跨境數據的數字安全產業研究：場景分析與未來發展

張文韜 王洪瓏 吳少輝

摘? 要：自2016年歐盟頒布《一般數據保護條例》以來，各國相繼制定了不同的數據跨境法律條例，這對跨國企業的生產經營產生了深遠影響?，F有研究多從政府政策制定角度進行分析，對于企業自身在數據跨境方面所面臨的變革，尚未有深入的研究。從數字安全的產業角度出發，系統分析金融、醫療、互聯網和智能汽車四大數據跨境場景，據此深入探討數據跨境的未來發展，為數字安全產業的發展方向提供指導。

關鍵詞：數據跨境；數字安全；企業戰略；安全審計；數字經濟

中圖分類號：F204 文獻標識碼：A DOI：10.19881/j.cnki.1006-3676.2024.01.08

21世紀以來，隨著移動互聯網的普及和企業數字化轉型的加速，全球數據量呈現爆炸式增長。[1]企業和政府逐漸認識到大數據的巨大價值，大量企業開始使用海量數據來分析用戶行為、改進生產流程、進行營銷模式與商業創新。數據作為數字經濟時代最典型的生產要素，其安全保障已成為各個組織和企業面臨的重大挑戰。世界各國政府及組織紛紛根據其隱私安全、數據主權、地緣政治和貿易模式，制定法律政策保障規范數據跨境行為。美國聯邦貿易委員會制定了數據收集和使用的隱私框架[2]，并對政府組織訪問個人數據進行了嚴格限制[3]。歐盟為平衡內部各國數據保護水平的差異，也制定了相關法律[4]，禁止將數據傳輸至未經認證的國家或地區，并實施了更為嚴格的個人數據訪問限制法規[5]。我國也相繼頒布了《中華人民共和國網絡安全法》《中華人民共和國數據安全法》以及《中華人民共和國個人信息保護法》，建立了以重要數據本地化為指導，以個人信息出境評估、認證和簽約為實踐路徑的數據跨境法律體系。

過去由于數據分析技術不足和多邊主義下國際貿易自由發展等因素的影響，數字安全未得到充分重視，數字安全產業存在發展空間。然而，自2008年以來，國際貿易和金融往來普遍降溫，單邊主義和貿易保護主義再次盛行，國際主要經濟體間失去了互信（如2013年“棱鏡門”事件）。[6]但同時，國際企業產生的跨國數據的體量仍然保持高速增長。企業和組織對數據的普遍需求與數據安全未得到充分保障的矛盾開始顯現。2016年，歐盟通過的《一般數據保護條例》（General Data Protection Regulation，簡稱GDPR）開啟了政府組織參與跨境數據制度制定的新篇章，標志著數字安全產業迎來了蓬勃發展的新機遇。

數字安全在規范化、協同化和高度技術化方面的特性決定了絕大多數企業難以自行構建完備的數據保護系統，因此它們必然需要專業數字安全企業的協助。隨著數據安全逐步受到各國政府的重視，各國出臺的差異化法律[7]又給數字安全產業帶來了新的不確定性，使得所有跨國企業面臨出境數據申報處理的難題?？梢灶A見，數字安全產業即將在數據數量指數增長、環境政策復雜多變以及行業競爭加劇的狀況下發生演變，成為以數字安全為核心，涵蓋監察、咨詢等眾多領域的龐大產業。

當前，世界各國跨境數據政策缺乏統一標準，而中國的數字安全產業集中度明顯低于其他軟件細分產業[8]，數字安全產業發展機會巨大。迅速探索出一套科學、高效的數據跨境監管與保障模式，對我國企業跨境發展、搶占未來國際跨境數據話語權有重要意義。[9]當前已有研究主要從政府政策制定的角度出發，聚焦于各國制定的差異化數據跨境法律，缺少從產業角度分析數據跨境影響的研究。為填補這一研究空白，文章從各國信息保護法廣泛關注的金融、醫療、互聯網和智能汽車等典型數據跨境應用場景出發，深入分析了數據跨境給數字安全產業帶來的挑戰與機遇，同時分析了基于會計審計策略的數據安全監管體系的重要意義和未來發展方向。

一、數據跨境典型場景與發展機遇

2011年6月，麥肯錫全球研究院（MGI）發布的報告《大數據：創新、競爭和生產力的下一個前沿》指出，全球化正在進入一個由數據流定義的新時代，數據流成為傳遞信息、思想和創新的關鍵媒介。數字平臺的崛起創造了更高效、更透明的全球市場，數字通信和交易的邊際成本接近于零，為大規模開展跨境業務開辟了新的可能性。[10]在經濟全球化與數字經濟蓬勃發展的今天，跨境數據在全球化貿易交流中變得愈發不可或缺。

