企业跨境数据流动安全合规白皮书 (2023) 中国移动通信有限公司研究院2023年2月 前言 数据作为新型国家战略性资产,其经济价值与战略价值在全球数字经济发展过程中日益凸显。作为维系全球经济活动的重要纽带和经济新秩序博弈焦点,跨境数据流动在大力推动经济全球化发展的同时,也面临数据安全保护、数据监管合规等方面的问题与挑战。随着世界各主要经济体对跨境数据流动提出越来越多的监管要求,如何合规开展跨境数据流动已不是企业面临的“选答题”,而是“必答题”。当前我国企业跨境数据流动合规保障体系还处于起步阶段,企业日益频繁的跨境数据流动需求、日趋严格的跨境数据流动监管要求与跨境数据流动合规保障能力尚不匹配。 本白皮书基于当前全球跨境数据流动主流模式及安全合规方法论,面向企业提出一套以“管理体系、技术体系与运营体系协同发展”为核心的企业跨境数据流动安全合规指导方案。白皮书力图满足市场需求,为企业提供组织、制度、流程构建等方面的指引,优化跨境数据全流程管理,促进跨境数据安全合规流动。 本白皮书由中国移动通信有限公司研究院主笔,中国移动国际有限公司、启明星辰信息技术集团股份有限公司联合编写。 目录 1企业跨境数据流动风险态势3 1.1企业跨境数据流动需求与意义3 1.2企业跨境数据流动现存问题3 1.2.1跨境数据流动“规则异”3 1.2.2跨境数据流动“识别难”4 1.2.3跨境数据流动“风险高”4 1.3研究框架4 2企业跨境数据流动合规体系5 2.1企业跨境数据流动合规总体框架5 2.1.1跨境数据流动管理体系5 2.1.2跨境数据流动技术体系6 2.1.3跨境数据流动运营体系6 2.2企业跨境数据流动管理体系6 2.2.1跨境数据流动组织建设6 2.2.2跨境数据流动制度建设8 2.3企业跨境数据流动技术体系10 2.3.1境内总平台建设框架10 2.3.2境外子平台建设框架12 2.4企业跨境数据流动运营体系13 2.4.1跨境数据流动运营体系规划13 2.4.2跨境数据流动基础信息梳理13 2.4.3跨境数据流动日常管控14 2.4.4跨境数据流动日常监测14 2.4.5跨境数据流动合规闭环评估15 3企业跨境数据流动应用体系15 3.1企业跨境数据流动模式与应用场景15 3.1.1模式一:境内企业收集境内数据后向境外传输16 3.1.2模式二:境外企业直接收集并处理境内数据16 3.2企业跨境数据流动合规体系在典型场景中的应用17 3.2.1实施全流程分级多节点集中管控17 3.2.2建立集中的跨境数据供给区17 3.2.3开展场景化的跨境数据管控17 3.2.4建设跨境数据流动能力支撑组件18 4企业跨境数据流动未来展望18 4.1规则完善:跨境数据流动监管规则的行业化特征日趋凸显19 4.2技术发展:跨境数据流动相关技术日趋成熟并广泛应用19 4.3价值转变:合规体系建设将由“合规性驱动”转向“业务价值驱动”19 参考文献21 1企业跨境数据流动风险态势 1.1企业跨境数据流动需求与意义 全球正加速迈入数字经济时代,数据成为驱动经济发展的关键生产要素。跨境数据流动已成为推动经济全球化与国际贸易发展的重要力量。自2008年以来,跨境数据流动对全球经济增长的贡献已经超过传统的跨国贸易和投资,支撑了包括商品、服务、资本、人才等其他几乎所有类型资源的全球化活动,而且开始发挥越来越独立的作用[1]。党的二十大报告专门提出“推动货物贸易优化升级,创新服务贸易发展机制,发展数字贸易,加快建设贸易强国”的重要任务。作为驱动数字经济发展的重要力量[2],数据跨境流动将重塑各国劳动力市场竞争关系及价值链,在促进我国贸易增长、加速技术创新等方面发挥重要作用。 企业作为市场主体,其业务模式和经营模式引发高频化、规模化且常态化的跨境数据流动。在全球产业分工日趋细化的背景下,企业的海外业务布局通常涉及多个国家,数据的集中协同处理是企业经营的客观需求。