亚马逊云科技：2024合规及跨境数据传输联合白皮书

合规及跨境数据传输联合白皮书2024更新于2024年4月本《合规及跨境数据传输联合白皮书》由普华永道商务咨询（上海）有限公司（以下简称“普华永道”）和 Amazon Web Services, Inc. 或其关联方（“亚马逊云科技”）分别撰写，双方就各自撰写的内容分别、独立享有相关知识产权。其中普华永道负责撰写“第一部分 数据跨境传输概述”、“第二部分 合规及跨境数据传输解决之道”、及“附录：普华永道隐私保护合规解决方案---Privacy Ready”、普华永道下一代安全运营服务 MSS（Man-aged Security Service）”，单独享有该部分的知识产权；亚马逊云科技负责撰写“附录：亚马逊云科技敏感数据保护方案”，单独享有该部分的知识产权。本报告中所有文字、数据、图片、表格，均受中华人民共和国著作权法及其它法律法规保护。未经普华永道和/或亚马逊云科技书面许可，任何机构和个人不得基于任何商业目的使用本报告中普华永道部分和/或亚马逊云科技部分的信息（包含报告全部或部分内容），不得摘录、复制、储存在检索系统中，或以任何形式或通过任何手段（包括电子、机械、影印、录制或扫描）进行传播。如果任何机构和个人因非商业、非盈利、非广告的目的需要引用本报告中内容，需要注明“转载自普华永道商务咨询（上海）有限公司和 Amazon Web Services, Inc. 或其关联方（亚马逊云科技）联合发布的《合规及跨境数据传输联合白皮书》”。本报告仅作为一般性指导，并不构成提供任何形式的法律咨询、会计服务、投资建议或专业咨询。本报告所提供的信息不能取代专业税收、会计、法律咨询或其他相关专业咨询建议。在作出任何决定或采取任何行动之前，您应该咨询专业顾问，并向其提供与您特定情况相关的所有事实。本报告的信息来源于本次调研所收集的数据以及公开的资料，我们对信息的完整性、准确性或及时性概不作出任何保证或担保，也不提供任何明示或暗示的担保，包括但不限于对业绩、适销性和适用于特定用途的担保，在不同时期可能会得出与本报告不一致的观点。本报告仅供一般参考使用，不构成具体事项和咨询意见，普华永道不对本报告内容承担审慎责任，并且未就本报告内容做出任何明示或暗示保证。普华永道不就本报告内容向任何人士承担任何责任或义务，也不向任何人士承担因本报告所引起的或与本报告有关的任何责任或义务。读者不应依赖本报告内容做出投资或其他商业决定。如需具体意见，请咨询专业顾问。本报告中由亚马逊云科技负责撰写的内容陈述了亚马逊云科技在封面页所示日期的有关服务产品及实践，该等信息可能变化且我们不会另行通知。客户对于本部分的信息以及亚马逊云科技的产品或服务应自己做出独立的判断，该等内容都是“依现状”提供，不包含任何明示或者暗示的保证。本部分内容并没有创设来自亚马逊云科技或其关联方、供应商或许可方的任何保证、陈述、合同性承诺、条件或者担保。亚马逊云科技对其客户的义务和责任均由适用的客户协议管辖。本部分内容不是亚马逊云科技和其客户之间任何协议的组成部分，也不构成对任何协议的修改。 声明1 数据跨境传输概述1.1 数据跨境传输—合规趋势与解读1.1.1 全球数据安全合规趋势与解读1.1.2 中国数据安全合规趋势与解读1.2 数据跨境传输—评估整体过程1.3 数据跨境传输—申报解读1.3.1 申报门槛1.3.2 申报重点1.4 数据跨境传输—评估结果分析1.4.1 数据本地化趋势概览1.4.2 数据本地化路径选择和常见场景2 合规及跨境数据传输解决之道附录亚马逊云科技敏感数据保护方案普华永道隐私保护合规解决方案--Privacy Ready普华永道下一代安全运营服务 MSS（Managed Security Service）方案导览0102020304050505070708101316191401数据跨境传输概述0102随着全球数字经济规模的持续增长，数据作为重要生产要素，在生产生活各个环节的重要作用正日益显现，数据流动的安全性受到越来越多的关注。全球范围内，对数据跨境活动的管控和监管正在逐步健全；目前，各国针对数据跨境流动密集出台了相关的法律法规，主要国家和地区的监管执行力度增强，数据合规制度数量增长、管辖范围逐步扩大的趋势明显，也让数据跨境传输合规成为了进行跨国商业活动的企业需要格外重视的课题。此外，数据跨境会加剧个人信息、重要数据和商业数据泄露及滥用的风险，导致企业的名誉和利益受损，还可能会给企业带来技术管理、资产管理和组织管理等问题。全球数据安全合规趋势与解读随着互联网迅速发展带来的数据增长，各国更加关注对数据的合法利用。自欧盟推出《一般数据保护条例》（GDPR）以来，已有100多个国家或地区颁布或提出了数据保护或隐私保护法。目前，全球数据跨境流动和数据监管未形成较为统一框架，在各国国情、国家安全、隐私保护、产业能力等多元因素的复杂影响下，跨境数据流动监管制度较为差异化。由于各国家和地区间立法驱动因素、国情和地区特性不同，其立法侧重点及发展趋势也有所差异，以欧盟和亚太经济合作组织为代表的地区性立法以保护个人数据为出发点，推动地区间数据流通，同时在监管和执法程序上更加标准化和透明化；以美国为代表的国家在合规立法中更看重数据自由流动带来的经济效益，在奉行整体宽松政策的同时，为特殊行业提供不同的法律依据，例如金融、医疗、电子通信、基础设施等行业；以俄罗斯为代表的国家在合规立法方面受政治因素影响较大，更关注以安全为核心的国内治理，对数据跨境流动施行严格管控，形成“内外双严”的数据安全发展态势。1.1 数据跨境传输—合规趋势与解读数据安全是数字经济发展的底板，明确数据跨境安全合规措施，是保护个人信息、防范化解企业数据跨境安全风险、促进数字经济健康发展的重要保障。03中国数据安全合规趋势与解读在全球的立法潮流中，中国也在过去的几年中加快了对于数据保护的各类立法。2016年11月7日通过的《中华人民共和国网络安全法》是我国在网络空间治理领域的第一部基本大法，首次在法律上对数据跨境流动进行了阐述，第37条规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储，因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。”此条款也被认为是对于中国数据跨境流动规则的确立，即“本地存储，出境评估”。2021年，我国又接连颁布了《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》两部法律，进一步补充和完善了数据流动规则。2022年9月1日，由国家互联网信息办公室（后简称“网信办”）发布的《数据出境安全评估办法》（后简称《办法》）正式实施，将三部法律的原则要求进行了明确，界定了数据出境的适用范围，并对安全评估和申报工作给出了详细的实施程序。2024年3月22日，网信办发布《促进和规范数据跨境流动规定》（后简称《新规》），对现有数据跨境制度的实施和衔接作出了进一步明确。在《办法》施行一年有余之计，许多头部企业已经积极开展安全评估并向监管机构递交了数据出境申报材料，涉及互联网