互联网企业跨境数据合规的困境及中国应对

梅 傲 侯之帅

［摘 要］CNIL & Google 案的出现再一次引发了互联网企业对跨境数据合规的重视。在大数据产业异军突起的时代背景下，各国家或地区都在加快个人数据保护领域的立法进程。国际数据治理也朝着一个立法愈加完善、执法更为严格的方向发展。在多重数据规则框架内，现如今互联网企业跨境数据合规面临着规则模糊及法律冲突、数据合规成本大幅提升、救济保障机制尚需完善三大困境。应对国际数据治理趋势，针对性解决跨境数据合规发展痛点，互联网企业应建立内部合规制度以满足规则标准、积极对外联通以提高合规水平、建立完备的后勤保障机制以应对紧急状况，内外联动、互联互通，构建现代化、创新型跨境数据合规体系。

［关键词］CNIL&Google 案；跨境数据合规；GDPR；RCEP；数据治理

［中图分类号］D035 ［文献标识码］A ［文章编号］1006-0863（2021）06-0056-07

一、立论之始：CNIL&Google 案概述及其规则争议

2019 年 1 月，法国国家信息与自由委员会（Com- mission Nationale de l’Informatique et des Libertés，下文简称 CNIL）因美国互联网公司 Google 违反欧盟《一般数据保护条例》（General Data Protection Regulation，以下简称 GDPR）而对其开出 5000 万欧元巨额罚单。随后，Google 向法国最高行政法院（Conseil d’État）提出上诉，并最终于 2020 年 6 月 19 日被驳回上诉。本案作为 GDPR 实施以来开出的最大罚单，因其巨额罚款及规则争议引发社会关注的同时，也提高了互联网企业对于用户数据保护问题的警惕。

细观双方论理过程便可发现，CNIL 做出此裁决的原因有二：其一，Google 在跨境数据运营过程中违反了 GDPR 规则中的透明度要求及信息告知义务。国际数据治理强调用户数据的可访问性、清晰性及易懂性，并增加数据控制者为数据主体提供强制性信息的义务， 这在 GDPR 第 12 条、第 13 条中便有所体现。而在本案中，CNIL 经过实践调查发现，Google“信息碎片化” 问题十分严重，用户需要经过数次操作才能从分散的几个文档中访问必要数据信息，这在一定程度上削弱了用户获取信息的简便性。也即，Google 对于必要信

息公开的方式未能达到 GDPR 的高度与要求。其二， 基于上一条原因，Google 出于广告目的处理个人数据缺乏合法性要件，不符合 GDPR 视野下国际数据治理的硬性要求。各主权国家对数据治理议题主张的基本规则及发展战略，构成了国际数据治理的规则体系。［1］ 在 GDPR 的规则框架内，第 6 条规定了企业数据处理行为须具备合法性基础的义务，其需事先得到数据主体具体、明确的有效同意。而 Google 为了增强用户体验采取了“一键式”同意方式，并在“默认同意”的情况下进行个性化设置。用户需要点击“更多选项”采取积极行动选择退出此类设置，才能避免 Google 在该账户进行数据处理。在一般情况下，用户面对晦涩难懂的信息往往会选择更为简便的“一键式”同意。在GDPR 视野中，数据主体的此类授权是不具体的、无效的，Google 仍缺失处理用户数据的合法性要件。因此，综合以上两个主要原因，CNIL 对 Google 开出了 5000 万欧元巨额罚单。

互联网发展方兴未艾，各国数据保护条例亦如雨

后春笋般接踵而至。中国作为互联网大国，数据流通与交易业务覆盖全世界。从 TikTok 因数据保护问题接连与美国、印度、意大利等国家产生跨境数据合规争

---

* 基金项目：重庆市社科规划项目“‘一带一路’战略下中国企业海外发展的域外法律保护问题研究”（编号 2019YBFX026）；司法部国家法治与法学理论项目“粤港澳大湾区建设中的法律冲突及解决研究”（编号：18SFB3045）

作者：梅傲，西南政法大学国际j9·九游会游戏中国官方网站副教授，国际私法教研室主任；侯之帅，西南政法大学国际j9·九游会游戏中国官方网站海外利益保护研究中心助理研究员，重庆 401120

---

议；到华为、中兴因数据安全性问题遭到瑞典邮政和电信管理局（PTS）的禁用；再到腾讯旗下 WeChat 等多款应用因数据风险受到美国的抵制。在数据经济全球化背景下，我国互联网企业如何在多重数据规则框架内构建跨境合规体系，稳步开展技术研发和数据业务工作，是当今互联网行业的一大命题。

