齐佳音 池雅琼,2 刘 峰

(1.上海对外经贸大学人工智能与变革管理研究院 上海 200336;2.上海对外经贸大学统计与信息学院 上海 201620;3.华东师范大学计算机科学与技术学院 上海 200062；4.华东师范大学上海智能教育研究院 上海 200062)

0 引 言

纵观数据保护的历史渊源，尤以欧美走在世界前沿，其中欧盟秉持“对于公民权利的尊重”的价值主旨[1]，于2018年颁布的《通用数据保护条例》(GDPR)最具代表性；而后为维护自身相对于域外世界的主体地位[2]，欧盟对数据跨境政策的把控程度在逐渐提高，并且随着Schrems II案件的判决，欧洲数据保护委员会(EDPB)于2020年11月11日又相继发布的两份针对国际数据传输的建议草案(“建议草案”)不仅延续了GDPR的执法本质，还更进一步收紧控制了欧盟数据的跨境流动。作为全球最严苛的数据保护立法，GDPR自生效以来便以维护人权的超然姿态对企业跨境数据操作合规问题提出了重重考验，尤其是从2019年初的谷歌天价罚款开始[3]，其执法就呈现出破竹之势，此后执法机构更是不断以其雷霆手段震撼着全球数据保护合规群体。当前GDPR对企业跨境数据合规问题的处罚依据主要包括：违反数据处理基本原则和未充分保障数据主体权利两个方面。

因此，本研究着眼于面向欧盟区域的跨境数据流动监管要点，以数据隐私管理标准发展三阶段：公平信息实践FIP、隐私影响评估PIA与隐私保护设计PbD，以及数据出境安全评估、能力成熟度模型、数据安全能力成熟度模型等为理论基础，从企业内部数据保护及企业外部风险防控两方面探索数据跨境保护的人文价值与维护国家安全、经济利益的平衡，通过区域监管要点、欧盟关于数据跨境的最近进展及GDPR经典执法案例，分析企业面向欧盟区域市场时的跨境数据保护成熟度评估因素构成，掌握引起企业跨境数据监管问题的关键要素，并运用层次分析法形成成熟度评估指标，构建企业跨境数据保护成熟度评估模型。

1 相关理论及研究方法

1.1 相关理论

1.1.1数据隐私管理标准及安全监管相关理论

a.公平信息实践FIP。为了从企业管理的视角出发来解决随企业发展所带来的隐私保护问题，诞生于1973年的公平信息实践(Fair Information Practices)[4]，其初衷并非侧重于个人数据的保护上，而是美国政府为回应日益普遍的计算机数据库处理个人信息所伴生的问题，成立了一个名为“关于个人数据自动系统的建议小组”(Advisory Committee on Automated Personal Data Systems)，并由小组首先发布的一份“公平信息实践准则”报告[5]，确立了包括要求任何组织在计划使用数据时必须采取预防措施防止数据的滥用等5项处理个人数据的原则。随后又在 1977 年的“隐私保护学习委员会”报告中继续发展，不仅构建了数据保护系统的三大目标，还将5项个人数据处理原则扩展到8项，如公开原则、个人访问原则等。至此，公平信息实践大致确立了个人信息保护的基本框架与原则。

b.隐私影响评估PIA。20世纪70年代以来，越来越多的公众迫切想知道自身的个人数据是如何为企业所滥用，隐私安全问题逐渐进入公众视野并广受关注，与此同时企业更加意识到了隐私保护在管理战略中的关键性地位。为了对消费者权利让渡，隐私影响评估(Privacy Impact Assessment，PIA)成为了政府以经济利益为导向在探索隐私管理工具之路上的丰硕成果之一[6]。作为政府规避隐私风险和进行隐私保护工作的一项政策工具[7]，自诞生之日起，隐私影响评估便带有极为强烈的问题意识与目标导向，即首先识别、评估某些与政府数据管理项目相关的个人隐私风险，然后确定与之相对应的隐私风险应对方案，最终实现个人隐私的有效保护，并率先由美英加澳新带头成功实践其原理及过程[8]，逐渐成为了信息安全领域最常规的信息保护手段。

