鑽石舞台

2022年4月21日，美中貿易全國委員會（USCBC）在北京發布題為《美國公司如何接近中國的數據、隱私和網絡安全制度》的報告（以下簡稱報告）。美中貿易全國委員會在新聞通稿中表示，在中國的美國商界現在必須應對日益複雜的監管環境，其中包括新的和不斷增長的要求，如數據本地化、政府對某些跨境數據流的審查，以及硬件和軟件採購的規範性網絡安全要求等。美國公司認識到中國和全球對數據、隱私和網絡安全保障的合理需求，希望在尋求遵守這些保障措施的同時，又不妨礙長期在華互惠互利和數字驅動的增長。

美中貿易全國委員會是一家非政府、非營利機構，代表了在中國經商的260多家美國會員公司。據說該報告是在訪談了分布在信息通信技術、酒店、醫療保健、能源、服裝、製造、運輸、金融服務和汽車等行業的30多家會員公司基礎上完成的，具有一定的代表性。

報告對構成中國數據、隱私保護以及網絡安全監管的制度設計（法律法規、技術和實施標準等）進行了系統梳理，重點對作為其眼中監管主要框架的四項中國法律制度進行了分析，包括由全國人大立法，分別於2017年6月起生效的《網絡安全法》、2021年9月起生效的《數據安全法》、2021年11月起生效的《個人信息保護法》以及由公安部在2018年8月發布的、俗稱「等保2.0」的《網絡安全等級保護條例（草案）》。

報告認為，過去五年，中國建立了較龐大的數據、隱私保護和網絡安全監管規則體系，希望保護個人信息並加強國家安全。世界上其他許多國家數據監管也都趨嚴，但中國監管環境的約束程度無疑更加獨特。對於在中國運營的跨國公司來說，新的法律、法規和標準尤其具有挑戰性，因為它們的業務和運營更多地依賴靈活的數據跨境流動。報告揭示了訪談對象們目前對中國數據、隱私保護和網絡安全監管的主要看法和「被監管痛點」（原文表述為「面臨的一系列數據、隱私保護和網絡安全監管方面的挑戰」），以及它們打算採取的一些應對措施。報告最後還對中國數據、隱私保護和網絡安全監管制度的前景進行了展望，並站在會員企業利益代言人的角度提出了相關建議和呼籲。

報告提出一些擔憂，但面對中國超出許多人想象的法治建設速度，外企在華可享受的立法空白紅利空間只會越來越小，未來外企應主動去理解、去調整，早點走出過去的舒適區，從自己的超額利潤中拿出一部分作為網絡安全成本支出，以適應中國相關的監管要求。

1、58%的公司認為，對跨境數據流動的限制不同程度地損害了外國企業在中國的運營和競爭力，因為這些企業採用的是全球設施、統一運營的模式，需要數據的無縫鏈接。譬如通過網絡對中國境內產品進行遠程調試和支持服務等，調試過程中就需要中國工程師和外國工程師之間持續而自由的數據傳輸。不過，報告也認為與完全的禁止數據出境相比，中國規定數據在通過政府安全審查下可以出境，這倒是給外企提供了一種次優的選擇，儘管成員們認為安全審查的理由、範圍、頻率和具體要求仍然不明確，而且它們還擔憂這些安全審查可能會影響企業專有數據的隱私。

2、與數據出境限制問題相伴生，54%的公司擔心數據本地化要求會顯著增加它們在中國的運營成本，同時從其全球 IT 基礎設施中斷開與公司中國業務的聯結。因為跨國公司都將其數據基礎架構作為全球集成共享資源，利用全球數據網絡進行創新並提供服務，而數據本地化要求可能會導致它們需要在中國境內複製一個境外數據基礎架構，譬如重複投資建設國內數據中心和研發中心，以及需要額外來為這些中心配備各種業務和行政支持人員，預計會較大幅度增加企業計算成本。另外，它們擔心完全存儲在一個司法管轄區內的數據更容易受到黑客攻擊，這種做法會導致IT系統彈性下降，可能對公司管理網絡安全風險的能力產生負面影響。