然而，大數據技術的發展和跨境數據量的增加，使得數據背后的信息更容易被分析和挖掘，數據跨境行為逐漸對國家和個人信息安全構成了威脅。隨著國家擁有的數據規模及對數據的利用能力成為綜合國力的重要組成部分，數據外流可能引發國防軍事等安全領域信息泄露，同時會損害本國數字產業的發展。因此，各國政府紛紛制定法律政策來限制數據跨境流動，以保護本國安全。[11]

由于數據跨境的定義十分寬泛，通常將其理解為“數據從一法域被轉移至另一法域的行為”或“跨越國界對存儲在計算機中的機器可讀數據進行處理”[12]，如果對數據跨境進行限制，將會影響整個跨境數據流程，從而波及所有涉及跨境業務的國內外企業。

（一）數據跨境的典型場景匯總

全球化貿易的特點是優化全球范圍內生產要素的分配，因此數據跨境現象普遍存在。沈玉良等認為數據跨境在跨境電子商務領域以及全球貿易中必不可少。[13]在經濟全球化時代，無論是在世界各地設有采購、研發、生產、儲存或服務中心的跨國集團，還是與境外實體有業務往來的本土企業，或是在境外上市的企業，都存在數據出境的需求。

明確跨境數據來源，對重要數據跨境場景進行分析，對數據跨境安全管理與保障有著重要的意義。《中華人民共和國個人信息保護法》第二十八條對敏感個人信息進行了補充說明，即敏感個人信息包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。麥肯錫的《大數據：創新、競爭和生產力的下一個前沿》報告還指出，在大數據時代，醫療健康、公共部門管理、零售、制造業和個人定位數據將經歷革命性發展。這說明涉及生物識別、醫療健康的醫療產業以及與金融賬戶相關的金融產業在數據跨境分析中的重要性。作為信息傳播的重要載體，互聯網產業同樣值得關注。此外，近年興起的智能汽車產業也將產生大量關于個人定位與行為的數據。

1.企業內部管理和外部經營數據

跨國集團的內部管理必然涉及對跨境數據需求的處理?？偛啃枰獙Ψ植荚诟鲊南聦贆C構的經營數據進行集中管理，而下屬機構也需要訪問總部和其他子機構的數據。這導致跨國集團在管理過程中會頻繁涉及數據跨境操作。表1列舉了常見的數據跨境場景。

企業在外部經營中也存在大量數據跨境需求。例如，采購境外企業的產品時會涉及供應商信息和采購商品信息，在海外銷售時會涉及企業營銷和售后服務信息，而這些都與數據的跨境傳輸有關（見表2）。

2.金融產業的數據跨境場景分析

金融數據的跨境流動在產品定價、風險管理、渠道管理和客戶服務等方面都有所體現。然而，由于金融數據規模大且具有高度敏感性，一旦泄露將對個人隱私、企業權益和國家安全造成沖擊。[14]中國自2003年4月《人民幣銀行結算賬戶管理辦法》頒布開始對金融行業的賬戶信息管理工作進行立法，并在2011年1月頒布的《關于銀行業金融機構做好個人金融信息保護工作的通知》中首次使用了“個人金融信息”的表述。[15]下面是本文整理的部分中國金融行業的數據跨境要求。

2011年至2013年期間，中國相繼出臺了《關于銀行業金融機構做好個人金融信息保護工作的通知》（以下簡稱“《通知》”）、《保險公司開業驗收指引》（以下簡稱“《指引》”）和《征信業管理條例》（以下簡稱“《條例》”）。其中《通知》指出，在中國境內收集的個人金融信息的儲存、處理和分析應當在中國境內進行；《指引》規定，業務數據、財務數據等重要數據應存放在中國境內，具有獨立的數據存儲設備以及相應的安全防護和異地備份措施；《條例》明確，征信機構在中國境內采集的信息的整理、保存和加工，應當在中國境內進行。

2020年2月，《個人金融信息保護技術規范》（JR/T0171—2020）（以下簡稱“《規范》”）發布?！兑幏丁分赋?，因業務需要，確需向境外機構提供個人金融信息的，具體要求如下：應符合國家法律法規及行業主管部門有關規定；應獲得個人金融信息主體明示同意；應依據國家、行業有關部門制定的辦法與標準開展個人金融信息出境安全評估，確保境外機構數據安全保護能力達到國家、行業有關部門與金融業機構的安全要求；應與境外機構通過簽訂協議、現場核查等方式，明確并監督境外機構有效履行個人金融信息保密、數據刪除、案件協查等職責義務?！兑幏丁诽岢隽藗€人金融信息跨境的四個要點，即業務合規、客戶知情、通過認證和簽訂協議。

