企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)-2023.12

企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）中國(guó)聯(lián)通研究院中國(guó)聯(lián)通網(wǎng)絡(luò)安全研究院下一代互聯(lián)網(wǎng)寬帶業(yè)務(wù)應(yīng)用國(guó)家工程研究中心2023

年

11

月企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）版權(quán)聲明本白皮書(shū)版權(quán)屬于中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司、中興通訊股份有限公司、北京市環(huán)球律師事務(wù)所，并受法律保護(hù)。轉(zhuǎn)載、摘編或利用其他方式使用本白皮書(shū)文字或者觀點(diǎn)的，應(yīng)注明“來(lái)源：中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司、中興通訊股份有限公司和北京市環(huán)球律師事務(wù)所”。違反上述聲明者，將追究其相關(guān)法律責(zé)任。企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）目錄前

言...................................................................................................

1一、全球數(shù)據(jù)跨境流動(dòng)背景...............................................................

31.1

數(shù)據(jù)跨境驅(qū)動(dòng)全球數(shù)字經(jīng)濟(jì)加速增長(zhǎng)......................................31.2

各國(guó)加快構(gòu)建自身數(shù)據(jù)跨境流動(dòng)規(guī)則......................................41.3

我國(guó)數(shù)據(jù)跨境流動(dòng)監(jiān)管面臨較大挑戰(zhàn)......................................6二、我國(guó)數(shù)據(jù)跨境政策環(huán)境與重點(diǎn)內(nèi)容解讀.....................................82.1

我國(guó)數(shù)據(jù)跨境監(jiān)管制度............................................................

92.2

數(shù)據(jù)出境合規(guī)路徑判斷方法...................................................122.3

數(shù)據(jù)出境合規(guī)路徑實(shí)施流程...................................................152.4

數(shù)據(jù)出境所涉基本概念..........................................................

182.5

數(shù)據(jù)出境典型場(chǎng)景..................................................................20三、企業(yè)數(shù)據(jù)跨境合規(guī)治理體系建設(shè)..............................................233.1

組織機(jī)構(gòu)建設(shè).........................................................................

243.2

制度體系建設(shè).........................................................................

263.3

合規(guī)路徑操作實(shí)踐..................................................................273.4

保障體系建設(shè).........................................................................

283.5

技術(shù)防護(hù)措施.........................................................................

30四、數(shù)據(jù)跨境安全管理發(fā)展建議......................................................394.1

健全數(shù)據(jù)出境制度體系與保護(hù)機(jī)制.......................................

394.2

強(qiáng)化數(shù)據(jù)跨境技術(shù)創(chuàng)新研究與應(yīng)用.......................................

40企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）4.3

推動(dòng)數(shù)據(jù)跨境協(xié)同治理與國(guó)際交流合作.................................41附錄：數(shù)據(jù)出境相關(guān)法律法規(guī)和國(guó)家標(biāo)準(zhǔn)......................................

43參考文獻(xiàn)...........................................................................................

45企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）表目錄表

2-1

我國(guó)法律規(guī)制的數(shù)據(jù)出境合規(guī)路徑..............................

10表

2-2

數(shù)據(jù)出境合規(guī)路徑適用情形.........................................

11表

2-3

《規(guī)定（征求意見(jiàn)稿）》出臺(tái)后合規(guī)路徑適用情形....12表

2-4

數(shù)據(jù)出境行為模式一.....................................................21表

2-5

數(shù)據(jù)出境行為模式二.....................................................22表

3-1

傳統(tǒng)聯(lián)邦學(xué)習(xí)和安全聯(lián)邦學(xué)習(xí)的比較..........................

36圖目錄圖

2-1

數(shù)據(jù)出境安全評(píng)估流程.................................................16圖

2-2

個(gè)人信息出境標(biāo)準(zhǔn)合同備案流程..................................17圖

3-1

數(shù)據(jù)跨境合規(guī)治理框架.................................................24圖

3-2

基于區(qū)塊鏈網(wǎng)絡(luò)的跨境數(shù)據(jù)流動(dòng)示意圖.......................37企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）前

言在數(shù)字經(jīng)濟(jì)背景下，數(shù)據(jù)已經(jīng)成為國(guó)家戰(zhàn)略資源和關(guān)鍵生產(chǎn)要素，也是企業(yè)的核心競(jìng)爭(zhēng)資產(chǎn)。伴隨著經(jīng)濟(jì)全球化，數(shù)據(jù)跨境活動(dòng)日益頻繁，數(shù)據(jù)出境場(chǎng)景越來(lái)越多，防范數(shù)據(jù)出境安全風(fēng)險(xiǎn)，保障數(shù)據(jù)依法有序自由流動(dòng)成為我國(guó)關(guān)注的重要方面。目前，我國(guó)數(shù)據(jù)出境安全管理體系已經(jīng)初步構(gòu)建形成?！毒W(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》確立了數(shù)據(jù)出境的基本原則和主要路徑，《數(shù)據(jù)出境安全評(píng)估辦法》《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》《個(gè)人信息保護(hù)認(rèn)證實(shí)施規(guī)則》等進(jìn)一步明確了不同數(shù)據(jù)出境路徑的具體要求。企業(yè)作為數(shù)據(jù)跨境活動(dòng)最活躍的主體之一，無(wú)可避免的成為履行數(shù)據(jù)跨境合規(guī)義務(wù)的重要主體，但在具體實(shí)踐中，如何采取相應(yīng)的措施、采取哪些措施仍面臨許多問(wèn)題，比如：如何判斷是否需要申報(bào)數(shù)據(jù)出境安全評(píng)估，或訂立并備案?jìng)€(gè)人信息出境標(biāo)準(zhǔn)合同，或通過(guò)個(gè)人信息保護(hù)認(rèn)證？三條路徑具體應(yīng)如何實(shí)施？能夠采取哪些方法和手段防范數(shù)據(jù)出境安全風(fēng)險(xiǎn)？……本白皮書(shū)力圖從分析政策、剖析概念、歸納方法、總結(jié)舉措等方面，盡可能全面、系統(tǒng)地整理當(dāng)前我國(guó)數(shù)據(jù)跨境的有關(guān)法律法規(guī)和實(shí)施舉措，希望為提高有關(guān)企業(yè)或個(gè)人對(duì)數(shù)據(jù)跨境制度的認(rèn)識(shí)和理解，增強(qiáng)經(jīng)營(yíng)管理和業(yè)務(wù)開(kāi)展過(guò)程中對(duì)數(shù)據(jù)出境合規(guī)風(fēng)險(xiǎn)的防范意識(shí)，強(qiáng)化數(shù)據(jù)出境合規(guī)管理貢獻(xiàn)力量。-1-企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）本白皮書(shū)由中國(guó)聯(lián)通研究院主筆，中國(guó)聯(lián)通集團(tuán)網(wǎng)絡(luò)與信息安全部、聯(lián)通數(shù)字科技有限公司數(shù)據(jù)智能事業(yè)部、中國(guó)聯(lián)通國(guó)際有限公司、中興通訊股份有限公司、北京市環(huán)球律師事務(wù)所聯(lián)合編寫(xiě)。編寫(xiě)組成員（排名不分先后）：總策劃：苗守野、李浩宇、葉曉煜編委會(huì)：徐雷、楊錦洲、吳鋼、馬瑞濤、林海、張航、陶冶、曹咪、孫藝、吳連勇、李佳杭、康旗、劉亞琪、孟潔、王程、劉洋、李冰、陳靖、楊曉蔚、韓瑩瑩、薛競(jìng)、黃一申、李佳敏、孫進(jìn)芳、楊開(kāi)敏、趙燦、劉宇健、張欽華-2-企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）一、全球數(shù)據(jù)跨境流動(dòng)背景當(dāng)前，以

5G、云計(jì)算、大數(shù)據(jù)、人工智能等為代表的新一代信息通信技術(shù)快速發(fā)展并逐漸跨界融合，加速推進(jìn)全球數(shù)字化轉(zhuǎn)型和國(guó)際數(shù)字貿(mào)易發(fā)展。數(shù)據(jù)作為新型生產(chǎn)要素，數(shù)據(jù)跨境流動(dòng)在當(dāng)今數(shù)字經(jīng)濟(jì)中扮演著重要角色，因其機(jī)遇與風(fēng)險(xiǎn)并存，已經(jīng)成為各個(gè)國(guó)家和地區(qū)重點(diǎn)關(guān)注的議題之一。1.1

數(shù)據(jù)跨境驅(qū)動(dòng)全球數(shù)字經(jīng)濟(jì)加速增長(zhǎng)數(shù)據(jù)跨境安全有序流動(dòng)是數(shù)據(jù)要素高效運(yùn)轉(zhuǎn)流動(dòng)的關(guān)鍵環(huán)節(jié)，自2008

年以來(lái)，跨境數(shù)據(jù)流動(dòng)對(duì)全球經(jīng)濟(jì)增長(zhǎng)的貢獻(xiàn)已經(jīng)超過(guò)傳統(tǒng)的跨國(guó)貿(mào)易和投資，支撐了包括商品、服務(wù)、資本、人才等其他幾乎所有類(lèi)型資源的全球化活動(dòng)，已經(jīng)成為驅(qū)動(dòng)數(shù)字經(jīng)濟(jì)增長(zhǎng)的主要力量。數(shù)據(jù)跨境流動(dòng)是經(jīng)濟(jì)全球化的必然結(jié)果，也是當(dāng)下和未來(lái)經(jīng)濟(jì)發(fā)展的常態(tài)。數(shù)據(jù)跨境流動(dòng)對(duì)于促進(jìn)數(shù)字創(chuàng)新、提高經(jīng)濟(jì)增長(zhǎng)效率和增進(jìn)社會(huì)福祉具有重要意義。一是促進(jìn)國(guó)際貿(mào)易高質(zhì)量發(fā)展?？缇硵?shù)據(jù)流動(dòng)已成為推動(dòng)經(jīng)濟(jì)全球化與國(guó)際貿(mào)易發(fā)展的重要力量。作為國(guó)際貿(mào)易發(fā)展的最新趨勢(shì)，數(shù)字貿(mào)易在提升貿(mào)易效率、拓展貿(mào)易對(duì)象、降低貿(mào)易成本、豐富貿(mào)易業(yè)態(tài)等方面發(fā)揮著重要作用。-3-企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）二是加速企業(yè)發(fā)展國(guó)際化進(jìn)程。企業(yè)作為市場(chǎng)主體，其業(yè)務(wù)模式和經(jīng)營(yíng)模式引發(fā)高頻化、規(guī)?；页B(tài)化的跨境數(shù)據(jù)流動(dòng)，在全球產(chǎn)業(yè)分工日趨細(xì)化的背景下，企業(yè)的海外業(yè)務(wù)布局通常涉及多個(gè)國(guó)家，數(shù)據(jù)的集中協(xié)同處理是企業(yè)經(jīng)營(yíng)的客觀需求。企業(yè)跨境數(shù)據(jù)流動(dòng)可促進(jìn)各類(lèi)資源要素暢通流動(dòng)以及各行業(yè)市場(chǎng)主體加速融合，幫助企業(yè)持續(xù)推動(dòng)自身運(yùn)營(yíng)方式改善、供應(yīng)鏈優(yōu)化與商業(yè)模式創(chuàng)新，助力企業(yè)實(shí)現(xiàn)資源的高效配置?？缇硵?shù)據(jù)流通是推動(dòng)人才流、物流、資金流和信息流跨域自由流轉(zhuǎn)的基礎(chǔ)，在推動(dòng)企業(yè)全球化等方面發(fā)揮著積極作用。三是驅(qū)動(dòng)數(shù)字經(jīng)濟(jì)加速增長(zhǎng)。全球數(shù)據(jù)流動(dòng)對(duì)經(jīng)濟(jì)增長(zhǎng)有明顯的拉動(dòng)效應(yīng)，據(jù)麥肯錫估算，數(shù)據(jù)流動(dòng)量每增加

10%，將帶動(dòng)

GDP

增長(zhǎng)

0.2%。預(yù)計(jì)到

2025

年，全球數(shù)據(jù)流動(dòng)對(duì)經(jīng)濟(jì)增長(zhǎng)的貢獻(xiàn)將達(dá)到11

萬(wàn)億美元。據(jù)經(jīng)濟(jì)合作與發(fā)展組織（OECD）測(cè)算，數(shù)據(jù)流動(dòng)對(duì)各行業(yè)利潤(rùn)增長(zhǎng)的平均促進(jìn)率在

10%，在數(shù)字平臺(tái)、金融業(yè)等行業(yè)中可達(dá)到

32%。依托數(shù)字技術(shù)和信息網(wǎng)絡(luò)推動(dòng)數(shù)據(jù)跨境流動(dòng)，可帶動(dòng)各類(lèi)資源要素高效流動(dòng)、各類(lèi)市場(chǎng)主體加速融合，促進(jìn)數(shù)字經(jīng)濟(jì)做強(qiáng)做優(yōu)做大。1.2