c.隐私保护设计PbD。比隐私影响评估概念更加广泛的“隐私保护设计”(PbD)起源于1995年荷兰与加拿大数据保护当局的一份报告，进而为加拿大隐私保护专员Ann Cavoukian推动倡导[9]，随后又获得欧盟委员会的高度认同，并于2010年的“国际数据保护与隐私专员大会”列为保护隐私的重要方法。

d.数据出境安全评估。相比于美国的市场贸易利益导向和欧洲极致的人文价值追求，我国对数据跨境监管则更注重人文价值与国家安全、经济利益的平衡。从国家安全法首次提出“网络空间主权”到“数据主权”的不断深入人心，我国将数据出境安全评估理论视为目前我国监管跨境数据转移最具弹性考量的法律依据[10]，并明确作为《网络安全法》的监管标准，规定了“个人信息”和“关键信息基础设施”等数据的出境安全评估流程、评估要点、评估方法等，同时授权国家有关监管部门进行“安全评估”细则的制定，为平衡个人价值和国家利益发展留有充分的余地。

1.1.2成熟度相关理论

a.能力成熟度模型(CMM)。由Humphrey等人提出的成熟度模型的概念内涵立足于提高生产率和利润率的目标[11]，为组织构建一个有规律的、成熟的软件发展过程提供了一个阶梯式的改进框架，根据开发工作之间的内外在关联和先后次序逐步指引组织开展计划并以增量的方式引入过程演化，并将变化阶段划分为初始级、可重复级、已定义级、已管理级以及优化级5个成熟度级别，促使软件组织最终趋于成熟化[12]。

b.数据安全能力成熟度模型(DSMM)。数据安全能力成熟度模型以采集、传输、存储、处理、交换、销毁6个阶段的数据生命周期过程的安全为关键内容，为组织提供了包括组织架构和制度流程的建设、技术工具的使用要求以及数据安全从业者的数据保护意识在内的4项安全能力衡量指标、5项能力成熟度划分等级以及结合形成数据安全过程的11项通用安全过程域，共同构成了组织数据安全能力的成熟度基础模型架构[13]。

1.2 研究方法

本研究采用群决策层次分析法及其计算软件yaahp(Yet Another AHP)[14]，通过构建各专家判断矩阵并检验其一致性，继而集结所有的判断矩阵，对企业跨境数据保护成熟度评估指标赋权，从而为企业最终的成熟度得分提供数据计算支持。

2 企业跨境数据保护成熟度评价体系设计

2.1 企业跨境数据保护成熟度评价体系设计思路

企业跨境数据保护成熟度不仅涉及到企业内部自发的数据保护，还与企业积极应对外部风险息息相关。因此本研究将从内部和外部两个方面来设计企业跨境数据保护成熟度评价体系。

a.内部数据保护的设计思路。企业内部数据保护主要通过软硬件层面的安全设计与管理层面的合规治理两方面来体现。基于此，将企业内部数据保护划分为平台风险与企业行为两个维度。

平台风险是指企业在软硬件设计上的数据风险把控，参考DSMM中通用安全过程域和对数据保护工具的相关规定，隐私影响评估的过程及其关键风险内容，将平台风险划分为信息系统层面的安全性、网络协议层面的安全程度、设施各方面的物理环境安全性、网站用户隐私安全设置水平、抵御黑客窃取的安全水平[15]。企业行为是指企业在管理意识、规章制度、行为表现上的数据保护合规治理，依据CMM、DSMM对组织架构及制度的构建、数据安全从业者的数据保护意识和专业技能的强调，将数据隐私意识程度、数据隐私管理制度水平和信息保护行为水平作为企业行为的评价维度[16]。

b.外部风险防控的设计思路。借鉴以国际隐私保护法的合规为核心导向的企业隐私保护实践：Intel隐私成熟度模型、AICPA/CICA隐私成熟度模型和GDPR成熟度框架的重点内涵，将境内外有关法规的合规要求作为企业的相对数据保护外部风控依据，如知识产权保护、境内外国家政策影响、隐私保护技术代差和数据跨境传输保护水平是企业面对外部风险的主要防控[16]。

