《中國聯通研究院：2023企業數據跨境合規與技術應用白皮書（52頁）.pdf》由會員分享，可在線閱讀，更多相關《中國聯通研究院：2023企業數據跨境合規與技術應用白皮書（52頁）.pdf（52頁珍藏版）》請在三個皮匠報告上搜索。

1、企業數據跨境合規與技術應用白皮書（2023）企業數據跨境合規與技術應用白皮書（2023）中國聯通研究院中國聯通網絡安全研究院下一代互聯網寬帶業務應用國家工程研究中心2023 年 11 月企業數據跨境合規與技術應用白皮書（2023）版權聲明版權聲明本白皮書版權屬于中國聯合網絡通信有限公司、中興通訊股份有限公司、北京市環球律師事務所，并受法律保護。轉載、摘編或利用其他方式使用本白皮書文字或者觀點的，應注明“來源：中國聯合網絡通信有限公司、中興通訊股份有限公司和北京市環球律師事務所”。違反上述聲明者，將追究其相關法律責任。企業數據跨境合規與技術應用白皮書（2023）目錄目錄前 言.1一、全球數據跨境

2、流動背景.31.1 數據跨境驅動全球數字經濟加速增長.31.2 各國加快構建自身數據跨境流動規則.41.3 我國數據跨境流動監管面臨較大挑戰.6二、我國數據跨境政策環境與重點內容解讀.82.1 我國數據跨境監管制度.92.2 數據出境合規路徑判斷方法.122.3 數據出境合規路徑實施流程.152.4 數據出境所涉基本概念.182.5 數據出境典型場景.20三、企業數據跨境合規治理體系建設.233.1 組織機構建設.243.2 制度體系建設.263.3 合規路徑操作實踐.273.4 保障體系建設.283.5 技術防護措施.30四、數據跨境安全管理發展建議.394.1 健全數據出境制度體系與保護機

3、制.394.2 強化數據跨境技術創新研究與應用.40企業數據跨境合規與技術應用白皮書（2023）4.3 推動數據跨境協同治理與國際交流合作.41附錄：數據出境相關法律法規和國家標準.43參考文獻.45企業數據跨境合規與技術應用白皮書（2023）表目錄表目錄表 2-1 我國法律規制的數據出境合規路徑.10表 2-2 數據出境合規路徑適用情形.11表 2-3 規定（征求意見稿）出臺后合規路徑適用情形.12表 2-4 數據出境行為模式一.21表 2-5 數據出境行為模式二.22表 3-1 傳統聯邦學習和安全聯邦學習的比較.36圖目錄圖目錄圖 2-1 數據出境安全評估流程.16圖 2-2 個人信息出境

4、標準合同備案流程.17圖 3-1 數據跨境合規治理框架.24圖 3-2 基于區塊鏈網絡的跨境數據流動示意圖.37企業數據跨境合規與技術應用白皮書（2023）-1-前 言在數字經濟背景下，數據已經成為國家戰略資源和關鍵生產要素，也是企業的核心競爭資產。伴隨著經濟全球化，數據跨境活動日益頻繁，數據出境場景越來越多，防范數據出境安全風險，保障數據依法有序自由流動成為我國關注的重要方面。目前，我國數據出境安全管理體系已經初步構建形成。網絡安全法數據安全法個人信息保護法確立了數據出境的基本原則和主要路徑，數據出境安全評估辦法個人信息出境標準合同辦法個人信息保護認證實施規則等進一步明確了不同數據出境路徑的

5、具體要求。企業作為數據跨境活動最活躍的主體之一，無可避免的成為履行數據跨境合規義務的重要主體，但在具體實踐中，如何采取相應的措施、采取哪些措施仍面臨許多問題，比如：如何判斷是否需要申報數據出境安全評估，或訂立并備案個人信息出境標準合同，或通過個人信息保護認證？三條路徑具體應如何實施？能夠采取哪些方法和手段防范數據出境安全風險？本白皮書力圖從分析政策、剖析概念、歸納方法、總結舉措等方面，盡可能全面、系統地整理當前我國數據跨境的有關法律法規和實施舉措，希望為提高有關企業或個人對數據跨境制度的認識和理解，增強經營管理和業務開展過程中對數據出境合規風險的防范意識，強化數據出境合規管理貢獻力量。企業數據

6、跨境合規與技術應用白皮書（2023）-2-本白皮書由中國聯通研究院主筆，中國聯通集團網絡與信息安全部、聯通數字科技有限公司數據智能事業部、中國聯通國際有限公司、中興通訊股份有限公司、北京市環球律師事務所聯合編寫。編寫組成員編寫組成員（排名不分先后）：總策劃：總策劃：苗守野、李浩宇、葉曉煜編委會：編委會：徐雷、楊錦洲、吳鋼、馬瑞濤、林海、張航、陶冶、曹咪、孫藝、吳連勇、李佳杭、康旗、劉亞琪、孟潔、王程、劉洋、李冰、陳靖、楊曉蔚、韓瑩瑩、薛競、黃一申、李佳敏、孫進芳、楊開敏、趙燦、劉宇健、張欽華企業數據跨境合規與技術應用白皮書（2023）-3-一、全球數據跨境流動背景一、全球數據跨境流動背景當前，

7、以 5G、云計算、大數據、人工智能等為代表的新一代信息通信技術快速發展并逐漸跨界融合，加速推進全球數字化轉型和國際數字貿易發展。數據作為新型生產要素，數據跨境流動在當今數字經濟中扮演著重要角色，因其機遇與風險并存，已經成為各個國家和地區重點關注的議題之一。1.1 數據跨境驅動全球數字經濟加速增長1.1 數據跨境驅動全球數字經濟加速增長數據跨境安全有序流動是數據要素高效運轉流動的關鍵環節，自2008 年以來，跨境數據流動對全球經濟增長的貢獻已經超過傳統的跨國貿易和投資，支撐了包括商品、服務、資本、人才等其他幾乎所有類型資源的全球化活動，已經成為驅動數字經濟增長的主要力量。數據跨境流動是經濟全球化

8、的必然結果，也是當下和未來經濟發展的常態。數據跨境流動對于促進數字創新、提高經濟增長效率和增進社會福祉具有重要意義。一是促進國際貿易高質量發展。一是促進國際貿易高質量發展?？缇硵祿鲃右殉蔀橥苿咏洕蚧c國際貿易發展的重要力量。作為國際貿易發展的最新趨勢，數字貿易在提升貿易效率、拓展貿易對象、降低貿易成本、豐富貿易業態等方面發揮著重要作用。企業數據跨境合規與技術應用白皮書（2023）-4-二是加速企業發展國際化進程。二是加速企業發展國際化進程。企業作為市場主體，其業務模式和經營模式引發高頻化、規?；页B化的跨境數據流動，在全球產業分工日趨細化的背景下，企業的海外業務布局通常涉及多個國家，數

9、據的集中協同處理是企業經營的客觀需求。企業跨境數據流動可促進各類資源要素暢通流動以及各行業市場主體加速融合，幫助企業持續推動自身運營方式改善、供應鏈優化與商業模式創新，助力企業實現資源的高效配置?？缇硵祿魍ㄊ峭苿尤瞬帕?、物流、資金流和信息流跨域自由流轉的基礎，在推動企業全球化等方面發揮著積極作用。三是驅動數字經濟加速增長。三是驅動數字經濟加速增長。全球數據流動對經濟增長有明顯的拉動效應，據麥肯錫估算，數據流動量每增加 10%，將帶動 GDP 增長 0.2%。預計到 2025 年，全球數據流動對經濟增長的貢獻將達到11 萬億美元。據經濟合作與發展組織（OECD）測算，數據流動對各行業利潤增長的

10、平均促進率在 10%，在數字平臺、金融業等行業中可達到 32%。依托數字技術和信息網絡推動數據跨境流動，可帶動各類資源要素高效流動、各類市場主體加速融合，促進數字經濟做強做優做大。1.2 各國加快構建自身數據跨境流動規則1.2 各國加快構建自身數據跨境流動規則數據跨境流動給數字經濟發展帶來了強大的推動作用，但是數據跨境后也隱藏著不受控的安全風險。當前，國際上廣泛認為，數據跨境流動不僅包括物理意義上的跨越國界，還包含第三國主體對數據的企業數據跨境合規與技術應用白皮書（2023）-5-跨境訪問和使用。隨著經濟全球化的發展，國際交流合作愈加頻繁，數據跨境傳輸、存儲、訪問、使用的頻次大幅上升，所帶來的