各國(guó)加快構(gòu)建自身數(shù)據(jù)跨境流動(dòng)規(guī)則數(shù)據(jù)跨境流動(dòng)給數(shù)字經(jīng)濟(jì)發(fā)展帶來(lái)了強(qiáng)大的推動(dòng)作用，但是數(shù)據(jù)跨境后也隱藏著不受控的安全風(fēng)險(xiǎn)。當(dāng)前，國(guó)際上廣泛認(rèn)為，數(shù)據(jù)跨境流動(dòng)不僅包括物理意義上的跨越國(guó)界，還包含第三國(guó)主體對(duì)數(shù)據(jù)的-4-企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）跨境訪問(wèn)和使用。隨著經(jīng)濟(jì)全球化的發(fā)展，國(guó)際交流合作愈加頻繁，數(shù)據(jù)跨境傳輸、存儲(chǔ)、訪問(wèn)、使用的頻次大幅上升，所帶來(lái)的安全風(fēng)險(xiǎn)滲透至數(shù)據(jù)全生命周期，且隨著數(shù)據(jù)跨境流動(dòng)的范圍不斷擴(kuò)大，產(chǎn)生的風(fēng)險(xiǎn)從個(gè)人隱私保護(hù)、商業(yè)利益保護(hù)升級(jí)躍遷至國(guó)家數(shù)據(jù)主權(quán)甚至國(guó)家安全。隨著各國(guó)對(duì)數(shù)據(jù)跨境流動(dòng)意義和影響的認(rèn)識(shí)日益深入，數(shù)據(jù)跨境流動(dòng)逐步成為國(guó)家和地區(qū)間博弈的重要問(wèn)題?；趪?guó)家安全、經(jīng)濟(jì)發(fā)展、隱私保護(hù)、技術(shù)能力等多方面的考量，各國(guó)確立了不同的數(shù)據(jù)跨境流動(dòng)策略，并基于此加快構(gòu)建自身的數(shù)據(jù)跨境流動(dòng)規(guī)則體系。分國(guó)家層面來(lái)看，當(dāng)前，數(shù)據(jù)跨境流動(dòng)規(guī)則還處在探索階段，各國(guó)對(duì)于數(shù)據(jù)跨境流動(dòng)規(guī)則尚未形成共識(shí)，整體呈現(xiàn)多元性與差異化的特點(diǎn)。比如，美國(guó)采取的策略是理念上主張全球數(shù)據(jù)自由流動(dòng)，實(shí)踐中構(gòu)建數(shù)據(jù)“單向”流動(dòng)格局。歐盟“兩手都要抓，兩手都要硬”，雙邊場(chǎng)合推動(dòng)數(shù)據(jù)互認(rèn)標(biāo)準(zhǔn)，多邊場(chǎng)合提倡數(shù)據(jù)自由流動(dòng)，在強(qiáng)化個(gè)人隱私數(shù)據(jù)保護(hù)的同時(shí)，提升數(shù)據(jù)競(jìng)爭(zhēng)優(yōu)勢(shì)。日本對(duì)數(shù)據(jù)跨境流動(dòng)的限制性條件較少，但強(qiáng)調(diào)對(duì)涉及國(guó)家安全的敏感或關(guān)鍵數(shù)據(jù)進(jìn)行監(jiān)管。俄羅斯要求俄公民個(gè)人數(shù)據(jù)收集必須使用位于俄境內(nèi)的數(shù)據(jù)庫(kù)。印度將個(gè)人數(shù)據(jù)分為一般個(gè)人數(shù)據(jù)、敏感個(gè)人數(shù)據(jù)和關(guān)鍵個(gè)人數(shù)據(jù)，一般個(gè)人數(shù)據(jù)和敏感個(gè)人數(shù)據(jù)在境內(nèi)存儲(chǔ)副本的條件下可跨境流動(dòng)，關(guān)鍵個(gè)人數(shù)據(jù)僅能存儲(chǔ)在印度境內(nèi)的服務(wù)器或數(shù)據(jù)中心，絕對(duì)禁止離境。澳大利亞、加拿大、韓國(guó)、巴西等國(guó)支持?jǐn)?shù)據(jù)自由流動(dòng)，但主張將保-5-企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）護(hù)個(gè)人隱私和國(guó)家安全寫(xiě)入例外條款，包括實(shí)現(xiàn)公共政策目標(biāo)、保護(hù)個(gè)人隱私安全、保護(hù)國(guó)家安全等。截至目前，全球已有

70

多個(gè)國(guó)家或地區(qū)對(duì)數(shù)據(jù)跨境流動(dòng)進(jìn)行了不同程度的限制。從當(dāng)前國(guó)際數(shù)字貿(mào)易相關(guān)協(xié)定來(lái)看，數(shù)據(jù)跨境流動(dòng)規(guī)則正在成為高水平貿(mào)易協(xié)定的重要標(biāo)志，無(wú)論是發(fā)達(dá)國(guó)家成員主導(dǎo)的《全面與進(jìn)步跨太平洋伙伴關(guān)系協(xié)定》（CPTPP）和《數(shù)字經(jīng)濟(jì)伙伴關(guān)系協(xié)定》（DEPA），還是發(fā)展中國(guó)家成員簽署的《區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定》（RCEP），保障數(shù)據(jù)合理數(shù)據(jù)跨境流動(dòng)都是其中的核心條款。各國(guó)限制數(shù)據(jù)跨境流動(dòng)的規(guī)章制度存在顯著差異，而且具有明顯的沖突性，給數(shù)據(jù)跨境流動(dòng)帶來(lái)了很大難度。但是國(guó)際主流的跨境管理思想較為統(tǒng)一：基于數(shù)據(jù)的重要程度，分類(lèi)分級(jí)的開(kāi)展數(shù)據(jù)跨境管理工作，并在既有的國(guó)際合作框架下探索數(shù)據(jù)跨境合作，在經(jīng)濟(jì)發(fā)展、數(shù)據(jù)安全、國(guó)際環(huán)境三者約束條件下，形成數(shù)據(jù)跨境流動(dòng)規(guī)則。1.3

我國(guó)數(shù)據(jù)跨境流動(dòng)監(jiān)管面臨較大挑戰(zhàn)我國(guó)明確將數(shù)據(jù)作為新型生產(chǎn)要素，據(jù)《數(shù)字中國(guó)發(fā)展報(bào)告（2022

年）》數(shù)據(jù)顯示，2022

年我國(guó)數(shù)據(jù)產(chǎn)量達(dá)

8.1ZB，同比增長(zhǎng)

22.7%，占全球數(shù)據(jù)總產(chǎn)量的

10.5%，位居全球第二；我國(guó)數(shù)字經(jīng)濟(jì)規(guī)模達(dá)

50.2

萬(wàn)億元，占國(guó)內(nèi)生產(chǎn)總值比重提升至

41.5%。我國(guó)已經(jīng)發(fā)展成為全球第二大數(shù)字經(jīng)濟(jì)體，數(shù)據(jù)跨境流動(dòng)在數(shù)字經(jīng)濟(jì)中的作用愈發(fā)重要。但是如何在維護(hù)好國(guó)家數(shù)據(jù)安全、保護(hù)好個(gè)人信息權(quán)-6-企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）益的前提下促進(jìn)數(shù)據(jù)有序流動(dòng)成為當(dāng)前面臨的難題，我國(guó)數(shù)據(jù)跨境流動(dòng)監(jiān)管也面臨較大挑戰(zhàn)。一是數(shù)據(jù)跨境流動(dòng)隱蔽性強(qiáng)，難以有效監(jiān)管。數(shù)據(jù)跨境流動(dòng)深植于國(guó)際貿(mào)易、交往互動(dòng)中，處理過(guò)程涉及多方參與協(xié)商，數(shù)據(jù)流動(dòng)隱蔽性高，增加了數(shù)據(jù)跨境流動(dòng)監(jiān)管的復(fù)雜度。隱蔽的方式包括通過(guò)惡意軟件采集、網(wǎng)絡(luò)爬蟲(chóng)抓取或其他非法方式獲取他人未授權(quán)的數(shù)據(jù)并流轉(zhuǎn)使用。全球經(jīng)濟(jì)一體化背景下，數(shù)據(jù)是否以隱蔽且未授權(quán)的方式流動(dòng)出境，成為數(shù)據(jù)出境安全治理亟需重點(diǎn)關(guān)注的問(wèn)題，準(zhǔn)確識(shí)別數(shù)據(jù)的不合法出境是數(shù)據(jù)跨境安全治理的基礎(chǔ)。二是數(shù)據(jù)跨境量級(jí)指數(shù)遞增，分類(lèi)監(jiān)管難度較大。隨著互聯(lián)網(wǎng)的快速普及，海量數(shù)據(jù)不斷匯聚積累，呈現(xiàn)出“數(shù)據(jù)海量化、種類(lèi)多樣化、處理快速化”等特點(diǎn)，這些數(shù)據(jù)遍布通信、金融、能源、交通等各個(gè)行業(yè)領(lǐng)域，數(shù)據(jù)格式混雜多樣，數(shù)據(jù)價(jià)值各有不同，在數(shù)據(jù)跨境流動(dòng)過(guò)程中，如何對(duì)海量的數(shù)據(jù)進(jìn)行全面梳理分類(lèi)和有效監(jiān)管仍是挑戰(zhàn)。數(shù)據(jù)規(guī)模龐大、數(shù)據(jù)流轉(zhuǎn)實(shí)時(shí)變化、數(shù)據(jù)持續(xù)聚合拆分，增加了數(shù)據(jù)分類(lèi)分級(jí)的難度。數(shù)據(jù)級(jí)別評(píng)估基準(zhǔn)不統(tǒng)一，對(duì)重復(fù)加工生成的衍生數(shù)據(jù)狀態(tài)判斷不明，使得數(shù)據(jù)跨境流動(dòng)風(fēng)險(xiǎn)難以有效判定。三是數(shù)據(jù)跨境攻擊不斷升級(jí)，數(shù)據(jù)安全態(tài)勢(shì)嚴(yán)峻。隨著數(shù)據(jù)價(jià)值不斷提升，以數(shù)據(jù)為目標(biāo)的跨境攻擊愈加頻繁，數(shù)據(jù)跨境攻擊技術(shù)持續(xù)升級(jí)，攻擊者的組織形式趨于集中化、專(zhuān)業(yè)化；攻擊對(duì)象日益滲透-7-企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）至管、網(wǎng)、云、端等各環(huán)節(jié)以及各類(lèi)網(wǎng)絡(luò)設(shè)備、軟硬件、關(guān)鍵信息基礎(chǔ)設(shè)施等；攻擊方式走向智能化、多樣化，以人工智能等新技術(shù)為載體的攻擊方式不斷演變升級(jí)，難以防范。近年來(lái)，我國(guó)積極構(gòu)建實(shí)施數(shù)據(jù)保護(hù)相關(guān)的法律法規(guī)，秉持“統(tǒng)籌安全和發(fā)展”的理念，關(guān)注國(guó)家利益、公共安全與國(guó)際合作，探尋合規(guī)高效的跨境數(shù)據(jù)流動(dòng)規(guī)則。我國(guó)立法明確提出“堅(jiān)持以數(shù)據(jù)開(kāi)發(fā)利用和產(chǎn)業(yè)發(fā)展促進(jìn)數(shù)據(jù)安全，以數(shù)據(jù)安全保障數(shù)據(jù)開(kāi)發(fā)利用和產(chǎn)業(yè)發(fā)展”“積極開(kāi)展數(shù)據(jù)安全治理、數(shù)據(jù)開(kāi)發(fā)利用等領(lǐng)域的國(guó)際交流與合作，促進(jìn)數(shù)據(jù)跨境安全、自由流動(dòng)”的政策目標(biāo)。同時(shí)，我國(guó)遵循多元共治的理念，在數(shù)據(jù)出境國(guó)際規(guī)則構(gòu)建中，兼顧發(fā)達(dá)國(guó)家關(guān)注數(shù)字貿(mào)易利益以及發(fā)展中國(guó)家關(guān)注數(shù)據(jù)安全與產(chǎn)業(yè)發(fā)展利益的情況，支持基于公共政策目標(biāo)或者國(guó)家安全利益而采取的數(shù)據(jù)本地化策略，與各國(guó)在獨(dú)立自主基礎(chǔ)上的開(kāi)展合作與治理。一直以來(lái)，我國(guó)積極參與國(guó)際交流合作，逐步構(gòu)建完善國(guó)內(nèi)數(shù)據(jù)要素治理的頂層法律法規(guī)，推進(jìn)具體落地實(shí)施，目前基本形成了符合我國(guó)數(shù)字經(jīng)濟(jì)發(fā)展要求的數(shù)據(jù)跨境流動(dòng)規(guī)則。二、我國(guó)數(shù)據(jù)跨境政策環(huán)境與重點(diǎn)內(nèi)容解讀我國(guó)的數(shù)據(jù)跨境流動(dòng)規(guī)則已基本建立，本章將進(jìn)行歸納分析，剖析重要數(shù)據(jù)、個(gè)人信息、關(guān)鍵信息基礎(chǔ)設(shè)施等基本概念，總結(jié)數(shù)據(jù)出-8-企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）境合規(guī)路徑的判斷方法與實(shí)施流程，并以舉例形式詳細(xì)闡述數(shù)據(jù)出境的典型場(chǎng)景。2.1

我國(guó)數(shù)據(jù)跨境監(jiān)管制度近年來(lái)，我國(guó)相繼出臺(tái)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》，對(duì)網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個(gè)人信息保護(hù)進(jìn)行了制度要求，也為數(shù)據(jù)跨境流動(dòng)構(gòu)建了基礎(chǔ)框架。雖然理論上數(shù)據(jù)跨境分為數(shù)據(jù)出境和數(shù)據(jù)入境，但我國(guó)主要規(guī)制數(shù)據(jù)出境活動(dòng)，故本次報(bào)告主要從數(shù)據(jù)出境的角度進(jìn)行切入探討?？傮w來(lái)看，前述三部法律主要從重要數(shù)據(jù)和個(gè)人信息保護(hù)兩個(gè)維度監(jiān)管數(shù)據(jù)出境活動(dòng)，建立了“數(shù)據(jù)出境安全評(píng)估”、“個(gè)人信息保護(hù)認(rèn)證”和“標(biāo)準(zhǔn)合同條款”三大合規(guī)路徑，具體要求如表