二、现状之析：国际数据治理的一般规律及未来走向

在大数据产业异军突起的时代背景下，欧盟 GDPR 的出台只不过是世界各国在个人数据保护领域立法的一个缩影。而互联网企业的发展离不开数据信息的基础支撑，其运行过程势必会面临规则模糊、法律冲突的难题。法国 CNIL&Google 案凸显了欧美在数据立法方面的冲突问题，其根源在于国际数据治理的区域性差异。因此本部分将梳理国际数据治理的一般规律， 并以我国为例分析互联网企业跨境交易的数据合规要求。在此基础上探索国际数据治理的趋势走向，以便我国互联网企业做好数据合规及风险应对措施。

（一）国际数据治理体系的一般规律

1. 治理要求受价值取向影响明显

国际数据治理的关键在于如何把握个人信息保护与高新产业发展的天平。一方面，层出不穷的数据泄露事件为各国的数据监管敲响警钟，个人信息权益保护迫在眉睫；另一方面，数据信息是互联网企业发展的命脉，高度限制其使用将给数据经济发展带来不良影响。［2］如今欧美庞大的数字市场规模，使得国际数据治理主要在这两个独立法域进行。而其中的数据治理规则也明显体现着欧美不同的价值取向，并引领世界数据立法潮流。［3］以欧盟 GDPR 与美国《2018 加利福尼亚消费者隐私法》（California Consumer Privacy Act of 2018，以下简称 CCPA）为例。GDPR 强调数据所有者的主体优先性，通过赋予数据权利以提高个人数据保护力度的同时，又限制了企业的数据使用及处理行为。而 CCPA 在注重个人信息保护的基础上，高度重视产业利益，合理地削弱个人对数据信息的绝对控制权，为数据所有者与控制者留有探索创新性数据交易商业模式的空间。［4］比如两者对于境外管辖权问题便有着不同规定。GDPR 除了常规的属人、属地管辖之外， 还纳入了保护性管辖。对于互联网企业而言，这意味着只要企业向欧盟数据主体提供产品或服务、监控其行为或处理其数据，都将受到 GDPR 的管辖。而 CCPA 虽有扩大管辖范围的趋势，但其综合衡量各方要素，通过设置一定门槛对某些营利性企业统一进行保护性管辖，限制了管辖权的过度扩张。［5］不难看出，欧美在数据治理问题上存在着本质性不同，其归因于两者数据保护的差异取向。

进一步究其原因，根本在于世界数字技术发展的不平衡。以欧盟为代表的国家或地区，为了弥补自身技术产业劣势，通过实施严格的数据法案限制外来互

联网企业的侵袭以净化本地的数据竞争环境；而以美

国为代表的技术优势地区，通过放宽数据规则，致力于实现数据保护与产业发展的良性互动。也正是价值取向的差异，直接决定了各国对于企业数据处理有着不同的标准及要求。

2. 互联网企业跨境数据合规要求严格

对于一国或地区而言，外来互联网企业的大量涌入会使得本地数字化企业的发展空间受到挤压，同时本国国民的个人信息遭受侵害的风险也更大。基于上述原因，一国或地区对于外来互联网企业的数据合规要求通常会更高。以中国的互联网企业为例，截至2020 年 12 月 31 日，中国境内外上市的互联网企业总

市值为 17.8 万亿元，中国境内外上市互联网企业共有

178 家。纵观中国互联网企业的出海现状，不难发现其主要目的地在欧美等发达地区，而在跨境交易的过程中也面临着严格的要求。

图 1 我国互联网企业跨境数据合规要求概览

其一，主体进出简便化。在数据主体进出模式上，目前国际主要有两大模式，分别是以 CCPA 为代表的选择退出（opt-out）模式与 GDPR 采取的选择进入

（opt-in）模式。前者要求数据主体仅有在采取积极措 施明示拒绝或退出某项数据业务时才能中止企业的数据处理行为而后者反之。各国实施的要求存在差异， 也正是法国 CNIL&Google 一案中 Google 被惩罚的一大原因。我国互联网需要针对不同地区的规定设置进出机制，以适应不同数据法案的合规要求。比如微信国际版为应对 GDPR 的要求，声明用户未登录时间达180 天后将自动删除账号信息，用户登录需重新搜集用户数据。

