打开微信,扫一扫二维码
订阅我们的微信公众号
打开手机,扫一扫二维码
即可通过手机访问网站并分享给朋友

在跨境投资项目中,尽职调查是交易启动后的必经环节,为此境外投资人及其境外律师、会计师、财务顾问、技术顾问会要求目标公司披露各类资料文件。从交易视角看,资料披露是常规操作;但从合规视角看,依照国家网信办《数据出境安全评估申报指南(第三版)》,只要将境内运营中收集和产生的数据传输至境外,或者数据虽存储在境内但允许境外的机构、组织或者个人可以查询、调取、下载、导出,或者在境外处理境内自然人个人信息等其他数据处理活动,就属于数据出境行为,将触及到合规问题。
对于人工智能、互联网平台、智能制造、医疗健康、金融科技、智能汽车、地理信息、跨境电商等数据密集型企业,这一问题尤为突出。此类企业的价值不仅体现在股权、设备、知识产权等传统资产上,更体现在用户数据、训练数据、业务数据、日志数据、标注数据和行业场景数据中;若尽调资料披露不当,较易产生数据合规和监管风险。
本文旨在对跨境投资尽调中常见的数据出境合规问题作一梳理。
一、先识别:尽调资料中是否存在受监管数据
跨境投资尽调中的数据出境合规,首先要识别资料中是否包含个人信息、敏感个人信息、重要数据,或者其他受监管的数据。
(一)个人信息
《个人信息保护法》第4条规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息;该法第73条进一步区分了“去标识化”和“匿名化”:去标识化是使个人信息在不借助额外信息的情况下无法识别特定自然人的过程;匿名化则要求处理后无法识别特定自然人且不能复原。
因此,在尽调资料中,仅删除姓名、手机号、身份证号等直接标识,并不必然使资料脱离个人信息范围。如果境外接收方仍可结合员工编号、岗位、薪酬、项目记录、客户编号、订单记录、设备标识符、系统日志等信息识别特定自然人,该等资料仍应按照个人信息管理。只有在无法识别特定自然人且不能复原的情况下,相关信息才可能作为匿名化信息处理。
跨境投资尽调中常见的个人信息包括员工花名册、劳动合同、薪酬绩效资料、股权激励名单、客户或供应商联系人信息、用户注册信息、订单或交易记录、客服记录、系统日志、设备标识符、定位记录等。
(二)敏感个人信息
《个人信息保护法》第28条规定,敏感个人信息是指一旦泄露或者非法使用,容易导致自然人人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
在尽调场景下,身份证件号码、面部识别信息、健康或病假资料、金融账户信息、行踪轨迹、不满十四周岁未成年人信息,以及能够反映个人收入、绩效、纪律处分、诉讼纠纷等情况的资料,均应作为敏感个人信息审慎处理。敏感个人信息不宜向境外投资人直接开放;确有必要披露的,应单独论证必要性,并采取更严格的保护措施。
(三)重要数据
《网络数据安全管理条例》第62条将重要数据界定为特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。
《数据安全法》第21条确立了数据分类分级保护制度和重要数据重点保护制度;《网络数据安全管理条例》第29条规定,各地区、各部门应当确定本地区、本部门以及相关行业、领域的重要数据具体目录,并对列入目录的网络数据进行重点保护。《促进和规范数据跨境流动规定》第2条进一步明确,数据处理者应当按照相关规定识别、申报重要数据;未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。企业应结合地区、主管部门、行业的重要数据目录以及自身数据类型和规模识别拟披露资料是否包含重要数据。
(四)其他受监管的数据
除个人信息、敏感个人信息和重要数据外,部分资料还可能涉及国家秘密、工作秘密等其他受监管的数据。
例如,《数据安全法》第53条规定,开展涉及国家秘密的数据处理活动,适用《保守国家秘密法》等法律、行政法规的规定;《网络数据安全管理条例》第63条也明确,开展涉及国家秘密、工作秘密的网络数据处理活动,适用《保守国家秘密法》等法律、行政法规的规定。