2-1

所示。其中，《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》還明確，向外國(guó)司法或者執(zhí)法機(jī)構(gòu)提供數(shù)據(jù)，應(yīng)經(jīng)主管機(jī)關(guān)批準(zhǔn)。個(gè)人信息處理者向境外提供個(gè)人信息前應(yīng)履行相應(yīng)的義務(wù)，包括：基于個(gè)人同意向境外提供個(gè)人信息的，應(yīng)當(dāng)取得個(gè)人信息主體同意；數(shù)據(jù)出境前應(yīng)當(dāng)開(kāi)展個(gè)人信息保護(hù)影響評(píng)估等。-9-企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）表

2-1

我國(guó)法律規(guī)制的數(shù)據(jù)出境合規(guī)路徑法律名稱(chēng)生效日期規(guī)制數(shù)據(jù)規(guī)制主體合規(guī)路徑2017

年6

月

1

日重要數(shù)據(jù)個(gè)人信息《網(wǎng)絡(luò)安全法》關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者其他數(shù)據(jù)處理者向境外提供，應(yīng)當(dāng)進(jìn)行安全評(píng)估向境外提供，應(yīng)當(dāng)進(jìn)行安全評(píng)估2021

年9

月

1

日《數(shù)據(jù)安全法》重要數(shù)據(jù)遵照國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)制定的辦法國(guó)家機(jī)關(guān)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者向境外提供，應(yīng)當(dāng)進(jìn)行安全評(píng)估處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門(mén)規(guī)定數(shù)量的個(gè)人信息處理者向境外提供，應(yīng)當(dāng)具備下列條件之一：（1）通過(guò)國(guó)家網(wǎng)信部門(mén)組織的安全評(píng)估；（2）按照國(guó)家網(wǎng)信部門(mén)的規(guī)定經(jīng)專(zhuān)業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證；2021

年《個(gè)人信息保護(hù)法》個(gè)人信息11

月

1

日其他個(gè)人信息處理者（3）按照國(guó)家網(wǎng)信部門(mén)制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)；（4）法律、行政法規(guī)或者國(guó)家網(wǎng)信部門(mén)規(guī)定的其他條件。隨后，國(guó)家互聯(lián)網(wǎng)信息辦公室（以下簡(jiǎn)稱(chēng)“國(guó)家網(wǎng)信辦”）陸續(xù)發(fā)布《數(shù)據(jù)出境安全評(píng)估辦法》《個(gè)人信息保護(hù)認(rèn)證實(shí)施規(guī)則》《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》（以下分別簡(jiǎn)稱(chēng)《評(píng)估辦法》《認(rèn)證實(shí)施規(guī)則》《合同辦法》）等，進(jìn)一步明確了“數(shù)據(jù)出境安全評(píng)估”、“個(gè)人信息保護(hù)認(rèn)證”和“標(biāo)準(zhǔn)合同條款”的實(shí)施細(xì)則，我國(guó)數(shù)據(jù)出境監(jiān)管制度已基本建立。三大合規(guī)路徑的適用情形如表

2-2

所示。-10-企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）表

2-2

數(shù)據(jù)出境合規(guī)路徑適用情形部門(mén)規(guī)章生效日期適用情形配套文件數(shù)據(jù)出境安全評(píng)估適用于以下四種情形：（1）數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)；《數(shù)據(jù)出境安全評(píng)估申報(bào)指南（第一版）》（以下簡(jiǎn)稱(chēng)《評(píng)估申報(bào)指南》）（2）關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理

100

萬(wàn)人以上個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息；《數(shù)據(jù)出境安全評(píng)估辦法》2022

年9

月

1

日（3）自上年

1

月

1

日起累計(jì)向境外提供

10

萬(wàn)人個(gè)人信息或者

1

萬(wàn)人敏感個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息；（4）國(guó)家網(wǎng)信部門(mén)規(guī)定的其他需要申報(bào)數(shù)據(jù)出境安全評(píng)估的情形?！缎畔踩夹g(shù)

個(gè)人信息安全規(guī)范》2022

年11

月

4日《個(gè)人信息保護(hù)認(rèn)證實(shí)施規(guī)則》《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范V2.0》對(duì)個(gè)人信息處理者開(kāi)展個(gè)人信息跨境等處理活動(dòng)進(jìn)行認(rèn)證通過(guò)標(biāo)準(zhǔn)合同方式向境外提供個(gè)人信息應(yīng)同時(shí)符合下列情形：（1）非關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者；《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》2023

年

（2）處理個(gè)人信息不滿

100

萬(wàn)人的；《個(gè)人信息出境標(biāo)準(zhǔn)合6

月

1

日

（3）自上年

1

月

1

日起累計(jì)向境外提供個(gè)人信息不滿

10

萬(wàn)人的；（4）自上年

1

月

1

日起累計(jì)向境外提供敏感個(gè)人信息不滿

1

萬(wàn)人的。法律、行政法規(guī)或者國(guó)家網(wǎng)信部門(mén)另有規(guī)定的，從其規(guī)定。同備案指南（第一版）》2023

年

9

月

28

日，國(guó)家網(wǎng)信辦發(fā)布《規(guī)范和促進(jìn)數(shù)據(jù)跨境流動(dòng)規(guī)定（征求意見(jiàn)稿）》（以下簡(jiǎn)稱(chēng)《規(guī)定（征求意見(jiàn)稿）》），向社會(huì)公開(kāi)征求意見(jiàn)，擬對(duì)申報(bào)數(shù)據(jù)出境安全評(píng)估、訂立個(gè)人信息出境標(biāo)準(zhǔn)合同等的適用門(mén)檻進(jìn)行調(diào)整，這一變化預(yù)計(jì)將在很大程度上減輕企業(yè)的數(shù)據(jù)出境合規(guī)負(fù)擔(dān)，降低數(shù)據(jù)出境成本，進(jìn)一步規(guī)范和促進(jìn)數(shù)據(jù)依法有序自由流動(dòng)?！兑?guī)定（征求意見(jiàn)稿）》明確，“《數(shù)據(jù)出境安全評(píng)估辦法》、《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》等相關(guān)規(guī)定與本規(guī)定不一致的，按照本規(guī)定執(zhí)行”。根據(jù)《規(guī)定（征求意見(jiàn)稿）》，“數(shù)據(jù)出境安全評(píng)估”、“個(gè)人信息保護(hù)認(rèn)證”和“標(biāo)準(zhǔn)合同條款”的適-11-企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）用情形將發(fā)生變化，總結(jié)如表

2-3

所示。表

2-3

《規(guī)定（征求意見(jiàn)稿）》出臺(tái)后合規(guī)路徑的適用情形合規(guī)路徑《規(guī)定（征求意見(jiàn)稿）》出臺(tái)后的適用情形（1）向境外提供重要數(shù)據(jù)；申報(bào)數(shù)據(jù)出境安全評(píng)估（2）國(guó)家機(jī)關(guān)和關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者向境外提供個(gè)人信息；（3）預(yù)計(jì)一年內(nèi)向境外提供

100

萬(wàn)人以上個(gè)人信息。訂立個(gè)人信息出境標(biāo)準(zhǔn)合同或通過(guò)個(gè)人信息保護(hù)認(rèn)證（1）預(yù)計(jì)一年內(nèi)向境外提供

1

萬(wàn)人以上、不滿

100

萬(wàn)人個(gè)人信息。（1）預(yù)計(jì)一年內(nèi)向境外提供不滿

1

萬(wàn)人個(gè)人信息；（2）國(guó)際貿(mào)易、學(xué)術(shù)合作、跨國(guó)生產(chǎn)制造和市場(chǎng)營(yíng)銷(xiāo)等活動(dòng)中產(chǎn)生的數(shù)據(jù)出境，不包含個(gè)人信息或者重要數(shù)據(jù)；（3）不是在境內(nèi)收集產(chǎn)生的個(gè)人信息向境外提供；（4）為訂立、履行個(gè)人作為一方當(dāng)事人的合同所必需，如跨境購(gòu)物、跨境匯款、機(jī)票酒店預(yù)訂、簽證辦理等，必須向境外提供個(gè)人信息的；豁免（5）按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理，必須向境外提供內(nèi)部員工個(gè)人信息的；（6）緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全等，必須向境外提供個(gè)人信息的；（7）自由貿(mào)易試驗(yàn)區(qū)負(fù)面清單外的數(shù)據(jù)出境。建議企業(yè)對(duì)《規(guī)定（征求意見(jiàn)稿）》的正式出臺(tái)保持關(guān)注，以便根據(jù)《規(guī)定（征求意見(jiàn)稿）》的正式發(fā)布版本及時(shí)調(diào)整、確認(rèn)自身適用的數(shù)據(jù)出境合規(guī)路徑。我國(guó)現(xiàn)有數(shù)據(jù)出境相關(guān)的法律法規(guī)和國(guó)家標(biāo)準(zhǔn)情況詳見(jiàn)附錄。2.2

數(shù)據(jù)出境合規(guī)路徑判斷方法根據(jù)我國(guó)現(xiàn)行法律法規(guī)政策要求，企業(yè)在數(shù)據(jù)出境時(shí)應(yīng)結(jié)合自身的主體類(lèi)型、出境數(shù)據(jù)類(lèi)型和數(shù)量等因素，綜合判斷是否需要申報(bào)并通過(guò)數(shù)據(jù)出境安全評(píng)估；訂立并備案?jìng)€(gè)人信息出境標(biāo)準(zhǔn)合同；或通過(guò)個(gè)人信息保護(hù)認(rèn)證。具體應(yīng)當(dāng)適用何種路徑，可參考如下判斷方法。-12-企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）1.

判斷出境數(shù)據(jù)類(lèi)型

重要數(shù)據(jù)出境，應(yīng)當(dāng)申報(bào)數(shù)據(jù)出境安全評(píng)估。

個(gè)人信息出境，則需進(jìn)一步判斷數(shù)據(jù)出境主體的性質(zhì)、涉及個(gè)人信息主體數(shù)量。

向境外提供涉及黨政軍和涉密單位敏感信息、敏感個(gè)人信息的，依照有關(guān)法律、行政法規(guī)、部門(mén)規(guī)章規(guī)定執(zhí)行。2.

判斷數(shù)據(jù)出境主體個(gè)人信息出境，如果出境主體屬于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者，確因業(yè)務(wù)需要向境外提供，應(yīng)當(dāng)申報(bào)數(shù)據(jù)出境安全評(píng)估。如果不屬于，則需進(jìn)一步判斷出境所涉及的個(gè)人信息主體數(shù)量。3.

判斷出境數(shù)據(jù)數(shù)量若《規(guī)定（征求意見(jiàn)稿）》正式出臺(tái)的版本與本次征求意見(jiàn)稿內(nèi)容保持一致，那么數(shù)據(jù)出境數(shù)量對(duì)應(yīng)的合規(guī)路徑的判斷方法如下：

預(yù)計(jì)一年內(nèi)向境外提供

100

萬(wàn)人以上個(gè)人信息的，應(yīng)當(dāng)申報(bào)數(shù)據(jù)出境安全評(píng)估。

預(yù)計(jì)一年內(nèi)向境外提供

1

萬(wàn)人以上、不滿

100

萬(wàn)人個(gè)人信息的，需要進(jìn)行個(gè)人信息出境標(biāo)準(zhǔn)合同備案或個(gè)人信息保護(hù)認(rèn)證，但可以不申報(bào)數(shù)據(jù)出境安全評(píng)估。

預(yù)計(jì)一年內(nèi)向境外提供不滿

1

萬(wàn)人個(gè)人信息的，屬于豁免情形，即不需要申報(bào)數(shù)據(jù)出境安全評(píng)估、訂立個(gè)人信息出境標(biāo)準(zhǔn)合同、-13-企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）通過(guò)個(gè)人信息保護(hù)認(rèn)證。需要說(shuō)明的是，企業(yè)在實(shí)際工作中，應(yīng)以當(dāng)時(shí)的生效規(guī)定為準(zhǔn)。4.

