2024合規(guī)及跨境數(shù)據(jù)傳輸聯(lián)合白皮書

1數(shù)據(jù)跨境傳輸概述 011.1數(shù)據(jù)跨境傳輸一合規(guī)趨勢與解讀 1.1.1全球數(shù)據(jù)安全合規(guī)趨勢與解讀 021.1.2中國數(shù)據(jù)安全合規(guī)趨勢與解讀 1.2數(shù)據(jù)跨境傳輸一評(píng)估整體過程 1.3數(shù)據(jù)跨境傳輸一申報(bào)解讀 1.3.1申報(bào)門檻 1.3.2申報(bào)重點(diǎn) 1.4數(shù)據(jù)跨境傳輸一評(píng)估結(jié)果分析 1.4.1數(shù)據(jù)本地化趨勢概覽 1.4.2數(shù)據(jù)本地化路徑選擇和常見場景 2數(shù)智發(fā)現(xiàn)、合規(guī)及跨境數(shù)據(jù)傳輸解決之道 13數(shù)據(jù)跨境傳輸概述隨著全球數(shù)字經(jīng)濟(jì)規(guī)模的持續(xù)增長，數(shù)據(jù)作為重要生產(chǎn)要素，在生產(chǎn)生活各個(gè)環(huán)節(jié)的重要作用正日益顯現(xiàn)，數(shù)轄范圍逐步擴(kuò)大的趨勢明顯，也讓數(shù)據(jù)跨境傳輸合規(guī)成為了進(jìn)行跨國商業(yè)活動(dòng)的企業(yè)需全球數(shù)據(jù)安全合規(guī)趨勢與解讀自歐盟推出《一般數(shù)據(jù)保護(hù)條例》(GDPR)以來，已有100多個(gè)國家或地亞馬遜云科技pwc數(shù)據(jù)處理者將在境內(nèi)運(yùn)營中收集和產(chǎn)生的數(shù)據(jù)傳輸、存儲(chǔ)至境外民共和國網(wǎng)絡(luò)安全法》是我國在網(wǎng)絡(luò)空間治理領(lǐng)域的第一部基本大法，首次在法律上對(duì)數(shù)據(jù)跨境流動(dòng)進(jìn)行了闡數(shù)據(jù)處理者收集和產(chǎn)生的數(shù)據(jù)存儲(chǔ)在境內(nèi)，境外的機(jī)構(gòu)、組織或者個(gè)人可以查詢、調(diào)取、下載、導(dǎo)出分出境場景或部分?jǐn)?shù)據(jù)項(xiàng)因缺乏充分的出境必要性，未能獲批，對(duì)于這部分?jǐn)?shù)據(jù)及系統(tǒng)進(jìn)行本地化將成為下一值得注意的是，為進(jìn)一步規(guī)范和促進(jìn)數(shù)據(jù)依法有序自由流動(dòng)，國家互聯(lián)網(wǎng)信息辦公室(后簡稱“網(wǎng)信辦”)于2023年9月28日發(fā)布了《規(guī)范和促進(jìn)數(shù)據(jù)跨境流動(dòng)規(guī)定(征求意見稿)》,從不同層面釋放了有利于數(shù)據(jù)跨境流亞馬遜云科技目前，我國數(shù)據(jù)出境管理的三種機(jī)制：數(shù)據(jù)出境安全評(píng)估、個(gè)人信息保護(hù)認(rèn)證和個(gè)人信息出境標(biāo)準(zhǔn)合同，均已進(jìn)入落地實(shí)施階段。其中，本白皮書著重關(guān)注的數(shù)據(jù)出境安全評(píng)估的路徑程序可以歸類為六個(gè)階段，分別為差距分·差距分析·自評(píng)估報(bào)告·風(fēng)險(xiǎn)評(píng)估·法律文件報(bào)告報(bào)告·體系建設(shè)·能力建設(shè)·整改方案·整改實(shí)施·國家網(wǎng)信辦·其它材料階段一階段一|差距分析通過訪談相關(guān)人員了解公司數(shù)據(jù)流轉(zhuǎn)，審閱公司制度、程、相關(guān)系統(tǒng)進(jìn)行梳理。