近20年是全球數(shù)據(jù)中心產(chǎn)業(yè)蓬勃發(fā)展期，根據(jù)中國通服數(shù)字基建產(chǎn)業(yè)研究院發(fā)布的《數(shù)據(jù)白皮書（2023年）》顯示，全球數(shù)據(jù)中心產(chǎn)業(yè)規(guī)模在2022年達(dá)到1308億美元，總體逐步進(jìn)入成熟期。從《“十四五”數(shù)字經(jīng)濟(jì)發(fā)展規(guī)劃》到《全國一體化政務(wù)服務(wù)平臺移動端建設(shè)指南》，當(dāng)前我國經(jīng)濟(jì)社會發(fā)展越來越呈現(xiàn)出數(shù)字化特征，正在進(jìn)入以數(shù)字化生產(chǎn)力為主要標(biāo)志的新階段?！吨腥A人民共和國國民經(jīng)濟(jì)和社會發(fā)展第十四個五年規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要》提出，“迎接數(shù)字時代，激活數(shù)據(jù)要素潛能，推動網(wǎng)絡(luò)強(qiáng)國建設(shè)，加快建設(shè)數(shù)字經(jīng)濟(jì)、數(shù)字社會、數(shù)字政府、以數(shù)字化轉(zhuǎn)型整體驅(qū)動生產(chǎn)方式、生活方式或治理方式變革?！彪S著大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、人工智能等新一代信息技術(shù)的發(fā)展和與國民經(jīng)濟(jì)的融合，數(shù)字化時代已經(jīng)到來，并加速推動我國數(shù)字經(jīng)濟(jì)邁上新臺階。數(shù)字技術(shù)和人類生活交互融合，促使數(shù)據(jù)業(yè)務(wù)量呈現(xiàn)指數(shù)級爆發(fā)式增長，數(shù)據(jù)海量聚集，其安全性和隱私保護(hù)等問題正面臨嚴(yán)峻的挑戰(zhàn)。

數(shù)據(jù)安全作為各行業(yè)中較為常見的實質(zhì)性風(fēng)險之一，制定數(shù)據(jù)戰(zhàn)略并確保戰(zhàn)略的更新及可持續(xù)發(fā)展至關(guān)重要。故，數(shù)字化轉(zhuǎn)型與ESG合規(guī)（上）（下）兩篇將探討企業(yè)為何要關(guān)注數(shù)據(jù)安全、數(shù)據(jù)合規(guī)與ESG的關(guān)系，以及為企業(yè)如何構(gòu)建完善的數(shù)據(jù)安全戰(zhàn)略及合規(guī)體系提出建議。

一、?境內(nèi)外數(shù)據(jù)合規(guī)立法

（一）國內(nèi)對于數(shù)據(jù)合規(guī)的相關(guān)法律法規(guī)

點擊可查看大圖

（二） 數(shù)據(jù)安全相關(guān)國家標(biāo)準(zhǔn)部分列舉

點擊可查看大圖

（三） 國外數(shù)據(jù)合規(guī)相關(guān)立法

1.歐洲

1.1歐盟

歐盟議會于2016年4月14日通過《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulations, 以下簡稱“GDPR”），于2018年5月25日在各歐盟成員國內(nèi)正式生效。任何收集、運輸、保留或處理涉及歐盟所有成員國內(nèi)的個人信息的機(jī)構(gòu)組織均受該條例的約束。GDPR授予人們管理組織收集的個人數(shù)據(jù)的權(quán)限，可通過數(shù)據(jù)主體請求(Data Subject Request, 以下簡稱“DSR”)來行使這些權(quán)限，同時，聚焦個人數(shù)據(jù)的全流程處理，提出個人數(shù)據(jù)假名化、匿名化設(shè)計的和默認(rèn)的數(shù)據(jù)保護(hù)手段等，加強(qiáng)個人數(shù)據(jù)的保護(hù)。在GDPR框架下，組織需要及時提供有關(guān)DSR和數(shù)據(jù)泄露的信息，并執(zhí)行數(shù)據(jù)保護(hù)影響評估。

