2023企业跨境数据流动安全合规白皮书

中国移动通信有限公司研究院 2023年2月 企业跨境数据流动 安全合规白皮书 （2023） 1 前 言 数据作为新型国家战略性资产，其经济价值与战略价值在全球数字经济发展过程中日益凸显。作为维系全球经济活动的重要纽带和经济新秩序博弈焦点，跨境数据流动在大力推动经济全球化发展的同时，也面临数据安全保护、数据监管合规等方面的问题与挑战。随着世界各主要经济体对跨境数据流动提出越来越多的监管要求，如何合规开展跨境数据流动已不是企业面临的“选答题”，而是“必答题”。当前我国企业跨境数据流动合规保障体系还处于起步阶段，企业日益频繁的跨境数据流动需求、日趋严格的跨境数据流动监管要求与跨境数据流动合规保障能力尚不匹配。 本白皮书基于当前全球跨境数据流动主流模式及安全合规方法论，面向企业提出一套以“管理体系、技术体系与运营体系协同发展”为核心的企业跨境数据流动安全合规指导方案。白皮书力图满足市场需求，为企业提供组织、制度、流程构建等方面的指引，优化跨境数据全流程管理，促进跨境数据安全合规流动。 本白皮书由中国移动通信有限公司研究院主笔，中国移动国际有限公司、启明星辰信息技术集团股份有限公司联合编写。 2 目录 1 企业跨境数据流动风险态势 ............................................... 3 1.1 企业跨境数据流动需求与意义 ....................................... 3 1.2 企业跨境数据流动现存问题 ......................................... 3 1.2.1 跨境数据流动“规则异” ..................................... 3 1.2.2 跨境数据流动“识别难” ..................................... 4 1.2.3 跨境数据流动“风险高” ..................................... 4 1.3 研究框架 ......................................................... 4 2 企业跨境数据流动合规体系 ............................................... 5 2.1 企业跨境数据流动合规总体框架 ..................................... 5 2.1.1 跨境数据流动管理体系 ....................................... 5 2.1.2 跨境数据流动技术体系 ....................................... 6 2.1.3 跨境数据流动运营体系 ....................................... 6 2.2 企业跨境数据流动管理体系 ......................................... 6 2.2.1 跨境数据流动组织建设 ....................................... 6 2.2.2 跨境数据流动制度建设 ....................................... 8 2.3 企业跨境数据流动技术体系 ........................................ 10 2.3.1 境内总平台建设框架 ........................................ 10 2.3.2 境外子平台建设框架 ........................................ 12 2.4 企业跨境数据流动运营体系 ........................................ 13 2.4.1 跨境数据流动运营体系规划 .................................. 13 2.4.2 跨境数据流动基础信息梳理 .................................. 13 2.4.3 跨境数据流动日常管控 ...................................... 14 2.4.4 跨境数据流动日常监测 ...................................... 14 2.4.5 跨境数据流动合规闭环评估 .................................. 15 3 企业跨境数据流动应用体系 .............................................. 15 3.1 企业跨境数据流动模式与应用场景 .................................. 15 3.1.1 模式一：境内企业收集境内数据后向境外传输 .................. 16 3.1.2 模式二：境外企业直接收集并处理境内数据 .................... 16 3.2 企业跨境数据流动合规体系在典型场景中的应用 ...................... 17 3.2.1 实施全流程分级多节点集中管控 .............................. 17 3.2.2 建立集中的跨境数据供给区 .................................. 17 3.2.3 开展场景化的跨境数据管控 .................................. 17 3.2.4 建设跨境数据流动能力支撑组件 .............................. 