11、安全風險滲透至數據全生命周期，且隨著數據跨境流動的范圍不斷擴大，產生的風險從個人隱私保護、商業利益保護升級躍遷至國家數據主權甚至國家安全。隨著各國對數據跨境流動意義和影響的認識日益深入，數據跨境流動逐步成為國家和地區間博弈的重要問題?；趪野踩?、經濟發展、隱私保護、技術能力等多方面的考量，各國確立了不同的數據跨境流動策略，并基于此加快構建自身的數據跨境流動規則體系。分國家層面來看，分國家層面來看，當前，數據跨境流動規則還處在探索階段，各國對于數據跨境流動規則尚未形成共識，整體呈現多元性與差異化的特點。比如，美國美國采取的策略是理念上主張全球數據自由流動，實踐中構建數據“單向”流動格局。歐盟歐

12、盟“兩手都要抓，兩手都要硬”，雙邊場合推動數據互認標準，多邊場合提倡數據自由流動，在強化個人隱私數據保護的同時，提升數據競爭優勢。日本日本對數據跨境流動的限制性條件較少，但強調對涉及國家安全的敏感或關鍵數據進行監管。俄羅斯俄羅斯要求俄公民個人數據收集必須使用位于俄境內的數據庫。印度印度將個人數據分為一般個人數據、敏感個人數據和關鍵個人數據，一般個人數據和敏感個人數據在境內存儲副本的條件下可跨境流動，關鍵個人數據僅能存儲在印度境內的服務器或數據中心，絕對禁止離境。澳大利亞、加拿大、韓國、巴西澳大利亞、加拿大、韓國、巴西等國支持數據自由流動，但主張將保企業數據跨境合規與技術應用白皮書（2023）-

13、6-護個人隱私和國家安全寫入例外條款，包括實現公共政策目標、保護個人隱私安全、保護國家安全等。截至目前，全球已有 70 多個國家或地區對數據跨境流動進行了不同程度的限制。從當前國際數字貿易相關協定來看從當前國際數字貿易相關協定來看，數據跨境流動規則正在成為高水平貿易協定的重要標志，無論是發達國家成員主導的全面與進步跨太平洋伙伴關系協定（CPTPP）和數字經濟伙伴關系協定（DEPA），還是發展中國家成員簽署的區域全面經濟伙伴關系協定（RCEP），保障數據合理數據跨境流動都是其中的核心條款。各國限制數據跨境流動的規章制度存在顯著差異，而且具有明顯的沖突性，給數據跨境流動帶來了很大難度。但是國際主流

14、的跨境管理思想較為統一：基于數據的重要程度，分類分級的開展數據跨境管理工作，并在既有的國際合作框架下探索數據跨境合作，在經濟發展、數據安全、國際環境三者約束條件下，形成數據跨境流動規則。1.3 我國數據跨境流動監管面臨較大挑戰1.3 我國數據跨境流動監管面臨較大挑戰我國明確將數據作為新型生產要素，據數字中國發展報告（2022 年）數據顯示，2022 年我國數據產量達 8.1ZB，同比增長 22.7%，占全球數據總產量的 10.5%，位居全球第二；我國數字經濟規模達 50.2 萬億元，占國內生產總值比重提升至 41.5%。我國已經發展成為全球第二大數字經濟體，數據跨境流動在數字經濟中的作用愈發重

15、要。但是如何在維護好國家數據安全、保護好個人信息權企業數據跨境合規與技術應用白皮書（2023）-7-益的前提下促進數據有序流動成為當前面臨的難題，我國數據跨境流動監管也面臨較大挑戰。一是數據跨境流動隱蔽性強，難以有效監管。一是數據跨境流動隱蔽性強，難以有效監管。數據跨境流動深植于國際貿易、交往互動中，處理過程涉及多方參與協商，數據流動隱蔽性高，增加了數據跨境流動監管的復雜度。隱蔽的方式包括通過惡意軟件采集、網絡爬蟲抓取或其他非法方式獲取他人未授權的數據并流轉使用。全球經濟一體化背景下，數據是否以隱蔽且未授權的方式流動出境，成為數據出境安全治理亟需重點關注的問題，準確識別數據的不合法出境是數據跨

16、境安全治理的基礎。二是數據跨境量級指數遞增，分類監管難度較大。二是數據跨境量級指數遞增，分類監管難度較大。隨著互聯網的快速普及，海量數據不斷匯聚積累，呈現出“數據海量化、種類多樣化、處理快速化”等特點，這些數據遍布通信、金融、能源、交通等各個行業領域，數據格式混雜多樣，數據價值各有不同，在數據跨境流動過程中，如何對海量的數據進行全面梳理分類和有效監管仍是挑戰。數據規模龐大、數據流轉實時變化、數據持續聚合拆分，增加了數據分類分級的難度。數據級別評估基準不統一，對重復加工生成的衍生數據狀態判斷不明，使得數據跨境流動風險難以有效判定。三是數據跨境攻擊不斷升級，數據安全態勢嚴峻。三是數據跨境攻擊不斷升

17、級，數據安全態勢嚴峻。隨著數據價值不斷提升，以數據為目標的跨境攻擊愈加頻繁，數據跨境攻擊技術持續升級，攻擊者的組織形式趨于集中化、專業化；攻擊對象日益滲透企業數據跨境合規與技術應用白皮書（2023）-8-至管、網、云、端等各環節以及各類網絡設備、軟硬件、關鍵信息基礎設施等；攻擊方式走向智能化、多樣化，以人工智能等新技術為載體的攻擊方式不斷演變升級，難以防范。近年來，我國積極構建實施數據保護相關的法律法規，秉持“統籌安全和發展”的理念我國積極構建實施數據保護相關的法律法規，秉持“統籌安全和發展”的理念，關注國家利益、公共安全與國際合作，探尋合規高效的跨境數據流動規則。我國立法明確提出“堅持以數據

18、開發利用和產業發展促進數據安全，以數據安全保障數據開發利用和產業發展”“積極開展數據安全治理、數據開發利用等領域的國際交流與合作，促進數據跨境安全、自由流動”的政策目標。同時，我國遵循多元共治的理念，在數據出境國際規則構建中，兼顧發達國家關注數字貿易利益以及發展中國家關注數據安全與產業發展利益的情況，支持基于公共政策目標或者國家安全利益而采取的數據本地化策略，與各國在獨立自主基礎上的開展合作與治理。一直以來，我國積極參與國際交流合作，逐步構建完善國內數據要素治理的頂層法律法規，推進具體落地實施，目前基本形成了符合我國數字經濟發展要求的數據跨境流動規則。二、我國數據跨境政策環境與重點內容解讀二、

19、我國數據跨境政策環境與重點內容解讀我國的數據跨境流動規則已基本建立，本章將進行歸納分析，剖析重要數據、個人信息、關鍵信息基礎設施等基本概念，總結數據出企業數據跨境合規與技術應用白皮書（2023）-9-境合規路徑的判斷方法與實施流程，并以舉例形式詳細闡述數據出境的典型場景。2.1 我國數據跨境監管制度2.1 我國數據跨境監管制度近年來，我國相繼出臺網絡安全法數據安全法和個人信息保護法網絡安全法數據安全法和個人信息保護法，對網絡安全、數據安全、個人信息保護進行了制度要求，也為數據跨境流動構建了基礎框架。雖然理論上數據跨境分為數據出境和數據入境，但我國主要規制數據出境活動，故本次報告主要從數據出境的

20、角度進行切入探討?？傮w來看，前述三部法律主要從重要數據和個人信息保護兩個維度監管數據出境活動，建立了“數據出境安全評估”、“個人信息保護認證”和“標準合同條款”三大合規路徑，具體要求如表 2-1 所示。其中，數據安全法和個人信息保護法還明確，向外國司法或者執法機構提供數據，應經主管機關批準。個人信息處理者向境外提供個人信息前應履行相應的義務，包括：基于個人同意向境外提供個人信息的，應當取得個人信息主體同意；數據出境前應當開展個人信息保護影響評估等。企業數據跨境合規與技術應用白皮書（2023）-10-表 2-1 我國法律規制的數據出境合規路徑表 2-1 我國法律規制的數據出境合規路徑法律名稱法律

21、名稱生效日期生效日期規制數據規制數據規制主體規制主體合規路徑合規路徑網絡安全法網絡安全法2017 年6 月 1 日重要數據個人信息重要數據個人信息關鍵信息基礎設施運營者關鍵信息基礎設施運營者向境外提供，應當進行安全評估安全評估數據安全法數據安全法2021 年9 月 1 日重要數據重要數據關鍵信息基礎設施運營者關鍵信息基礎設施運營者向境外提供，應當進行安全評估安全評估其他數據處理者遵照國家網信部門會同國務院有關部門制定的辦法個人信息保護法個人信息保護法2021 年11 月 1 日個人信息個人信息國家機關向境外提供，應當進行安全評估安全評估關鍵信息基礎設施運營者關鍵信息基礎設施運營者處理個人信息達

