CAFTA背景下中國海外企業數據保護的法律風險與應對

摘"要：中國海外企業在“中國—東盟自由貿易區”（CAFTA）視域下的經濟合作中扮演著重要角色。然而，信息安全問題已成為中國海外企業面臨的重要挑戰。在CAFTA視域下，探討中國海外企業信息保護路徑，中國海外企業應加強對企業信息的保護，遵守當地的數據保護法律和隱私規定，加強對第三方合作伙伴的管理和控制，提高員工的信息安全意識和教育，加強信息安全技術的應用和管理，積極參與國際信息安全合作和標準制定。

關鍵詞：CAFTA；中國海外企業；信息保護；國際合作

中圖分類號：F74"文獻標識碼：A""doi：10.19311/j.cnki.16723198.2024.13.016

0"引言

“中國—東盟自由貿易區”（CAFTA）是中國與東盟10國于2010年簽署的自由貿易協定，旨在促進中國與東盟國家的貿易和經濟合作。中國海外企業在CAFTA視域下扮演著重要角色，然而，信息安全問題已成為中國海外企業面臨的重要挑戰。如何保護企業信息的安全和隱私，已成為中國海外企業需要面對的重要問題。

1"中國海外企業信息保護現狀

中國海外企業在信息保護方面面臨著多重挑戰。不同國家和地區的數據保護法律和隱私規定存在差異，新加坡于2020年11月通過了《個人數據保護法修正案》，修改2012年通過的《個人數據保護法》。新的數據可移植性要求規定企業必須根據個人請求，把由該企業占有或控制的個人數據傳輸給其他企業。與東南亞許多其他國家的數據保護法一樣，這些新變化使《個人數據保護法》更接近歐盟《通用數據保護條例》。泰國首部數據保護法也稱《個人數據保護法》，為補充完善《個人數據保護法》，泰國政府還陸續發布了一些實施細則和指引。印度尼西亞于2022年10月17日通過了《個人數據保護法》。總體而言，新法不僅對現有數據保護法規進行了匯總和調整，而且也增加了與泰國類似的新原則和新規定。此外在適用方式上也與歐盟《通用數據保護條例》相似。中國海外企業需要遵守當地的法律法規，也需要面對不同國家和地區之間數據傳輸和隱私保護的差異。網絡攻擊的頻率和復雜性不斷增加，黑客、病毒、惡意軟件等網絡攻擊手段對企業的信息系統和數據構成威脅。東盟頻繁地遭受恐怖分子和雇傭軍組織的網絡襲擊。其中一些威脅是面向商業的，針對金融機構和政府的惡意軟件和勒索軟件的犯罪日益猖獗；更具威脅的則是與國家安全相關的攻擊，黑客組織已將東南亞政府和該地區的國防部門作為目標。海外企業在跨境數據傳輸過程中也需要確保數據的安全和合規性。海外企業的員工可能來自不同國家和文化背景，對信息安全的認識和意識存在差異。一旦海外企業的信息安全出現問題，可能會引發社會輿論和聲譽風險，影響企業形象和業務發展。

2"中國海外企業信息保護面臨的挑戰

2.1"不同國家和地區的法律規定存在差異

一是數據保護法律的適用范圍，一些國家和地區的數據保護法律適用范圍可能包括所有類型的個人數據，另一些國家和地區可能只涉及特定類型的個人數據，如醫療記錄、金融信息等。東盟內部持續存在網絡安全能力差距。例如柬埔寨、老撾和緬甸等網絡安全基礎設施欠發達的國家是缺乏資源來應對境內發生的高威脅網絡攻擊事件。馬來西亞和新加坡等技術更為先進的國家在制定區域網絡計劃方面發揮了主導作用。東盟很難跟蹤成員國在網絡安全方面的進展，因為此類問題往往被視為國家機密。各國往往隱藏其攻擊能力，隱瞞有關針對基礎設施的網絡攻擊的信息。東盟不愿采取可能被視為侵犯其成員國主權的措施，這一原則可能會因網絡信息共享的增加而受到壓力。

