前言：数据安全作为国家安全的重要组成部分，其重要性不言而喻。维护数据安全不仅是保障国家安全的必要条件，更是捍卫国家主权、守护国家长远发展的关键因素。

近年来，随着中国经济实力的崛起，以及全球化进程的不断深入，越来越多的中国企业开始放眼全球，寻求更为广阔的发展空间，积极开拓国际市场。

对于科技类出海企业而言，数据跨境流动已成为企业进军海外市场所面临的一大重要合规挑战。科技类出海企业在处理、存储和传输数据时，不仅要严格遵守当地的法律法规，还要确保数据的隐私和安全，防止数据泄露和滥用。那么，科技类出海企业应如何履行数据安全保护义务呢？

数据安全事件多发，全球监管力度趋严

出海科技企业在网络安全保护方面承担着不可推卸的责任，应严格遵守相关法律法规保护数据安全。尤其在出海过程中，科技企业面临不同地区、国家法律差异，以及来自全球的技术安全威胁，更要提高警惕，构建健全数据安全防护体系，切实维护企业与用户数据安全。

国际方面，根据公开数据显示2023年全球企业因违反《通用数据保护条例》（General Data Protection Regulation，简称GDPR）而被处以的罚款合计约21亿欧元。其中，社交媒体平台Facebook的母公司Meta被处以创纪录的12亿欧元罚款，被称为天价罚单。

国内方面，随着《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》等多部法律出台，国家对于科技企业数据安全监管体系日趋成熟，有效督促与监管各科技企业尽快建立完善数据安全管理制度和技术保障措施。近期，各地公安局网安部门对多家不履行网络安全保护义务的单位依法予以处罚。

科技类出海企业保护数据安全的重要性

（一）国防安全与数据主权

数字经济正在成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量。与此同时，数据的无序流动、泄露等问题给国家和社会安全带来了潜在危害。我国作为世界数据资源大国之一，面临的数据安全风险相较于其他国家也更为严峻，亟需建立健全数据跨境管理规则。如涉及基因数据、地理、气象数据等战略性敏感数据。

（二）品牌形象与用户流失

近日，IBM最新发布的《2023年数据泄露报告》显示，2023 年全球数据泄露的平均成本达到445万美元，创下历史新高。一旦企业发生数据泄露事件，用户对企业的信任度会受到严重打击，进而影响企业的品牌形象和声誉。

（三）个人隐私数据泄露

数据泄露就像一个隐形炸弹，一旦引爆后果不堪设想，将对普通人的工作和生活都会产生直接而深远的负面影响。诈骗分子可能会利用个人信息实施欺诈或敲诈勒索行为，为公众财产安全带来威胁。根据国内知名网络安全公司奇安信集团监测的数据显示，2022年3月到10月期间，超过950亿条的中国境内机构数据在海外被非法交易，其中60%是公民个人信息。

科技类出海企业应当如何做

国外著名咨询机构Verizon发布了《2023年数据泄露调查报告》（DBIR），对过去一年发生的16312起安全事件和大约5200起数据泄露事件进行分析，报告指出内部的各种违规行为更加频繁，但83%数据泄露事件依然来自外部，且高达95%都是经济利益驱动。

科技类出海企业如何构筑数据安全保护防火墙呢？

（一）数据安全技术

数据安全技术是保护数据安全的一把利刃，科技类出海企业需建立完善的信息安全防御体系，加强对外网安全防护、信息终端管理等工作。企业可使用数据库加密存储、传输，限制对隐私账户访问权限、定期漏洞筛查等技术手段应对外部数据攻击。

（二）企业内数据安全管理制度

科技类出海企业需要制定完善的信息安全管理制度，包括信息安全方针、组织结构、责任与义务、安全控制要求，以及明确用户数据的保密等级、使用权限、存储要求等，同时还需要建立用户数据备份和恢复机制，以防出现数据损坏或丢失的情况。

此外，企业应持续加强信息安全教育和培训，增强员工的信息安全意识，深化信息安全督查工作。

（三）数据安全事件应急演练

《网络安全事件分级指南》中将网络安全事件根据具体情形分为特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。数据泄露或数据窃取，均体现在前述四种网络安全事件中。

而在《个人信息出境标准合同办法》规定，运营者在发生网络安全事件时，应当及时启动应急预案进行处置。按照《网络安全事件分级指南》，属于较大、重大或特别重大网络安全事件的，应当于1小时内进行报告。

如果企业没有进行过任何应急演练，当真正发生数据安全事件时，可能会不知所措。而通过数据安全事件应急演练，企业可以提前模拟数据安全事件发生时可能发生的各种情况，制定相应的应对策略，补足数据安全管理制度中存在的问题。在真正遇到问题时，企业就能迅速、有序地进行处理，最大限度地减少损失。

科技类出海企业可设置数据安全应急指挥团队和应急工作小组，由指挥团队整体统筹协调数据安全应急全局，由应急工作小组负责具体落实相关措施。此外，可根据企业情况，引入外部数据安全专家顾问，在数据安全事件发生时，第一时间提供为企业提供专业建议和技术支持。

另外，企业也可根据企业实际情况，制定数据安全事件标准化处理流程，打通预警与报告、快速响应、分级评估、问题上报和后续处置全流程，快速响应解决数据安全事件。

（四）数据出境认证、安全评估和标准合同

2022年年中，国家互联网信息办公室、全国信息安全标准化技术委员会秘书处公布了个人信息出境规则，包括《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》《数据出境安全评估办法》《个人信息出境标准合同办法》等，为信息出境安全工作提供了具体指引。

科技企业在出海过程中，如存在数据出境的需求，应及时识别出境数据的类型，是否为不得出境的核心数据，是否包含个人信息与重要数据，根据出境数据类型判断是否需要履行数据出境合规程序，包括数据出境认证、安全评估或者签订数据出境标准合同等。

在履行数据出境合规程序时，企业应评估向境外提供个人信息目的与方式是否合法、正当、必要，出境活动对个人权益的影响及安全风险以及企业能否在个人信息出境过程中采取合法、有效、且与风险程度相适当的保护措施。

另一方面，企业还应重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险。其中包括：对出境数据的规模、范围、种类、敏感程度，数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险；境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全；与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等是否充分约定了数据安全保护责任义务；数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险；个人信息权益维护的渠道是否通畅等进行描述分析。

符合以通过订立标准合同的方式向境外提供个人信息的信息处理者，应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。值得注意的是，个人信息处理者不得采取数量拆分等手段，将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。

为确保科技类企业数据出境的合规性与企业数据安全保护，事先明确和界定需要申报评估的数据范围是至关重要的。通过明确的数据范围界定，企业可以更好地管理和保护出境数据，降低潜在的数据安全风险。

参考资料：

董克；吴佳纯；马廷灿：《我国数据出境安全风险要素体系研究》，载《情报理论与实践》2024年第1期

张纾婷：《数据安全在我国互联网企业合规计划中的构建》，载《特区经济》2024年第1期

谢登科：《网络民营企业数据合规的风险防范与体系建设——以Z公司非法获取计算机信息系统数据案为视角》，载《苏州大学学报》2024年第1期

章佳：《面对数据隐私的挑战，企业如何应对？》，载《中国对外贸易》2024年第1期

Verizon：《2023年数据泄露调查报告》

IBM：《2023年数据泄露报告》

科技类出海企业如何履行数据安全保护义务？（科技类出海企业如何履行数据安全保护义务的职责）