22、到國家網信部門規定數量的個人信息處理者其他個人信息處理者向境外提供，應當具備下列條件之一：（1）通過國家網信部門組織的安全評估安全評估；（2）按照國家網信部門的規定經專業機構進行個人信息保護認證個人信息保護認證；（3）按照國家網信部門制定的標準合同與境外接收方訂立合同訂立合同，約定雙方的權利和義務；（4）法律、行政法規或者國家網信部門規定的其他條件其他條件。隨后，國家互聯網信息辦公室（以下簡稱“國家網信辦”）陸續發布數據出境安全評估辦法個人信息保護認證實施規則個人信息出境標準合同辦法數據出境安全評估辦法個人信息保護認證實施規則個人信息出境標準合同辦法（以下分別簡稱評估辦法認證實施規則 合同辦法

23、）等，進一步明確了“數據出境安全評估”、“個人信息保護認證”和“標準合同條款”的實施細則，我國數據出境監管制度已基本建立。三大合規路徑的適用情形如表 2-2 所示。企業數據跨境合規與技術應用白皮書（2023）-11-表 2-2 數據出境合規路徑適用情形表 2-2 數據出境合規路徑適用情形部門規章部門規章生效日期生效日期適用情形適用情形配套文件配套文件數據出境安全評估辦法數據出境安全評估辦法2022 年9 月 1 日數據出境安全評估適用于以下四種情形：（1）數據處理者向境外提供重要數據重要數據；（2）關鍵信息基礎設施運營者和處理 100100 萬人以上個人信息的數據處理者向境外提供個人信息個人信

24、息；（3）自上年 1 1 月 1 1 日起累計向境外提供 1010 萬人個人信息或者 1 1 萬人敏感個人信息敏感個人信息的數據處理者向境外提供個人信息個人信息；（4）國家網信部門規定的其他其他需要申報數據出境安全評估的情形。數據出境安全評估申報指南（第一版）（以下簡稱 評估申報指南）個人信息保護認證實施規則個人信息保護認證實施規則2022 年11 月 4日對個人信息處理者開展個人信息跨境等處理活動進行認證信息安全技術 個人信息安全規范網絡安全標準實踐指南個人信息跨境處理活動安全認證規范V2.0個人信息出境標準合同辦法個人信息出境標準合同辦法2023 年6 月 1 日通過標準合同方式向境外提供

25、個人信息應同時符合同時符合下列情形：（1）非關鍵信息基礎設施運營者；（2）處理個人信息不滿 100100 萬人的；（3）自上年 1 1 月 1 1 日起累計向境外提供個人信息不滿 1010 萬人的；（4）自上年 1 1 月 1 1 日起累計向境外提供敏感個人信息不滿 1 1 萬人的。法律、行政法規或者國家網信部門另有規定的，從其規定。個人信息出境標準合同備案指南（第一版）2023 年 9 月 28 日，國家網信辦發布規范和促進數據跨境流動規定（征求意見稿）規范和促進數據跨境流動規定（征求意見稿）（以下簡稱規定（征求意見稿），向社會公開征求意見，擬對申報數據出境安全評估、訂立個人信息出境標準合同

26、等的適用門檻進行調整，這一變化預計將在很大程度上減輕企業的數據出境合規負擔，降低數據出境成本，進一步規范和促進數據依法有序自由流動。規定（征求意見稿）明確，“數據出境安全評估辦法、個人信息出境標準合同辦法等相關規定與本規定不一致的，按照本規定執行”。根據規定（征求意見稿），“數據出境安全評估”、“個人信息保護認證”和“標準合同條款”的適企業數據跨境合規與技術應用白皮書（2023）-12-用情形將發生變化，總結如表 2-3 所示。表 2-3 規定（征求意見稿）出臺后合規路徑的適用情形表 2-3 規定（征求意見稿）出臺后合規路徑的適用情形合規路徑合規路徑規定（征求意見稿）出臺后的適用情形規定（征求

27、意見稿）出臺后的適用情形申報數據出境安全評估申報數據出境安全評估（1）向境外提供重要數據；（2）國家機關和關鍵信息基礎設施運營者向境外提供個人信息；（3）預計一年內向境外提供 100 萬人以上個人信息。訂立個人信息出境標準合同或通過個人信息保護認證訂立個人信息出境標準合同或通過個人信息保護認證（1）預計一年內向境外提供 1 萬人以上、不滿 100 萬人個人信息?；砻饣砻猓?）預計一年內向境外提供不滿 1 萬人個人信息；（2）國際貿易、學術合作、跨國生產制造和市場營銷等活動中產生的數據出境，不包含個人信息或者重要數據；（3）不是在境內收集產生的個人信息向境外提供；（4）為訂立、履行個人作為一方當

28、事人的合同所必需，如跨境購物、跨境匯款、機票酒店預訂、簽證辦理等，必須向境外提供個人信息的；（5）按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理，必須向境外提供內部員工個人信息的；（6）緊急情況下為保護自然人的生命健康和財產安全等，必須向境外提供個人信息的；（7）自由貿易試驗區負面清單外的數據出境。建議企業對規定（征求意見稿）的正式出臺保持關注，以便根據規定（征求意見稿）的正式發布版本及時調整、確認自身適用的數據出境合規路徑。我國現有數據出境相關的法律法規和國家標準情況詳見附錄。2.2 數據出境合規路徑判斷方法2.2 數據出境合規路徑判斷方法根據我國現行法律法規政策要求，企業在

29、數據出境時應結合自身的主體類型、出境數據類型和數量等因素，綜合判斷是否需要申報并通過數據出境安全評估；訂立并備案個人信息出境標準合同；或通過個人信息保護認證。具體應當適用何種路徑，可參考如下判斷方法。企業數據跨境合規與技術應用白皮書（2023）-13-1.判斷出境數據類型1.判斷出境數據類型 重要數據出境，應當申報數據出境安全評估。個人信息出境，則需進一步判斷數據出境主體的性質、涉及個人信息主體數量。向境外提供涉及黨政軍和涉密單位敏感信息、敏感個人信息的，依照有關法律、行政法規、部門規章規定執行。2.判斷數據出境主體2.判斷數據出境主體個人信息出境，如果出境主體屬于關鍵信息基礎設施運營者，確因

30、業務需要向境外提供，應當申報數據出境安全評估。如果不屬于，則需進一步判斷出境所涉及的個人信息主體數量。3.判斷出境數據數量3.判斷出境數據數量若規定（征求意見稿）正式出臺的版本與本次征求意見稿內容保持一致，那么數據出境數量對應的合規路徑的判斷方法如下：預計一年內向境外提供 100 萬人以上個人信息的，應當申報數據出境安全評估。預計一年內向境外提供 1 萬人以上、不滿 100 萬人個人信息的，需要進行個人信息出境標準合同備案或個人信息保護認證，但可以不申報數據出境安全評估。預計一年內向境外提供不滿 1 萬人個人信息的，屬于豁免情形，即不需要申報數據出境安全評估、訂立個人信息出境標準合同、企業數據

31、跨境合規與技術應用白皮書（2023）-14-通過個人信息保護認證。需要說明的是，企業在實際工作中，應以當時的生效規定為準應以當時的生效規定為準。4.判斷是否屬于豁免情形4.判斷是否屬于豁免情形規定（征求意見稿）列明了不需要申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證的情形，以下情況屬于豁免情形。不包含個人信息或者重要數據：不包含個人信息或者重要數據：國際貿易、學術合作、跨國生產制造和市場營銷等活動中產生的數據出境，不包含個人信息或者重要數據的。個人信息過境：個人信息過境：不是在境內收集產生的個人信息向境外提供。履行合同所必需：履行合同所必需：為訂立、履行個人作為一方當事

32、人的合同所必需，如跨境購物、跨境匯款、機票酒店預訂、簽證辦理等，必須向境外提供個人信息的。人力資源管理所必須：人力資源管理所必須：按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理，必須向境外提供內部員工個人信息的。緊急情況所必須：緊急情況所必須：緊急情況下為保護自然人的生命健康和財產安全等，必須向境外提供個人信息的。未列入自貿區負面清單的數據：未列入自貿區負面清單的數據：自貿區可自行制定數據出境“負面清單”，報經省級網絡安全和信息化委員會批準后，報企業數據跨境合規與技術應用白皮書（2023）-15-國家網信部門備案后生效。自貿區企業向境外傳輸“負面清單”之外的數據，無需適用三大數

33、據出境合規路徑。上述豁免場景中提及的部分定義仍需被進一步闡釋說明，涉及的數據類型和范圍也需要被進一步明確。此外，雖然規定（征求意見稿）闡述了多類出境豁免情形，但這并不意味著由此豁免了企業數據出境活動的事前數據安全保護義務、管理義務和安全事件發生后的報告義務。因此，企業應關注規定（征求意見稿）正式稿的發布情況，對企業自身數據出境涉及的豁免情形進行識別認定，以滿足數據出境合規義務要求。另外，還須注意的是，數據出境安全評估是法律的強制要求。企業一旦達到觸發條件，則必須開展安全評估，不存在所謂選擇數據出境路徑的問題。2.3 數據出境合規路徑實施流程2.3 數據出境合規路徑實施流程2.3.1 數據出境安

