亚马逊云科技：2024合规及跨境数据传输联合白皮书

合规及联跨合境白数皮据书传输2024 更新于2024年4月 声明 本《合规及跨境数据传输联合白皮书》由普华永道商务咨询（上海）有限公司（以下简称“普华永道”）和AmazonWebServices,Inc.或其关联方（“亚马逊云科技”）分别撰写，双方就各自撰写的内容分别、独立享有相关知识产权。其中普华永道负责撰写“第一部分数据跨境传输概述”、“第二部分合规及跨境数据传输解决之道”、及“附录：普华永道隐私保护合规解决方案---PrivacyReady”、普华永道下一代安全运营服务MSS（Man-agedSecurityService）”，单独享有该部分的知识产权；亚马逊云科技负责撰写“附录：亚马逊云科技敏感数据保护方案”，单独享有该部分的知识产权。本报告中所有文字、数据、图片、表格，均受中华人民共和国著作权法及其它法律法规保护。未经普华永道和/或亚马逊云科技书面许可，任何机构和个人不得基于任何商业目的使用本报告中普华永道部分和/或亚马逊云科技部分的信息（包含报告全部或部分内容），不得摘录、复制、储存在检索系统中，或以任何形式或通过任何手段（包括电子、机械、影印、录制或扫描）进行传播。如果任何机构和个人因非商业、非盈利、非广告的目的需要引用本报告中内容，需要注明“转载自普华永道商务咨询（上海）有限公司和AmazonWebServices,Inc.或其关联方（亚马逊云科技）联合发布的《合规及跨境数据传输联合白皮书》”。本报告仅作为一般性指导，并不构成提供任何形式的法律咨询、会计服务、投资建议或专业咨询。本报告所提供的信息不能取代专业税收、会计、法律咨询或其他相关专业咨询建议。在作出任何决定或采取任何行动之前，您应该咨询专业顾问，并向其提供与您特定情况相关的所有事实。 本报告的信息来源于本次调研所收集的数据以及公开的资料，我们对信息的完整性、准确性或及时性概不作出任何保证或担保，也不提供任何明示或暗示的担保，包括但不限于对业绩、适销性和适用于特定用途的担保，在不同时期可能会得出与本报告不一致的观点。 本报告仅供一般参考使用，不构成具体事项和咨询意见，普华永道不对本报告内容承担审慎责任，并且未就本报告内容做出任何明示或暗示保证。普华永道不就本报告内容向任何人士承担任何责任或义务，也不向任何人士承担因本报告所引起的或与本报告有关的任何责任或义务。读者不应依赖本报告内容做出投资或其他商业决定。如需具体意见，请咨询专业顾问。 本报告中由亚马逊云科技负责撰写的内容陈述了亚马逊云科技在封面页所示日期的有关服务产品及实践，该等信息可能变化且我们不会另行通知。客户对于本部分的信息以及亚马逊云科技的产品或服务应自己做出独立的判断，该等内容都是“依现状”提供，不包含任何明示或者暗示的保证。本部分内容并没有创设来自亚马逊云科技或其关联方、供应商或许可方的任何保证、陈述、合同性承诺、条件或者担保。亚马逊云科技对其客户的义务和责任均由适用的客户协议管辖。本部分内容不是亚马逊云科技和其客户之间任何协议的组成部分，也不构成对任何协议的修改。 方案导览 1数据跨境传输概述01 1.1数据跨境传输—合规趋势与解读02 1.1.1全球数据安全合规趋势与解读02 1.1.2中国数据安全合规趋势与解读03 1.2数据跨境传输—评估整体过程04 1.3数据跨境传输—申报解读05 1.3.1申报门槛05 1.3.2申报重点05 1.4数据跨境传输—评估结果分析07 1.4.1数据本地化趋势概览07 1.4.2数据本地化路径选择和常见场景08 2合规及跨境数据传输解决之道10 附录13 亚马逊云科技敏感数据保护方案14 普华永道隐私保护合规解决方案--PrivacyReady16 普华永道下一代安全运营服务MSS（ManagedSecurityService）19 数 据跨0境传1输概述 01 随着全球数字经济规模的持续增长，数据作为重要生产要素，在生产生活各个环节的重要作用正日益显现，数据流动的安全性受到越来越多的关注。