依托数字技术和信息网络,企业跨境数据流动可促进各类资源要素畅通流动以及各行业市场主体加速融合,帮助企业持续推动自身运营方式改善、供应链优化与商业模式创新,助力企业实现资源的高效配置。 本白皮书重点关注我国境内企业开展跨境数据流动所面临的形势、困难与问题,提出促进跨境数据流动安全、有序、合规开展的指导方案。 1.2企业跨境数据流动现存问题 随着企业数据跨境传输、访问、使用的频次和容量大幅度上升,数据跨境流动所带来的风险越来越复杂。当前企业跨境数据流动面临“规则异”、“识别难”与“风险高”三大挑战,难以实现安全与效益的平衡。 1.2.1跨境数据流动“规则异” 跨境数据流动面临数据流出国与流入国之间在数据保护、数据监管等方面的法律法规冲突。各国均以维护本国利益为出发点,构建跨境数据流动法 律条款和监管制度。美国跨境数据流动以维护其在全球贸易中的主导地位为核心,以“自我赋权”延展自身在全球范围内的数据主权辖域[3]。欧盟以大数据单一市场战略打造欧盟数字经济整体实力,采用单边立法赋权方式扩张其长臂管辖权[4]。我国遵循“数据境内存储,出境安全审查”模式[5],通过三部上位法明确数据出境安全管理基本原则。在各个国家与地区跨境数据流动法律法规的多重管辖下,企业在实践层面面临规则不统一、差异大的难题。 1.2.2跨境数据流动“识别难” 随着数字贸易的蓬勃发展,跨境数据的种类和数量呈现指数级递增。对海量数据进行全面梳理分类和有效识别是实现跨境数据流动合规保障的前提。依据我国《网络安全法》、《数据出境安全评估办法》等法律法规要求,企业需要识别跨境数据在境内、境外的分布状态,并对数据进行分类分级标识,对核心数据、重要数据、个人信息等进行重点安全防护,建立境内、境外数据分类分级防护能力体系。数据跨境后企业为保护相关数据,需要全面了解敏感数据资产存储数量、位置及分布情况,制定切实可行的跨境数据安全防护策略。由于企业跨境数据规模大、种类多、速度快、频度高,如何准确高效进行数据识别成为企业在实践中面临的难点问题。 1.2.3跨境数据流动“风险高” 随着企业数据价值的不断攀升,跨境数据攻击愈加频繁,且攻击者组织形式趋于集中化、专业化,攻击对象呈现多样化、泛在化,攻击方式走向智能化、多样化。企业在数据使用中根据不同的业务场景采取相关的数据安全保护策略和保护措施,以满足国内相关法律法规要求和境外数据使用的要求,防止数据泄露带来国家安全隐患和企业经营损失。随着数据跨境攻击技术的不断升级,跨境数据攻击活动严重扰乱了企业跨境数据生态健康发展,大大提升了企业数据安全防护难度与风险。 1.3研究框架 本白皮书秉承“以安全为中心、以价值为驱动、以数据创未来”的理念,提出跨境数据流动安全合规体系和应用体系。研究框架如图1-1所示。 图1-1研究框架 2企业跨境数据流动合规体系 2.1企业跨境数据流动合规总体框架 本白皮书以《信息安全技术-数据安全能力成熟度模型》(GB/T37988-2019)[6]为基础,参考GartnerDSG(DataSecurityGovernance)数据安全治理框架等多个业界主流模型[7],面向《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》和《数据出境安全评估办法》中涉及到的企业跨境数据流动要求,从管理、技术与运营三个维度提出跨境数据流动合规体系,如图2-1所示。 2.1.1跨境数据流动管理体系 跨境数据流动管理体系主要包括组织建设和制度规范建设。 跨境数据流动组织建设:首先要成立专门的跨境数据流动安全合规部门,以确保跨境数据流动安全合规工作的有效落实。 跨境数据流动制度规范建设:在整个跨境数据流动过程中,需要制定相应的安全策略和制度规范,所有的工作流程和技术支撑都需要围绕此规范制定和落实。 图2-1跨境数据流动合规体系框架 2.1.2跨境数据流动技术体系 跨境数据流动技术体系主要由管控平台和支撑能力组件共同构成。