数据跨境合规白皮书

全球跨境惠赢矩阵惠天下赢未来数据跨境合规白皮书2023年5月 目录1全球及中国数据安全合规趋势041.1全球数据安全合规趋势051.2中国数据安全合规趋势072数据跨境法规解读082.1全球数据跨境法规092.2中国数据跨境法规113 典型数据跨境场景的风险及应对133.1 典型跨境场景143.2数据跨境带来的风险与挑战143.3典型跨境应对15 4数据跨境合规应对164.1金融行业174.2 科技互联网行业—以智能硬件为例214.3 汽车行业—以车联网为例264.4 企业内部管理场景295总结31联系方式—普华永道33联系方式—奇安信34 随着全球数字经济规模持续增长，数据作为重要的生产要素，在生产生活各个环节的重要作用正日益显现，数据流动和处理活动安全受到越来越多的关注。世界范围内，对数据跨境活动的管控和监管逐步健全，目前，世界各国针对数据跨境流动密集出台了相关的法律法规，主要国家和地区的监管执行力度增强，数据合规制度数量增长、管辖范围逐步扩大的趋势明显，是进行跨国商业活动的企业必须重视的课题。此外，数据跨境可能会因个人信息、重要数据、商业数据等引发用户数据易被泄露、滥用等问题，导致的企业名誉受损、利益受损、被通报批评处罚或罚款，还可能会给企业带来技术管理、资产管理和组织管理等问题。数据安全是数字经济发展的底板，明确数据跨境安全合规措施，是保护个人信息、防范化解企业数据跨境安全风险、促进数字经济健康发展的重要保障。本白皮书由普华永道中国（简称普华永道）与奇安信科技集团股份有限公司（简称奇安信），双方依托各自深耕领域的技术优势和良好资源，重点围绕数据跨境在金融、科技互联网、汽车以及企业内部管理的场景，分析了数据跨境法规对于具体场景的影响以及典型应对措施，为企业数据合规和安全保障提供有力借鉴。前言 PwC1全球及中国数据安全合规趋势普华永道4 1.1全球数据安全合规趋势全球数据合规条例兴起，主要国家和地区执法力度趋严近年来，随着互联网的迅速发展以及新冠疫情影响带来的数据增长，各国更加关注对数据的合法利用。自欧盟推出《一般数据保护条例》（下文简称“GDPR”或“一般数据保护条例”）以来，已有100多个国家颁布或提出了数据保护或隐私保护法。除此之外，主要国家和地区的监管执行力度增强，2021年GDPR全年罚款金额同比上涨，达到总计11亿欧元，亚马逊也因违反GDPR被罚7.46亿欧元1，为保证数据安全和执法透明度，全球数据合规条例增长和范围扩大已成为必然。1984-《数据保护法》2003-《隐私与电子通信条例（PECR）》2018.5-《网络和信息系统安全法规》2021.1-《通用数据保护条例》2022.1-《国家网络安全战略2022-2030》2022.5-《数据改革法案（草案）》1976-《个人数据保护法》2018-《新联邦数据保护法》2021.1-《联邦数据战略》2021.5-《IT安全法》2.0版1978-《信息技术与自由法》2008.6-《国家安全与防务白皮书》2011.2-《信息系统防御与安全：法国战略》2015.10-《法国国家数字安全战略》2018.2-《网络防御战略评论》2018.11-《个人数据保护法》2018.12-《数据保护法》1947.12-《宪法》1996-《数据保护法》2003-《电子商务法》2005-《消费者法典》2012-《个人数据保护法典（修订版）》2013-《国家网络空间安全战略框架》1983-《隐私法》1983.7-《信息访问法案》2000-《个人信息保护和电子文档法案》2012..3-《加拿大网络安全对关键基础设施威胁的评估》2018.6-《新版国家网络安全战略》1981-欧盟《个人数据自动化处理中的个人保护公约》1995.10-《95指令》2016.4-《一般数据保护条例》2019.5-《非个人数据自由流动条例》2019.4-《网络安全法案》2020.2-《欧洲数据战略》2022.2-《数据法案（草案）》2022.5-《