《開放群島開源社區：2023跨境數據流通合規與技術應用白皮書（214頁）.pdf》由會員分享，可在線閱讀，更多相關《開放群島開源社區：2023跨境數據流通合規與技術應用白皮書（214頁）.pdf（214頁珍藏版）》請在三個皮匠報告上搜索。

1、開放群島開源社區跨境數據流通小組2023 年 12 月2023The White Paper on Cross-border Data Transfer Compliance and Technology Applications合規與技術應用白皮書跨境數據流通跨境數據流通跨境數據流通合規與技術應用白皮書合規與技術應用白皮書（2023 年）年）開放群島開源社區跨境數據流通小組2023 年 12 月版權聲明本白皮書版權屬于開放群島開源社區跨境數據流通小組所有，依據 CCBY-NC-SA4.0（http:/creativecommons.org/licenses/by-nc-sa/4.0/）許可證

2、進行授權，并受法律保護。轉載、編撰或利用其他方式使用本白皮書文字或觀點，應注明來源。違反上述聲明者，編者將追究其相關法律責任。編制說明本白皮書由開放群島開源社區跨境數據流通小組牽頭撰寫，限于撰寫組時間、知識局限等因素，內容恐有疏漏，煩請各位讀者不吝指正。本報告在撰寫過程中得到了開放群島開源社區跨境數據流通小組各成員單位的大力支持，在此特別感謝參編單位的各位專家以及聯合國世界絲路論壇數字經濟研究院院長、浙江大學網絡空間安全學院王春暉教授。編寫單位編寫單位（排名不分先后）：聯易融數字科技集團有限公司、廣東廣和律師事務所、深圳數據交易所、深圳市星創數字研究中心、廣東卓建律師事務所、北京信聯數安科技有

3、限公司、勤達睿（中國）信息科技有限公司、北京植德（深圳）律師事務所、南方科技大學深圳國家應用數學中心、江蘇無錫大數據交易有限公司、數交數據經紀（深圳）有限公司、深圳職業技術大學、深圳賽西信息技術有限公司、南昌大學、萬商天勤（深圳）律師事務所、萬商天勤（杭州）律師事務所、華東江蘇大數據交易中心股份有限公司、深圳信息通信研究院、北京中企數安咨詢有限公司、大數據協同安全技術國家工程研究中心、中國電信股份有限公司研究院、鄧白氏中國、北京市漢坤（深圳）律師事務所、北京市京師（深圳）律師事務所、日本野村綜合研究所、廣東經天律師事務所、粵港澳大灣區大數據研究院、廣東際唐律師事務所、福建旭豐律師事務所、北京萬

4、商天勤律師事務所、優刻得科技股份有限公司、中誠信征信有限公司、浙江九鑫智能科技有限公司、深圳市電子商務安全證書管理有限公司、廈門海峽鏈科技有限公司、四川久遠銀海軟件股份有限公司、領禹智通數據科技（上海）有限公司、三六零數字安全科技集團有限公司、騰訊科技（深圳）有限公司、貴州財經大學、青島國創智能家電研究院有限公司、南方科技大學智能管理與創新發展研究中心、奇安信科技集團股份有限公司、南財合規科技研究院、數庫（上海）科技有限公司1 編寫編寫組主要成員組主要成員（排名不分先后）：陳 曦李如先王 冠丁振贛周宏張巍宮仁海李蘭蘭劉 媛陳寧王藝郭巧真王以瑋史亦言于丹麗張雅婷王鑫羅欣勞國威易海博譚瑞琥柴穎戴志