二、再判断:哪些尽调场景可能构成数据出境
如前所述,只要将境内运营中收集和产生的数据传输至境外,或者数据虽存储在境内但允许境外的机构、组织或者个人可以查询、调取、下载、导出,或者在境外处理境内自然人个人信息等其他数据处理活动,就属于数据出境行为,应纳入数据出境合规判断。数据出境的常见场景包括:
场景 | 可能涉及的数据出境动作 | 合规关注点 |
境外投资人查看虚拟资料室 | 境内目标公司将资料上传至境外服务器,或通过资料室向境外账号开放查看、下载权限 | 资料是否包含个人信息、敏感个人信息、重要数据或其他受监管的数据;资料室服务器所在地及访问权限 |
境外中介机构参与尽调 | 向境外律师、会计师、财务顾问、技术顾问发送资料或开放资料室权限 | 境外中介是独立接收方、受托处理方还是投资人代理人;是否存在再转移 |
境外基金、母公司或投资委员会远程查阅 | 境外关联方通过账号查看交易资料、业务系统、财务系统或人力资源系统 | 是否超出交易必要范围;是否涉及持续性访问 |
技术、数据或算法尽调 | 境外投资人查看用户数据、训练数据、日志数据、标注数据、模型样本 | 是否含个人信息、敏感个人信息、重要数据或其他受监管的数据 |
交割后系统整合 | 境内公司接入境外集团统一ERP(企业资源计划系统)、CRM(客户关系管理系统)、HR(人力资源管理系统)、财务、合规、审计或数据仓库 | 出境目的、范围、频率、接收方和保存地点可能发生实质变化 |
境外司法或执法机构调取资料 | 境外法院、监管机构或执法机构要求境内企业或境外集团提交境内数据 | 涉及《数据安全法》第36条及《个人信息保护法》第41条,不能直接提供 |
三、逐层检索:数据出境的合规要求
跨境投资尽调中的数据出境合规要求,可按以下顺序检索:第一,是否达到需进行安全评估、标准合同或认证的门槛;第二,是否适用免予安全评估、标准合同或认证的情形;第三,即便适用免予安全评估、标准合同或认证的情形,仍应履行个人信息保护和数据安全基础义务。
(一)是否达到需进行安全评估、标准合同或认证的门槛
《个人信息保护法》第38条规定,个人信息处理者因业务等需要向境外提供个人信息的,应当具备通过国家网信部门组织的安全评估、经专业机构进行个人信息保护认证、按照标准合同与境外接收方订立合同,或者法律、行政法规、国家网信部门规定的其他条件之一。该条规定的安全评估、标准合同或认证三类要求和“其他条件”是数据出境的基础规范。
1. 不含个人信息、重要数据的资料,不触发三类出境要求
《促进和规范数据跨境流动规定》第3条规定,国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
因此,如果尽调资料不包含个人信息、重要数据,则无需进行安全评估、标准合同或认证。此时,合规要求主要转向保密、商业秘密和竞争法监管要求。例如,财务报表、商业计划、采购价格、客户结构、供应商报价等即便不构成个人信息或者重要数据,也仍可能需要通过保密协议、资料室权限、下载限制、水印等方式予以保护。
2. 达到门槛的,应相应选择安全评估、标准合同或认证要求
依照《促进和规范数据跨境流动规定》第7条和第8条规定,当前安全评估、标准合同或认证要求的门槛可概括如下:
数据出境情形 | 合规要求 |
关键信息基础设施运营者向境外提供个人信息或者重要数据 | 申报数据出境安全评估 |
关键信息基础设施运营者以外的数据处理者向境外提供重要数据 | 申报数据出境安全评估 |
关键信息基础设施运营者以外的数据处理者,自当年1月1日起累计向境外提供100万人以上个人信息,不含敏感个人信息 | 申报数据出境安全评估 |
关键信息基础设施运营者以外的数据处理者,自当年1月1日起累计向境外提供1万人以上敏感个人信息 | 申报数据出境安全评估 |
