2024跨境数据合规白皮书

跨境数据合规白皮书2024.Q1 目录目录聚焦全球及中国数据合规发展态势1.1 全球数据合规条例兴起，部分国家和地区加强制度管理1.2 中国数据合规发展背景及趋势1.3 跨国企业数据流动价值Part数据合规风险及挑战2.1 AI风险及数据合规问题2.2 数据跨境主要痛点及难点2.3 企业在具体业务中的数据安全和合规性问题Part数据安全合规的应对策略3.1 现行法律法规对于数据安全的相关要求3.2 数据本地化存储与出境3.3 径硕科技数据安全解决方案Part前沿技术与数据合规的碰撞4.1 揭开生成式AI的神秘面纱4.2 AIGC国际层面的立法监管情况Part 聚焦全球及中国数据合规发展态势Part1.1 全球数据合规条例兴起，部分国家和地区加强制度管理1.2 中国数据合规发展背景及趋势1.3 跨国企业数据流动价值 1.1 全球数据合规条例兴起，部分国家和地区加强制度管理近年来，随着互联网的迅速发展以及国内外对于数据要素的认知不断深化，各国更加关注对数据的合规利用以期提升国家综合竞争力。自欧盟推出《一般数据保护条例》（下文简称“GDPR”或“一般数据保护条例”）以来，已有100多个国家针对数据合规颁布或提出了数据保护或隐私保护法。除法律法规层面的完善之外，主要国家和地区的监管执行力度也在不断增强，2021年GDPR全年罚款金额同比上涨，总计达到11亿欧元，亚马逊也因违反GDPR被罚7.46亿欧元。为保证数据安全和执法透明度，全球数据合规条例增长和范围扩大已成为必然。Part 1欧盟1981-欧盟《个人数据自动化处理中的个人保护公约》1995.10-《95指令》2016.4-《一般数据保护条例》2019.5- 《非个人数据自由流动条例》2019.4-《网络安全法案》2020.2-《欧洲数据战略》2022.2-《数据法案（草案）》2022.5- 《数据治理法案》2022.9-《数字市场法案》2022.10- 《数字服务法案》加拿大1983-《隐私法》1983.7-《信息访问法案》2000-《个人信息保护和电子文档法案》2012.3-《加拿大网络安全对关键基础设施威胁的评估》2018.6-《新版国家网络安全战略》法国1978-《信息技术与自由法》2008.6-《国家安全与防务白皮书》2011.2-《信息系统防御与安全：法国战路》2015.10-《法国国家数字安全战略》2018.2- 《网络防御战略评论》2018.11- 《个人数据保护法》2018.12- 《数据保护法》德国1976- （个人数据保护法》2018- 《新联邦数据保护法》2021.1- 《联邦数据战略》2021.5-《IT安全法》2.0版意大利1947.12-《宪法》1996- 《数据保护法》2003-《电子商务法》2005-《消费者法典》2012- 《个人数据保护法典（修订版)》2013-《国家网络空间安全战略框架》英国1984-《数据保护法》2003- 《隐私与电子通信条例(PECR)》2018.5- 《网络和信息系统安全法规》2021.1- 《通用数据保护条例》2022.1-《国家网络安全战略2022-2030》2022.5-《数据改革法案（草案）》《2024 跨境数据合规白皮书》——Part 1.聚焦全球及中国数据合规发展态势04 由于各国家和地区间推动数据合规的驱动因素、国情的差异，立法侧重点及发展趋势也有所差异，以下是不同国家和地区在数据监管方面的不同措施：以欧盟和亚太经济合作组织为代表的地区性立法：以保护个人数据为出发点，推动地区间数据流通，同时在监管和执法程序上更加标准化和透明化；以美国为代表的国家：在合规立法中更看重数据自由流动带来的经济效益，在奉行整体宽松政策的同时；为特殊行业提供不同的法律依据，例如金融、医疗、电子通信、基础设施等行业；以俄罗斯为代表的国家：在合规立法方面受政治因素影响较大，更关注以安全为核心的国内治理，对数据跨境流动施行严格管控，形成“内外双严” 的数据安全发展态势。