研究院2023企业数据跨境合规与技术应用白皮书
AI智能总结
中国联通研究院 中国联通网络安全研究院 下一代互联网宽带业务应用国家工程研究中心 2023 年 11 月 版权声明 本白皮书版权属于中国联合网络通信有限公司、中兴通讯股份有限公司、北京市环球律师事务所,并受法律保护。转载、摘编或利用其他方式使用本白皮书文字或者观点的,应注明“来源:中国联合网络通信有限公司、中兴通讯股份有限公司和北京市环球律师事务所”。违反上述声明者,将追究其相关法律责任。 目录 前 言 ................................................................................................... 1 一、全球数据跨境流动背景 ............................................................... 3 1.1 数据跨境驱动全球数字经济加速增长 ......................................31.2 各国加快构建自身数据跨境流动规则 ......................................41.3 我国数据跨境流动监管面临较大挑战 ......................................6 二、我国数据跨境政策环境与重点内容解读 ..................................... 8 2.1 我国数据跨境监管制度 ............................................................ 92.2 数据出境合规路径判断方法 ...................................................122.3 数据出境合规路径实施流程 ...................................................152.4 数据出境所涉基本概念 .......................................................... 182.5 数据出境典型场景 ..................................................................20 三、企业数据跨境合规治理体系建设 .............................................. 23 4.2 强化数据跨境技术创新研究与应用 ....................................... 40 4.3 推动数据跨境协同治理与国际交流合作 .................................41附录:数据出境相关法律法规和国家标准 ...................................... 43参考文献 ........................................................................................... 45 表目录 表 2-1 我国法律规制的数据出境合规路径 .............................. 10表 2-2 数据出境合规路径适用情形 ......................................... 11表 2-3 《规定(征求意见稿)》出台后合规路径适用情形 ....12表 2-4 数据出境行为模式一 .....................................................21表 2-5 数据出境行为模式二 .....................................................22表 3-1 传统联邦学习和安全联邦学习的比较 .......................... 36 图目录 图 2-1 数据出境安全评估流程 ................................................. 16图 2-2 个人信息出境标准合同备案流程 ..................................17图 3-1 数据跨境合规治理框架 ................................................. 24图 3-2 基于区块链网络的跨境数据流动示意图 .......................37 前 言 在数字经济背景下,数据已经成为国家战略资源和关键生产要素,也是企业的核心竞争资产。伴随着经济全球化,数据跨境活动日益频繁,数据出境场景越来越多,防范数据出境安全风险,保障数据依法有序自由流动成为我国关注的重要方面。目前,我国数据出境安全管理体系已经初步构建形成。《网络安全法》《数据安全法》《个人信息保护法》确立了数据出境的基本原则和主要路径,《数据出境安全评估办法》《个人信息出境标准合同办法》《个人信息保护认证实施规则》等进一步明确了不同数据出境路径的具体要求。 企业作为数据跨境活动最活跃的主体之一,无可避免的成为履行数据跨境合规义务的重要主体,但在具体实践中,如何采取相应的措施、采取哪些措施仍面临许多问题,比如:如何判断是否需要申报数据出境安全评估,或订立并备案个人信息出境标准合同,或通过个人信息保护认证?三条路径具体应如何实施?能够采取哪些方法和手段防范数据出境安全风险?…… 本白皮书力图从分析政策、剖析概念、归纳方法、总结举措等方面,尽可能全面、系统地整理当前我国数据跨境的有关法律法规和实施举措,希望为提高有关企业或个人对数据跨境制度的认识和理解,增强经营管理和业务开展过程中对数据出境合规风险的防范意识,强化数据出境合规管理贡献力量。 