全球范围内，对数据跨境活动的管控和监管正在逐步健全；目前，各国针对数据跨境流动密集出台了相关的法律法规，主要国家和地区的监管执行力度增强，数据合规制度数量增长、管辖范围逐步扩大的趋势明显，也让数据跨境传输合规成为了进行跨国商业活动的企业需要格外重视的课题。此外，数据跨境会加剧个人信息、重要数据和商业数据泄露及滥用的风险，导致企业的名誉和利益受损，还可能会给企业带来技术管理、资产管理和组织管理等问题。 数据安全是数字经济发展的底板，明确数据跨境安全合规措施，是保护个人信息、防范化解企业数据跨境安全风险、促进数字经济健康发展的重要保障。 1.1数据跨境传输—合规趋势与解读 全球数据安全合规趋势与解读 随着互联网迅速发展带来的数据增长，各国更加关注对数据的合法利用。自欧盟推出《一般数据保护条例》（GDPR）以来，已有100多个国家或地区颁布或提出了数据保护或隐私保护法。目前，全球数据跨境流动和数据监管未形成较为统一框架，在各国国情、国家安全、隐私保护、产业能力等多元因素的复杂影响下，跨境数据流动监管制度较为差异化。 02 由于各国家和地区间立法驱动因素、国情和地区特性不同，其立法侧重点及发展趋势也有所差异，以欧盟和亚太经济合作组织为代表的地区性立法以保护个人数据为出发点，推动地区间数据流通，同时在监管和执法程序上更加标准化和透明化；以美国为代表的国家在合规立法中更看重数据自由流动带来的经济效益，在奉行整体宽松政策的同时，为特殊行业提供不同的法律依据，例如金融、医疗、电子通信、基础设施等行业；以俄罗斯为代表的国家在合规立法方面受政治因素影响较大，更关注以安全为核心的国内治理，对数据跨境流动施行严格管控，形成“内外双严”的数据安全发展态势。 03 中国数据安全合规趋势与解读 在全球的立法潮流中，中国也在过去的几年中加快了对于数据保护的各类立法。2016年11月7日通过的《中华人民共和国网络安全法》是我国在网络空间治理领域的第一部基本大法，首次在法律上对数据跨境流动进行了阐述，第37条规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储，因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。”此条款也被认为是对于中国数据跨境流动规则的确立，即“本地存储，出境评估”。 2021年，我国又接连颁布了《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》两部法律，进一步补充和完善了数据流动规则。2022年9月1日，由国家互联网信息办公室（后简称“网信办”）发布的《数据出境安全评估办法》（后简称《办法》）正式实施，将三部法律的原则要求进行了明确，界定了数据出境的适用范围，并对安全评估和申报工作给出了详细的实施程序。2024年3月22日，网信办发布《促进和规范数据跨境流动规定》（后简称《新规》），对现有数据跨境制度的实施和衔接作出了进一步明确。 1.2数据跨境传输—评估整体过程 在《办法》施行一年有余之计，许多头部企业已经积极开展安全评估并向监管机构递交了数据出境申报材料，涉及互联网、零售、医药、金融、汽车、民航、制造等诸多行业。在已经收到监管机构评估结果的案例中，某些企业的部分出境场景或部分数据项因缺乏充分的出境必要性，未能获批，对于这部分数据及系统进行本地化将成为下一阶段整改工作的重中之重。 值得注意的是，为进一步规范和促进数据依法有序自由流动，网信办于2024年3月22日发布的《新规》从不同层面释放了有利于数据跨境流动的积极信号，例如：明确了可豁免数据出境合规监管的场景、提高了数据出境安全评估申报和标准合同备案的适用门槛、提出了在自由贸易试验区施行出境数据“负面清单”制度的规则，等等。 