34、全評估2.3.1 數據出境安全評估若企業適用數據出境安全評估路徑，則需要遵守 評估辦法 評估申報指南中明確的數據出境安全評估的申報方式及相關流程。其中，企業應按要求提交申報材料，包括統一社會信用代碼證件影印件、法定代表人身份證件影印件、經辦人身份證件影印件、經辦人授權委托書、數據出境安全評估申報書、與境外接收方擬訂立的數據出境相關合同或者其他具有法律效力的文件、數據出境風險自評估企業數據跨境合規與技術應用白皮書（2023）-16-報告以及安全評估工作需要的其他材料。提交材料形式包括書面材料和電子版材料。此外，因評估申報指南要求提交的材料的語言必須是中文，如果企業準備的材料只有非中文版本，則必須

35、同時提交準確的中文譯本。企業還應嚴格按照評估申報指南準備和提交上述各項材料，如提交的材料不夠完整，申請可能被退回。根據評估辦法的要求，數據出境安全評估整體流程期間為57+N 天（5+7+45+N，N 代表補充材料審核時間）；如涉及復評的，則為 72+N（57+N+15）天。具體流程如圖 2-1 所示。圖 2-1 數據出境安全評估流程圖 2-1 數據出境安全評估流程2.3.2 個人信息出境標準合同2.3.2 個人信息出境標準合同若企業適用個人信息出境標準合同路徑，則需要明確個人信息出境標準合同的簽署及備案流程。其中，企業需要重點關注以下義務：首先，根據 個人信息保護法 第五十五條、第五十六條以及

36、 合同辦法第五條規定，企業應當事前針對個人信息出境活動進行個人信息保護影響評估，并對處理情況進行記錄，形成個人信息保護影響企業數據跨境合規與技術應用白皮書（2023）-17-評估報告并至少保存三年。其次，企業在簽署標準合同后，應遵守合同辦法第三、六、七條的規定，履行標準合同備案要求，即在標準合同生效后方可開展個人信息出境活動，在標準合同生效之日起 10 個工作日內，向所在地省級網信部門提交標準合同和個人信息保護影響評估報告等材料進行備案。省級網信部門在收到材料后，會在 15 個工作日內完成材料完備性查驗，并通知個人信息處理者備案結果。具體流程如圖 2-2所示。圖 2-2 個人信息出境標準合同備

37、案流程圖 2-2 個人信息出境標準合同備案流程2.3.3 個人信息保護認證2.3.3 個人信息保護認證若企業適用個人信息保護認證路徑，則需要遵守關于開展個人信息保護認證工作的公告及認證實施規則中關于個人信息保護企業數據跨境合規與技術應用白皮書（2023）-18-認證流程的相關規定。對于跨境數據處理活動的個人信息保護認證的依據則為信息安全技術 個人信息安全規范以及網絡安全標準實踐指南個人信息跨境處理活動安全認證規范 V2.0。具體的認證模式為“技術驗證+現場審核+獲證后監督”。其中，技術驗證是指由專門技術驗證機構按照認證方案實施技術驗證，并出具技術驗證報告?，F場審核是指由認證機構實施現場審核，并

38、出具現場審核報告。認證機構會根據技術驗證報告、現場審核報告和其他相關資料信息進行綜合評價，并作出認證決定。對符合認證要求的，頒發認證證書；對暫不符合認證要求的，可要求限期整改，整改后仍不符合的，以書面形式通知終止認證。此外，認證機構會在認證有效期內采取適當的方式實施獲證后監督，確保獲得認證的個人信息處理者持續符合認證要求。需要注意的是，除上述數據出境合規路徑之外，企業的數據跨境傳輸活動還可能同時會觸發其他的審批程序。例如，根據網絡安全審查辦法第二條，企業的數據出境活動影響或者可能影響國家安全的，應按照該辦法進行網絡安全審查等。2.4 數據出境所涉基本概念2.4 數據出境所涉基本概念數據出境場景

39、復雜，尤其是數據類別、數據處理者身份等因素的不同，也會導致所適用的數據出境合規路徑大有不同。因此，準確把握相關基本概念對有效識別數據出境合規路徑及相應風險意義重大。企業數據跨境合規與技術應用白皮書（2023）-19-本部分以相關法律法規和規范性文件為基礎，對數據出境所涉及的幾項基本概念展開介紹。2.4.1 重要數據2.4.1 重要數據根據評估辦法，重要數據是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等，可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據。2.4.2 個人信息2.4.2 個人信息個人信息保護法明確了個人信息與敏感個人信息的概念，即個人信息是以電子或者其他方式記錄的

40、與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。判斷處理的信息是否為個人信息時，應重點關注其是否“已識別”或“可識別”自然人個人身份，只要有可能識別到特定個人，則應按個人信息的標準對待和處理。只有被真正匿名化處理過的信息，才不屬于個人信息。判斷處理的信息是否涉及敏感個人信息，可以結合該信息對數據主體權益的影響程度、是否屬于特殊類型數據、以及結合信息安全技術 個人信息

41、安全規范 的附錄舉例表等進行綜合判斷。企業數據跨境合規與技術應用白皮書（2023）-20-2.4.3 關鍵信息基礎設施2.4.3 關鍵信息基礎設施關鍵信息基礎設施安全保護條例 明確了關鍵信息基礎設施的定義，即關鍵信息基礎設施是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等。2.5 數據出境典型場景2.5 數據出境典型場景綜合個人信息保護法評估申報指南等相關法律規章及國家標準的規定，在判斷數據處理行為是否涉及構成數據出境時，可以結合業務

42、場景分別從“被傳輸數據是否在 境內運營中 收集和產生”以及“是否屬于數據出境活動”兩方面來判斷。2.5.1 被傳輸數據是否屬于在“境內運營中”收集和產生對于“境內運營”的概念2.5.1 被傳輸數據是否屬于在“境內運營中”收集和產生對于“境內運營”的概念，現行生效的政策文件尚未明確定義，但實務中一般認定為是網絡運營者在中國境內開展業務，或向中國境內提供產品或服務的活動。判斷網絡運營者是否在境內運營不以其是否在境內注冊實體，而是關注企業是否面向境內開展業務，或提供產品或服務，包括但不限于以下參考因素：是否以為中國境內居民提供服務為目的；提供產品和服務的過程中是否使用了中文；是否提供了可以用人民幣作

43、為結算貨幣的選項；企業數據跨境合規與技術應用白皮書（2023）-21-是否向中國境內配送物流等。在實踐中，如果境內外的網絡運營者僅向境外機構、組織或個人開展業務、提供商品或服務，且不涉及境內公民個人信息和重要數據的，均不視為境內運營。2.5.2 是否屬于數據出境活動2.5.2 是否屬于數據出境活動評估申報指南明確數據出境活動主要包括兩種行為模式。一是數據處理者將在境內運營中收集和產生的數據傳輸、存儲至境外；二是數據處理者收集和產生的數據存儲在境內，境外的機構、組織或者個人可以訪問、查詢、調取、下載、導出。在上述兩種行為模式下，實踐中企業常見的幾類數據出境場景分別如表 2-4 和表 2-5 所示

44、。表 2-4 數據出境行為模式一：數據處理者將在境內運營中收集和產生的數據傳輸、存儲至境外表 2-4 數據出境行為模式一：數據處理者將在境內運營中收集和產生的數據傳輸、存儲至境外序號序號場景示例場景示例圖示圖示境內主體將在境內運營中收集和產生的數據從境內服務器傳輸至境外的服務器。例例：某公司將收集的境內業務數據上傳至境內服務器，隨后傳輸至境外母公司服務器。境內運營的終端（如 App 等應用）采集的數據“直接存儲”至境外服務器。例例：某款服務器位于新加坡的 App 將在境內收集的用戶數據直接存儲于新加坡。企業數據跨境合規與技術應用白皮書（2023）-22-境外主體委托境內或境外第三方供應商代為收

45、集境內主體在境內運營中產生的數據。例：例：公司聘請第三方機構代為招聘員工，由第三方機構將收集的擬聘請員工數據傳輸至境外，供境外母公司進一步評估考核。境內主體委托境內或境外第三方供應商處理其在境內運營中產生的數據，并傳輸給境外主體。例：例：境內子公司委托境外數據分析供應商處理境內運營數據，供應商按照子公司委托將數據進一步傳輸至境外母公司。境外公司直接向中國境內個人或用戶提供產品或服務，且于境外直接收集境內產生的用戶數據。例 1：例 1：在公司招聘的過程中，由應聘人員直接訪問境外企業網站填寫相關個人信息。例 2：例 2：境外母公司通過部署在境外的全球人力資源管理系統直接收集境內子公司的員工數據。表