数据治理法案》2022.9-《数字市场法案》2022.10-《数字服务法案》欧盟1974.12-《隐私法案》1986-《电子通信隐私法》1986.10-《计算机欺诈和滥用法》2018.3《澄清海外合法使用数据法案》2018.6-《消费者隐私法案》（加利福尼亚州）2021.3-《消费者数据保护法》（弗吉尼亚州）2021.5-《关于加强国家网络安全的行政命令》2021.8-《统一个人数据保护法》美国加拿大英国德国法国意大利普华永道512021年度GDPR罚金和数据泄露调查报告，欧华律师事务所（DLAPiper）。 1988.12-《隐私法》1997-《电信法》2013.8-《公共服务大数据战略》2013.6-《关键基础设施安全法》2020.8-《网络安全战略》2022.4-《国家数据安全行动计划》澳大利亚2001.1-《巴西银行保密法》2011.6-《巴西良好数据法》2012.5-《巴西信息获取法》2014.4-巴西《网络民法》2018.8-《通用数据保护法》2019.7-政府第9936/19号法令2019.7-巴西中央银行第4737/19号决议2021.2-《网络安全条例》巴西1999-《信息技术法》2013.7-《国家网络安全政策》2017.11-《数据保护框架白皮书》2022.12-《数字化个人数据保护法草案》印度2015.7-《中华人民共和国国家安全法》2017.6-《中华人民共和国网络安全法》2020.1-《中华人民共和国密码法》2021.1-《中华人民共和国民法典》2021.9-《中华人民共和国数据安全法》2021.11-《中华人民共和国个人信息保护法》2022.9-《数据出境安全评估办法》2023.6-《个人信息出境标准合同办法》中国2001.1-《信息通信网络利用促进和信息保护法》2001.9-《个人信息保护法施行令》2008.2-《位置信息保护和使用法实施令》2008.2-《信息和通信网络利用和信息保护促进法实施令》2009.4-《信用信息使用和保护法》2009.10-《信用信息使用和保护法实施令》2010.3-《位置信息保护和使用法》2011.3-《个人信息保护法》韩国1988.12-《行政机关计算机处理的个人信息保护法》2000.1-《保护信息系统免受网络攻击行动计划》2003.5-《个人信息保护法》2013.6-《网络安全战略》2014.11-《网络安全基本法》2015.9-《网络安全战略（第二版）》2018.7-《网络安全战略（第三版）》2022.2-《网络安全战略》日本1992-《俄罗斯联邦安全法》1993.7-《国家秘密法》1993.12-《俄罗斯联邦宪法》2004.7-《商业秘密法》2006-《信息、信息技术和信息保护法》2006.7-《俄罗斯联邦个人数据法》2008.9-《不使用自动化设备进行个人数据处理规定》2012.11-《个人数据相关信息系统在处理个人数据过程中的防护要求》俄罗斯普华永道62此处节选部分法律法规，仅供一般参考之用，不可视为详尽说明。 长臂管辖对数据所在国法规产生冲击目前，全球数据跨境流动和数据监管未形成统一规制，受本国国情和多种因素影响，各国立法框架仍存在差异，由此导致同一主体可能受到双重法规限制的问题。例如，欧盟《一般数据保护条例》（GeneralDataProtectionRegulation）确立的效果原则规定了只要是向欧盟境内的数据主体提供商品服务且存在处理个人数据等行为，其收集到的信息都要受到欧盟管辖，因此，数据处理国不得不通过数据立法进一步应对长臂管辖带来的影响。各国家和地区立法具有鲜明特点，发展趋势存在差异由于各国家和地区间立法驱动因素不同、国情和地区特性不同，其立法侧重点及发展趋势也有所差异，以欧盟和亚太经济合作组织为代表的地区性立法以保护个人数据为出发点，推动地区间数据流通，同时在监管和执法程序上更加标准化和透明化；以美国为代表的国家在合规立法中更看重数据自由流动带来的经济效益，在奉行整体宽松政策的同时，为特殊行业提供不同的法律依据，例如金融、医疗、电子通信、基础设施等行业；以俄罗斯为代表的国家在合规立法方面受政治因素影响较大，更关注以安全为核心的国内治理，对数据跨境流动施行严格管控，形成“内外双严”的数据安全发展态势。