2.2 企业跨境数据保护成熟度评价体系指标提取

如表1欧盟区域跨境数据监管要点及数据出境最新建议示例所示，从欧盟跨境数据监管要点及数据出境最新建议的具体内容出发，综合考量欧盟的数据处理基本原则与数据主体权利的高度人文价值追求。如根据最小范围原则、责任原则的有关详细要求抽离相应的数据保护要点，形成了表3中的最小化原则设置水平、数据处控双方职责践行水平两项指标的依据来源；根据GDPR要求保障数据主体的知情权、访问权、删除权、拒绝权等有关说明，分别构成表3中的用户数据管理透明度、用户数据访问权限程度、用户数据删除权意识程度、用户数据拒绝权意识程度几项指标的内容范畴，同时对这些个人权利的保障也是我国最新出台的《个人信息保护法》用以更加清晰、准确和便于理解的规则来进行企业数据监管的重点。此外，欧盟针对数据出境最新建议不仅为企业评估第三国的数据保护水平提供了“六步走”的指导，还额外补充了包括技术、合同、组织方面的一系列补充措施，均成为了表3中外部风险管控体系水平、数据安全基本技术保障水平、其他保障措施水平、员工数据隐私意识培训程度、数据保护影响评估制度水平、保密协议签订制度水平、隐私评估流程践行水平等指标的重要方面，其中特别针对诸如标准合同条款、公司约束性规则、例外情况以及自欧盟法院(CJEU)判决“隐私盾协议”无效之后提出的数据跨境“个案审查”的原则[17]等作为其他保障措施水平的关键内涵，并将其设为本研究模型的一个弹性考量因素以应对未来国际形势的变化影响。根据中兴通讯数据保护合规部、数据法盟联合发布的两份有关GDPR执法案例的白皮书，整理出相关处罚案例如表2所示。欧盟的GDPR处罚主要集中在缺乏数据处理合法性基础、缺乏保障信息安全的技术和组织措施、违反数据处理基本原则、未满足数据主体权利的实现、未履行充分性告知义务、违反数据泄露响应义务、违反DPO任命义务以及未签署数据处理协议/与监管机构的合作不足9项内容上，并将区域监管要点、欧盟关于数据跨境的最近进展和GDPR执法要点纳入软硬件层面、合规治理层面以及外部风险防控层面，来拓展企业跨境数据保护成熟度评价的三级指标体系，如GDPR的数据处理基本原则和数据主体权利可在平台风险和企业行为中充分展现，而各区域执法要点，尤其是跨境执法规则则可在外部风险防控中具体展示。此外添加计算机硬件安全性、数据库安全性、网络协议安全性的4项具体表现、物理环境安全性的3项具体表现、黑客窃取安全水平的5项具体表现、员工数据隐私意识培训程度、隐私评估流程践行水平、知识产权保护水平的3项具体表现、外部风险管控体系水平、数据安全基本技术保障水平、跨境金融欺诈防控水平，来与上述内容共同构成如表3所示的12项二级指标、41项三级指标。

表1 欧盟区域跨境数据监管要点及数据出境最新建议示例

表2 GDPR自生效至今处罚案例及处罚内容示例

表3 二级指标及三级指标

续表3 二级指标及三级指标

最终获得如表4所示的企业跨境数据保护成熟度评估指标总览表和图1企业跨境数据保护成熟度评估体系。

表4 企业跨境数据保护成熟度评估指标总览表

图1 企业跨境数据保护成熟度评估体系

3 企业跨境数据保护成熟度评估因素评价

3.1 构建企业跨境数据保护成熟度评估模型

根据上述成熟度评估指标总览表(表4)及指标体系图(图1)，运用AHP来构建企业跨境数据保护成熟度评估层次模型，如图2所示，其中A层为目标层， 目标定位企业跨境数据保护成熟度因素评价；B1-B3是维度层，C1-C12是指标层，D1-D41是在企业跨境数据保护成熟度评估过程中的具体表现，视为方案层。

图2 企业跨境数据保护成熟度评估层次模型

同时沿用能力成熟度模型的5个成熟度等级划分，但目前少有文献详细介绍成熟度的打分方法，仅有部分企业实践中有所涉及。因此，本文参考Intel隐私成熟度模型的评分方式，设置分值下限为0.5、上限为5，分值粒度为0.5，以便于模型计算，具体内容如表5所示[16]。