2016年8月，《網(wǎng)絡(luò)信息系統(tǒng)安全指令》(Directive on security of network and information systems，以下簡稱“NIS指令”)生效，該法旨在加強(qiáng)基礎(chǔ)服務(wù)運營商、數(shù)字服務(wù)提供商的網(wǎng)絡(luò)和信息系統(tǒng)安全，要求履行網(wǎng)絡(luò)安全風(fēng)險管理、網(wǎng)絡(luò)安全事故應(yīng)對與通知等義務(wù)，并要求成員國在21個月內(nèi)將其轉(zhuǎn)化為國內(nèi)法；2023年1月生效的《關(guān)于在歐盟全境實現(xiàn)高度統(tǒng)一網(wǎng)絡(luò)安全措施的指令》取代了之前的NIS指令，擴(kuò)展了屬于其范圍的關(guān)鍵實體的部門和類型，在系統(tǒng)安全指令的基礎(chǔ)上簡化了事件報告義務(wù)，對報告、內(nèi)容和時限做出了更精確的規(guī)定。對國家當(dāng)局的監(jiān)管措施、執(zhí)法要求更加嚴(yán)格，行政處罰清單也更加嚴(yán)格。

1.2法國

1978年1月6日，法國通過了關(guān)于數(shù)據(jù)處理、數(shù)據(jù)文件和個人自由的第78-17號法案，在后續(xù)的歷次修正案中，分別引入了被遺忘權(quán)、罰金刑和數(shù)據(jù)可遷移性規(guī)則等。歐盟的GDPR出臺后，為了銜接GDPR，該法案在2018年6月被修訂，并對GDPR的某些規(guī)定進(jìn)行了調(diào)整，包括盡管不要求強(qiáng)制性的事先通知，但仍然要求主管部門對某些處理活動進(jìn)行事先授權(quán)或征求意見，例如出于研究或公共利益目的處理健康數(shù)據(jù)。此外，該法案允許個人數(shù)據(jù)主體指定其死亡后對其個人數(shù)據(jù)的處理策略。

1.3德國

德國在2017年6月30日通過了《聯(lián)邦數(shù)據(jù)安全法》，以完成對GDPR的國內(nèi)立法轉(zhuǎn)化。德國數(shù)據(jù)安全執(zhí)法采取了聯(lián)邦-地方的兩級架構(gòu)，聯(lián)邦數(shù)據(jù)保護(hù)與信息自由委員在聯(lián)邦一級實施數(shù)據(jù)保護(hù)，而16個地區(qū)數(shù)據(jù)保護(hù)機(jī)構(gòu)則在各自州的公共和私營部門執(zhí)行數(shù)據(jù)保護(hù)法。所有監(jiān)管機(jī)構(gòu)會定期在德國數(shù)據(jù)保護(hù)會議上舉行會談，發(fā)布詳細(xì)的指導(dǎo)方針，進(jìn)一步完善了德國的隱私法律框架。其中重要指南包括有關(guān)Cookie[1]同意的指南、基于GDPR的罰金刑評估標(biāo)準(zhǔn)以及標(biāo)準(zhǔn)數(shù)據(jù)保護(hù)模型。同時，德國是歐洲首批實現(xiàn)衛(wèi)生系統(tǒng)數(shù)字化的國家之一，《患者數(shù)據(jù)保護(hù)法》已于2020年生效。

1.4英國

雖然英國已經(jīng)退出歐盟，但是作為一項重要的政治遺產(chǎn)，GDPR已在早前立法中寫入英國法律，并轉(zhuǎn)化為“英國GDPR”（UKGDPR）。UKGDPR規(guī)定，信息專員辦公室（ICO）是英國的數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)，并詳細(xì)說明了其職能及執(zhí)法權(quán)限，以及執(zhí)行行為準(zhǔn)則的義務(wù)。近年來，ICO在數(shù)據(jù)保護(hù)監(jiān)管方面行動活躍，發(fā)布了多項指導(dǎo)文件并開展了一系列執(zhí)法行動。

2.美國

美國正在推進(jìn)《美國數(shù)據(jù)隱私保護(hù)法案》（ADPPA）的立法進(jìn)程，旨在出臺一部聯(lián)邦層面的數(shù)據(jù)隱私立法，雖然目前美國在聯(lián)邦層面還未出臺統(tǒng)一的聯(lián)邦隱私法規(guī)，但是美國已經(jīng)通過多個法案和法律文件來確保其對數(shù)據(jù)安全的控制。

