本白皮书由德勤企业咨询(上海)有限企业(“德勤企业咨询”)和AmazonWebServices,Inc.或其关联方(“亚马逊云科技”)分别撰写,双方就各自撰写的内容分别、独立享有相关知识产权。其中德勤企业咨询负责第一章、第二章、第三章3.1,单独享有该部分的知识产权;亚马逊云科技负责第三章3.2部分(即“技术平台”部分)与3.3.3中“云 上构建端到端的安全”部分,单独享有该部分的知识产权;双方共同享有第三章3.3部分的知识产权。 关于德勤企业咨询部分的声明:本白皮书中所含内容乃一般性信息,任何德勤有限企业、其全球成员所网络或它们的关联机构并不因此构成提供任何专业建议或服务。在作出任何可能影响您的财务或业务的决策或采取任何相关行动前,您应咨询合格的专业顾问。我们并未对本白皮书所含信息的准确性或完整性作出任何(明示或暗示)陈述、保证或承诺。任何德勤有限企业、其成员所、关联机构、员工或代理方均不对任何方因使用本通讯而直接或间接导致的任何损失或损害承担责任。德勤有限企业及其每一家成员所和它们的关联机构均为具有独立法律地位的法律实体,相互之间不因第三方而承担任何责任或约束对方。德勤有限企业及其每一家成员所和它们的关联机构仅对自身行为及遗漏承担责任,而对相互的行为及遗漏不承担任何法律责任。德勤有限企业并不向客户提供服务。请参阅www.deloitte.com/cn/about了解更多信息。 关于亚马逊云科技部分的声明:本部分内容陈述了亚马逊云科技在封面页所示日期的有关服务产品及实践,该等信息可能变化且我们不会另行通知。客户对于本部分的信息以及亚马逊云科技的产品或服务应自己做出独立的判断,该等内容都是“依现状”提供,不包含任何明示或者暗示的保证。本部分内容并没有创设来自亚马逊云科技或其关联方、提供方或许可方的任何保证、陈述、合同性承诺、条件或者担保。亚马逊云科技对其客户的义务和责任均由适用的客户协议管辖。本部分内容不是亚马逊云科技和其客户之间任何协议的组成部分,也不构成对任何协议的修改。 前言 数字化经济在云计算、人工智能、机器学习、区块链、物联网等新兴技术的推动下,正在全面改变人们的生产生活方式,深刻影响人类社会历史发展进程。而数据是这一切的关键生产要素,从数据的来源、使用方式乃至数据衍生驱动的各类算法模型、执行决策都驱动了商业活动中数字经济的快速发展。 “合规是红线,安全是底限”,各国都在不断通过各种立法来规范数字化经济的发展,确保对于数据的主权、维护核心数据资产的安全、保护个人隐私、促进数据必要的合法流动和共享、以及减少广义供应链风险。同时由于大型服务平台以及AI应用对于传统商业模式的强劲冲击,这类平台或产品合规已成为全球关注的下一重点。 而对于企业来说,随着全球对于数字经济监管范围的进一步拓展以及公众对于隐私保护的关注度越来越高,数据应用与保护不再是一件仅与自身相关的“家务事”,出海挑战的良好应对更需要企业广泛关注在监管要求的缕清与响应、用户诉求的明确与应对,以及数据、数据处理过程、供应链上下游的全生命周期安全。这就使得企业急需建立一套机制,从内部管理及技术手段两个方面开展行动,以便在应对出海多国的合规目标的同时,拉动企业内部多部门在当前全球经济乏力、降本增效背景下构建覆盖全业务场景的合规协作方式。 本白皮书旨在为帮助中国企业在出海数据安全议题上,解读相应的法律法规,分析面临的问题和挑战,并提出应对策略以建立相应管理体系和构建数据安全技术平台,从而启发企业建立自身有效的数据安全合规保障体系。 