其二，信息处理“去个人标识化”。对于数据信息， 数据“匿名化”要求数据控制者对个人数据采取必要保护措施之后才可自由处理，以保证数据处理者不能通过数据信息精准定位到个人。现如今个人数据“去标识化”理念已经被多个国家或地区纳入数据治理规则的体系之内，寻求个人信息保护与技术发展的有效平衡。［6］在此要求下，我国互联网企业信息需在跨境数据生产、传输、存储等环节中删除标签信息，以符合数据处理的合规条件。

其三，信息披露透明化。各国数据法案愈加重视个人在数据处理过程中的知情与意见。一方面，数据控制主体必须以通俗易懂的方式向个人披露相关信息。另一方面，互联网企业的每一项数据处理行为都

需要经过个人的同意授权。而在授权的模式上，各国

又存在着不同规定。在 CCPA 规则中，企业目的下数据行为的二次披露义务豁免以及第三方数据共享也延承了“opt-out”思维。在企业已充分披露数据用途的 情况下，只要后续的数据处理或共享行为与该目的相兼容，企业则无需再次争得数据主体的同意即可进行， 有效地实现了数据控制者与数据主体之间的信赖交易及数据流通。而在 GDPR 规则框架下，企业的每一项数据行为都需要基于明确、具体且合法的目的，同时数据的加工需要减少不必要内容。对于以数据信息为根基的互联网企业而言，如果每一项数据处理行为都需要经过数据主体明示的同意，数据行为的效率将受到很大削弱，数据业务扩展与创新的张力也因此受限。而 CCPA 规则体系赋予了企业较大的发挥空间。因此， 我国互联网公司在欧盟地区的信息披露压力会更大。

其四，数据传输规范化。跨境数据传输管控是互联网企业的一项重要业务，我国互联网公司也面临着不同法域的规范要求。其一，如若要面向欧盟地区， GDPR 环环相扣地设置了数据传输的“五道关口”，具体包括数据输入者所属国是否属于“充分性认定白名单”、是否提供适当协议、是否建立有约束力的公司准则（BRC）等步骤。其二，美国洲际 CCPA 更加强调数据跨境的自由流动，赋予互联网企业的数据跨境流通业务更多的留白空间。［7］

总体上看，各国的技术发展情况决定了各国对于数据治理采取不同的价值取向，进而影响其数据治理要求。这是国际数据治理的一般规律，也是国家数据开发竞争的必然要求。规则设定作为国际数据治理的重要组成部分，与域外执法等其他层面共同规制互联网企业的数据行为。而随着时间的推移，国际数据治理呈现着具有时代特色的发展脉络与制度框架，急需我国互联网企业的时刻关注与动态研判。

（二）国际数据治理的未来走向

在数据经济发展全球化、数据治理现代化的时代大背景下，全球各国立足于本国的核心价值诉求、产业发展需要，积极出台了数据治理的国家政策及法律规范，同时配套系统的司法执法机制以保护国民数据权益、构建体系化的数据治理结构、推进高新技术产业发展。从欧盟强调数据主体优先权的GDPR，到美国洲际私权产业并驾推进的CCPA，再到我国继《网络安全法》和《数据安全法》之后再审议的《个人信息保护法（草案）》（以下简称“草案”），都昭示着互联网大国围绕数据治理展开的竞争与合作持续深化。而以欧美为代表的数据治理进程，在可预见的时间内将达到更高的境界， 从而给我国互联网企业的跨境数据合规带来新的挑战。

1. 跨境数据合规标准逐步提高

其一，以 GDPR、CCPA 为代表的数据立法潮流，影响着世界各国的立法风格，许多国家也陆续出台了跨境数据流动规则。日本与 GDPR、CCPA 等机制衔接， 建立“匿名化数据处理”的跨境数据自由流动规则；印

度受 CCPA 影响，根据数据是否为敏感数据，采取数据主体同意转移制等方式，在融入数据全球化、保护数据主体私权、促进国家产业发展之间达到了合理的平衡；［8］其二，国际数据治理的规定范围更加细致，在对现有内容细化的同时，也从个人数据信息延伸到了非个人数据等新领域。各国加速本国数据法律体系建设，通过数据法律规范的完善以在数据治理的法律博弈中抢占先机。比如欧盟自 2019 年 5 月始实行的《非个人数据自由流动条例》（Regulation on the Free Flow of Non-personal Data），与 GDPR 联合施效，增强欧盟对数据的管控力；再如美国于 2018 年 3 月通过了《澄清境外数据的合法使用法案》（Clarifying Lawful Overseas Use of Data Act，CLOUD 法案），适用“控制者原则”细化数据执法争议。其三，各国为适应数据新技术应用的发展，赋予数据主体一系列新设“数据权利”。比如GDPR、CCPA 及草案都为数据主体规定了知情权、拒绝权、更正权、删除权等新设权利，在保障数据主体合法权益的同时，也增加了互联网企业等数据控制者的义务负担。

