2024合規(guī)及跨境數(shù)據(jù)傳輸聯(lián)合白皮書

1數(shù)據(jù)跨境傳輸概述 011.1數(shù)據(jù)跨境傳輸一合規(guī)趨勢與解讀 1.1.1全球數(shù)據(jù)安全合規(guī)趨勢與解讀 021.1.2中國數(shù)據(jù)安全合規(guī)趨勢與解讀 1.2數(shù)據(jù)跨境傳輸一評估整體過程 1.3數(shù)據(jù)跨境傳輸一申報解讀 1.3.1申報門檻 1.3.2申報重點 1.4數(shù)據(jù)跨境傳輸一評估結果分析 1.4.1數(shù)據(jù)本地化趨勢概覽 1.4.2數(shù)據(jù)本地化路徑選擇和常見場景 2數(shù)智發(fā)現(xiàn)、合規(guī)及跨境數(shù)據(jù)傳輸解決之道 13數(shù)據(jù)跨境傳輸概述隨著全球數(shù)字經(jīng)濟規(guī)模的持續(xù)增長，數(shù)據(jù)作為重要生產(chǎn)要素，在生產(chǎn)生活各個環(huán)節(jié)的重要作用正日益顯現(xiàn)，數(shù)轄范圍逐步擴大的趨勢明顯，也讓數(shù)據(jù)跨境傳輸合規(guī)成為了進行跨國商業(yè)活動的企業(yè)需全球數(shù)據(jù)安全合規(guī)趨勢與解讀自歐盟推出《一般數(shù)據(jù)保護條例》(GDPR)以來，已有100多個國家或地亞馬遜云科技pwc數(shù)據(jù)處理者將在境內運營中收集和產(chǎn)生的數(shù)據(jù)傳輸、存儲至境外民共和國網(wǎng)絡安全法》是我國在網(wǎng)絡空間治理領域的第一部基本大法，首次在法律上對數(shù)據(jù)跨境流動進行了闡數(shù)據(jù)處理者收集和產(chǎn)生的數(shù)據(jù)存儲在境內，境外的機構、組織或者個人可以查詢、調取、下載、導出分出境場景或部分數(shù)據(jù)項因缺乏充分的出境必要性，未能獲批，對于這部分數(shù)據(jù)及系統(tǒng)進行本地化將成為下一值得注意的是，為進一步規(guī)范和促進數(shù)據(jù)依法有序自由流動，國家互聯(lián)網(wǎng)信息辦公室(后簡稱“網(wǎng)信辦”)于2023年9月28日發(fā)布了《規(guī)范和促進數(shù)據(jù)跨境流動規(guī)定(征求意見稿)》,從不同層面釋放了有利于數(shù)據(jù)跨境流亞馬遜云科技目前，我國數(shù)據(jù)出境管理的三種機制：數(shù)據(jù)出境安全評估、個人信息保護認證和個人信息出境標準合同，均已進入落地實施階段。其中，本白皮書著重關注的數(shù)據(jù)出境安全評估的路徑程序可以歸類為六個階段，分別為差距分·差距分析·自評估報告·風險評估·法律文件報告報告·體系建設·能力建設·整改方案·整改實施·國家網(wǎng)信辦·其它材料階段一階段一|差距分析通過訪談相關人員了解公司數(shù)據(jù)流轉，審閱公司制度、程、相關系統(tǒng)進行梳理。以及，結合相關經(jīng)驗從而設計有效的檢查點和控制點，發(fā)現(xiàn)差距并進行風險評估。階段三階段三|自評估要求識別自身是否適用數(shù)據(jù)出境安全評估，并完成自評階段五階段五|評估數(shù)據(jù)出境安全評估工作本著屬地申報原則，由數(shù)據(jù)處理者向其所在地省級網(wǎng)信辦提交申報材料。