吴苹 德勤中国风险咨询全国主管合伙人 顾凡 亚马逊云科技大中华区产品部总经理 目Tab录leofContents 第一章国际数字经济与科技发展态势1 1.1后疫情时代的出海大势2 1.2数字科技领域热点趋势7 1.3数字科技立法及监管趋势10 1.3.1个人信息及衍生信息保护10 1.3.2大型数字平台监管15 1.3.3人工智能技术监管17 第二章中国企业出海面临的合规挑战20 2.1数据安全与隐私合规态势概述22 2.1.1常见数据安全与隐私合规监管事项23 2.1.2数据跨境流通态势及监管重点35 2.2数字平台监管态势概述39 2.3人工智能监管态势概述42 2.4对中国企业出海的主要挑战48 2.5主要行业在出海过程的特殊挑战55 2.5.1游戏行业55 2.5.2网联汽车及软硬件服务 2.5.3社交App行业 2.5.4跨境电商行业 2.5.5智能设备行业 2.6出海支持行业的特殊挑战 2.6.1跨境支付提供商 2.6.2企业级SaaS服务提供商 2.6.3智能广告提供商 第三章中国企业出海发展合规应对建议 3.1健全合规管理体系 3.1.1计划出海或准备出海 3.1.2已在海外有业务 3.2技术平台 3.2.1安全责任共担模型 3.2.2亚马逊云科技云上的隐私保护 3.2.3亚马逊云科技的合规计划 3.2.4亚马逊云科技云上的安全 3.3应对案例 3.3.1案例背景介绍 3.3.2企业面临的出海安全合规核心挑战 3.3.3解决方案 58 63 66 69 73 73 75 77 79 80 80 81 89 91 92 95 98 104 104 105 106 1 国科际技数发字展经态济势与 1 1 1.1后疫情时代的出海大势 —国际数字经济与科技发展态势 全球经济增长仍然面临巨大压力 随着2023年5月,世界卫生组织宣布新冠疫情不再构成“国际关注的突发公共卫生事件” (PHEIC),人们逐步开始回归疫情前的生活状态。但是,全球经济复苏的前景充满不确定性,依据联合国5月发布的《世界经济形式与展望》,预计2023年世界经济增长率为2.3%、2024年略微增长至2.5%,仍然远低于疫情前2018年的GDP增长率3.7%。与此同时,全球经济增长两极分化的态势逐渐明显,大多数发达经济体经济急剧下滑,而南亚、西亚以及非洲在内的发展中区域虽然仍能保持相对较高的GDP增速,但与疫情前、甚至2022年相比仍有所下滑。 外资外贸是中国经济增长的重要支撑及成果 根据中国海关总署统计数据,2022年全年中国货物进出口总额突破42万亿元人民币。推动产业向中高端迈进、促进数字经济和实体经济的深度融合、加快数字经济的发展、推动高质量共建“一带一路”仍然是未来几年的重点发展方向。 在此背景之下,发展海外市场成为了较多中国企业的优先选择,其中,以跨境电商、游戏互娱、消费电子、新能源汽车为代表的新兴行业更是在出海的道路上大展宏图,形成空前活跃的发展景象,出海规模持续增长,从以下数据可见一斑: 2 3 3 跨境电商:根据中国海关总署的数据显示,2022年跨境电商进出口规模再创新高,达2.1万亿元,同比增长7.1%,占进出口总额的4.9%,跨境电商成为外贸重要新生力量。 游戏互娱:根据中国音数协游戏工委发布的《中国游戏产业报告》,2022年1-6月,中国自主研发游戏在海外的实际销售收入达89.89亿美元,同比增长6.16%。多款手游在海外的表现,无论是在下载排行还是游戏内付费充值都占据了当地应用榜单的前列。 消费电子:据海关总署数据,2023年1-4月,智能手机出口近1.6亿台,手机以及包括智能家居产品、无人机等消费电子早已成为多个国家和地区炙手可热的产品。 新能源汽车行业:据中国汽车工业协会统计分析,继2021年超200万辆、2022年超300万辆之后,今年上半年中国汽车出口达214万辆,同比 增长75.7%,预计2023年全年汽车出口有望达到400万辆,成为整体汽车市场的重要增长力量。 中国企业出海规模日益增长,中小企业乘上风口 亚马逊云科技于2022年6月发布的《中国企业上云出海趋势洞察》数据显示,在已经布局全球业务的受访企业中,大型企业依然占据主导地位,占比达到63%,但是,在计划出海的企业群体中,员工1000人以下的中小企业则占据了主流,占比达到65%。