12月20日，由上海市经济和信息化委员会、上海市贸促会指导，上海市“一带一路”综合服务中心主办的RCEP企业数据隐私保护合规经营研讨会线上举行。

今年1月1日生效的RCEP协定，对数据跨境流动作出了新规定。同时，随着“一带一路”倡议的推进，国内众多科技企业纷纷出海，更多中国企业进入全球领先行列，推动了互联网产业的发展，同时也使得隐私数据保护成为世界各地关注焦点，成为中国企业出海必须考虑的重要问题之一。本次研讨会旨在帮助企业充分认识到数据隐私保护合规的重要性，更好地在RCEP成员国部署数字互动策略。

上海市社科院互联网研究中心主任惠志斌围绕RCEP下数据出境安全与跨境合规进行主题演讲。全球数字生产链正在走向分别以美国、中国和欧洲为终端的三条 “平行”、但在部分中间环节又“铰合”的新型结构。全球跨境数据流动格局也将受到新型的全球数字生产链结构的影响。

“数字经济时代，全球多边贸易协定的重心已经从传统货物贸易领域转向数字服务贸易领域，相比传统货物贸易规则，数字贸易规则侧重在电信开放、数据本地化、数据自由流动、知识产权、数字服务税等方面，对国内现行法律和监管体系的影响更大也更深远。”惠志斌表示，RCEP倡导数据跨境自由流动，但为相关监管措施留下政策空间，规定了跨境数据流动的合法公共政策例外和基本安全利益的例外。CPTPP明显高于RCEP的高标准数据跨境流动规则，将跨境数据范围从商业数据和个人数据扩大到金融数据。数字经济伙伴关系协定（DEPA）则面向数字经济、AI等前沿产业领域，倡导端到端的数字贸易便利化，实现高标准的数据跨境流动。

总体而言，虽然RCEP在数字经济领域规则的一体化程度、自由度和完备性上与其他高水平自贸区存在差距，短期内对上海大数据工作发展的影响较小，但它是我国探索参与全球数据流动、数字贸易乃至数字经济国际规则制定的起点，在未来必定成为上海加快跨境数据流动体制创新，推动国际数据产业发展，打造国内大循环中心节点、国内国际双循环战略链接的重要历史机遇。

数据跨境流动议题是涉及法律、经济、政治、国家安全等诸多决策要素/工具的的战略性问题。“数据跨境流动政策体系是由国内法律和政策体系、双边体系（贸易与执法等）、多边体系（贸易与执法等）三大体系有机组成并相互作用影响的结果。”安永大中华区网络安全与隐私保护咨询服务主管合伙人高轶峰表示，当前国家视域下的数据跨境流动存在风险，数据跨越国境不可避免会削弱国家对本国数据资源开发、保护和管辖的能力，由此产生国家安全、公民隐私、执法受阻、产业失控等复杂风险挑战。

目前全球数据安全治理主要模式分别是以美国为典型的单边模式，宽进严出，事后问责；以欧盟为代表的双边模式，内松外严，人权保障；以中国为典型的多边模式，严格保护，协同监管。各国针对数据跨境都有较为严格的监管要求，企业在开展数据跨境业务时应遵循基本原则，以应对政府监管，保障用户主体权利以及企业的商业利益。近年来全球相关数据跨境的监管案例层出不穷，国内多个出海企业因此受到影响和处罚。全球数据跨境已不仅仅在监管层面，执法处罚方面的案例也逐年增多。

高轶峰认为，随着数字经济时代的到来，全球数据化贸易合作在国际贸易中的的价值和地位不断攀升，而网络安全及数据安全亦成为全球各国监管的关注重点。世界各国加快了数据领域的立法和监管，目前全球己有近100个国家和地区制定了网络安全及数据安全保护法律。同时国内与网络安全和数据安全相关的法律法规快速更新，如《网络安全法》、国标《个人信息安全规范》，工信部发布的《电信和互联网用户个人信息保护规定》等，企业信息安全和数据安全已成为互联网企业安全管理的重要组成部分。此外，企业走出去还要考虑海外数据安全及隐私保护合规要求。高轶峰建议企业可采取如下措施完善企业数据安全，首先要识别企业在上市过程中的信息安全合规监管要求与数据安全合规要点，参考国际标准ISO27001、ISO27018、ISO27701融合并形成企业的法律合规体系。对标具体合规检查内容，排查企业当前业务模式不同层面存在的数据合规风险，提出具体解决方案，提高企业数据管理成熟度。随后，排查产品与系统现有及历史留存数据的合规性，提出具体解决方案，降低合规风险，建立健全企业数据合规体系，完善数据安全合规管理制度，明确数据安全合规组织架构与责任。最后形成第三方数据合规报告，向投资人和监管机构证明企业的合规举措。