合规及跨境数据传输联合白皮书
AI智能总结
声明 本《合规及跨境数据传输联合白皮书》由普华永道商务咨询(上海)有限公司(以下简称“普华永道”)和AmazonWeb Services, Inc.或其关联方(“亚马逊云科技”)分别撰写,双方就各自撰写的内容分别、独立享有相关知识产权。其中普华永道负责撰写“第一部分全球数据跨境流动趋势分析”,“第二部分美国敏感个人数据行政命令要点解读”,“第三部分美国数据跨境新政对企业的影响,第四部分美国数据跨境新政下企业的应对策略”及“附录:普华永道隐私保护合规解决方案---Privacy Ready、普华永道下一代安全运营服务MSS(Managed Security Service、普华永道云评估和迁移服务、普华永道数据安全和跨境合规解决方案、普华永道DevSecOps As A Service)”,单独享有该部分的知识产权;亚马逊云科技负责撰写“附录:亚马逊云科技敏感数据保护方案”,单独享有该部分的知识产权。本报告中所有文字、数据、图片、表格,均受中华人民共和国著作权法及其它法律法规保护。未经普华永道和/或亚马逊云科技书面许可,任何机构和个人不得基于任何商业目的使用本报告中普华永道部分和/或亚马逊云科技部分的信息(包含报告全部或部分内容),不得摘录、复制、储存在检索系统中,或以任何形式或通过任何手段(包括电子、机械、影印、录制或扫描)进行传播。如果任何机构和个人因非商业、非盈利、非广告的目的需要引用本报告中内容,需要注明“转载自普华永道商务咨询(上海)有限公司和Amazon Web Services, Inc.或其关联方(亚马逊云科技)联合发布的《合规及跨境数据传输联合白皮书》”。 关于普华永道部分的声明: 本报告仅作为一般性指导,并不构成提供任何形式的法律咨询、会计服务、投资建议或专业咨询。本报告所提供的信息不能取代专业税收、会计、法律咨询或其他相关专业咨询建议。在作出任何决定或采取任何行动之前,您应该咨询专业顾问,并向其提供与您特定情况相关的所有事实。 本报告的信息来源于本次调研所收集的数据以及公开的资料,我们对信息的完整性、准确性或及时性概不作出任何保证或担保,也不提供任何明示或暗示的担保,包括但不限于对业绩、适销性和适用于特定用途的担保,在不同时期可能会得出与本报告不一致的观点。 本报告仅供一般参考使用,不构成具体事项和咨询意见,普华永道不对本报告内容承担审慎责任,并且未就本报告内容做出任何明示或暗示保证。普华永道不就本报告内容向任何人士承担任何责任或义务,也不向任何人士承担因本报告所引起的或与本报告有关的任何责任或义务。读者不应依赖本报告内容做出投资或其他商业决定。如需具体意见,请咨询专业顾问。 关于亚马逊云科技部分的声明: 本报告中由亚马逊云科技负责撰写的内容陈述了亚马逊云科技在封面页所示日期的有关服务产品及实践,该等信息可能变化且我们不会另行通知。客户对于本部分的信息以及亚马逊云科技的产品或服务应自己做出独立的判断,该等内容都是“依现状”提供,不包含任何明示或者暗示的保证。本部分内容并没有创设来自亚马逊云科技或其关联方、供应商或许可方的任何保证、陈述、合同性承诺、条件或者担保。亚马逊云科技对其客户的义务和责任均由适用的客户协议管辖。本部分内容不是亚马逊云科技和其客户之间任何协议的组成部分,也不构成对任何协议的修改。 目 录 1全球数据跨境流动趋势分析01 2美国敏感个人数据行政命令要点解读03 1)行政命令发布背景2)行政命令要点解析3)美国数据跨境监管趋势分析040406 3美国数据跨境新政对企业的影响07 4美国数据跨境新政下企业的应对策略10 1)排查数据跨境场景,初判受美国新政管辖范围2)开展影响评估,推动数据合规化布局3)持续追踪立法动态,建立应对策略与计划111212 •亚马逊云科技敏感数据保护方案•普华永道隐私保护合规解决方案--Privacy Ready•普华永道下一代安全运营服务MSS (Managed Security Service)•普华永道云评估和迁移服务•普华永道数据安全和跨境合规解决方案•普华永道DevSecOps As A Service151722232420 全球数据跨境流动趋势分析全球数据跨境流动趋势分析01 在全球范围内,各国政府正不断加强对数据跨境流动的合规监管力度,以保护敏感信息并防止外国对手滥用数据,中国、印度和欧盟等国家和地区都在不断完善自身的数据保护体系。 