以及，結(jié)合相關(guān)經(jīng)驗(yàn)從而設(shè)計(jì)有效的檢查點(diǎn)和控制點(diǎn)，發(fā)現(xiàn)差距并進(jìn)行風(fēng)險(xiǎn)評(píng)估。階段三階段三|自評(píng)估要求識(shí)別自身是否適用數(shù)據(jù)出境安全評(píng)估，并完成自評(píng)階段五階段五|評(píng)估數(shù)據(jù)出境安全評(píng)估工作本著屬地申報(bào)原則，由數(shù)據(jù)處理者向其所在地省級(jí)網(wǎng)信辦提交申報(bào)材料。各地網(wǎng)信辦在個(gè)工作日內(nèi)完成數(shù)據(jù)出境安全評(píng)估，統(tǒng)一開展數(shù)據(jù)出境階段二階段二|整改以差距分析結(jié)果為基礎(chǔ)，法規(guī)要求為導(dǎo)向、對(duì)公司風(fēng)險(xiǎn)策略及成本、業(yè)界趨勢等提出合理的整改建議。階段四|申報(bào)完成自評(píng)估等合規(guī)工作之后，數(shù)據(jù)運(yùn)營者依照《辦法》在數(shù)據(jù)出境前做好風(fēng)險(xiǎn)自評(píng)后，并向相關(guān)部門提交相關(guān)材料。階段六|持續(xù)合規(guī)在通過安全評(píng)估后，企業(yè)仍需要對(duì)數(shù)據(jù)出境進(jìn)行持續(xù)的亞馬遜云科技pwc11.3數(shù)據(jù)跨境傳輸一申報(bào)解讀申報(bào)門檻所有要向境外提供在我國境內(nèi)(不包括港澳臺(tái)地區(qū))收集與產(chǎn)生的重要數(shù)據(jù)以及個(gè)人信息的企業(yè)具體來說，企業(yè)開展數(shù)據(jù)出境安全評(píng)估工作的第一步是準(zhǔn)確識(shí)別數(shù)據(jù)出境場景，也是至關(guān)重要的申報(bào)重點(diǎn)對(duì)于以上安全評(píng)估和安全能力建設(shè)的要求，可以結(jié)合專業(yè)工具及相關(guān)咨詢服務(wù)，幫助企業(yè)建后審計(jì)；也需要結(jié)合企業(yè)內(nèi)部數(shù)據(jù)平臺(tái)或治理平臺(tái)現(xiàn)有能力，以形成企業(yè)內(nèi)的整體治理的技亞馬遜云科技道1.4數(shù)據(jù)跨境傳輸一評(píng)估結(jié)果分析②1.4數(shù)據(jù)跨境傳輸一評(píng)估結(jié)果分析②在國內(nèi)的數(shù)據(jù)跨境傳輸?shù)谋O(jiān)管逐步趨嚴(yán)，相關(guān)法規(guī)和指南密集出臺(tái)的大背景下，數(shù)據(jù)跨境傳輸?shù)纳陥?bào)和備案工作也在進(jìn)行有序地開展。也隨著相關(guān)部門逐步下發(fā)決定，一些企業(yè)的某些數(shù)據(jù)會(huì)面臨不被準(zhǔn)予出境的情況。數(shù)據(jù)本地化趨勢概覽由于某些數(shù)據(jù)面臨禁止出境，數(shù)據(jù)本地化也以及逐漸成為不可繞開的話題。如果把數(shù)據(jù)出境安全評(píng)估比作一場競賽的上半場，那本地化就是這場競賽的下半場，企業(yè)在下半場更需打起精神，準(zhǔn)備好充足的資源，迎接一場數(shù)據(jù)本地化是一項(xiàng)復(fù)雜的系統(tǒng)工程，它以數(shù)據(jù)為核心，以系統(tǒng)為載體，是對(duì)企業(yè)IT治理和運(yùn)營能力的一次考驗(yàn)。