Ftrans 飞驰云联 新形势下 企业数据传输安全治理 白皮书 2023年2月 飞驰云联（南京）科技有限公司编写 前言 随着大数据时代的到来，数据的重要性日渐得到重视，当前数字经济正在引领新的经 济发展，数字经济也成为继农业经济、工业经济之后的主要经济形态，是充足全球要 素资源，重塑全球经济结构、改变全球竞争格局的关键力量。 伴随着数据要素市场化进程的发展，数据和以其为基础的数字经济的巨大价值和重要 意义已经得到强调和凸显，但数据相关的生产、采集、使用、传输、销毁等全生命周 期流程却并不是平稳没有波折的，当数据创造价值的同时，也面临着被窃取、泄露， 滥用、非法利用的风险。 传输和交换使数据流动，进而释放和深度创造数据价值。我国企业在数据传输治理层 面，却依然在历经一些挑战：法律体系不完整、结构内容不丰富；众多网络攻击和数 据暴露的风险；企业在管理意识上不足而导致实际建设乏力；技术层面需求多样却难 以统一落地；非结构化数据日渐重要但却易被忽视.····.等等，那么，在新形势下 企业该如何进行数据传输安全治理呢？ 本报告从企业数据传输安全治理组织建设角度、制度管理角度、技术体系角度三大方 例的实践价值，给企业可落地的指引参考，期望以此为更多企业进行数据安全传输治 理带来支持。 目 、数据传输安全治理的重要性愈加凸显 1、数据安全是数字经济发展的前提和基础 2、逐步完善的数据安全法律体系推进数据安全治理 2 3、数据传输安全治理不容忽视. 二、企业数据传输安全治理面临的主要痛点和需求 5 1、数据传输治理政策层面缺乏系统性指导 5 2、数据传输治理面临来自网络环境层面挑战. 5 3、数据传输治理面临在企业意识和管理上的问题. 4、数据传输治理急需解决在应用技术层面的需求. 6 5、非结构化数据传输治理愈发重要但却容易被忽视 三、新形势下，企业进行数据传输安全治理的战略和方案 1、构建企业内部合理的数据传输安全组织架构 9 2、搭建企业内部完善的数据传输安全制度体系 10 3、建设企业内部专业的数据传输安全技术体系 11 3.1、企业数据安全传输技术规划 12 3.2企业数据安全传输关键技术 15 四、数据传输安全落地实践案例 17 1、政府政务行业 17 1.1、某国家事业单位海量数据安全传输的实践 17 2、金融行业 19 2.1、某全国性股份商业银行跨网络文件安全传输的实践 19 2.2、某全球知名再保险公司内外部数据交换实践 21 3、半导体行业. 22 ... 22 3.1、某全球领先的半导体IP提供商文件传输实践. 4、高新技术行业 25 4.1、某全球安检领军企业非结构化数据传输实践， 25 参考资料. 27 一、数据传输安全治理的重要性愈加凸显 1、数据安全是数字经济发展的前提和基础 数据成为生产要素，将发挥出更大的价值。2020年4月，中共中央、国务院发布 《关于构建更加完善的要素市场化配置体制机制的意见》，数据被正式纳入生产要素 范围。数据要素涉及数据生产、采集、存储、加工、使用、传输、服务等多个环节 ， 随着大数据时代的到来，数据的重要性日渐得到重视，当前数字经济正在引领新经济 发展，数字经济覆盖面广且渗透力强，数据要素的高效配置，是推动数字经济发展的 未来必将发挥出更大的价值。 数据经济上升为国家重要发展战略。近年来，我国的政策不断加强对数字经济和数 据要素的发展指导，数据要素和数字经济的重要性不断提升。 2021年12月国务院印发《“十四五”数字经济发展规划》，指出数字经济成为继农 业经济、工业经济之后的主要经济形态，是充足全球要素资源，重塑全球经济结构 改变全球竞争格局的关键力量，要求到2025年，数字经济迈向全面扩展期，数字经济 核心产业增加值占GDP比重达到10%。数据作为数字经济时代下的基础性资源和战略 性资源，是决定国家经济发展水平和竞争力的核心驱动力。 发展数据经济正式上升为国家重要发展战略。 数据安全是保障数字经济健康发展的基石。伴随着数据要素市场化进程的发展 关的生产、采集、使用、传输、销毁等全生命周期流程却并不是平稳没有波折的，当 数据创造价值的同时，也面临着被窃取、泄露、滥用、非法利用的风险，以此对个人、 组织甚至整个社会、国家的利息产生严重威胁和损害。因此，数据安全至关重要，没 有数据安全，数据的一切价值都如空中楼阁。