研究院2023企业数据跨境合规与技术应用白皮书

企业数据跨境合规与技术应用白皮书（2023）中国联通研究院中国联通网络安全研究院下一代互联网宽带业务应用国家工程研究中心20 23 年 11 月 企业数据跨境合规与技术应用白皮书（2023）版权声明本白皮书版权属于中国联合网络通信有限公司、中兴通讯股份有限公司、北京市环球律师事务所，并受法律保护。转载、 摘编或利用其他方式使用本白皮书文字或者观点的，应注明“来源：中国联合网络通信有限公司、中兴通讯股份有限公司和北京市环球律师事务所”。违反上述声明者，将追究其相关法律责任。 企业数据跨境合规与技术应用白皮书（2023）目录前 言...................................................................................................1一、 全球数据跨境流动背景...............................................................31.1 数据跨境驱动全球数字经济加速 增长 ......................................31.2 各国加快构建自身数据跨境流动 规则 ......................................41.3 我国数据跨境流动 监管面临较大 挑战 ......................................6二、我国数据跨境政策环境与重点内容解读.....................................82.1 我国数据跨境监管制度............................................................92.2 数据出境合规路径判断方法...................................................122.3 数据出境合规路径实施流程...................................................152.4 数据出境所涉基本概念..........................................................182.5 数据出境典型场景..................................................................20三、 企业数据跨境合规治理体系建设..............................................233.1 组织 机构 建设 .........................................................................243.2 制度体系建设 .........................................................................263.3 合规路径操作实践..................................................................273. 4 保障体系建设 .........................................................................283.5 技术 防护措施.........................................................................30四、数据跨境安全管理发展建议 ......................................................394. 1 健全数据出境制度体系与保护机制.......................................394.2 强化数据跨境技术创新研究与应用.......................................40 企业数据跨境合规与技术应用白皮书（2023）4.3 推动数据跨境协同治理与国际交流合作.................................41附录：数据出境相关法律法规和国家标准......................................43参考文献...........................................................................................45 企业数据跨境合规与技术应用白皮书（2023）表目录表 2-1 我国法律规制的数据出境合规路径..............................10表 2-2 数据出境合规路径适用情形.........................................11表 2-3 《规定 （征求意见稿）》出台后合规路径适用情形.... 12表 2-4 数据出境行为模式一.....................................................21表 2-5 数据出境行为模式二.....................................................22表 3-1 传统联邦学习和安全联邦学习的比较..........................36图目录图 2-1 数据出境安全评估流程.................................................16图 2-2 个人信息出境标准合同备案流程..................................17图 3-1 数据跨境合规治理框架.................................................24图 3-2 基于区块链网络的跨境数据流动示意图.......................37 企业数据跨境合规与技术应用白皮书（2023）-1-前 言在数字经济背景下，数据已经成为国家 战略资源和关键 生产要素，也是企业的核心竞争资产。