在数字经济迅猛发展的今天，数据无疑已成为推动社会进步和助力经济增长的核心要素。随着中国企业在全球市场的跨境贸易活动愈发频繁，数据跨境流动的需求也随之激增。然而，这种大规模的数据流动不可避免地带来了数据安全隐患，如何在数据的自由流动与国家安全之间找到平衡点，成为中国当前亟待解决的问题。尽管中国已经建立了完备的数据安全法律体系和监管架构，但在实际操作层面，企业依然面临着合规成本高昂、监管要求与企业实际需求不匹配等难题。本文探讨在严格保障数据安全的基础上，如何有效降低企业合规成本，从而更充分地释放数据跨境流动所蕴含的巨大经济价值，为中国经济的持续稳健发展注入新的活力。

一、数据出境的背景与现状

1.数据治理体系的演进。近年来，中国通过《网络安全法》《数据安全法》和《个人信息保护法》建立了较为完备的数据出境监管体系。根据《数据安全法》第三十一条，跨境数据流动主要由国家网信办和国务院有关部门监管。然而，尽管法律体系已然基本完备，在实际操作层面仍存在诸多挑战，亟待解决。

2.企业与政府之间的诉求差异。在数据出境问题上，监管部门以保障数据安全为首要任务，而企业则更注重业务开展的便利性和效率。因此，国家监管部门的保障数据安全的使命与出海企业的数据流动诉求之间存在一定冲突。这种立场上的差异导致了双方在实际操作中的矛盾，如监管部门的要求与企业运营模式存在冲突、监管规定与技术操作之间存在误区、安全评估流程冗长繁琐等，这些都增加了企业的合规成本。

二、现存问题的深入剖析

1.监管部门与企业间的信息不对称。关于企业数据出境问题，在实务操作中，监管部门会先行评估数据出境的必要性，进而审核其合法性。然而，因对企业业务模式的深入了解有所欠缺，监管部门与企业之间在“必要性”的判定上可能会出现偏差。以某外国酒店企业为例，该企业在华运营时，因其数据库服务器位于海外，使得中国客户在国内预订酒店时亦产生数据出境的情形。监管部门因判断此类数据出境为“非必要”，故要求该企业在中国境内建立独立的预订系统。但值得注意的是，跨国酒店企业在海外经营时通常仅享有经营权而无产权。若遵循监管部门的指示，企业将面临极高的合规成本，甚至可能因此被迫退出市场。显然，监管部门对行业的了解不足，已对数据出境的实际操作构成影响，加大了企业在合规过程中的难度与成本负担。

2.法律规定与技术操作之间的误区。尽管相关法律对数据出境活动已经提出了清晰明确的规范性要求，然而，在实际的技术操作过程中却显露出诸多误区。以敏感信息的处理为例，法律条文虽明确要求对其进行删除，但并未提供详尽的操作指南，这使得企业在面对物理删除与逻辑删除两种选项时陷入两难境地。物理删除代表着数据的永久性、不可恢复性擦除；相较之下，逻辑删除仅仅是让数据在系统中呈现为不可见状态，而数据本体依旧留存于系统内部。其中，彻底删除敏感信息的作业往往涉及复杂的技术流程和操作，增加了企业的技术实施难度与成本支出。由于规定上的不确定性，企业在具体操作时常常感到无所适从，难以把握合规尺度。

此外，在数据出境环节中的用户信息匿名化处理，同样存在着技术操作上的误区。理论上，当信息处理到无法与具体个人信息产生关联的程度时，我们便可认定其达到了匿名化的标准。但现实情况是，匿名化技术目前尚缺乏一个统一、明确的国家标准，这使得企业在实施时难以找到准确的参考依据。同时，相关部门对匿名化技术的认证持有极为审慎的态度，进一步加剧了操作的复杂性。综上所述，在法律规定与技术落实之间存在着明显的落差。这些误区不仅让企业在合规工作中步履维艰，更在无形中大幅提升了合规的成本。

3.审核标准的模糊与流程的复杂。监管部门审核标准的不明确性和审核流程的复杂性也显著增加了企业的合规成本，对企业的数据出境效率造成了不利影响。在数据出境安全评估过程中，尽管监管部门对“重要数据”与“一般数据”的审批流程有所区别，但两类数据的具体界定标准却模糊不清。这导致企业在对数据进行分类时，往往倾向于将存疑数据归类为重要数据以提交审查，从而加大了监管部门的审查工作量，同时也提升了企业自身的合规成本。

