中移智库 企业跨境数据流动 安全合规白皮书 (2023) xyz 中国移动通信有限公司研究院 2023年2月 前言 数据作为新型国家战略性资产，其经济价值与战略价值在 全球数字经济发展过程中日益凸显。作为维系全球经济活动的 重要纽带和经济新秩序博奔焦点，跨境数据流动在大力推动经 济全球化发展的同时，也面临数据安全保护、数据监管合规等 方面的问题与挑战。随着世界各主要经济体对跨境数据流动提 出越来越多的监管要求，如何合规开展跨境数据流动已不是企 据流动合规保障体系还处于起步阶段，企业日益频繁的跨境数 据流动需求、日趋严格的跨境数据流动监管要求与跨境数据流 动合规保障能力尚不匹配。 本白皮书基于当前全球跨境数据流动主流模式及安全合规 万法论，面向企业提出一套以“管理体系、技术体系与运营体 系协同发展”为核心的企业跨境数据流动安全合规指导方案。 白皮书力图满足市场需求，为企业提供组织、制度、流程构建 等方面的指引，优化跨境数据全流程管理，促进跨境数据安全 合规流动。 本白皮书由中国移动通信有限公司研究院主笔，中国移动 国际有限公司、启明星辰信息技术集团股份有限公司联合编 写。 学目 1企业跨境数据流动风险态势 1.1企业跨境数据流动需求与意义 1.2企业跨境数据流动现存问题 1.2.1跨境数据流动“规则异” 3 1.2.2跨境数据流动“识别难” 1.2.3跨境数据流动“风险高” 1.3研究框架... 2企业跨境数据流动合规体系 5 2.1企业跨境数据流动合规总体框架 2.1.1跨境数据流动管理体系 2.1.2跨境数据流动技术体系 2.1.3跨境数据流动运营体系 6 2.2企业跨境数据流动管理体系 6 2.2.1跨境数据流动组织建设， 6 2.2.2跨境数据流动制度建设 8 2.3企业跨境数据流动技术体系 10 2.3.1境内总平台建设框架 10 2.3.2境外子平台建设框架 12 2.4企业跨境数据流动运营体系： 13 2.4.1跨境数据流动运营体系规划 13 2.4.2跨境数据流动基础信息梳理 13 2.4.3跨境数据流动日常管控， 14 2.4.4跨境数据流动日常监测. 14 2.4.5跨境数据流动合规闭环评估 15 3企业跨境数据流动应用体系.. 15 3.1企业跨境数据流动模式与应用场景 15 3.1.1模式一：境内企业收集境内数据后向境外传输 16 3.1.2模式二：境外企业直接收集并处理境内数据 16 3.2企业跨境数据流动合规体系在典型场景中的应用 17 3.2.1实施全流程分级多节点集中管控 17 3.2.2建立集中的跨境数据供给区 17 3.2.3开展场景化的跨境数据管控 . 17 3.2.4建设跨境数据流动能力支撑组件 18 4企业跨境数据流动未来展望... 4.1规则完善：跨境数据流动监管规则的行业化特征日趋凸显 19 4.2技术发展：跨境数据流动相关技术日趋成熟并广泛应用 .. 19 参考文献， .21 1企业跨境数据流动风险态势 1.1企业跨境数据流动需求与意义 全球正加速迈入数字经济时代，数据成为驱动经济发展的关键生产要 素。跨境数据流动已成为推动经济全球化与国际贸易发展的重要力量。自 2008年以来，跨境数据流动对全球经济增长的贡献已经超过传统的跨国贸易 和投资，支撑了包括商品、服务、资本、人才等其他几乎所有类型资源的全 球化活动，而且开始发挥越来越独立的作用。党的二十大报告专门提出 “推动货物贸易优化升级，创新服务贸易发展机制，发展数字贸易，加快建 设贸易强国”的重要任务。作为驱动数字经济发展的重要力量"，数据跨境 流动将重塑各国劳动力市场竞争关系及价值链，在促进我国贸易增长、加速 技术创新等方面发挥重要作用 企业作为市场主体，其业务模式和经营模式引发高频化、规模化且常态 化的跨境数据流动。在全球产业分工日趋细化的背景下，企业的海外业务布 局通常涉及多个国家，数据的集中协同处理是企业经营的客观需求。依托数 字技术和信息网络，企业跨境数据流动可促进各类资源要素畅通流动以及各 行业市场主体加速融合，帮助企业持续推动自身运营方式改善、供应链优化 与商业模式创新，助力企业实现资源的高效配置。 本白皮书重点关注我国境内企业开展跨境数据流动所面临的形势、困难 与问题，提出促进跨境数据流动安全、有序、合规开展的指导方案。 1.2企业跨境数据流动现存问题 随着企业数据跨境传输、访问、使用的频次和容量大幅度上升，数据跨 境流动所带来的风险越来越复杂。当前企业跨境数据流动面临“规则异”、 “识别难”与“风险高”三大挑战，难以实现安全与效益的平衡。 1.2.1跨境数据流动“规则异” 跨境数据流动面临数据流出国与流入国之间在数据保护、数据监管等方 面的法律法规冲突。各国均以维护本国利益为出发点，构建跨境数据流动法 3 律条款和监管制度。