数据传输白皮书 2023 目 CONTENTS 一、形势和挑战 1.1数据安全成为全球关注焦点 5 1.2数据安全面临更多风险挑战 二、概念界定和范围 8 2.1 界定和范围 9 2.2 作用意义 10 三、政策梳理 12 3.1国家层面. 13 3.2部委层面 .15 四、合规要点。 23 4.1数据传输加密 4.2数据传输端点安全 ...25 4.3数据传输通道安全 .26 4.4数据传输访问控制。 .27 4.5重点行业领域数据传输安全 .28 CONTENTS 五、数字政府应用场景 32 5.1数字政府建设总体情况 .33 5.2数字政府建设中数据传输场景及解决方案. 5.3应用场景实践。 43 六、数字金融应用场景 49 6.1数字金融建设总体情况 .50 6.2数字金融建设中数据传输场景及解决方案 .51 6.3应用场景实践 .60 七、互联网应用场景 69 7.1互联网总体情况 .70 7.2互联网数据传输场景及解决方案 7.3应用场景实践 79 八、趋势展望 .84 后记 .86 一、形势和挑战 数据已成为关键生产要素，是数字经济创新发展的“石油”。与此同时，数据安 全成为全球关注焦点，面临更多风险挑战 一形势和挑战 1.1数据安全成为全球关注焦点 随着数字化浪潮席卷全球，各国政府逐渐意识到，数据已成为与国家安全和国 际竞争力紧密关联的重要资源要素，对数据安全的认知已从传统的个人隐私保护上 升到维护国家安全的高度。各行业各领域企业内生发展需求和外部合规要求激增， 正在积极利用新技术不断提升数据安全保障能力。 从顶层设计来看，美国国防部发布《国防部数据战略》，指出战略的核心目 标之一就是通过构建访问控制和最严格的安全标准来保护国防部数据安全，以 实现数据推动作用下的联合全域作战，构筑国家安全保护屏障；英国发布《国家数 据战略》，通过搭建国家层面的数据安全治理方案，为建设促进增长和可信赖的数 据机制提供指导方向，保障国家安全；欧盟委员会相继发布《欧洲数据战略》及其配 套法案《数据治理法案》提案，力求在欧盟层面建立统一的数据治理框架，保障 数据安全。 从监管立法来看，美国发布《联邦数据战略与2020年行动计划》，确立了 保护数据完整性、确保流通数据真实性、数据存储安全性等基本原则；2018年，欧 洲联盟生效通过《通用数据保护条例》（“GDPR”），堪称史上数据安全保护力度最 大的法律，后相继发布《欧洲数据保护监管局战略计划（2020-2024）》等，旨在从前 瞻性、行动性和协调性三方面继续加强数据安全保护，保证个人隐私的基本权利； 阿联酋迪拜和新西兰分别出台《数据保护法》和《2020年隐私法》，加强对数据安全 及个人隐私保护的规制建设；日本和新加坡分别完成了对本国《个人信息 （数据）保护法》的修订，明确了个人数据权利及外部使用限制；加拿大提出《数字 宪章实施法案2020》，提出了保护私营部门个人信息的现代化框架。 从落地实施来看，美国商务部成立提供联邦数据服务的咨询委员会，加 强联邦数据隐私保护；巴西总统签署法令批准建立国家个人数据保护局，负责制 定相关规则、推进企业开展数据安全风险评估、调查违法违规行为、促进数据保护 国际合作等；韩国成立个人信息保护委员会，负责个人信息保护与监管执法工 5 数据传输安全白皮书 作；欧盟发布《为保持欧盟个人数据保护级别而采用的数据跨境转移工具补充措 施》，为数据跨境流动中数据保护问题提供了进一步指导；西班牙数据保护局发布 《默认数据保护指南》，阐释了默认数据保护原则的策略、实施措施、记录和审计要 求等，为企业实践数据保护原则提供具体指导。 从惩治力度来看，随着大型互联网平台企业的日益壮大，其数据垒断问题 愈加严重，由此带来的权利滥用问题或将威胁到国家安全。