中国政府制定了强调国家安全的网络安全和数据保护法律框架,其中包括《中华人民共和国网络安全法》《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》,且在此基础上对数据跨境流动施加了额外的限制条件以作管控。2024年3月22日,中国国家互联网信息办公室(CAC)发布了《促进和规范跨境数据流动的规定》,监管部门持续扩大相关法律的范围和执行力度,包括其域外影响。 印度政府于2023年8月批准了《数字个人数据保护法》(Digital Personal Data Protection Act),于2025年1月发布了《数字个人数据保护规则草案》(Draft Digital Personal Data Protection Rules),并征集公众意见至2025年2月18日。该法适用于在印度境外处理与向印度居民提供商品或服务有关的个人信息。 欧盟于2018年实施了《通用数据保护条例》(General Data Protection Regulation,即GDPR)。GDPR限制了企业对个人信息的处理,并赋予欧盟公民对其数据使用的控制权,包括限制未经个人同意对数据的处理或传输。此外,GDPR还对欧盟以外的跨境数据传输进行了规范。 在全球地缘政治紧张局势不断升级的背景下,美国政府出台了一系列相关规定,以应对数据跨境流动带来的潜在风险。2024年2月28日,美国总统拜登签署了第14117号总统行政令《防止受关注国家访问美国敏感个人数据和政府相关数据》。2024年12月27日,美国司法部正式发布该行政令的最终实施规则,该规则于2025年1月8日在《联邦公报》发布,并宣布2025年4月8日为正式生效日。2025年4月11日,美国司法部国家安全司(NSD)发布了《数据安全计划》及配套的指南及常见问题解答以推进《14117最终规则》实施。 这一些列措施标志着美国政府对数据主权和国家安全的高度重视,在这样的趋势下,相关企业,尤其是出海美国的中国企业和对外投资或研发的中国企业,将面临较大的合规压力和经营风险。 美国敏感个人数据行政命令要点解读02 1)行政命令发布背景 2024年2月28日美国总统拜登签发了名为《关于防止受关注国家访问美国人大量敏感个人数据和美国政府相关数据的行政命令》(Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United StatesGovernment-Related Data by Countries of Concern)的行政命令,该行政命令指示美国司法部与其他机构协商发布法规以禁止或限制与“受关注国家”或“受管制对象”进行的涉及美国人大量敏感个人数据或美国政府相关数据的特定类型的交易。 在该行政命令发布同日,美国司法部发布了关于该行政命令的非正式的拟议规则制定预通知(AdvanceNoticeofProposed Rulemaking,下文简称“ANPRM”)的情况说明1,概述了实施该命令的规则。ANPRM于3月5日正式发布2,旨在提供拟定规则的更多细节,并在生效前征求公众意见。 美国司法部又在2024年10月21日发布关于该行政命令的拟议规则草案通知(NPRM),旨在提供拟定规则的更多细节,并进一步征求意见3。 在2024年12月27日,美国司法部发布了《关于防止受关注国家获取美国人大量敏感个人数据和美国政府相关数据的行政命令》的最终实施规则(以下简称“最终规则”)4。