18 4 企业跨境数据流动未来展望 .............................................. 18 4.1 规则完善：跨境数据流动监管规则的行业化特征日趋凸显 .............. 19 4.2 技术发展：跨境数据流动相关技术日趋成熟并广泛应用 ................ 19 4.3 价值转变：合规体系建设将由“合规性驱动”转向“业务价值驱动” .... 19 参考文献 ................................................................ 21 3 1 企业跨境数据流动风险态势 1.1 企业跨境数据流动需求与意义 全球正加速迈入数字经济时代，数据成为驱动经济发展的关键生产要素。跨境数据流动已成为推动经济全球化与国际贸易发展的重要力量。自2008年以来，跨境数据流动对全球经济增长的贡献已经超过传统的跨国贸易和投资，支撑了包括商品、服务、资本、人才等其他几乎所有类型资源的全球化活动，而且开始发挥越来越独立的作用[1]。党的二十大报告专门提出“推动货物贸易优化升级，创新服务贸易发展机制，发展数字贸易，加快建设贸易强国”的重要任务。作为驱动数字经济发展的重要力量[2]，数据跨境流动将重塑各国劳动力市场竞争关系及价值链，在促进我国贸易增长、加速技术创新等方面发挥重要作用。 企业作为市场主体，其业务模式和经营模式引发高频化、规模化且常态化的跨境数据流动。在全球产业分工日趋细化的背景下，企业的海外业务布局通常涉及多个国家，数据的集中协同处理是企业经营的客观需求。依托数字技术和信息网络，企业跨境数据流动可促进各类资源要素畅通流动以及各行业市场主体加速融合，帮助企业持续推动自身运营方式改善、供应链优化与商业模式创新，助力企业实现资源的高效配置。 本白皮书重点关注我国境内企业开展跨境数据流动所面临的形势、困难与问题，提出促进跨境数据流动安全、有序、合规开展的指导方案。 1.2 企业跨境数据流动现存问题 随着企业数据跨境传输、访问、使用的频次和容量大幅度上升，数据跨境流动所带来的风险越来越复杂。当前企业跨境数据流动面临“规则异”、“识别难”与“风险高”三大挑战，难以实现安全与效益的平衡。 1.2.1 跨境数据流动“规则异” 跨境数据流动面临数据流出国与流入国之间在数据保护、数据监管等方面的法律法规冲突。各国均以维护本国利益为出发点，构建跨境数据流动法 4 律条款和监管制度。美国跨境数据流动以维护其在全球贸易中的主导地位为核心，以“自我赋权”延展自身在全球范围内的数据主权辖域[3]。欧盟以大数据单一市场战略打造欧盟数字经济整体实力，采用单边立法赋权方式扩张其长臂管辖权[4]。我国遵循“数据境内存储，出境安全审查”模式[5]，通过三部上位法明确数据出境安全管理基本原则。在各个国家与地区跨境数据流动法律法规的多重管辖下，企业在实践层面面临规则不统一、差异大的难题。 1.2.2 跨境数据流动“识别难” 随着数字贸易的蓬勃发展，跨境数据的种类和数量呈现指数级递增。对海量数据进行全面梳理分类和有效识别是实现跨境数据流动合规保障的前提。依据我国《网络安全法》、《数据出境安全评估办法》等法律法规要求，企业需要识别跨境数据在境内、境外的分布状态，并对数据进行分类分级标识，对核心数据、重要数据、个人信息等进行重点安全防护，建立境内、境外数据分类分级防护能力体系。数据跨境后企业为保护相关数据，需要全面了解敏感数据资产存储数量、位置及分布情况, 制定切实可行的跨境数据安全防护策略。由于企业跨境数据规模大、种类多、速度快、频度高，如何准确高效进行数据识别成为企业在实践中面临的难点问题。 1.2.3 跨境数据流动“风险高” 随着企业数据价值的不断攀升，跨境数据攻击愈加频繁，且攻击者组织形式趋于集中化、专业化，攻击对象呈现多样化、泛在化，攻击方式走向智能化、多样化。企业在数据使用中根据不同的业务场景采取相关的数据安全保护策略和保护措施，以满足国内相关法律法规要求和境外数据使用的要求，防止数据泄露带来国家安全隐患和企业经营损失。随着数据跨境攻击技术的不断升级，跨境数据攻击活动严重扰乱了企业跨境数据生态健康发展，大大提升了企业数据安全防护难度与风险。 1.3 研究框架 本白皮书秉承“以安全为中心、以价值为驱动、以数据创未来”的理念，提出跨境数据流动安全合规体系和应用体系。研究框架如图1-1所示。 5 图1-1 研究框架 2 企业跨境数据流动合规体系 2.1 企业跨境数据流动合规总体框架 本白皮书以《信息安全技术-数据安全能力成熟度模型》(GB/T 37988- 2019）[6]为基础，参考Gartner DSG（Data Security Governance）数据安全治理框架等多个业界主流模型[7]，面向《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》和《数据出境安全评估办法》中涉及到的企业跨境数据流动要求，从管理、技术与运营三个维度提出跨境数据流动合规体系，如图2-1所示。 2.1.1 跨境数据流动管理体系 跨境数据流动管理体系主要包括组织建设和制度规范建设。 跨境数据流动组织建设：首先要成立专门的跨境数据流动安全合规部门，以确保跨境数据流动安全合规工作的有效落实。 跨境数据流动制度规范建设：在整个跨境数据流动过程中，需要制定相应的安全策略和制度规范，所有的工作流程和技术支撑都需要围绕此规范制定和落实。 6 图2-1 跨境数据流动合规体系框架 2.1.2 跨境数据流动技术体系 跨境数据流动技术体系主要由管控平台和支撑能力组件共同构成。 跨境数据流动管控平台：该平台用于分析展现跨境数据资产分类、分级及分布情况，有效监控跨境数据流转路径和动态流向，实现集中化数据管控策略管理，加强数据的全生命周期管理能力，对数据风险进行识别和态势分析，为数据安全运营管理工作提供支撑。 跨境数据流动支撑能力组件：支撑能力组