研究院2023企业数据跨境合规与技术应用白皮书

企业数据跨境合规与技 术应用白皮书（2023） 中国联通研究院 中国联通网络安全研究院 下一代互联网宽带业务应用国家工程研究中心2023年11月 版权声明 本白皮书版权属于中国联合网络通信有限公司、中兴通讯股份有限公司、北京市环球律师事务所，并受法律保护。转载、摘编或利用其他方式使用本白皮书文字或者观点的，应注明“来源：中国联合网络通信有限公司、中兴通讯股份有限公司和北京市环球律师事务所”。违反上述声明者，将追究其相关法律责任。 目录 前言1 一、全球数据跨境流动背景3 1.1数据跨境驱动全球数字经济加速增长3 1.2各国加快构建自身数据跨境流动规则4 1.3我国数据跨境流动监管面临较大挑战6 二、我国数据跨境政策环境与重点内容解读8 2.1我国数据跨境监管制度9 2.2数据出境合规路径判断方法12 2.3数据出境合规路径实施流程15 2.4数据出境所涉基本概念18 2.5数据出境典型场景20 三、企业数据跨境合规治理体系建设23 3.1组织机构建设24 3.2制度体系建设26 3.3合规路径操作实践27 3.4保障体系建设28 3.5技术防护措施30 四、数据跨境安全管理发展建议39 4.1健全数据出境制度体系与保护机制39 4.2强化数据跨境技术创新研究与应用40 4.3推动数据跨境协同治理与国际交流合作41 附录：数据出境相关法律法规和国家标准43 参考文献45 表目录 表2-1我国法律规制的数据出境合规路径10 表2-2数据出境合规路径适用情形11 表2-3《规定（征求意见稿）》出台后合规路径适用情形12 表2-4数据出境行为模式一21 表2-5数据出境行为模式二22 表3-1传统联邦学习和安全联邦学习的比较36 图目录 图2-1数据出境安全评估流程16 图2-2个人信息出境标准合同备案流程17 图3-1数据跨境合规治理框架24 图3-2基于区块链网络的跨境数据流动示意图37 前言 在数字经济背景下，数据已经成为国家战略资源和关键生产要素，也是企业的核心竞争资产。伴随着经济全球化，数据跨境活动日益频繁，数据出境场景越来越多，防范数据出境安全风险，保障数据依法有序自由流动成为我国关注的重要方面。目前，我国数据出境安全管理体系已经初步构建形成。《网络安全法》《数据安全法》《个人信息保护法》确立了数据出境的基本原则和主要路径，《数据出境安全评估办法》《个人信息出境标准合同办法》《个人信息保护认证实施规则》等进一步明确了不同数据出境路径的具体要求。 企业作为数据跨境活动最活跃的主体之一，无可避免的成为履行数据跨境合规义务的重要主体，但在具体实践中，如何采取相应的措施、采取哪些措施仍面临许多问题，比如：如何判断是否需要申报数据出境安全评估，或订立并备案个人信息出境标准合同，或通过个人信息保护认证？三条路径具体应如何实施？能够采取哪些方法和手段防范数据出境安全风险？…… 本白皮书力图从分析政策、剖析概念、归纳方法、总结举措等方面，尽可能全面、系统地整理当前我国数据跨境的有关法律法规和实施举措，希望为提高有关企业或个人对数据跨境制度的认识和理解，增强经营管理和业务开展过程中对数据出境合规风险的防范意识，强化数据出境合规管理贡献力量。 本白皮书由中国联通研究院主笔，中国联通集团网络与信息安全部、联通数字科技有限公司数据智能事业部、中国联通国际有限公司、中兴通讯股份有限公司、北京市环球律师事务所联合编写。 编写组成员（排名不分先后）：总策划：苗守野、李浩宇、叶晓煜 编委会：徐雷、杨锦洲、吴钢、马瑞涛、林海、张航、陶冶、曹咪、孙艺、吴连勇、李佳杭、康旗、刘亚琪、孟洁、王程、刘洋、李冰、 陈靖、杨晓蔚、韩莹莹、薛竞、黄一申、李佳敏、孙进芳、杨开敏、赵灿、刘宇健、张钦华 一、全球数据跨境流动背景 当前，以5G、云计算、大数据、人工智能等为代表的新一代信息通信技术快速发展并逐渐跨界融合，加速推进全球数字化转型和国际数字贸易发展。