本文從銀行、保險、投資和支付四個角度簡單總結了金融領域可能涉及數據跨境的場景（見圖1）。

3.醫療產業的數據跨境場景分析

隨著醫療大數據產業進入高速發展階段，跨境醫療會診、國際臨床試驗等醫療數據跨境場景逐步拓展。醫療數據具有總量大、來源廣、敏感性高、實時性強等特征[16]，因此醫療數據跨境的重要性不容忽視。從數據所有者角度來看，可能存在以下數據跨境類別（見圖2）。

其一，制藥公司和研究機構掌握的藥品研發數據，包括臨床研究數據和藥品成分結構等。

其二，醫療機構掌握的臨床數據，包括患者的電子病歷信息、醫學影像數據、處方信息和基因遺傳信息等。

其三，醫療機構和患者掌握的醫療付款和理賠數據、患者行為數據等，包括醫療服務價格、診療結果、醫療保險信息以及體外診斷產品使用數據等。

其四，各國政府與世界衛生組織等掌握的藥物及流行病監測數據，包括藥品安全數據和流行病學調查數據等。

4.互聯網產業的數據跨境場景分析

互聯網企業是個人數據的主要收集者，也是個人數據跨境的主要承載者。本文將涉及數據跨境的互聯網企業分為四類：社交媒體平臺、電子商務平臺、云計算服務提供商和通信服務提供商。具體而言：

其一，社交媒體平臺涉及用戶分享的文本、照片和視頻等內容。這些平臺承載著用戶間的社交互動，會收集和存儲用戶的相關信息，并生成多媒體數據。

其二，電子商務平臺涉及用戶購買數據及個人賬戶信息。這些平臺會記錄用戶的購物行為和個人信息，以提供個性化的服務和推薦。

其三，云計算服務提供商會存儲和處理客戶主動上傳至云端的數據，可能包含照片、視頻等媒體信息，以及個人或組織的文檔、應用數據等，并為其提供云端計算和存儲服務。

其四，通信服務提供商能夠收集用戶的實時通訊和網絡瀏覽數據等信息，并且處理用戶的通信數據，包括電話、短信和網絡使用記錄等內容。

可見，一旦互聯網產業發生數據泄露，將對個人隱私安全造成極大威脅，同時也會影響企業的信息安全，最終對國家安全構成威脅。

5. 智能汽車產業的數據跨境場景分析

新興的智能汽車行業同樣面臨跨境數據安全的挑戰。根據2021年10月發布的《汽車采集數據處理安全指南》，汽車采集的數據主要包括車外數據、座艙數據、運行數據和位置軌跡數據[17]：

其一，車外數據是指通過攝像頭、雷達等傳感器，從汽車外部環境采集的關于道路、建筑、地形、交通參與者等對象的數據，以及對其進行加工后產生的數據。車外數據可能包含人臉、車牌等個人信息，以及車流量、物流等法律法規標準所規定的重要內容。

其二，座艙數據是指通過攝像頭、紅外傳感器、指紋傳感器、麥克風等傳感器從汽車座艙采集的數據，以及對其進行加工后產生的數據。座艙數據可能包含駕駛員和乘員的人臉、聲紋、指紋、心律等敏感個人信息。

其三，運行數據是指通過車速傳感器、溫度傳感器、軸轉速傳感器、壓力傳感器等儀器，從動力系統、底盤系統、車身系統、舒適系統等電子電氣系統采集的數據，包含整車控制數據、運行狀態數據、系統工作參數、操控記錄數據等。

其四，位置軌跡數據是指基于衛星定位、通信網絡等各種方式獲取的汽車定位和途經路徑相關的數據。

在2021年8月至10月期間，中國相繼發布了數個與汽車數據安全相關的規定：

2021年8月，《汽車數據安全管理若干規定（試行）》頒布，其提出車內處理原則、默認不收集原則、精度范圍適用原則和脫敏處理原則。2021年9月出臺的《工業和信息化部關于加強車聯網網絡安全和數據安全工作的通知》提出，智能網聯汽車生產和車聯網服務平臺運營企業應當進行數據出境安全評估，并向所在?。▍^、市）通信管理局、工業和信息化主管部門報備。2021年10月發布的《汽車采集數據處理安全指南》（TC260-001）規定，汽車不應通過網絡向外傳輸座艙數據，車外數據、座艙數據、位置軌跡數據不應出境，汽車制造商應向主管監管部門提供技術手段，用于對數據出境情況進行抽查，包括傳輸的數據格式和便于讀取的數據展示方式等。[17]