對(duì)于大部分跨國企業(yè)而言，經(jīng)典的IT管理模式是高度集中化的，由集團(tuán)總部在境外統(tǒng)一提供IT基礎(chǔ)設(shè)施服務(wù)，并統(tǒng)一托管主要應(yīng)用系統(tǒng)，供不同國家的業(yè)務(wù)團(tuán)隊(duì)共享使用。這種模式從運(yùn)營效率和成本節(jié)約的角度符合跨國企業(yè)的利益，但卻不可避免的造成了數(shù)據(jù)的高度集中以及從中國境內(nèi)向境外集團(tuán)總部的單向流動(dòng)。而本地化勢必對(duì)這一既有模式造成顛覆，并且不同程度的本地化對(duì)業(yè)務(wù)的影響程度也不盡相同(如圖例):尤其考慮到一些跨國企業(yè)在業(yè)務(wù)上須與境外總部保持必要的連通性和聯(lián)動(dòng)性，并也有著較為復(fù)雜的匯報(bào)機(jī)制，本地化的進(jìn)程會(huì)對(duì)此類企業(yè)現(xiàn)有的業(yè)務(wù)流程和人員組織架構(gòu)產(chǎn)生一定影響。公司不僅要考慮如何通過一些系統(tǒng)及業(yè)務(wù)流程方面的快速整改以滿足合規(guī)要求，也要從長遠(yuǎn)的角度考慮如何構(gòu)建一個(gè)符合本地化要求的本地業(yè)務(wù)流程并配備或調(diào)整組織架構(gòu)以實(shí)現(xiàn)業(yè)務(wù)目標(biāo)。亞馬遜云科技盡管數(shù)據(jù)本地化在概念層面，是將數(shù)據(jù)的存儲(chǔ)位置和數(shù)據(jù)處理的過程從某國家或地區(qū)轉(zhuǎn)移到另一物理位置，但落實(shí)到具體的應(yīng)用系統(tǒng)，其技術(shù)選擇和實(shí)現(xiàn)路徑則五花八門。目標(biāo)系統(tǒng)的本地化方案可以被歸納為幾種“原型方案”,以便進(jìn)行分組討論，降低復(fù)雜程度和溝通成本；從成本由低至高排序可以簡單分為維持現(xiàn)狀，流程變更，本地?cái)?shù)據(jù)留存，系統(tǒng)遷移到成本最高的境內(nèi)系統(tǒng)重建。不同的方案所對(duì)應(yīng)的實(shí)施成本和剩余風(fēng)險(xiǎn)需要在做決策時(shí)予以充分考慮?；谝陨系木S度，以企業(yè)內(nèi)部兩類最常見的應(yīng)用場景為例，對(duì)其客戶關(guān)系管理場景以及人力資源管理場景在本地化過程中需考慮的重點(diǎn)事項(xiàng)進(jìn)行深入討論分析：(一)客戶關(guān)系管理場景在本地化過程中，大量的客戶個(gè)人信息甚至敏感個(gè)人信息被收集和處理，因此，該場景中較為典型的客戶關(guān)系管理系統(tǒng)(CustomerRelationshipManagement,CRM)也往往成為企業(yè)內(nèi)部存儲(chǔ)個(gè)人信息數(shù)量最多的系統(tǒng)，自然也是跨境申報(bào)的主要系統(tǒng)，此類系統(tǒng)的特點(diǎn)包括：·可收集、關(guān)聯(lián)和分析所有相關(guān)客戶數(shù)據(jù)，包括聯(lián)系人信息、與企業(yè)銷售代表的互動(dòng)信息、歷史購買記錄、服務(wù)請(qǐng)求、資產(chǎn)和報(bào)價(jià)/提議等。·企業(yè)銷售人員可訪問這些數(shù)據(jù)，并了解觸點(diǎn)的最新動(dòng)態(tài)，并據(jù)此創(chuàng)建完整的客戶檔案，進(jìn)而建立牢固的客戶關(guān)系。