经过十个月的起草和多轮公众意见征集与调整,最终规则形成,并将在其发布之日起90天后生效,关于尽职调查、报告和审计要求将在发布之日起270天内生效。 2025年4月11日,美国司法部国家安全司(NSD)发布了《数据安全计划》及配套的指南及常见问题解答以推进最终规则的实施。根据数据安全计划,自2025年4月8日最终规则正式生效起,将有为期90天的执法宽限期。在此期间,只要美国人或实体积极开展自我评估与调整,展现出“合规诚信勤勉”的行为,就不会被列为优先执法对象。 2)行政命令要点解析 敏感个人数据行政命令和相关规则与说明从数据类型、数据交易的参与方、数据交易的类型、数据交易规模阈值等多方面提供了监管框架,对与包括中国在内的相关国家或相关人员进行数据交易的行为作出了禁止或限制。 美国司法部和美国国土安全部负责发布针对两种数据交易类型的规则: 禁止交易,包括数据经纪交易和涉及转移大量人类基因数据或可从中提取此类数据生物样本的基因数据交易。最终规则将人类基因组数据定义为人类基因组、人类表观基因组、人类蛋白质组和人类转录组数据。 受限制交易,包括1.涉及提供商品和服务(包括云服务协议)的供应商协议5;2.雇佣协议6和3.投资协议7。如果此类交易符合将由国土安全部网络安全和基础设施。 局制定的安全要求(可能包括基本的组织网络安全生态要求、物理和逻辑访问控制、数据掩码及最小化,以及使用隐私保护技术的网络安全措施),以减少有关国家对敏感数据的访问,则可继续进行。 同时,敏感个人数据行政命令和相关规则与说明对监管适用的数据交易的参与方、数据类型、数据交易规模阈值作出定义: 数据交易的参与方:列举了六个“受关注国家”与四个类型的“受管制对象”。 数据类型及数据交易规模阈值:“美国人大量敏感个人数据”或“美国政府相关数据”。 a)敏感个人数据 分为六类:特定个人标识符、地理位置及相关传感器数据、生物识别标识符、人类基因数据、个人健康数据和个人财务数据。美国司法部当前尚未对“大量”作出具体定义,而是针对六类敏感个人数据的交易在一定期间内超过规定的阈值数量的特定类别的交易进行管制。最终规则中对于各类敏感个人数据的阈值定义如下(包含多类数据的以阈值最低的数据类型为准): b)美国政府相关数据相关数据 美国司法部认定的会对美国国家安全造成威胁的数据,如能关联到联邦政府及军队的雇员或地址的相关数据。无论此类数据的数量如何,均将受到监管。 此外,美国司法部还确定了某些类别数据交易免受监管的例外情况,如通常属于跨国美国公司内部附属业务操作(如工资支付或人力资源)的一部分的交易。 就此项行政命令从数据跨境涉及的数据类型、数据交易的参与方、数据交易的类型等方面作出的定义来看,赴美出海的中国企业、对外投资或研发的中国企业等企业均有可能在跨境获取美国人敏感个人数据时受到限制或禁止。 3)美国数据跨境监管趋势分析 此项行政命令与最终规则很可能意味着白宫将继续推进数据安全政策。敏感数据的安全已经成为华盛顿的优先事项之一,例如,美国外国投资委员会(Committee on Foreign Investment in the US)对外国公司访问某些美国数据的入境交易进行了格外严格的审查。在此背景下,在美运营或服务美国用户的中国企业及业务倚赖美国数据的中国企业等企业可能会受到一定程度上的实质性影响。 01全球数据跨境流动趋势分析01全球数据跨境流动趋势分析01全球数据跨境流动趋势分析01全球数据跨境流动趋势分析03美国数据跨境新政对企业的影响 在美国限制数据跨境流通的背景下,我们预计会对中国赴美出海企业、在华跨国企业、业务依赖海外数据的特定行业企业的业务经营与合规工作的开展带来不容小觑的挑战。下表汇总分析了美国数据跨境新政对上述各类企业可能造成的影响,以供企业在进行影响分析并制定相应应对计划时进行参考: 美国数据跨境新政下企业的应对策略04 无论从何种角度审