关键信息基础设施运营者以外的数据处理者,自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息,不含敏感个人信息 | 订立个人信息出境标准合同,或者通过个人信息出境认证 |
关键信息基础设施运营者以外的数据处理者,自当年1月1日起累计向境外提供不满1万人敏感个人信息 | 订立个人信息出境标准合同,或者通过个人信息出境认证 |
如果依法需要申报数据出境安全评估,应按照《数据出境安全评估办法》准备申报书、数据出境风险自评估报告、与境外接收方拟订立的法律文件等材料。国家网信部门原则上自发出书面受理通知书之日起45个工作日内完成评估;情况复杂或者需要补充、更正材料的,可以适当延长。依照《促进和规范数据跨境流动规定》第9条规定,通过数据出境安全评估的结果有效期为3年;有效期届满需要继续开展数据出境活动,且未发生需要重新申报情形的,可以在有效期届满前60个工作日内申请延长。
如果依法需要订立个人信息出境标准合同或通过个人信息出境认证:
选择标准合同路径的情况下,应按照《个人信息出境标准合同办法》第5条至第8条开展个人信息保护影响评估,使用标准合同文本,并在标准合同生效之日起10个工作日内向所在地省级网信部门备案。若向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点,或者境外接收方处理个人信息的用途、方式等发生变化,应重新开展影响评估,补充或重新订立标准合同,并履行相应备案手续。
选择认证路径的情况下,应关注2026年1月1日起施行的《个人信息出境认证办法》。该办法第5条规定了认证路径的适用门槛;第6条要求在申请认证前履行告知、取得个人单独同意、进行个人信息保护影响评估等义务;第8条规定认证证书有效期为3年;第10条规定,若获证个人信息处理者存在个人信息出境情况与认证范围不一致等情形,认证机构应当暂停其使用直至撤销相关认证证书。
(二)是否适用免予安全评估、标准合同或认证的情形
基于《个人信息保护法》第38条,《网络数据安全管理条例》第35条和《促进和规范数据跨境流动规定》第5条对部分数据出境的条件进行了细化,符合下列情形之一,且提供的个人信息不属于重要数据的,可以免予申报安全评估、订立标准合同或通过认证:
为订立、履行个人作为一方当事人的合同,确需向境外提供个人信息,例如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等;
按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息;
紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息;
关键信息基础设施运营者以外的数据处理者,自当年1月1日起累计向境外提供不满10万人个人信息,不含敏感个人信息。
不过,跨境投资尽调一般是为了评估交易价值和交易风险,目标公司向境外投资人披露资料的行为通常难以归入“为订立、履行个人作为一方当事人的合同”或者“实施跨境人力资源管理”。
对于不含敏感个人信息、且自当年1月1日起累计向境外提供不满10万人个人信息的非关键信息基础设施运营者,《促进和规范数据跨境流动规定》提供了较为明确的免予安全评估、标准合同或认证的条件。
(三)即便适用免予安全评估、标准合同或认证的情形,仍应履行基础合规义务
即便按照前述规定可以免予安全评估、标准合同或认证,也并不等于可以无条件出境,目标公司仍应履行个人信息保护和数据安全基础义务。
1. 个人信息的基础合规义务
首先,应有合法性基础。《个人信息保护法》第13条列明了处理个人信息的合法性基础,包括取得个人同意,为订立、履行个人作为一方当事人的合同所必需,按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需,为履行法定职责或者法定义务所必需,紧急情况下保护自然人生命健康和财产安全所必需等。尽调披露资料中包含个人信息的,不能仅以“交易需要”笼统替代合法性基础。