3、擔心中國對收集的一定數量個人信息採取與重要數據相同的限制和控制，這一趨勢可能會影響擁有大量個人信息的公司，尤其是面向消費者的公司。報告以酒店業為例來說明對於處理大量個人信息的行業來說，將較大增加合規負擔和帶來較大守法挑戰。「長期以來，酒店一直面臨着向中國當地公安局登記客人數據的要求。根據有關個人信息的新規定，由於處理的個人信息量大，他們現在面臨監管機構對其數據活動的額外審查。因此，幾乎所有大型酒店都受到或將要受到個人信息量閾值（例如2021年11月發布的《網絡數據安全條例》草案中劃定的100萬組個人信息數量標準）的約束，這些閾值規定了與重要數據要求相當的義務。這些義務包括投資酒店昂貴的硬件，採取新的安全審計活動，以及雇用額外的數據治理人員。」

4、56%的會員公司強調中國數據和隱私制度某些方面的模糊性是一個問題。譬如政策制定者尚未為「重要數據」提供最終的工作定義，也沒有澄清跨境數據傳輸規則或個人信息的一致數量閾值，自願性標準通常被監管者作為強制性標準強制執行等。另外，糾正違法行為的時間（一般為15天），對需要在多個時區協調工作的全球企業來說，按時達到這個要求也比較困難。

5、認為中國隱私立法與其他市場標準（譬如歐盟的《通用數據保護條例》）之間最大的差異之一是要求「單獨同意」。中國《個人信息保護法》需要單獨的同意，這實際上意味着公司每次將個人信息用於不同目的時都必須獲得用戶的同意，如果中國用戶在企業完成合同義務之前撤回同意意見，目前尚不清楚這些服務是否仍然可以在中國提供。例如，如果消費者使用與第三方分包的銀行服務來提供安全或驗證服務，則消費者可以選擇拒絕第三方在交易過程中訪問其數據，從而阻止交易被處理。目前，企業表示，它們尚未看到與第三方供應商相關的嚴格隱私執法，但他們擔心一旦發布向海外傳輸個人信息的標準合同，此類交易就會中斷。

6、在接受採訪的成員中，那些在特定行業，譬如汽車、酒店、醫療保健和金融服務領域工作的企業表示，新的數據和隱私規則帶來了一系列獨特的挑戰，這些挑戰超出了他們與監管機構的傳統交往經驗，進一步使它們在網絡安全和數據合規性方面工作複雜化。汽車行業公司反映，「重要數據」範圍非常廣泛並難以駕馭，會影響其運營以及它們與供應商的關係；醫療保健行業公司反映，除了《個人信息保護法》規定的新義務外，中國科技部和國家衛健委的單獨規則還要求對跨境傳輸人類遺傳資源數據進行審批，這些數據是在一些製藥和醫療器械臨床試驗中收集到的。這包括向外國方（如美國食品和藥物管理局）或類似的外國監管機構的數據轉移，即使傳輸的目的是用於常規報告。額外的審批和對常規流程的限制相結合，可能會嚴重限制外國醫藥公司在中國進行臨床試驗的能力，使他們無法在中國提供某些新的診斷或藥品。金融服務企業反映，它們在中國執行反洗錢和反恐融資義務相關盡職調查時獲得的所有客戶身份信息和交易信息，如被禁止跨境傳輸，將不符合境外其他市場的法律要求。

一是由於認為作為外國公司獲得中國某些安全資質是困難的，而且安全認證本身也很麻煩，因而擔心等保2.0會成為外國信息通信技術企業在中國業務准入的障礙，譬如美國的雲服務商。

二是因為3級及以上系統要求進行例行安全審計和系統檢查評估，擔心不得不向政府授權的測評人員提供有關其系統/基礎設施設計的詳細信息。

三是對一些等保測評機構的專業性和公正性表示懷疑，擔心一些等保測評機構會推動公司購買它們自己的專有軟件或硬件作為認證通過條件，以及擔心測評機構能否保護企業與他們共享的專有信息。

