在數字經濟迅猛發(fā)展的今天，數據無疑已成為推動社會進步和助力經濟增長的核心要素。隨著中國企業(yè)在全球市場的跨境貿易活動愈發(fā)頻繁，數據跨境流動的需求也隨之激增。然而，這種大規(guī)模的數據流動不可避免地帶來了數據安全隱患，如何在數據的自由流動與國家安全之間找到平衡點，成為中國當前亟待解決的問題。盡管中國已經建立了完備的數據安全法律體系和監(jiān)管架構，但在實際操作層面，企業(yè)依然面臨著合規(guī)成本高昂、監(jiān)管要求與企業(yè)實際需求不匹配等難題。本文探討在嚴格保障數據安全的基礎上，如何有效降低企業(yè)合規(guī)成本，從而更充分地釋放數據跨境流動所蘊含的巨大經濟價值，為中國經濟的持續(xù)穩(wěn)健發(fā)展注入新的活力。

一、數據出境的背景與現狀

1.數據治理體系的演進。近年來，中國通過《網絡安全法》《數據安全法》和《個人信息保護法》建立了較為完備的數據出境監(jiān)管體系。根據《數據安全法》第三十一條，跨境數據流動主要由國家網信辦和國務院有關部門監(jiān)管。然而，盡管法律體系已然基本完備，在實際操作層面仍存在諸多挑戰(zhàn)，亟待解決。

2.企業(yè)與政府之間的訴求差異。在數據出境問題上，監(jiān)管部門以保障數據安全為首要任務，而企業(yè)則更注重業(yè)務開展的便利性和效率。因此，國家監(jiān)管部門的保障數據安全的使命與出海企業(yè)的數據流動訴求之間存在一定沖突。這種立場上的差異導致了雙方在實際操作中的矛盾，如監(jiān)管部門的要求與企業(yè)運營模式存在沖突、監(jiān)管規(guī)定與技術操作之間存在誤區(qū)、安全評估流程冗長繁瑣等，這些都增加了企業(yè)的合規(guī)成本。

二、現存問題的深入剖析

1.監(jiān)管部門與企業(yè)間的信息不對稱。關于企業(yè)數據出境問題，在實務操作中，監(jiān)管部門會先行評估數據出境的必要性，進而審核其合法性。然而，因對企業(yè)業(yè)務模式的深入了解有所欠缺，監(jiān)管部門與企業(yè)之間在“必要性”的判定上可能會出現偏差。以某外國酒店企業(yè)為例，該企業(yè)在華運營時，因其數據庫服務器位于海外，使得中國客戶在國內預訂酒店時亦產生數據出境的情形。監(jiān)管部門因判斷此類數據出境為“非必要”，故要求該企業(yè)在中國境內建立獨立的預訂系統(tǒng)。但值得注意的是，跨國酒店企業(yè)在海外經營時通常僅享有經營權而無產權。若遵循監(jiān)管部門的指示，企業(yè)將面臨極高的合規(guī)成本，甚至可能因此被迫退出市場。顯然，監(jiān)管部門對行業(yè)的了解不足，已對數據出境的實際操作構成影響，加大了企業(yè)在合規(guī)過程中的難度與成本負擔。

2.法律規(guī)定與技術操作之間的誤區(qū)。盡管相關法律對數據出境活動已經提出了清晰明確的規(guī)范性要求，然而，在實際的技術操作過程中卻顯露出諸多誤區(qū)。以敏感信息的處理為例，法律條文雖明確要求對其進行刪除，但并未提供詳盡的操作指南，這使得企業(yè)在面對物理刪除與邏輯刪除兩種選項時陷入兩難境地。物理刪除代表著數據的永久性、不可恢復性擦除；相較之下，邏輯刪除僅僅是讓數據在系統(tǒng)中呈現為不可見狀態(tài)，而數據本體依舊留存于系統(tǒng)內部。其中，徹底刪除敏感信息的作業(yè)往往涉及復雜的技術流程和操作，增加了企業(yè)的技術實施難度與成本支出。由于規(guī)定上的不確定性，企業(yè)在具體操作時常常感到無所適從，難以把握合規(guī)尺度。

此外，在數據出境環(huán)節(jié)中的用戶信息匿名化處理，同樣存在著技術操作上的誤區(qū)。理論上，當信息處理到無法與具體個人信息產生關聯(lián)的程度時，我們便可認定其達到了匿名化的標準。但現實情況是，匿名化技術目前尚缺乏一個統(tǒng)一、明確的國家標準，這使得企業(yè)在實施時難以找到準確的參考依據。同時，相關部門對匿名化技術的認證持有極為審慎的態(tài)度，進一步加劇了操作的復雜性。綜上所述，在法律規(guī)定與技術落實之間存在著明顯的落差。這些誤區(qū)不僅讓企業(yè)在合規(guī)工作中步履維艱，更在無形中大幅提升了合規(guī)的成本。

3.審核標準的模糊與流程的復雜。監(jiān)管部門審核標準的不明確性和審核流程的復雜性也顯著增加了企業(yè)的合規(guī)成本，對企業(yè)的數據出境效率造成了不利影響。在數據出境安全評估過程中，盡管監(jiān)管部門對“重要數據”與“一般數據”的審批流程有所區(qū)別，但兩類數據的具體界定標準卻模糊不清。這導致企業(yè)在對數據進行分類時，往往傾向于將存疑數據歸類為重要數據以提交審查，從而加大了監(jiān)管部門的審查工作量，同時也提升了企業(yè)自身的合規(guī)成本。