本白皮书由中国联通研究院主笔,中国联通集团网络与信息安全部、联通数字科技有限公司数据智能事业部、中国联通国际有限公司、中兴通讯股份有限公司、北京市环球律师事务所联合编写。 编写组成员(排名不分先后): 总策划:苗守野、李浩宇、叶晓煜 编委会:徐雷、杨锦洲、吴钢、马瑞涛、林海、张航、陶冶、曹咪、孙艺、吴连勇、李佳杭、康旗、刘亚琪、孟洁、王程、刘洋、李冰、陈靖、杨晓蔚、韩莹莹、薛竞、黄一申、李佳敏、孙进芳、杨开敏、赵灿、刘宇健、张钦华 一、全球数据跨境流动背景 当前,以 5G、云计算、大数据、人工智能等为代表的新一代信息通信技术快速发展并逐渐跨界融合,加速推进全球数字化转型和国际数字贸易发展。数据作为新型生产要素,数据跨境流动在当今数字经济中扮演着重要角色,因其机遇与风险并存,已经成为各个国家和地区重点关注的议题之一。 1.1 数据跨境驱动全球数字经济加速增长 数据跨境安全有序流动是数据要素高效运转流动的关键环节,自2008 年以来,跨境数据流动对全球经济增长的贡献已经超过传统的跨国贸易和投资,支撑了包括商品、服务、资本、人才等其他几乎所有类型资源的全球化活动,已经成为驱动数字经济增长的主要力量。数据跨境流动是经济全球化的必然结果,也是当下和未来经济发展的常态。数据跨境流动对于促进数字创新、提高经济增长效率和增进社会福祉具有重要意义。 一是促进国际贸易高质量发展。跨境数据流动已成为推动经济全球化与国际贸易发展的重要力量。作为国际贸易发展的最新趋势,数字贸易在提升贸易效率、拓展贸易对象、降低贸易成本、丰富贸易业态等方面发挥着重要作用。 二是加速企业发展国际化进程。企业作为市场主体,其业务模式和经营模式引发高频化、规模化且常态化的跨境数据流动,在全球产业分工日趋细化的背景下,企业的海外业务布局通常涉及多个国家,数据的集中协同处理是企业经营的客观需求。企业跨境数据流动可促进各类资源要素畅通流动以及各行业市场主体加速融合,帮助企业持续推动自身运营方式改善、供应链优化与商业模式创新,助力企业实现资源的高效配置。跨境数据流通是推动人才流、物流、资金流和信息流跨域自由流转的基础,在推动企业全球化等方面发挥着积极作用。 三是驱动数字经济加速增长。全球数据流动对经济增长有明显的拉动效应,据麦肯锡估算,数据流动量每增加 10%,将带动 GDP 增长 0.2%。预计到 2025 年,全球数据流动对经济增长的贡献将达到11 万亿美元。据经济合作与发展组织(OECD)测算,数据流动对各行业利润增长的平均促进率在 10%,在数字平台、金融业等行业中可达到 32%。依托数字技术和信息网络推动数据跨境流动,可带动各类资源要素高效流动、各类市场主体加速融合,促进数字经济做强做优做大。 1.2 各国加快构建自身数据跨境流动规则 数据跨境流动给数字经济发展带来了强大的推动作用,但是数据跨境后也隐藏着不受控的安全风险。当前,国际上广泛认为,数据跨境流动不仅包括物理意义上的跨越国界,还包含第三国主体对数据的 跨境访问和使用。随着经济全球化的发展,国际交流合作愈加频繁,数据跨境传输、存储、访问、使用的频次大幅上升,所带来的安全风险渗透至数据全生命周期,且随着数据跨境流动的范围不断扩大,产生的风险从个人隐私保护、商业利益保护升级跃迁至国家数据主权甚至国家安全。随着各国对数据跨境流动意义和影响的认识日益深入,数据跨境流动逐步成为国家和地区间博弈的重要问题。基于国家安全、经济发展、隐私保护、技术能力等多方面的考量,各国确立了不同的数据跨境流动策略,并基于此加快构建自身的数据跨境流动规则体系。 分国家层面来看,当前,数据跨境流动规则还处在探索阶段,各国对于数据跨境流动规则尚未形成共识,整体呈现多元性与差异化的特点。比如,美国采取的策略是理念上主张全球数据自由流动,实践中构建数据“单向”流动格局。欧盟“两手都要抓,两手都要硬”,双边场合推动数据互认标准,多边场合提倡数据自由流动,在强化个人隐私数据保护的同时,提升数据竞争优势。日本对数据跨境流动的限制性条件较少,但强调对涉及国家安全的敏感或关键数据进行监管。俄罗斯要求俄公民个人数据收集必须使用位于俄境内的数据库。印度将个人数据分为一般个人数据、敏感个人数据和关键个人数据,一般个人数据和敏感个人数据在境内存储副本的条件下可跨境流动,关键个人数据仅能存储在印度境内的服务器或数据中心,绝对禁止离境。澳大利亚、加拿大、韩国、巴西等国支持数据自由流动,但主张将保 护个人隐私和国家安全写入例外条款,包括实现公共政策目标、保护个人隐私安全、保护国家安全等。截至目前,全球已有 70 多个国家或地区对数据跨境流动进行了不同程度的限制。 从当前国际数字贸易相关协定来看,数据跨境流动规则正在成为高水平贸易协定的重要标志,无论是发达国家成员主导的《全面与进步跨太平洋伙伴关系协定》(CPTPP)和《数字经济伙伴关系协定》(DEPA),还是发展中国家成员签署的《区域全面经济伙伴关系协定》(RCEP),保障数据合理数据跨境流动都是其中的核心条款。 各国限制数据跨境流动的规章制度存在显著差异,而且具有明显的冲突性,给数据跨境流动带来了很大难度。但是国际主流的跨境管理思想较为统一:基于数据的重要程度,分类分级的开展数据跨境管理工作,并在既有的国际合作框架下探索数据跨境合作,在经济发展、数据安全、国际环境三者约束条件下,形成数据跨境流动规则。 1.3 我国数据跨境流动监管面临较大挑战 我国明确将数据作为新型生产要素,据《数字中国发展报告(2022 年)》数据显示,2022 年我国数据产量达 8.1ZB,同比增长 22.7%,占全球数据总产量的 10.5%,位居全球第二;我国数字经济规模达 50.2 万亿元,占国内生产总值比重提升至 41.5%。我国已经发展成为全球第二大数字经济体,数据跨境流动在数字经济中的作用愈发重要。但是如何在维护好国家数据安全、保护好个人信息权 益的前提下促进数据有序流动成为当前