46、 2-5 數據出境行為模式二：數據處理者收集和產生的數據存儲在境內，境外的機構、組織或者個人可以訪問或者調用（公開信息、網頁訪問除外）表 2-5 數據出境行為模式二：數據處理者收集和產生的數據存儲在境內，境外的機構、組織或者個人可以訪問或者調用（公開信息、網頁訪問除外）序號序號場景示例場景示例圖示圖示跨國公司或者同一經濟、事業實體下屬子公司或關聯公司訪問或調用境內主體存儲于境內的數據。例：例：企業將境內員工個人信息上傳至境內服務器，企業數據跨境合規與技術應用白皮書（2023）-23-境外母公司可以通過登錄系統直接訪問、調取境內服務器上的員工數據。境外員工或人員到境內出差，訪問境內系統或在境內接

47、收數據。例：例：企業將境內業務運營信息上傳至境內服務器，境外母公司來華視察的高管直接訪問并拷貝境內服務器上的運營信息。此外，一般而言，“數據過境”的情況不屬于數據出境，即并非是在我國境內產生和收集的個人信息和重要數據，即使經由我國境內中轉出境或是在我國進行了存儲、加工處理后出境的，也均不屬于數據出境。但需要注意的是，如果該等在境外產生和收集數據與境內產生收集的數據“混存”在同一境內服務器上（盡管進行了邏輯隔離），或在該服務器上對境內外數據進行融合加工分析，那么當境外主體或應用可訪問、調用該境內服務器上的數據時，此類場景也可能會被認定為數據出境。三、企業數據跨境合規治理體系建設三、企業數據跨境合

48、規治理體系建設企業是開展數據跨境活動最活躍的主體之一，在推動數據跨境業務發展的同時，也需履行好數據跨境合規義務，維護數據安全。我國數據安全法第四、七條明確“維護數據安全，應當堅持總體國家安全觀，建立健全數據安全治理體系，提高數據安全保障能力”,“開展數據處理活動應當依照法律、法規的規定，建立健全全流程數據安企業數據跨境合規與技術應用白皮書（2023）-24-全管理制度，組織開展數據安全教育培訓，采取相應的技術措施和其他必要措施，保障數據安全”。數據跨境流動作為數據處理活動的其中一環，需要采取多項措施健全數據跨境治理體系，提高數據安全保障能力，確保數據跨境業務的有序進行。根據國家法律規章要求，結

49、合我們在實務中的具體實踐，制定了企業數據跨境合規理框架，如圖3-1 所示。下面將對框架圖展開介紹。圖 3-1 數據跨境合規治理框架圖 3-1 數據跨境合規治理框架3.1 組織機構建設3.1 組織機構建設數據跨境合規治理需要企業在內部建立相應的組織機構，以便推進數據跨境合規工作?？梢栽诂F有數據安全組織架構的基礎上，明確各崗位的數據跨境安全管理職責，也可以參照決策層、管理層、執行企業數據跨境合規與技術應用白皮書（2023）-25-層、監督層的結構單獨設立數據跨境合規機構，并明確崗位職責體系。例如：決策層：決策層：負責統籌決策數據跨境重大事項和重要部署，協調人力、物力資源推進數據跨境合規治理；管理層

50、：管理層：負責制定數據跨境管理規劃和制度，對數據跨境合法性、必要性、安全性等開展審核審查；執行層：執行層：負責落實數據跨境管控策略和要求，實施數據跨境活動，在開展數據跨境業務時保證操作安全合規；監督層：監督層：負責監督檢查數據跨境活動的執行情況，及時發現潛在的安全風險和問題。另外，根據有關法律和標準要求，還需重點明確關鍵崗位角色：數據安全負責人：數據安全負責人：需由具備數據安全專業知識和相關管理工作經歷的數據處理者決策層成員承擔，并負責向網信部門和主管、監管部門反映數據安全情況。個人信息保護負責人：個人信息保護負責人：對個人信息處理活動以及采取的保護措施等進行監督，對個人信息處理活動的合規性負

51、責，建議由決策層成員承擔。同時，應當公開個人信息保護負責人的聯系方式，并將個人信息保護負責人的姓名、聯系方式等報送履行個人信息保護職責的部門。企業數據跨境合規與技術應用白皮書（2023）-26-3.2 制度體系建設3.2 制度體系建設管理制度是規范數據跨境處理活動的基礎和依據，企業可建立數據跨境專項管理制度，并結合數據分類分級等其他支撐制度，規范開展數據跨境工作，規避合規風險。3.2.1 數據跨境專項制度3.2.1 數據跨境專項制度圍繞數據跨境安全主體責任、安全保障及運行管理的實際需求，可結合企業自身制度體系，開展數據跨境管理專項制度體系建設。例如，在數據安全和個人信息保護方針下，建立數據跨境

52、管理辦法、操作指南、清單與報告等制度體系，為數據跨境安全管理工作提供指導和依據，促進數據跨境管理工作標準化、流程化、規范化開展：數據跨境管理辦法數據跨境管理辦法數據跨境管理辦法作為數據跨境管理的頂層制度，明確數據跨境管控目標、原則、各相關方職責和具體要求，規范各相關方數據跨境活動。數據跨境合規操作指南/規范數據跨境合規操作指南/規范數據跨境合規操作指南/規范為數據跨境管理提供操作規程和實施指引。配套表單/報告/模板配套表單/報告/模板針對數據跨境管理的具體工作事項，設計與操作流程配套的流程表單、記錄、報告模板等文件。相關表單/模板可以包括數據出境活企業數據跨境合規與技術應用白皮書（2023）-

53、27-動清單、數據出境安全評估報告、個人信息出境標準合同及其相應的模版等。3.2.2 安全管控配套制度3.2.2 安全管控配套制度數據跨境流動作為數據處理活動的一種場景，需要依靠數據安全管理制度，配套輔助數據跨境流動過程中的安全管理。根據數據安全法律法規和標準，結合企業實際情況，建立覆蓋數據分類分級、數據全生命周期安全防護、權限管理、日志留存、風險監測預警、應急響應、安全評估、教育培訓、監督檢查等方面的數據安全制度體系，是數據跨境安全管理工作開展的基礎。例如，在數據出境前需要依據數據分類分級制度判斷出境數據的類別和級別，在數據出境中和出境后需要依據有關要求采取相應的防護舉措并做好風險監測等數據

54、安全保障工作。3.3 合規路徑操作實踐3.3 合規路徑操作實踐3.3.1 數據出境場景梳理3.3.1 數據出境場景梳理企業需要對自身的數據出境場景進行全面盤點，以掌握實際的數據出境情況?？梢灾贫〝祿鼍城闆r調研表，面向各部門進行發放，對已開展的和計劃開展的數據出境的詳細情況進行梳理，形成數據出境情況清單。調研內容包括數據出境業務場景、信息系統、出境時間、出境方式、數據類型、數據量、出境原因、境外接收方情況等。企業數據跨境合規與技術應用白皮書（2023）-28-3.3.2 數據出境合規路徑實施3.3.2 數據出境合規路徑實施完成數據出境情況調研后，需要逐個判斷數據出境業務以及境外接收方處理數據的

55、目的、范圍、方式等的合法性、正當性、必要性，在滿足合法性、正當性、必要性的情況下，還需要進一步判斷該數據情況應采取的數據出境合規路徑。判斷方法可以參照本文第 2.2 節所述的方法。如果需要通過申報數據出境安全評估，或訂立并備案個人信息出境標準合同，或通過個人信息保護認證的方式出境的，則應在滿足有關法律法規的要求下合法開展數據出境活動，本文 2.3 節介紹了三種數據出境路徑的實施流程。需要注意的是，如果涉及個人信息出境，按照 個人信息保護法，在數據出境前，企業還應向個人告知境外接收方的名稱或者姓名、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規定權利的方式和程序等事項

56、，并取得個人的單獨同意。同時企業應進行個人信息保護影響評估，對處理情況進行記錄。數據出境過程中，應當采取必要措施，保障境外接收方處理個人信息的活動達到我國個人信息保護法規定的個人信息保護標準。3.4 保障體系建設3.4 保障體系建設3.4.1 風險監測3.4.1 風險監測數據出境中和出境后，企業均應加強對數據出境活動的風險監測，宜根據數據跨境情況建立針對性的數據安全風險監測預警方案，對數企業數據跨境合規與技術應用白皮書（2023）-29-據跨境遠程訪問、使用以及數據跨境傳輸等實施監測巡查，對異常流動等行為進行預警和處置，形成處置記錄。涉及境外遠程訪問、使用數據的，需做好權限管理，按照業務需求、