1.2中国数据安全合规趋势数据合规管理制度日趋完善随着《网络安全法》《数据安全法》《个人信息保护法》的相继落地实施，我国网络安全与数据保护领域基本法律框架形成，未来，数据法规整改和内容细化将成为主要趋势。例如，针对数据出境活动相关规范细则不断落地，《数据出境安全评估办法》《数据出境安全评估申报指南》等进一步细化《个人信息保护法》中提到的数据出境安全评估路径的要求，《个人信息出境标准合同办法》《个人信息跨境处理活动安全认证规范》等法律法规则进一步细化《个人信息保护法》中提及的合同备案及数据认证路径，数据出境的基本合规框架亦已搭建完成。数据分级分类管理趋势《网络安全法》提出了数据分级分类保护制度，数据可从个人维度、公共管理维度、信息传播维度、组织经营维度和行业领域维度等进行分类，不同数据涉及的法律风险和数据合规要求各有不同；同时，根据对国家安全和公共利益等造成危害的程度，对重要数据提出了严格的监管要求，以此实现数据资源的精细化管理和保护。分行业进行数据合规管理监管机构针对不同行业发起了多项监管行动，个别行业数据治理成为重点监督方向。例如，金融领域发布了《征信业务管理办法》，国家市场监督管理总局和国家标准化管理委员会也针对医疗领域发布了推荐性国家标准GB/T39725-2020《信息安全技术—健康医疗数据安全指南》，以及汽车行业的《汽车数据安全管理若干规定（试行）》等。普华永道7 PwC2数据跨境法规解读普华永道8 2.1全球数据跨境法规目前，针对数据跨境的治理在全球范围内并未形成统一的规制体系，不同国家和地区主要通过双边或多边区域性合作实现对数据跨境的协调管理，其中最为知名影响范围最广的便是欧盟主导推进的数据跨境治理体系，致力于在数据跨境传输过程中为个人数据主体提供充足保护。此外，经济合作与发展组织（OECD）在1980年已发布《隐私保护和跨境个人数据流动指南》（GuidelinesGoverningtheProtectionofPrivacyandTransborderFlowsofPersonalData），鼓励数据跨境和自由流动；亚太经济合作组织（APEC）在2005年发布《APEC隐私框架》（APECPrivacyFramework），提出数据收集目的明确、数据使用范围限制、安全管理等九项原则，对成员国数据跨境立法提出规制建议。与国际间积极合作的趋势相对应，不同主权国家基于本国国情也纷纷出台相应数据跨境法规。其中美国、澳大利亚等国奉行宽松的数据跨境流动政策，就美国而言，联邦层面并未立法禁止或限制数据跨境，但针对重点行业或领域的数据实行专门管控；而俄罗斯、印度、中国等国受本国特殊政治经济及文化环境影响对国家数据安全及主权更为关注，俄罗斯更是施行数据本地化的治理策略。欧盟数据跨境法规解读欧盟数据跨境法规规制的出发点在于保障个人数据主体的数据权利，因此并不禁止数据的跨境流动，也不强制要求本地化，但对数据接收方的数据保护水平或保障措施等做出要求，具体而言，数据控制者主要可通过以下三种方式进行个人数据跨境传输活动3：1.个人数据可传输至获得欧盟“充分性认定”的国家或地区，也即“白名单”制度。该名单由欧盟委员会根据个人信息保护立法状况、执法能力，是否存在有效的救济机制等做出综合评估。截至目前，中国尚未获得欧盟“充分性认定”，国内企业暂时无法通过该等路径进行数据跨境传输。此外，美国虽未获得充分性认定，但与欧盟不断就数据跨境磋商并达成双边协定，并根据《欧美隐私盾协议》（EU-U.S.PrivacyShield）取得类似“白名单”地位，后该协议在SchremsII案中由欧盟法院宣告无效，但双方于2022年3月25日就新的《跨大西洋数据隐私框架》（Trans-AtlanticDataPr