5、敏吳朝陽周閱楊淋雨尤磊張昊楊子安王雪純何思婷周鋼李東陽陳璐王雨薇李清蓮宋杰李丹袁蕓夏彥廖瞰曦趙鵬飛陳慧曾錚陳嘉琪袁玥成雨楊杜瑜莫斯航王巖飛樊思琪李智慧王孝冉謝賢保李昌旺舒青云王瓊彭曉燕孫紅李和清侯子博劉沛郭婷程晶晶彭文琪魏倩黃念念王瀾吳一吳昊馬蘭阮舟王志輝王超博陳建宏張長彬吳治中羅瑤鄧祥靜胡浩2魏安迪崔如德李坤賀志生王永霞代威丁紅發楊楠梁娜黃偉周謝軍蔡小芳唐鑫蔡歡馬紀園肖苗苗劉嶺峰蔡劍戈王青蘭朱琳蒙雄發李文塔陳俊昌陸忠明1前 言隨著信息技術的飛速發展，數字貿易逐步成為國際貿易發展新趨勢和貿易增長新引擎?？缇硵祿魍ㄊ情_展數字貿易的前提條件，是世界經濟流動新要素。全球數據流動對經濟增長有明顯的拉

6、動效應。世界貿易組織數據顯示，2022 年，全球跨境數據流通規模增長 120.6%，數字服務貿易規模增長 36.9%，均高于同期的全球服務貿易和貨物貿易的增速?？缇硵祿魍▽Q易模式、貿易結構、全球貿易規則和世界貿易格局產生深刻影響。加強數據跨境流動探索，已成為打造我國在全球數字經濟發展格局中優勢的關鍵。2022 年 12 月，中共中央國務院關于構建數據基礎制度更好發揮數據要素作用的意見提出，堅持開放發展，推動數據跨境雙向有序流動。2023 年 9 月28 日，國家互聯網信息辦公室發布規范和促進數據跨境流動規定（征求意見稿），該規定在個保法以及相關數據跨境傳輸規定的基礎上，降低了相關主體在數據

7、出境時的合規成本，加快了我國數據出境的效率，有利于促進國際機構跨境活動的高效運營。截至目前，全國已有北京、上海、廣州、深圳等 20 余地出臺“數據相關條例”，推進數據跨境流動工作。在此背景下，聯易融于 2022 年受邀牽頭創建開放群島跨境數據流通小組，以助力企業合法合規實現數據跨境流通，業務出海為目標；結合業務模式與技術能力推進合法合規可落地技術解決方案。去年組織三十余家境內外機構編寫了跨境數據流通合規與技術應用白皮書（2022），收到廣泛關注。據不完全統計，發布之初，就得到了超過 30W 次的閱讀量，以及包括主流媒體在內的超過500 家媒體等機構轉載?？缇硵祿魍▽Q易模式、貿易結構、全球貿

8、易規則和世界貿易格局產生深刻影響。加強數據跨境流動探索，已成為打造我國在全球數字經濟發展格局中優勢的關鍵。2023 年聯易融繼續牽頭并攜深數所、信通院等 40 多家機構撰寫跨境數據流通合規與技術應用白皮書（以下簡稱白皮書（2023）。白皮書（2023）進一步拓寬國際視野和跨境場景，聚焦粵港澳大灣區優勢，具有以下特點：第一，國際視野更加開闊，追蹤歐美日韓最新跨境數據合規法律動態，增補我國重要貿易伙伴以及鄰近國家和地區的法律環境分析，如東盟成員國、沙特阿拉伯、俄羅斯、中國臺灣等地，并與中國大陸的數據跨境規則進行對比，為數據處理者與相關國家或地區開展數據跨境活動時提供參考。數據跨境的規范更需要不同國

9、家間相互合作才能完成，白皮書（2023）對當今主要的數據跨境流通2國際條約也加以介紹，為探索跨國合作提供新的視角。第二，數據跨境場景更加豐富，在關注跨境重點行業的基礎上，發掘新場景和新應用。例如，從民生出發，關注大灣區居民異地銀行或證券開戶的個人數據跨境流動。從工業智造出發，關注關鍵工業數據合規跨境提升芯片制作工藝。從公共健康出發，關注跨境就醫結算服務和醫療臨床研究項目的數據合規出境規范。第三，數據跨境區域更加聚焦，粵港澳大灣區具有獨特的區位優勢，是我國跨境數據流通的重要節點。作為一個重要的經濟合作區域，涉及“一個國家、兩種制度、三個關稅區、三種貨幣”，這里具備強大的經濟發展實力和跨境數據流通

