2024跨境数据合规白皮书

跨境数据合规 目录目录 聚焦全球及中国数据合规发展态势 1.1 全球数据合规条例兴起，部分国家和地区加强制度管理1.2 中国数据合规发展背景及趋势1.3 跨国企业数据流动价值 数据合规风险及挑战 2.1 AI风险及数据合规问题2.2 数据跨境主要痛点及难点2.3 企业在具体业务中的数据安全和合规性问题 数据安全合规的应对策略 3.1 现行法律法规对于数据安全的相关要求3.2 数据本地化存储与出境3.3 径硕科技数据安全解决方案 前沿技术与数据合规的碰撞 4.1 揭开生成式AI的神秘面纱4.2 AIGC国际层面的立法监管情况 聚焦全球及中国数据合规发展态势 1.1 全球数据合规条例兴起，部分国家和地区加强制度管理1.2 中国数据合规发展背景及趋势1.3 跨国企业数据流动价值 1.1 全球数据合规条例兴起，部分国家和地区加强制度管理 近年来，随着互联网的迅速发展以及国内外对于数据要素的认知不断深化，各国更加关注对数据的合规利用以期提升国家综合竞争力。自欧盟推出《一般数据保护条例》（下文简称“GDPR”或“一般数据保护条例”）以来，已有100多个国家针对数据合规颁布或提出了数据保护或隐私保护法。除法律法规层面的完善之外，主要国家和地区的监管执行力度也在不断增强，2021年GDPR全年罚款金额同比上涨，总计达到11亿欧元，亚马逊也因违反GDPR被罚7.46亿欧元。为保证数据安全和执法透明度，全球数据合规条例增长和范围扩大已成为必然。 英国 1981-欧盟《个人数据自动化处理中的个人保护公约》1995.10-《95指令》2016.4-《一般数据保护条例》2019.5- 《非个人数据自由流动条例》2019.4-《网络安全法案》2020.2-《欧洲数据战略》2022.2-《数据法案（草案）》2022.5- 《数据治理法案》2022.9-《数字市场法案》2022.10- 《数字服务法案》 1984-《数据保护法》2003- 《隐私与电子通信条例(PECR)》2018.5- 《网络和信息系统安全法规》2021.1- 《通用数据保护条例》2022.1-《国家网络安全战略2022-2030》2022.5-《数据改革法案（草案）》 加拿大 德国 1983-《隐私法》1983.7-《信息访问法案》2000-《个人信息保护和电子文档法案》2012.3-《加拿大网络安全对关键基础设施威胁的评估》2018.6-《新版国家网络安全战略》 1976- （个人数据保护法》2018- 《新联邦数据保护法》2021.1- 《联邦数据战略》2021.5-《IT安全法》2.0版 意大利 法国 1947.12-《宪法》1996- 《数据保护法》2003-《电子商务法》2005-《消费者法典》2012- 《个人数据保护法典（修订版)》2013-《国家网络空间安全战略框架》 1978-《信息技术与自由法》2008.6-《国家安全与防务白皮书》2011.2-《信息系统防御与安全：法国战路》2015.10-《法国国家数字安全战略》2018.2- 《网络防御战略评论》2018.11- 《个人数据保护法》2018.12- 《数据保护法》 各国家和地区立法具有鲜明特点，发展趋势存在差异 由于各国家和地区间推动数据合规的驱动因素、国情的差异，立法侧重点及发展趋势也有所差异，以下是不同国家和地区在数据监管方面的不同措施： 以欧盟和亚太经济合作组织为代表的地区性立法：以保护个人数据为出发点，推动地区间数据流通，同时在监管和执法程序上更加标准化和透明化； 以美国为代表的国家：在合规立法中更看重数据自由流动带来的经济效益，在奉行整体宽松政策的同时； 为特殊行业提供不同的法律依据，例如金融、医疗、电子通信、基础设施等行业； 以俄罗斯为代表的国家：在合规立法方面受政治因素影响较大，更关注以安全为核心的国内治理，对数据跨境流动施行严格管控，形成“内外双严” 的数据安全发展态势。 