其次,应遵循最小必要原则。《个人信息保护法》第6条要求处理个人信息具有明确、合理的目的,并与处理目的直接相关,采取对个人权益影响最小的方式,限于实现处理目的的最小范围。《网络安全法》第43条也要求网络运营者收集、使用个人信息遵循合法、正当、必要原则,不得收集与其提供服务无关的个人信息。映射到尽调场景,境外投资人需要评估员工稳定性、客户集中度、供应商依赖度或业务质量,并不当然意味着其需要获得完整员工名单、身份证号、银行账户、个人手机号、逐笔用户交易记录或原始日志。
再次,应履行告知、单独同意和影响评估义务。《个人信息保护法》第17条规定了个人信息处理前的告知义务;第23条规定,向其他个人信息处理者提供其处理的个人信息的,应向个人告知接收方名称或者姓名、联系方式、处理目的、处理方式和个人信息种类,并取得个人单独同意;第39条规定,向境外提供个人信息的,应向个人告知境外接收方名称或者姓名、联系方式、处理目的、处理方式、个人信息种类以及个人向境外接收方行使权利的方式和程序等事项,并取得个人单独同意;第55条、第56条要求在向境外提供个人信息前进行个人信息保护影响评估,并将评估报告和处理情况记录至少保存3年。《促进和规范数据跨境流动规定》第10条亦明确,数据处理者向境外提供个人信息的,应当按照法律、行政法规规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。需要说明的是,在《个人信息保护法》第13条第1款第2项至第7项规定的非同意处理依据成立时,是否仍需取得个人同意,应结合具体场景、个人信息类型、出境路径以及国家网信办申报指南中的要求审慎判断。
最后,应采取必要的安全保护措施。《个人信息保护法》第51条要求个人信息处理者采取分类管理、加密、去标识化、权限控制、安全教育培训、应急预案等措施。《网络数据安全管理条例》第9条要求网络数据处理者在网络安全等级保护基础上,加强网络数据安全防护,采取加密、备份、访问控制、安全认证等技术措施和其他必要措施。落实到尽调项目中,脱敏处理、资料分级、最小权限、下载限制、动态水印、访问日志、到期关闭权限、异常访问监测、资料返还或删除,并非单纯的管理建议,而是履行安全保护义务的重要方式。
2. 敏感个人信息的基础合规义务
依照《个人信息保护法》第28条至第30条规定,处理敏感个人信息应具有特定目的和充分必要性,并采取严格保护措施;基于个人同意处理的,还应取得个人的单独同意,并向个人告知处理敏感个人信息的必要性以及对个人权益的影响。
3. 重要数据的基础合规义务
对于重要数据,《数据安全法》第21条要求建立数据分类分级保护制度并加强对重要数据的保护;第27条要求开展数据处理活动的组织、个人建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应技术措施和其他必要措施;第30条要求重要数据处理者定期开展风险评估并向有关主管部门报送风险评估报告;第31条规定重要数据出境安全管理适用相关规则。《网络数据安全管理条例》第29条至第33条进一步规定了重要数据识别申报、数据安全负责人和管理机构、提供或委托处理前风险评估、合并分立解散破产等情形下的数据处置报告、年度风险评估报告等义务;第37条则明确,网络数据处理者在境内运营中收集和产生的重要数据确需向境外提供的,应通过国家网信部门组织的数据出境安全评估。
对于关键信息基础设施运营者,还应特别关注《网络安全法》第39条。该条规定,关键信息基础设施运营者在境内运营中收集和产生的个人信息和重要数据应当在境内存储;因业务需要确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。
四、实务建议:将数据合规嵌入尽调流程
(一)开放资料室前,先制作数据清单并分级
目标公司不宜在未梳理数据类型的情况下直接开放资料室。建议在资料准备阶段先制作数据清单,并按照风险等级分层处理:
类型 | 常见例子 | 风险提示 | 处理建议 |
公开或低风险资料 | 营业执照、公司章程、公开年报、工商登记信息、知识产权登记信息 | 通常不当然触发个人信息出境规则,但可能夹带签字、手机号、身份证件等信息 | 可在保密协议约束下披露,上传前清理非必要个人信息 |
商业秘密和经营资料 | 财务报表、重大合同、采购价格、销售数据、业务计划、客户或供应商结构 | 可能不构成个人信息或重要数据,但涉及商业秘密、竞争敏感信息或行业监管要求 | 设置资料室权限、水印、下载限制和使用目的限制 |
普通个人信息 | 员工姓名、岗位、工作邮箱、客户或供应商联系人、用户基础信息 | 可能触发合法性基础、告知同意、影响评估和出境路径判断 | 优先汇总化、匿名化或脱敏披露;确需披露的,评估合规路径 |
敏感或高风险个人信息 | 身份证件号码、面部识别信息、健康或病假资料、金融账户信息、行踪轨迹、不满十四周岁未成年人信息、部分薪酬绩效或纪律处分信息 | 可能触发更高保护要求;可能需要标准合同或认证 | 原则上避免披露;确需披露的,限于后期、限人、限时、限用途查看 |
重要数据或疑似重要数据 | 可能危害国家安全、经济运行、社会稳定、公共健康和安全的数据;行业或地区告知、公开发布的重要数据 | 可能触发数据出境安全评估、重要数据风险评估、年度报告等义务 | 先核查行业规则、地区规则、主管部门通知或重要数据目录,必要时咨询主管部门 |
特别监管资料 | 国家秘密、工作秘密、测绘地理信息、出口管制数据、金融监管数据、汽车数据、医疗健康数据等 | 可能适用特别法律法规和主管部门要求 | 单独识别、单独审批,必要时不得向境外披露 |
(二)优先采用匿名化、汇总化和分阶段的披露方式
跨境投资尽调的目的是帮助投资人评估价值和交易风险,目标公司应先判断境外投资人完成估值和风险判断是否确有必要取得原始数据。
例如,员工薪酬资料可以先按部门、岗位、级别提供区间或总额,而非直接披露逐人薪酬表;客户集中度可以先提供前十大客户收入占比、行业分布和合同期限,而非直接提供包含个人联系信息的完整客户明细;用户数据可以先提供注册用户数、活跃用户数、留存率、转化率等统计指标,而非提供可识别个人的原始用户数据。
披露节奏上,可采取分阶段安排:早期尽调开放低风险和汇总资料;签署投资意向书、排他协议或更严格保密协议后,再开放有限范围的敏感资料;交割前确需核查的原始资料,可由境内律师、会计师或技术顾问在境内核查,并向境外投资人输出结论、问题清单或风险提示。
(三)对境外访问权限进行精细化管理
资料室权限应与尽调目的和人员角色相匹配。对于境外投资人、境外律师、境外会计师、技术顾问、LP、境外母公司或投资委员会成员,应分别设置访问权限,而不宜使用统一账号或笼统开放全部资料。
对于高风险资料,应考虑采取仅在线查看、禁止下载打印复制、动态水印、访问日志、到期自动失效、限制访问人员名单、限制访问地点或设备、设置分级审批、异常访问预警等措施。对于敏感个人信息、重要数据或疑似重要数据,不宜直接开放给全部尽调团队,而应采取“必要人员、必要范围、必要时间”的控制方式。
此外,应明确虚拟资料室供应商、服务器所在地、数据备份地点、技术支持人员访问权限和日志留存安排。如果资料室服务商本身位于境外,或者虽服务器在境内但境外人员可以查询、调取、下载、导出资料,也应依照《数据出境安全评估申报指南(第三版)》的口径纳入数据出境判断。
(四)在保密协议和交易文件中加入数据保护条款
传统保密协议通常侧重商业秘密保护,但跨境投资尽调还应加入数据保护条款。《网络数据安全管理条例》第12条要求,网络数据处理者向其他网络数据处理者提供、委托处理个人信息和重要数据的,应当通过合同等约定处理目的、方式、范围以及安全保护义务,并对接收方履行义务的情况进行监督。《数据出境安全评估办法》第9条也对数据出境相关法律文件的约定内容提出要求。