各地網(wǎng)信辦在個工作日內完成數(shù)據(jù)出境安全評估，統(tǒng)一開展數(shù)據(jù)出境階段二階段二|整改以差距分析結果為基礎，法規(guī)要求為導向、對公司風險策略及成本、業(yè)界趨勢等提出合理的整改建議。階段四|申報完成自評估等合規(guī)工作之后，數(shù)據(jù)運營者依照《辦法》在數(shù)據(jù)出境前做好風險自評后，并向相關部門提交相關材料。階段六|持續(xù)合規(guī)在通過安全評估后，企業(yè)仍需要對數(shù)據(jù)出境進行持續(xù)的亞馬遜云科技pwc11.3數(shù)據(jù)跨境傳輸一申報解讀申報門檻所有要向境外提供在我國境內(不包括港澳臺地區(qū))收集與產(chǎn)生的重要數(shù)據(jù)以及個人信息的企業(yè)具體來說，企業(yè)開展數(shù)據(jù)出境安全評估工作的第一步是準確識別數(shù)據(jù)出境場景，也是至關重要的申報重點對于以上安全評估和安全能力建設的要求，可以結合專業(yè)工具及相關咨詢服務，幫助企業(yè)建后審計；也需要結合企業(yè)內部數(shù)據(jù)平臺或治理平臺現(xiàn)有能力，以形成企業(yè)內的整體治理的技亞馬遜云科技道1.4數(shù)據(jù)跨境傳輸一評估結果分析②1.4數(shù)據(jù)跨境傳輸一評估結果分析②在國內的數(shù)據(jù)跨境傳輸?shù)谋O(jiān)管逐步趨嚴，相關法規(guī)和指南密集出臺的大背景下，數(shù)據(jù)跨境傳輸?shù)纳陥蠛蛡浒腹ぷ饕苍谶M行有序地開展。也隨著相關部門逐步下發(fā)決定，一些企業(yè)的某些數(shù)據(jù)會面臨不被準予出境的情況。數(shù)據(jù)本地化趨勢概覽由于某些數(shù)據(jù)面臨禁止出境，數(shù)據(jù)本地化也以及逐漸成為不可繞開的話題。如果把數(shù)據(jù)出境安全評估比作一場競賽的上半場，那本地化就是這場競賽的下半場，企業(yè)在下半場更需打起精神，準備好充足的資源，迎接一場數(shù)據(jù)本地化是一項復雜的系統(tǒng)工程，它以數(shù)據(jù)為核心，以系統(tǒng)為載體，是對企業(yè)IT治理和運營能力的一次考驗。對于大部分跨國企業(yè)而言，經(jīng)典的IT管理模式是高度集中化的，由集團總部在境外統(tǒng)一提供IT基礎設施服務，并統(tǒng)一托管主要應用系統(tǒng)，供不同國家的業(yè)務團隊共享使用。這種模式從運營效率和成本節(jié)約的角度符合跨國企業(yè)的利益，但卻不可避免的造成了數(shù)據(jù)的高度集中以及從中國境內向境外集團總部的單向流動。而本地化勢必對這一既有模式造成顛覆，并且不同程度的本地化對業(yè)務的影響程度也不盡相同(如圖例):尤其考慮到一些跨國企業(yè)在業(yè)務上須與境外總部保持必要的連通性和聯(lián)動性，并也有著較為復雜的匯報機制，本地化的進程會對此類企業(yè)現(xiàn)有的業(yè)務流程和人員組織架構產(chǎn)生一定影響。公司不僅要考慮如何通過一些系統(tǒng)及業(yè)務流程方面的快速整改以滿足合規(guī)要求，也要從長遠的角度考慮如何構建一個符合本地化要求的本地業(yè)務流程并配備或調整組織架構以實現(xiàn)業(yè)務目標。亞馬遜云科技盡管數(shù)據(jù)本地化在概念層面，是將數(shù)據(jù)的存儲位置和數(shù)據(jù)處理的過程從某國家或地區(qū)轉移到另一物理位置，但落實到具體的應用系統(tǒng)，其技術選擇和實現(xiàn)路徑則五花八門。