由此可见,面对数字经济所带来的机遇,中小企业将越来越多地参与到出海业务中,借助各类云服务实现跨区域业务的数字化转型与智能化创新。 出海足迹从欧美拓展到东南亚、北美洲、非洲等新兴区域 中国企业出海足迹近年从欧美等传统区域扩展到东南亚、北美洲、非洲等新兴区域。根据亚马逊云科技2022年6月的《中国企业上云出海趋势洞察》,超过60%受访出海企业的全球业务布局覆盖超过3个以上海外地区。 4 东南亚作为新兴经济体的代表,由于地理位置优越,人口基数庞大,且拥有接近中国文化习惯的先天优势,成为很多中国企业初次出海的重点考虑地区以及出海业务覆盖最高的地区,尤其是对于从事网络游戏、金融科技以及企业服务的中国企业,东南亚俨然已成为其出海的首选地。 欧洲和北美洲作为发达国家集中地区,受到大型企业更高的关注,分别位居出海重点覆盖区域的第二位、第三位。由于欧洲、北美洲的高价值客户较为集中,中国出海企业更加关注对品牌建设的投资力度,提升品牌竞争力。 南美洲、非洲以及中东地区作为新兴经济体集中地区,正在成为中国企业出海的“新蓝海”,在2021年,中国对非洲出口1483亿美元,同比增长29.9%1。 51中华人民共和国商务部统计数据 userid:532115,docid:145751,date:2023-11-14,sgpjbg.com 激烈竞争促进出海业务及盈利模式多样性发展 在竞争日益激烈的国际市场中,传统的业务及盈利模式带来的收入增长有限,中国企业也在探索应用数字经济的东风,开展更为广泛的创新活动。 跨境电商供应链相关企业开始分工合作、协同预测、协同供应、协同研发,以提高企业对市场变化的反应速度,强化产品功能质量,提高生产和供应效率。另一方面,与海外消费者建立信任关系,也同样是开拓海外市场的重要一环,企业越发注重对海外消费者权益更进一步的保障,比如对消费者权利以及数据安全和个人隐私保护。 传统的游戏行业通过分发平台购买游戏或游戏内的充值内购进行盈利,近年来探索出新的营收模式,例如加入订阅业务,通过运营商资源触达用户获取订阅分成或广告变现等。 中国汽车流通协会于2022年的调研数据显示,所受访车企在未来3至5年仍将全部或部分采用经销商模式以及与当地售后合作,少量车企开始尝试直营/自建模式。数据将逐渐从分散在经销商回归到车企的掌控范围,助力于车辆研发与优化。 跨境支付平台、智能数字营销平台以及助力企业出海的工具平台服务成为热门投资领域,新业务场景得以实现,产品触达更多消费者,更好地跨区域运营。 随之而来的处理数据敏感化、数据处理过程复杂化、数据来源多元化、跨区域数据流动也带来了出海过程合规新挑战。 6 1.2数字科技领域热点趋势 工作生活方式的变化带动了线上服务的发展和对远程安全保护的关注 2020年开始,新冠疫情的爆发引发了人们对于公共卫生安全与个人隐私边界的热烈讨论,社会公众越发注重对自身隐私的保护。 一个典型场景是过去近三年,人们把工作和生活的重心转移到线上,且随着疫情后经济艰难复苏,越来越多的消费者选择更为透明和低廉的线上购物渠道,物美价廉的中国服装快时尚品牌、操作友好的智能互联家电以及与社交网络深度融合的直播购物生态成为海外新宠儿。但在此过程中产生的数据自动化处理、多渠道数据融合化等复杂的新型问题,引发了公众对企业的不信任,以及对AI技术背后黑盒的担忧,加大了隐私增强计算的迫切需求。 另一个场景,是疫情期间许多企业被迫转为线上办公。对于网络体系较为健全的互联网企业来说,要求员工使用VPN等类似的隐私通道技术可以相对安全高效地实现远程办公,而对于网络边界建设不完全的企业,员工可能不得不在远程办公期间通过互联网接入企业,线上办公所处理的数据大部分也都通过互联网传输,这会大大增加员工受到网络攻击和社会工程的攻击风险,对数据保护是一个巨大的挑战。再者,在工控领域,远程操作的有效性和精准性远远不如实地操作,并且远程接入工控网络也会增加遭遇各种网络攻击的风险。同时,