二是數據主體的權利和義務，不同國家和地區的法律可能對數據主體的權利和義務規定有所不同，如訪問、更正、刪除個人數據的權利等。三是數據安全要求，不同國家和地區的法律對數據安全措施和要求也可能存在差異，如加密要求、數據泄露通知要求等。四是處罰和制裁，不同國家和地區對違反數據保護法律的處罰和制裁也可能有所不同，包括罰款金額、刑事責任等。因此，對于在不同國家和地區開展業務的企業來說，了解和遵守當地的數據保護法律規定非常重要，以確保企業在信息保護方面的合規性。

2.2"網絡攻擊頻率和復雜性不斷增加

首先是技術進步和數字化轉型。隨著技術的不斷進步和企業的數字化轉型，網絡攻擊技術也在不斷發展和演變，黑客和攻擊者利用新技術和工具進行攻擊，使得網絡攻擊的復雜性不斷增加。其次是大規模數據泄露事件。近年來發生了許多大規模的數據泄露事件，這些事件暴露了許多企業和組織在信息安全方面的薄弱環節，也給黑客提供了更多的攻擊機會。再次是云計算和物聯網的普及。隨著云計算和物聯網技術的普及應用，企業的信息系統變得更加復雜和龐大，也增加了遭受網絡攻擊機會。網絡攻擊手段的多樣化也是導致攻擊復雜性增加的原因。包括但不限于勒索軟件、零日漏洞利用、社交工程、釣魚攻擊等多種攻擊手段，網絡攻擊者的動機也日益多樣化，包括了經濟利益、政治目的、個人惡作劇等多種動機，這使得網絡攻擊的頻率和復雜性不斷增加。

2.3"跨境數據傳輸的安全和合規性

數據保護法律和規定，不同國家和地區都有各自的數據保護法律和規定，這些法律和規定對跨境數據傳輸設有一定的限制和要求。例如，歐盟的《通用數據保護條例》（GDPR）規定了跨境數據傳輸的條件和限制，要求企業在將個人數據傳輸到非歐盟國家時必須滿足特定的條件和保障措施。例如數據安全要求跨境數據傳輸需要滿足一定的數據安全輸送要求，包括跨境數據加密、跨境數據泄露防范、跨境安全傳輸協議等。不同國家和地區對數據安全要求的標準和規定可能有所不同。早在2016年，東盟就通過一個叫ADMM-Plus的組織成立了網絡安全專家工作組，并發起了多項網絡倡議，在各國政府中建立聯絡點來討論網絡事件和政策，以及進行涉及重大網絡攻擊的桌面演習，以練習防務合作。

2021年，ADMM提出創建ACICE以及新的網絡防御網絡以連接國家網絡防御運營中心。2018年創建的位于泰國的東盟—日本網絡安全能力建設中心，以及2020年創建的為網絡政策應急響應團隊提供培訓的東盟—新加坡網絡安全卓越中心，也加入了該機構。在跨境數據傳輸中，需要保障跨境傳輸數據主體的權利和利益，包括對個人及企業數據的有權訪問、更正、刪除等權利。除此之外，跨境數據流動的監管和審查非常重要，一些國家和地區對跨境數據傳輸設有嚴格的監管和審查機制，需要企業向相關監管部門提交申請并獲得批準。除了各國家和地區的法律和規定外，國際上也有一些數據安全和合規標準，如ISO"27001等，企業可以根據這些標準來制定自己的跨境數據傳輸安全和合規策略。