四是等保2.0 要求具有 3 級及以上系統的公司對系統進行本地維護，擔心這會限制跨國公司利用全球資源進行遠程支持服務。

五是擔心公安部門用於評估等保2.0合規性的評分系統經常變化，且缺乏公開透明。

在華美國公司根據其在中國的風險承受能力、組織和業務結構以及市場知名度，以下列不同的方式應對上述數據、隱私和網絡安全挑戰：

1、修改政府事務策略：許多公司正在與地方監管機構合作，以解決數據、隱私和網絡安全問題。它們覺得，與公司所在地方政府的互動可能會更清楚地了解中央政府政策的具體執行尺度，因為這些地方政策制定者更有能力為公司數據治理戰略和做法提供非正式的綠燈。一些企業還表示，他們正在優先加強與中國一些新開發區政府部門的溝通聯繫，因為他們認為，這些新區的數據治理實踐可能有更多的創新空間和宣傳帶動意義，譬如海南自由貿易區和上海臨港自由貿易區都是中國非常重要的創新地帶。

2、鏡像公司數據：許多公司已經或正在採取鏡像其數據的第一步，以初步了解公司哪些數據將受到數據分類方案和跨境安全審查下的合規性要求的約束。

3、調整結構和制定新計劃：為了減輕對中國數據、隱私和網絡安全制度的擔憂，一些公司在當地團隊中投入了更多資源，以審查合規性並評估其客戶、供應商、合作夥伴或客戶是否會受到最嚴格的限制。

4、評估數據存儲實踐：企業也在評估其數據存儲實踐，選擇完全或部分本地化，或繼續與監管機構溝通，以了解這些步驟是否必要。監管機構已經要求能源和金融服務行業的本地化，因此一些公司認為更廣泛地執行數據本地化要求是不可避免的。

報告最後總結說，中國的數據、隱私和網絡安全制度正在實時展開並且格局越來越清晰。在最壞的情況下，現行中國關於數據、隱私和網絡安全監管的部分政策法律要求和監管執法問題，可能導致「在中國，為中國」的數據孤島，使部分全球業務基本上無法通過其他市場的總部或辦事處進入中國。這不僅會阻礙外國企業的運營和競爭力，還會限制中國企業走向全球的能力。它可能會扼殺外國和中國公司的創新方式，限制某些先進產品在中國上市，並改變公司進行研發的方式，所有這些都可能最終影響公司的投資決策。此外，合規負擔的上升可能會對外國公司產生不均衡的影響，特別是規模較小的公司將無法跟上中國日益深遠的合規要求步調。報告最後期待隨着中國努力發展其數字經濟，應採取一種更實際地平衡商業現實與合理安全關切的方法，以帶來更大的經濟利益和更強有力的安全保護。

首先，這個報告的立場是可以理解的，某種程度上值得我們借鑑學習。作為代表美國在華投資經商的260多家會員公司的民間機構，美中貿易全國委員會的使命是擴大美中商務聯繫，使全體會員從中受益，進而在更廣闊的層面上使美國經濟獲益。

該委員會提倡與中國進行建設性的商務聯繫——共同致力於消除中美雙邊貿易投資壁壘，並為雙方營造一個規範、可預測的、透明的商務環境——這也是中方所希望看到的，因此，美中貿易全國委員會與美國另一個民間外交組織——美中關係全國委員會都歷來為中美兩國政府所重視。美中貿易全國委員會長期密切關注中美雙邊的政策法律環境變化，認真研究這些變化可能給會員企業在華投資經商成本、效率、安全、便利方面帶來的影響，因此它既呼籲中方改進數據、隱私和網絡安全監管政策，也呼籲美國儘快降低徵收中國對美出口關稅水平，它還不時安排中美雙方重要官員與會員企業代表見面溝通——總之是一切為了會員企業利益鼓與呼，間接上也起到了中美經貿關係裂痕民間「勾縫劑」的作用。隨着中國海外投資貿易的發展，我們也應該加強在主要投資目的國的中國商會建設，讓那些中國商會積極扮演走出去企業抱團發展的推手和群體利益代言人角色，發揮其在中國政府和使領館之外的獨特作用。

其次，這個報告的某些觀點是公正的，某些問題也是客觀存在，需要我們對有關立法和監管實踐加以改進完善。譬如，報告承認在數據是重要商業資源的時代，所有國家都在尋求促進經濟活力、經濟增長與對數據、隱私和網絡安全保護之間的平衡，中國也不例外；承認解決這一雙平衡問題是非常複雜的，肯定自2017年中國《網絡安全法》生效以來，中國各個政府部門監管機構在短時間內付出了巨大努力，使得監管格局越來越清晰；承認世界上也有11個國家限制數據出境，中國限制制度數量最多，但並沒有完全封死數據跨境流動，通過安全審查後數據可以出境，這為企業提供了一種次優選擇。

