数据跨域管控白皮书2024

华东政法大学数据法律研究中心 蚂蚁集团 2023年12月 华东政法大学数据法律研究中心蚂蚁集团 联合项目组负责人：高富平 成员 华政数据法律研究中心：王镭、云晋升、向秦、徐子淼、孙英、马小涵、陶冉、李群涛、冉高苒、郭福卿、于弋涵、邵鑫宇、廖偲伽、王婉清 蚂蚁集团：韦韬、李宏宇、王磊、李婷婷、何安珣、潘无穷、吴文钦、卫振强、季雨洁、杨冰然 目录 1.1数据作为生产要素的提出............................................................................21.2.数据是难以排他控制的有风险资源...........................................................21.3构建适合数据及其价值的跨域管控体系....................................................41.4基本框架........................................................................................................61.5术语定义........................................................................................................7 2.数据流通及其风险................................................................................9 2.1数据流通及其场景类型................................................................................9 2.1.1数据流通的含义.................................................................................92.1.2数据流通场景类型...........................................................................12 2.2数据流通利用的风险..................................................................................13 2.2.1数据泄露风险...................................................................................142.2.2数据滥用风险...................................................................................162.2.3责任不清风险...................................................................................17 2.3小结..............................................................................................................19 3.数据流通风险的规范和防范现状......................................................21 3.1数据流通安全规范不完善..........................................................................21 3.1.1持有者安全义务体系不健全...........................................................213.1.2持有者安全责任配置不合理...........................................................24 3.2数据市场缺失数据跨域过程管控..............................................................30 4.数据流通的跨域管控解决方案..........................................................32 4.1数据跨域管控的基本思路..........................................................................32 4.1.1跨域管控责任主体：流通主体责任与数据流通运营者管控的责任.....................................................................................................................32 4.1.2跨域管控的机制：技术、法律和管理的综合应用.......................334.1.3跨域管控的方法：与安全风险程度适配的安全技术和管理措施344.1.4跨域管控是全流程的管控...............................................................36 4.2与数据流通风险适配的管控技术要求......................................................37 4.2.1数据来源可确认...............................................................................374.2.2数据可用不可见...............................................................................394.2.3数据可算不可识...............................................................................404.2.4数据使用可界定...............................................................................414.2.5数据流通可追溯...............................................................................43 4.3数据流通者安全责任的明确......................................................................44 4.3.1明确数据持有者的责任...................................................................454.3.2明确数据接受/使用者的责任..........................................................464.3.3明确数据流通运营者的责任...........................................................47 参考文献....................................................................................................52 表目录 表1数据持有者相关表述....................................................................21表2《刑法》涉数据犯罪罪名............................................................26表3《刑法》对网络服务提供者（数据持有者）的规定...............26表4典型案例对比表............................................................................29 图目录 图1数据跨域管控的定位......................................................................5图2传统模式.........................................................................................10图3密态管道模式.................................................................................11图4平台模式.........................................................................................12图5数据流通场景类型：按流通方式划分........................................12图6数据流通利用的风险....................................................................14图7数据流通风险范围........................................................................20图8我国涉及数据安全的相关规范....................................................22图9数据持有者法定安全义务图........................................................24图10某数据交易所交易流程..............................................................31 1.数据流通时代的到来 从计算机诞生起到现在，数据产生、存储、使用和消费的方式产生了翻天覆地的变化。最初，数据只在单台机器上存储和使用；后来有了局域网和互联网，数据可以在多台机器间共享；到了大数据和云计算时代，数据在物理上的存在空间和范围更广更大。这几种情况下，数据持有者都是享有对数据的全生命周期的绝对控制能力的，也就是传统的数据安全领域致力解决的问题。 数字技术的迭代发展使人类进入数据智能时代。数据仅在单个数据持有者域内加工、使用，已经不能满足数据智能时代的发展要求。各行业发展过程中，需要更精准模型或者对用户更精确地洞察，数据需要进行跨域融合、加工等产生新的数据产品，进而创造出全新的数据价值。数据需要流动才能释放价值，数据流通过程伴随着数据权责利的变化，同时产生新的风险，让数据安全面临新的挑战。 在此背景下，我国提出数据作为生产要素，探索适应数据要素特征的数据基础制度，以“促进数据合规高效流通使用、赋能实体经济”。数据流通本质上是数据的跨域使用，如何构建数据跨域管控体系，确保“数据合规高效流通使用”，成为数据流通基础设施关键内容，进而