2025年合规及跨境数据传输联合白皮书-亚马逊云科-技普华永道

本《合规及跨境数据传输联合白皮书》由普华永道商务咨询（上海）有限公司（以下简称“普华永道”）和 Amazon Web Services, Inc. 或其关联方（“亚马逊云科技”）分别撰写，双方就各自撰写的内容分别、独立享有相关知识产权。其中普华永道负责撰写“第一部分全球数据跨境流动趋势分析”，“第二部分美国敏感个人数据行政命令要点解读”，“第三部分美国数据跨境新政对企业的影响，第四部分美国数据跨境新政下企业的应对策略”及“附录：普华永道隐私保护合规解决方案---Privacy Ready、普华永道下一代安全运营服务 MSS（Managed Security Service、普华永道云评估和迁移服务、普华永道数据安全和跨境合规解决方案、普华永道 DevSecOps As A Service）”，单独享有该部分的知识产权；亚马逊云科技负责撰写“附录：亚马逊云科技敏感数据保护方案”，单独享有该部分的知识产权。本报告中所有文字、数据、图片、表格，均受中华人民共和国著作权法及其它法律法规保护。未经普华永道和/或亚马逊云科技书面许可，任何机构和个人不得基于任何商业目的使用本报告中普华永道部分和/或亚马逊云科技部分的信息（包含报告全部或部分内容），不得摘录、复制、储存在检索系统中，或以任何形式或通过任何手段（包括电子、机械、影印、录制或扫描）进行传播。如果任何机构和个人因非商业、非盈利、非广告的目的需要引用本报告中内容，需要注明“转载自普华永道商务咨询（上海）有限公司和 Amazon Web Services, Inc. 或其关联方（亚马逊云科技）联合发布的《合规及跨境数据传输联合白皮书》”。本报告仅作为一般性指导，并不构成提供任何形式的法律咨询、会计服务、投资建议或专业咨询。本报告所提供的信息不能取代专业税收、会计、法律咨询或其他相关专业咨询建议。在作出任何决定或采取任何行动之前，您应该咨询专业顾问，并向其提供与您特定情况相关的所有事实。本报告的信息来源于本次调研所收集的数据以及公开的资料，我们对信息的完整性、准确性或及时性概不作出任何保证或担保，也不提供任何明示或暗示的担保，包括但不限于对业绩、适销性和适用于特定用途的担保，在不同时期可能会得出与本报告不一致的观点。本报告仅供一般参考使用，不构成具体事项和咨询意见，普华永道不对本报告内容承担审慎责任，并且未就本报告内容做出任何明示或暗示保证。普华永道不就本报告内容向任何人士承担任何责任或义务，也不向任何人士承担因本报告所引起的或与本报告有关的任何责任或义务。读者不应依赖本报告内容做出投资或其他商业决定。如需具体意见，请咨询专业顾问。关于普华永道部分的声明：本报告中由亚马逊云科技负责撰写的内容陈述了亚马逊云科技在封面页所示日期的有关服务产品及实践，该等信息可能变化且我们不会另行通知。客户对于本部分的信息以及亚马逊云科技的产品或服务应自己做出独立的判断，该等内容都是“依现状”提供，不包含任何明示或者暗示的保证。本部分内容并没有创设来自亚马逊云科技或其关联方、供应商或许可方的任何保证、陈述、合同性承诺、条件或者担保。亚马逊云科技对其客户的义务和责任均由适用的客户协议管辖。本部分内容不是亚马逊云科技和其客户之间任何协议的组成部分，也不构成对任何协议的修改。 关于亚马逊云科技部分的声明：声明目 录1 全球数据跨境流动趋势分析2 美国敏感个人数据行政命令要点解读1)行政命令发布背景2)行政命令要点解析3)美国数据跨境监管趋势分析3 美国数据跨境新政对企业的影响4 美国数据跨境新政下企业的应对策略1)排查数据跨境场景，初判受美国新政管辖范围2)开展影响评估，推动数据合规化布局3)持续追踪立法动态，建立应对策略与计划附录：•亚马逊云科技敏感数据保护方案•普华永道隐私保护合规解决方案--Privacy Ready•普华永道下一代安全运营服务 MSS (Managed Security Service)•普华永道云评估和迁移服务•普华永道数据安全和跨境合规解决方案•普华永道 DevSecOps As A Service0103040406071011121214151722232420全球数据跨境流动趋势分析全球数据跨境流动趋势分析0101在全球范围内，各国政府正不断加强对数据跨境流动的合规监管力度，以保护敏感信息并防止外国对手滥用数据，中国、印度和欧盟等国家和地区都在不断完善自身的数据保护体系。在全球地缘政治紧张局势不断升级的背景下，美国政府出台了一系列相关规定，以应对数据跨境流动带来的潜在风险。2024 年 2 月 28 日，美国总统拜登签署了第 14117 号总统行政令《防止受关注国家访问美国敏感个人数据和政府相关数据》。2024 年 12 月 27 日，美国司法部正式发布该行政令的最终实施规则，该规则于 2025 年 1 月8 日在《联邦公报》发布，并宣布 2025 年 4 月 8 日为正式生效日。 2025 年 4 月 11 日，美国司法部国家安全司（NSD）发布了《数据安全计划》及配套的指南及常见问题解答以推进《14117 最终规则》实施。这一些列措施标志着美国政府对数据主权和国家安全的高度重视，在这样的趋势下，相关企业，尤其是出海美国的中国企业和对外投资或研发的中国企业，将面临较大的合规压力和经营风险。中国政府制定了强调国家安全的网络安全和数据保护法律框架，其中包括《中华人民共和国网络安全法》《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》，且在此基础上对数据跨境流动施加了额外的限制条件以作管控。2024 年 3 月 22 日，中国国家互联网信息办公室（CAC）发布了《促进和规范跨境数据流动的规定》，监管部门持续扩大相关法律的范围和执行力度，包括其域外影响。印度政府于 2023 年 8 月批准了《数字个人数据保护法》（Digital Personal Data Protection Act），于 2025 年 1 月发布了《数字个人数据保护规则草案》（Draft Digital Personal Data Protection Rules），并征集公众意见至 2025 年 2 月 18 日。该法适用于在印度境外处理与向印度居民提供商品或服务有关的个人信息。欧盟于 2018 年实施了《通用数据保护条例》（General Data Protection Regulation，即 GDPR）。GDPR 限制了企业对个人信息的处理，并赋予欧盟公民对其数据使用的控制权，包括限制未经个人同意对数据的处理或传输。此外，GDPR 还对欧盟以外的跨境数据传输进行了规范。02美国敏感个人数据行政命令要点解读0203042024 年 2 月 28 日美国总统拜登签发了名为《关于防止受关注国家访问美国人大量敏感个人数据和美国政府相关数据的行政命令》（Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern）的