张文韬 王洪珑 吴少辉
摘 要:自2016年欧盟颁布《一般数据保护条例》以来,各国相继制定了不同的数据跨境法律条例,这对跨国企业的生产经营产生了深远影响。现有研究多从政府政策制定角度进行分析,对于企业自身在数据跨境方面所面临的变革,尚未有深入的研究。从数字安全的产业角度出发,系统分析金融、医疗、互联网和智能汽车四大数据跨境场景,据此深入探讨数据跨境的未来发展,为数字安全产业的发展方向提供指导。
关键词:数据跨境;数字安全;企业战略;安全审计;数字经济
中图分类号:F204 文献标识码:A DOI:10.19881/j.cnki.1006-3676.2024.01.08
21世纪以来,随着移动互联网的普及和企业数字化转型的加速,全球数据量呈现爆炸式增长。[1]企业和政府逐渐认识到大数据的巨大价值,大量企业开始使用海量数据来分析用户行为、改进生产流程、进行营销模式与商业创新。数据作为数字经济时代最典型的生产要素,其安全保障已成为各个组织和企业面临的重大挑战。世界各国政府及组织纷纷根据其隐私安全、数据主权、地缘政治和贸易模式,制定法律政策保障规范数据跨境行为。美国联邦贸易委员会制定了数据收集和使用的隐私框架[2],并对政府组织访问个人数据进行了严格限制[3]。欧盟为平衡内部各国数据保护水平的差异,也制定了相关法律[4],禁止将数据传输至未经认证的国家或地区,并实施了更为严格的个人数据访问限制法规[5]。我国也相继颁布了《中华人民共和国网络安全法》《中华人民共和国数据安全法》以及《中华人民共和国个人信息保护法》,建立了以重要数据本地化为指导,以个人信息出境评估、认证和签约为实践路径的数据跨境法律体系。
过去由于数据分析技术不足和多边主义下国际贸易自由发展等因素的影响,数字安全未得到充分重视,数字安全产业存在发展空间。然而,自2008年以来,国际贸易和金融往来普遍降温,单边主义和贸易保护主义再次盛行,国际主要经济体间失去了互信(如2013年“棱镜门”事件)。[6]但同时,国际企业产生的跨国数据的体量仍然保持高速增长。企业和组织对数据的普遍需求与数据安全未得到充分保障的矛盾开始显现。2016年,欧盟通过的《一般数据保护条例》(General Data Protection Regulation,简称GDPR)开启了政府组织参与跨境数据制度制定的新篇章,标志着数字安全产业迎来了蓬勃发展的新机遇。
数字安全在规范化、协同化和高度技术化方面的特性决定了绝大多数企业难以自行构建完备的数据保护系统,因此它们必然需要专业数字安全企业的协助。随着数据安全逐步受到各国政府的重视,各国出台的差异化法律[7]又給数字安全产业带来了新的不确定性,使得所有跨国企业面临出境数据申报处理的难题。可以预见,数字安全产业即将在数据数量指数增长、环境政策复杂多变以及行业竞争加剧的状况下发生演变,成为以数字安全为核心,涵盖监察、咨询等众多领域的庞大产业。
当前,世界各国跨境数据政策缺乏统一标准,而中国的数字安全产业集中度明显低于其他软件细分产业[8],数字安全产业发展机会巨大。迅速探索出一套科学、高效的数据跨境监管与保障模式,对我国企业跨境发展、抢占未来国际跨境数据话语权有重要意义。[9]当前已有研究主要从政府政策制定的角度出发,聚焦于各国制定的差异化数据跨境法律,缺少从产业角度分析数据跨境影响的研究。为填补这一研究空白,文章从各国信息保护法广泛关注的金融、医疗、互联网和智能汽车等典型数据跨境应用场景出发,深入分析了数据跨境给数字安全产业带来的挑战与机遇,同时分析了基于会计审计策略的数据安全监管体系的重要意义和未来发展方向。
一、数据跨境典型场景与发展机遇
2011年6月,麦肯锡全球研究院(MGI)发布的报告《大数据:创新、竞争和生产力的下一个前沿》指出,全球化正在进入一个由数据流定义的新时代,数据流成为传递信息、思想和创新的关键媒介。数字平台的崛起创造了更高效、更透明的全球市场,数字通信和交易的边际成本接近于零,为大规模开展跨境业务开辟了新的可能性。[10]在经济全球化与数字经济蓬勃发展的今天,跨境数据在全球化贸易交流中变得愈发不可或缺。
然而,大数据技术的发展和跨境数据量的增加,使得数据背后的信息更容易被分析和挖掘,数据跨境行为逐渐对国家和个人信息安全构成了威胁。随着国家拥有的数据规模及对数据的利用能力成为综合国力的重要组成部分,数据外流可能引发国防军事等安全领域信息泄露,同时会损害本国数字产业的发展。因此,各国政府纷纷制定法律政策来限制数据跨境流动,以保护本国安全。[11]
