2024合规及跨境数据传输联合白皮书-25页.docx

方案导览助1数据跨境传籁概述.O1.1.1 数据跨境传输一合规趋势与解读021.1.1 全球数据安全合规趋势与解读021.12中国数据安全合规趋势与解读.0312数据跨境传输一评估整体过程041.3 数据跨境传输一申报解读0513.1 申报0513.2 2申报百点051.4 雌跨境传输一评估结果分析071.4.1 数据本地化趋势微览.071.4.2 数据本地化路径选择和常见场要082合规及跨境及抠传输解决之道10附录13亚马贝云科技敏感数据保护方案14j3方Pr1.VaCyReady.16普华永道下一代安全运营服务MSS(ManagedSecurityService)19襄据跨境传输概述I随着全球数字经济规模的持续增长,数据作为出要生产要素,在生产生;舌各个环节的田要作用正日益显现，数据流动的安全性受到酶越多的关注.全球礴内，对敛据跆城s的性控和监法正在逐步健全；目前，各国针对数据脖境流动密集出台了相关的出去规,主要国翻地区的监管抽亍力度塘强,数据合规制度数IB增长.管塔范围逐步扩大的趋势明显，也让数据跨境传输合规成为了进行跨国商业活沏的企业需要格外重视的谀跄,此外，数期跨境会力用!)个人信息.主要SQ商业斓泄露及遇用的风险,导致企业的名誉聊IJ号受预,还可能会给企业带来技术管理、资产管理和组织管理等向迎.数据安全字经济发展的.啊确跨境安全合规措施，是保护个人信息防范化解企业数据跨境安全风睑，促进数字经济健康发展的生要保阅.全球数据安全合规趋势与解读的将互联网迅速发展带来的数据增长,各国更加关;主对数据的合法利用.自欧盟推出TS数据保护条例(GDPR)以来,已有100多个区独布喊出了数据保护或R私保护法.目前，全球数据芳境流动和雌监管未形为统一框架,在各国国情.国家安全、隐私保护、产业能力等多元因素的复杂影响下，跨境数据流动监管制度较为差异化.由于各国家和地区间立j去驱勖因素、国情和地区特性不同,其立;却及发展趋殆也有所差异,以欧盟和亚太经济合作组织为代表的地区性去以保护个人数据为出发点,推动地区间数据流通，同时在监笆和切去程序上电加标准化和透明化；以美国为代表的国家在合规立法中更看重数据自由流动带来的经济效益,在奉4亍整体宽松政策的同时,为特殊行业提供不同的依据,颜口金融，医疗、电子通信、基础设施等行业,以俄罗斯为代表的国家在合规立法方面受政治因素膨响姣大，更关注以安全为核心的国内a,对数据跨境流动施行严格管控，形成“内外双严”的数据安全发展态势.中国数据安全合规趋势与解读在全球的立法潮流中,中国也在过去的几年中加快了对于数据保护的各类立法.2016年n月7日通过的中华人民共和国网络安全法是我国在网络空间治理领域的第一部基本大法，首次在法律上对数据跨境流动进行了阐述,第37条规定：”关键信息诩出设施的运售者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存拈,因业务需要,确需向境外提供的.应当按照国家网部J会同国务院有关部门制定的办法进行安全评估；法律,行遮飒另有规定的.依照其规定."此条款也被认为是对于中国数据跨第励颇I1.m立，即”本地存储，出境评估”.2021年，我国又接连颁布了中华人民共4口国8啥全法.中华人民共4口国个人信息保护法两SS招!,进一步补充和完善了数据流动藏PJ.2022年9月1日,睁1家!=1.ji信息办公室（后醐.网信办"）发布的.数据出境器丽?法（局翻U办法,将三豁挤的原J1.腰求进行了明确,界定了数据出酬适用频.