CRMCRM本地化的重點(diǎn)事項(xiàng)：·CRM本地化，或?qū)⒅袊袌龅臄?shù)據(jù)從全球應(yīng)用實(shí)例中剝離，對(duì)現(xiàn)有業(yè)務(wù)模式產(chǎn)生影響；在系統(tǒng)進(jìn)行任何重大變更前，應(yīng)對(duì)潛在影響進(jìn)行充分評(píng)估，確保重大變更符合中國市場的長期業(yè)務(wù)戰(zhàn)略。·CRM系統(tǒng)功能復(fù)雜、數(shù)據(jù)項(xiàng)繁多，不建議對(duì)合規(guī)要求作“一刀切”式的簡單解讀，而應(yīng)逐個(gè)功能模塊、逐個(gè)數(shù)據(jù)項(xiàng)的進(jìn)行評(píng)估和整改，精準(zhǔn)應(yīng)對(duì)合規(guī)挑戰(zhàn)?！RM系統(tǒng)接口較多，上下游依賴關(guān)系復(fù)雜，在為CRM設(shè)計(jì)本地化方案的時(shí)候，應(yīng)同步考慮其關(guān)聯(lián)系統(tǒng)，評(píng)估變更后的數(shù)據(jù)流，避免因考慮不周而形成新的風(fēng)險(xiǎn)敞口或造成上下游系統(tǒng)的中斷。亞馬遜云科技道(二)人力資源管理場景作為企業(yè)管理的一個(gè)通用場景，員工個(gè)人信息的出境也是廣大跨國企業(yè)無法繞過的問題。在已獲得批復(fù)的跨境申報(bào)案例中，監(jiān)管機(jī)構(gòu)對(duì)于員工個(gè)人信息的出境采取了相對(duì)包容的態(tài)度，但對(duì)于應(yīng)聘者的個(gè)人信息以及員工的部分敏感個(gè)人信息采取了更嚴(yán)格的立場。對(duì)于企業(yè)而言，需考慮對(duì)該場景中現(xiàn)有較為典型的人力資源管理系統(tǒng)(HumanResourceManagementsystem,HRMS)進(jìn)行必要的改造，以滿足監(jiān)管要求·涵蓋人事管理、能力素質(zhì)模型、績效管理、考勤管理、薪酬管理、招聘管理、培訓(xùn)管理、查詢報(bào)表等功能的一體化整合應(yīng)用系統(tǒng)，也是企業(yè)內(nèi)部處理員工個(gè)人信息的主要系統(tǒng)。HRMSHRMS本地化的重點(diǎn)事項(xiàng)：·明確允許出境的數(shù)據(jù)項(xiàng)，對(duì)外傳設(shè)置明確規(guī)則，以確保實(shí)際出境數(shù)據(jù)和允許出境數(shù)據(jù)保持一致，并留存·對(duì)于禁止出境的員工數(shù)據(jù)項(xiàng)，考慮通過流程變更的方式對(duì)原有的數(shù)據(jù)采集和錄入流程進(jìn)行必要的改造。·對(duì)于應(yīng)聘者的個(gè)人信息收集和處理，考慮境內(nèi)的替代解決方案，并從原有的HRMS進(jìn)行必要的剝離。雖然數(shù)據(jù)本地化可以緩解數(shù)據(jù)跨境所帶來的一些風(fēng)險(xiǎn)，但考慮到本地化的時(shí)間及成本問題，無論從短期或長期趨勢所看，企業(yè)仍需在現(xiàn)下時(shí)間點(diǎn)，對(duì)在持續(xù)進(jìn)行的數(shù)據(jù)出境的活動(dòng)的風(fēng)險(xiǎn)進(jìn)行的分析把控，并積極探索其各類可行的解決方案。