中国关于数据安全立法也有自身特点：地方数据立法实践开展较早,各地在以国家政策法律为导向的同时积极探索制度创新。 整体来看，立法内容呈现从综合性到重点领域，再到综合性与重点领域并行的趋势，立法程度与数字经济发展水平呈正相关。 1.2 中国数据合规发展背景及趋势 1.2.1 数据作为生产要素写入政策性文件 数字时代的全球竞争下，我国将数据定义为成继土地、资本、技术、人力之后的第五大生产要素，在新一轮数字经济浪潮中，正成为经济增长的新引擎和国际竞争的新抓手。2020年3月30日，中共中央和国务院明确将数据作为生产要素写入政策文件；2022年3月25日，中共中央和国务院明确第十三条：需要加快培育数据要素市场，完善知识产权评估与交易机制，推动各地技术交易市场互联互通，其中包括建立健全数据安全、深入开展数据资源调查、推动数据资源开发利用。 数据作为发展侧越来越重要的向度，是构建新发展格局的重要支撑。尤其随着近几年AI、大模型、算力算法等技术的发展，数据作为其基础设施的“技术座驾”当其发展到一定规模后，肯定需要从国家层面进行规制和管理，以此提升国家综合治理能力。 以app发展为例：App是媒介化社会中，我们不可缺少的一部分，几乎今天所有的互联网行为都基于app生态，因此，app执法监管也越来越严格。据可公开信息：2022年网信办发布通告，对滴滴公司处以80.26亿元罚款。据国家网信办的查实，滴滴公司共存在16项违法行为。其中涉及个人隐私方面，除了基础的身份证等个人信息外，还包括人脸识别（face recognition）、亲情关系（family relationship）、精准位置（经纬度）（precise location ）、出行意图（travel intention）等。同时，相册截图（album screenshots）、剪切板截图（clipboard screenshots）、应用列表（application lists）等信息竟然也成为被过度收集的数据，几乎将用户个人信息以及手机使用习惯翻了底朝天。对该个例的执法表明了我国在数据合规层面上监管愈发严格和完善。 以下为APP执法检查工作的主要部门： （1）中华人民共和国工业和信息化部（2）中华人民共和国国家互联网信息办公室（3）中华人民共和国公安部（4）国家市场监督管理总局（5）国家计算机病毒应急处理中心 而这些主要部门的执法检查工作，将围绕以下被重点关注的违法行为展开： （1）超范围收集个人信息（2）强制用户使用定向推送（3）欺骗误导强迫用户提供个人信息（4）权限索取行为（5）违规使用个人信息（6）违规收集个人信息（7）欺骗误导用户下载App（8）移动应用分发平台信息展示（9）App频繁自启动和关联启动（10）开屏弹窗信息骚扰用户 1.2.2 中国现行“1+3+N”监管体系 中国现行跨境法律监管体系由“1+3+N”组成。 “1”即《国家安全法》，作为整个跨境监管体系的基石，进一步强调数据跨境监管中对国家网络安全和数据安全的保障； “3”即《网络安全法》、《数据安全法》以及《个人信息保护法》，作为数据安全监管领域的三驾马车，分别对网络安全、数据安全以及个人信息保护领域提出原则性监管要求，并对关键信息基础设施、重要数据以及个人信息的跨境传输提出法律规制要求； “N”指在《国家安全法》和《网络安全法》、《数据安全法》以及《个人信息保护法》基本框架之内，落实四部上位法监管要求针对数据跨境场景出台的法律和监管规定，包括专门的数据安全立法以及行业监管立法，其中数据安全立法包括《数据出境安全评估办法》《数据出境安全评估申报指南》《个人信息出境标准合同办法》及标准合同样本、《网络安全标准实践指南——个人信息跨境处理活动安全认证规范V2.0》、《个人信息保护认证实施规则》等，进一步细化数据出境相关路径要求，为企业提供操作指引。 针对不同行业领域内的数据跨境，相应行业监管机构从本行业特点出发亦提出相应监管要求，从而构建多维度多层级的数据跨境监管体系。