判斷是否屬于豁免情形《規(guī)定（征求意見(jiàn)稿）》列明了不需要申報(bào)數(shù)據(jù)出境安全評(píng)估、訂立個(gè)人信息出境標(biāo)準(zhǔn)合同、通過(guò)個(gè)人信息保護(hù)認(rèn)證的情形，以下情況屬于豁免情形。

不包含個(gè)人信息或者重要數(shù)據(jù)：國(guó)際貿(mào)易、學(xué)術(shù)合作、跨國(guó)生產(chǎn)制造和市場(chǎng)營(yíng)銷(xiāo)等活動(dòng)中產(chǎn)生的數(shù)據(jù)出境，不包含個(gè)人信息或者重要數(shù)據(jù)的。

個(gè)人信息過(guò)境：不是在境內(nèi)收集產(chǎn)生的個(gè)人信息向境外提供。

履行合同所必需：為訂立、履行個(gè)人作為一方當(dāng)事人的合同所必需，如跨境購(gòu)物、跨境匯款、機(jī)票酒店預(yù)訂、簽證辦理等，必須向境外提供個(gè)人信息的。

人力資源管理所必須：按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理，必須向境外提供內(nèi)部員工個(gè)人信息的。

緊急情況所必須：緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全等，必須向境外提供個(gè)人信息的。

未列入自貿(mào)區(qū)負(fù)面清單的數(shù)據(jù)：自貿(mào)區(qū)可自行制定數(shù)據(jù)出境“負(fù)面清單”，報(bào)經(jīng)省級(jí)網(wǎng)絡(luò)安全和信息化委員會(huì)批準(zhǔn)后，報(bào)-14-企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）國(guó)家網(wǎng)信部門(mén)備案后生效。自貿(mào)區(qū)企業(yè)向境外傳輸“負(fù)面清單”之外的數(shù)據(jù)，無(wú)需適用三大數(shù)據(jù)出境合規(guī)路徑。上述豁免場(chǎng)景中提及的部分定義仍需被進(jìn)一步闡釋說(shuō)明，涉及的數(shù)據(jù)類(lèi)型和范圍也需要被進(jìn)一步明確。此外，雖然《規(guī)定（征求意見(jiàn)稿）》闡述了多類(lèi)出境豁免情形，但這并不意味著由此豁免了企業(yè)數(shù)據(jù)出境活動(dòng)的事前數(shù)據(jù)安全保護(hù)義務(wù)、管理義務(wù)和安全事件發(fā)生后的報(bào)告義務(wù)。因此，企業(yè)應(yīng)關(guān)注《規(guī)定（征求意見(jiàn)稿）》正式稿的發(fā)布情況，對(duì)企業(yè)自身數(shù)據(jù)出境涉及的豁免情形進(jìn)行識(shí)別認(rèn)定，以滿足數(shù)據(jù)出境合規(guī)義務(wù)要求。另外，還須注意的是，數(shù)據(jù)出境安全評(píng)估是法律的強(qiáng)制要求。企業(yè)一旦達(dá)到觸發(fā)條件，則必須開(kāi)展安全評(píng)估，不存在所謂選擇數(shù)據(jù)出境路徑的問(wèn)題。2.3

數(shù)據(jù)出境合規(guī)路徑實(shí)施流程2.3.1

數(shù)據(jù)出境安全評(píng)估若企業(yè)適用數(shù)據(jù)出境安全評(píng)估路徑，則需要遵守《評(píng)估辦法》《評(píng)估申報(bào)指南》中明確的數(shù)據(jù)出境安全評(píng)估的申報(bào)方式及相關(guān)流程。其中，企業(yè)應(yīng)按要求提交申報(bào)材料，包括統(tǒng)一社會(huì)信用代碼證件影印件、法定代表人身份證件影印件、經(jīng)辦人身份證件影印件、經(jīng)辦人授權(quán)委托書(shū)、數(shù)據(jù)出境安全評(píng)估申報(bào)書(shū)、與境外接收方擬訂立的數(shù)據(jù)出境相關(guān)合同或者其他具有法律效力的文件、數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估-15-企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）報(bào)告以及安全評(píng)估工作需要的其他材料。提交材料形式包括書(shū)面材料和電子版材料。此外，因《評(píng)估申報(bào)指南》要求提交的材料的語(yǔ)言必須是中文，如果企業(yè)準(zhǔn)備的材料只有非中文版本，則必須同時(shí)提交準(zhǔn)確的中文譯本。企業(yè)還應(yīng)嚴(yán)格按照《評(píng)估申報(bào)指南》準(zhǔn)備和提交上述各項(xiàng)材料，如提交的材料不夠完整，申請(qǐng)可能被退回。根據(jù)《評(píng)估辦法》的要求，數(shù)據(jù)出境安全評(píng)估整體流程期間為57+N

天（5+7+45+N，N

代表補(bǔ)充材料審核時(shí)間）；如涉及復(fù)評(píng)的，則為

72+N（57+N+15）天。具體流程如圖

2-1

所示。圖

2-1

數(shù)據(jù)出境安全評(píng)估流程2.3.2

個(gè)人信息出境標(biāo)準(zhǔn)合同若企業(yè)適用個(gè)人信息出境標(biāo)準(zhǔn)合同路徑，則需要明確個(gè)人信息出境標(biāo)準(zhǔn)合同的簽署及備案流程。其中，企業(yè)需要重點(diǎn)關(guān)注以下義務(wù)：首先，根據(jù)《個(gè)人信息保護(hù)法》第五十五條、第五十六條以及《合同辦法》第五條規(guī)定，企業(yè)應(yīng)當(dāng)事前針對(duì)個(gè)人信息出境活動(dòng)進(jìn)行個(gè)人信息保護(hù)影響評(píng)估，并對(duì)處理情況進(jìn)行記錄，形成個(gè)人信息保護(hù)影響-16-企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）評(píng)估報(bào)告并至少保存三年。其次，企業(yè)在簽署標(biāo)準(zhǔn)合同后，應(yīng)遵守《合同辦法》第三、六、七條的規(guī)定，履行標(biāo)準(zhǔn)合同備案要求，即在標(biāo)準(zhǔn)合同生效后方可開(kāi)展個(gè)人信息出境活動(dòng)，在標(biāo)準(zhǔn)合同生效之日起

10

個(gè)工作日內(nèi)，向所在地省級(jí)網(wǎng)信部門(mén)提交標(biāo)準(zhǔn)合同和個(gè)人信息保護(hù)影響評(píng)估報(bào)告等材料進(jìn)行備案。省級(jí)網(wǎng)信部門(mén)在收到材料后，會(huì)在

15

個(gè)工作日內(nèi)完成材料完備性查驗(yàn)，并通知個(gè)人信息處理者備案結(jié)果。具體流程如圖

2-2所示。圖

2-2

個(gè)人信息出境標(biāo)準(zhǔn)合同備案流程2.3.3

個(gè)人信息保護(hù)認(rèn)證若企業(yè)適用個(gè)人信息保護(hù)認(rèn)證路徑，則需要遵守《關(guān)于開(kāi)展個(gè)人信息保護(hù)認(rèn)證工作的公告》及《認(rèn)證實(shí)施規(guī)則》中關(guān)于個(gè)人信息保護(hù)-17-企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）認(rèn)證流程的相關(guān)規(guī)定。對(duì)于跨境數(shù)據(jù)處理活動(dòng)的個(gè)人信息保護(hù)認(rèn)證的依據(jù)則為《信息安全技術(shù)

個(gè)人信息安全規(guī)范》以及《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范

V2.0》。具體的認(rèn)證模式為“技術(shù)驗(yàn)證+現(xiàn)場(chǎng)審核+獲證后監(jiān)督”。其中，技術(shù)驗(yàn)證是指由專(zhuān)門(mén)技術(shù)驗(yàn)證機(jī)構(gòu)按照認(rèn)證方案實(shí)施技術(shù)驗(yàn)證，并出具技術(shù)驗(yàn)證報(bào)告?，F(xiàn)場(chǎng)審核是指由認(rèn)證機(jī)構(gòu)實(shí)施現(xiàn)場(chǎng)審核，并出具現(xiàn)場(chǎng)審核報(bào)告。認(rèn)證機(jī)構(gòu)會(huì)根據(jù)技術(shù)驗(yàn)證報(bào)告、現(xiàn)場(chǎng)審核報(bào)告和其他相關(guān)資料信息進(jìn)行綜合評(píng)價(jià)，并作出認(rèn)證決定。對(duì)符合認(rèn)證要求的，頒發(fā)認(rèn)證證書(shū)；對(duì)暫不符合認(rèn)證要求的，可要求限期整改，整改后仍不符合的，以書(shū)面形式通知終止認(rèn)證。此外，認(rèn)證機(jī)構(gòu)會(huì)在認(rèn)證有效期內(nèi)采取適當(dāng)?shù)姆绞綄?shí)施獲證后監(jiān)督，確保獲得認(rèn)證的個(gè)人信息處理者持續(xù)符合認(rèn)證要求。需要注意的是，除上述數(shù)據(jù)出境合規(guī)路徑之外，企業(yè)的數(shù)據(jù)跨境傳輸活動(dòng)還可能同時(shí)會(huì)觸發(fā)其他的審批程序。例如，根據(jù)《網(wǎng)絡(luò)安全審查辦法》第二條，企業(yè)的數(shù)據(jù)出境活動(dòng)影響或者可能影響國(guó)家安全的，應(yīng)按照該辦法進(jìn)行網(wǎng)絡(luò)安全審查等。2.4

數(shù)據(jù)出境所涉基本概念數(shù)據(jù)出境場(chǎng)景復(fù)雜，尤其是數(shù)據(jù)類(lèi)別、數(shù)據(jù)處理者身份等因素的不同，也會(huì)導(dǎo)致所適用的數(shù)據(jù)出境合規(guī)路徑大有不同。因此，準(zhǔn)確把握相關(guān)基本概念對(duì)有效識(shí)別數(shù)據(jù)出境合規(guī)路徑及相應(yīng)風(fēng)險(xiǎn)意義重大。-18-企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）本部分以相關(guān)法律法規(guī)和規(guī)范性文件為基礎(chǔ)，對(duì)數(shù)據(jù)出境所涉及的幾項(xiàng)基本概念展開(kāi)介紹。2.4.1

重要數(shù)據(jù)根據(jù)《評(píng)估辦法》，重要數(shù)據(jù)是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等，可能危害國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共健康和安全等的數(shù)據(jù)。2.4.2

個(gè)人信息《個(gè)人信息保護(hù)法》明確了個(gè)人信息與敏感個(gè)人信息的概念，即個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。敏感個(gè)人信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息，包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個(gè)人信息。判斷處理的信息是否為個(gè)人信息時(shí)，應(yīng)重點(diǎn)關(guān)注其是否“已識(shí)別”或“可識(shí)別”自然人個(gè)人身份，只要有可能識(shí)別到特定個(gè)人，則應(yīng)按個(gè)人信息的標(biāo)準(zhǔn)對(duì)待和處理。只有被真正匿名化處理過(guò)的信息，才不屬于個(gè)人信息。判斷處理的信息是否涉及敏感個(gè)人信息，可以結(jié)合該信息對(duì)數(shù)據(jù)主體權(quán)益的影響程度、是否屬于特殊類(lèi)型數(shù)據(jù)、以及結(jié)合《信息安全技術(shù)

個(gè)人信息安全規(guī)范》的附錄舉例表等進(jìn)行綜合判斷。-19-企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）2.4.3

關(guān)鍵信息基礎(chǔ)設(shè)施《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》明確了關(guān)鍵信息基礎(chǔ)設(shè)施的定義，即關(guān)鍵信息基礎(chǔ)設(shè)施是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國(guó)防科技工業(yè)等重要行業(yè)和領(lǐng)域的，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能?chē)?yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。2.5

數(shù)據(jù)出境典型場(chǎng)景綜合《個(gè)人信息保護(hù)法》《評(píng)估申報(bào)指南》等相關(guān)法律規(guī)章及國(guó)家標(biāo)準(zhǔn)的規(guī)定，在判斷數(shù)據(jù)處理行為是否涉及構(gòu)成數(shù)據(jù)出境時(shí)，可以結(jié)合業(yè)務(wù)場(chǎng)景分別從“被傳輸數(shù)據(jù)是否在‘境內(nèi)運(yùn)營(yíng)中’收集和產(chǎn)生”以及“是否屬于數(shù)據(jù)出境活動(dòng)”兩方面來(lái)判斷。2.5.1

被傳輸數(shù)據(jù)是否屬于在“境內(nèi)運(yùn)營(yíng)中”收集和產(chǎn)生對(duì)于“境內(nèi)運(yùn)營(yíng)”的概念，現(xiàn)行生效的政策文件尚未明確定義，但實(shí)務(wù)中一般認(rèn)定為是網(wǎng)絡(luò)運(yùn)營(yíng)者在中國(guó)境內(nèi)開(kāi)展業(yè)務(wù)，或向中國(guó)境內(nèi)提供產(chǎn)品或服務(wù)的活動(dòng)。判斷網(wǎng)絡(luò)運(yùn)營(yíng)者是否在境內(nèi)運(yùn)營(yíng)不以其是否在境內(nèi)注冊(cè)實(shí)體，而是關(guān)注企業(yè)是否面向境內(nèi)開(kāi)展業(yè)務(wù)，或提供產(chǎn)品或服務(wù)，包括但不限于以下參考因素：

是否以為中國(guó)境內(nèi)居民提供服務(wù)為目的；

提供產(chǎn)品和服務(wù)的過(guò)程中是否使用了中文；

是否提供了可以用人民幣作為結(jié)算貨幣的選項(xiàng)；-20-企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）

是否向中國(guó)境內(nèi)配送物流等。在實(shí)踐中，如果境內(nèi)外的網(wǎng)絡(luò)運(yùn)營(yíng)者僅向境外機(jī)構(gòu)、組織或個(gè)人開(kāi)展業(yè)務(wù)、提供商品或服務(wù)，且不涉及境內(nèi)公民個(gè)人信息和重要數(shù)據(jù)的，均不視為境內(nèi)運(yùn)營(yíng)。2.5.2

是否屬于數(shù)據(jù)出境活動(dòng)《評(píng)估申報(bào)指南》明確數(shù)據(jù)出境活動(dòng)主要包括兩種行為模式。一是數(shù)據(jù)處理者將在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的數(shù)據(jù)傳輸、存儲(chǔ)至境外；二是數(shù)據(jù)處理者收集和產(chǎn)生的數(shù)據(jù)存儲(chǔ)在境內(nèi)，境外的機(jī)構(gòu)、組織或者個(gè)人可以訪問(wèn)、查詢、調(diào)取、下載、導(dǎo)出。在上述兩種行為模式下，實(shí)踐中企業(yè)常見(jiàn)的幾類(lèi)數(shù)據(jù)出境場(chǎng)景分別如表