跨境数据流动管控平台:该平台用于分析展现跨境数据资产分类、分 级及分布情况,有效监控跨境数据流转路径和动态流向,实现集中化数据管控策略管理,加强数据的全生命周期管理能力,对数据风险进行识别和态势分析,为数据安全运营管理工作提供支撑。 跨境数据流动支撑能力组件:支撑能力组件包括动态脱敏、静态脱敏、API接口监测管理等,为数据安全日常管理提供支撑,为数据全生命周期场景提供保护。 2.1.3跨境数据流动运营体系 跨境数据流动运营体系由专业的运营团队提供服务,支撑管理体系与技术体系建设,开展日常管控与监测、合规评估等工作。 2.2企业跨境数据流动管理体系 2.2.1跨境数据流动组织建设 跨境数据流动组织职能需按照决策层、管理层、执行层、供应商/服务商、监督层的设计思路,在具体执行过程中,组织也可赋予已有团队与其它相关部门跨境数据流动的工作职能,或通过第三方专业团队开展工作。 (一)决策层 决策层是跨境数据流动管理工作的决策机构,建议由高层领导担任,参与组织的业务发展决策。其主要工作职责包括: (1)制定组织的跨境数据流动目标和愿景; (2)跨境数据流动策略、规划及发布; (3)为组织的跨境数据流动体系建设提供必要的资源; (4)对本单位跨境数据流动的重大事项进行协调和决策。 (二)管理层 管理层是跨境数据流动组织机构的第二层,基于决策层给出的策略,对跨境数据流动实际工作制定详细方案,做好业务发展与跨境数据流动之间的平衡。管理层在组织中发挥承上启下的重要作用,负责做好跨境数据流动全面落地工作,是组织内开展跨境数据流动工作最核心的部门或岗位。部分工作可能需要组织外部的专业资源来共同完成。 (三)监督层 监督层负责定期监督审核管理层、执行层和合作伙伴对跨境数据流动制度与管理要求的执行情况,并且向决策层进行汇报。监督层人员需具备独立性,不能由管理层、执行层等人员兼任,建议由组织内部的审计部门人员担任。 (四)执行层 执行层与管理层是紧密配合的关系,其职责主要是聚焦每一个跨境数据流动场景,对设定的流程逐个实现。执行层主要包括跨境数据流动专职人员和各业务部门的数据安全接口人员、风险管理人员、数据所有者等,其主要工作职责包括: (1)负责跨境数据流动风险的评估和改进; (2)负责管理跨境数据流动运营工作,例如,跨境数据风险自评估等事项审批; (3)负责跨境数据流动重大事项的跟进和处理; (4)协助跨境数据流动管理团队开展数据分类分级、重要数据识别等工作; (5)负责跨境数据流动项目管理和实施。 (五)跨境数据流动部门协同 跨境数据流动组织机构和企业内多个部门之间有非常紧密的关系。在组织职能的顶层设计层面,业务部门、安全管理部门、运维部门等需要参与到策略方向及重大事件的决策中。在实际跨境数据流动工作开展层面,从平台底层设计到流程制定实施、人员安全管控、数据安全合规、对外披露等方面均需要相关部门深度介入和协作。 跨境数据流动管理层需要制定其与各部门之间的工作机制,目的是为了保障跨境数据流动工作顺利开展,例如跨境数据流动团队与业务方、法务以及合作伙伴之间的日常工作交流、争议与问题解决等事项。 2.2.2跨境数据流动制度建设 在进行跨境数据流动管理制度和规范设计时,范围应覆盖跨境数据的全生命周期。企业可以参考跨境数据流动的相关要求、行业法规、顶层设计以及标准规范等,建立企业内部制度规范,约束和规范相关人员开展日常工作,并赋予管理人员监督管理职责,如图2-2所示。 制度流程需要整体考虑并形成体系框架,制度体系需要分层,层与层之间,同一层不同模块之间需要有关联逻辑,在内容上不能重复或矛盾。一般可分为四级。 (一)一级文件 一级文件包含方针、策略、基本原则和总的管理要求,主要内容包括但不限于: 图2-2跨境数据流动制度流程 (1)跨境数据流动管理的目标、愿景等; (2)数据及数据资产定义:例如定义数据类别、个人信息、重要数据、信息系统载体等; (3)跨境数据流动管理基本原则:例如跨境数据分类分级原则、跨境数据流