由于数据跨境的定义十分宽泛,通常将其理解为“数据从一法域被转移至另一法域的行为”或“跨越国界对存储在计算机中的机器可读数据进行处理”[12],如果对数据跨境进行限制,将会影响整个跨境数据流程,从而波及所有涉及跨境业务的国内外企业。
(一)数据跨境的典型场景汇总
全球化贸易的特点是优化全球范围内生产要素的分配,因此数据跨境现象普遍存在。沈玉良等认为数据跨境在跨境电子商务领域以及全球贸易中必不可少。[13]在经济全球化时代,无论是在世界各地设有采购、研发、生产、储存或服务中心的跨国集团,还是与境外实体有业务往来的本土企业,或是在境外上市的企业,都存在数据出境的需求。
明确跨境数据来源,对重要数据跨境场景进行分析,对数据跨境安全管理与保障有着重要的意义。《中华人民共和国个人信息保护法》第二十八条对敏感个人信息进行了补充说明,即敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。麦肯锡的《大数据:创新、竞争和生产力的下一个前沿》报告还指出,在大数据时代,医疗健康、公共部门管理、零售、制造业和个人定位数据将经历革命性发展。这说明涉及生物识别、医疗健康的医疗产业以及与金融账户相关的金融产业在数据跨境分析中的重要性。作为信息传播的重要载体,互联网产业同样值得关注。此外,近年兴起的智能汽车产业也将产生大量关于个人定位与行为的数据。
1.企业内部管理和外部经营数据
跨国集团的内部管理必然涉及对跨境数据需求的处理。总部需要对分布在各国的下属机构的经营数据进行集中管理,而下属机构也需要访问总部和其他子机构的数据。这导致跨国集团在管理过程中会频繁涉及数据跨境操作。表1列举了常见的数据跨境场景。
企业在外部经营中也存在大量数据跨境需求。例如,采购境外企业的产品时会涉及供应商信息和采购商品信息,在海外销售时会涉及企业营销和售后服务信息,而这些都与数据的跨境传输有关(见表2)。
2.金融产业的数据跨境场景分析
金融数据的跨境流动在产品定价、风险管理、渠道管理和客户服务等方面都有所体现。然而,由于金融数据规模大且具有高度敏感性,一旦泄露将对个人隐私、企业权益和国家安全造成冲击。[14]中国自2003年4月《人民币银行结算账户管理办法》颁布开始对金融行业的账户信息管理工作进行立法,并在2011年1月颁布的《关于银行业金融机构做好个人金融信息保护工作的通知》中首次使用了“个人金融信息”的表述。[15]下面是本文整理的部分中国金融行业的数据跨境要求。
2011年至2013年期间,中国相继出台了《关于银行业金融机构做好个人金融信息保护工作的通知》(以下简称“《通知》”)、《保险公司开业验收指引》(以下简称“《指引》”)和《征信业管理条例》(以下简称“《条例》”)。其中《通知》指出,在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行;《指引》规定,业务数据、财务数据等重要数据应存放在中国境内,具有独立的数据存储设备以及相应的安全防护和异地备份措施;《条例》明确,征信机构在中国境内采集的信息的整理、保存和加工,应当在中国境内进行。
2020年2月,《个人金融信息保护技术规范》(JR/T0171—2020)(以下简称“《规范》”)发布。《规范》指出,因业务需要,确需向境外机构提供个人金融信息的,具体要求如下:应符合国家法律法规及行业主管部门有关规定;应获得个人金融信息主体明示同意;应依据国家、行业有关部门制定的办法与标准开展个人金融信息出境安全评估,确保境外机构数据安全保护能力达到国家、行业有关部门与金融业机构的安全要求;应与境外机构通过签订协议、现场核查等方式,明确并监督境外机构有效履行个人金融信息保密、数据删除、案件协查等职责义务。《规范》提出了个人金融信息跨境的四个要点,即业务合规、客户知情、通过认证和签订协议。
本文从银行、保险、投资和支付四个角度简单总结了金融领域可能涉及数据跨境的場景(见图1)。
3.医疗产业的数据跨境场景分析
随着医疗大数据产业进入高速发展阶段,跨境医疗会诊、国际临床试验等医疗数据跨境场景逐步拓展。医疗数据具有总量大、来源广、敏感性高、实时性强等特征[16],因此医疗数据跨境的重要性不容忽视。从数据所有者角度来看,可能存在以下数据跨境类别(见图2)。