之道2總的來說，現(xiàn)中國監(jiān)管對(duì)于個(gè)人數(shù)據(jù)及重要數(shù)據(jù)的宏觀監(jiān)管要求為：在境內(nèi)收集和產(chǎn)生的個(gè)人信息應(yīng)存儲(chǔ)在境內(nèi)確需向境外提供的，應(yīng)當(dāng)通過國家網(wǎng)信部門組織的安全評(píng)估在這樣的政策導(dǎo)向下，跨國公司將工作負(fù)載比如客戶關(guān)系管理系統(tǒng)，人力資源管理系統(tǒng)及相關(guān)數(shù)據(jù)平臺(tái)在國內(nèi)落普華永道借助亞馬遜云科技并結(jié)合雙方優(yōu)勢，提出“合規(guī)及跨境數(shù)據(jù)傳輸”解決方案，建立數(shù)據(jù)全生命周期安全防護(hù)系統(tǒng)，安全防護(hù)體系，在數(shù)據(jù)跨境合規(guī)評(píng)估，結(jié)果分析及長遠(yuǎn)合規(guī)規(guī)劃及落地的全周期上，為企業(yè)保駕護(hù)航。個(gè)人信息出境合規(guī)數(shù)字化方案亞馬遜云科技敏感數(shù)據(jù)保護(hù)解決方案亞馬遜云科技敏感數(shù)據(jù)保護(hù)解決方案業(yè)務(wù)場景解決方案出境數(shù)據(jù)管控出境數(shù)據(jù)發(fā)現(xiàn)m亞馬遜云科技數(shù)據(jù)是否涉及跨境傳輸是否已開展數(shù)據(jù)資產(chǎn)梳理和跨境場景識(shí)別是否已開展CBDT安全評(píng)估或標(biāo)準(zhǔn)合同備案工作是否已制定本地化計(jì)劃YNNNN管理效率提供安全運(yùn)管監(jiān)控服務(wù)的經(jīng)驗(yàn)數(shù)據(jù)疫產(chǎn)自時(shí)發(fā)規(guī)數(shù)據(jù)存儲(chǔ)本地化遷移服務(wù)：鍵立數(shù)據(jù)全生命周期安全防護(hù)系統(tǒng)，安全防護(hù)體系自動(dòng)化去標(biāo)識(shí)和匿名化”數(shù)據(jù)出糖食規(guī)體系設(shè)據(jù)務(wù)亞馬遜云科技pwc附錄該方案支持企業(yè)添加多個(gè)亞馬遜云科技賬號(hào)，并自動(dòng)發(fā)現(xiàn)各賬號(hào)下的數(shù)據(jù)源(如AmazonS3、AmazonRDS等);提供200多種覆蓋50多個(gè)國家和地區(qū)的敏感數(shù)據(jù)類型，也支持客戶自定義敏感數(shù)據(jù)類型；支持配置數(shù)據(jù)分典、元數(shù)據(jù)管理、數(shù)據(jù)資產(chǎn)地圖等),提供可視化面板和發(fā)現(xiàn)任務(wù)報(bào)告；使用機(jī)器功能特色功能特色該方案是云原生亞馬遜云科技解決方案，采用無服務(wù)器架構(gòu)，可無縫地與其他亞馬遜云科技的服務(wù)集成，支持提供直觀的Web控制臺(tái)，內(nèi)置數(shù)據(jù)目錄和敏感數(shù)據(jù)于規(guī)則的脫敏和反脫敏API。基于全球主要國家和地區(qū)的法律法規(guī)設(shè)置匹配規(guī)則，支持200多種內(nèi)置數(shù)據(jù)類型，提供多種檢測隱私數(shù)據(jù)亞馬遜云科技Pwc敏感數(shù)據(jù)保護(hù)解決方案簡體中文8分類設(shè)置則.1亞馬遜云科技敏感數(shù)據(jù)保護(hù)方案示意圖亞馬遜云科技粵厚回囫圈緊跟監(jiān)管動(dòng)態(tài)，協(xié)助企業(yè)完成個(gè)人信息出境風(fēng)險(xiǎn)自評(píng)估模塊六亞馬遜云科技普華永道亮點(diǎn)一：自動(dòng)精準(zhǔn)場景感知評(píng)估問卷及風(fēng)險(xiǎn)識(shí)別亮點(diǎn)二：專業(yè)可信喻■■■喻■■■