此外，根據《數據出境安全評估辦法》的相關規(guī)定，當企業(yè)計劃將涉及超過100萬人的個人信息數據傳輸出境時，必須履行安全評估申報義務。對于規(guī)模較大的公司而言，這一標準相對容易被觸發(fā)。且即便企業(yè)僅傳輸用戶已明確同意共享且符合個人信息保護規(guī)定的數據，也仍需按照要求進行安全評估申報，這無疑給企業(yè)帶來了額外的運營成本。

再者，網信辦所規(guī)定的安全評估審批流程要求企業(yè)在完成自我評估后，進一步提交相關材料以供正式的安全評估。審核流程的繁瑣性和審批周期的漫長性均給企業(yè)造成了不小的合規(guī)成本負擔，并可能影響企業(yè)及時把握市場機遇，從而制約其業(yè)務發(fā)展。面對此種狀況，部分企業(yè)或許會考慮通過非正式途徑進行數據轉移，以規(guī)避繁雜的審批流程，但此舉無疑增添了潛在風險。

三、針對性的優(yōu)化措施

1.加強監(jiān)管部門與企業(yè)的有效溝通。為了有效緩解監(jiān)管部門與企業(yè)之間存在的信息不對稱問題，建立一個健全的信息共享機制顯得至關重要。為了實現這一目標，監(jiān)管部門應積極采取措施，主動與企業(yè)攜手，共同構建穩(wěn)定且高效的信息交流橋梁。通過定期組織座談會、研討會或利用線上交流平臺，雙方可以圍繞數據出境的必要性、行業(yè)發(fā)展的最新趨勢以及合規(guī)面臨的挑戰(zhàn)等核心議題展開深入探討。這樣的交流不僅有助于監(jiān)管部門更深入地了解企業(yè)的真實需求和獨特的運營模式，從而確保所出臺的政策更加符合實際情況，更具操作性和針對性。

同時，企業(yè)也應承擔起相應的責任，主動向監(jiān)管部門提供詳盡的產業(yè)商業(yè)模式報告，幫助監(jiān)管部門更全面地掌握行業(yè)的整體狀況，為其在制定和執(zhí)行政策時提供有力的數據支撐。通過這樣的雙向信息交流，可以促進監(jiān)管部門與企業(yè)之間的良性互動，共同推動一個更加高效的數據出境管理環(huán)境的形成。

2.細化法規(guī)內容以提供明確指導。針對法律規(guī)定與實際操作之間可能存在的誤區(qū)，我們迫切需要采取全面且系統(tǒng)的應對策略。首要任務是對現有的法律條文進行深入地精細化解讀與全面闡釋，進而整合形成一套系統(tǒng)、明確且具有高度指導性的技術操作手冊，旨在為企業(yè)提供清晰的技術操作指引。具體而言，可以制定關于敏感信息刪除的詳盡操作指南，明確列出步驟和注意事項，以及制定關于匿名化技術的具體標準和實施細節(jié)。通過這些措施，我們能夠確保企業(yè)在實際操作過程中精準遵循法律規(guī)定，避免因理解偏差或操作不當而導致的法律風險。此外，構建數據合規(guī)咨詢平臺也是一項可取的舉措。這些平臺將實時為企業(yè)提供法律咨詢和技術支持服務，確保企業(yè)在遇到難題或困惑時，能夠迅速獲得專業(yè)、準確的解決方案。

3.簡化審批流程以降低合規(guī)成本。在審核標準與流程方面，同樣需要進一步地優(yōu)化和完善。首先，監(jiān)管部門亟須頒布更為詳盡的審核準則。具體而言，應進一步闡釋“重要數據”與“一般數據”的界定標準，通過法規(guī)的細化和具體化，為企業(yè)提供清晰的數據分類指引，同時也有助于減少因誤判而導致的不必要審查工作量，提升監(jiān)管效率。在數據精細分類的基礎上，我們提議對審批流程進行簡化。對于被明確界定為“重要數據”的信息，應維持嚴格的審查和管理制度；而對于“一般數據”，則可適當放寬管制，縮短審批周期，從而加速企業(yè)數據出境的流程。

此外，考慮到部分企業(yè)在日常運營中需要處理大規(guī)模的個人信息數據，我們建議降低某些特定情況下的審批門檻。例如，在數據主體已明確同意數據共享且符合個人信息保護法規(guī)的前提下，對于涉及大規(guī)模數據流動的情況，監(jiān)管部門可以考慮豁免或部分豁免安全評估申報義務，以減輕企業(yè)的合規(guī)負擔。通過明確審核標準、優(yōu)化審批流程以及降低特定條件下的審批門檻，我們可以有效提升數據出境安全評估的效率，降低企業(yè)的合規(guī)成本，促進數據的合法、安全和高效流動。

今年新頒布的法規(guī)對數據出境的限制進行了一定程度的放寬，為企業(yè)提供了更大的靈活性。面向未來，我們提議進一步加強監(jiān)管部門與企業(yè)之間的溝通交流，細化法規(guī)內容，并簡化審批流程。通過這些舉措，我們期望能在確保數據安全的基礎上，進一步降低企業(yè)的合規(guī)成本，并促進數據的順暢流動。這將不僅有助于提升企業(yè)的運營效率，更能為中國經濟的發(fā)展提供動力。

（本文系復旦大學發(fā)展研究院《數據跨境流動、個人信息保護與數字韌性建設》課題系列成果。報告主編：江天驕系復旦大學發(fā)展研究院副教授、金磚國家研究中心副主任，姚旭系復旦大學發(fā)展研究院青年副研究員、上海數據研究院特聘研究員，報告行業(yè)導師：陳文昊系植德律師事務所數據合規(guī)業(yè)務合伙人、合規(guī)部負責人，報告組成員：金子韞、吳致遠、邢嘉耀、姚媛、馬怡寧、陳梓培、郎瑾怡、張桐語均來自復旦大學）