目標系統(tǒng)的本地化方案可以被歸納為幾種“原型方案”,以便進行分組討論，降低復雜程度和溝通成本；從成本由低至高排序可以簡單分為維持現(xiàn)狀，流程變更，本地數(shù)據(jù)留存，系統(tǒng)遷移到成本最高的境內系統(tǒng)重建。不同的方案所對應的實施成本和剩余風險需要在做決策時予以充分考慮?；谝陨系木S度，以企業(yè)內部兩類最常見的應用場景為例，對其客戶關系管理場景以及人力資源管理場景在本地化過程中需考慮的重點事項進行深入討論分析：(一)客戶關系管理場景在本地化過程中，大量的客戶個人信息甚至敏感個人信息被收集和處理，因此，該場景中較為典型的客戶關系管理系統(tǒng)(CustomerRelationshipManagement,CRM)也往往成為企業(yè)內部存儲個人信息數(shù)量最多的系統(tǒng)，自然也是跨境申報的主要系統(tǒng)，此類系統(tǒng)的特點包括：·可收集、關聯(lián)和分析所有相關客戶數(shù)據(jù)，包括聯(lián)系人信息、與企業(yè)銷售代表的互動信息、歷史購買記錄、服務請求、資產(chǎn)和報價/提議等?！て髽I(yè)銷售人員可訪問這些數(shù)據(jù)，并了解觸點的最新動態(tài)，并據(jù)此創(chuàng)建完整的客戶檔案，進而建立牢固的客戶關系。CRMCRM本地化的重點事項：·CRM本地化，或將中國市場的數(shù)據(jù)從全球應用實例中剝離，對現(xiàn)有業(yè)務模式產(chǎn)生影響；在系統(tǒng)進行任何重大變更前，應對潛在影響進行充分評估，確保重大變更符合中國市場的長期業(yè)務戰(zhàn)略?！RM系統(tǒng)功能復雜、數(shù)據(jù)項繁多，不建議對合規(guī)要求作“一刀切”式的簡單解讀，而應逐個功能模塊、逐個數(shù)據(jù)項的進行評估和整改，精準應對合規(guī)挑戰(zhàn)?！RM系統(tǒng)接口較多，上下游依賴關系復雜，在為CRM設計本地化方案的時候，應同步考慮其關聯(lián)系統(tǒng)，評估變更后的數(shù)據(jù)流，避免因考慮不周而形成新的風險敞口或造成上下游系統(tǒng)的中斷。亞馬遜云科技道(二)人力資源管理場景作為企業(yè)管理的一個通用場景，員工個人信息的出境也是廣大跨國企業(yè)無法繞過的問題。在已獲得批復的跨境申報案例中，監(jiān)管機構對于員工個人信息的出境采取了相對包容的態(tài)度，但對于應聘者的個人信息以及員工的部分敏感個人信息采取了更嚴格的立場。對于企業(yè)而言，需考慮對該場景中現(xiàn)有較為典型的人力資源管理系統(tǒng)(HumanResourceManagementsystem,HRMS)進行必要的改造，以滿足監(jiān)管要求·涵蓋人事管理、能力素質模型、績效管理、考勤管理、薪酬管理、招聘管理、培訓管理、查詢報表等功能的一體化整合應用系統(tǒng)，也是企業(yè)內部處理員工個人信息的主要系統(tǒng)。HRMSHRMS本地化的重點事項：·明確允許出境的數(shù)據(jù)項，對外傳設置明確規(guī)則，以確保實際出境數(shù)據(jù)和允許出境數(shù)據(jù)保持一致，并留存·對于禁止出境的員工數(shù)據(jù)項，考慮通過流程變更的方式對原有的數(shù)據(jù)采集和錄入流程進行必要的改造?！