炼石：数据传输安全白皮书

随着数字化浪潮席卷全球，各国政府逐渐意识到，数据已成为与国家安全和 国际竞争力紧密关联的重要资源要素，对数据安全的认知已从传统的个人隐私保护上升到维护国家安全的高度。各行业各领域企业内生发展需求和外部合规要求激增，正在积极利用新技术不断提升数据安全保障能力。

从顶层设计来看 ，美国国防部发布《国防部数据战略》，指出战略的核心目标之一就是通过构建访问控制和最严格的安全标准来保护国防部数据安全，以 实现数据推动作用下的联合全域作战，构筑国家安全保护屏障；英国发布《国家 数据战略》，通过搭建国家层面的数据安全治理方案，为建设促进增长和可信赖 的数据机制提供指导方向，保障国家安全;欧盟委员会相继发布《欧洲数据战略》 及其配套法案《数据治理法案》提案，力求在欧盟层面建立统一的数据治理框 架，保障数据安全。

从监管立法来看，美国发布《联邦数据战略与2020年行动计划》，确立了保护数据完整性、确保流通数据真实性、数据存储安全性等基本原则；2018年，欧洲联盟生效通过《通用数据保护条例 》(“ G D P R ”)，堪称史上数据安全保护力度最大的法律 ，后相继发布《欧洲数据保护监管局战略计划(2020 – 2024 )》等 ，旨在从前瞻性、行动性和协调性三方面继续加强数据安全保护，保证个人隐私的基本 权 利；阿 联酋迪拜和新西兰分别出台《数据保护法》和《2020年隐私法》，加强对数据安全及个人隐私保护的规制建设；日本和新加坡分别完成了对本国《个人信息 ( 数 据 )保护法》的修订 ，明确了个人数据权利及 外部使用限制；加拿大提出《数字宪章实施法案2020》，提出了保护私营部门个人信息的现代化框架。

从落地实施来看，美国商务部成立提供联邦数据服务的咨询委员会，加强联邦数据隐私保护;巴西总统签署法令批准建立国家个人数据保护局，负责制定相关规则、推进企业开展数据安全风险评估、调查违法违规行为、促进数据保 护国际合作等；韩国成立个人信息保护委员会，负责个人信息保护与监管执法工作；欧盟发布《为保持欧盟个人数据保护级别而采用的数据跨境转移工具补充措 施》，为数据跨境流动中数据保护问题提供了进一步指导；西班牙数据保护局发布 《默认数据保护指南》，阐释了默认数据保护原则的策略、实施措施、记录和审计要求等，为企业实践数据保护原则提供具体指导。

从惩治力度来看，随着大型互联网平台企业的日益壮大，其数据垄断问题 愈加严重，由此带来的权利滥用问题或将威胁到国家安全。美国、欧洲等国家和地 区均对大型互联网企业数据安全违法违规行为增大了单笔处罚金额，防止其滥用 数据优势侵害消费者隐私或进行非法数据贩卖。例如，因Facebook违反用户隐私 保护策略，美国对其处以50亿美元巨额罚款;爱尔兰也就数据非法跨境传输问题， 对Facebook处以了高达28亿美元的罚款;法国、加拿大等国家也纷纷对Twitter、 谷歌等企业开出高额罚单。

为保障基础设施建设，防止数据滥用，我国对大型互联网企业的数据安全违 法违规行为做出了严峻的惩罚。例如，滴滴全球股份有限公司因违反《网络安全 法 》 、《 数 据 安 全 法 》 、《 个 人 信 息 保 护 法 》 ， 危 害 国 家 网 络 安 全 、 数 据 安 全 、 侵 害 公民个人信息等相关违法行为，国家网信办对滴滴全球股份有限公司处以人民币 80.26亿元罚款，对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处以人 民币100万元罚款。

从技术创新来看，全球数据量出现爆炸式增长，各领域各行业的企业结合 自身发展路径，按照当地法律法规等各类合规要求，从数据处理的主体客体、数据传输通道、数据运营管理等方面入手，积极运用差分隐私、区块链等创新技术手段，搭建具有鲜明数据安全保护特性的技术架构，持续提升数据安全意识，不断强化数据安全保护。例如，Facebook通过开源差分隐私库加强对人工智能训练样 本隐私性的保护；苹果公司通过模糊定位技术限制第三方App获取用户精确地理 位置信息；亚马逊推出阻止用户敏感信息泄露的服务Macie，保护企业云端敏感数据；新西兰企业通过区块链技术实现数据加密传输和追踪溯源，保护数据安全。