中国移动通信有限公司研究院 2023年2月 企业跨境数据流动 安全合规白皮书 （2023） 1 前 言 数据作为新型国家战略性资产，其经济价值与战略价值在 全球数字经济发展过程中日益凸显。作为维系全球经济活动的 重要纽带和经济新秩序博弈焦点，跨境数据流动在大力推动经 济全球化发展的同时，也面临数据安全保护、数据监管合规等 方面的问题与挑战。随着世界各主要经济体对跨境数据流动提 出越来越多的监管要求，如何合规开展跨境数据流动已不是企 业面临的“选答题”，而是“必答题”。当前我国企业跨境数 据流动合规保障体系还处于起步阶段，企业日益频繁的跨境数 据流动需求、日趋严格的跨境数据流动监管要求与跨境数据流 动合规保障能力尚不匹配。 本白皮书基于当前全球跨境数据流动主流模式及安全合规 方法论，面向企业提出一套以“管理体系、技术体系与运营体 系协同发展”为核心的企业跨境数据流动安全合规指导方案。 白皮书力图满足市场需求，为企业提供组织、制度、流程构建 等方面的指引，优化跨境数据全流程管理，促进跨境数据安全 合规流动。 本白皮书由中国移动通信有限公司研究院主笔，中国移动 国际有限公司、启明星辰信息技术集团股份有限公司联合编 写。 2 目录 1 企业跨境数据流动风险态势 ............................................... 3 1.1 企业跨境数据流动需求与意义 ....................................... 3 1.2 企业跨境数据流动现存问题 ......................................... 3 1.2.1 跨境数据流动“规则异” ..................................... 3 1.2.2 跨境数据流动“识别难” ..................................... 4 1.2.3 跨境数据流动“风险高” ..................................... 4 1.3 研究框架 ......................................................... 4 2 企业跨境数据流动合规体系 ............................................... 5 2.1 企业跨境数据流动合规总体框架 ..................................... 5 2.1.1 跨境数据流动管理体系 ....................................... 5 2.1.2 跨境数据流动技术体系 ....................................... 6 2.1.3 跨境数据流动运营体系 ....................................... 6 2.2 企业跨境数据流动管理体系 ......................................... 6 2.2.1 跨境数据流动组织建设 ....................................... 6 2.2.2 跨境数据流动制度建设 ....................................... 8 2.3 企业跨境数据流动技术体系 ........................................ 10 2.3.1 境内总平台建设框架 ........................................ 10 2.3.2 境外子平台建设框架 ........................................ 12 2.4 企业跨境数据流动运营体系 ........................................ 13 2.4.1 跨境数据流动运营体系规划 .................................. 13 2.4.2 跨境数据流动基础信息梳理 .................................. 13 2.4.3 跨境数据流动日常管控 ...................................... 14 2.4.4 跨境数据流动日常监测 ...................................... 14 2.4.5 跨境数据流动合规闭环评估 .................................. 15 3 企业跨境数据流动应用体系 .............................................. 15 3.1 企业跨境数据流动模式与应用场景 .................................. 15 3.1.1 模式一：境内企业收集境内数据后向境外传输 .................. 16 3.1.2 模式二：境外企业直接收集并处理境内数据 .................... 16 3.2 企业跨境数据流动合规体系在典型场景中的应用 ...................... 17 3.2.1 实施全流程分级多节点集中管控 .............................. 17 3.2.2 建立集中的跨境数据供给区 .................................. 17 3.2.3 开展场景化的跨境数据管控 .................................. 17 3.2.4 建设跨境数据流动能力支撑组件 .............................. 18 4 企业跨境数据流动未来展望 .............................................. 18 4.1 规则完善：跨境数据流动监管规则的行业化特征日趋凸显 .............. 19 4.2 技术发展：跨境数据流动相关技术日趋成熟并广泛应用 ................ 19 4.3 价值转变：合规体系建设将由“合规性驱动”转向“业务价值驱动” .... 19 参考文献 ................................................................ 21 3 1 企业跨境数据流动风险态势 1.1 企业跨境数据流动需求与意义 全球正加速迈入数字经济时代，数据成为驱动经济发展的关键生产要 素。跨境数据流动已成为推动经济全球化与国际贸易发展的重要力量。自 2008年以来，跨境数据流动对全球经济增长的贡献已经超过传统的跨国贸易 和投资，支撑了包括商品、服务、资本、人才等其他几乎所有类型资源的全 球化活动，而且开始发挥越来越独立的作用[1]。党的二十大报告专门提出 “推动货物贸易优化升级，创新服务贸易发展机制，发展数字贸易，加快建 设贸易强国”的重要任务。作为驱动数字经济发展的重要力量[2]，数据跨境 流动将重塑各国劳动力市场竞争关系及价值链，在促进我国贸易增长、加速 技术创新等方面发挥重要作用。 企业作为市场主体，其业务模式和经营模式引发高频化、规模化且常态 化的跨境数据流动。在全球产业分工日趋细化的背景下，企业的海外业务布 局通常涉及多个国家，数据的集中协同处理是企业经营的客观需求。依托数 字技术和信息网络，企业跨境数据流动可促进各类资源要素畅通流动以及各 行业市场主体加速融合，帮助企业持续推动自身运营方式改善、供应链优化 与商业模式创新，助力企业实现资源的高效配置。 本白皮书重点关注我国境内企业开展跨境数据流动所面临的形势、困难 与问题，提出促进跨境数据流动安全、有序、合规开展的指导方案。 1.2 企业跨境数据流动现存问题 随着企业数据跨境传输、访问、使用的频次和容量大幅度上升，数据跨 境流动所带来的风险越来越复杂。当前企业跨境数据流动面临“规则异”、 “识别难”与“风险高”三大挑战，难以实现安全与效益的平衡。 1.2.1 跨境数据流动“规则异” 跨境数据流动面临数据流出国与流入国之间在数据保护、数据监管等方 面的法律法规冲突。各国均以维护本国利益为出发点，构建跨境数据流动法4 律条款和监管制度。美国跨境数据流动以维护其在全球贸易中的主导地位为 核心，以“自我赋权”延展自身在全球范围内的数据主权辖域[3]。欧盟以大数 据单一市场战略打造欧盟数字经济整体实力，采用单边立法赋权方式扩张其 长臂管辖权[4]。我国遵循“数据境内存储，出境安全审查”模式[5]，通过三部 上位法明确数据出境安全管理基本原则。在各个国家与地区跨境数据流动法 律法规的多重管辖下，企业在实践层面面临规则不统一、差异大的难题。 1.2.2 跨境数据流动“识别难” 随着数字贸易的蓬勃发展，跨境数据的种类和数量呈现指数级递增。对 海量数据进行全面梳理分类和有效识别是实现跨境数据流动合规保障的前 提。依据我国《网络安