其一,制药公司和研究机构掌握的药品研发数据,包括临床研究数据和药品成分结构等。
其二,医疗机构掌握的临床数据,包括患者的电子病历信息、医学影像数据、处方信息和基因遗传信息等。
其三,医疗机构和患者掌握的医疗付款和理赔数据、患者行为数据等,包括医疗服务价格、诊疗结果、医疗保险信息以及体外诊断产品使用数据等。
其四,各国政府与世界卫生组织等掌握的药物及流行病监测数据,包括药品安全数据和流行病学调查数据等。
4.互联网产业的数据跨境场景分析
互联网企业是个人数据的主要收集者,也是个人数据跨境的主要承载者。本文将涉及数据跨境的互联网企业分为四类:社交媒体平台、电子商务平台、云计算服务提供商和通信服务提供商。具体而言:
其一,社交媒体平台涉及用户分享的文本、照片和视频等内容。这些平台承载着用户间的社交互动,会收集和存储用户的相关信息,并生成多媒体数据。
其二,电子商务平台涉及用户购买数据及个人账户信息。这些平台会记录用户的购物行为和个人信息,以提供个性化的服务和推荐。
其三,云计算服务提供商会存储和处理客户主动上传至云端的数据,可能包含照片、视频等媒体信息,以及个人或组织的文档、应用数据等,并为其提供云端计算和存储服务。
其四,通信服务提供商能够收集用户的实时通讯和网络浏览数据等信息,并且处理用户的通信数据,包括电话、短信和网络使用记录等内容。
可见,一旦互联网产业发生数据泄露,将对个人隐私安全造成极大威胁,同时也会影响企业的信息安全,最终对国家安全构成威胁。
5. 智能汽车产业的数据跨境场景分析
新兴的智能汽车行业同样面临跨境数据安全的挑战。根据2021年10月发布的《汽车采集数据处理安全指南》,汽车采集的数据主要包括车外数据、座舱数据、运行数据和位置轨迹数据[17]:
其一,车外数据是指通过摄像头、雷达等传感器,从汽车外部环境采集的关于道路、建筑、地形、交通参与者等对象的数据,以及对其进行加工后产生的数据。车外数据可能包含人脸、车牌等个人信息,以及车流量、物流等法律法规标准所规定的重要内容。
其二,座舱数据是指通过摄像头、红外传感器、指纹传感器、麦克风等传感器从汽车座舱采集的数据,以及对其进行加工后产生的数据。座舱数据可能包含驾驶员和乘员的人脸、声纹、指纹、心律等敏感个人信息。
其三,运行数据是指通过车速传感器、温度传感器、轴转速传感器、压力传感器等仪器,从动力系统、底盘系统、车身系统、舒适系统等电子电气系统采集的数据,包含整车控制数据、运行状态数据、系统工作参数、操控记录数据等。
其四,位置轨迹数据是指基于卫星定位、通信网络等各种方式获取的汽车定位和途经路径相关的数据。
在2021年8月至10月期间,中国相继发布了数个与汽车数据安全相关的规定:
2021年8月,《汽车数据安全管理若干规定(试行)》颁布,其提出车内处理原则、默认不收集原则、精度范围适用原则和脱敏处理原则。2021年9月出台的《工业和信息化部关于加强车联网网络安全和数据安全工作的通知》提出,智能网联汽车生产和车联网服务平台运营企业应当进行数据出境安全评估,并向所在省(区、市)通信管理局、工业和信息化主管部门报备。2021年10月发布的《汽车采集数据处理安全指南》(TC260-001)规定,汽车不应通过网络向外传输座舱数据,车外数据、座舱数据、位置轨迹数据不应出境,汽车制造商应向主管监管部门提供技术手段,用于对数据出境情况进行抽查,包括传输的数据格式和便于读取的数据展示方式等。[17]
随着我国新能源汽车出口量的快速增长,必将有更多境外汽车数据被传送回国。因此,如何应对汽车数据安全审查,并赢得当地消费者的信任,将成为所有车企共同面对的难题。
(二)数据跨境的机遇与挑战
数据跨境为数据安全带来了新的不确定性。其限制重要数据出口的举措无疑会在短期内影响跨国企业的运作,并对现有数据安全体系造成冲击。然而,这种变化也可能为数字安全产业带来新的商机。面对数据跨境变局的机遇与挑战,数字安全企业可以做好充足准备以应对冲击,通过加强技术预见,抓住可能出现的新商机。
1.数据跨境的价值与机遇