2-4

和表

2-5

所示。表

2-4

數(shù)據(jù)出境行為模式一：數(shù)據(jù)處理者將在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的數(shù)據(jù)傳輸、存儲(chǔ)至境外序號(hào)①場(chǎng)景示例圖示境內(nèi)主體將在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的數(shù)據(jù)從境內(nèi)服務(wù)器傳輸至境外的服務(wù)器。例：某公司將收集的境內(nèi)業(yè)務(wù)數(shù)據(jù)上傳至境內(nèi)服務(wù)器，隨后傳輸至境外母公司服務(wù)器。境內(nèi)運(yùn)營(yíng)的終端（如

App

等應(yīng)用）采集的數(shù)據(jù)“直接存儲(chǔ)”至境外服務(wù)器。②例：某款服務(wù)器位于新加坡的

App

將在境內(nèi)收集的用戶數(shù)據(jù)直接存儲(chǔ)于新加坡。-21-企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）境外主體委托境內(nèi)或境外第三方供應(yīng)商代為收集境內(nèi)主體在境內(nèi)運(yùn)營(yíng)中產(chǎn)生的數(shù)據(jù)。③④例：公司聘請(qǐng)第三方機(jī)構(gòu)代為招聘員工，由第三方機(jī)構(gòu)將收集的擬聘請(qǐng)員工數(shù)據(jù)傳輸至境外，供境外母公司進(jìn)一步評(píng)估考核。境內(nèi)主體委托境內(nèi)或境外第三方供應(yīng)商處理其在境內(nèi)運(yùn)營(yíng)中產(chǎn)生的數(shù)據(jù)，并傳輸給境外主體。例：境內(nèi)子公司委托境外數(shù)據(jù)分析供應(yīng)商處理境內(nèi)運(yùn)營(yíng)數(shù)據(jù)，供應(yīng)商按照子公司委托將數(shù)據(jù)進(jìn)一步傳輸至境外母公司。境外公司直接向中國(guó)境內(nèi)個(gè)人或用戶提供產(chǎn)品或服務(wù)，且于境外直接收集境內(nèi)產(chǎn)生的用戶數(shù)據(jù)。⑤例

1：在公司招聘的過(guò)程中，由應(yīng)聘人員直接訪問(wèn)境外企業(yè)網(wǎng)站填寫(xiě)相關(guān)個(gè)人信息。例

2：境外母公司通過(guò)部署在境外的全球人力資源管理系統(tǒng)直接收集境內(nèi)子公司的員工數(shù)據(jù)。表

2-5

數(shù)據(jù)出境行為模式二：數(shù)據(jù)處理者收集和產(chǎn)生的數(shù)據(jù)存儲(chǔ)在境內(nèi)，境外的機(jī)構(gòu)、組織或者個(gè)人可以訪問(wèn)或者調(diào)用（公開(kāi)信息、網(wǎng)頁(yè)訪問(wèn)除外）序號(hào)①場(chǎng)景示例圖示跨國(guó)公司或者同一經(jīng)濟(jì)、事業(yè)實(shí)體下屬子公司或關(guān)聯(lián)公司訪問(wèn)或調(diào)用境內(nèi)主體存儲(chǔ)于境內(nèi)的數(shù)據(jù)。例：企業(yè)將境內(nèi)員工個(gè)人信息上傳至境內(nèi)服務(wù)器，-22-企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）境外母公司可以通過(guò)登錄系統(tǒng)直接訪問(wèn)、調(diào)取境內(nèi)服務(wù)器上的員工數(shù)據(jù)。境外員工或人員到境內(nèi)出差，訪問(wèn)境內(nèi)系統(tǒng)或在境內(nèi)接收數(shù)據(jù)。②例：企業(yè)將境內(nèi)業(yè)務(wù)運(yùn)營(yíng)信息上傳至境內(nèi)服務(wù)器，境外母公司來(lái)華視察的高管直接訪問(wèn)并拷貝境內(nèi)服務(wù)器上的運(yùn)營(yíng)信息。此外，一般而言，“數(shù)據(jù)過(guò)境”的情況不屬于數(shù)據(jù)出境，即并非是在我國(guó)境內(nèi)產(chǎn)生和收集的個(gè)人信息和重要數(shù)據(jù)，即使經(jīng)由我國(guó)境內(nèi)中轉(zhuǎn)出境或是在我國(guó)進(jìn)行了存儲(chǔ)、加工處理后出境的，也均不屬于數(shù)據(jù)出境。但需要注意的是，如果該等在境外產(chǎn)生和收集數(shù)據(jù)與境內(nèi)產(chǎn)生收集的數(shù)據(jù)“混存”在同一境內(nèi)服務(wù)器上（盡管進(jìn)行了邏輯隔離），或在該服務(wù)器上對(duì)境內(nèi)外數(shù)據(jù)進(jìn)行融合加工分析，那么當(dāng)境外主體或應(yīng)用可訪問(wèn)、調(diào)用該境內(nèi)服務(wù)器上的數(shù)據(jù)時(shí)，此類(lèi)場(chǎng)景也可能會(huì)被認(rèn)定為數(shù)據(jù)出境。三、企業(yè)數(shù)據(jù)跨境合規(guī)治理體系建設(shè)企業(yè)是開(kāi)展數(shù)據(jù)跨境活動(dòng)最活躍的主體之一，在推動(dòng)數(shù)據(jù)跨境業(yè)務(wù)發(fā)展的同時(shí)，也需履行好數(shù)據(jù)跨境合規(guī)義務(wù)，維護(hù)數(shù)據(jù)安全。我國(guó)《數(shù)據(jù)安全法》第四、七條明確“維護(hù)數(shù)據(jù)安全，應(yīng)當(dāng)堅(jiān)持總體國(guó)家安全觀，建立健全數(shù)據(jù)安全治理體系，提高數(shù)據(jù)安全保障能力”,“開(kāi)展數(shù)據(jù)處理活動(dòng)應(yīng)當(dāng)依照法律、法規(guī)的規(guī)定，建立健全全流程數(shù)據(jù)安-23-企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）全管理制度，組織開(kāi)展數(shù)據(jù)安全教育培訓(xùn)，采取相應(yīng)的技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全”。數(shù)據(jù)跨境流動(dòng)作為數(shù)據(jù)處理活動(dòng)的其中一環(huán)，需要采取多項(xiàng)措施健全數(shù)據(jù)跨境治理體系，提高數(shù)據(jù)安全保障能力，確保數(shù)據(jù)跨境業(yè)務(wù)的有序進(jìn)行。根據(jù)國(guó)家法律規(guī)章要求，結(jié)合我們?cè)趯?shí)務(wù)中的具體實(shí)踐，制定了企業(yè)數(shù)據(jù)跨境合規(guī)理框架，如圖3-1

所示。下面將對(duì)框架圖展開(kāi)介紹。圖

3-1

數(shù)據(jù)跨境合規(guī)治理框架3.1

組織機(jī)構(gòu)建設(shè)數(shù)據(jù)跨境合規(guī)治理需要企業(yè)在內(nèi)部建立相應(yīng)的組織機(jī)構(gòu)，以便推進(jìn)數(shù)據(jù)跨境合規(guī)工作?？梢栽诂F(xiàn)有數(shù)據(jù)安全組織架構(gòu)的基礎(chǔ)上，明確各崗位的數(shù)據(jù)跨境安全管理職責(zé)，也可以參照決策層、管理層、執(zhí)行-24-企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）層、監(jiān)督層的結(jié)構(gòu)單獨(dú)設(shè)立數(shù)據(jù)跨境合規(guī)機(jī)構(gòu)，并明確崗位職責(zé)體系。例如：

決策層：負(fù)責(zé)統(tǒng)籌決策數(shù)據(jù)跨境重大事項(xiàng)和重要部署，協(xié)調(diào)人力、物力資源推進(jìn)數(shù)據(jù)跨境合規(guī)治理；

管理層：負(fù)責(zé)制定數(shù)據(jù)跨境管理規(guī)劃和制度，對(duì)數(shù)據(jù)跨境合法性、必要性、安全性等開(kāi)展審核審查；

執(zhí)行層：負(fù)責(zé)落實(shí)數(shù)據(jù)跨境管控策略和要求，實(shí)施數(shù)據(jù)跨境活動(dòng)，在開(kāi)展數(shù)據(jù)跨境業(yè)務(wù)時(shí)保證操作安全合規(guī)；

監(jiān)督層：負(fù)責(zé)監(jiān)督檢查數(shù)據(jù)跨境活動(dòng)的執(zhí)行情況，及時(shí)發(fā)現(xiàn)潛在的安全風(fēng)險(xiǎn)和問(wèn)題。另外，根據(jù)有關(guān)法律和標(biāo)準(zhǔn)要求，還需重點(diǎn)明確關(guān)鍵崗位角色：

數(shù)據(jù)安全負(fù)責(zé)人：需由具備數(shù)據(jù)安全專(zhuān)業(yè)知識(shí)和相關(guān)管理工作經(jīng)歷的數(shù)據(jù)處理者決策層成員承擔(dān)，并負(fù)責(zé)向網(wǎng)信部門(mén)和主管、監(jiān)管部門(mén)反映數(shù)據(jù)安全情況。

個(gè)人信息保護(hù)負(fù)責(zé)人：對(duì)個(gè)人信息處理活動(dòng)以及采取的保護(hù)措施等進(jìn)行監(jiān)督，對(duì)個(gè)人信息處理活動(dòng)的合規(guī)性負(fù)責(zé)，建議由決策層成員承擔(dān)。同時(shí)，應(yīng)當(dāng)公開(kāi)個(gè)人信息保護(hù)負(fù)責(zé)人的聯(lián)系方式，并將個(gè)人信息保護(hù)負(fù)責(zé)人的姓名、聯(lián)系方式等報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門(mén)。-25-企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）3.2

制度體系建設(shè)管理制度是規(guī)范數(shù)據(jù)跨境處理活動(dòng)的基礎(chǔ)和依據(jù)，企業(yè)可建立數(shù)據(jù)跨境專(zhuān)項(xiàng)管理制度，并結(jié)合數(shù)據(jù)分類(lèi)分級(jí)等其他支撐制度，規(guī)范開(kāi)展數(shù)據(jù)跨境工作，規(guī)避合規(guī)風(fēng)險(xiǎn)。3.2.1

數(shù)據(jù)跨境專(zhuān)項(xiàng)制度圍繞數(shù)據(jù)跨境安全主體責(zé)任、安全保障及運(yùn)行管理的實(shí)際需求，可結(jié)合企業(yè)自身制度體系，開(kāi)展數(shù)據(jù)跨境管理專(zhuān)項(xiàng)制度體系建設(shè)。例如，在數(shù)據(jù)安全和個(gè)人信息保護(hù)方針下，建立數(shù)據(jù)跨境管理辦法、操作指南、清單與報(bào)告等制度體系，為數(shù)據(jù)跨境安全管理工作提供指導(dǎo)和依據(jù)，促進(jìn)數(shù)據(jù)跨境管理工作標(biāo)準(zhǔn)化、流程化、規(guī)范化開(kāi)展：

數(shù)據(jù)跨境管理辦法數(shù)據(jù)跨境管理辦法作為數(shù)據(jù)跨境管理的頂層制度，明確數(shù)據(jù)跨境管控目標(biāo)、原則、各相關(guān)方職責(zé)和具體要求，規(guī)范各相關(guān)方數(shù)據(jù)跨境活動(dòng)。

數(shù)據(jù)跨境合規(guī)操作指南/規(guī)范數(shù)據(jù)跨境合規(guī)操作指南/規(guī)范為數(shù)據(jù)跨境管理提供操作規(guī)程和實(shí)施指引。

配套表單/報(bào)告/模板針對(duì)數(shù)據(jù)跨境管理的具體工作事項(xiàng)，設(shè)計(jì)與操作流程配套的流程表單、記錄、報(bào)告模板等文件。相關(guān)表單/模板可以包括數(shù)據(jù)出境活-26-企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）動(dòng)清單、數(shù)據(jù)出境安全評(píng)估報(bào)告、個(gè)人信息出境標(biāo)準(zhǔn)合同及其相應(yīng)的模版等。3.2.2

安全管控配套制度數(shù)據(jù)跨境流動(dòng)作為數(shù)據(jù)處理活動(dòng)的一種場(chǎng)景，需要依靠數(shù)據(jù)安全管理制度，配套輔助數(shù)據(jù)跨境流動(dòng)過(guò)程中的安全管理。根據(jù)數(shù)據(jù)安全法律法規(guī)和標(biāo)準(zhǔn)，結(jié)合企業(yè)實(shí)際情況，建立覆蓋數(shù)據(jù)分類(lèi)分級(jí)、數(shù)據(jù)全生命周期安全防護(hù)、權(quán)限管理、日志留存、風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警、應(yīng)急響應(yīng)、安全評(píng)估、教育培訓(xùn)、監(jiān)督檢查等方面的數(shù)據(jù)安全制度體系，是數(shù)據(jù)跨境安全管理工作開(kāi)展的基礎(chǔ)。例如，在數(shù)據(jù)出境前需要依據(jù)數(shù)據(jù)分類(lèi)分級(jí)制度判斷出境數(shù)據(jù)的類(lèi)別和級(jí)別，在數(shù)據(jù)出境中和出境后需要依據(jù)有關(guān)要求采取相應(yīng)的防護(hù)舉措并做好風(fēng)險(xiǎn)監(jiān)測(cè)等數(shù)據(jù)安全保障工作。3.3

