亚马逊云科技 pwc 鲁华水道 合规及跨境数据传输 联合白皮书 2024 + 更新于2024年4月 1声明 本《合规及跨境数据传输联合白皮书》由普华永道商务咨询（上海）有限公司（以下简称"普华永道"）和 Amazon Web Services，Inc.或其关联方（亚马逊云科技"）分别撰写，双方就各自撰写的内容分别、独立享有相 关知识产权。其中普华永道负责撰写"第一部分数据跨境传输概述"、“第二部分合规及跨境数据传输解决之道"、及"附 SecurityService）"，单独享有该部分的知识产权；亚马逊云科技负责撰写"附录：亚马逊云科技敏感数据保护方案", 单独享有该部的知识产权。本报告中所有文字、数居、图片、表格，均受中华人民共和国著作权法及其它法律法规保护。 未经普华永道和/或亚马逊云科技书面许可，任何机构和个人不得基于任何商业目的使用本报告中普华永道部分和/ 或亚马逊云科技部分的信息（包含报告全部或部分内容），不得摘录、复制、储存在检索系统中，或以任何形式或 通过任何手段（包括电子、机械、影印、录制或扫描）进行传播。如果任何机构和个人因商业、非盈利、非广告的 目的需要引用本报告中内容，需要注明"转载自普华永道商务咨询（上海）有限公司和AmazonWebServices Inc.或其关联方（业马逊云科技）联合发布的《合规及跨境数据传输联合白皮书》。本报告仪作为一般性指导 并不构成提供任何形式的法律咨询、会计服务、投资建议或专业咨询。本报告所提供的信息不能取代专业税收、会计、法 律咨询或其他相关专业咨询建议。在作出任何决定或采取任何行动之前，您应该咨询专业顾问，并向其提供与您特定 情况相关的所有事实。 本报告的信息来源于本次调研所收集的数据以及公开的资料，我们对信息的完整性、准确性或及时性概不作出任何 保证或担保，也不提供任何明示或暗示的担保，包括但不限于对业绩、适销性和适用于特定用途的担保，在不同时期 可能会得出与本报告不一致的观点。 本报告仅供一般参考使用，不构成具体事项和咨询意见，普华永道不对本报告内容承担审慎责任，并且未就本报告内 容做出任何明示或暗示保证。普华永道不就本报告内容向任何人士承担任何责任或义务，也不向任何人士承担因 本报告所引起的或与本报告有关的任何责任或义务。读者不应依赖本报告内容做出投资或其他商业决定。如需具 体意见，请咨询专业顾问。 本报告中由亚马逊云科技负责撰写的内容陈述了亚马逊云科技在封面页所示日期的有关服务产品及实践，该等信 息可能变化且我们不会另行通知。客户对于本部分的信息以及亚马逊云科技的产品或服务应自己已做出独立的判断, 该等内容都是"依现状"提供，不包含任何明示或者暗示的保证。本部分内容并没有创设来自亚马逊云科技或其关联方、 供应商或许可方的任何保证、陈述、合同性承诺、条件或者担保。亚马逊云科技对其客户的义务和责任均由适用的客户 协议管辖。本部分内容不是亚马逊云科技和其客户之间任何协议的组成部分，也不构成对任何协议的修改。 方案导览 1数据跨境传输概述 -01 1.1 数据跨境传输一合规趋势与解读 .02 1.1.1全球数据安全合规趋势与解读 .02 1.1.2中国数据安全合规趋势与解读 .03 1.2数据跨境传输一评估整体过程 .. 04 .05 1.3 数据跨境传输一申报解读 1.3.1 申报门槛 -05 1.3.2 申报重点 .-05 ..07 1.4数据跨境传输一评估结果分析 1.4.1数据本地化趋势概览 .-07 .08 1.4.2数据本地化路径选择和常见场景 2合规及跨境数据传输解决之道 10 -13 附录 亚马逊云科技敏感数据保护方案 14 普华永道隐私保护合规解决方案--PrivacyReady .-16 普华永道下一代安全运营服务 MSS（Managed Security Service) -19 竞佳 据跨 输概述 数 Summary Report 云科技 pwc 据流动的安全性受到越来越多的关注。全球范围内，对数据跨境活动的管控和监管正在逐步健全；目前，各国针对数 据跨境流动密集出台了相关的法律法规，主要国家和地区的监管执行力度增强，数据合规制度数量增长、管辖范围逐 步扩大的趋势明显，也让数据跨境传输合规成为了进行跨国商业活动的企业需要格外重视的课题。此外，数据跨境 会加剧个人信息、重要数据和商业数据泄露及滥用的风险，导致企业的名誉和利益受损，还可能会给企业带来技术管 理、资产管理和组织管理等问题。 数据安全是数字经济发展的底板，明确数据跨境安全合规措施，是保护个人信息、防范化解企 业数据跨境安全风险、促进数字经济健康发展的重要保障。 1.1数据跨境传输一合规趋势与解读 全球数据安全合规趋势与解读 随着互联网迅速发展带来的数据增长，各国更加关注对数据的合法利用。