据此,建议在保密协议、投资意向书、尽调规则、股权购买协议、增资协议、股东协议等文件中明确以下事项:境外接收方处理数据的目的、范围、方式和保存期限;不得超出交易尽调、估值、审批和交割目的使用资料;未经目标公司同意不得向关联方、LP、融资方、其他顾问或第三方再转移资料;应采取加密、权限控制、访问日志、人员管理等安全措施;发生数据泄露、篡改、丢失、非法获取、非法利用时应及时通知并配合处置;交易终止、资料使用目的实现或保存期限届满后应返还、删除或销毁资料;如资料涉及个人信息,应协助响应个人权利请求、监管询问、影响评估、审计和安全事件处置;如资料涉及重要数据或行业监管数据,应遵守中国法律、行业规则及主管部门要求。
如果选择个人信息出境标准合同路径,还应按照国家网信部门制定的标准合同文本约定双方权利义务,不得以一般商业合同替代标准合同。
(五)将数据出境安排纳入交易时间表和交割条件
数据出境合规可能直接影响交易进度。若项目依法需要申报数据出境安全评估,应预留资料准备、内部审批、风险自评估、合同谈判、申报材料完备性查验、受理、监管评估和可能补正的时间。
虽然《数据出境安全评估办法》第12条规定国家网信部门原则上自发出书面受理通知书之日起45个工作日内完成评估,但在复杂项目中,受理前材料准备和补正时间也应纳入交易时间表。
对于需要标准合同备案或认证的项目,也应将个人信息保护影响评估、标准合同签署、备案、认证申请、认证机构审查等工作前置安排。交易文件中可以将完成必要的数据出境合规程序设置为交割条件,或者约定在未完成相关程序前,不得向境外投资人开放特定资料、不得接入境外集团系统、不得进行特定数据迁移。
(六)交割后的系统整合应重新评估
很多跨境投资项目在尽调阶段披露的数据有限,但交割后会发生更持续、更大规模的数据流动。例如,境内公司接入境外集团统一ERP(企业资源计划系统)、CRM(客户关系管理系统)、HR(人力资源管理系统)、财务、合规、审计或数据仓库;境外总部集中管理员工、客户、供应商、订单、财务和运营数据;境外集团统一进行安全监控、日志分析或算法训练。
此时,数据出境的目的、方式、范围、种类、规模、保存地点、接收方、再转移安排和安全措施,均可能与尽调阶段不同。企业不能因为尽调阶段已经做过一次评估,就当然认为投后系统整合无需重新判断。若采用标准合同路径,应依照《个人信息出境标准合同办法》第8条判断是否需要重新开展个人信息保护影响评估,补充或重新订立标准合同,并履行备案手续;若采用安全评估路径,应依照《数据出境安全评估办法》第14条及《促进和规范数据跨境流动规定》第9条判断是否需要重新申报或申请延长评估结果有效期;若采用认证路径,应依照《个人信息出境认证办法》第10条核查实际出境活动是否仍在认证范围内。
(七)境外司法、执法调取不能仅按境外要求直接提供
跨境投资项目中,境外投资人、境外母公司或其顾问有时会因境外诉讼、仲裁、监管调查、审计或上市合规要求,要求境内目标公司提供相关资料。此时应特别注意《数据安全法》第36条和《个人信息保护法》第41条。上述规则要求,外国司法或者执法机构请求提供存储于中国境内的数据或个人信息的,应由中华人民共和国主管机关依照有关法律、国际条约、协定或者平等互惠原则处理;非经中华人民共和国主管机关批准,境内组织、个人不得向外国司法或者执法机构提供存储于中国境内的数据或个人信息。
因此,若境外司法、执法或监管程序要求调取境内数据,境内企业不宜仅依据境外律师意见、境外法院命令或集团内部指令直接提交,应同步评估中国法下的审批、报告、保密、个人信息保护和数据安全要求。
五、结 语
跨境投资中的数据出境合规,贯穿于资料准备、资料室开放、尽调问答、交易文件谈判、交割条件设置以及投后系统整合的全过程。
对于目标公司而言,开放资料室前应先完成数据清单和资料分级;对于境外投资人而言,应将数据合规视为交易可执行性和投后整合风险的一部分;对于交易各方及中介机构而言,应在尽调效率、交易透明度、个人信息保护、重要数据安全、特别监管要求和商业秘密保护之间取得平衡。