中国关于数据安全立法也有自身特点：地方数据立法实践开展较早,各地在以国家政策法律为导向的同时积极探索制度创新。整体来看，立法内容呈现从综合性到重点领域，再到综合性与重点领域并行的趋势，立法程度与数字经济发展水平呈正相关。各国家和地区立法具有鲜明特点，发展趋势存在差异Part 1《2024 跨境数据合规白皮书》——Part 1.聚焦全球及中国数据合规发展态势05 1.2 中国数据合规发展背景及趋势数字时代的全球竞争下，我国将数据定义为成继土地、资本、技术、人力之后的第五大生产要素，在新一轮数字经济浪潮中，正成为经济增长的新引擎和国际竞争的新抓手。2020年3月30日，中共中央和国务院明确将数据作为生产要素写入政策文件；2022年3月25日，中共中央和国务院明确第十三条：需要加快培育数据要素市场，完善知识产权评估与交易机制，推动各地技术交易市场互联互通，其中包括建立健全数据安全、深入开展数据资源调查、推动数据资源开发利用。数据作为发展侧越来越重要的向度，是构建新发展格局的重要支撑。尤其随着近几年AI、大模型、算力算法等技术的发展，数据作为其基础设施的“技术座驾”当其发展到一定规模后，肯定需要从国家层面进行规制和管理，以此提升国家综合治理能力。以app发展为例：App是媒介化社会中，我们不可缺少的一部分，几乎今天所有的互联网行为都基于app生态，因此，app执法监管也越来越严格。据可公开信息：2022年网信办发布通告，对滴滴公司处以80.26亿元罚款。据国家网信办的查实，滴滴公司共存在16项违法行为。其中涉及个人隐私方面，除了基础的身份证等个人信息外，还包括人脸识别（face recognition）、亲情关系（family relationship）、精准位置（经纬度）（precise location ）、出行意图（travel intention）等。同时，相册截图（album screenshots）、剪切板截图（clipboard screenshots）、应用列表（application lists）等信息竟然也成为被过度收集的数据，几乎将用户个人信息以及手机使用习惯翻了底朝天。对该个例的执法表明了我国在数据合规层面上监管愈发严格和完善。Part 1《2024 跨境数据合规白皮书》——Part 1.聚焦全球及中国数据合规发展态势1.2.1 数据作为生产要素写入政策性文件06 Part 1《2024 跨境数据合规白皮书》——Part 1.聚焦全球及中国数据合规发展态势以下为APP执法检查工作的主要部门：中国现行跨境法律监管体系由“1+3+N”组成。“1”即《国家安全法》，作为整个跨境监管体系的基石，进一步强调数据跨境监管中对国家网络安全和数据安全的保障；“3”即《网络安全法》、《数据安全法》以及《个人信息保护法》，作为数据安全监管领域的三驾马车，分别对网络安全、数据安全以及个人信息保护领域提出原则性监管要求，并对关键信息基础设施、重要数据以及个人信息的跨境传输提出法律规制要求；“N”指在《国家安全法》和《网络安全法》、《数据安全法》以及《个人信息保护法》基本框架之内，落实四部上位法监管要求针对数据跨境场景出台的法律和监管规定，包括专门的数据安全立法以及行业监管立法，其中数据安全立法包括《数据出境安全评估办法》《数据出境安全评估申报指南》《个人信息出境标准合同办法》及标准合同样本、《网络安全标准实践指南——个人信息跨境处理活动安全认证规范V2.0》、《个人信息保护认证实施规则》等，进一步细化数据出境相关路径要求，为企业提供操作指引。1.2.2 中国现行“1+3+N”监管体系（1）中华人民共和国工业和信息化部（2）中华人民共和国国家互联网信息办公室（3）中华人民共和国公安部（4）国家市场监督管理总局（5）国家计算机病毒应急处理中心而这些主要部门的执法检查工作，将围绕以下被重点关注的违法行为展开：（1）超范围收集个人信息（2）强制用户使用定向推送（3）欺骗误导强迫用户提供个人信息（4）权限索取行为（5）违规使用个人信息（6）违规收集个人信息（7）欺骗误导用户下载App（8）移动应用分发平台信息展示（9）App频繁自启动和关联启动（10）开屏弹窗信息骚扰用户07 Part 1《2024 跨境数据合规白皮书》——Part 1.