合規(guī)路徑操作實(shí)踐3.3.1

數(shù)據(jù)出境場(chǎng)景梳理企業(yè)需要對(duì)自身的數(shù)據(jù)出境場(chǎng)景進(jìn)行全面盤(pán)點(diǎn)，以掌握實(shí)際的數(shù)據(jù)出境情況?？梢灾贫〝?shù)據(jù)出境情況調(diào)研表，面向各部門(mén)進(jìn)行發(fā)放，對(duì)已開(kāi)展的和計(jì)劃開(kāi)展的數(shù)據(jù)出境的詳細(xì)情況進(jìn)行梳理，形成數(shù)據(jù)出境情況清單。調(diào)研內(nèi)容包括數(shù)據(jù)出境業(yè)務(wù)場(chǎng)景、信息系統(tǒng)、出境時(shí)間、出境方式、數(shù)據(jù)類(lèi)型、數(shù)據(jù)量、出境原因、境外接收方情況等。-27-企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）3.3.2

數(shù)據(jù)出境合規(guī)路徑實(shí)施完成數(shù)據(jù)出境情況調(diào)研后，需要逐個(gè)判斷數(shù)據(jù)出境業(yè)務(wù)以及境外接收方處理數(shù)據(jù)的目的、范圍、方式等的合法性、正當(dāng)性、必要性，在滿足合法性、正當(dāng)性、必要性的情況下，還需要進(jìn)一步判斷該數(shù)據(jù)情況應(yīng)采取的數(shù)據(jù)出境合規(guī)路徑。判斷方法可以參照本文第

2.2

節(jié)所述的方法。如果需要通過(guò)申報(bào)數(shù)據(jù)出境安全評(píng)估，或訂立并備案?jìng)€(gè)人信息出境標(biāo)準(zhǔn)合同，或通過(guò)個(gè)人信息保護(hù)認(rèn)證的方式出境的，則應(yīng)在滿足有關(guān)法律法規(guī)的要求下合法開(kāi)展數(shù)據(jù)出境活動(dòng)，本文

2.3

節(jié)介紹了三種數(shù)據(jù)出境路徑的實(shí)施流程。需要注意的是，如果涉及個(gè)人信息出境，按照《個(gè)人信息保護(hù)法》，在數(shù)據(jù)出境前，企業(yè)還應(yīng)向個(gè)人告知境外接收方的名稱(chēng)或者姓名、聯(lián)系方式、處理目的、處理方式、個(gè)人信息的種類(lèi)以及個(gè)人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等事項(xiàng)，并取得個(gè)人的單獨(dú)同意。同時(shí)企業(yè)應(yīng)進(jìn)行個(gè)人信息保護(hù)影響評(píng)估，對(duì)處理情況進(jìn)行記錄。數(shù)據(jù)出境過(guò)程中，應(yīng)當(dāng)采取必要措施，保障境外接收方處理個(gè)人信息的活動(dòng)達(dá)到我國(guó)《個(gè)人信息保護(hù)法》規(guī)定的個(gè)人信息保護(hù)標(biāo)準(zhǔn)。3.4

保障體系建設(shè)3.4.1

風(fēng)險(xiǎn)監(jiān)測(cè)數(shù)據(jù)出境中和出境后，企業(yè)均應(yīng)加強(qiáng)對(duì)數(shù)據(jù)出境活動(dòng)的風(fēng)險(xiǎn)監(jiān)測(cè)，宜根據(jù)數(shù)據(jù)跨境情況建立針對(duì)性的數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警方案，對(duì)數(shù)-28-企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）據(jù)跨境遠(yuǎn)程訪問(wèn)、使用以及數(shù)據(jù)跨境傳輸?shù)葘?shí)施監(jiān)測(cè)巡查，對(duì)異常流動(dòng)等行為進(jìn)行預(yù)警和處置，形成處置記錄。涉及境外遠(yuǎn)程訪問(wèn)、使用數(shù)據(jù)的，需做好權(quán)限管理，按照業(yè)務(wù)需求、安全策略、權(quán)責(zé)明確原則和最小授權(quán)原則，合理界定境外接收方的數(shù)據(jù)訪問(wèn)和處理權(quán)限。建議保留數(shù)據(jù)出境處理活動(dòng)的全過(guò)程操作行為記錄，做好日志留存，并定期開(kāi)展日志審計(jì)，形成審計(jì)報(bào)告，對(duì)發(fā)現(xiàn)的問(wèn)題及時(shí)整改處置。3.4.2

應(yīng)急保障企業(yè)宜根據(jù)數(shù)據(jù)出境業(yè)務(wù)情況建立針對(duì)性的數(shù)據(jù)安全事件應(yīng)急預(yù)案，明確數(shù)據(jù)安全事件級(jí)別、應(yīng)急響應(yīng)流程、責(zé)任體系等，并定期開(kāi)展應(yīng)急演練，以便在緊急事件發(fā)生后，能夠立即采取補(bǔ)救措施，并按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門(mén)報(bào)告。根據(jù)演練結(jié)果，不斷優(yōu)化數(shù)據(jù)出境安全保護(hù)措施，并形成演練總結(jié)報(bào)告。3.4.3

出境后合規(guī)監(jiān)控企業(yè)可以根據(jù)數(shù)據(jù)出境情況，繪制數(shù)據(jù)跨境流轉(zhuǎn)圖，用可視化方式呈現(xiàn)各業(yè)務(wù)場(chǎng)景下的數(shù)據(jù)跨境流轉(zhuǎn)情況，包括境外接收方信息、數(shù)據(jù)出境方式、數(shù)據(jù)在境外存儲(chǔ)位置、數(shù)據(jù)處理情況等，便于厘清數(shù)據(jù)出境情況，從而更有針對(duì)性地識(shí)別不同跨境業(yè)務(wù)場(chǎng)景下的合規(guī)問(wèn)題及安全風(fēng)險(xiǎn)。-29-企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）企業(yè)還需要持續(xù)關(guān)注數(shù)據(jù)接收方所在國(guó)家或地區(qū)的數(shù)據(jù)跨境相關(guān)法律動(dòng)態(tài)，對(duì)發(fā)生變化的情況進(jìn)行評(píng)估，及時(shí)調(diào)整數(shù)據(jù)跨境策略，如觸發(fā)重新申報(bào)數(shù)據(jù)出境安全評(píng)估的情況，還應(yīng)當(dāng)重新申報(bào)。3.4.4

安全意識(shí)培養(yǎng)企業(yè)宜在內(nèi)部加強(qiáng)對(duì)數(shù)據(jù)跨境政策、數(shù)據(jù)跨境流動(dòng)安全保障技術(shù)、案例應(yīng)用等方面的教育培訓(xùn)，強(qiáng)化員工對(duì)數(shù)據(jù)跨境政策的認(rèn)識(shí)，提高業(yè)務(wù)人員對(duì)數(shù)據(jù)跨境場(chǎng)景下的合規(guī)意識(shí)，加強(qiáng)安全措施的實(shí)施以及對(duì)風(fēng)險(xiǎn)的發(fā)現(xiàn)和防范能力，規(guī)范數(shù)據(jù)跨境安全治理工作開(kāi)展。3.4.5

監(jiān)督檢查企業(yè)宜定期對(duì)數(shù)據(jù)出境安全管理情況和落實(shí)效果進(jìn)行監(jiān)督檢查，并及時(shí)督促問(wèn)題整改，防范不合規(guī)的數(shù)據(jù)出境情形。例如，定期查驗(yàn)數(shù)據(jù)出境調(diào)研是否全面、是否覆蓋最新政策要求，數(shù)據(jù)出境活動(dòng)清單是否完整、更新是否及時(shí)；針對(duì)公網(wǎng)出境場(chǎng)景，監(jiān)測(cè)核查實(shí)際出境數(shù)據(jù)是否與申報(bào)內(nèi)容一致；是否采取加密等技術(shù)措施保障數(shù)據(jù)出境安全等。3.5

技術(shù)防護(hù)措施開(kāi)展數(shù)據(jù)跨境合規(guī)治理，除了管理體系的建設(shè)之外，也需要相應(yīng)的技術(shù)手段對(duì)數(shù)據(jù)跨境過(guò)程提供安全防護(hù)?；A(chǔ)的數(shù)據(jù)安全防護(hù)策略和技術(shù)，包括數(shù)據(jù)資產(chǎn)識(shí)別、數(shù)據(jù)脫敏、傳輸加密、審計(jì)等，是數(shù)據(jù)跨境安全的必要防護(hù)手段。除此之外，近年來(lái)飛速發(fā)展的隱私計(jì)算技-30-企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）術(shù)，能夠在原始數(shù)據(jù)不出本地的前提下，完成多方任務(wù)的安全計(jì)算，此外使用區(qū)塊鏈技術(shù)進(jìn)行輔助，可以同時(shí)保障高敏感數(shù)據(jù)的機(jī)密性和不可篡改性。3.5.1

數(shù)據(jù)安全通用技術(shù)應(yīng)用1.

數(shù)據(jù)資產(chǎn)梳理在數(shù)據(jù)跨境流通前，首先需要理清數(shù)據(jù)資產(chǎn)家底，通過(guò)數(shù)據(jù)資產(chǎn)梳理技術(shù)，對(duì)各類(lèi)數(shù)據(jù)進(jìn)行清查盤(pán)點(diǎn)，并以資產(chǎn)目錄及資產(chǎn)索引的方式，繪制數(shù)據(jù)源、數(shù)據(jù)表、文件、類(lèi)型、大小等多維度數(shù)據(jù)資產(chǎn)地圖，直觀、形象地描繪數(shù)據(jù)資產(chǎn)的分布、數(shù)量、歸屬等信息。數(shù)據(jù)資產(chǎn)地圖通過(guò)樹(shù)狀結(jié)構(gòu)圖、數(shù)據(jù)關(guān)系圖等可視化圖表能夠清晰、準(zhǔn)確地揭示數(shù)據(jù)源、數(shù)據(jù)庫(kù)、數(shù)據(jù)表、字段、文件之間的關(guān)系和脈絡(luò)。2.

數(shù)據(jù)存儲(chǔ)加密依據(jù)數(shù)據(jù)分級(jí)分類(lèi)的標(biāo)準(zhǔn)，對(duì)于敏感數(shù)據(jù)、內(nèi)部數(shù)據(jù)等在存儲(chǔ)時(shí)進(jìn)行加密處理。加密后的數(shù)據(jù)以密文的形式存儲(chǔ)，保證存儲(chǔ)介質(zhì)丟失或數(shù)據(jù)庫(kù)文件被非法復(fù)制情況下數(shù)據(jù)的安全。采用數(shù)據(jù)存儲(chǔ)加密技術(shù)，能有效防止數(shù)據(jù)庫(kù)高權(quán)限賬號(hào)泄漏、黑客攻擊等風(fēng)險(xiǎn)事件而造成的數(shù)據(jù)泄密。3.

數(shù)據(jù)脫敏數(shù)據(jù)靜態(tài)脫敏技術(shù)，通過(guò)數(shù)據(jù)脫敏機(jī)制對(duì)敏感信息通過(guò)脫敏規(guī)則進(jìn)行數(shù)據(jù)的變形，實(shí)現(xiàn)敏感數(shù)據(jù)的可靠保護(hù)。在不影響數(shù)據(jù)跨境需求-31-企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）方，對(duì)數(shù)據(jù)要求的條件下，對(duì)真實(shí)的生產(chǎn)數(shù)據(jù)進(jìn)行改造并提供使用。在數(shù)據(jù)跨境流通之前，可以通過(guò)數(shù)據(jù)靜態(tài)脫敏技術(shù)，對(duì)原始數(shù)據(jù)進(jìn)行處理，提升即將跨境數(shù)據(jù)的機(jī)密性。數(shù)據(jù)動(dòng)態(tài)脫敏技術(shù)，使用屏蔽、隨機(jī)、仿真等類(lèi)型的脫敏算法，基于數(shù)據(jù)分級(jí)分類(lèi)標(biāo)準(zhǔn)和用戶訪問(wèn)數(shù)據(jù)的權(quán)限，在敏感數(shù)據(jù)跨境傳輸?shù)倪^(guò)程中，根據(jù)相關(guān)的權(quán)限及授權(quán)要求，對(duì)實(shí)時(shí)的

SQL

查詢語(yǔ)句進(jìn)行修改和模糊化處理，防止敏感數(shù)據(jù)的跨境泄露。4.

數(shù)據(jù)防泄漏對(duì)于非結(jié)構(gòu)化數(shù)據(jù)，特別是設(shè)計(jì)、代碼、技術(shù)方案等數(shù)據(jù)的保護(hù)，是各國(guó)、各行業(yè)、企業(yè)數(shù)據(jù)中的弱點(diǎn)，也是重點(diǎn)和難點(diǎn)。在數(shù)據(jù)跨境流動(dòng)的應(yīng)用場(chǎng)景下，針對(duì)不同的數(shù)據(jù)傳輸方向，通過(guò)在境內(nèi)傳輸邊界節(jié)點(diǎn)應(yīng)用數(shù)據(jù)防泄漏技術(shù)，部署在終端和網(wǎng)絡(luò)出口處，可有效監(jiān)管非授權(quán)外設(shè)傳輸、拷貝、跨境外發(fā)等高風(fēng)險(xiǎn)操作。5.

數(shù)字簽名在數(shù)據(jù)跨境傳輸過(guò)程中的完整性保護(hù)，可以通過(guò)數(shù)字簽名技術(shù)來(lái)實(shí)現(xiàn)。在電子公文流轉(zhuǎn)、敏感數(shù)據(jù)交換等流程中，采用數(shù)字證書(shū)的數(shù)字簽名對(duì)數(shù)據(jù)傳輸過(guò)程中的文件信息進(jìn)行簽名，杜絕數(shù)據(jù)偽造、濫用，全面保障信息的完整性、嚴(yán)肅性和權(quán)威性。-32-企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）6.

