2026年数据流动技术标准.docxVIP

2026年数据流动技术标准

1范围

本标准规定了数据流动的术语和定义、核心原则、数据分类分级与流动范围、技术要求、安全保障要求、检验与评估要求、运营管理要求及监督保障要求等内容。

本标准适用于中华人民共和国境内各类数据处理者开展的数据收集、存储、传输、共享、交易、跨境等流动活动，涵盖公共数据、企业数据及个人信息；适用于数据流动相关技术产品的研发、选型、应用与验收，以及数据流动全流程的管理与监督；涉及数据处理企业、技术服务机构、检验检测机构、行业主管部门及监管机构。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件；凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

《中华人民共和国网络安全法》（2021年修订）

《中华人民共和国数据安全法》（2021年实施）

《中华人民共和国个人信息保护法》（2021年实施）

GB/T46068—2025数据安全技术个人信息跨境处理活动安全认证要求

GB/T35273—2020信息安全技术个人信息安全规范

GB/T37988—2019信息安全技术数据安全能力成熟度模型

GB/T41479—2022信息安全技术数据脱敏指南

《网络数据安全管理条例》（2024年实施）

GB/T42001—2022信息安全技术大数据服务安全能力要求

3术语和定义

下列术语和定义适用于本文件。

3.1数据流动：指数据在不同主体、不同系统、不同区域之间的产生、收集、存储、传输、共享、交易、使用、销毁等全流程动态活动，包括境内跨主体流动及跨境流动。

3.2数据分类分级：根据数据的敏感程度、影响范围、价值密度及流动风险，对数据进行类别划分和等级评定的管理活动。

3.3数据脱敏：通过技术手段对敏感数据进行处理，使其在保留原有数据格式和使用价值的前提下，无法识别特定个人或主体的技术措施。

3.4可信执行环境：具备安全隔离、数据加密、访问控制等能力的独立执行区域，可保障数据在处理过程中的安全性和完整性。

3.5数据溯源：通过数字水印、数据指纹、区块链等技术手段，记录数据流动全流程信息，实现数据来源可查、去向可追、责任可究的技术体系。

3.6跨境数据流动：数据处理者将在中华人民共和国境内收集和产生的数据，转移、传输、提供给境外主体的活动。

4核心原则

4.1安全可控：将数据安全贯穿流动全流程，落实数据分类分级保护要求，建立全链条安全保障体系，确保数据流动过程可管、可控、可追溯。

4.2合法合规：严格遵循相关法律法规及标准要求，明确数据流动各主体权责，依法取得数据流动授权，杜绝非法收集、传输、使用数据行为。

4.3权责明晰：按照“谁收集、谁负责，谁传输、谁负责，谁使用、谁负责”原则，界定数据提供方、传输方、接收方的安全责任，建立健全责任追溯机制。

4.4高效便捷：鼓励采用先进技术提升数据流动效率，优化数据流动流程，在保障安全的前提下降低数据流动成本，促进数据要素价值释放。

4.5动态适配：结合数据类型、流动场景及技术发展，动态调整数据流动安全措施，适配不同场景下的数据流动安全需求。

5数据分类分级与流动范围

5.1数据分类

5.1.1个人信息：包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码等各类能够识别特定自然人的信息。

5.1.2企业数据：包括企业经营数据、商业秘密、财务数据、知识产权相关数据等企业在生产经营过程中产生或获取的各类数据。

5.1.3公共数据：包括政务数据、公共服务机构数据等由公共部门产生或管理的，用于公共服务、公共管理的各类数据。

5.1.4重要数据：涉及国家安全、经济运行、社会稳定、公共健康和安全的各类数据，具体范围依据国家数据分类分级相关规定确定。

5.2数据分级

5.2.1一级（一般数据）：不涉及敏感信息，泄露后不会对个人、企业或社会造成危害的数据，可按照常规安全措施开展流动。

5.2.2二级（敏感数据）：包括一般个人信息、企业核心经营数据等，泄露后可能对个人权益、企业利益造成一定损害的数据，需采取强化安全措施保障流动安全。

5.2.3三级（高度敏感数据）：包括敏感个人信息、重要数据等，泄露后会危害国家安全、公共利益，或对个人、企业造成严重损害的数据，需采取严格管控措施限制流动范围。

5.3流动范围限制

5.3.1一级数据：无特殊流动范围限制，鼓励在合法合规前提下自由流动。

5.3.2二级数据：可在取得授权的特定主体间流动，禁止向未授权主体传输，流动过程需进行安全加密和溯源跟踪。

5.3.3三级数据：严格限制流动范围，境内流动需经行业主管部门审批，跨境流动需符合国家跨境数据流动相关规定，通过安全评估或认证后方可开展。

6技