数据作为新型生产要素，数据跨境流动在当今数字经济中扮演着重要角色，因其机遇与风险并存，已经成为各个国家和地区重点关注的议题之一。 1.1数据跨境驱动全球数字经济加速增长 数据跨境安全有序流动是数据要素高效运转流动的关键环节，自2008年以来，跨境数据流动对全球经济增长的贡献已经超过传统的跨国贸易和投资，支撑了包括商品、服务、资本、人才等其他几乎所有类型资源的全球化活动，已经成为驱动数字经济增长的主要力量。数据跨境流动是经济全球化的必然结果，也是当下和未来经济发展的常态。数据跨境流动对于促进数字创新、提高经济增长效率和增进社会福祉具有重要意义。 一是促进国际贸易高质量发展。跨境数据流动已成为推动经济全 球化与国际贸易发展的重要力量。作为国际贸易发展的最新趋势，数字贸易在提升贸易效率、拓展贸易对象、降低贸易成本、丰富贸易业态等方面发挥着重要作用。 二是加速企业发展国际化进程。企业作为市场主体，其业务模式和经营模式引发高频化、规模化且常态化的跨境数据流动，在全球产 业分工日趋细化的背景下，企业的海外业务布局通常涉及多个国家，数据的集中协同处理是企业经营的客观需求。企业跨境数据流动可促进各类资源要素畅通流动以及各行业市场主体加速融合，帮助企业持续推动自身运营方式改善、供应链优化与商业模式创新，助力企业实现资源的高效配置。跨境数据流通是推动人才流、物流、资金流和信息流跨域自由流转的基础，在推动企业全球化等方面发挥着积极作用。 三是驱动数字经济加速增长。全球数据流动对经济增长有明显的 拉动效应，据麦肯锡估算，数据流动量每增加10%，将带动GDP增长0.2%。预计到2025年，全球数据流动对经济增长的贡献将达到11万亿美元。据经济合作与发展组织（OECD）测算，数据流动对各行业利润增长的平均促进率在10%，在数字平台、金融业等行业中可达到32%。依托数字技术和信息网络推动数据跨境流动，可带动各类资源要素高效流动、各类市场主体加速融合，促进数字经济做强做优做大。 1.2各国加快构建自身数据跨境流动规则 数据跨境流动给数字经济发展带来了强大的推动作用，但是数据跨境后也隐藏着不受控的安全风险。当前，国际上广泛认为，数据跨境流动不仅包括物理意义上的跨越国界，还包含第三国主体对数据的 跨境访问和使用。随着经济全球化的发展，国际交流合作愈加频繁，数据跨境传输、存储、访问、使用的频次大幅上升，所带来的安全风险渗透至数据全生命周期，且随着数据跨境流动的范围不断扩大，产生的风险从个人隐私保护、商业利益保护升级跃迁至国家数据主权甚至国家安全。随着各国对数据跨境流动意义和影响的认识日益深入，数据跨境流动逐步成为国家和地区间博弈的重要问题。基于国家安全、经济发展、隐私保护、技术能力等多方面的考量，各国确立了不同的数据跨境流动策略，并基于此加快构建自身的数据跨境流动规则体系。 分国家层面来看，当前，数据跨境流动规则还处在探索阶段，各 国对于数据跨境流动规则尚未形成共识，整体呈现多元性与差异化的特点。比如，美国采取的策略是理念上主张全球数据自由流动，实践中构建数据“单向”流动格局。欧盟“两手都要抓，两手都要硬”， 双边场合推动数据互认标准，多边场合提倡数据自由流动，在强化个人隐私数据保护的同时，提升数据竞争优势。日本对数据跨境流动的限制性条件较少，但强调对涉及国家安全的敏感或关键数据进行监管。俄罗斯要求俄公民个人数据收集必须使用位于俄境内的数据库。印度 将个人数据分为一般个人数据、敏感个人数据和关键个人数据，一般个人数据和敏感个人数据在境内存储副本的条件下可跨境流动，关键 个人数据仅能存储在印度境内的服务器或数据中心，绝对禁止离境。澳大利亚、加拿大、韩国、巴西等国支持数据自由流动，但主张将保 护个人隐私和国家安全写入例外条款，包括实现公共政策目标、保护个人隐私安全、保护国家安全等。截至目前，全球已有70多个国家或地区对数据跨境流动进行了不同程度的限制。 