数据跨境本身具有独特的价值,在全球范围内促进了广泛的信息流通,使全球市场更加透明。沈国兵和袁征宇指出,在全球贸易背景下,科技创新鼓励了区域间要素流动。[18]施炳展和李建桐認为互联网的普及促进了企业参与专业化分工,优化了地区商业信用环境,降低了企业的合约成本。[19]企业可以根据收集到的需求数据来优化供应链和物流管理,在不同地区布局仓库、生产线、售后服务中心和研发中心。收集到的消费者数据还可以帮助企业了解消费者需求和偏好,进行细分市场的营销,提高市场销量和企业收入。[20]此外数据跨境给高校、企业和研究机构带来了更多的研究素材,促进了研究方向和成果在世界范围内快速扩散,使跨国协作的创新成为可能。
数字跨境的价值决定了其存在的必要性,而数据跨境的必要性和难度的增加则为提供数据跨境服务的企业带来了发展机遇。通过合理布局数字跨境领域,鼓励和引导数字安全企业加强有助于数据跨境的技术研究,我国能在数字安全领域获得优势。[21]当前,个人信息已不局限于传统的静态信息,如姓名和年龄,还包括如浏览记录、位置信息等隐含个人特征的动态信息。[22]在传统的数字跨境理念中,跨国企业和组织仅需考虑如何广泛地收集数据、安全地传输和储存数据,并尽可能从数据中提取价值。为保障数据安全,跨国企业委托数字安全企业搭建防火墙,保护企业数据免受攻击和泄露的威胁。
然而,新时代的数字跨境理念更加关注个人隐私和国家安全的保护。跨国企业若想将收集到的数据传送到境外的数据中心或机构,必须经过国家安全认证。进一步设想,国家要求企业按需合理收集数据,并对企业收集的数据进行审查。考虑到数据跨境的即时性和频繁性,企业无法对每次跨境数据都进行申报,国家也难以随时监管企业跨境数据的合法性。因此,未来必然存在能持续性地监管企业跨境传输数据的独立机构,通过建立监管体系,全程跟踪数据的收集与使用。在企业数据跨境需求量不断增加和国家监管不断强化的双重作用下,新的数据安全审计行业正在萌芽。
2.数据跨境的困难与挑战
自2016年欧盟《一般数据保护条例》颁布以来,各国根据隐私安全、数据主权、地缘政治、贸易模式等因素,制定的多层次、多类型、不断演进的数据跨境法律政策,成为数据跨境面临的主要障碍。数据主权归属问题导致跨国企业需要同时遵守不同国家的相关法律,但往往由于规则冲突而导致数据跨境难,阻碍了全球数据流通。美国对于其国内数据采取以信息保护为名的限制策略,如2018年颁布的《外国投资风险评估现代化法案》,明确加强对战略关键性技术、关键设施以及涉及美国公民的敏感数据的保护,限制国外资本对掌握这些数据的本土企业进行投资。[23]而对于其他国家的数据,则倡导数据自由,如2020年修订的美墨加协定(USMCA)中第19章第2条,鼓励信息贸易带来的经济增长,避免在数据使用中建立非必要的信息壁垒。[24]美国为帮助本国互联网企业在世界范围内扩张鼓吹数据自由,同时又以安全为名对他国企业获取本国数据设置数据壁垒。这种对数据跨境的复杂态度说明了各国相关法律的矛盾性。同时,数据跨境法律规则不断变化,进一步增加了跨国企业设计数据收集传输体系、申报跨境数据认证的难度。企业在变化的数据跨境环境中面临许多困难和挑战,如管理经营效率降低、无法同时满足数据出口国和进口国的数据跨境法律要求、与国际组织谈判受阻等,致使数据跨境难题的解决遥遥无期。
对于数字安全企业而言,若不能同时获得数据出口国和进口国的认可,它可能面临海外业务锐减的风险,而有数据跨境需求的客户则可能被迫更换其他提供服务的公司。此外,随着数据跨境审计业务的出现,传统的咨询审计企业可能会拓展其涉及数据跨境的业务,以争夺数字安全企业市场份额。
事实上,近年来一些传统的咨询审计企业逐步加深同数字安全企业的合作,大有拓展网络安全、数据安全审计业务的趋势。例如,2019年5月8日,德勤中国与中兴通讯签署战略合作协议,并在人力资源、财税、网络安全等几个重点领域展开了针对性的主题交流。2021年,两家企业携手发布《数据跨境合规治理实践白皮书》。[12]同样,普华永道(中国)在2019年11月7日与华为签订战略合作协议,双方将在云规划、数字数据安全、云服务安全认证等多个领域开展战略合作,共同打造数字化审计解决方案。2023年5月,普华永道(中国)与奇安信科技集团股份有限公司联合撰写《数据跨境合规白皮书》。《数据跨境合规白皮书》指出,在全球化背景下,企业数据跨境传输可能面临的风险包括法律合规和监管风险、网络安全风险、操作风险、业务连续性风险等,并建议从建立数据安全管理的组织和资源保障体系,实施持续的合规监测、跟踪与改进,针对数据跨境合规与个人信息及隐私保护合规问题建立培训机制等三方面入手,以应对数据跨境传输带来的风险。[25]
