1 编写组 郭 威 王欢欢 陈雨阳 张 旭 李红娟 修佳鹏 钱业斐 王 天 李吉音 邹 庆 叶晓丽 黄加南 宋永豪 特别感谢支持（排名不分先后） 王 郁 中国信息安全研究院 清华大学互联网产业研究院 北京邮电大学 北京交通大学信息安全系 西北工业大学北京研究院 立信会计师事务所（特殊普通合伙） 北京星阑科技有限公司 绿盟科技集团股份有限公司 中信银行股份有限公司科技运营中心 中国光大银行股份有限公司 中信百信银行股份有限公司 中电科智能科技园有限公司 联通数字科技有限公司 金网络（北京）电子商务有限公司 朴道征信有限公司 华为云计算技术有限公司 腾讯云计算 ( 北京 ) 有限责任公司 北京沃东天骏信息技术有限公司（京东） 北京微梦创科网络技术有限公司 ( 微博 ) 北京快手科技有限公司 北京自如信息科技有限公司 医渡云（北京）技术有限公司 江泰保险经纪股份有限公司 北京神州云合数据科技发展有限公司 万帮数字能源股份有限公司 北京明朝万达科技股份有限公司 深圳鼎铉数字科技控股有限公司 广东一知安全科技有限公司 成都云山雾隐科技有限公司 北京北斗弘鹏科技有限公司 渔翁信息技术股份有限公司 朱 岩 徐 越 目录 CONTENTS 一、形势和挑战...................................................4 1.1 数据安全成为全球关注焦点......................................5 1.2 数据安全面临更多风险挑战......................................7 二、概念界定和范围..............................................8 2.1 界定和范围. .........................................................9 2.2 作用意义........................................................... 10 三、政策梳理.................................................... 12 3.1 国家层面........................................................... 13 3.2 部委层面........................................................... 15 四、合规要点.................................................... 23 4.1 数据传输加密..................................................... 24 4.2 数据传输端点安全. .............................................. 25 4.3 数据传输通道安全............................................... 26 4.4 数据传输访问控制............................................... 27 4.5 重点行业领域数据传输安全.................................... 28 CONTENTS 五、数字政府应用场景......................................... 32 5.1 数字政府建设总体情况.......................................... 33 5.2 数字政府建设中数据传输场景及解决方案................... 34 5.3 应用场景实践. .................................................... 43 六、数字金融应用场景......................................... 49 6.1 数字金融建设总体情况.......................................... 50 6.2 数字金融建设中数据传输场景及解决方案..................... 51 6.3 应用场景实践..................................................... 60 七、互联网应用场景........................................... 69 7.1 互联网总体情况................................................... 70 7.2 互联网数据传输场景及解决方案.............................. 71 7.3 应用场景实践...................................................... 