新形势下企业数据传输安全治理白皮书

前言 随着大数据时代的到来，数据的重要性日渐得到重视，当前数字经济正在引领新的经济发展，数字经济也成为继农业经济、工业经济之后的主要经济形态，是充足全球要素资源，重塑全球经济结构、改变全球竞争格局的关键力量。 伴随着数据要素市场化进程的发展，数据和以其为基础的数字经济的巨大价值和重要意义已经得到强调和凸显，但数据相关的生产、采集、使用、传输、销毁等全生命周期流程却并不是平稳没有波折的，当数据创造价值的同时，也面临着被窃取、泄露、滥用、非法利用的风险。 传输和交换使数据流动，进而释放和深度创造数据价值。我国企业在数据传输治理层面，却依然在历经一些挑战：法律体系不完整、结构内容不丰富；众多网络攻击和数据暴露的风险；企业在管理意识上不足而导致实际建设乏力；技术层面需求多样却难以统一落地；非结构化数据日渐重要但却易被忽视等等，那么，在新形势下， 企业该如何进行数据传输安全治理呢？ 本报告从企业数据传输安全治理组织建设角度、制度管理角度、技术体系角度三大方面进行了研究和探索，给出具体性的、具有参考价值的意见和建议，最后基于实际案例的实践价值，给企业可落地的指引参考，期望以此为更多企业进行数据安全传输治理带来支持。 目录（CONTENTS） 一、数据传输安全治理的重要性愈加凸显1 1、数据安全是数字经济发展的前提和基础1 2、逐步完善的数据安全法律体系推进数据安全治理2 3、数据传输安全治理不容忽视4 二、企业数据传输安全治理面临的主要痛点和需求5 1、数据传输治理政策层面缺乏系统性指导5 2、数据传输治理面临来自网络环境层面挑战5 3、数据传输治理面临在企业意识和管理上的问题6 4、数据传输治理急需解决在应用技术层面的需求6 5、非结构化数据传输治理愈发重要但却容易被忽视7 三、新形势下，企业进行数据传输安全治理的战略和方案8 1、构建企业内部合理的数据传输安全组织架构9 2、搭建企业内部完善的数据传输安全制度体系10 3、建设企业内部专业的数据传输安全技术体系11 3.1、企业数据安全传输技术规划12 3.2企业数据安全传输关键技术15 四、数据传输安全落地实践案例17 1、政府政务行业17 1.1、某国家事业单位海量数据安全传输的实践17 2、金融行业19 2.1、某全国性股份商业银行跨网络文件安全传输的实践19 2.2、某全球知名再保险公司内外部数据交换实践21 3、半导体行业22 3.1、某全球领先的半导体IP提供商文件传输实践22 4、高新技术行业25 4.1、某全球安检领军企业非结构化数据传输实践25 参考资料27 一、数据传输安全治理的重要性愈加凸显 1、数据安全是数字经济发展的前提和基础 数据成为生产要素，将发挥出更大的价值。2020年4月，中共中央、国务院发布 《关于构建更加完善的要素市场化配置体制机制的意见》，数据被正式纳入生产要素范围。数据要素涉及数据生产、采集、存储、加工、使用、传输、服务等多个环节，是驱动数字经济发展的“助燃剂”，对价值创造和生产力发展有广泛影响。 随着大数据时代的到来，数据的重要性日渐得到重视，当前数字经济正在引领新经济发展，数字经济覆盖面广且渗透力强，数据要素的高效配置，是推动数字经济发展的关键一环，而将数据作为一种新型生产要素写入中央文件中，也体现了数据在当前和未来必将发挥出更大的价值。 数据经济上升为国家重要发展战略。近年来，我国的政策不断加强对数字经济和数 据要素的发展指导，数据要素和数字经济的重要性不断提升。 2021年12月国务院印发《“十四五”数字经济发展规划》，指出数字经济成为继农业经济、工业经济之后的主要经济形态，是充足全球要素资源，重塑全球经济结构、改变全球竞争格局的关键力量，要求到2025年，数字经济迈向全面扩展期，数字经济核心产业增加值占GDP比重达到10%。数据作为数字经济时代下的基础性资源和战略性资源，是决定国家经济发展水平和竞争力的核心驱动力。 发展数据经济正式上升为国家重要发展战略。 数据安全是保障数字经济健康发展的基石。