可以看出,德勤与普华永道(中国)都关注到数据跨境这一场景,并在数字化、数据安全领域同数字安全企业展开合作。对于已经在审计领域深耕多年、同众多企业建立紧密合作关系、得到国际社会认可的咨询审计企业,如果能得到数字安全企业的支持并拓展数字安全审计业务,它们有可能成为数字安全企业的有力竞争对手。
(三)数据跨境对数字安全产业的改变
政府作为对数据跨境的主体,对数据跨境形势有重要影响。企业对数据跨境有迫切需要,也是数据安全企业服务的对象。了解政府和企业在数据跨境中扮演的角色,分析他们对跨境数据新的需求,有助于指导数字安全企业在数据跨境变局中做出相应改变。
1. 政府的数据监管需求对数字安全产业的影响
由于数字跨境领域目前缺失国际法,各国政府为争夺数字跨境话语权并保障自身数据主权,迅速制定了法律政策来限制和约束敏感数据的出境。然而,数据跨境的高频率和必要性[26]使得政府不可能禁止或推迟数据跨境,也无法对各家企业的跨境数据进行实时监管。因此,政府需要第三方机构协助其控制数据跨境。正是国家对保障数据主权的需求,推动了跨境数据监管行业的发展。
从政府的角度来看,数字安全企业需要转变其使命,从仅为客户提供数字安全服务的企业,转变为协助政府进行监管的第三方安全审计公司。
2. 企业的数据安全需求对数字安全产业的影响
企业作为数据的收集者和使用者,一直以来都对保障自身数据和网络的安全有着迫切的需求。多数企业已通过购买产品和服务的方式建立了自身的数字安全体系。然而,随着各国数据跨境法律政策的出台,不同国家对数据主权的管辖范围出现重合和冲突,原本自由的数据跨境变得异常艰难。因此,企业需要第三方机构对跨境数据的安全性和必要性进行认证,以确保数据跨境的连贯和高效。同时,企业作为跨境数据监督认证服务的购买者,将成为数字安全企业从事跨境审计业务的主要客户。
从企业的角度来看,数字安全企业仍需保障客户的数字安全,并拓展其进行数据安全审查和认证的能力,为企业数据跨境申请提供帮助。
二、基于会计审计策略,构建数据安全监管体系
判断当今数字安全产业的发展方向可以从18世纪会计审计行业的发展历程中汲取启示。自1609年世界上第一个能进行股票交易的证券交易所在荷兰阿姆斯特丹成立,投资公司成为股东,从公司发展中获益的理财方式开始进入大众视野。然而,小股东在企业中缺乏经营权,并且与大股东和实际控制人之间存在信息不对称,导致小股东的权益难以得到充分保障。18世纪初发生的三起金融泡沫事件让政府意识到金融市场过热和企业经营情况不透明带来的巨大隐患。在18世纪南海泡沫事件中,英国国会秘密委员会聘请了查尔斯·斯奈尔(Charles Snell)作为第三方独立会计师,对南海公司进行财务审计。这是第三方独立会计师首次登上历史舞台。独立会计师的介入成功减少了企业欺诈的风险,为会计审计产业的发展揭开了序幕。及至今日,审计部门的作用已远远超越了提供财务保证的传统职能范围。[27]
21世纪的数字产业与18世纪会计审计产业具有相似的特征,具体表现为数据安全情况仅企业可知、数据量庞大且收集处理常态化,国家面临着掌握数据的内容及使用情况的难题(见表3)。近期,为保障国家和个人的数据安全,我国政府开始着手培育第三方数据安全审计企业。2023年5月23日,国家发布了《信息安全技术 网络安全审计产品技术规范》(GB/T 20945—2023)。其中,对“安全审计”的定义为“对网络、信息系统及其组件的记录與活动的独立评审和考察,以测试系统控制的充分程度,确保对于既定安全策略和运行规程的符合性,发现安全违规,并在控制、安全策略和过程三方面提出改进建议”;对“网络安全审计产品”的定义是“采集网络、信息系统及其组件的记录与活动数据,并对这些数据进行存储和分析,以实现事件追溯、发现安全违规或异常的产品”。[28]与2013年的第二版《信息安全技术 信息系统安全审计产品技术要求和测试评价方法》(GB/T20945—2013)中对安全审计的定义“对事件进行记录和分析,并针对特定事件采取相应比较的动作”[29]相比,新版标准在原有基础上增加了评审、考察、测试等字样,审计意味更加浓厚,也反映出国家对网络安全审计的定位已从企业职能转变为第三方独立审计产品。
(一)基于会计审计策略,解决政府跨境数据监管难题