此外，根据《数据出境安全评估办法》的相关规定，当企业计划将涉及超过100万人的个人信息数据传输出境时，必须履行安全评估申报义务。对于规模较大的公司而言，这一标准相对容易被触发。且即便企业仅传输用户已明确同意共享且符合个人信息保护规定的数据，也仍需按照要求进行安全评估申报，这无疑给企业带来了额外的运营成本。

再者，网信办所规定的安全评估审批流程要求企业在完成自我评估后，进一步提交相关材料以供正式的安全评估。审核流程的繁琐性和审批周期的漫长性均给企业造成了不小的合规成本负担，并可能影响企业及时把握市场机遇，从而制约其业务发展。面对此种状况，部分企业或许会考虑通过非正式途径进行数据转移，以规避繁杂的审批流程，但此举无疑增添了潜在风险。

三、针对性的优化措施

1.加强监管部门与企业的有效沟通。为了有效缓解监管部门与企业之间存在的信息不对称问题，建立一个健全的信息共享机制显得至关重要。为了实现这一目标，监管部门应积极采取措施，主动与企业携手，共同构建稳定且高效的信息交流桥梁。通过定期组织座谈会、研讨会或利用线上交流平台，双方可以围绕数据出境的必要性、行业发展的最新趋势以及合规面临的挑战等核心议题展开深入探讨。这样的交流不仅有助于监管部门更深入地了解企业的真实需求和独特的运营模式，从而确保所出台的政策更加符合实际情况，更具操作性和针对性。

同时，企业也应承担起相应的责任，主动向监管部门提供详尽的产业商业模式报告，帮助监管部门更全面地掌握行业的整体状况，为其在制定和执行政策时提供有力的数据支撑。通过这样的双向信息交流，可以促进监管部门与企业之间的良性互动，共同推动一个更加高效的数据出境管理环境的形成。

2.细化法规内容以提供明确指导。针对法律规定与实际操作之间可能存在的误区，我们迫切需要采取全面且系统的应对策略。首要任务是对现有的法律条文进行深入地精细化解读与全面阐释，进而整合形成一套系统、明确且具有高度指导性的技术操作手册，旨在为企业提供清晰的技术操作指引。具体而言，可以制定关于敏感信息删除的详尽操作指南，明确列出步骤和注意事项，以及制定关于匿名化技术的具体标准和实施细节。通过这些措施，我们能够确保企业在实际操作过程中精准遵循法律规定，避免因理解偏差或操作不当而导致的法律风险。此外，构建数据合规咨询平台也是一项可取的举措。这些平台将实时为企业提供法律咨询和技术支持服务，确保企业在遇到难题或困惑时，能够迅速获得专业、准确的解决方案。

3.简化审批流程以降低合规成本。在审核标准与流程方面，同样需要进一步地优化和完善。首先，监管部门亟须颁布更为详尽的审核准则。具体而言，应进一步阐释“重要数据”与“一般数据”的界定标准，通过法规的细化和具体化，为企业提供清晰的数据分类指引，同时也有助于减少因误判而导致的不必要审查工作量，提升监管效率。在数据精细分类的基础上，我们提议对审批流程进行简化。对于被明确界定为“重要数据”的信息，应维持严格的审查和管理制度；而对于“一般数据”，则可适当放宽管制，缩短审批周期，从而加速企业数据出境的流程。

此外，考虑到部分企业在日常运营中需要处理大规模的个人信息数据，我们建议降低某些特定情况下的审批门槛。例如，在数据主体已明确同意数据共享且符合个人信息保护法规的前提下，对于涉及大规模数据流动的情况，监管部门可以考虑豁免或部分豁免安全评估申报义务，以减轻企业的合规负担。通过明确审核标准、优化审批流程以及降低特定条件下的审批门槛，我们可以有效提升数据出境安全评估的效率，降低企业的合规成本，促进数据的合法、安全和高效流动。

今年新颁布的法规对数据出境的限制进行了一定程度的放宽，为企业提供了更大的灵活性。面向未来，我们提议进一步加强监管部门与企业之间的沟通交流，细化法规内容，并简化审批流程。通过这些举措，我们期望能在确保数据安全的基础上，进一步降低企业的合规成本，并促进数据的顺畅流动。这将不仅有助于提升企业的运营效率，更能为中国经济的发展提供动力。

（本文系复旦大学发展研究院《数据跨境流动、个人信息保护与数字韧性建设》课题系列成果。报告主编：江天骄系复旦大学发展研究院副教授、金砖国家研究中心副主任，姚旭系复旦大学发展研究院青年副研究员、上海数据研究院特聘研究员，报告行业导师：陈文昊系植德律师事务所数据合规业务合伙人、合规部负责人，报告组成员：金子韫、吴致远、邢嘉耀、姚媛、马怡宁、陈梓培、郎瑾怡、张桐语均来自复旦大学）