反之，当数据安全落实到数据生产使用 的全流程时，数据的积极价值才能被有效挖掘、利用，数据才能成为推动经济高质量 发展的新动能。 数据安全的定义在不断发展演化。在网络环境和网络架构相对简单的早期，数据一 般只在服务器、网络和办公电脑之间流转使用，因此数据安全在较多情况下，指数据 存储安全、数据灾备和数据恢复等，在个别情况下，基于数据聚合、分析而强化网络 安全分析，也被称为数据安全。 1 随看网络技术的不断发展，数据安全的定义也在不断演化。2021年6月发布的《中华 人民共和国数据安全法》对数据安全做了明确的定义： 数据，是指任何以电子或者其他方式对信息的记录。 数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等。 数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及 具备保障持续安全状态的能力。 互联网大时代，数据的生产使用与互联网紧密相关，但数据安全和网络安全却既有联 系又互不相同。根据《中华人民共和国网络安全法》的定义，网络安全，是指通过采 取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网 络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。 安全，而网络安全则是侧重保障网络体系和网络环境的安全性。 2、逐步完善的数据安全法律体系推进数据安全治理 数据安全需要有切实法律体系作为保障和基础。数字化改革推动我国生产模式的 变革，随着经济数字化、政府数字化、企业数字化的建设，数据已经成为我国政府和 企业最核心资产。数据安全保护需要以体系化的数据安全法律法规为基础，结合整个 社会的资源力量和建设投入，近年来，我国也在持续地加强完善数据安全相关的法律 落地。 在国家顶层战略引导下，我国在国家安全、网络安全、数据安全与个人信息保护、关 键信息基础设施、数据安全与个人信息保护、车联网多个领域密集出台了多项信息安 全法律法规和政策文件，有效促进了信息安全领域的技术创新和应用落地，为筑牢国 家信息安全屏障、推进网络强国建设提供了有力支撑。 发布 (试行) 文件名称 相关内容 时间 鼓励开发网络安全保护和利用技术， 促进公共数据资源开放，推动技术创 《中华人民共和国网络 新和经济社会发展。 2017年6月1日 安全法》 应做好数据分类、重要数据备份、加 密和重要数据境内留存等措施，防止 数据泄露、或者被取、篡改。 2 明确数据收集应制定并公开收集使用 规则，提出收集动作和规定制定的相 关要求。 2019年 《数据安全管理办法 明确数据处理使用时，应参照国家有 目 28 (征求意见)》 关标准，采用数据分类、备份、加密 等措施加强对个人信息和重要数据保 护。 《个人信息出境安全评 规定网络运营者向境外提供个人信 2019年 6 估办法（征求意见 息，应进行安全评估，并明确相关要 目 13 稿)》 求。 自然人的个人信息受法律保护。任 何组织或者个人需要获取他人个人信 息的，应当依法取得并确保信息安 《民法典》 2021年1月1日 全，不得非法收集、使用、加工、 传输他人个人信息，不得非法买卖、 提供或者公开他人个人信息。 《中华人民共和国国民 统筹数据开发利用、隐私保护和公共 2021年 3经济和社会发展第十四 安全，加快建立数据资源产权、交易 11 个五年规划和 流通、跨境传输和安全保护等基础制 2035年 度和标准规范。 远景目标纲要》 明确运营者应履行个人信息和数据安 全保护责任，建立健全个人信息和数 据安全保护制度，发生关键信息基础 《关键信息基础设施安 设施重要数据泄露、较大规模个人信 全保护条例》 2021年9月1日 息泄露、特别重大网络安全事件或者 发现特别重大网络安全威胁时，及时 向国家网信部门、国务院公安部门报 告。 数据处理，包括数据的收集、存储、 使用、加工、传输、提供、公开等。 数据安全，是指通过采取必要措施， 2021年9月1日 《数据安全法》 确保数据处于有效保护和合法利用的 状态，以及具备保障持续安全状态的 能力。 构建完整的个人信息保护框架，采取 2021年 11 《个人信息保护法》 分级保护制度；进一步细化、完善个 目 人信息处理活动中个人的权利，及处 3