表 1 主要新设“数据权利”概览

GDPR	CCPA	草案
知情权	知情权	知情权
被遗忘权	删除权	删除权
更正权	/	更正权
限制处理权、拒绝权	/	决定权、限制和拒绝权
可携带权	可携带权	/

2. 跨境数据执法机制更为严格

其一，各国数据法案都在致力于扩大执法管辖范围，以提升规则的影响力与覆盖面。在世界数据立法中“扩大域外管辖范围”并非个例，其反而代表了一股国际潮流。除了欧盟 GDPR、美国 CLOUD、CCPA 法案外，许多国家通过数据立法扩大本国域外执法管辖权， 尽可能地将境外互联网公司纳入本国法律的规制范围之列。我国 2020 年 6 月出台的草案，超越了《网络安全法》等法律中传统的属人、属地管辖，将管辖范围延伸到境外主体在境外的管辖权，也明显地体现了域外管辖范围扩大的趋势。其二，各国通过数据立法为执法监管提供制度框架，配备完善的执法机制以落实具体政策。如今世界上已制定或将要制定个人数据保护法的国家多达 101 个，这其中便有 75 个国家设立了独立的个人数据保护机构，以保障数据规范的落实与执行。［9］以欧盟为例，GDPR 第 51 条要求成员国建立国家数据保护机构（National Data Protection Authorities， DPAs），以监控跨境数据流通与处理行为的合规情况。法国 CNIL&Google 一案中对 Google 做出巨额罚款裁定的机构 CNIL 便是 DPAs 的代表之一。而美国则希望通过推动联邦层面的统一国家隐私立法引入以总检察长为核心的中央集中执法体制，消除地方分散执法体制。此外，各国结合《布达佩斯公约》等公约，积极打造全球执法合作网络，共同打击数据违规现象。

总之，以欧美为代表的国际数据治理框架正朝着一个数据立法愈加完备、执法机制更为严格的方向发展，这其中对于互联网企业的跨境数据合规要求势必会逐步提升。在多重数据规则中，互联网企业将会面临更高的违规风险。

三、运行之困：多重规则框架下跨境数据合规的问题反思

从本质上看，互联网企业内涵丰富，既包括单纯凭借互联网技术获取收益的公司，又涵盖依靠互联网技术向其他领域发展的企业。特别是在“互联网 +” 的时代背景下，互联网技术已然成为各类企业走出国门的一大推力。数据作为互联网技术的根基，法国CNIL&Google 案折射出了数据法规模糊与冲突、合规成本过高等难题，这无疑都体现着数据合规问题是互联网企业有序运行的第一要义。审视当今多重数据法规则的世界局势，互联网企业的数据发展正面临着巨大瓶颈。

（一）规则模糊及法律冲突现象频发

1. 数据规范存在不确定性

部分规则以“原则、要求及其所达到的效果”为表达形式，没有明确落实网络运营商的行为要求。这虽然为互联网企业的数据保护工作留下了一定的空间， 但也弱化了行为的指导性、合规的确定性。比如我国

《网络安全法》第四十一条要求企业在搜集个人信息时应遵循“合法、必要、正当”的原则以及信息告知的目的方式及范围，而其并未说明“合法、必要、正当”的具体标准以及企业告知义务的具体方式。在此种情况下， 由于规则表述的模糊性，互联网企业将面临“不确定的执法”。由此，互联网企业数据合规体系难以构建。

2. 各国数据法案规则冲突

国际数据治理的趋势显示，不同国家或同一国家的不同法域都在加强数据主权保护的立法，其对于互联网企业的数据行为要求宽严不一，为企业的数据合规带来很大难题。同时，数据立法域外管辖权不断扩张的趋势，更带来了法律冲突的隐患。在上文中提到的跨境数据传输管控过程中，法律冲突的难题不仅发生在欧盟 GDPR 与美国洲际 CCPA 之间，更大程度地体现在以中国、欧盟和美国为代表的数据立法内容之中。国家网信办于 2019 年发布《个人信息和重要数据出境安全评估办法（征求意见稿）》，其采取“一刀切”的方式，要求网络运营者在个人信息出境前向所在地省级网信部门申报个人信息出境安全评估，且敏感信息需征得数据主体的同意；而美欧除了上文中谈及的情况之外，还签订了欧美跨境数据传输的《隐私盾协议》， 对两地间的跨境数据流动加以规制。互联网企业在进行跨境数据运输管控时，便需要综合考虑到数据输入地、输出地的数据传输问题。如何既遵守数据法规，又满足企业发展的需要，降低企业经营风险，成为了如今我国互联网企业走向世界的一道难题。