2.4"員工信息安全意識和文化背景差異

在海外企業中，員工信息安全意識和文化差異對企業信息保護有著重要的影響，不同國家和地區的員工對信息安全的重視程度和意識水平可能存在差異。一些國家和地區的員工可能對信息安全的重要性認識不足，缺乏對安全風險的敏感性，這可能導致信息泄露和安全事件的發生。不同國家和地區的法律法規對于信息保護的要求和規定可能存在差異，如果海外企業的員工對當地的法律法規不夠了解或者對信息保護的要求存在誤解，可能會導致信息保護不符合當地法律的情況發生。文化差異不同也會影響信息安全傳輸及保存的行為，文化背景差異的情況下也會導致員工的信息安全行為影響。例如，一些文化背景下，對于隱私和個人數據的保護可能有不同的理解，員工可能會對數據保護的要求產生不同的態度和行為。此外，不同國家和地區對于信息安全意識培訓的程度和方式可能存在差異。一些國家和地區可能對信息安全意識培訓投入較少，員工的安全意識培訓水平可能相對較低。

3"中國海外企業信息保護路徑

3.1"遵守當地的數據保護法律和隱私規定

中國海外企業需要遵守當地的數據保護法律和隱私規定，確保個人信息的合法收集、使用和處理，以免觸犯當地法律法規。加強合規管理，嚴格遵守當地和國際的信息保護法律法規，建立合規管理制度，確保企業信息保護工作符合法律要求。在網絡安全立法方面，新加坡頒布了東盟國家第一部《網絡安全法》，與《濫用電腦和網絡安全法令》《個人信息保護法》《電子交易法》等共同構成網絡空間法律保障體系。馬來西亞也有一系列保護網絡環境的立法，如《計算機犯罪法》《電子商務法》《個人數據保護法案》《國家安全委員會法案》等。其中，《個人數據保護法案》用于保護個人姓名、地址、身份證或護照、電子郵件、電話號碼等數據不被濫用，但是該法律僅適用于商業交易中的個人，不適用于馬來西亞聯邦政府或州政府。中國海外企業應該深入了解所在國家或地區的數據保護法律法規和隱私規定，包括數據收集、存儲、處理和傳輸等方面的規定。

按照法律規定收集和使用數據：企業在收集和使用個人數據時，必須遵守當地的法律規定，包括明確告知數據使用目的、取得數據主體的同意等要求。建立合規的數據處理流程：企業需要建立合規的數據處理流程，確保個人數據的合法、合理和安全處理，包括數據存儲、加密、訪問控制等方面的措施。尊重用戶隱私權：企業應該尊重用戶的隱私權，保護用戶的個人信息不被濫用或泄露，同時建立隱私政策，告知用戶個人數據的收集和使用情況。數據安全保護措施：企業需要采取有效的數據安全保護措施，包括建立網絡安全防護系統、加密敏感數據、定期進行安全審計等措施，確保數據不被非法獲取和泄露。建立數據保護負責人或數據保護團隊：企業可以組建專門的數據保護負責人或數據法務團隊，負責數據的監督和管理工作，保證企業數據處理合規合法。及時報告數據泄露事件：一旦發生數據泄露事件，企業應該及時向相關監管機構和用戶報告，并按照法律規定采取相應的應對措施。

通過遵守當地的數據保護法律和隱私規定，中國海外企業可以降低法律風險，維護企業聲譽，增強客戶信任。

3.2"加強對第三方合作伙伴的管理和控制

海外企業在運營過程中可能與各種第三方合作伙伴打交道，包括供應商、服務提供商、合作伙伴等。但這些合作伙伴可能存在信息安全風險，如果不加以控制和管理，可能導致個人信息泄露、數據被濫用等問題。企業應該對潛在的合作伙伴進行嚴格的篩選和評估，包括對其信息安全管理能力、合規性、信譽等方面進行全面考察。再者與合作伙伴簽訂明確的保密協議，明確雙方在數據共享和合作過程中的責任和義務，規定數據保護的要求和措施。企業需要對合作伙伴的員工進行權限管理，只提供必要的數據訪問權限，避免過度授權和濫用數據的風險。建立監控和審計機制，對合作伙伴的數據訪問和使用行為進行監控和審計，及時發現異常情況并采取相應措施。向合作伙伴提供信息安全培訓，加強其對數據保護的意識和能力，確保其遵守企業的信息安全政策和要求。與合作伙伴共同設立信息安全事件應急預案，明確雙方在信息安全事件出現時的安全措施和責任安排。