隨著我國新能源汽車出口量的快速增長，必將有更多境外汽車數據被傳送回國。因此，如何應對汽車數據安全審查，并贏得當地消費者的信任，將成為所有車企共同面對的難題。

（二）數據跨境的機遇與挑戰

數據跨境為數據安全帶來了新的不確定性。其限制重要數據出口的舉措無疑會在短期內影響跨國企業的運作，并對現有數據安全體系造成沖擊。然而，這種變化也可能為數字安全產業帶來新的商機。面對數據跨境變局的機遇與挑戰，數字安全企業可以做好充足準備以應對沖擊，通過加強技術預見，抓住可能出現的新商機。

1.數據跨境的價值與機遇

數據跨境本身具有獨特的價值，在全球范圍內促進了廣泛的信息流通，使全球市場更加透明。沈國兵和袁征宇指出，在全球貿易背景下，科技創新鼓勵了區域間要素流動。[18]施炳展和李建桐認為互聯網的普及促進了企業參與專業化分工，優化了地區商業信用環境，降低了企業的合約成本。[19]企業可以根據收集到的需求數據來優化供應鏈和物流管理，在不同地區布局倉庫、生產線、售后服務中心和研發中心。收集到的消費者數據還可以幫助企業了解消費者需求和偏好，進行細分市場的營銷，提高市場銷量和企業收入。[20]此外數據跨境給高校、企業和研究機構帶來了更多的研究素材，促進了研究方向和成果在世界范圍內快速擴散，使跨國協作的創新成為可能。

數字跨境的價值決定了其存在的必要性，而數據跨境的必要性和難度的增加則為提供數據跨境服務的企業帶來了發展機遇。通過合理布局數字跨境領域，鼓勵和引導數字安全企業加強有助于數據跨境的技術研究，我國能在數字安全領域獲得優勢。[21]當前，個人信息已不局限于傳統的靜態信息，如姓名和年齡，還包括如瀏覽記錄、位置信息等隱含個人特征的動態信息。[22]在傳統的數字跨境理念中，跨國企業和組織僅需考慮如何廣泛地收集數據、安全地傳輸和儲存數據，并盡可能從數據中提取價值。為保障數據安全，跨國企業委托數字安全企業搭建防火墻，保護企業數據免受攻擊和泄露的威脅。

然而，新時代的數字跨境理念更加關注個人隱私和國家安全的保護。跨國企業若想將收集到的數據傳送到境外的數據中心或機構，必須經過國家安全認證。進一步設想，國家要求企業按需合理收集數據，并對企業收集的數據進行審查?？紤]到數據跨境的即時性和頻繁性，企業無法對每次跨境數據都進行申報，國家也難以隨時監管企業跨境數據的合法性。因此，未來必然存在能持續性地監管企業跨境傳輸數據的獨立機構，通過建立監管體系，全程跟蹤數據的收集與使用。在企業數據跨境需求量不斷增加和國家監管不斷強化的雙重作用下，新的數據安全審計行業正在萌芽。

2.數據跨境的困難與挑戰

自2016年歐盟《一般數據保護條例》頒布以來，各國根據隱私安全、數據主權、地緣政治、貿易模式等因素，制定的多層次、多類型、不斷演進的數據跨境法律政策，成為數據跨境面臨的主要障礙。數據主權歸屬問題導致跨國企業需要同時遵守不同國家的相關法律，但往往由于規則沖突而導致數據跨境難，阻礙了全球數據流通。美國對于其國內數據采取以信息保護為名的限制策略，如2018年頒布的《外國投資風險評估現代化法案》，明確加強對戰略關鍵性技術、關鍵設施以及涉及美國公民的敏感數據的保護，限制國外資本對掌握這些數據的本土企業進行投資。[23]而對于其他國家的數據，則倡導數據自由，如2020年修訂的美墨加協定（USMCA）中第19章第2條，鼓勵信息貿易帶來的經濟增長，避免在數據使用中建立非必要的信息壁壘。[24]美國為幫助本國互聯網企業在世界范圍內擴張鼓吹數據自由，同時又以安全為名對他國企業獲取本國數據設置數據壁壘。這種對數據跨境的復雜態度說明了各國相關法律的矛盾性。同時，數據跨境法律規則不斷變化，進一步增加了跨國企業設計數據收集傳輸體系、申報跨境數據認證的難度。企業在變化的數據跨境環境中面臨許多困難和挑戰，如管理經營效率降低、無法同時滿足數據出口國和進口國的數據跨境法律要求、與國際組織談判受阻等，致使數據跨境難題的解決遙遙無期。

對于數字安全企業而言，若不能同時獲得數據出口國和進口國的認可，它可能面臨海外業務銳減的風險，而有數據跨境需求的客戶則可能被迫更換其他提供服務的公司。此外，隨著數據跨境審計業務的出現，傳統的咨詢審計企業可能會拓展其涉及數據跨境的業務，以爭奪數字安全企業市場份額。