1.2数据跨境传输—评估整体过程 差距分析 整改 自评估 申报 评估 持续合规 目前，我国数据出境管理的三种机制：数据出境安全评估、个人信息保护认证和个人信息出境标准合同，均已进入落地实施阶段。其中，本白皮书着重关注的数据出境安全评估的路径程序可以归类为六个阶段，分别为差距分析、整改、自评估、申报、评估、以及持续合规。 现状尽调差距分析咨询服务风(险评估报管告理)差距(报技告术)差距 体系建设能力建设整改方案整改实施 自评报告DataDiscoveryDataMapping 自评估报告申请书法律文件其它材料 省网信办国家网信办 MSSP持续沟通 阶段一差距分析 通过访谈相关人员了解公司数据流转，审阅公司制度、授权同意文件、隐私政策、合同等文件，并对公司业务流程、相关系统进行梳理。以及，结合相关经验从而设计有效的检查点和控制点，发现差距并进行风险评估。 阶段三自评估 根据《新规》和《办法》要求识别自身是否适用数据出境安全评估，并完成自评估等合规工作。 阶段五评估 数据出境安全评估工作本着属地申报原则，由数据处理者向其所在地省级网信办提交申报材料。各地网信办在收到申报材料后，在5个工作日内完成申报材料的完备性查验（即形式审查）。国家网信办自收到省级网信办提交的申报材料之日起7个工作日内，确定是否受理并书面通知数据处理者。国家网信办受理后，将统一开展数据出境安全评估工作，开展实质审查并出具结论，完成数据出境安全评估。 以差距分析结果为基础，法规要求为导向、对公司风险策略及成本、业界趋势等提出合理的整改建议。 阶段四申报 完成自评估等合规工作之后，数据运营者依照《新规》和《办法》在数据出境前做好风险自评后，并向相关部门提交相关材料。 阶段六持续合规 阶段二整改 在通过安全评估后，企业仍需要对数据出境进行持续的评估监管。 04 1.3数据跨境传输—申报解读 申报门槛 所有要向境外提供在我国境内（不包括港澳台地区）收集与产生的重要数据以及个人信息的企业与网络运营者都必须按照《新规》和《办法》要求，进行安全评估。 具体来说，企业开展数据出境安全评估工作的第一步是准确识别数据出境场景，也是至关重要的步骤。其次，在明确自身数据出境场景的情况下，企业需要进一步评估出境场景是否达到数据出境安全评估的申报门槛。《新规》对于哪些情况需要向网信部门申报评估给出了一些量化标准： 1）自当年1月1日起累计向境外提供100万人以上个人信息（不含敏感个人信息），或 2）自当年1月1日起累计向境外提供1万人以上敏感个人信息。 申报重点 《办法》明确要求所有数据处理者需要在向境外提供数据之前开展数据风险的自评估，因此风险自评估成为了一项法律要求。该工作需要企业全面筛查数据出境的场景和情形，并深入评估数据出境的风险。关于其风险的评估将围绕数据处理者和境外接收方两个方面进行展开： 数据处理者： •确保数据出境的目的、范围、方式满足合法性、正当性、必要性 •识别并评估出境数据的数量、范围、种类、敏感程度及带来的风险 •识别并评估在数据转移环节，采取管理和技术措施、能力等 •识别并评估数据出境和再转移后泄露、毁损、篡改、滥用等的风险 •确认与境外接收方订立的数据出境相关合同充分约定了数据安全保护责任义务 境外接收方： •确保处理数据的目的、范围、方式等满足合法性、正当性、必要性 •确保识别了相应责任义务，并履行了相应的管理和技术措施等 05 •确保评估并向境内数据处理者提供了境外数据保护相关法律法规的相关信息 01 06 安全技术能力要求 在各项评估项中，数据全生命周期安全防护体系尤为重要，企业应考虑网络安全防护能力、监控异常能力、保障数据跨境日志的完整性、保存数据跨境业务系统日志、建立数据全生命周期防护机制和应急处置能力，例如： •应具备数据出境前对个人信息进行脱敏处理的能力 •应具备在数据出境传输时采取相应安全措施的能力（加密传输等） •应具备数据传输过程及处理过程中实施身份鉴别和访问控制的能力 •应具备保留数据发送、接收日志的能力 •应具