美国、欧洲等国家和地 区均对大型互联网企业数据安全违法违规行为增大了单笔处罚金额，防止其滥用数 据优势侵害消费者隐私或进行非法数据贩卖。例如，因Facebook违反用户隐私保护 策略，美国对其处以50亿美元巨额罚款；爱尔兰也就数据非法跨境传输问题，对 Facebook处以了高达28亿美元的罚款；法国、加拿大等国家也纷纷对Twitter、谷 歌等企业开出高额罚单。 为保障基础设施建设，防止数据滥用，我国对大型互联网企业的数据安全违法 违规行为做出了严峻的惩罚。例如，滴滴全球股份有限公司因违反《网络安全法》、 《数据安全法》、《个人信息保护法》，危害国家网络安全、数据安全、侵害公民个人 信息等相关违法行为，国家网信办对滴滴全球股份有限公司处以人民币80.26亿元罚 款，对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处以人民币100万元 罚款。 从技术创新来看，全球数据量出现爆炸式增长，各领域各行业的企业结合 自身发展路径，按照当地法律法规等各类合规要求，从数据处理的主体客体、数 据传输通道、数据运营管理等方面入手，积极运用差分隐私、区块链等创新技术手段， 搭建具有鲜明数据安全保护特性的技术架构，持续提升数据安全意识，不断强化数 据安全保护。例如，Facebook通过开源差分隐私库加强对人工智能训练样本隐私性 的保护；苹果公司通过模糊定位技术限制第三方App获取用户精确地理位置信息； 亚马逊推出阻止用户敏感信息泄露的服务Macie，保护企业云端敏感数据；新西兰企 业通过区块链技术实现数据加密传输和追踪溯源，保护数据安全。 6 一形势和挑战 1.2数据安全面临更多风险挑战 ·管理战略重视不够，统筹协调力度有待加强。数据安全实践由单个 部门（如安全部门、信息化部门等）主导，是比较普遍的共性现象。由于在战略 层面缺少足够的顶层支持和驱动，难以建立起全面完善的安全治理组织架构和制度 规范体系，导致工作职责划分不明确、安全机制难落实等突出问题，数据安全仅能在 部分关键业务或部门有限范围内实施保障，难以面向整个组织有效开展。 ·管理过程较离散化，缺少全局引领与监督评价。在实践中，容易以 解决特定数据安全问题为导向的离散化、补丁式管理方式推进，缺少对数据安全管 理体系的全局思考与规划。管理过程中重制定轻落实的现象比较突出，制度追求大而 全，内容过于宽泛，缺乏可落地性和可实施性。缺少直接以数据为对象的针对性安全评 估和红蓝演练，安全风险和薄弱环节的主动发现和应对处置能力偏弱。 ·安全先行意识不强，与业务融合程度驱待提升。数据安全的有效 实施离不开科学规划与全员深度参与。组织在对业务、产品等进行规划设计的阶 段对数据安全考量不够充分，与业务、产品全流程融合度不足，针对数据安全核心元 素“人”的管理不够，培训方式较为单一，培训内容针对性不强，缺少对培训效果的评 价考核，难以形成有效的覆盖组织全员的数据安全意识提升。 泄密风险难以避免，实时监测管控和溯源追责难。在日常工作中， 不可避免的要通过即时通讯工具、网络、邮件等方式发送敏感数据，如：合同、财 务报表、知识产权、技术研发、设计、归档管理资料等，在互联网上数据的外发风险 时刻存在，并可能造成重大数据泄露事故。一方面，对内部敏感数据的分布、流向、 外发等情况难以实时跟踪态势；另一方面，在发生泄密事件后，有效溯源和清晰追责 更是难度较大。 ·敏感数据分布在组织的各个角落； ·敏感数据泄露可能发生在组织中的任何人身上； ·敏感数据的泄露可能发生在任何时间； ·敏感数据的传输风险可能发生在任何一种网络应用中。 7