報告中所提出的一些擔憂和希望不完全是在華美國企業的反映，應該說部分中國企業也存在類似呼聲，蓋因中國的數據安全法律框架在過去一年（2021）才初步形成，許多配套的法規政策還來不及出台；安全監管方面也是「急用先行」，以先打擊國內非常突出的違法違規收集個人信息和數據泄露濫用問題為重點，還沒有形成較好的數據出境管理、數據安全評估監管案例可供市場參考；我國現行跨境數據流動管理體系總體上以國家安全和執法便利需要為主，對促進數字企業全球化發展、擴大數字服務貿易等考慮可能還有不足等。

下一步比較迫切的是各行業各部門需要結合需求，配套制定相關法規政策，為落實法律要求提供細化指引。一是重點推進數據分類分級、數據出境管理、數據安全評估等關鍵制度實施細則。二是研究制定重要數據識別、保護要求、風險評估等配套指引，完善重要數據全流程安全保障體系。

第三、當前，我們正處在國際數字經濟格局博弈與規則確立的關鍵時期，數據合作與競爭共存、機遇與風險兼具。全球各主要經濟體數字經濟治理戰略的差異化是客觀事實，中國兼顧發達國家關注數字貿易利益以及發展中國家關注數據安全與數據產業發展利益，並支持可以基於公共政策目標或者國家安全利益而採取相應的限制數據流動的本地化措施，引起了數字經濟發展領先國家同時也是數字紅利收入分配偏高國家在華企業的不適，這毫不令人感到意外。

早在2016年8月，在中國《網絡安全法》呼之欲出的當口，美中貿易全國委員會等46家來自美洲、歐洲、亞洲和大洋洲等地區的國際企業團體就聯名致函中方，認為該法增加了貿易壁壘，強烈要求依據國際貿易法規修正新網絡安全法。本次美中貿易全國委員會的報告，又反映其會員企業對近期中國數據、隱私保護和網絡監管環境產生諸多不適感和不安感。

其實，中國的法治建設速度是超出許多人想象的，可享受的立法空白紅利空間只會越來越小，外企應主動去理解、去調整，早點走出過去的舒適區，從自己的超額利潤中拿出一部分作為網絡安全成本支出，以適應中國相關的監管要求。就像幾年前，當歐盟法院對谷歌做出「被遺忘權」判決時，雖然這讓谷歌隨後因改變隱私政策而承受了一定的人力成本增加，不過這對保護歐盟個人的信息權利，卻起到了至關重要的作用。事實上，在華美企抱怨歸抱怨，也有不少採取了調整適應行動，例如在數據的本地化方面，報告透露許多會員企業已經或計劃將在中國收集的數據和個人信息本地化。本地化方法包括在中國建立本地數據基礎設施，或將在中國收集的數據交給當地的合作夥伴或雲服務提供商存儲。一些會員企業還指出，他們正在優先考慮將一些特定數據本地化，這些數據被視為對公司正常運營或產品管理是最重要的，其中包括員工記錄、客戶獎勵計劃、售後跟蹤和產品故障排除等數據類型。

報告也認為，如今，數據本地化趨勢在其他國家市場也隨處可見，包括印度和越南。報告中當然也還存在不少對中國數據、隱私保護和網絡安全監管制度誤讀的地方，例如會員企業擔心自己的數據被監管機構不當利用，擔心等級保護測評機構會將「帶貨」作為測評通過條件，其實監管機構和等保測評機構也都是被監督的對象，都有相應的規則去管理和處罰它們。至於有些法律法規需要更細化的指引，這只是稍微需要點等待時間的問題，例如報告中反映的個人數據出境限制模糊性問題，就在5月5日，為指導個人信息處理者規範開展個人信息跨境處理活動，全國信息安全標準化技術委員會秘書處發布了《網絡安全標準實踐指南——個人信息跨境處理活動認證技術規範》，面向社會公開徵求意見。可以說，在大戰略確定前提下，一切實施標準、操作規範都會穩步出台，屆時包括外企在內的機構和個人都有機會和渠道表達自己的意見。