數(shù)據(jù)水印通過(guò)數(shù)據(jù)水印技術(shù)，可確保敏感數(shù)據(jù)的完整性和真實(shí)以及可追責(zé)性。數(shù)據(jù)水印通常是不可見(jiàn)的或不可察的，它與原始數(shù)據(jù)緊密結(jié)合并隱藏其中，成為源數(shù)據(jù)不可分離的一部分，并可經(jīng)歷一些不破壞源數(shù)據(jù)使用價(jià)值或商用價(jià)值的操作而保存下來(lái)。在數(shù)據(jù)跨境流通的流程中，一旦信息泄露，可第一時(shí)間將水印標(biāo)識(shí)解封，通過(guò)讀取水印標(biāo)識(shí)編碼，追溯數(shù)據(jù)泄露的全流程，精準(zhǔn)定位泄露單位及責(zé)任人，實(shí)現(xiàn)精準(zhǔn)追責(zé)定責(zé)。7.

數(shù)據(jù)庫(kù)審計(jì)在數(shù)據(jù)跨境流通之前，對(duì)所有數(shù)據(jù)庫(kù)系統(tǒng)、數(shù)據(jù)操作日志進(jìn)行統(tǒng)一收集、記錄、全局審計(jì)。按照數(shù)據(jù)安全管理規(guī)范中的規(guī)定，通過(guò)數(shù)據(jù)審計(jì)監(jiān)控、行為分析、溯源追蹤、權(quán)限管控等技術(shù)手段，在安全事件發(fā)生后，迅速準(zhǔn)確的定位責(zé)任人，提供有效證據(jù)，按照相關(guān)法律法規(guī)進(jìn)行處置。3.5.2

數(shù)據(jù)安全創(chuàng)新技術(shù)應(yīng)用1.

隱私計(jì)算在隱私計(jì)算的框架下，各計(jì)算參與方的數(shù)據(jù)不出本地，能夠在不泄露各自數(shù)據(jù)的前提下通過(guò)協(xié)同計(jì)算實(shí)現(xiàn)多源數(shù)據(jù)的跨域合作。針對(duì)有出境需求的數(shù)據(jù)，通過(guò)采用隱私計(jì)算方案，在數(shù)據(jù)本身不出境的情況下，跨境進(jìn)行模型訓(xùn)練、安全統(tǒng)計(jì)等多中心聯(lián)合分析，可替代傳統(tǒng)-33-企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）的數(shù)據(jù)復(fù)制跨境流動(dòng)方式，以數(shù)據(jù)可利用實(shí)現(xiàn)安全合規(guī)的數(shù)據(jù)出境。通過(guò)采用隱私計(jì)算的方式，跨國(guó)組織或企業(yè)，可以實(shí)現(xiàn)多方數(shù)據(jù)之間的虛擬融合，而無(wú)須再采用像傳統(tǒng)的數(shù)據(jù)物理傳輸和統(tǒng)一匯集的方式，最大程度的實(shí)現(xiàn)了出境數(shù)據(jù)的最小化。隱私計(jì)算是“數(shù)據(jù)可用不可見(jiàn)”技術(shù)集合的統(tǒng)稱(chēng)，包括多方安全計(jì)算、聯(lián)邦學(xué)習(xí)、可信執(zhí)行環(huán)境等多項(xiàng)技術(shù)。（1）多方安全計(jì)算多方安全計(jì)算能夠同時(shí)確保輸入的隱私性和計(jì)算的正確性，在沒(méi)有可信第三方的前提下通過(guò)數(shù)學(xué)理論保證參與計(jì)算的各方輸入信息不暴露，而且同時(shí)能夠獲得準(zhǔn)確的運(yùn)算結(jié)果。多方安全計(jì)算通常借助多種底層密碼框架完成，主要包括不經(jīng)意傳輸，混淆電路，秘密共享等。多方安全計(jì)算逐漸發(fā)展為現(xiàn)代密碼學(xué)的一個(gè)重要分支。不經(jīng)意傳輸是指數(shù)據(jù)傳輸方發(fā)出多條信息，而接收方只獲取其中一個(gè)，由于傳輸方不確定最終到達(dá)的信息是哪一條，接收方也無(wú)法得知未獲取的其他信息，從而雙方的數(shù)據(jù)都處于隱私狀態(tài)；混淆電路是多方參與者利用計(jì)算機(jī)編程將輸入的計(jì)算任務(wù)轉(zhuǎn)化為布爾值，對(duì)輸入的具體數(shù)值加密，因此多方在互相不掌握對(duì)方私人信息時(shí)，可共同完成計(jì)算。秘密共享是對(duì)加密信息的隨機(jī)切分過(guò)程，將信息的片段分散至多個(gè)參與方保管，因此除非超過(guò)一定數(shù)量的多方協(xié)同合作，否則無(wú)法還原完整的數(shù)據(jù)并進(jìn)行解密。-34-企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）（2）安全聯(lián)邦學(xué)習(xí)安全聯(lián)邦學(xué)習(xí)被認(rèn)為是兼具隱私保護(hù)和跨機(jī)構(gòu)數(shù)據(jù)共享的技術(shù)解決方案，它能連接多個(gè)數(shù)據(jù)源，但在數(shù)據(jù)共享過(guò)程中只交換加密的經(jīng)過(guò)處理的中間計(jì)算結(jié)果，因而不會(huì)泄露明文的個(gè)體數(shù)據(jù)，從而同時(shí)達(dá)到數(shù)據(jù)共享和隱私保護(hù)的雙重目標(biāo)。在沒(méi)有加密計(jì)算的情況下，在聯(lián)邦學(xué)習(xí)階段，每次迭代時(shí)需要交換數(shù)據(jù)源方的中間統(tǒng)計(jì)信息，這些信息可用于推斷來(lái)自數(shù)據(jù)源的敏感私有輸入數(shù)據(jù)。另一方面，聯(lián)邦學(xué)習(xí)本身無(wú)法支持許多數(shù)據(jù)預(yù)處理步驟，而這些對(duì)于后續(xù)步驟中的數(shù)據(jù)分析至關(guān)重要，例如重復(fù)數(shù)據(jù)消除、樣本對(duì)齊、參數(shù)對(duì)齊、數(shù)據(jù)篩選等。簡(jiǎn)單地說(shuō)，聯(lián)邦學(xué)習(xí)是一種可以減少機(jī)器學(xué)習(xí)階段交換的個(gè)體信息的有效參考技術(shù)框架，但是如果只單純依賴聯(lián)邦學(xué)習(xí)技術(shù)是無(wú)法確保在整個(gè)數(shù)據(jù)分析階段最終保護(hù)敏感的私有數(shù)據(jù)。針對(duì)普通聯(lián)邦學(xué)習(xí)的缺陷，業(yè)界對(duì)聯(lián)邦學(xué)習(xí)進(jìn)行多層次改進(jìn)，形成安全聯(lián)邦學(xué)習(xí)的技術(shù)能力，在普通聯(lián)邦學(xué)習(xí)技術(shù)基礎(chǔ)上基于隱私保護(hù)計(jì)算技術(shù)做出大量的改進(jìn)，克服原有的弊端和風(fēng)險(xiǎn)，既能夠消除信息泄露的問(wèn)題，還同時(shí)具有較高的執(zhí)行效率和處理能力。安全聯(lián)邦學(xué)習(xí)技術(shù)主要解決隱私機(jī)密數(shù)據(jù)多數(shù)據(jù)源的聯(lián)合分析需求。通過(guò)使用安全聯(lián)邦學(xué)習(xí)技術(shù)，使得隱私保護(hù)計(jì)算平臺(tái)能夠作為大數(shù)據(jù)平臺(tái)的數(shù)據(jù)底座，打破數(shù)據(jù)孤島，建立跨行業(yè)、跨部門(mén)，跨主體，-35-企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）可以實(shí)現(xiàn)多行業(yè)、多部門(mén)、多中心的數(shù)據(jù)聯(lián)合計(jì)算?？蓪?shí)現(xiàn)在符合我國(guó)的網(wǎng)絡(luò)安全法以及

GDPR、HIPAA

等嚴(yán)格隱私保護(hù)法律法規(guī)情況下的多中心多維度實(shí)時(shí)大數(shù)據(jù)分析計(jì)算。傳統(tǒng)聯(lián)邦學(xué)習(xí)和安全聯(lián)邦學(xué)習(xí)的比較如表

3-1

所示。表

3-1

傳統(tǒng)聯(lián)邦學(xué)習(xí)和安全聯(lián)邦學(xué)習(xí)的比較算法

安全依賴技術(shù)成熟度高性能高概要能力性可信方普通聯(lián)邦學(xué)習(xí)部分需要普通聯(lián)邦學(xué)習(xí)，存在風(fēng)險(xiǎn)需要結(jié)合其它技術(shù)改進(jìn)，才能合規(guī)。中中綜合運(yùn)用

TEE、密碼學(xué)等隱私保護(hù)計(jì)算方法，適用于各種業(yè)務(wù)場(chǎng)景，容易合規(guī)。安全聯(lián)邦學(xué)習(xí)可不需要高高高高（3）可信執(zhí)行環(huán)境可信執(zhí)行環(huán)境作為易開(kāi)發(fā)、高性能的隱私計(jì)算技術(shù)，與硬件提供方存在強(qiáng)依賴關(guān)系。其實(shí)踐路徑表現(xiàn)為：在

CPU

內(nèi)劃分出獨(dú)立于操作系統(tǒng)的、可信的、隔離的機(jī)密空間。由于數(shù)據(jù)處理在可信空間內(nèi)進(jìn)行，數(shù)據(jù)的隱私性依賴可信硬件的實(shí)現(xiàn)。其核心思想是以可信硬件為載體，提供硬件級(jí)強(qiáng)安全隔離和通用計(jì)算環(huán)境，在完善的密碼服務(wù)加持下形成“密室”，數(shù)據(jù)僅在“密室”內(nèi)才進(jìn)行解密并計(jì)算，除此之外任何其他方法都無(wú)法接觸到數(shù)據(jù)明文內(nèi)容。-36-企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）2.

區(qū)塊鏈區(qū)塊鏈技術(shù)具備數(shù)據(jù)可抽象、不可篡改、防偽溯源等特點(diǎn)，可以較好地滿足目前數(shù)據(jù)跨境場(chǎng)景下對(duì)原始數(shù)據(jù)隱私保護(hù)、數(shù)據(jù)實(shí)時(shí)查詢、歷史數(shù)據(jù)可追溯、跨境備案數(shù)據(jù)防篡改、日志記錄多重備份以及自動(dòng)化審計(jì)等需求，從而增強(qiáng)數(shù)據(jù)跨境行為的透明性與安全性。對(duì)于數(shù)據(jù)跨境流動(dòng)，可以開(kāi)展境內(nèi)外開(kāi)放網(wǎng)絡(luò)環(huán)境下區(qū)塊鏈系統(tǒng)的研究，基于區(qū)塊鏈網(wǎng)絡(luò)的跨境數(shù)據(jù)流動(dòng)示意圖如

3-2

所示。境內(nèi)外開(kāi)放網(wǎng)絡(luò)采用授權(quán)管理模式，參與方在可控條件下讀取、發(fā)送和確認(rèn)交易，及其它共識(shí)過(guò)程。境內(nèi)外開(kāi)放網(wǎng)絡(luò)環(huán)境下，區(qū)塊鏈系統(tǒng)通過(guò)部署高性能硬件保障底層性能，并采用安全彈性的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和高效的數(shù)據(jù)分發(fā)技術(shù)提升系統(tǒng)響應(yīng)處理效率，實(shí)現(xiàn)境內(nèi)外全球化部署網(wǎng)絡(luò)環(huán)境下，高安全、高吞吐率、低數(shù)據(jù)冗余度的區(qū)塊鏈網(wǎng)絡(luò)服務(wù)。圖

3-2

基于區(qū)塊鏈網(wǎng)絡(luò)的跨境數(shù)據(jù)流動(dòng)示意圖可以依托開(kāi)放網(wǎng)絡(luò)的區(qū)塊鏈系統(tǒng)，研究數(shù)據(jù)跨境流動(dòng)服務(wù)示范應(yīng)用，搭建由區(qū)塊鏈作為底層技術(shù)的平臺(tái)系統(tǒng)，形成覆蓋數(shù)據(jù)采集、數(shù)據(jù)分析、數(shù)據(jù)交互、數(shù)據(jù)跨境監(jiān)管的一整套系統(tǒng)和解決方案，并由一-37-企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）系列的法律法規(guī)和標(biāo)準(zhǔn)規(guī)范作為有效支撐，最終形成完整可行的數(shù)據(jù)跨境流動(dòng)管理解決方案。3.