（二）数据合规成本大幅提升

1. 新设权利需要企业投入大量资金成本

根据世界各国的数据立法趋势，数据主体的权利愈加完善。以知情权、被遗忘权为代表的新设数据权利，昭示着各国立法已将数据主体一般的数据权利上升到基本人权的高度，同时数据保护周期也随之延伸。［10］而这也对应地增加了互联网企业的义务负担。上文所引证的法国 CNIL&Google 案中，GDPR 在赋予用户知情权的同时，也为企业设定了较高的义务标准。从每项数据行为对应的数据类型，到保护数据所采取的安全措施，再到公开信息的途径及形式，GDPR 对企业都提出了较高的要求。［11］在此情况下，企业为了满足新数据规范的行为标准，需要投入大量的资源重塑其内部的运行规则。而当入不敷出的情形出现时，企业便会因此而退出某一国家的数据业务。仅针对 GDPR 的合规要求，全球便有 20% 的企业因违反合规要求而导致破产，甚至出现了美国洛杉矶时报及芝加哥论坛报等企业因GDPR 合规成本过高而直接退出欧盟市场的现象。［12］由此可见，现如今互联网企业跨境数据合规的压力随着新设数据权利的出现而随之徒增。

2. 各项数据处理流程的规范性尚需提高

图 2 互联网企业数据处理流程

如图 2 所示，通常情况下互联网企业的数据处理流程总共包含四大部分。在各国立法对个人数据全生命周期予以保护的情况下，互联网企业需要针对每一项数据处理流程进行合规性检查并进行合规文档记录，以应对日渐严苛的数据行为要求。数据全生命周期的保护需要互联网企业在每一项数据处理过程中提高行为的规范性，而这往往需要耗费大量的资源成本。

3. 以数据保护为由的贸易壁垒难以突破

现如今许多国家将数字经济视为贸易发展的源动力，为了弥补自身在技术研发上的相对劣势，争先通过严格的数据立法在数据治理的国际博弈中取得制度先机。特别是以美欧为首的西方国家，为遏制中国互联网等高新技术产业的发展，设立了极其严格的合规标准以提高数据市场准入门槛，增强本国互联网企业同外国巨头的博弈筹码。［13］由此，外国极有可能以“隐私保护”为由否定我国互联网企业的隐私保护措施， 从而构建阻碍我国互联网企业扩大海外市场份额的贸易壁垒。比如 2020 年 8 月美国前总统特朗普便以TikTok 威胁美国国家安全为由，采取一系列措施遏制TikTok 在美业务。在世界各国数据主权博弈的情况下， 未来我国将有更多的互联网企业面临数据贸易壁垒难以突破的窘境。

4. 个性化创新技术与应用服务遭遇阻碍

互联网企业依靠算法技术，运用机器学习将原始数据自动转化为计算编码，从而针对用户实现个性化

广告的投放。［14］而在各国数据法赋予用户的私权中， 许多新设权利将与机器学习的特性产生冲突，从而影响人工智能及其关联技术的应用。从根据用户喜好精准推送短视频的抖音，到交易数据不可篡改以提高效率的区块链，再到 C2C 模式下的电子支付、电子商务，互联网企业的许多创新科技与应用将因此而受到影响。

（三）救济保障机制尚需完善

在多重且严格的规则框架下，由于互联网企业涉及的数据事项较多，即使进行了完备的合规审查，也存在违规的风险。而且许多数据法案都为企业设定了事后救济的期限，以减少违规事项带来的损失，最终降低违规惩罚的金额。比如 GDPR 便要求企业在数据泄露72 小时内向数据保护机构报告并启动应急机制，将影响范围纳入最终确定惩罚金额的考量范围之内。救济保障机制既包括事后的应急保障机制，也包括企业应对偏颇判罚的司法救济程序。而审视如今我国互联网企业的运行现状，许多互联网企业尚未建立完善的救济保障机制，有些企业甚至缺乏未雨绸缪的意识，这为自身数据业务的合规运行带来了一定的安全隐患。