2018年美國通過《澄清域外合法使用數(shù)據(jù)法案》(CLOUD)，確立了境外數(shù)據(jù)管轄控制者標(biāo)準(zhǔn)，使其可以合法訪問境外數(shù)據(jù)，同時限制他國獲取數(shù)據(jù)資源，通過“長臂管轄”的方式擴(kuò)大其跨境數(shù)據(jù)執(zhí)法權(quán)力。與此同時，美國還大力推動亞洲太平洋經(jīng)濟(jì)合作組織 (Asia-Pacific Economic Cooperation, 以下簡稱“APEC”)的跨境隱私保護(hù)準(zhǔn)則，規(guī)定若不同國家的不同企業(yè)承諾遵守APEC隱私框架中的9項個人數(shù)據(jù)保護(hù)原則，數(shù)據(jù)就可以在上述公司進(jìn)行自由的、跨境的流動，從而讓數(shù)據(jù)向美國流動，以使美國獲得全球數(shù)據(jù)資源。

2019年12月，美國白宮行政管理和預(yù)算辦公室(Office of Management and Budget，OMB)發(fā)布的《聯(lián)邦數(shù)據(jù)戰(zhàn)略與2020年行動計劃》是美國把科技創(chuàng)新和數(shù)字化轉(zhuǎn)型提到國家戰(zhàn)略核心層面部署的重要體現(xiàn)，其內(nèi)容包括1項使命宣言、10項原則、40項實踐指導(dǎo)及年度行動計劃四個組成部分，描述了美國聯(lián)邦政府在未來十年加速數(shù)據(jù)使用的愿景，并逐年確定行動計劃，突出了對數(shù)據(jù)認(rèn)識的深化，把數(shù)據(jù)看作最有價值的國家資產(chǎn)的理念。

2020年10月，美國國防部發(fā)布了《國防部數(shù)據(jù)戰(zhàn)略》（DoD Data Strategy），提出國防部應(yīng)加快向“以數(shù)據(jù)為中心”的過渡，強(qiáng)調(diào)通過數(shù)據(jù)融合實現(xiàn)軍種聯(lián)合、重視數(shù)據(jù)的安全性、強(qiáng)調(diào)數(shù)據(jù)全生命周期各個階段的標(biāo)準(zhǔn)化處理能力。

2021年12月，根據(jù)《外國公司問責(zé)法案》（HFCAA）規(guī)定的上市公司摘牌標(biāo)準(zhǔn)和退市程序，美國證券交易委員會(SEC)要求外國公司提供審計底稿供美國檢查，否則可能在三年內(nèi)被紐約證交所和納斯達(dá)克摘牌。

美國各州層面，《弗吉尼亞州消費者數(shù)據(jù)保護(hù)法》（Virginia Consumer Data Protection Act, 以下簡稱“VCDPA”)）為弗吉尼亞州消費者提供隱私權(quán)保護(hù)，受VCDPA監(jiān)管的企業(yè)對這些消費者負(fù)有多項義務(wù)，包括提供披露，以類似方式響應(yīng)通用數(shù)據(jù)保護(hù)條例(GDPR)消費者數(shù)據(jù)主體請求(DSR)，以及遵守某些數(shù)據(jù)處理義務(wù)。加州消費者隱私法案(California Consumer Privacy Act, 以下簡稱“CCPA”)賦予加州消費者各種隱私權(quán)利，包括知曉其個人信息是否被出售或者披露及其流向、拒絕個人信息的出售、訪問其個人信息、享有非歧視的服務(wù)與價格，為了使這些權(quán)利得到保障，CCPA監(jiān)管下的企業(yè)有責(zé)任履行多項義務(wù)，包括披露、一般數(shù)據(jù)保護(hù)條例(GDPR)等消費者數(shù)據(jù)主體權(quán)利(DSR)、某些數(shù)據(jù)傳輸?shù)摹斑x擇退出”和未成年人的“選擇加入”要求。

3.其他國家

3.1 日本

日本《個人信息保護(hù)法》旨在就個人信息的正當(dāng)處理，對其基本理念、政府制定的基本方針以及其他個人信息保護(hù)措施的基本事項作出規(guī)定，對國家及地方公共團(tuán)體的職責(zé)等予以明確，同時，對個人信息處理業(yè)者應(yīng)遵守的義務(wù)等作出規(guī)定，以期在確保個人信息有效利用的同時，對個人的權(quán)利和利益加以保護(hù)。