并对安全评估和申报工作给出了详细的实施程序.2024年3月22日,网信办发布促进和I规范数据跨境流动规定（后简称新秘,对:数据常蹄峻强目丽衔接作出了进令明确.数据跨境传输常见方式在办法施行一年有余之计，许多头部企业吟撕殿全评并向监管机版狡了数据出境申报材料，涉及互联网、零生.医药、金恩、汽车民航、制造等诸多行业.在已经收到监管机构评1朝的案硼中，某些企业蹄分出境场景卿分数据项廓榜充分的出境必要性，未敏批,对于这部阴燥及系统的亍本地化将成为下Tr段整改工假）更中之氧函号违三是,ift-三MK依娟序自由祝,2024年3月22日修砌从桐层跨境流动的积报信号，例如:典确了可梅也出境三go三、顺了雌出境妗评估申报彳而准合同笛都适用门假提出了在自由贸易试脸区施行出微媚负面百单”制度娥则，算./云科技I族匕，*目前，数据出境能B的三种机制数据出境安全两古,个人信息保护认阳口个人信息出境标准合同，均已进入落地实施阶段,其中，本白皮书若里羌琉做裾出境安全评估的跑径程可以归类为六个阶段，分别为差距分析、整改、自闲左申报、闲古'以及持续合处差距分析X1.整改,自两古X申报）评估）持统合规E.现状尽调差距分析咨询湿务,体系建设能力建设'自用能*Data.Si判脚告申请书省国信办MSSP风险评估整改方案Discovery法律文件国家网信办持续沟通-Kn>X>Sctc报告（技术3报告-整改实施DataMapping-阶段二通过访谈相关人员了解公司数据流H,审阅公司糊度.授权同意文件、隐秘政策.合同等文件，并对公司业务流程、相关系统进行梳理.以及，结合相关经览从而设计有效的检查点和控制点,发现差距并进彳/1险评估.以差距分析结果为卦1,；去规要求为导向、对公司风检策略及成本、业界趋势等提出合量灌改建议.阶段三自评估阶段四申报根据新规和办法要求识别自身是否适用雌出境安全i啪,并完成自评估等合规工作，完成自评估等合规工作之后.数据运营者依照新规和办法在数据出境前做好硒自评后，并向相关部I1提交相关材料.阶段五I评估舱段六I持续合规数据出境安全评估工作本苔闻地申报原则，白锹理君向其所在地省级网信办提交申报材料.各地网信办在忸师领幅,在泠工作日睢丽B梯幅圜1查验（即形式审直）.国家网信办自收到省级网信办提交的申报材料之日起7个工作日内，确定是否受理并书面通知数据处理者.国家网信办受理后，将疣一开展数据出境安全评估工作，开展实质审直并出具结论，完麒据出境安全评估.在通过安全评估后，企业仍需要对雌出境进行持续的评Isffi管.阶段一差距分析理云科技P息i1.3跨境传输一申报解读申报门所有要向境外提供在我国境内（不包括港澳台地区）收集与产生的田要数据以及个人信息的企业与网络运莒者都必须按照新规和办法要求,进行安全评估.具体来说，企业开展数据出境安全评估工作的第一步是准确识别数据出境场里，也是至关田要的步骤,其次，在明确自身数据出境场景的情况下，企业需要进一步评估出境场景是否达到数据出境安全评估的申报门整.新规对于哪些情况需要向网信部门申报评估给出了一些量化标准：1）自当年1月1日起累计向境外提供100万人以上个人信息（不含敏想个人信息），或2）自当年1月1日起累计向境外提供1万人以上敏感个人信息.申报重点办法明痛要求所有数据处理者需要在向埃夕Hg供数据之前开展数据风险的自评估，因此硒自评估成为了一项去律要求,该工作常要企业全面简直数据出境的场寰和情形，并深入评估数据出境的风睑.关于其风给的评估将围绕数据处理者和境外接收方两个方面进行展开：数据处理者：确保雌出境的目的、范围、方式满足合.正识别并评估出瞰螂湫量.