从当前国际数字贸易相关协定来看，数据跨境流动规则正在成为 高水平贸易协定的重要标志，无论是发达国家成员主导的《全面与进步跨太平洋伙伴关系协定》（CPTPP）和《数字经济伙伴关系协定》 （DEPA），还是发展中国家成员签署的《区域全面经济伙伴关系协定》（RCEP），保障数据合理数据跨境流动都是其中的核心条款。各国限制数据跨境流动的规章制度存在显著差异，而且具有明显 的冲突性，给数据跨境流动带来了很大难度。但是国际主流的跨境管理思想较为统一：基于数据的重要程度，分类分级的开展数据跨境管理工作，并在既有的国际合作框架下探索数据跨境合作，在经济发展、数据安全、国际环境三者约束条件下，形成数据跨境流动规则。 1.3我国数据跨境流动监管面临较大挑战 我国明确将数据作为新型生产要素，据《数字中国发展报告 （2022年）》数据显示，2022年我国数据产量达8.1ZB，同比增长22.7%，占全球数据总产量的10.5%，位居全球第二；我国数字经济规模达50.2万亿元，占国内生产总值比重提升至41.5%。我国已经发展成为全球第二大数字经济体，数据跨境流动在数字经济中的作用愈发重要。但是如何在维护好国家数据安全、保护好个人信息权 益的前提下促进数据有序流动成为当前面临的难题，我国数据跨境流动监管也面临较大挑战。 一是数据跨境流动隐蔽性强，难以有效监管。数据跨境流动深植 于国际贸易、交往互动中，处理过程涉及多方参与协商，数据流动隐蔽性高，增加了数据跨境流动监管的复杂度。隐蔽的方式包括通过恶意软件采集、网络爬虫抓取或其他非法方式获取他人未授权的数据并流转使用。全球经济一体化背景下，数据是否以隐蔽且未授权的方式流动出境，成为数据出境安全治理亟需重点关注的问题，准确识别数据的不合法出境是数据跨境安全治理的基础。 二是数据跨境量级指数递增，分类监管难度较大。随着互联网的 快速普及，海量数据不断汇聚积累，呈现出“数据海量化、种类多样化、处理快速化”等特点，这些数据遍布通信、金融、能源、交通等各个行业领域，数据格式混杂多样，数据价值各有不同，在数据跨境流动过程中，如何对海量的数据进行全面梳理分类和有效监管仍是挑战。数据规模庞大、数据流转实时变化、数据持续聚合拆分，增加了数据分类分级的难度。数据级别评估基准不统一，对重复加工生成的衍生数据状态判断不明，使得数据跨境流动风险难以有效判定。 三是数据跨境攻击不断升级，数据安全态势严峻。随着数据价值 不断提升，以数据为目标的跨境攻击愈加频繁，数据跨境攻击技术持续升级，攻击者的组织形式趋于集中化、专业化；攻击对象日益渗透 至管、网、云、端等各环节以及各类网络设备、软硬件、关键信息基础设施等；攻击方式走向智能化、多样化，以人工智能等新技术为载体的攻击方式不断演变升级，难以防范。 近年来，我国积极构建实施数据保护相关的法律法规，秉持“统 筹安全和发展”的理念，关注国家利益、公共安全与国际合作，探寻合规高效的跨境数据流动规则。我国立法明确提出“坚持以数据开发 利用和产业发展促进数据安全，以数据安全保障数据开发利用和产业发展”“积极开展数据安全治理、数据开发利用等领域的国际交流与合作，促进数据跨境安全、自由流动”的政策目标。同时，我国遵循多元共治的理念，在数据出境国际规则构建中，兼顾发达国家关注数字贸易利益以及发展中国家关注数据安全与产业发展利益的情况，支持基于公共政策目标或者国家安全利益而采取的数据本地化策略，与各国在独立自主基础上的开展合作与治理。一直以来，我国积极参与国际交流合作，逐步构建完善国内数据要素治理的顶层法律法规，推进具体落地实施，目前基本形成了符合我国数字经济发展要求的数据跨境流动规则。 二、我国数据跨境政策环境与重点内容解读 我国的数据跨境流动规则已基本建立，本章将进行归纳分析，剖析重要数据、个人信息、关键信息基础设施等基本概念，总结数据出 境合规路径的判断方法与实施流程，并以举例形式详细阐述数据出境的典型场景。 2.1我国数据跨境监管制度 近年来，我国相继出台《网络安全法》《数据安全法》和《个人信息保护法》