四、应对之道：中国互联网企业跨境数据合规的求解

法国 CNIL&Google 案的出现再一次体现了跨境数据合规的重要性，从 Google 内部的数据处理流程，到外部隐私政策公开的方式，Google 都需要做出一定的改变。作为互联网企业安全运行的命脉，数据合规不仅是企业践行保护大众信息安全的社会责任、塑造核心竞争力的法宝，更是推动企业走向世界、打造中国国际贸易品牌的通行证。为了应对国际数据治理趋势，针对性解决跨境数据合规发展痛点，互联网企业应响应2018 年七部门《企业境外经营合规管理指引》精神号召，建立内部合规制度以满足规则标准、积极对外联通以提高合规水平、建立完备的后勤保障机制以应对紧急状况。内外联动、互联互通，构建现代化、创新型跨境数据合规体系。

（一）内部审查：建立互联网企业合规制度

企业的内部合规审查，可以分为防守端与进攻端， 前者为应对数据合规要求被动重置数据运行框架，而后者以内部调整为契机积极进行规则及技术更新。攻防转化、迎难而上，互联网企业才能在数据合规业务中化被动为主动。

1. 数据处理的框架调整与规则更新

根据数据处理流程，互联网企业应在不同的阶段重置内部数据处理框架，以适应国际数据治理的一般趋势及要求。首先，在数据采集阶段，互联网企业需要区分来源于不同地区的数据，以明确目标国家的合规性审查规定及相关要求。

其次，在数据存储阶段，互联网企业需要充分了解自身所存储的数据类型，适应主体进出简便化要求。特别是不同地区对于用户进出机制要求有别的情况

下，企业面向不同的地区采取不同的进退模式，严格把

握数据的存储时间及时删除非必需数据，切实保护个人的被遗忘权。同时，允许用户在授权同意后做出更改，让企业的信息披露与用户的知情同意处于一个动态、灵活的状态之中。［15］

再次，在数据分析及数据服务阶段，互联网企业应适配信息处理“去标识化”及数据传输规范化要求。企业需要对敏感数据进行加密和匿名化处理，删除数据可识别的特定标识。特别是针对个人敏感数据的处理，企业应同时采取多种加密技术确保数据安全。这种保护思想在此前欧美国家的数据立法便得到了体现，其引入“通过数据保护隐私”技术，要求信息管理者在数据生命周期最开始便考虑个人信息保护的问题，将个人信息融入技术、商业准则和物理基础设施的设计及运营标准之中进行保护。企业应建立一套从数据接入到服务输出、从产品设计到应用全周期的数据保护方案，以最大限度地降低违规风险。此外，数据传输作为数据服务阶段的一项重要工具，互联网企业需要在确认数据来源地的基础上，层层把握数据传输的规范要求。比如明确该地区是否存在“充分性认定白名单”、数据上传输是否需要提供协议等。

最后，更新“企业 - 用户”的隐私政策，适应信息披露的透明化要求。现如今许多互联网企业隐私政策标识模糊、条文抽象难懂，甚至出现了利用服务协议欺诈及不正当竞争的不良现象。根据上文法国CNIL&Google 案的争议焦点，更新隐私政策，互联网企业可以融入“分 - 总”的思想。第一即分层告知，指互联网企业将隐私政策的内容以可视化或标准化的方式加以公布，并针对用户多样的功能需求采取不同的知情同意模式。［16］比如京东隐私政策向用户明示告知了产品或者服务的所有核心功能与附加功能、每项功能需收集的数据及其用途。用户同意授权的标准不同， 随之享受的产品服务也有所差异。分层告知的引入， 使得互联网企业的每一项数据处理行为都经过个人的同意授权。既避免了用户的“一键式”同意，保证用户同意在 GDPR 框架下的有效性，又增强了数据收集的针对性与必要性，从而降低了互联网企业数据处理的成本；第二为汇总公开，降低用户获取信息的门槛，增强数据处理行为的透明度。法国 CNIL&Google 案中， Google 用户信息“碎片化”的处理方式是其受罚的一大原因。为应对全生命周期数据保护的立法趋势，企业仅在用户注册使用时进行信息披露显然不足为凭。对于需要处理大量个人数据的互联网企业而言，建立个人数据公示中心实属必要。每一项处理行为都将在客户端个人中心留下痕迹，而当用户对数据处理有异议或疑惑时也可以联系客服予以说明。通过“公示 - 沟通 - 完善”的机制，既能保持数据信息的动态公开， 也可以增强用户与企业的业务信赖，提高产品体验。此外，数据保护标准的提高，其中一个目的便是淘汰单纯依赖数据收集且不加处理的技术类型，激发更多高水平、科学化的服务模式。互联网企业作为网络发展的先驱者，应利用自身行业创新优势积极进行技术更新。比如在数据治理方面引入 HAO 治理模型，通过数据接入、数据治理和数据服务三大模块，重塑数据处理流程。对于需要处理大量数据的互联网企业而言， 其与一般的数据处理流程相比更为简化，极大地降低了数据合规的成本。