表5 成熟度打分(分值粒度0.5)

3.2 相对权重计算

本文采用九级标度法确定指标的相对权重[18]，而作为确定指标的一般方法，传统的层次分析法局限于单专家决策使用，使得判定结果极具主观性，因此为降低单专家决策对指标权重的影响，本文利用群决策层次分析法[14]，邀请了43位涉及金融、管理、跨境贸易、数据法、信息技术、信息安全、数据隐私等各领域的专家共同参与测量模型指标权重。使用群决策层次分析法计算软件yaahp(Yet Another AHP)[14]矫正专家数据的误差累积。在分别计算并修正各专家的单独判断矩阵，使得所有判断矩阵均具有一致性的基础上，采用数值平均的计算方式集结所有专家判断矩阵，以此来降低误差。再通过香农信息熵方法确定各项评估指标的熵值以获得指标的客观权重值，最后进行主客观指标权重值的综合计算[15]，以此来平衡群决策分析法的主观性，获取最终的指标权重值。

3.3 企业跨境数据保护成熟度评估模型应用

3.3.1GDPR案例应用

首先将面向欧盟的评估体系应用于上文19个欧盟GDPR案例(见表6)，各案例不仅均覆盖对应的GDPR执法依据，还违反了评估体系的其他指标，其中尤以案例6沃达丰系列数据违规事件表现最为突出，违反了信息系统安全性、网络协议安全性、隐私安全设置水平、黑客窃取安全水平、数据隐私意识程度、数据隐私管理制度水平、信息保护行为水平等二级指标。与其数次为GDPR，诸如将个人数据发送给非授权第三人、数据处理的法律依据不足、违反数据安全保障义务等多项处罚内容处以严惩事实相符，用以初步验证评估体系的有效性。

表6 19个GDPR案例及对应违反的指标

续表6 19个GDPR案例及对应违反的指标

3.3.2区域问卷数据收集应用

为了对模型进行应用，本文首先以金融、保险业、信息传输、计算机服务与软件业和批发、零售业为对象，并针对有对欧业务的跨境企业进行了问卷发放(回收问卷总数450份)，以获取三个行业中拥有欧盟区域跨境业务的企业跨境数据保护实际情况。同时邀请了国内43位有关金融、管理、跨境贸易、数据法、信息技术、信息安全、数据隐私等各领域的专家共同对模型指标赋权(本文研究涉及的原始数据均放置于网址：https://github.com/CHIYAQIONG/Enterprise-cross-border-data-protection-questionnaire)。首先使用群决策层次分析法计算软件yaahp计算，同时修正每一位专家的判断矩阵，使其通过一致性检验，再集结全部判断矩阵，最后使用信息熵综合计算模型指标权重，最终获得如表7所示的一级指标总排序。

表7 一级指标总排序

续表7 一级指标总排序

结合所收集的450份目标行业(行业问卷数量比例1∶1∶1)的企业跨境数据保护成熟度初始评分的有效问卷数据进一步分析，得到如表8所示的3个行业的最终评估情况。

表8 金融业、信息技术业、零售业数据保护成熟度最终评估情况

对比3个目标行业面向欧盟区域的跨境数据保护成熟度评估情况可得：信息技术行业总体成熟度得分位居第一，金融业第二，零售业最后。具体分析如下：

欧洲的行业标准始终都走在世界前沿，其严格的市场准入规定也令众多企业望而生畏，而后又诸如将人工智能等信息技术行业囊括于外国对欧投资的敏感行业此一条欧盟新规，更加使得各国有关涉欧行业为此保持高度警惕。并且随着GDPR执法与IT部门的关系日渐紧密，我国涉欧信息技术行业为极力保住欧洲市场，很大一部分跨境企业早早就开始了为GDPR合规做准备，将数据隐私安全保护纳入企业对欧的发展战略当中；而与信息技术行业同样归属于服务业的金融、保险行业始终处于欧盟规定的敏感领域，并且根据一份欧盟文件指示，欧盟拟实施更严厉的金融市场准入规则，迫使各金融机构不得不重视包括数据等全方面安全在内的对欧标准。纵观我国零售行业相对信息技术及金融行业的数据保护意识较为薄弱，其行业数据泄露事件也在各类数据泄露事件报告中占据榜首，但本就因为疫情对零售行业的巨大冲击，使得各国零售业处于低迷状态，再加上欧盟本地的竞争对手极有可能在过去几年里已经投入了GDPR合规成本等等竞争情况，均迫使我国与欧盟境内个人信息紧密关联的零售业不仅要遵守欧盟市场监管新规 (EU) 2019/1020，还应更加积极践行GDPR的有关监管条例。