伴随着经济全球化，数据跨境活动日益频繁，数据出境场景越来越多，防范数据出境安全风险，保障数据依法有序自由流动成为我国 关注的重要方面。目前 ，我国数据出境安全管理体系已经初步构建形成。《网络安全法》《数据安全法》《个人信息保护法》确立了数据出境的基本原则和主要路径，《数据出境安全评估办法》《个人信息出境标准合同办法》《个人信息保护认证实施规则》等进一步明确了不同数据出境路径的具体要求。企业作为数据跨境活动最活跃的主体 之一 ，无可避免的成为履行数据跨境合规义务的重要主体，但在具体实践中，如何 采取相应的措施、采取哪些措施仍面临许多问题 ，比如 ：如何判断是否需要申报数据出境安全评估，或订立并备案个人信息出境标准合同，或通过个人信息保护认证？三条路径具体应如何实施？能够采取哪些方法和手段防范数据出境安全风险？......本白皮书力图从分析政策、剖析概念、归纳方法、总结举措等方面，尽可能全面、系统地整理当前我国 数据跨境的有关法律法规和实施举措，希望为提高有关 企业或 个人 对数据 跨境 制度的认识和理解，增强经营管理和业务开展过程中对数据出境合规风险的防范意识，强化数据出境合规管理贡献力量。 企业数据跨境合规与技术应用白皮书（2023）-2-本白皮书由中国联通研究院主笔，中国联通集团网络与信息安全部、联通数字科技有限公司数据智能事业部、中国联通国际有限公司、中兴通讯股份有限公司、北京市环球律师事务所联合编写。编写组成员（排名不分先后）：总策划：苗守野、李浩宇、叶晓煜编委会：徐雷 、杨锦洲 、吴钢 、马瑞涛 、林海 、张航 、陶冶 、曹咪 、孙艺、吴连勇、李佳杭、康旗、刘亚琪、孟洁、王程、刘洋、李冰、陈靖、杨晓蔚、韩莹莹、薛竞、黄一申、李佳敏、孙进芳、杨开敏、赵灿、刘宇健、张钦华 企业数据跨境合规与技术应用白皮书（2023）-3-一、全球数据跨境流动背景当前 ，以 5G 、云计算 、大数据 、人工智能等为代表的新一代信息通信技术快速发展并逐渐 跨界融合，加速 推进 全球数字化转型和国际数字贸易发展。数据作为新型生产要素，数据跨境流动在当今数字经济中扮演着重要角色，因其机遇与风险并存，已经成为各个国家和地区重点关注的议题之一。1.1 数据跨境驱动 全球 数字经济加速 增长数据跨境安全有序流动是数据要素高效运转流动的关键环节，自2008 年以来 ，跨境数据流动对全球经济增长的贡献已经超过传统的跨国贸易和投资，支撑了包括商品、服务 、资本 、人才等其他几乎所有类型资源的全球化活动，已经成为驱动数字经济增长的主要力量。数据跨境流动是经济全球化的必然结果，也是当下和未来经济发展的常态 。数据跨境流动对于促进数字创新、提高经济增长效率和增进社会福祉具有重要意义。一是促进国际贸易高质量发展。跨境数据流动已成为推动经济全球化与国际贸易发展的重要力量。作为国际贸易发展的最新趋势，数字贸易在提升贸易效率、拓展贸易对象、降低贸易成本、丰富贸易业态等方面发挥着重要作用。 企业数据跨境合规与技术应用白皮书（2023）-4-二是加速企业发展国际化进程。企业作为市场主体，其业务模式和经营模式引发高频化、规模化且常态化的跨境数据流动，在全球产业分工日趋细化的背景下，企业的海外业务布局通常涉及多个国家，数据的集中协同处理是企业经营的客观需求。企业跨境数据流动可促进各类资源要素畅通流动以及各行业市场主体加速融合，帮助企业持续推动自身运营方式改善、供应链优化与商业模式创新，助力企业实现资源的高效配置。跨境数据流通是推动人才流、物流 、资金流和信息流跨域自由流转的基础，在推动企业全球化等方面发挥着积极作用。三是驱动数字经济加速增长。全球数据流动对经济增长有明显的拉动效应，据麦肯锡 估算 ，数据流动量每增加10% ，将带动GDP 增长 0.2 %。预计到2025 年，全球数据流动对经济增长的贡献将达到11 万亿美元。据经济合作与发展组织（OECD ）测算，数据流动对各行业利润增长的平均促进率在10% ，在数字平台、金融业等行业中可达到32% 。依托数字技术和信息网络推动数据跨境流动，可带动各类资源要素高效 流动 、各类市场主体加速融合，促进数字经济做强做优做大。1.2 各国加快构建自身数据跨境流动 规则数据跨境流动给数字经济发展带来了强大的推动作用，但是数据跨境 后也隐藏着不受控的安全风险。当前 ，国际上广泛认为，数据跨境流动不仅包括物理意义上的跨越国界，还包含第三国主体对数据的 企业数据跨境合规与技术应用白皮书（2023）-5-跨境访问和使用。随着经济全球化的发展，国际交流合作愈加频繁，数据跨境传输、存储 、访问 、使用的频次大幅上升，所带来的安全风险渗透至数据全生命周期，且随着数据跨境流动的范围不断扩大，产生的风险从个人隐私保护、商业利益保护升级跃迁至国家数据主权甚至国家安全。随着各国对数据跨境流动意义和影响的认识日益深入，数据跨境流动逐步成为国家和地区间博弈的重要问题。基于国家安全、经济发展、隐私保护、技术 能力等多方面的考量，各国确立了不同的数据跨境流动策略，并基于此加快构建自身的数据跨境流动规则体系。分国家层面来看，当前 ，数据跨境流动规则还处在探索阶段 ，各国对 于数据跨境流动规则尚未形成共识，整体呈现多元性与差异化的特点 。比如 ，美国 采取的策略是理念上主张全球数据自由流动，实践中构建数据“单向 ”流动格局。欧盟 “两手都要抓，两手都要硬”，双边场合推动数据互认标准，多边场合提倡数据 自由流动，在强化个人隐私数据保护的同时，提升数据竞争优势。日本