在会计审计产业中,政府之所以委派第三方会计师事务所进行财务审计,而不直接对公司进行财务审查,主要有如下三个原因:
其一,第三方审计机构独立于被审计公司和政府,利于确保审计过程的客观性和公正性。
其二,政府自行对企业进行审计需要雇佣大量专业审计人员,监管成本高。将会计审计工作委托给第三方审计机构能把监管成本转移至企业,创造新的消费。
其三,第三方会计师事务所采用国际标准进行财务审计,更易获得国际认可和跨国公司的青睐,有助于国际经济合作和获得投资。
在数据安全审计领域,政府同样因考虑客观公正性、转移监管成本和国际认可度等,倾向于将数据审计工作委托给数字安全企业。此外,与会计审计工作更多依赖个人能力不同,数字安全审计更依赖技术形成产品[30],并由软件主导数据审计工作,远程实施审计监督,降低受审企业成本。因此,通过数字安全企业承担审计监管责任、保障受审企业的数据安全,对解决政府直接进行跨境数据监管会遇到的难题,具有重要的现实意义。
(二)基于会计审计策略,解决企业自建数据安全体系风险
传统的网络安全审计仅作为一项服务提供给购买数字安全产品的企业,以保护企业不被外部恶意攻击。正是因为将数字安全审计视为一项服务,许多企业会将其内化为自身单位数字安全部门的职能,自行建立数据库防火墙,以降低成本或减少数据使用带来的可能风险。然而,这种网络安全审计体系的设计并未充分考虑到企业主动泄密的风险,已经无法满足各国数据跨境的新法律和新政策的要求。在各国数据跨境政策趋于收紧的背景下,任何一家企业都不可能同时承担数据持有者和数据认证者的双重身份,因此,数据认证审计工作必然需要由第三方独立数字安全企业来承担。
三、数据安全审计体系的发展方向
尽管数字安全审计产业的具体形态和责任仍不明确,但随着数据安全的重要性不断增加、各国政府和企业之间的互信程度降低,数字安全审计产业的发展已经势在必行。随着跨境数据的不断增长和对数据安全需求的不断提升,未来将出现三个主要的数据安全审计阶段,即跨境数据安全审计阶段、全面数据安全审计阶段以及基于人工智能的数据隐身阶段(见表4)。
(一)跨境数据安全审计阶段
在当今各国数据跨境法律体系逐步建立的跨境数据安全审计阶段,数据安全审计体系正处于发展初期,大规模企业内部的数据安全风险尚未普遍出现。在这一阶段,跨境数据安全审计要求企业提供跨境数据案例,对企业数据跨境安全体系进行认证,并要求企业与海外接受或使用跨境数据的组织签订合同。
跨境数据安全审计阶段下的数据监管主要呈现出静态和不连贯的特征。这是对现有的数字安全体系的温和改革,对企业内部操作的规范性持信任态度,对数据安全审计的需求相对较低。在这一阶段,数字安全企业的主要任务是协助企业构建数据安全体系,在企业进行安全认证和签订合同时提供建议和支持。
与传统的数字安全产业相比,跨境数据安全审计阶段的数据安全体系仅在原有体系基础上引入了跨境数据审批和数字安全认证环节。政府对企业数据跨境提供的更多是提醒,而监管方面相对较弱,难以阻止企业有意地向境外泄露数据。在这一阶段,跨境数据安全问题尚未得到解决,各国政府与企业之间的互信机制难以建立。
(二)全面数据安全审计阶段
不同于跨境数据安全审计阶段,全面数据安全审计阶段拓展了数据的“审计”范畴,不再局限于仅对跨境数据进行审计监管。在全面数据安全审计阶段,审计方会针对数据的收集、储存、处理、传输和删除,进行全方位、成体系、全生命周期的监管,这大大提升了数据安全和跨境数据的保障能力。
从跨境数据安全审计阶段迈入全面数据安全审计阶段后,政府需要主动意识到企业内部的数据安全风险,或在数据泄露事故暴露内部风险后提升对数据安全的监管要求。全面数据安全审计阶段的特点为数字安全企业进军数据安全审计产业提供了重要的战略机遇。相较于跨境数据安全审计阶段,全面数据安全审计阶段的数字安全企业不再仅限于提供防火墙、传输加密算法等模块化嵌入式服务,而是深入渗透企业数据的全生命周期,从数据收集时就进行数据识别和脱敏,直到数据删除为止,构建起完整的数据使用和监管体系。此时,为了确保数据安全,数字安全企业可能在重新构建的数据使用体系中,或在数字脱敏、数据加密等方面采取更严格的权限措施。虽然在短时期内可能需要增加员工培训成本和系统并行的成本,但从长远来看,企业在更换全流程数据安全体系后将符合国家数据出境标准,实现数据的自由进出,同时拥有更强大的数据协同能力,有效保障企业数据的安全。