美国跨境数据流动以维护其在全球贸易中的主导地位为 核心，以“自我赋权”延展自身在全球范围内的数据主权辖域"”。欧盟以大数 据单一市场战略打造欧盟数字经济整体实力，采用单边立法赋权方式扩张其 长臂管辖权4。我国遵循“数据境内存储，出境安全审查”模式5，通过三部 上位法明确数据出境安全管理基本原则。在各个国家与地区跨境数据流动法 律法规的多重管辖下，企业在实践层面面临规则不统一、差异大的难题。 1.2.2跨境数据流动“识别难” 随着数字贸易的蓬勃发展，跨境数据的种类和数量呈现指数级递增。对 海量数据进行全面梳理分类和有效识别是实现跨境数据流动合规保障的前 提。依据我国《网络安全法》、《数据出境安全评估办法》等法律法规要 求，企业需要识别跨境数据在境内、境外的分布状态，并对数据进行分类分 级标识，对核心数据、重要数据、个人信息等进行重点安全防护，建立境 内、境外数据分类分级防护能力体系。数据跨境后企业为保护相关数据，需 要全面了解敏感数据资产存储数量、位置及分布情况，制定切实可行的跨境 数据安全防护策略。由于企业跨境数据规模大、种类多、速度快、频度高 如何准确高效进行数据识别成为企业在实践中面临的难点问题。 1.2.3跨境数据流动“风险高” 随着企业数据价值的不断攀升，跨境数据攻击愈加频繁，且攻击者组织 形式趋于集中化、专业化，攻击对象呈现多样化、泛在化，攻击方式走向智 能化、多样化。企业在数据使用中根据不同的业务场景采取相关的数据安全 保护策略和保护措施，以满足国内相关法律法规要求和境外数据使用的要 求，防止数据泄露带来国家安全隐患和企业经营损失。随着数据跨境攻击技 术的不断升级，跨境数据攻击活动严重扰乱了企业跨境数据生态健康发展 大大提升了企业数据安全防护难度与风险。 1.3研究框架 本白皮书秉承“以安全为中心、以价值为驱动、以数据创未来”的理 念，提出跨境数据流动安全合规体系和应用体系。研究框架如图1-1所示。 第三部分 第一部分 企业跨境数据流动合规与应用体系研究 第三部分 跨境数据流动现状与问题研究 企业跨境数据流动未来展望 ①现状分析 ③体系构建 构建跨境数据流动合规体系 梳理跨境数据流动需求 框架，制定管理体系、技术 总结跨境数据流动意义 体系、运营体系整体方案 ③趋势研判 研判未来企业跨境数据流动 ②问题分析 ④场景应用 领域的发展趋势 总结企业跨境数据流动过程 总结跨境数据流动典型模式 中面临的多方面挑战 梳理企业跨境数据流动典型 应用场景 图1-1研究框架 2企业跨境数据流动合规体系 2.1企业跨境数据流动合规总体框架 本白皮书以《信息安全技术-数据安全能力成熟度模型》（GB/T37988- 2019）[6]为基础，参考GartnerDSG（DataSecurityGovernance）数据安全治 理框架等多个业界主流模型门，面向《中共中央国务院关于构建数据基础制度 更好发挥数据要素作用的意见》和《数据出境安全评估办法》中涉及到的企业 跨境数据流动要求，从管理、技术与运营三个维度提出跨境数据流动合规体 系，如图2-1所示。 2.1.1跨境数据流动管理体系 跨境数据流动管理体系主要包括组织建设和制度规范建设。 跨境数据流动组织建设：首先要成立专门的跨境数据流动安全合规部 门，以确保跨境数据流动安全合规工作的有效落实。 跨境数据流动制度规范建设：在整个跨境数据流动过程中，需要制定相 应的安全策略和制度规范，所有的工作流程和技术支撑都需要围绕此规范制 定和落实。 5 跨境数据流动合规体系框架 上位法 管理体系 运营体系 网络安全法 决策层 企业跨境数据流动管理办法 管理层 安 数期分类分级接术提范 数据生命周期安全管理规范 运营规划 数据安全法 执行层 合 数据生全周期管控据导办法 安全合规运营总体规观 个人信息保护法 标 规 供应商/服务商 数据分类分级清单 数报角色及权限清单 基础梳理 配套法规 技术体系 数据管理体系优化 关键设施保护条例 识别 保护 数据基础信息梳理 导 数据分类分级 数据 数据风险识 (ldentify) (Protect) 文 安全等级保护条例 租资产识 烟风险 日常管控 动态脱敏 下 网络数据安全管理 掘脱 载 跨境数据传输安全 API监测 静态脱敏 条例 加 数据库防护安全 估 权 控 跨境数据终端安全 数据出境安全评估 访问控制 数字水印 办法 流动管控 应用安全 生命周期管理 日常监测 安全策 运维处置 数据库加密 平台 管控系统 化 个人信息和重要数据 场景化风险监测 出境安全评估办法 数据库审计 数据防泄漏 深度风险分析 管 检 安全响应和处置 重要数据和核心 响应 检测 检 数据识别规则 理 测 测 测 (Respond) (Detect) 合规评估 风验分析 行业