2. 法律冲突的区域规避与比较研究

一方面，互联网企业应结合自身业务分布情况，针对性设置合规业务部门。专门的合规部门负责研习各主要业务区域的数据规则，审查各区域数据业务交易的往来文件。互联网公司的技术输出，都应经过该地区合规部门的审查，保证运作的规范性。企业通过合规区域的划分，不仅能专事专办，节省合规成本，更有利于企业针对各地形成数据贸易经验，优化自身的业务流程。

另一方面，互联网企业应积极进行数据法规比较研究，重置全球业务区域。对于我国互联网企业而言， 数据业务需要实现中外“双向合规”。而根据许多数据法案的规定，跨境数据的传输只在能提供“充分保护” 或者“适当保障措施”的国家或地区进行，双向合规成本较高。互联网公司如若及时调整数据中心或服务器在全球的战略布局，不仅能方便数据的存储及利用，突破跨境数据传输的规则限制，还能避免中外数据传输的法律冲突，降低合规风险与成本。

此外，虽然世界性统一数据实体法难以建立，但随着经济全球化的进一步推进，未来会出现更多的区域性贸易协定或双边条约，这其中便包含着数据贸易的条款。比如 2020 年签订的区域全面经济伙伴关系协定（RCEP）中便包含着数据跨境传输的条款，互联网企业应积极运用政策红利，重置全球业务，以更好地应对法律冲突的难题。

（二）对外联通：拓展对外交流机制以提高合规水平

在世界互联网大会组委会发布的《携手构建网络空间命运共同体行动倡议》中，提倡构建多边、多方参与，公正合理的全球互联网治理体系；同时，倡议坚持以人为本、科技向善，缩小数字鸿沟，实现共同繁荣。在互联网企业的视角下，数据合规应通过以下几个方面对外联通，提高企业数据治理水平。

1. 同行之间数据合规信息联盟的建立

应对日趋复杂的跨境数据合规局势，部分国内互联网公司积极探索、大胆创新，不仅在合规方面取得不错的成效，还进一步优化了对外的服务水平。除上文所提及的微信之外，许多国内互联网企业在跨境合规方面采取的创新方法也取得了一定成效。华为公司专门成立“全球网络安全与用户隐私保护委员会”，并根据 GDPR 的要求任命全球网络安全与用户隐私保护官。小米、海尔等互联网制造业厂商，也已应对 GDPR 采取专门措施。作为跨境贸易的命运共同体，中国互

联网企业之间应建立良好的合作同盟，通过信息共享、合规经验交流等方式加强业务往来。中小企业通过“经验汲取 - 信息整合 - 内部调整 - 定期审查”，不断提升数据合规水平，更好地应对国际数据治理的复杂趋势。

2. 隔行之间交易风险评估机制的合作

跨境数据合规需要定期进行审查评估、模拟预演， 而对于部分中小企业而言，由于资金、技术等方面的缺陷，难以构建良好的风险评估机制。中小企业通过与第三方专业安全机构的合作，进行合规分析、漏洞检测和渗透测试，能够在一定程度上减少合规成本、弥补技术缺陷。此前阿里云、华为云等互联网公司便与TrustArc 等机构进行合作，由其提供信息咨询、计划制定、合规改造等方案，达到了良好的合规效果。

此外，互联网企业应与监管机构及行业协会等部门建立良性的互动机制。监管机构、行业协会等部门作为规则的执行者，是企业数据合规最佳的指导者和监督者。［17］互联网企业在数据评估的过程中，应当加强与该类主体的沟通交流，既能寻求专业的监管意见， 也能在争议出现后增加一项抗辩理由。

（三）后勤保障：建立紧急预案机制

1. 建立一套完善的应急保障机制

在规则层面上，面对数据泄露等实践，互联网公司各区域的合规部门应针对具体规定，制定面向不同群体的应对措施。在紧急事件发生后，既要第一时间向用户、大众媒体进行必要信息公开，维护与用户之间的信任度及企业社会形象，同时还应在数据法案规定的时间内向数据监管机构报备，避免再因程序违法而扩大惩罚金额；在操作层面上，互联网企业在定期风险评估的基础上应提前进行紧急事件预演，及时发现组织及技术方面的应对缺陷，不断完善应急保障机制。