事實上，近年來一些傳統的咨詢審計企業逐步加深同數字安全企業的合作，大有拓展網絡安全、數據安全審計業務的趨勢。例如，2019年5月8日，德勤中國與中興通訊簽署戰略合作協議，并在人力資源、財稅、網絡安全等幾個重點領域展開了針對性的主題交流。2021年，兩家企業攜手發布《數據跨境合規治理實踐白皮書》。[12]同樣，普華永道（中國）在2019年11月7日與華為簽訂戰略合作協議，雙方將在云規劃、數字數據安全、云服務安全認證等多個領域開展戰略合作，共同打造數字化審計解決方案。2023年5月，普華永道（中國）與奇安信科技集團股份有限公司聯合撰寫《數據跨境合規白皮書》?！稊祿缇澈弦幇灼分赋?，在全球化背景下，企業數據跨境傳輸可能面臨的風險包括法律合規和監管風險、網絡安全風險、操作風險、業務連續性風險等，并建議從建立數據安全管理的組織和資源保障體系，實施持續的合規監測、跟蹤與改進，針對數據跨境合規與個人信息及隱私保護合規問題建立培訓機制等三方面入手，以應對數據跨境傳輸帶來的風險。[25]

可以看出，德勤與普華永道（中國）都關注到數據跨境這一場景，并在數字化、數據安全領域同數字安全企業展開合作。對于已經在審計領域深耕多年、同眾多企業建立緊密合作關系、得到國際社會認可的咨詢審計企業，如果能得到數字安全企業的支持并拓展數字安全審計業務，它們有可能成為數字安全企業的有力競爭對手。

（三）數據跨境對數字安全產業的改變

政府作為對數據跨境的主體，對數據跨境形勢有重要影響。企業對數據跨境有迫切需要，也是數據安全企業服務的對象。了解政府和企業在數據跨境中扮演的角色，分析他們對跨境數據新的需求，有助于指導數字安全企業在數據跨境變局中做出相應改變。

1. 政府的數據監管需求對數字安全產業的影響

由于數字跨境領域目前缺失國際法，各國政府為爭奪數字跨境話語權并保障自身數據主權，迅速制定了法律政策來限制和約束敏感數據的出境。然而，數據跨境的高頻率和必要性[26]使得政府不可能禁止或推遲數據跨境，也無法對各家企業的跨境數據進行實時監管。因此，政府需要第三方機構協助其控制數據跨境。正是國家對保障數據主權的需求，推動了跨境數據監管行業的發展。

從政府的角度來看，數字安全企業需要轉變其使命，從僅為客戶提供數字安全服務的企業，轉變為協助政府進行監管的第三方安全審計公司。

2. 企業的數據安全需求對數字安全產業的影響

企業作為數據的收集者和使用者，一直以來都對保障自身數據和網絡的安全有著迫切的需求。多數企業已通過購買產品和服務的方式建立了自身的數字安全體系。然而，隨著各國數據跨境法律政策的出臺，不同國家對數據主權的管轄范圍出現重合和沖突，原本自由的數據跨境變得異常艱難。因此，企業需要第三方機構對跨境數據的安全性和必要性進行認證，以確保數據跨境的連貫和高效。同時，企業作為跨境數據監督認證服務的購買者，將成為數字安全企業從事跨境審計業務的主要客戶。

從企業的角度來看，數字安全企業仍需保障客戶的數字安全，并拓展其進行數據安全審查和認證的能力，為企業數據跨境申請提供幫助。

二、基于會計審計策略，構建數據安全監管體系

判斷當今數字安全產業的發展方向可以從18世紀會計審計行業的發展歷程中汲取啟示。自1609年世界上第一個能進行股票交易的證券交易所在荷蘭阿姆斯特丹成立，投資公司成為股東，從公司發展中獲益的理財方式開始進入大眾視野。然而，小股東在企業中缺乏經營權，并且與大股東和實際控制人之間存在信息不對稱，導致小股東的權益難以得到充分保障。18世紀初發生的三起金融泡沫事件讓政府意識到金融市場過熱和企業經營情況不透明帶來的巨大隱患。在18世紀南海泡沫事件中，英國國會秘密委員會聘請了查爾斯·斯奈爾（Charles Snell）作為第三方獨立會計師，對南海公司進行財務審計。這是第三方獨立會計師首次登上歷史舞臺。獨立會計師的介入成功減少了企業欺詐的風險，為會計審計產業的發展揭開了序幕。及至今日，審計部門的作用已遠遠超越了提供財務保證的傳統職能范圍。[27]