IPv6IPv6

具有充足的地址空間、層次化的地址結(jié)構(gòu)、靈活的擴(kuò)展頭和強(qiáng)大的鄰居發(fā)現(xiàn)機(jī)制，在數(shù)據(jù)跨境流動(dòng)場(chǎng)景中，具有巨大的應(yīng)用潛力。在數(shù)據(jù)跨境流動(dòng)的過(guò)程中，可以應(yīng)用各類(lèi)IPv6+的核心能力，例如，SRv6（基于IPv6

轉(zhuǎn)發(fā)平面的段路由）技術(shù)在IPv6

報(bào)文中插入一個(gè)顯式的IPv6

地址棧，該地址棧儲(chǔ)存一條有序排列的轉(zhuǎn)發(fā)路徑，這種方式有能力在數(shù)據(jù)跨境流動(dòng)過(guò)程中控制數(shù)據(jù)的傳輸路徑。APN6（應(yīng)用感知型IPv6

網(wǎng)絡(luò)）技術(shù)則是將應(yīng)用信息攜帶在IPv6

數(shù)據(jù)報(bào)文中傳遞進(jìn)入網(wǎng)絡(luò)，使用該技術(shù)可以在數(shù)據(jù)跨境流動(dòng)的過(guò)程中明確數(shù)據(jù)的類(lèi)型和級(jí)別，并進(jìn)一步為不同類(lèi)型和級(jí)別的數(shù)據(jù)提供不同的服務(wù)。IFIT（隨流檢測(cè)）技術(shù)是在真實(shí)業(yè)務(wù)報(bào)文中插入IFIT報(bào)文頭以進(jìn)行特征標(biāo)記，這種方式有能力實(shí)現(xiàn)數(shù)據(jù)跨境傳輸?shù)穆窂剿菰锤??？梢哉f(shuō)，IPv6

為感知數(shù)據(jù)、管理并優(yōu)化數(shù)據(jù)跨境傳輸提供了一個(gè)潛在的解決方案。企業(yè)可以積極探索并推進(jìn)IPv6

在數(shù)據(jù)跨境場(chǎng)景中的應(yīng)用落地，保證數(shù)據(jù)安全流動(dòng)的前提下，最大程度的促進(jìn)數(shù)據(jù)自由跨境流通，促進(jìn)數(shù)字經(jīng)濟(jì)的高質(zhì)量發(fā)展。-38-企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）四、數(shù)據(jù)跨境安全管理發(fā)展建議4.1

健全數(shù)據(jù)出境制度體系與保護(hù)機(jī)制一是細(xì)化完善數(shù)據(jù)跨境安全管理制度。建立一套可執(zhí)行和可操作的數(shù)據(jù)跨境流動(dòng)安全管理制度，涵蓋數(shù)據(jù)出境全流程，細(xì)化數(shù)據(jù)出境安全評(píng)估的事項(xiàng)和標(biāo)準(zhǔn)，明確跨境數(shù)據(jù)安全審批、監(jiān)管的要求，由各行業(yè)各領(lǐng)域建立符合本行業(yè)、領(lǐng)域特點(diǎn)的數(shù)據(jù)出境安全管理措施，強(qiáng)化對(duì)數(shù)據(jù)出境的全流程安全管控。二是健全數(shù)據(jù)分類(lèi)分級(jí)保護(hù)制度。數(shù)據(jù)分類(lèi)分級(jí)保護(hù)制度是開(kāi)展數(shù)據(jù)出境安全評(píng)估、數(shù)據(jù)出境分級(jí)保護(hù)的基礎(chǔ)，建議加快制定數(shù)據(jù)分類(lèi)分級(jí)國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)等，指導(dǎo)數(shù)據(jù)處理者在實(shí)踐層面加強(qiáng)數(shù)據(jù)出境分級(jí)管控。針對(duì)重要數(shù)據(jù)出境，建議行業(yè)或地方主管部門(mén)進(jìn)一步細(xì)化行業(yè)或地方重要數(shù)據(jù)目錄，強(qiáng)化對(duì)重要數(shù)據(jù)的識(shí)別和對(duì)重要數(shù)據(jù)的出境管控，保障重要數(shù)據(jù)安全。三是強(qiáng)化數(shù)據(jù)出境事中事后監(jiān)管機(jī)制。數(shù)據(jù)出境監(jiān)管是數(shù)據(jù)出境活動(dòng)前、中、后階段保障數(shù)據(jù)出境安全的重要手段，數(shù)據(jù)出境后可以從監(jiān)管主體、監(jiān)管流程與實(shí)施機(jī)制方面制定不同的監(jiān)管策略，提升數(shù)據(jù)跨境安全風(fēng)險(xiǎn)防范能力。例如，可以制定跨境數(shù)據(jù)安全事件定級(jí)與響應(yīng)處置的判定標(biāo)準(zhǔn)，建立數(shù)據(jù)出境跟蹤監(jiān)督與報(bào)告機(jī)制，當(dāng)數(shù)據(jù)出境后出現(xiàn)威脅國(guó)家安全的問(wèn)題時(shí)，國(guó)家有關(guān)部門(mén)及時(shí)通知相關(guān)企業(yè)，-39-企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）或者企業(yè)主動(dòng)通知有關(guān)部門(mén)，協(xié)同開(kāi)展應(yīng)急處置機(jī)制，針對(duì)性地解決數(shù)據(jù)出境活動(dòng)所帶來(lái)的安全威脅，降低安全風(fēng)險(xiǎn)。4.2

強(qiáng)化數(shù)據(jù)跨境技術(shù)創(chuàng)新研究與應(yīng)用除了頂層設(shè)計(jì)以及規(guī)則制定的完善之外，針對(duì)數(shù)據(jù)跨境場(chǎng)景，還需要通過(guò)數(shù)字技術(shù)手段保障跨境數(shù)據(jù)的安全流動(dòng)。一是加強(qiáng)數(shù)據(jù)跨境場(chǎng)景下安全技術(shù)的創(chuàng)新應(yīng)用。需加強(qiáng)數(shù)據(jù)資產(chǎn)梳理、數(shù)據(jù)加密、數(shù)據(jù)脫敏等數(shù)據(jù)安全通用技術(shù)在數(shù)據(jù)跨境環(huán)節(jié)的安全保障，提高數(shù)據(jù)訪問(wèn)、流向控制、溯源等關(guān)鍵環(huán)節(jié)的管控能力，同時(shí)，積極推進(jìn)隱私計(jì)算、區(qū)塊鏈、IPv6

等新技術(shù)在數(shù)據(jù)跨境場(chǎng)景下的創(chuàng)新應(yīng)用，通過(guò)“數(shù)據(jù)不跨境、算法模型跨境”“數(shù)據(jù)可用不可見(jiàn)”的新型數(shù)據(jù)傳輸模式，在敏感數(shù)據(jù)不出境的情況下，推動(dòng)數(shù)據(jù)要素價(jià)值發(fā)揮。二是加強(qiáng)數(shù)據(jù)跨境流動(dòng)安全風(fēng)險(xiǎn)監(jiān)測(cè)。可以探索建立國(guó)家層面的數(shù)據(jù)跨境風(fēng)險(xiǎn)監(jiān)測(cè)、預(yù)警、安全信息共享調(diào)度平臺(tái)，統(tǒng)籌協(xié)調(diào)有關(guān)部門(mén)加強(qiáng)數(shù)據(jù)安全風(fēng)險(xiǎn)信息的獲取、分析、研判與預(yù)警工作，通過(guò)技術(shù)手段對(duì)數(shù)據(jù)出口節(jié)點(diǎn)開(kāi)展持續(xù)流量監(jiān)測(cè)，對(duì)涉及重要數(shù)據(jù)的出境流動(dòng)進(jìn)行嚴(yán)格審查，對(duì)發(fā)現(xiàn)的數(shù)據(jù)出境安全風(fēng)險(xiǎn)及時(shí)開(kāi)展應(yīng)急處置，規(guī)范數(shù)據(jù)出境行為，保障數(shù)據(jù)安全。另外，可以全面排查開(kāi)源軟件和數(shù)據(jù)系統(tǒng)存在的潛在數(shù)據(jù)出境風(fēng)險(xiǎn)與安全隱患，避免數(shù)據(jù)違規(guī)泄露。-40-企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）三是布局?jǐn)?shù)據(jù)跨境基礎(chǔ)設(shè)施建設(shè)，夯實(shí)安全底座。試點(diǎn)可信數(shù)據(jù)空間建設(shè)，開(kāi)發(fā)數(shù)據(jù)空間通用規(guī)則，通過(guò)技術(shù)、語(yǔ)義、組織和法律互操作性實(shí)現(xiàn)不同組織間的信任，通過(guò)數(shù)據(jù)空間促進(jìn)可信的數(shù)據(jù)跨境流動(dòng)。推動(dòng)跨境數(shù)據(jù)基礎(chǔ)設(shè)施建設(shè)，加大國(guó)際海底光纜、國(guó)際互聯(lián)網(wǎng)數(shù)據(jù)交互點(diǎn)等數(shù)據(jù)基礎(chǔ)設(shè)施建設(shè)，提升跨境數(shù)據(jù)基礎(chǔ)設(shè)施安全保障能力。4.3

推動(dòng)數(shù)據(jù)跨境協(xié)同治理與國(guó)際交流合作一是探索建立政企協(xié)同的數(shù)據(jù)跨境治理體系。企業(yè)作為跨境規(guī)則的實(shí)踐者和數(shù)據(jù)跨境業(yè)務(wù)的直接參與者，能夠?yàn)閿?shù)據(jù)跨境規(guī)則制定和數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)提供實(shí)踐經(jīng)驗(yàn)，政府和企業(yè)協(xié)同開(kāi)展數(shù)據(jù)跨境規(guī)則制定和安全風(fēng)險(xiǎn)監(jiān)測(cè)，對(duì)于推動(dòng)數(shù)據(jù)出境國(guó)家安全治理意義重大。數(shù)據(jù)跨境治理中，政府與企業(yè)合作已成為各國(guó)常態(tài)?？梢蕴剿鹘ⅰ耙哉疄橹鲗?dǎo)，以企業(yè)為輔助”的數(shù)據(jù)跨境協(xié)同治理體系，政企聯(lián)動(dòng)共同推動(dòng)數(shù)據(jù)跨境安全有序流動(dòng)。二是探索建立跨境數(shù)據(jù)“白名單”制度?？蓞⒖?/p>

GDPR，認(rèn)定一批允許數(shù)據(jù)直接出境的國(guó)家“白名單”，加快建立互信互任的雙多邊協(xié)定?？梢猿浞盅信懈鱾€(gè)國(guó)家的數(shù)據(jù)管理法規(guī)及法律環(huán)境，并將與我國(guó)簽訂雙邊、多邊合作協(xié)議的國(guó)家納入考量范圍，以今年

6

月

29

日國(guó)家網(wǎng)信辦與香港特區(qū)政府創(chuàng)新科技及工業(yè)局簽署的《關(guān)于促進(jìn)粵港澳大灣區(qū)數(shù)據(jù)跨境流動(dòng)的合作備忘錄》為始，利用各地自貿(mào)區(qū)優(yōu)勢(shì)，-41-企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）增設(shè)數(shù)據(jù)出境“白名單”，逐步帶動(dòng)數(shù)據(jù)自由流動(dòng)的多邊效應(yīng)，加快區(qū)域間協(xié)定的談判與建立，深化與其他國(guó)家的數(shù)據(jù)合作。三是探索建立國(guó)際數(shù)據(jù)自由港。我國(guó)作為全球數(shù)字經(jīng)濟(jì)第二大市場(chǎng)，天然具備成立中立數(shù)據(jù)中心的條件?？梢越Y(jié)合自貿(mào)區(qū)負(fù)面清單，通過(guò)打造國(guó)際數(shù)據(jù)自由港，一部分?jǐn)?shù)據(jù)可以在國(guó)際上自由流動(dòng)，推動(dòng)更大范圍的國(guó)際合作，有助于參與國(guó)際社會(huì)數(shù)據(jù)跨境流動(dòng)規(guī)則的制定，建立發(fā)展與安全相協(xié)調(diào)的跨境數(shù)據(jù)流動(dòng)規(guī)則體系。-42-企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）附錄：數(shù)據(jù)出境相關(guān)法律法規(guī)和國(guó)家標(biāo)準(zhǔn)序號(hào)文件名稱(chēng)發(fā)布機(jī)構(gòu)施行時(shí)間一、法律123《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》全國(guó)人大常委會(huì)

2017

年

6

月

1

日全國(guó)人大常委會(huì)

2021

年

9

月

1

日《中華人民共和國(guó)個(gè)人信息保護(hù)法》

全國(guó)人大常委會(huì)

2021

年

11

月

1

日二、法規(guī)4《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》

國(guó)務(wù)院2021

年

9

月

1

日三、部門(mén)規(guī)章國(guó)家網(wǎng)信辦等13

部門(mén)567《網(wǎng)絡(luò)安全審查辦法》2022

年

2

月

15

日2022

年

9

月

1

日2022

年

8

月

31

日《數(shù)據(jù)出境安全評(píng)估辦法》《數(shù)據(jù)出境安全評(píng)估申報(bào)指南（第一版）》國(guó)家網(wǎng)信辦國(guó)家網(wǎng)信辦國(guó)家市場(chǎng)監(jiān)管總局、國(guó)家網(wǎng)信辦國(guó)家網(wǎng)信辦89《個(gè)人信息保護(hù)認(rèn)證實(shí)施規(guī)則》2022

年

11

月

4

日2023

年

6

月

1

日2023

年

5

月

30

日《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》《個(gè)人信息出境標(biāo)準(zhǔn)合同備案指南（第一版）》10國(guó)家網(wǎng)信辦國(guó)家網(wǎng)信辦《規(guī)范和促進(jìn)數(shù)據(jù)跨境流動(dòng)規(guī)定（征求意見(jiàn)稿）》11征求意見(jiàn)稿四、國(guó)家標(biāo)準(zhǔn)-43-企業(yè)數(shù)據(jù)跨境合規(guī)與技術(shù)應(yīng)用白皮書(shū)（2023）GB/T

37988-2019《信息安全技術(shù)121314TC260TC260TC2602020

年

3

月