数据跨境流动难？中国移动拿出了解决方案！

2022年7月21日，国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规，对某出行巨头公司处以80.26亿元的天价罚款。究其原因，主要是因为其在8个方面存在16项违法事实，包括通过违法手段收集用户人脸识别信息、精准位置信息、亲情关系信息等，严重侵害用户个人信息权益，等等。

值得关注的是，网信办还明确指出，在网络安全审查中，该公司被发现存在严重影响国家安全的数据处理活动，以及拒不履行监管部门的明确要求，阳奉阴违、恶意逃避监管等其他违法违规问题，给国家关键信息基础设施安全和数据安全带来严重安全风险隐患。从这案例上看，数据在一定程度上是一把双刃剑，用好了，能够促进数字经济发展，改善社会民生及经济水平；而用不好，则有可能对国家安全带来严重的危害。

尤其是在“跨境数据流动”这一场景下，数据的管理和利用更是一件高风险的事情，当前我国企业跨境数据流动合规保障体系还处于起步阶段，企业日益频繁的跨境数据流动需求、日趋严格的跨境数据流动监管要求与跨境数据流动合规保障能力尚不匹配，很多跨国经营的企业在面对跨境数据流动和使用时，更多的是表现出一种无所适从的状态。

当前企业跨境数据流动面临什么问题？

简单可以概括为：“规则异”、“识别难”与“风险高”三大挑战，企业难以实现安全与效益的平衡。跨境数据流动“规则异”跨境数据流动面临数据流出国与流入国之间在数据保护、数据监管等方面的法律法规冲突。各国均以维护本国利益为出发点，构建跨境数据流动法律条款和监管制度——美国跨境数据流动以维护其在全球贸易中的主导地位为核心，以“自我赋权”延展自身在全球范围内的数据主权辖域。

欧盟以大数据单一市场战略打造欧盟数字经济整体实力，采用单边立法赋权方式扩张其长臂管辖权。而我国则遵循“数据境内存储，出境安全审查”模式，通过三部上位法明确数据出境安全管理基本原则。在各个国家与地区跨境数据流动法律法规的多重管辖下，企业在实践层面面临规则不统一、差异大的难题。跨境数据流动“识别难”随着数字贸易的蓬勃发展，跨境数据的种类和数量呈现指数级递增。

对海量数据进行全面梳理分类和有效识别是实现跨境数据流动合规保障的前提。依据我国《网络安全法》、《数据出境安全评估办法》等法律法规要求，企业需要识别跨境数据在境内、境外的分布状态，并对数据进行分类分级标识，对核心数据、重要数据、个人信息等进行重点安全防护，建立境内、境外数据分类分级防护能力体系。

数据跨境后企业为保护相关数据，需要全面了解敏感数据资产存储数量、位置及分布情况, 制定切实可行的跨境数据安全防护策略。由于企业跨境数据规模大、种类多、速度快、频度高，如何准确高效进行数据识别成为企业在实践中面临的难点问题。跨境数据流动“风险高”随着企业数据价值的不断攀升，跨境数据攻击愈加频繁，且攻击者组织形式趋于集中化、专业化，攻击对象呈现多样化、泛在化，攻击方式走向智能化、多样化。

企业在数据使用中根据不同的业务场景采取相关的数据安全保护策略和保护措施，以满足国内相关法律法规要求和境外数据使用的要求，防止数据泄露带来国家安全隐患和企业经营损失。随着数据跨境攻击技术的不断升级，跨境数据攻击活动严重扰乱了企业跨境数据生态健康发展，大大提升了企业数据安全防护难度与风险。

那该怎么办呢？2月20日，中国移动举办跨境数据流动研讨会，发布运营商在跨境数据流动领域的首份白皮书——《企业跨境数据流动安全合规白皮书（2023）》，从企业微观视角，围绕企业在跨境数据流动安全合规领域面临的迫切问题，提供解决路径与落地指导。系统分析了企业跨境数据流动不同模式下所涉及到的典型场景，提出以“管理体系、技术体系与运营体系协同发展”为核心的企业跨境数据流动安全合规指导方案。

跨境数据流动管理体系跨境数据流动管理体系主要包括组织建设和制度规范建设。跨境数据流动组织建设：首先要成立专门的跨境数据流动安全合规部门，以确保跨境数据流动安全合规工作的有效落实。跨境数据流动制度规范建设：在整个跨境数据流动过程中，需要制定相应的安全策略和制度规范，所有的工作流程和技术支撑都需要围绕此规范制定和落实。

跨境数据流动技术体系跨境数据流动技术体系主要由管控平台和支撑能力组件共同构成。跨境数据流动管控平台：该平台用于分析展现跨境数据资产分类、分级及分布情况，有效监控跨境数据流转路径和动态流向，实现集中化数据管控策略管理，加强数据的全生命周期管理能力，对数据风险进行识别和态势分析，为数据安全运营管理工作提供支撑。

跨境数据流动支撑能力组件：支撑能力组件包括动态脱敏、静态脱敏、API 接口监测管理等，为数据安全日常管理提供支撑，为数据全生命周期场景提供保护。跨境数据流动运营体系跨境数据流动运营体系由专业的运营团队提供服务，支撑管理体系与技术体系建设，开展日常管控与监测、合规评估等工作。白皮书还认为，未来五年，企业跨境数据流动将迎来监管规则的行业化特征日趋突显、相关技术日趋成熟并广泛应用、企业合规体系建设由“合规性驱动”转向“业务价值驱动”等趋势。

未来企业关注点将从满足监管要求转向为企业发展产生实际效能。企业跨境数据流动合规体系建设将从合规性驱动转向业务价值驱动，从而让合规投入从“成本投入”转变成“价值投资”。企业关注点的升级将驱动跨境数据流动合规体系围绕数据流通的全流程来开展安全防护和价值运营，在做好安全保障的基础上，还将在数据安全防护与业务价值赋能中寻求最佳平衡点，以充分激发应用潜能，进而充分实现企业跨境数据流动的最终目的——“通过数据赋能提升企业效能”。注：本文观点及素材引用自《企业跨境数据流动安全合规白皮书（2023）》，若需下载，请在公众号回复“跨境数据流动”。