τ趹刚叩膫€人信息收集和處理，考慮境內的替代解決方案，并從原有的HRMS進行必要的剝離。雖然數(shù)據(jù)本地化可以緩解數(shù)據(jù)跨境所帶來的一些風險，但考慮到本地化的時間及成本問題，無論從短期或長期趨勢所看，企業(yè)仍需在現(xiàn)下時間點，對在持續(xù)進行的數(shù)據(jù)出境的活動的風險進行的分析把控，并積極探索其各類可行的解決方案。之道2總的來說，現(xiàn)中國監(jiān)管對于個人數(shù)據(jù)及重要數(shù)據(jù)的宏觀監(jiān)管要求為：在境內收集和產(chǎn)生的個人信息應存儲在境內確需向境外提供的，應當通過國家網(wǎng)信部門組織的安全評估在這樣的政策導向下，跨國公司將工作負載比如客戶關系管理系統(tǒng)，人力資源管理系統(tǒng)及相關數(shù)據(jù)平臺在國內落普華永道借助亞馬遜云科技并結合雙方優(yōu)勢，提出“合規(guī)及跨境數(shù)據(jù)傳輸”解決方案，建立數(shù)據(jù)全生命周期安全防護系統(tǒng)，安全防護體系，在數(shù)據(jù)跨境合規(guī)評估，結果分析及長遠合規(guī)規(guī)劃及落地的全周期上，為企業(yè)保駕護航。個人信息出境合規(guī)數(shù)字化方案亞馬遜云科技敏感數(shù)據(jù)保護解決方案亞馬遜云科技敏感數(shù)據(jù)保護解決方案業(yè)務場景解決方案出境數(shù)據(jù)管控出境數(shù)據(jù)發(fā)現(xiàn)m亞馬遜云科技數(shù)據(jù)是否涉及跨境傳輸是否已開展數(shù)據(jù)資產(chǎn)梳理和跨境場景識別是否已開展CBDT安全評估或標準合同備案工作是否已制定本地化計劃YNNNN管理效率提供安全運管監(jiān)控服務的經(jīng)驗數(shù)據(jù)疫產(chǎn)自時發(fā)規(guī)數(shù)據(jù)存儲本地化遷移服務：鍵立數(shù)據(jù)全生命周期安全防護系統(tǒng)，安全防護體系自動化去標識和匿名化”數(shù)據(jù)出糖食規(guī)體系設據(jù)務亞馬遜云科技pwc附錄該方案支持企業(yè)添加多個亞馬遜云科技賬號，并自動發(fā)現(xiàn)各賬號下的數(shù)據(jù)源(如AmazonS3、AmazonRDS等);提供200多種覆蓋50多個國家和地區(qū)的敏感數(shù)據(jù)類型，也支持客戶自定義敏感數(shù)據(jù)類型；支持配置數(shù)據(jù)分典、元數(shù)據(jù)管理、數(shù)據(jù)資產(chǎn)地圖等),提供可視化面板和發(fā)現(xiàn)任務報告；使用機器功能特色功能特色該方案是云原生亞馬遜云科技解決方案，采用無服務器架構，可無縫地與其他亞馬遜云科技的服務集成，支持提供直觀的Web控制臺，內置數(shù)據(jù)目錄和敏感數(shù)據(jù)于規(guī)則的脫敏和反脫敏API?；谌蛑饕獓液偷貐^(qū)的法律法規(guī)設置匹配規(guī)則，支持200多種內置數(shù)據(jù)類型，提供多種檢測隱私數(shù)據(jù)亞馬遜云科技Pwc敏感數(shù)據(jù)保護解決方案簡體中文8分類設置則.1亞馬遜云科技敏感數(shù)據(jù)保護方案示意圖亞馬遜云科技粵厚回囫圈緊跟監(jiān)管動態(tài)，協(xié)助企業(yè)完成個人信息出境風險自評估模塊六亞馬遜云科技普華永道亮點一：自動精準場景感知評估問卷及風險識別亮點二：專業(yè)可信喻■■■喻■■■