(三)基于人工智能的数据隐身阶段
在全面数据安全审计阶段,无论是数据脱敏或数据加密,本质均是对隐私数据进行掩盖,或让操作员接触加密转换后的数据,数据本身仍有泄露的可能。通过让企业在使用数据信息时不接触到原始数据,即“数据隐身”来实现数据跨境的安全保障、减少企业内部泄露重要数据的可能性,是未来数据跨境安全的重要发展方向。
DeepMind、OpenAI等人工智能推出的大语言模型(Large Language Model,简称LLM)为数据跨境安全提供了重要工具。大模型出现之后,企业可以通过训练小而精的人工智能数据模型,高效准确地在不接触数据的前提下获取需要的结果,实现“数据隐身”的效果。這种方式极大地节省了需要传输的数据量,节约大量时间成本,同时最大化降低数据跨境中可能存在的数据安全风险。
四、结语
随着各国在数据跨境领域立法的推进,关于企业如何实现数据自由跨境以及国家如何保障数据安全等问题引起了广泛关注。本文基于金融、医疗、互联网以及智能汽车等典型应用场景,探讨了如何构建数据安全监管体系,并阐述了会计审计策略在解决政府跨境数据监管难题、解决企业自建数据安全体系风险等方面的重要意义。同时,基于上述理论,本文分析了数据安全审计三个重要发展阶段:跨境数据安全审计阶段、全面数据安全审计阶段和基于人工智能的数据隐身阶段各自的特征和发展进程。本研究对于全球数字化社会的可持续发展、企业数据跨境安全的保护以及国家数据安全等方面都具有重要的理论和实践指导意义。
参考文献:
[1] 孟小峰,慈祥.大数据管理:概念、技术与挑战[J].计算机研究与发展,2013,50(1):146-169.
[2] FTC. Protecting consumer privacy in an Era of rapid change: recommendations for businesses and policymakers[EB/OL].(2012-03)[2023-11-21].https://www.ftc.gov/reports/protecting-consumer-privacy-era-rapid-change-recommendations-businesses-policymakers.
[3] SOLOVE D J,SCHWARTZ P M. Privacy law fundamentals[M]. New Hampshire:International Association of Privacy Professionals,2011.
[4] Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data[J]. Official journal of the European Communities,1995,38:31-50.
[5] FRANCESCA B. European versus American liberty: a comparative privacy analysis of antiterrorism data-mining[J]. Boston College law review,2007,48(3):609-698.
[6] 冯登国,张敏,李昊.大数据安全与隐私保护[J].计算机学报,2014,37(1):246-258.
[7] 刘芳芳.数据跨境流通三重阻滞因素与中国因应[J].价格理论与实践,2023(3):69-73,134.
[8] 李骄阳,沈泽.“数字经济”来临,安防领域信息安全发展现状与挑战[J].中国安防,2021(6):58-62.
[9] 陈思,马其家.数据跨境流动监管协调的中国路径[J].中国流通经济,2022,36(9):116-126.
[10] MANYIKA J,CHUI M,BROWN B,et al. Big Data:the next frontier for innovation,competition,and productivity[EB/OL]. (2011-05-01)[2023-11-21]. https://www.mckinsey.com/capabilities/mckinsey-digital/our-insights/big-data-the-next-frontier-for-innovation.