礴、种类、触感程识别并评估在数据转移环节，采取省理和技术措皈镯力等 识别并评估数据出境和再转移后泄88.毁损、W改、溢用等的风险 确认与境外接收方订立的数据出境相关合同充分约定了数据安全保妒责任义务境外接收方： 确保处理蝴颉目的、范围、方式等满足年去性.正当性必要性 确保识别了相应责任义务,并履行了相应的管理和技术措施等 确保评估并向境内数据处理者提供了境外数抠保护相关法律法规的相关信息亚马逊云科技VfKBS*三05安全技术能力要求在各项评估项中，数据全生命周期安全防沪体系尤为田要，企业应考虑网络安全防护能力、监控异常能力、保障数据跨境日礴性、保存数据跨境业务系统日瓜建立数娓全生命周期防护机期口应刍处置能力，例如:应具密数据出境前对个人信息谢邦澈处喇触应具备在数据出境传输时采取相应安全措施的能力（加密传输等）应具备数据传输过程及处理过程中实施身份将别和访问控制的镇力应具笛保留数据发送、接收日志的能力应具备对要也保存、使用、传输、植毁等各阶段四亍审计的能力应具智针对安全事件的预防、检i01及晌应能力2金A网"安IrM=数据出境的主要安全技术要求应具备对数据存储介质安全管理，及对数据进行备份和恢复的战力对于以上安全评估和安全能力建设的要求，可以结合专业工具及相关咨询服务,帮助企业建立合规体系,并通过目标理立落地技术方案,包括在出境前进行数据分类/脱敏、事中监控、事后审计;也需要结合企业内部数据平台或治理平台现有能力，以形成企业内的整体治理的技术解决方案.在国内出激据险境传输的监跆逐步趋严,相关法规和指南定集出台的大营里下，数据跨境传输的申报和备案工作也在进行有序地开展,也®有相关部门逐步下发决定，Ti业的某些数据会面临不被准予出境的情况.数据本地化趋势概览由于某些数据面临禁止出境，数据本地化也以及逐渐成为不可烧开的话35.如果把数况出境安全评估比作一场竞赛的上半场，那本地化就是这场竞赛的下半场，企业在下半场更需打起精神，准备好充足的姿源.迎接一场“持久战'的考聆.雌本地化是一项复杂的系统工程，它以侬为核心，以系统为我体,是对企业IT治理和运营能力的一次考版，对于大部分跨国企业而言，经典的T管理模式是高度集中化的,由集团总部在境外统T三三i三OS.并统一先管主要应用系统，供不同国家的业务团队共享使用.这种模式从运营效率和成本节约的角度符合跨国企业的利益，但却不可避免的造成了数据的应度集中以及从中国境内向境外集团总部的单向流动.而本地化势必对这一既有模式武成颂藩,并且不同程度的本地化对业务的影响程度也不尽相同（如图例）：BM不蜕的使用会受到敛般本Jffi化的影日现有业务灌程会受到系Ift本地化的影姐娘架构ID运营B1.式会费到本娘化业务流尤其考虑至卜技跨国企业在业务上须与境外总部保括必要的连通性和联动住,并也有苔皎为复杂的汇报机制,本地化的进程会对此类企业现有的业务流程和人员姐织架构产生一定影响.公司不仅要考虑好可通过一些系统及业务流程方面的快速整改以满足合规要求，也要从长远的角度考虑如何构建一个符合本地化要求的本地业务流程并配智或调整编织架构以实现业务目标.数据本地化路径选择和常见场景尽管数据本地化在概念层面,是将数据的存储位置和I数据处理的过程从某国家或地区转移到另一物理位置，但落实到具体的应用系统，其技术选择和实现路径则五花八门.目标系统的本地化方案可以被归纳为几种"原型方案”，以便进行分组讨论,降低S票程阕11沟通成本；从成本由低至高排序可以简单分为维持现状,流程变更，本地数据留存，系娩迁移到成本最高的境内系融建.不同的方案所对应W院施成本和剩余风险需要在做决策时予以充分考虑.