本贸易法律、数据保护要求、政策导向、对本国企业的歧性规定等，并根据目标国法律规范调整经营行为。

此外，个人信息保护已成为立法重点，企业要保证利用合法途径收集用户信息，对本公司的隐私保护政策进一步细化，采用更加灵活的方式提醒用户注意涉及其信息安全的条款，在处理带有个人隐私的数据时采取严格脱敏措施，防止侵犯数据主体隐私权。

面对国内外规范冲突加剧的严峻形势，“撤美赴A”对有赴外IPO计划的企业而言是更优选择，欧盟由于其数据保护理念与我国较为接近也是相对理想的投资目标地。企业若是在境外正常经营过程中遭受政治性合规审查，并被要求交出用户数据、运营数据等对国家安全造成影响的数据时，有以下应对之策：首先，积极配合执法部门的其他执法行为，规避执法风险。其次，针对侵犯其合法权益的行为提起诉讼或其他救济措施。再次，在对双向违规成本进行考量并做出是否提交决定时，将公共利益作为重要考虑因素做出整体评估，不能唯利益论。最后，应当积极联系本国政府和使领馆，寻求通过外交途径解决，并与政府协商处理方案，对重要数据进行国内备案。对于严重影响国家安全的数据坚决不予提交，要善于运用国际舆论对目标国政府进行施压。

6 结语

瞰览现行开创数字化格局进程，数据资源在多维度场景的广泛运用使其价值上升为与土地、劳动等生产要素相并列的层面，成为新时代的“石油”，而企业数据因具有价值内涵与安全保障系数等级间的不匹配性亦使其成为引发国家安全隐忧的重要因素。因此，如何在总体国家安全观的视域下开展企业数据安全治理工作成为学术界和实务界关注的重点议题。我们要明晰企业数据治理困境，找寻现行企业数据安全保障机制的症结所在，以企业发展与国家安全之间的利益衡平理念为指引，探求因地制宜、因时制宜的企业数据安全良法善治路径。具体应从不同层级采取多元措施的角度出发，在国家总体治理层面，丰富法律资源，完善执法体系，寻求国际共治；企业自治层面，优化内部保障机制，规范外部市场行为，以求从根本上解决企业数据治理所面临的现实问题。