[11] 翁国民,宋丽.数据跨境传输的法律规制[J].浙江大学学报(人文社会科学版),2020,50(2):38-53.
[12] 德勤,中兴通讯.数据跨境合规治理实践白皮书(2021)[EB/OL]. (2021-12-02)[2023-10-21]. https://www2.deloitte.com/content/dam/Deloitte/cn/Documents/risk/deloitte-cn-risk-data-cross-border-white-paper-211202.pdf.
[13] 沈玉良,彭羽,高疆,等.是数字贸易规则,还是数字经济规则?新一代贸易规则的中国取向[J].管理世界,2022,38(8):67-83.
[14] 黄现清.数字贸易背景下我国数据跨境流动监管规则的构建路径[J].西南金融,2021(8):74-84.
[15] 朱芸阳.个人金融信息保护的逻辑与规则展开[J].环球法律评论,2021,43(6):56-73.
[16] 何晶晶,张心宇.中国健康医疗数据跨境流动规制探析[J].国际法研究,2022(6):62-74.
[17] 全国信息安全标准化技术委员会. 汽车采集数据处理安全指南(TC260-001)[EB/OL].(2021-10-08)[2023-11-21]. https://www.tc260.org.cn/file/jswj01.pdf.
[18] 国兵,袁征宇.互联网化、创新保护与中国企业出口产品质量提升[J].世界经济,2020,43(11):127-151.
[19] 施炳展,李建桐.互联网是否促进了分工:来自中国制造业企业的证据[J].管理世界,2020,36(4):130-149.
[20] 李瑞琴,王立勇.数字技术革命促进中国制造业出口贸易高质量发展的机制、挑战和对策[J].国际贸易,2022(11):11-18.
[21] 李万,邹芸.数字技术与数字经济:从无尽前沿到创新策源[J].科技智囊,2023(9):12-23.
[22] 郭雪慧.人工智能时代的个人信息安全挑战与应对[J].浙江大学学报(人文社会科学版),2021,51(5):157-169.
[23] 李睿晶.美对华限制技术转移措施的影响及其应对[J].科技智囊,2023(7):32-38.
[24] Office of the United States Trade Representative. Agreement between the United States of America,the United Mexican States,and Canada 7/1/20 Text[EB/OL]. (2020-07-01)[2023-11-24]. https://ustr.gov/trade-agreements/free-trade-agreements/united-states-mexico-canada-agreement/agreement-between.
[25] 普华永道,奇安信.数据跨境合规白皮书[R/OL].(2023-05-11)[2023-10-21].https://www.pwccn.com/zh/issues-based/data-cross-border-compliance-white-paper-may2023.pdf.
[26] 樊博,贺春华,白晋宇.突发公共事件背景下的数字治理平台因何失灵:“技术应用—韧性赋能”的分析框架[J].公共管理学报,2023,20(2):140-150,175.
[27] MICHELLE B,ROBYN P,DAVID G. Public sector audit history in Britain and Australia[J]. Financial accountability & management,2018,34(1):64-76.
[28] 全國信息安全标准化技术委员会.信息安全技术 网络安全审计产品技术规范(GB/T 20945-2023)[S].北京:中国标准出版社,2023:1-2.
[29] 全國信息安全标准化技术委员会.信息安全技术 信息系统安全审计产品技术要求和测试评价方法(GB/T20945—2013)[S].北京:中国标准出版社,2013:1.
[30] GOUTAM R K. Importance of cyber security[J]. International journal of computer applications,2015,111(7):14-17.
Research on the Digital Security Industry of Cross-border Data: Scenario Analysis and Future Development
Zhang Wentao Wang Honglong Wu Shaohui
(School of Management,Harbin Institute of Technology,Heilongjiang,Harbin,150000)
Abstract:Since the implementation of the General Data Protection Regulation (GDPR) by the European Union (EU) in 2016,various countries have enacted different data cross-border regulations,which have had profound impacts on the operation of multinational corporations. Existing researches have mainly focused on analyzing on policy formulation of government,with limited in-depth studies on the changes faced by enterprises themselves in the context of cross-border data. To fill this research gap,it is necessary to conduct a systematic analysis of the four major data cross-border scenarios:finance,healthcare,internet,and smart cars,from the perspective of the digital security industry. Furthermore,exploring the future development of cross-border activities and providing guidance for the development direction of the digital security industry.
Key words:Cross-border data transfer;Digital security;Corporate strategy;Security audit;Digital economy