完善涉外资本运作领域国家数据安全立法的思考

　　数据安全攸关国家安全、公共利益和个人权利。当前，西方各国均重视跨境资本运作和外商投资领域的国家数据安全，加强相关立法和外资国家安全审查。我国也在加强数据安全立法，包括建立外商投资安全审查机制，完善数据出境管理规定等。综合来看，从涉外数据安全保护的现实需要出发，我国仍需进一步完善涉外资本运作领域国家数据安全立法并加强执法。

　　跨境资本运作领域的国家数据安全风险

　　数字经济和人工智能产业的快速发展凸显出数据及数据安全的重要性。当前，国家数据安全风险多与跨境资本运作等有关，甚至有大国博弈色彩。在跨境并购等资本运作领域，欧美等西方国家常以国家数据安全为由对个案交易进行干涉，以国家数据安全为由对外资企业进行管制。

　　外资与我国改革开放相伴而生，并非始自今日。外资持有或曾经持有百度、美团、阿里巴巴等一定数量的股权，是这些大型平台企业初创、发展及上市前的重要金融支撑。这些大型平台企业积极采取所谓的红筹架构，通过离岸公司（BVI）或协议控制（VIE）及特殊目的公司（SPV）等组织架构和协议安排，在海外开展资本运作实现境外上市。目前，百度、阿里巴巴等大型平台企业已成功在美国纳斯达克、纽交所等证券市场上市，受美国证券法等相关法律的管辖。这说明我国在相关领域对外资的开放程度。

　　近期，我国放宽了数据涉外投资准入的限制。工信部于2024年10月组织召开增值电信业务扩大对外开放试点工作座谈会，正式启动北京、上海、海南、深圳四地增值电信业务扩大对外开放试点工作。外资企业可在试点地区独资经营互联网数据中心（IDC）、在线数据处理与交易处理等电信业务。在自贸区层面，北京等地探索离岸数据中心业务，通过专属光缆允许外资企业实现离岸数据的跨境传输。

　　外资参与投资国内重要数据平台企业、数据中心不一定带来国家安全风险。但从发展角度看，有必要对涉外资本运作领域的国家数据安全给予一定关注，在制度层面加强对国家数据安全的细化立法执法和司法保障。在吸引和利用外资的同时，加强外资国家安全法治保障有其必要性。

　　加强跨境资本运作领域国家数据安全立法

　　我国涉外法治正逐步完善，国家数据安全的政策措施与时俱进。当前，我国已制定数据安全法，建立国家数据安全的监管框架，包括国家数据安全风险主动申报等触发机制。同时，我国注重加强在公开市场操作和外资并购领域的国家安全风险防控，新出台《外国投资者对上市公司战略投资管理办法》等，加强了国家数据安全的审查和监管。然而，在规范和操作层面，和欧美等西方发达国家相比，仍有进一步强化和细化的必要。

　　美国的外资涉数据国家安全立法具有鲜明的实践导向，规则较为细致，具有较强的针对性。具体而言，美国制定的《外国投资风险审查现代化法》（FIRRMA）是外资国家安全审查的专门法，还有《防止外国对手获取美国人数据法案》（PADFA）《澄清境外数据合法使用法案》（CLOUD Act）《保护美国人免受外国竞争对手控制的应用程序侵害法案》（PAFACA）等专门立法。这些立法特色鲜明，民商事规则与监管规则交织，甚至通过基本的民商事规则实现监管目的。

　　我国应根据国内实际，在借鉴域外经验的基础上，加强涉数据等新兴领域的“小、快、灵”立法工作机制，加强国家数据安全保护的细分领域和针对性，注重实务可操作性。这既有利于使国家数据安全与公民个人信息保护同频共振，也有利于实现数据流通利用与国家数据安全保护的相得益彰。当然，我国在对国际上相关立法动向作出回应的同时，也应考虑差异化，并化解外国管制性立法的消极影响。

　　完善私募股权投资的国家数据安全规则

　　当前，我国正大力发展数字经济及硬科技等新兴产业。私募股权投资在支持科创企业融资方面发挥重要作用，具有不同于股市等公开市场融资的功能。当前，在涉及新质生产力发展的大模型、自动驾驶、商业航天、生物医药等领域，除国资及内资投资基金外，可能也有外资私募基金参与。通常而言，私募股权投资的目标在于获取高额回报，不以控制被投企业的具体业务或参与经营管理为目标，这使得其中的数据安全风险尚未成为国家数据安全领域关注的焦点。

　　外资私募基金受大国博弈影响大，是国家安全风险及其监管的新领域。鉴于当下数字经济和人工智能产业与数据及数据处理的强关联性，应关注私募股权投资的国家数据安全监管。对于科创企业的国家数据安全监管应注重预防性，将国家数据安全观念嵌入私募股权投资“募投管退”的全过程之中。同时，对外资私募资本在数字基础设施等涉及国家数据安全领域的投资，进行国家数据安全穿透式审查，识别最终的权益归属主体，排除最终投资者及相关主体的国家数据安全风险。

　　完善涉外资本运作领域的数据产权保护

　　目前，我国正在完善健全数据产权制度。数据产权有利于激活数据市场活力。数据产权的完善需注重体系化和系统性，除了数据产权的市场规则，也有必要完善配套规则。

　　第一，建立公共数据国家信托所有权制度。我国可建立公共数据、政务数据国家所有的规则，在产权层面明确初始产权归属主体。在原始公共数据国家所有的基础上，其衍生利用不得危害在先的公共数据产权，不得损害公共数据所有权蕴含的公共利益价值。公益信托所有权是国际上成熟的国有公共资源产权安排，强调产权持有主体的公益受托人地位。公共数据、政务数据的国家所有权在于在维护公共利益和国家安全的前提下，实现开放利用和共享，并不在于建立营利性的公共数据产权。

　　第二，建立基于国家数据安全的涉数据产权强制移转规则。境外主体可能通过股权投资或其他复杂隐蔽的交易安排，间接持有、控制为国内法律禁止或危害国家安全的国内数据。有必要在国家安全法、数据安全法基础上，通过立法或司法解释等方式完善细化规定予以规制。

　　第三，建立外资数据境内存储及数据托管制度。当前，我国已初步建立数据本地化存储机制，但在外资数据本地化存储方面仍有待加强，应加强对外资企业持有的重要敏感数据本地化存储的要求。同时，协调外资企业数据离岸需求与本地化存储的关系，支持离岸数据中心和数据专线建设，为外资跨境数据传输提供物理通道和规则保障。对于外资企业持有的涉国家数据安全的数据，实行由可信第三方进行数据托管的制度，不得以直接或间接的数据产权主体身份处理应由第三方托管的数据，不得对数据进行加工使用或开发数据产品，包括通过匿名化处理后而进行流通利用。

　　总体而言，国家数据安全风险与我国吸引外资和改革开放相伴而生，并非洪水猛兽。在维护和吸引外资的同时，我国应重视其中的国家数据安全风险，加强涉外资本运作中的国家数据安全保护。国家数据安全法治的完善并非阻止数据流通利用。相反，是在明确规则和预期的基础上统筹发展和安全，在更高水平上保障改革开放的行稳致远。

　　（作者单位：北京市社会科学院法治研究所）