79 八、趋势展望.................................................... 84 后记............................................................... 86 数据传输安全白皮书 一、形势和挑战 数据已成为关键生产要素，是数字经济创新发展的“石油”。与此同时，数据 安全成为全球关注焦点，面临更多风险挑战。 4 一 形势和挑战 1.1 数据安全成为全球关注焦点 随着数字化浪潮席卷全球，各国政府逐渐意识到，数据已成为与国家安全和 国际竞争力紧密关联的重要资源要素，对数据安全的认知已从传统的个人隐私保 护上升到维护国家安全的高度。各行业各领域企业内生发展需求和外部合规要求 激增，正在积极利用新技术不断提升数据安全保障能力。 从顶层设计来看，美国国防部发布《国防部数据战略》，指出战略的核心 目标之一就是通过构建访问控制和最严格的安全标准来保护国防部数据安全，以 实现数据推动作用下的联合全域作战，构筑国家安全保护屏障；英国发布《国家 数据战略》，通过搭建国家层面的数据安全治理方案，为建设促进增长和可信赖 的数据机制提供指导方向，保障国家安全；欧盟委员会相继发布《欧洲数据战略》 及其配套法案《数据治理法案》提案，力求在欧盟层面建立统一的数据治理框 架，保障数据安全。 从监管立法来看，美国发布《联邦数据战略与2020年行动计划》，确立了 保护数据完整性、确保流通数据真实性、数据存储安全性等基本原则；2018年，欧 洲联盟生效通过《通用数据保护条例》 （“GDPR”），堪称史上数据安全保护力度 最大的法律，后相继发布《欧洲数据保护监管局战略计划（2020-2024）》等，旨在 从前瞻性、行动性和协调性三方面继续加强数据安全保护，保证个人隐私的基本 权利；阿联酋迪拜和新西兰分别出台《数据保护法》和《2020年隐私法》，加强对 数据安全及个人隐私保护的规制建设；日本和新加坡分别完成了对本国《个人信息 （数据）保护法》的修订，明确了个人数据权利及外部使用限制；加拿大提出《数 字宪章实施法案2020》，提出了保护私营部门个人信息的现代化框架。 从落地实施来看，美国商务部成立提供联邦数据服务的咨询委员会，加 强联邦数据隐私保护；巴西总统签署法令批准建立国家个人数据保护局，负责制 定相关规则、推进企业开展数据安全风险评估、调查违法违规行为、促进数据保 护国际合作等；韩国成立个人信息保护委员会，负责个人信息保护与监管执法工 5 数据传输安全白皮书 作；欧盟发布《为保持欧盟个人数据保护级别而采用的数据跨境转移工具补充措 施》，为数据跨境流动中数据保护问题提供了进一步指导；西班牙数据保护局发布 《默认数据保护指南》，阐释了默认数据保护原则的策略、实施措施、记录和审计 要求等，为企业实践数据保护原则提供具体指导。 从惩治力度来看，随着大型互联网平台企业的日益壮大，其数据垄断问题 愈加严重，由此带来的权利滥用问题或将威胁到国家安全。美国、欧洲等国家和地 区均对大型互联网企业数据安全违法违规行为增大了单笔处罚金额，防止其滥用 数据优势侵害消费者隐私或进行非法数据贩卖。例如，因Facebook违反用户隐私 保护策略，美国对其处以50亿美元巨额罚款；爱尔兰也就数据非法跨境传输问题， 对Facebook处以了高达28亿美元的罚款；法国、加拿大等国家也纷纷对Twitter、 谷歌等企业开出高额罚单。 为保障基础设施建设，防止数据滥用，我国对大型互联网企业的数据安全违 法违规行为做出了严峻的惩罚。例如，滴滴全球股份有限公司因违反《网络安全 法》、 《数据安全法》、 《个人信息保护法》，危害国家网络安全、数据安全、侵害 公民个人信息等相关违法行为，国家网信办对滴滴全球股份有限公司处以人民币 80.26亿元罚款，对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处以人 民币100万元罚款。 从技术创新来看，全球数据量出现爆炸式增长，各领域各行业的企业结合 自身发展路径，按照当地法律法规等各类合规要求，从数据处理的主体客体、数 据传输通道、数据运营管理等方面入手，积极运用差分隐私、区块链等创新技术手 段，搭建具有鲜明数据安全保护特性的技术架构，持续提升数据安全意识，不断 强化数据安全保护。例如，Facebook通过开源差分隐私库加强对人工智能训练样 本隐私性的保护；苹果公司通过模糊定位技术限制第三方App获取用户精确地理 位置信息；亚马逊推出阻止用户敏感信息泄露的服务Macie，保护企业云端敏感数 据；新西兰企业通过区块链技术实现数据加密传输和追踪溯源，保护数据安全。 6 一 形势和挑战 1.2 数据安全面临更多风险挑战 ·管理战略重视不够，统筹协调力度有待加强。数据安全实践由单 个部门（如安全部门、信息化部门等）主导，是比较普遍的共性现象。由于在战略 层面缺少足够的顶层支持和驱动，难以建立起全面完善的安全治理组织架构和制 度规范体系，导致工作职责划分不明确、安全机制难落实等突出问题，数据安全仅 能在部分关键业务或部门有限范围内实施保障，难以面向整个组织有效开展。 ·管理过程较离散化，缺少全局引领与监督评价。在实践中，容易以 解决特定数据安全问题为导向的离散化、补丁式管