21世紀的數字產業與18世紀會計審計產業具有相似的特征，具體表現為數據安全情況僅企業可知、數據量龐大且收集處理常態化，國家面臨著掌握數據的內容及使用情況的難題（見表3）。近期，為保障國家和個人的數據安全，我國政府開始著手培育第三方數據安全審計企業。2023年5月23日，國家發布了《信息安全技術 網絡安全審計產品技術規范》（GB/T 20945—2023）。其中，對“安全審計”的定義為“對網絡、信息系統及其組件的記錄與活動的獨立評審和考察，以測試系統控制的充分程度，確保對于既定安全策略和運行規程的符合性，發現安全違規，并在控制、安全策略和過程三方面提出改進建議”；對“網絡安全審計產品”的定義是“采集網絡、信息系統及其組件的記錄與活動數據，并對這些數據進行存儲和分析，以實現事件追溯、發現安全違規或異常的產品”。[28]與2013年的第二版《信息安全技術 信息系統安全審計產品技術要求和測試評價方法》（GB/T20945—2013）中對安全審計的定義“對事件進行記錄和分析，并針對特定事件采取相應比較的動作”[29]相比，新版標準在原有基礎上增加了評審、考察、測試等字樣，審計意味更加濃厚，也反映出國家對網絡安全審計的定位已從企業職能轉變為第三方獨立審計產品。

（一）基于會計審計策略，解決政府跨境數據監管難題

在會計審計產業中，政府之所以委派第三方會計師事務所進行財務審計，而不直接對公司進行財務審查，主要有如下三個原因：

其一，第三方審計機構獨立于被審計公司和政府，利于確保審計過程的客觀性和公正性。

其二，政府自行對企業進行審計需要雇傭大量專業審計人員，監管成本高。將會計審計工作委托給第三方審計機構能把監管成本轉移至企業，創造新的消費。

其三，第三方會計師事務所采用國際標準進行財務審計，更易獲得國際認可和跨國公司的青睞，有助于國際經濟合作和獲得投資。

在數據安全審計領域，政府同樣因考慮客觀公正性、轉移監管成本和國際認可度等，傾向于將數據審計工作委托給數字安全企業。此外，與會計審計工作更多依賴個人能力不同，數字安全審計更依賴技術形成產品[30]，并由軟件主導數據審計工作，遠程實施審計監督，降低受審企業成本。因此，通過數字安全企業承擔審計監管責任、保障受審企業的數據安全，對解決政府直接進行跨境數據監管會遇到的難題，具有重要的現實意義。

（二）基于會計審計策略，解決企業自建數據安全體系風險

傳統的網絡安全審計僅作為一項服務提供給購買數字安全產品的企業，以保護企業不被外部惡意攻擊。正是因為將數字安全審計視為一項服務，許多企業會將其內化為自身單位數字安全部門的職能，自行建立數據庫防火墻，以降低成本或減少數據使用帶來的可能風險。然而，這種網絡安全審計體系的設計并未充分考慮到企業主動泄密的風險，已經無法滿足各國數據跨境的新法律和新政策的要求。在各國數據跨境政策趨于收緊的背景下，任何一家企業都不可能同時承擔數據持有者和數據認證者的雙重身份，因此，數據認證審計工作必然需要由第三方獨立數字安全企業來承擔。

三、數據安全審計體系的發展方向

盡管數字安全審計產業的具體形態和責任仍不明確，但隨著數據安全的重要性不斷增加、各國政府和企業之間的互信程度降低，數字安全審計產業的發展已經勢在必行。隨著跨境數據的不斷增長和對數據安全需求的不斷提升，未來將出現三個主要的數據安全審計階段，即跨境數據安全審計階段、全面數據安全審計階段以及基于人工智能的數據隱身階段（見表4）。

（一）跨境數據安全審計階段

在當今各國數據跨境法律體系逐步建立的跨境數據安全審計階段，數據安全審計體系正處于發展初期，大規模企業內部的數據安全風險尚未普遍出現。在這一階段，跨境數據安全審計要求企業提供跨境數據案例，對企業數據跨境安全體系進行認證，并要求企業與海外接受或使用跨境數據的組織簽訂合同。

跨境數據安全審計階段下的數據監管主要呈現出靜態和不連貫的特征。這是對現有的數字安全體系的溫和改革，對企業內部操作的規范性持信任態度，對數據安全審計的需求相對較低。在這一階段，數字安全企業的主要任務是協助企業構建數據安全體系，在企業進行安全認證和簽訂合同時提供建議和支持。

與傳統的數字安全產業相比，跨境數據安全審計階段的數據安全體系僅在原有體系基礎上引入了跨境數據審批和數字安全認證環節。政府對企業數據跨境提供的更多是提醒，而監管方面相對較弱，難以阻止企業有意地向境外泄露數據。在這一階段，跨境數據安全問題尚未得到解決，各國政府與企業之間的互信機制難以建立。