聚焦全球及中国数据合规发展态势针对不同行业领域内的数据跨境，相应行业监管机构从本行业特点出发亦提出相应监管要求，从而构建多维度多层级的数据跨境监管体系。不同行业及领域企业须同时满足数据安全立法及各行业监管机构的数据跨境要求，由此也形成了由国家网信部门负责统筹协调和监督管理网络安全工作，国家电信部门、公安机关以及各行业监管机关共同配合的“1+X”监管机制。从2016年-2023年为筑牢数据安全“防火墙”从不同层面都做了立法规制。《网络安全法》为构筑网络安全的基础，强调网络安全的保护，为网络空间的整体安全和有序发展奠定了总基调。《数据安全法》搭建数据安全的基础，强调数据安全的保护，尤其注重重要数据和国家核心数据的保护。《个人信息保护法》则侧重于个人信息处理准则和保护边界的细化，对个人信息的保护，对个人信息保护的全生命周期作出细致且全面的规定。2016202320222021《网络安全法》：于2016年11月7日通过，自2017年6月1日起施行2023年7月24日，中国人民银行发布（中国人民银行业务领域数据安全管理办法(征求意见稿）》2023年10月9日，工信部发布《工业和信息化领域数据安全风险评估实施细则（试行)（征求意见稿）》2023年2月24日，国家互联网信息办公室发布 《个人信息出境标准合同办法》2023年8日3日，国家网信办发布《个人信息保护合规审计管理办法（征求意见稿）》2022年5月19日，国家互联网信息办公室审议通过《数据出境安全评估办法》2022年9月1日起施行2022年2月15日，国家互联网信息办公室审议通过的《网络安全审查办法》正式施行2022年12月13日，工信部正式发布《工业和信息化领域数据安全管理办法(试行)》2021年8月16日，国家互联网信息办公室发布《汽车数据安全管理若干规定（试行）》《数据安全法》：于2021年6月10日通过，自2021年9月1日起施行《个人信息保护法》：于2021年8月20日通过，自2021年11月1日起施行08 1.3跨国企业数据流动价值在全球数据流通中，跨国公司作为海内外数据存储的庞大数据处理者，经常会涉及到跨境数据合规的问题。但也要承认当前跨国数据要素与数据流动也会不断创造新的价值与机遇，因此，加强数字治理与数字安全的全球合作成为重中之重。虽然跨国数据流动在各个层面都存在巨大价值，但机遇与风险并存。一方面我们要看到数据跨境流动对全球经济的促进作用，另一方面也要关注到数据是支撑国家安全与发展的重要战略资源，也面对了很多不确定因素。比如说俄乌战争爆发后，有些跨国企业第一时间退出了俄罗斯，或者把当地的机构就地解散，对此无论是国家层面还是企业层面不得不思考一个的问题是：未来在面对地缘政治冲突等不确定因素时，我们应该如何去应对？——而localization本土化成为很多企业正在考量的因素。Part 1《2024 跨境数据合规白皮书》——Part 1.聚焦全球及中国数据合规发展态势(1) 促进全球经济流动与增长。基于生产要素国际流动理论，数据的跨国界流动可以帮助跨国企业更直接、更合理地利用全球要素资源，世界经济论坛称“跨境数据流动的能力是高效行业的一个关键要素，也是关键的生产力增强剂，对维持全球复苏和为经济体奠定长期竞争力基础至关重要。”(3) 推动全球化发展。跨境数据流动极大地推动了企业面向全球的商业拓展。以跨境电商为例，阿里巴巴、亚马逊等互联网平台企业通过互联网获取、处理和跨境传输数据，为各类跨境贸易商构建了全球用户社区，实现了电子商务模式的全球扩张，帮助企业融入全球供应链。(2) 提升国际创新能力。数据跨境流动意味着信息、知识的传播与共享，自由流动的数据是