伴随着数据要素市场化进程的发展， 数据和以其为基础的数字经济的巨大价值和重要意义已经得到强调和凸显，但数据相关的生产、采集、使用、传输、销毁等全生命周期流程却并不是平稳没有波折的，当 数据创造价值的同时，也面临着被窃取、泄露、滥用、非法利用的风险，以此对个人、组织甚至整个社会、国家的利息产生严重威胁和损害。因此，数据安全至关重要，没 有数据安全，数据的一切价值都如空中楼阁。反之，当数据安全落实到数据生产使用的全流程时，数据的积极价值才能被有效挖掘、利用，数据才能成为推动经济高质量发展的新动能。 数据安全的定义在不断发展演化。在网络环境和网络架构相对简单的早期，数据一 般只在服务器、网络和办公电脑之间流转使用，因此数据安全在较多情况下，指数据存储安全、数据灾备和数据恢复等，在个别情况下，基于数据聚合、分析而强化网络安全分析，也被称为数据安全。 随着网络技术的不断发展，数据安全的定义也在不断演化。2021年6月发布的《中华人民共和国数据安全法》对数据安全做了明确的定义： 数据，是指任何以电子或者其他方式对信息的记录。 数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等。 数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。 互联网大时代，数据的生产使用与互联网紧密相关，但数据安全和网络安全却既有联系又互不相同。根据《中华人民共和国网络安全法》的定义，网络安全，是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。数据安全和网络安全的突出区别是核心主体不同，数据安全关注的数据全生命周期的安全，而网络安全则是侧重保障网络体系和网络环境的安全性。 2、逐步完善的数据安全法律体系推进数据安全治理 数据安全需要有切实法律体系作为保障和基础。数字化改革推动我国生产模式的 变革，随着经济数字化、政府数字化、企业数字化的建设，数据已经成为我国政府和企业最核心资产。数据安全保护需要以体系化的数据安全法律法规为基础，结合整个社会的资源力量和建设投入，近年来，我国也在持续地加强完善数据安全相关的法律落地。 在国家顶层战略引导下，我国在国家安全、网络安全、数据安全与个人信息保护、关键信息基础设施、数据安全与个人信息保护、车联网多个领域密集出台了多项信息安全法律法规和政策文件，有效促进了信息安全领域的技术创新和应用落地，为筑牢国家信息安全屏障、推进网络强国建设提供了有力支撑。 发布（试行）时间 文件名称 相关内容 鼓励开发网络安全保护和利用技术，促进公共数据资源开放，推动技术创 2017年6月1日 《中华人民共和国网络安全法》 新和经济社会发展。应做好数据分类、重要数据备份、加密和重要数据境内留存等措施，防止数据泄露、或者被窃取、篡改。 2019年5月28日 《数据安全管理办法（征求意见）》 明确数据收集应制定并公开收集使用规则，提出收集动作和规定制定的相关要求。明确数据处理使用时，应参照国家有关标准，采用数据分类、备份、加密等措施加强对个人信息和重要数据保护。 2019年6月13日 《个人信息出境安全评估办法（征求意见稿）》 规定网络运营者向境外提供个人信息，应进行安全评估，并明确相关要求。 2021年1月1日 《民法典》 自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。 2021年3月11日 《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》 统筹数据开发利用、隐私保护和公共安全，加快建立数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范。 