（二）全面數據安全審計階段

不同于跨境數據安全審計階段，全面數據安全審計階段拓展了數據的“審計”范疇，不再局限于僅對跨境數據進行審計監管。在全面數據安全審計階段，審計方會針對數據的收集、儲存、處理、傳輸和刪除，進行全方位、成體系、全生命周期的監管，這大大提升了數據安全和跨境數據的保障能力。

從跨境數據安全審計階段邁入全面數據安全審計階段后，政府需要主動意識到企業內部的數據安全風險，或在數據泄露事故暴露內部風險后提升對數據安全的監管要求。全面數據安全審計階段的特點為數字安全企業進軍數據安全審計產業提供了重要的戰略機遇。相較于跨境數據安全審計階段，全面數據安全審計階段的數字安全企業不再僅限于提供防火墻、傳輸加密算法等模塊化嵌入式服務，而是深入滲透企業數據的全生命周期，從數據收集時就進行數據識別和脫敏，直到數據刪除為止，構建起完整的數據使用和監管體系。此時，為了確保數據安全，數字安全企業可能在重新構建的數據使用體系中，或在數字脫敏、數據加密等方面采取更嚴格的權限措施。雖然在短時期內可能需要增加員工培訓成本和系統并行的成本，但從長遠來看，企業在更換全流程數據安全體系后將符合國家數據出境標準，實現數據的自由進出，同時擁有更強大的數據協同能力，有效保障企業數據的安全。

（三）基于人工智能的數據隱身階段

在全面數據安全審計階段，無論是數據脫敏或數據加密，本質均是對隱私數據進行掩蓋，或讓操作員接觸加密轉換后的數據，數據本身仍有泄露的可能。通過讓企業在使用數據信息時不接觸到原始數據，即“數據隱身”來實現數據跨境的安全保障、減少企業內部泄露重要數據的可能性，是未來數據跨境安全的重要發展方向。

DeepMind、OpenAI等人工智能推出的大語言模型（Large Language Model，簡稱LLM）為數據跨境安全提供了重要工具。大模型出現之后，企業可以通過訓練小而精的人工智能數據模型，高效準確地在不接觸數據的前提下獲取需要的結果，實現“數據隱身”的效果。這種方式極大地節省了需要傳輸的數據量，節約大量時間成本，同時最大化降低數據跨境中可能存在的數據安全風險。

四、結語

隨著各國在數據跨境領域立法的推進，關于企業如何實現數據自由跨境以及國家如何保障數據安全等問題引起了廣泛關注。本文基于金融、醫療、互聯網以及智能汽車等典型應用場景，探討了如何構建數據安全監管體系，并闡述了會計審計策略在解決政府跨境數據監管難題、解決企業自建數據安全體系風險等方面的重要意義。同時，基于上述理論，本文分析了數據安全審計三個重要發展階段：跨境數據安全審計階段、全面數據安全審計階段和基于人工智能的數據隱身階段各自的特征和發展進程。本研究對于全球數字化社會的可持續發展、企業數據跨境安全的保護以及國家數據安全等方面都具有重要的理論和實踐指導意義。

參考文獻：

[1] 孟小峰，慈祥.大數據管理：概念、技術與挑戰[J].計算機研究與發展，2013，50（1）：146-169.

[2] FTC. Protecting consumer privacy in an Era of rapid change： recommendations for businesses and policymakers[EB/OL].（2012-03）[2023-11-21].https：//www.ftc.gov/reports/protecting-consumer-privacy-era-rapid-change-recommendations-businesses-policymakers.

[3] SOLOVE D J，SCHWARTZ P M. Privacy law fundamentals[M]. New Hampshire：International Association of Privacy Professionals，2011.

[4] Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data[J]. Official journal of the European Communities，1995，38：31-50.

[5] FRANCESCA B. European versus American liberty： a comparative privacy analysis of antiterrorism data-mining[J]. Boston College law review，2007，48（3）：609-698.

[6] 馮登國，張敏，李昊.大數據安全與隱私保護[J].計算機學報，2014，37（1）：246-258.

[7] 劉芳芳.數據跨境流通三重阻滯因素與中國因應[J].價格理論與實踐，2023（3）：69-73，134.

[8] 李驕陽，沈澤.“數字經濟”來臨，安防領域信息安全發展現狀與挑戰[J].中國安防，2021（6）：58-62.

[9] 陳思，馬其家.數據跨境流動監管協調的中國路徑[J].中國流通經濟，2022，36（9）：116-126.