2. 充分利用数字贸易争端解决机制

虽然外资管制权作为国家经济主权的重要组成部分，互联网企业接受东道国管制在情理之中，但对于东道国一些有失公平的贸易抵制、数据执法行为，互联网企业应积极运用司法救济手段予以反击。［18］随着国际数字贸易的发展，各国立法均赋予外籍数据投资者相应的民事主体地位，有利于数据投资争端的妥善解决。根据国际数据治理趋势，以欧美为代表的数据立法更加倚重行政规制，强化对监管机构的授权而弱化民事诉讼机制。［19］同时，许多国家的处罚执行需通过本国法院进行。以美国为例，不论是 CCPA 项下的总检察长执法机制，抑或美国联邦层面的个人信息保护执法机构— 联邦贸易委员会（Fedearal Trade Commission， FTC），都需要数据执法机构通过法院赢得诉讼才能对企业收取罚款。对于企业而言，在此之前的行政诉讼便显得尤为重要。互联网企业应在各区域合规部门中成立专门的数据争端解决小组，做好各国诉前准备、诉中流程、庭后上诉等行政诉讼准备工作，充分利用数字贸易争端解决机制为自身数据合规保驾护航。

五、结语

每一场世界变革发生，都是一次重新洗牌的机遇。数据作为信息的重要载体，其提升商业交易效率的同时，也带来了一定的安全隐患。对于用户而言，允许企业合理使用一部分数据是获得更为人性化服务的对价；而对于互联网企业而言，在业务过程中合理使用个人数据无可厚非，但如何践行保护大众信息安全的社会责任、塑造企业核心竞争力，是所有互联网企业应思考的时代命题。在世界各国加速数据立法，争先在数据治理的国际博弈中取得制度先机的时代背景下，互联网企业应直面国际数据治理难题，通过内外转变化被动为主动，并以此为契机优化自身产业结构。面对世界各国错综复杂的“规则关卡”，互联网企业应不断审视跨境数据合规体系，为贸易业务撑起一架安全稳定的保护伞，进而打造中国国际贸易品牌的通行证。

［参考文献］

［1］梅傲，苏建维 . 数据治理中“打包式”知情同意模式的再检视［J］. 情报杂志，2021（2）.

［2］李齐，曹胜，吴文怡 . 中国治理数字化转型的系统论阐释：样态和路径［J］. 中国行政管理，2020（10）.

［3］刘宏松，程海烨 . 跨境数据流动的全球治理——进展、趋势与中国路径［J］. 国际展望，2020（6）.

［4］相丽玲，贾昆 . 中外个人数据保护标准研究进展与未来趋势分析［J］. 情报杂志，2020（2）.

［5］吴沈括 . 数据治理的全球态势及中国应对策略［J］.电子政务，2019（1）.

［6］蔡翠红，王远志 . 全球数据治理：挑战与应对［J］.国际问题研究，2020（6）.

［7］黄宁，李杨 .“三难选择”下跨境数据流动规制的

演进与成因［J］. 清华大学学报（哲学社会科学版），

2017（5）.

［8］戴龙 . 论数字贸易背景下的个人隐私权保护［J］.当代法学，2020（1）.

［9］许多奇 . 论跨境数据流动规制企业双向合规的法治保障［J］. 东方法学，2020（2）.

［10］李蕾 . 数据可携带权：结构、归类与属性［J］. 中国科技论坛，2018（6）.

［11］Bart Custers B，et al. Informed consent in social media use. The gap between user expectations and EU personal data protection law. Journal of Law and Technology，2013，10（4）：435-457.

［12］郭戎晋 .GDPR 下互联网企业的机遇与挑战［J］.信息安全与通信保密，2018（8）.

［13］田晓萍 . 贸易壁垒视角下的欧盟《一般数据保护条例》［J］. 政法论丛，2019（4）.

［14］Yoshua Bengio，Yann Lecun and Geoffrey Hinton.

Deep learning.Nature，2015（521）.

［15］Jane Kaye et al. Dynamic consent：A patient interface for twenty-first century research networks. European Journal of Human Genetics，2015（2）.

［16］高秦伟 . 个人信息保护中的企业隐私政策及政府规制［J］. 法商研究，2019（2）.

［17］杨力 . 中国企业合规的风险点、变化曲线与挑战应对［J］. 政法论丛，2017（2）.

［18］梅傲，郑宇豪 . 粤港澳大湾区营商环境的法治化探索——以《仲裁保全安排》为基点［J］. 法治论坛，2020（3）.

［19］曹杰，王晶 . 跨境数据流动规则分析——以欧美隐私盾协议为视角［J］. 国际经贸探索，2017（4）.

（