2021年9月1日 《关键信息基础设施安全保护条例》 明确运营者应履行个人信息和数据安全保护责任，建立健全个人信息和数据安全保护制度，发生关键信息基础设施重要数据泄露、较大规模个人信息泄露、特别重大网络安全事件或者发现特别重大网络安全威胁时，及时向国家网信部门、国务院公安部门报告。 2021年9月1日 《数据安全法》 数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等。数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。 2021年11月1日 《个人信息保护法》 构建完整的个人信息保护框架，采取分级保护制度；进一步细化、完善个人信息处理活动中个人的权利，及处 理者的原则、要求和权利、义务；明确个人信息跨境提供规则；明确相关法律责任及处罚措施。 2021年11月14日 《网络数据安全管理条例（征求意见稿）》 明确建立数据分类分级保护制度，将数据分为一般数据、重要数据、核心数据，不同级别的数据采取不同的保护措施。 3、数据传输安全治理不容忽视 《数据安全法》明确定了数据处理的概念，数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等。数据传输作为数据处理中的重要一环，其价值和重要意 义不容忽视。 根据《数据安全法》的定义延伸，数据传输安全指的是通过采取必要措施，确保数据在传输的整个过程中、处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。 从整个国家和社会层面，数据与国家的经济运行、社会治理、公共服务、国防安全等方面密切相关，随着新一轮科技革命和产业变革的加快推进，数字经济为各国经济发展提供了新动能，并且已经成为世界各国竞争的新高地。数据安全有序是数字经济健康发展的基础，但数据在流转过程中却面临着越来越多的风险。在全球范围内，以数据为目标的跨境攻击也越来越频繁，在数据传输环节攻击、窃取数据事件时有发生，成为挑战主权国家安全的跨国犯罪新形态。数据安全的核心在于保障数据的安全与合法有序流动，数据传输是数据在使用和流动过程中不可避免的一环，因此，规避因为 数据传输安全问题带来的安全隐患，是终确保数据作为助力经济社会发展的正面因素，落实国家数据安全保障工作的重要关键。 对于企业层面，数据传输安全治理在保护企业核心数据资产、维护企业竞争力 和持续发展力就具有更加现实的意义。企业的业务正常开展依赖安全有序的数据流 转，数据传输环节融合在企业生产办公、日常经营、技术研究、战略发展等活动的方方面面。数据是任何企业的命脉，但企业数据在传输过程中仍然面临着监管机制不健全、传输主体涉及面广、网络环境复杂、攻击手段多样、数据泄露引发多米诺骨牌式影响等多种风险和挑战。而当企业在数据传输过程中因设计、管理、技术、操作等处理方式疏忽而导致安全问题产生，则将带给企业难以统计的影响和后果。因此，保障 数据传输安全、保障数据在传输中的安全性、完整性、可用性，对于企业的持续经营、提升在市场的竞争力和发展力具有深远的重要意义。 二、企业数据传输安全治理面临的主要痛点和需求 1、数据传输治理政策层面缺乏系统性指导 数据传输安全法律体系尚不完整。我国数据安全法律体系建设起步相对较晚，目前从 整体来看，我国数据安全相关法律体系虽然日趋完善，但具体到数据传输安全方向，法律体系仍不完整，法域不宽广，结构内容不丰富。 在数据传输安全的重要性日益突显的今天，具体到社会单位、组织和企业，都需要体系化的数据传输安全法律法规来指导落地。在数据传输安全法律设计和发布之前，企业需要根据已有的数据安全相关法律法规来参考、评估和指导企业的数据传输安全治 理建设，这就给企业在制定全局性、系统性数据传输安全规划带来一定的挑战和压力。因而在内部向下一层层推进时，会出现重制定、轻落实，缺乏可落地性和可实施性等 问题。 2、数据传输治理面临来自网络环境层面挑战 数据生命周期安全问题，伴随着大数据传输技术和应用的快速发展，在数据传输生命周期的各个阶段、各个环节，越来越多的安全隐患逐渐暴