57、安全策略、權責明確原則和最小授權原則，合理界定境外接收方的數據訪問和處理權限。建議保留數據出境處理活動的全過程操作行為記錄，做好日志留存，并定期開展日志審計，形成審計報告，對發現的問題及時整改處置。3.4.2 應急保障3.4.2 應急保障企業宜根據數據出境業務情況建立針對性的數據安全事件應急預案，明確數據安全事件級別、應急響應流程、責任體系等，并定期開展應急演練，以便在緊急事件發生后，能夠立即采取補救措施，并按照規定及時告知用戶并向有關主管部門報告。根據演練結果，不斷優化數據出境安全保護措施，并形成演練總結報告。3.4.3 出境后合規監控3.4.3 出境后合規監控企業可以根據數據出境情況，繪制

58、數據跨境流轉圖，用可視化方式呈現各業務場景下的數據跨境流轉情況，包括境外接收方信息、數據出境方式、數據在境外存儲位置、數據處理情況等，便于厘清數據出境情況，從而更有針對性地識別不同跨境業務場景下的合規問題及安全風險。企業數據跨境合規與技術應用白皮書（2023）-30-企業還需要持續關注數據接收方所在國家或地區的數據跨境相關法律動態，對發生變化的情況進行評估，及時調整數據跨境策略，如觸發重新申報數據出境安全評估的情況，還應當重新申報。3.4.4 安全意識培養3.4.4 安全意識培養企業宜在內部加強對數據跨境政策、數據跨境流動安全保障技術、案例應用等方面的教育培訓，強化員工對數據跨境政策的認識，提

59、高業務人員對數據跨境場景下的合規意識，加強安全措施的實施以及對風險的發現和防范能力，規范數據跨境安全治理工作開展。3.4.5 監督檢查3.4.5 監督檢查企業宜定期對數據出境安全管理情況和落實效果進行監督檢查，并及時督促問題整改，防范不合規的數據出境情形。例如，定期查驗數據出境調研是否全面、是否覆蓋最新政策要求，數據出境活動清單是否完整、更新是否及時；針對公網出境場景，監測核查實際出境數據是否與申報內容一致；是否采取加密等技術措施保障數據出境安全等。3.5 技術防護措施3.5 技術防護措施開展數據跨境合規治理，除了管理體系的建設之外，也需要相應的技術手段對數據跨境過程提供安全防護?；A的數據安

60、全防護策略和技術，包括數據資產識別、數據脫敏、傳輸加密、審計等，是數據跨境安全的必要防護手段。除此之外，近年來飛速發展的隱私計算技企業數據跨境合規與技術應用白皮書（2023）-31-術，能夠在原始數據不出本地的前提下，完成多方任務的安全計算，此外使用區塊鏈技術進行輔助，可以同時保障高敏感數據的機密性和不可篡改性。3.5.1 數據安全通用技術應用3.5.1 數據安全通用技術應用1.數據資產梳理1.數據資產梳理在數據跨境流通前，首先需要理清數據資產家底，通過數據資產梳理技術，對各類數據進行清查盤點，并以資產目錄及資產索引的方式，繪制數據源、數據表、文件、類型、大小等多維度數據資產地圖，直觀、形象地

61、描繪數據資產的分布、數量、歸屬等信息。數據資產地圖通過樹狀結構圖、數據關系圖等可視化圖表能夠清晰、準確地揭示數據源、數據庫、數據表、字段、文件之間的關系和脈絡。2.數據存儲加密2.數據存儲加密依據數據分級分類的標準，對于敏感數據、內部數據等在存儲時進行加密處理。加密后的數據以密文的形式存儲，保證存儲介質丟失或數據庫文件被非法復制情況下數據的安全。采用數據存儲加密技術，能有效防止數據庫高權限賬號泄漏、黑客攻擊等風險事件而造成的數據泄密。3.數據脫敏3.數據脫敏數據靜態脫敏技術，通過數據脫敏機制對敏感信息通過脫敏規則進行數據的變形，實現敏感數據的可靠保護。在不影響數據跨境需求企業數據跨境合規與技術

62、應用白皮書（2023）-32-方，對數據要求的條件下，對真實的生產數據進行改造并提供使用。在數據跨境流通之前，可以通過數據靜態脫敏技術，對原始數據進行處理，提升即將跨境數據的機密性。數據動態脫敏技術，使用屏蔽、隨機、仿真等類型的脫敏算法，基于數據分級分類標準和用戶訪問數據的權限，在敏感數據跨境傳輸的過程中，根據相關的權限及授權要求，對實時的 SQL 查詢語句進行修改和模糊化處理，防止敏感數據的跨境泄露。4.數據防泄漏4.數據防泄漏對于非結構化數據，特別是設計、代碼、技術方案等數據的保護，是各國、各行業、企業數據中的弱點，也是重點和難點。在數據跨境流動的應用場景下，針對不同的數據傳輸方向，通過在

63、境內傳輸邊界節點應用數據防泄漏技術，部署在終端和網絡出口處，可有效監管非授權外設傳輸、拷貝、跨境外發等高風險操作。5.數字簽名5.數字簽名在數據跨境傳輸過程中的完整性保護，可以通過數字簽名技術來實現。在電子公文流轉、敏感數據交換等流程中，采用數字證書的數字簽名對數據傳輸過程中的文件信息進行簽名，杜絕數據偽造、濫用，全面保障信息的完整性、嚴肅性和權威性。企業數據跨境合規與技術應用白皮書（2023）-33-6.數據水印6.數據水印通過數據水印技術，可確保敏感數據的完整性和真實以及可追責性。數據水印通常是不可見的或不可察的，它與原始數據緊密結合并隱藏其中，成為源數據不可分離的一部分，并可經歷一些不破

64、壞源數據使用價值或商用價值的操作而保存下來。在數據跨境流通的流程中，一旦信息泄露，可第一時間將水印標識解封，通過讀取水印標識編碼，追溯數據泄露的全流程，精準定位泄露單位及責任人，實現精準追責定責。7.數據庫審計7.數據庫審計在數據跨境流通之前，對所有數據庫系統、數據操作日志進行統一收集、記錄、全局審計。按照數據安全管理規范中的規定，通過數據審計監控、行為分析、溯源追蹤、權限管控等技術手段，在安全事件發生后，迅速準確的定位責任人，提供有效證據，按照相關法律法規進行處置。3.5.2 數據安全創新技術應用3.5.2 數據安全創新技術應用1.隱私計算1.隱私計算在隱私計算的框架下，各計算參與方的數據不

65、出本地，能夠在不泄露各自數據的前提下通過協同計算實現多源數據的跨域合作。針對有出境需求的數據，通過采用隱私計算方案，在數據本身不出境的情況下，跨境進行模型訓練、安全統計等多中心聯合分析，可替代傳統企業數據跨境合規與技術應用白皮書（2023）-34-的數據復制跨境流動方式，以數據可利用實現安全合規的數據出境。通過采用隱私計算的方式，跨國組織或企業，可以實現多方數據之間的虛擬融合，而無須再采用像傳統的數據物理傳輸和統一匯集的方式，最大程度的實現了出境數據的最小化。隱私計算是“數據可用不可見”技術集合的統稱，包括多方安全計算、聯邦學習、可信執行環境等多項技術。（1）多方安全計算（1）多方安全計算多方

66、安全計算能夠同時確保輸入的隱私性和計算的正確性，在沒有可信第三方的前提下通過數學理論保證參與計算的各方輸入信息不暴露，而且同時能夠獲得準確的運算結果。多方安全計算通常借助多種底層密碼框架完成，主要包括不經意傳輸，混淆電路，秘密共享等。多方安全計算逐漸發展為現代密碼學的一個重要分支。不經意傳輸是指數據傳輸方發出多條信息，而接收方只獲取其中一個，由于傳輸方不確定最終到達的信息是哪一條，接收方也無法得知未獲取的其他信息，從而雙方的數據都處于隱私狀態；混淆電路是多方參與者利用計算機編程將輸入的計算任務轉化為布爾值，對輸入的具體數值加密，因此多方在互相不掌握對方私人信息時，可共同完成計算。秘密共享是對加

67、密信息的隨機切分過程，將信息的片段分散至多個參與方保管，因此除非超過一定數量的多方協同合作，否則無法還原完整的數據并進行解密。企業數據跨境合規與技術應用白皮書（2023）-35-（2）安全聯邦學習（2）安全聯邦學習安全聯邦學習被認為是兼具隱私保護和跨機構數據共享的技術解決方案，它能連接多個數據源，但在數據共享過程中只交換加密的經過處理的中間計算結果，因而不會泄露明文的個體數據，從而同時達到數據共享和隱私保護的雙重目標。在沒有加密計算的情況下，在聯邦學習階段，每次迭代時需要交換數據源方的中間統計信息，這些信息可用于推斷來自數據源的敏感私有輸入數據。另一方面，聯邦學習本身無法支持許多數據預處理步驟