不同行业及领域企业须同时满足数据安全立法及各行业监管机构的数据跨境要求，由此也形成了由国家网信部门负责统筹协调和监督管理网络安全工作，国家电信部门、公安机关以及各行业监管机关共同配合的“1+X”监管机制。 从2016年-2023年为筑牢数据安全“防火墙”从不同层面都做了立法规制。 《网络安全法》为构筑网络安全的基础，强调网络安全的保护，为网络空间的整体安全和有序发展奠定了总基调。《数据安全法》搭建数据安全的基础，强调数据安全的保护，尤其注重重要数据和国家核心数据的保护。《个人信息保护法》则侧重于个人信息处理准则和保护边界的细化，对个人信息的保护，对个人信息保护的全生命周期作出细致且全面的规定。 1.3跨国企业数据流动价值 在全球数据流通中，跨国公司作为海内外数据存储的庞大数据处理者，经常会涉及到跨境数据合规的问题。但也要承认当前跨国数据要素与数据流动也会不断创造新的价值与机遇，因此，加强数字治理与数字安全的全球合作成为重中之重。 (1) 促进全球经济流动与增长。基于生产要素国际流动理论，数据的跨国界流动可以帮助跨国企业更直接、更合理地利用全球要素资源，世界经济论坛称“跨境数据流动的能力是高效行业的一个关键要素，也是关键的生产力增强剂，对维持全球复苏和为经济体奠定长期竞争力基础至关重要。” (2) 提升国际创新能力。数据跨境流动意味着信息、知识的传播与共享，自由流动的数据是国家创新的重要催化剂，根据Frost & Sullivan 2025年大趋势预测，数据支撑着未来，90%的变革性转变严重依赖于数据。目前，几乎所有行业都依赖于跨境数据的流动和实时分析数据的能力，以此作为其供应链、运营和商业模式创新的推动力，激发更多创意，催生新业务、新模式。 (3) 推动全球化发展。跨境数据流动极大地推动了企业面向全球的商业拓展。以跨境电商为例，阿里巴巴、亚马逊等互联网平台企业通过互联网获取、处理和跨境传输数据，为各类跨境贸易商构建了全球用户社区，实现了电子商务模式的全球扩张，帮助企业融入全球供应链。 内容来源：《全球数据跨境流动政策与中国战略研究报告》 虽然跨国数据流动在各个层面都存在巨大价值，但机遇与风险并存。 一方面我们要看到数据跨境流动对全球经济的促进作用，另一方面也要关注到数据是支撑国家安全与发展的重要战略资源，也面对了很多不确定因素。比如说俄乌战争爆发后，有些跨国企业第一时间退出了俄罗斯，或者把当地的机构就地解散，对此无论是国家层面还是企业层面不得不思考一个的问题是： 未来在面对地缘政治冲突等不确定因素时，我们应该如何去应对？——而localization本土化成为很多企业正在考量的因素。 基于数据调研，我们可以看到不同类型的跨国企业在转型战略实施进度上也各有差异。以ToB和ToC的两个领域为例，消费品企业无论是评估与规划阶段、转型与实施阶段、持续运营阶段都很积极进行转型，药企相对来说转型的过程则相对来说较为缓慢。造成这一现象的原因有很多因素，消费品的数据量级和药企是没法相比的，消费品数据量级大且异质性强，因此在合规方面会走的相对靠前一点，这是该行业的特性所决定的。因此，面对不同类型的企业，数据合规驱动转型进程也不可同一而语。 制药企业 数据合规风险及挑战 2.1 AI风险及数据合规问题2.2 数据跨境主要痛点及难点2.3 企业在具体业务中的数据安全和合规性问题 2.1 AI风险及数据合规问题 生成式人工智能技术在带来深刻的生产力变革时，也为监管治理提出新挑战。 通常而言，获取AI数据主要有以下方式： 一，自行采集，如通过网站、App、智能家居设备等渠道收集数据； 三，通过网络爬虫等技术手段抓取现有数据。 因此，AI对于数据的获取也面临了以下几种风险： 2.1.1 数据来源合规问题 2.1.2 数据使用合规问题 2.1.3 数据安全合规问题 2.1.4 科技伦理合规问题 针对上述合规问题，目前全球已有