3.2 澳大利亞

澳大利亞的信息安全注冊評估(IRAP)目標(biāo)是通過專注于存儲、處理和傳達(dá)信息的信息技術(shù)基礎(chǔ)結(jié)構(gòu)，最大限度地提高澳大利亞聯(lián)邦、州以及當(dāng)?shù)卣當(dāng)?shù)據(jù)的安全性，由澳大利亞網(wǎng)絡(luò)安全中心(ACSC)管理。IRAP提供了一個框架，用于認(rèn)可來自私有和公共部門的個人，以便向澳大利亞政府提供網(wǎng)絡(luò)安全評估服務(wù)，搭建了根據(jù)澳大利亞政府政策和指南對系統(tǒng)安全進(jìn)行獨立評估的綜合流程。

從上述境內(nèi)外關(guān)于數(shù)據(jù)合規(guī)的立法可見，各國對數(shù)據(jù)合規(guī)均非常重視，在數(shù)據(jù)采集、存儲、使用、處理、傳輸、安全保障等方面都有較全面的法律法規(guī)予以規(guī)定，這就要求企業(yè)必須重視數(shù)據(jù)安全，避免因企業(yè)或企業(yè)員工的不當(dāng)行為而造成違法的情況發(fā)生。

二、數(shù)據(jù)跨境流通需遵守數(shù)據(jù)安全管理相關(guān)規(guī)定

全球數(shù)字經(jīng)濟(jì)的繁榮，離不開數(shù)據(jù)安全有序地跨境流通。數(shù)據(jù)經(jīng)濟(jì)的飛速發(fā)展，加大了數(shù)據(jù)跨境流通的需求，但數(shù)據(jù)跨境流通往往涉及到數(shù)據(jù)安全、個人隱私保護(hù)等問題，甚至可能關(guān)乎國家安全。因此，在境內(nèi)企業(yè)向境外提供涉及重要數(shù)據(jù)或法律規(guī)定的個人信息數(shù)據(jù)時，需按照我國相關(guān)法律法規(guī)的規(guī)定執(zhí)行，比如，當(dāng)企業(yè)因在境外的業(yè)務(wù)需要向當(dāng)?shù)貦C(jī)構(gòu)或企業(yè)提供涉及重要數(shù)據(jù)的ESG報告時，除了應(yīng)符合當(dāng)?shù)胤煞ㄒ?guī)規(guī)定之外，也需要根據(jù)我國相關(guān)法律法規(guī)做好通過國家網(wǎng)信部門組織的數(shù)據(jù)出境安全評估、個人信息保護(hù)認(rèn)證等工作，并且須按照國家網(wǎng)信部門制定的關(guān)于標(biāo)準(zhǔn)合同的規(guī)定與境外數(shù)據(jù)接收方訂立合同，約定雙方權(quán)利和義務(wù)，保障數(shù)據(jù)安全。

總而言之，數(shù)據(jù)合規(guī)首先要求企業(yè)按照本國法律法規(guī)規(guī)范企業(yè)涉及數(shù)據(jù)的相關(guān)行為，同時，如果涉及海外業(yè)務(wù)，還需要遵守當(dāng)?shù)貒南嚓P(guān)規(guī)定。以歐盟《數(shù)據(jù)法案》為例，2024年1月11日，《關(guān)于公平訪問和使用數(shù)據(jù)的統(tǒng)一規(guī)則的條例》（Regulation on Harmonised Rules on Fair Access to and Use of Data）生效，相關(guān)義務(wù)于2025年9月12日起適用，屆時，出海歐盟的物聯(lián)網(wǎng)、云服務(wù)等相關(guān)產(chǎn)業(yè)實體將面臨一系列的合規(guī)義務(wù)，這無疑對出海歐盟形成數(shù)據(jù)合規(guī)挑戰(zhàn)，但也可能是相關(guān)企業(yè)藉此完善自我、搶占先機(jī)的契機(jī)。

[注]?

[1]?陳芬. 淺析網(wǎng)絡(luò)Cookie[J]. 電腦知識與技術(shù), 2005(35):93-95. 中對于Cookie的解釋，Cookie是一個保存在客戶機(jī)中的簡單的文本文件, 這個文件與特定的 Web 文檔關(guān)聯(lián)在一起, 保存了該客戶機(jī)訪問這個Web 文檔時的信息, 當(dāng)客戶機(jī)再次訪問這個 Web 文檔時這些信息可供該文檔使用。