68、，而這些對于后續步驟中的數據分析至關重要，例如重復數據消除、樣本對齊、參數對齊、數據篩選等。簡單地說，聯邦學習是一種可以減少機器學習階段交換的個體信息的有效參考技術框架，但是如果只單純依賴聯邦學習技術是無法確保在整個數據分析階段最終保護敏感的私有數據。針對普通聯邦學習的缺陷，業界對聯邦學習進行多層次改進，形成安全聯邦學習的技術能力，在普通聯邦學習技術基礎上基于隱私保護計算技術做出大量的改進，克服原有的弊端和風險，既能夠消除信息泄露的問題，還同時具有較高的執行效率和處理能力。安全聯邦學習技術主要解決隱私機密數據多數據源的聯合分析需求。通過使用安全聯邦學習技術，使得隱私保護計算平臺能夠作為大數據平

69、臺的數據底座，打破數據孤島，建立跨行業、跨部門，跨主體，企業數據跨境合規與技術應用白皮書（2023）-36-可以實現多行業、多部門、多中心的數據聯合計算?？蓪崿F在符合我國的網絡安全法以及 GDPR、HIPAA 等嚴格隱私保護法律法規情況下的多中心多維度實時大數據分析計算。傳統聯邦學習和安全聯邦學習的比較如表 3-1 所示。表 3-1 傳統聯邦學習和安全聯邦學習的比較表 3-1 傳統聯邦學習和安全聯邦學習的比較技術技術成熟度成熟度性能性能算法能力算法能力安全性安全性依賴可信方依賴可信方概要概要普通聯邦學習高高中中部分需要普通聯邦學習，存在風險需要結合其它技術改進，才能合規。安全聯邦學習高高高高可

70、不需要綜合運用 TEE、密碼學等隱私保護計算方法，適用于各種業務場景，容易合規。（3）可信執行環境（3）可信執行環境可信執行環境作為易開發、高性能的隱私計算技術，與硬件提供方存在強依賴關系。其實踐路徑表現為：在 CPU 內劃分出獨立于操作系統的、可信的、隔離的機密空間。由于數據處理在可信空間內進行，數據的隱私性依賴可信硬件的實現。其核心思想是以可信硬件為載體，提供硬件級強安全隔離和通用計算環境，在完善的密碼服務加持下形成“密室”，數據僅在“密室”內才進行解密并計算，除此之外任何其他方法都無法接觸到數據明文內容。企業數據跨境合規與技術應用白皮書（2023）-37-2.區塊鏈2.區塊鏈區塊鏈技術具

71、備數據可抽象、不可篡改、防偽溯源等特點，可以較好地滿足目前數據跨境場景下對原始數據隱私保護、數據實時查詢、歷史數據可追溯、跨境備案數據防篡改、日志記錄多重備份以及自動化審計等需求，從而增強數據跨境行為的透明性與安全性。對于數據跨境流動，可以開展境內外開放網絡環境下區塊鏈系統的研究，基于區塊鏈網絡的跨境數據流動示意圖如 3-2 所示。境內外開放網絡采用授權管理模式，參與方在可控條件下讀取、發送和確認交易，及其它共識過程。境內外開放網絡環境下，區塊鏈系統通過部署高性能硬件保障底層性能，并采用安全彈性的網絡拓撲結構和高效的數據分發技術提升系統響應處理效率，實現境內外全球化部署網絡環境下，高安全、高吞

72、吐率、低數據冗余度的區塊鏈網絡服務。圖 3-2 基于區塊鏈網絡的跨境數據流動示意圖圖 3-2 基于區塊鏈網絡的跨境數據流動示意圖可以依托開放網絡的區塊鏈系統，研究數據跨境流動服務示范應用，搭建由區塊鏈作為底層技術的平臺系統，形成覆蓋數據采集、數據分析、數據交互、數據跨境監管的一整套系統和解決方案，并由一企業數據跨境合規與技術應用白皮書（2023）-38-系列的法律法規和標準規范作為有效支撐，最終形成完整可行的數據跨境流動管理解決方案。3.IPv63.IPv6IPv6 具有充足的地址空間、層次化的地址結構、靈活的擴展頭和強大的鄰居發現機制，在數據跨境流動場景中，具有巨大的應用潛力。在數據跨境流動

73、的過程中，可以應用各類IPv6+的核心能力，例如，SRv6（基于IPv6 轉發平面的段路由）技術在IPv6 報文中插入一個顯式的IPv6 地址棧，該地址棧儲存一條有序排列的轉發路徑，這種方式有能力在數據跨境流動過程中控制數據的傳輸路徑。APN6（應用感知型IPv6 網絡）技術則是將應用信息攜帶在IPv6 數據報文中傳遞進入網絡，使用該技術可以在數據跨境流動的過程中明確數據的類型和級別，并進一步為不同類型和級別的數據提供不同的服務。IFIT（隨流檢測）技術是在真實業務報文中插入IFIT報文頭以進行特征標記，這種方式有能力實現數據跨境傳輸的路徑溯源跟蹤?？梢哉f，IPv6 為感知數據、管理并優化數據

74、跨境傳輸提供了一個潛在的解決方案。企業可以積極探索并推進IPv6 在數據跨境場景中的應用落地，保證數據安全流動的前提下，最大程度的促進數據自由跨境流通，促進數字經濟的高質量發展。企業數據跨境合規與技術應用白皮書（2023）-39-四、數據跨境安全管理發展建議四、數據跨境安全管理發展建議4.1 健全數據出境制度體系與保護機制4.1 健全數據出境制度體系與保護機制一是細化完善數據跨境安全管理制度。一是細化完善數據跨境安全管理制度。建立一套可執行和可操作的數據跨境流動安全管理制度，涵蓋數據出境全流程，細化數據出境安全評估的事項和標準，明確跨境數據安全審批、監管的要求，由各行業各領域建立符合本行業、領

75、域特點的數據出境安全管理措施，強化對數據出境的全流程安全管控。二是健全數據分類分級保護制度。二是健全數據分類分級保護制度。數據分類分級保護制度是開展數據出境安全評估、數據出境分級保護的基礎，建議加快制定數據分類分級國家標準、行業標準等，指導數據處理者在實踐層面加強數據出境分級管控。針對重要數據出境，建議行業或地方主管部門進一步細化行業或地方重要數據目錄，強化對重要數據的識別和對重要數據的出境管控，保障重要數據安全。三是強化數據出境事中事后監管機制。三是強化數據出境事中事后監管機制。數據出境監管是數據出境活動前、中、后階段保障數據出境安全的重要手段，數據出境后可以從監管主體、監管流程與實施機制方

76、面制定不同的監管策略，提升數據跨境安全風險防范能力。例如，可以制定跨境數據安全事件定級與響應處置的判定標準，建立數據出境跟蹤監督與報告機制，當數據出境后出現威脅國家安全的問題時，國家有關部門及時通知相關企業，企業數據跨境合規與技術應用白皮書（2023）-40-或者企業主動通知有關部門，協同開展應急處置機制，針對性地解決數據出境活動所帶來的安全威脅，降低安全風險。4.2 強化數據跨境技術創新研究與應用4.2 強化數據跨境技術創新研究與應用除了頂層設計以及規則制定的完善之外，針對數據跨境場景，還需要通過數字技術手段保障跨境數據的安全流動。一是加強數據跨境場景下安全技術的創新應用。一是加強數據跨境場

77、景下安全技術的創新應用。需加強數據資產梳理、數據加密、數據脫敏等數據安全通用技術在數據跨境環節的安全保障，提高數據訪問、流向控制、溯源等關鍵環節的管控能力，同時，積極推進隱私計算、區塊鏈、IPv6 等新技術在數據跨境場景下的創新應用，通過“數據不跨境、算法模型跨境”“數據可用不可見”的新型數據傳輸模式，在敏感數據不出境的情況下，推動數據要素價值發揮。二是加強數據跨境流動安全風險監測。二是加強數據跨境流動安全風險監測?？梢蕴剿鹘覍用娴臄祿缇筹L險監測、預警、安全信息共享調度平臺，統籌協調有關部門加強數據安全風險信息的獲取、分析、研判與預警工作，通過技術手段對數據出口節點開展持續流量監測，對