[10] MANYIKA J，CHUI M，BROWN B，et al. Big Data：the next frontier for innovation，competition，and productivity[EB/OL]. （2011-05-01）[2023-11-21]. https：//www.mckinsey.com/capabilities/mckinsey-digital/our-insights/big-data-the-next-frontier-for-innovation.

[11] 翁國民，宋麗.數據跨境傳輸的法律規制[J].浙江大學學報（人文社會科學版），2020，50（2）：38-53.

[12] 德勤，中興通訊.數據跨境合規治理實踐白皮書（2021）[EB/OL]. （2021-12-02）[2023-10-21]. https：//www2.deloitte.com/content/dam/Deloitte/cn/Documents/risk/deloitte-cn-risk-data-cross-border-white-paper-211202.pdf.

[13] 沈玉良，彭羽，高疆，等.是數字貿易規則，還是數字經濟規則？新一代貿易規則的中國取向[J].管理世界，2022，38（8）：67-83.

[14] 黃現清.數字貿易背景下我國數據跨境流動監管規則的構建路徑[J].西南金融，2021（8）：74-84.

[15] 朱蕓陽.個人金融信息保護的邏輯與規則展開[J].環球法律評論，2021，43（6）：56-73.

[16] 何晶晶，張心宇.中國健康醫療數據跨境流動規制探析[J].國際法研究，2022（6）：62-74.

[17] 全國信息安全標準化技術委員會. 汽車采集數據處理安全指南（TC260-001）[EB/OL].（2021-10-08）[2023-11-21]. https：//www.tc260.org.cn/file/jswj01.pdf.

[18] 國兵，袁征宇.互聯網化、創新保護與中國企業出口產品質量提升[J].世界經濟，2020，43（11）：127-151.

[19] 施炳展，李建桐.互聯網是否促進了分工：來自中國制造業企業的證據[J].管理世界，2020，36（4）：130-149.

[20] 李瑞琴，王立勇.數字技術革命促進中國制造業出口貿易高質量發展的機制、挑戰和對策[J].國際貿易，2022（11）：11-18.

[21] 李萬，鄒蕓.數字技術與數字經濟：從無盡前沿到創新策源[J].科技智囊，2023（9）：12-23.

[22] 郭雪慧.人工智能時代的個人信息安全挑戰與應對[J].浙江大學學報（人文社會科學版），2021，51（5）：157-169.

[23] 李睿晶.美對華限制技術轉移措施的影響及其應對[J].科技智囊，2023（7）：32-38.

[24] Office of the United States Trade Representative. Agreement between the United States of America，the United Mexican States，and Canada 7/1/20 Text[EB/OL]. （2020-07-01）[2023-11-24]. https：//ustr.gov/trade-agreements/free-trade-agreements/united-states-mexico-canada-agreement/agreement-between.

[25] 普華永道，奇安信.數據跨境合規白皮書[R/OL].（2023-05-11）[2023-10-21].https：//www.pwccn.com/zh/issues-based/data-cross-border-compliance-white-paper-may2023.pdf.

[26] 樊博，賀春華，白晉宇.突發公共事件背景下的數字治理平臺因何失靈：“技術應用—韌性賦能”的分析框架[J].公共管理學報，2023，20（2）：140-150，175.

[27] MICHELLE B，ROBYN P，DAVID G. Public sector audit history in Britain and Australia[J]. Financial accountability & management，2018，34（1）：64-76.

[28] 全國信息安全標準化技術委員會.信息安全技術 網絡安全審計產品技術規范（GB/T 20945-2023）[S].北京：中國標準出版社，2023：1-2.

[29] 全國信息安全標準化技術委員會.信息安全技術 信息系統安全審計產品技術要求和測試評價方法（GB/T20945—2013）[S].北京：中國標準出版社，2013：1.

[30] GOUTAM R K. Importance of cyber security[J]. International journal of computer applications，2015，111（7）：14-17.

Research on the Digital Security Industry of Cross-border Data： Scenario Analysis and Future Development

Zhang? Wentao? ? Wang? Honglong? ? Wu? Shaohui

（School of Management，Harbin Institute of Technology，Heilongjiang，Harbin，150000）

Abstract：Since the implementation of the General Data Protection Regulation （GDPR） by the European Union （EU） in 2016，various countries have enacted different data cross-border regulations，which have had profound impacts on the operation of multinational corporations. Existing researches have mainly focused on analyzing on policy formulation of government，with limited in-depth studies on the changes faced by enterprises themselves in the context of cross-border data. To fill this research gap，it is necessary to conduct a systematic analysis of the four major data cross-border scenarios：finance，healthcare，internet，and smart cars，from the perspective of the digital security industry. Furthermore，exploring the future development of cross-border activities and providing guidance for the development direction of the digital security industry.

Key words：Cross-border data transfer；Digital security；Corporate strategy；Security audit；Digital economy