自 欧盟推出《一般数据保护条例》（GDPR）以来，已有100多个国家或地区 颁布或提出了数据保护或隐私保护法。目前，全球数据跨境流动和数据监管未 形成较为统一框架，在各国国情、国家安全、隐私保护、产业能力等多元因素 的复杂影响下，跨境数据流动监管制度较为差异化。 由于各国家和地区间立法驱动因素、国情和地区特性不同，其立法侧重点及 发展趋势也有所差异，以欧盟和亚太经济合作组织为代表的地区性立法以保 护个人数据为出发点，推动地区间数据流通，同时在监管和执法程序上更加 标准化和透明化；以美国为代表的国家在合规立法中更看重数据自由流动带 来的经济效益，在奉行整体宽松政策的同时，为特殊行业提供不同的法律依据 例如金融、医疗、电子通信、基础设施等行业；以俄罗斯为代表的国家在合规立 法方面受政治因素影响较大，更关注以安全为核心的国内治理，对数据跨 境流动施行严格管控，形成"内外双严"的数据安全发展态势。 亚马逊云科技 pwcad 02 中国数据安全合规趋势与解读 在全球的立法潮流中，中国也在过去的几年中加快了对于数据保护的各类立法。2016年11月7日通过的《中华人民 37案规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内 存储，因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、 行政法规另有规定的，依照其规定。“此条款也被认为是对于中国数居跨境流动规则的确立，即“本地存储，出境评估"。 2021年，我国又接连颁布了《中华人民共和国数据居安全法》、《中华人民共和国个人信息保护法》两法律，进一步补充 和完善了数据流动规则。2022年9月1日，由国家互联网信息办公室（后简称"网信办"）发布的《数据出境安全评估 办法》（后简称《办法》）正式实施，将三部法律的原则要求进行了明确，界定了数据出境的适用范围，并对安全评 估和申报工作给出了详细的实施程序。2024年3月22日，网信办发布《促进和规范数据跨境流动规定》（后简称 （》 数据跨境传输常见方式 1.2数据跨境传输一评估整体过程 境外直接收集 ③远程访间 8 8 境内数据主体 境内系统 跨境 境外系统 境内数据主体 境内数据主体 竞内系统 跨境 境外人员 数据处理者将在境内运营中收集和产生的数据传输、存储至境外 数据处理者收集和产生的数据存储在境内， 境外的机 构、组织或者个人可以查询、调取、下载、导出 部分出境场景或部分数据项因缺乏充分的出境必要性，未能获批，对于这部分数据及系统进行本地化将成为下 一阶段整改工作的重中之重。 值得注意的是，为进一步规范和促进数据依法有序自由流动，网信办于2024年3月22日发布的《新规》从不同层 面释放了有利于数据跨境流动的积极信号，例如：明确了可割豁免数据出境合规监管的场景、提高了数据出境安全 评估申报和标准合同备案的适用门槛、提出了在自由贸易试验区施行出境数据居"负面清单"制度的规则，等等。 亚马逊云科技 pwc 1.2数据跨境传输一评估整体过程 目前，我国数据出境管理的三种机制：数据出境安全评估、个人信息保护认证和个人信息出境标准合同，均已进 入落地实施阶段。其中，本白皮书着重关注的数据出境安全评估的路怪程序可以归类为六个阶段，分别为差距分析、整 改、自评估、申报、评估、以及持续合规。 差距分析 整改 自评估 申报 评估 持续合规 ·现状尽调 .差距分析 自评报告 . ·体系建设 ·自评估报告 .咨询服务 . Data ．能力建设 ．申请书 。省网信办 : MSSP ．风险评估 Discover 。整改方案 ．法律文件 ，国家网信办 ·持续沟通 (管理)差 . y Data 。整改实施 ．其它材料 距 Mapping (技才 距 阶段一丨差距分析 阶段二丨整改 通过访谈相关人员了解公司数据流转，审阅公司制度、 以差距分析结果为基础，法规要求为导向、对公司风险 授权同意文件、隐私政策、合同等文件，并对公司业务流程、 策略及成本、业界趋势等提出合理的整改建议。 相关系统进行梳理。以及，结合相关经验从而设计有效的 检查点和控制点，发现差距并进行风险评估。 阶段三丨自评估 阶段四申报 根据《新规》和《办法》要求识别自身是否适用数据出 完成自评估等合规工作之后，数据运营者依照《新 境安全评估，并完成自评估等合规工作。 规》和《办法》在数据出境前做好风险自评后，并向相 关部门提交相关材料。 阶段五|评估 阶段六「持续合规 数据出境安全评估工作本着属地申报原则，由数据处理 在通过安全评估后，企业仍需要对数据出境进行持续的 评估监管。 者向其所在地省级网信办提交申报材料。各地网信办在 收到申报材料后，在5个工作日内完成申报材料的完备性 查验（即形式审查）。国家网信办自收到省级网