78、涉及重要數據的出境流動進行嚴格審查，對發現的數據出境安全風險及時開展應急處置，規范數據出境行為，保障數據安全。另外，可以全面排查開源軟件和數據系統存在的潛在數據出境風險與安全隱患，避免數據違規泄露。企業數據跨境合規與技術應用白皮書（2023）-41-三是布局數據跨境基礎設施建設，夯實安全底座。三是布局數據跨境基礎設施建設，夯實安全底座。試點可信數據空間建設，開發數據空間通用規則，通過技術、語義、組織和法律互操作性實現不同組織間的信任，通過數據空間促進可信的數據跨境流動。推動跨境數據基礎設施建設，加大國際海底光纜、國際互聯網數據交互點等數據基礎設施建設，提升跨境數據基礎設施安全保障能力。4.3

79、推動數據跨境協同治理與國際交流合作4.3 推動數據跨境協同治理與國際交流合作一是探索建立政企協同的數據跨境治理體系。一是探索建立政企協同的數據跨境治理體系。企業作為跨境規則的實踐者和數據跨境業務的直接參與者，能夠為數據跨境規則制定和數據安全風險監測提供實踐經驗，政府和企業協同開展數據跨境規則制定和安全風險監測，對于推動數據出境國家安全治理意義重大。數據跨境治理中，政府與企業合作已成為各國常態?？梢蕴剿鹘ⅰ耙哉疄橹鲗?，以企業為輔助”的數據跨境協同治理體系，政企聯動共同推動數據跨境安全有序流動。二是探索建立跨境數據“白名單”制度。二是探索建立跨境數據“白名單”制度?？蓞⒖?GDPR，認定一批允

80、許數據直接出境的國家“白名單”，加快建立互信互任的雙多邊協定?？梢猿浞盅信懈鱾€國家的數據管理法規及法律環境，并將與我國簽訂雙邊、多邊合作協議的國家納入考量范圍，以今年 6 月 29 日國家網信辦與香港特區政府創新科技及工業局簽署的 關于促進粵港澳大灣區數據跨境流動的合作備忘錄為始，利用各地自貿區優勢，企業數據跨境合規與技術應用白皮書（2023）-42-增設數據出境“白名單”，逐步帶動數據自由流動的多邊效應，加快區域間協定的談判與建立，深化與其他國家的數據合作。三是探索建立國際數據自由港。三是探索建立國際數據自由港。我國作為全球數字經濟第二大市場，天然具備成立中立數據中心的條件?？梢越Y合自貿區負

81、面清單，通過打造國際數據自由港，一部分數據可以在國際上自由流動，推動更大范圍的國際合作，有助于參與國際社會數據跨境流動規則的制定，建立發展與安全相協調的跨境數據流動規則體系。企業數據跨境合規與技術應用白皮書（2023）-43-附錄：數據出境相關法律法規和國家標準附錄：數據出境相關法律法規和國家標準序號序號文件名稱文件名稱發布機構發布機構施行時間施行時間一、法律一、法律1中華人民共和國網絡安全法全國人大常委會2017 年 6 月 1 日2中華人民共和國數據安全法全國人大常委會2021 年 9 月 1 日3中華人民共和國個人信息保護法 全國人大常委會2021年11月1 日二、法規二、法規4關鍵信息

82、基礎設施安全保護條例 國務院2021 年 9 月 1 日三、部門規章三、部門規章5網絡安全審查辦法國家網信辦等13 部門2022年2 月15 日6數據出境安全評估辦法國家網信辦2022 年 9 月 1 日7數據出境安全評估申報指南（第一版）國家網信辦2022年8 月31 日8個人信息保護認證實施規則國家市場監管總局、國家網信辦2022年11月4 日9個人信息出境標準合同辦法國家網信辦2023 年 6 月 1 日10個人信息出境標準合同備案指南（第一版）國家網信辦2023年5 月30 日11規范和促進數據跨境流動規定（征求意見稿）國家網信辦征求意見稿四、國家標準四、國家標準企業數據跨境合規與技術

83、應用白皮書（2023）-44-12GB/T 37988-2019 信息安全技術數據安全能力成熟度模型TC2602020 年 3 月 1 日13GB/T 35273-2020 信息安全技術個人信息安全規范TC2602020年10月1日14GB/T 39335-2020 信息安全技術個人信息安全影響評估指南TC2602021 年 6 月 1 日15TC260-PG-20222A網絡安全標準實踐指南-個人信息跨境處理活動安全認證規范 V2.0TC2602022 年 12 日 16日16GB/T 41817-2022 信息安全技術個人信息安全工程指南TC2602023 年 5 月 1 日17GB/T

84、42574-2023 信息安全技術個人信息處理中告知和同意的實施指南TC2602023年12月1日1820230255-T-469信息安全技術個人信息跨境傳輸認證要求TC260征求意見稿企業數據跨境合規與技術應用白皮書（2023）-45-參考文獻參考文獻1 張 茉 楠.數 據 跨 境 流 動 新 規 的 風 向 標 意 義.EB/OLhttps:/ 余宗良,張璐.我國數據跨境流動規則探析基于粵港澳大灣區先行先試J.開放導報,2023(02):86-93.3 世界銀行，World Development Report2021_Data for Better LivesR,2020.4 劉如,周京

85、艷.我國數字經濟外循環面臨的跨境數據流動政策問題與對策J.科技中國,2021,(04):53-56.5 斑馬數據合規研究中心.數據跨境現狀調查與分析報告R,2023.6 德勤,中興.數據跨境合規治理實踐白皮書R,2021.7 郭春鎮,候天賜.個人信息跨境流動的界定困境及其判定框架J.中國法律評論,2022,(06):86-106.8 吳丹君,周天一.網絡安全法系列解讀之（二）數據跨境轉移合規.EB/OLhttp:/ 丁偉,倪詩穎.數字貿易視野下我國跨境數據監管的發展困境及合作治理J.北京郵電大學學報(社會科學版),2023,25(01):67-76.10 王 偉 玲.數 據 跨 境 流 動 系

86、 統 性 風 險:成 因、發 展 與 監 管 J.國 際 貿易,2022,(07):72-77.企業數據跨境合規與技術應用白皮書（2023）-46-11 肖 雄.國 際 貿 易 體 制 下 數 據 跨 境 流 動 監 管 之 困 境 J.上 海 法 學 研究,2020,3(01):294-310.12 許力先，盛佳宇.國家安全視角下數據跨境流動管制面臨的困境及其應對策略.EB/OLhttp:/ 孟凡新.雙循環視角下提升數字平臺治理水平的機制研究J.商業經濟研究,2023,(06):105-109.14 馬 其 家,劉 飛 虎.數 據 出 境 中 的 國 家 安 全 治 理 探 討 J.理 論

87、探索,2022(02):105-113.15 孫珵珵.數據跨境流動監管與安全比較研究J.中國電子科學研究院學報,2023,18(01):91-96+102.16 陳思琦.智能網聯汽車數據跨境流動的法律問題研究J.網絡安全技術與應用,2023,(04):146-148.17 華為.NE5000EV800R022C00SPC500特性描述.EB/OLhttps:/ 何林,況鵬,王士誠等.基于“IPv6+”的應用感知網絡（APN6）J.電信科學,2020,36(08):36-42.19 熊光清,張素敏.總體國家安全觀視角下我國數據出境安全管理制度的完善J.哈爾濱工業大學學報(社會科學版),2023,

88、25(05):32-40.企業數據跨境合規與技術應用白皮書（2023）-47-戰略決策的參謀者技術發展的引領者產業發展的助推者戰略決策的參謀者技術發展的引領者產業發展的助推者態度、速度、氣度有情懷、有格局、有擔當中國聯通研究院是根植于聯通集團（中國聯通直屬二級機構），服務于國家戰略、行業發展、企業生產的戰略決策參謀者、技術發展引領者、產業發展助推者，是原創技術策源地主力軍和數字技術融合創新排頭兵。聯通研究院致力于提高核心競爭力和增強核心功能，緊密圍繞聯網通信、算網數智兩大類主業，按照 4+2+X 研發布局，開展面向 C3 網絡、大數據賦能運營、端網邊業協同創新、網絡與信息安全等方向的前沿技術研

89、發，承擔高質量決策報告研究和專精特新核心技術攻關，致力于成為服務國家發展的高端智庫、代表行業產業的發言人、助推數字化轉型的參謀部，多方位參與網絡強國、數字中國建設，大力發展戰略性新興產業，加快形成新質生產力。聯通研究院現有員工 700 余人，85%以上為碩士、博士研究生，以“三度三有”企業文化為根基，發展成為一支高素質、高活力、專業化、具有行業影響力的人才隊伍。中國聯合網絡通信有限公司研究院地址：北京市亦莊經濟技術開發區北環東路 1 號電話：010-87926100郵編：100176聲明：本白皮書僅作為數據跨境安全流動研究的參考性資料。所有陳述、信息和建議不構成任何明示或暗示的擔保。企業在參考本指引處理數據跨境具體事項或問題時，應當立足實際業務模式進行審慎研判分析，并視需要征求法律專業意見，確保解決方案合法合規、準確可行。