最后要定期對合作伙伴的信息安全管理能力進行評估，及時發現問題，并采取改進措施，確保合作伙伴的信息安全水平與企業要求保持一致。

3.3"提高員工的信息安全意識和教育

海外企業的員工可能來自不同國家和文化背景，對信息安全的認識和意識存在差異。要針對不同國家和地區的員工，定期開展信息安全意識培訓，提高員工對信息安全的重視程度和風險意識。制定統一的信息安全政策，明確規范員工在不同國家和地區的信息保護要求，確保員工遵守公司的信息安全規定。對于一些信息安全風險較高的地區，企業需要加強對員工信息安全行為的監管和審查，確保信息保護符合當地法律法規的要求。

3.4"加強信息安全技術的應用和管理

中國海外企業應加強信息安全技術的應用和管理，包括網絡安全、數據加密、安全審計等方面，確保信息系統和數據的安全和保密。強化技術保障措施，采用先進的信息安全技術和工具，包括數據加密、網絡防火墻、入侵檢測系統等，確保敏感信息在存儲、傳輸和處理過程中得到有效保護。加強網絡安全系統防護，建立完善的網絡安全防護體系，包括入侵檢測、漏洞修復、網絡監控等措施，及時發現并應對網絡安全威脅。

3.5"積極參與國際信息安全合作和標準制定

中國海外企業應積極參與國際信息安全合作和標準制定，了解最新的信息保護要求和最佳實踐，提高信息保護水平。制定健全的信息安全政策，企業應該建立健全的信息安全管理制度和政策，明確規范員工在處理敏感信息時的行為規范和責任，包括數據存儲、傳輸、處理等方面的規定。中國海外企業積極參加國際組織和標準制定，例如國際標準化組織（ISO）、互聯網工程任務組（IETF）等，參與制定信息安全標準和規范，推動全球信息安全合作和標準化發展。要積極與當地的信息安全機構和組織建立合作關系，例如歐洲信息安全局（ENISA）、美國國家安全局（NSA）等，共同開展信息安全研究和交流，分享信息安全經驗和最佳實踐。在信息安全方面中國海外企業可以積極參加各類信息安全會議和研討會，例如RSA安全會議、黑帽安全大會等，了解最新的信息安全技術和趨勢，與業界專家和同行交流心得和經驗，建立信息安全聯盟，與其他企業和組織共同開展信息安全研究和交流，共同維護信息安全，推動信息安全標準化和合作。2023年7月，為了加強網絡安全區域合作，東南亞國家聯盟（ASEAN）成員國在新加坡樟宜海軍基地開設了網絡安全和信息卓越中心（ACICE），通過積極參加國際信息安全合作和標準制定，中國海外企業可以了解全球信息安全趨勢和最新技術，提高信息安全能力和水平，加強與國際社會的合作和交流，共同維護全球信息安全。

4"結語

中國海外企業在CAFTA視域下，面臨著諸多信息安全問題和挑戰。為了保護個人信息的安全和隱私，中國海外企業應加強對企業信息的保護，遵守當地的數據保護法律和隱私規定，加強對第三方合作伙伴的管理和控制，提高員工的信息安全意識和教育，加強信息安全技術的應用和管理。

參考文獻

［1］魏依.1929年《民國海商法》立法研究[D].大連海事大學，2017.

［2］李志文.船舶所有權法律制度研究[D].大連海事大學，2005.

［3］劉巖.“一帶一路”倡議下我國設立國際商事法庭的必要性[J].沈陽工業大學學報（社會科學版），2018，11（06）：499504.