由表8可知，3个行业最薄弱的领域均为外部威胁；成熟度得分最差的二级指标均包括黑客窃取安全水平、物理环境安全性、隐私安全设置水平、数据跨境传输保护水平、网络协议安全性、隐私保护技术代差水平6项；虽然各行业在三级指标维度的薄弱顺序有所不同，但含括的指标均相同,其中尤其是数据主体权利及最小化原则等指标也赫然在列。基于硬件等基础架构设施作为企业发展的先决条件，应对平台风险就成为了企业正常运转的基本保障。随着目标市场的特殊性突显，对接欧盟GDPR等准则对企业的市场战略产生了重大的影响，其中尤其是在进行数据处理时更加注重遵守数据处理的基本原则，但数据主体的各项权利依旧是企业管理的弱势环节。然而，以保护人权著称的GDPR在未来终将不断加大执法力度，所有涉欧行业需审慎对待；同时根据民众强烈反映的App非法、超范围收集个人信息等现状再出重拳整治的强势态度下，各行各业均需拉响警钟，应在维持正常业务运作下合理合规、最小化范围收集用户数据。

4 结论及研究局限

4.1 结论

本研究以面向欧盟区域的跨境数据流动保护问题为出发点，根据数据隐私管理标准发展三阶段以及数据出境安全评估、能力成熟度模型、数据安全能力成熟度模型等理论基础，从企业内部数据保护及企业外部风险防控两方面探索数据跨境保护的人文价值与维护国家安全、经济利益的平衡，通过区域监管要点、欧盟关于数据跨境的最近进展及GDPR经典执法案例，运用群决策层次分析及信息熵方法构建面向欧盟区域的企业跨境数据保护成熟度评估模型，并以GDPR经典19个案例及国内三个典型行业：金融、保险业，信息传输、计算机服务与软件业，批发、零售业中涉欧企业进行模型运用。结果发现在面向欧盟区域时，企业跨境数据保护的突出区域性监管缺陷，有利于客观、准确地掌握我国企业对欧跨境数据保护方面的成熟度评估，对我国企业未来的GDPR合规践行以及企业行业自律具有一定的现实意义。

4.2 研究局限

本研究构建了数字贸易背景下企业对欧跨境数据保护成熟度的评估模型，深入研究了企业GDPR合规的实践管理及方法运用。同时本文还存在如下局限性，在后续的研究中有待改进：评估指标及权重的确定主要通过区域监管要点以及GDPR条例法规和邀请专家问卷打分，群决策及信息熵等方式综合计算，但主观偏差依旧不可避免，且邀请的专家仅限于国内有关领域的专家，国际专家的建议还有所欠缺，成熟度评估分析方法的适用性还需进一步提高。此外，在数据监管方面的“数据确权”问题也始终纷争不断，并且在当前的法律层面尚存空白，有关规定中也多以数据“控制者”与“处理者”来避免所有权的问题，而本文研究正是从企业作为数据的控制者或处理者的身份出发，来思考企业的数据跨境流动问题，但未来还需更进一步将“数据确权”纳入该问题的一个重要考量因素范畴。而随着以微软为代表的企业绝对的数据本地化策略的宣称，数据本地化也或将成为今后企业出海的首选方案之一，也应在未来的研究中予以更多关注。最后，本研究简化了企业面向欧盟区域的业务场景，而实际上对于企业来说情况更为复杂，因此本研究为面向欧盟市场的企业跨境数据保护起到一个抛砖引玉的作用，希望在今后的领域研究中会有更多的创新发展。