10、需求。白皮書（2023）重點關注粵港澳大灣區跨境數據流通發展現狀，推進數據跨境流動安全規則研究、制定和落地的先行先試。本次白皮書成功發布，離不開“開放群島跨境數據流通小組”各位領導專家的支持和幫助。他們在跨境數據合規與流通實踐方面，擁有成熟的經驗與領先的優勢。在編寫過程中，各位專家不吝分享自己專業領域的真知灼見，每一次討論都是思想的碰撞，每一次交流都是思維的提升。再次感謝各參編單位的團結貢獻，讓我們繼續為推動數據跨境安全有序流動貢獻力量！1目 錄版權聲明.1編制說明.2前 言.1目 錄.1圖列表.1第一章 背景介紹.11.1.我國跨境數據流通的發展現狀.11.2.港澳大灣區跨境數據流通的發展現

11、狀.41.3.全球跨境數據流通的發展趨勢.41.4.我國跨境數據流通發展面臨的挑戰.5第二章 國際條約中的數據跨境規則.82.1.總覽.82.2.具體條約中的數據跨境規則.92.2.1.基于世界貿易組織（WTO）框架下的重要多邊條約.92.2.2.區域全面經濟伙伴關系協定（RCEP）.122.2.3.全面與進步跨太平洋伙伴關系協定（CPTPP）.142.2.4.數字經濟伙伴關系協定（DEPA）.152.3.對中國數據跨境管理的啟示.16第三章 數據跨境域外法律環境分析.183.1.中國香港.183.1.1.推動數字經濟發展，打造亞太地區數據中心設立首選地.183.1.2.香港數據保護及數據跨境

12、的要點簡析.193.1.3.香港與中國大陸個人信息保護法規之對比情況.213.2.中國澳門.223.2.1.完整的個人資料保護規范，但不完善的跨境規則.223.2.2.澳門數據保護及數據跨境的要點解析.223.2.3.注意敏感個人信息保護，避免行政處罰.233.3.中國臺灣.243.3.1.臺灣地區個人資料保護及跨境流通監管的法律環境.243.3.2.我國臺灣地區數據保護及數據跨境的要點簡析.253.3.3.我國臺灣地區個人資料保護法與大陸個人信息保護法的銜接與差異.2723.4 東盟.273.4.1.出臺系列指導性政策文件，統籌數字經濟發展與數據保護.283.4.2.東盟個人數據保護框架促各

13、成員國國內數據保護政策一致化.283.4.3.東盟數據管理框架和東盟跨境數據流動示范合同條款為企業提供數據管理和跨境數據流通的指引.293.5.新加坡.293.5.1.尋求加強監管與數據開放流動直接平衡的監管體系.293.5.2.新加坡數據保護監管框架概覽及數據跨境的要點解析.303.5.3.新加坡與中國個人信息保護之比較.333.6.越南.333.6.1.越南數據保護法律體系概況.333.6.2.越南數據保護和數據跨境的要點簡析.333.6.3.越南與中國數據保護法律之對比.343.7.沙特阿拉伯.353.7.1.沙特阿拉伯數據保護法律框架概述.353.7.2.沙特個人數據保護法要點簡析.3

14、53.7.3.沙特數據保護與中國的對比.373.8.日本.373.8.1.日本數據跨境流通戰略舉措.373.8.2.日本數據跨境流通法律規制要點簡析.393.8.3.與我國數據跨境法律法規對比分析.413.9.印度.423.9.1.經歷多次曲折，終接近出臺數據保護專門立法.423.9.2.印度數據保護及數據跨境的要點解析.423.9.3.與中國法律的對比.453.10.俄羅斯.463.10.1.俄羅斯聯邦個人信息及數據法律環境分析.463.10.2.俄羅斯聯邦數據跨境保護及審查要點分析.473.10.3.中俄數據保護及數據跨境合規對比.493.11.歐盟.493.11.1.棱鏡事件推動的數據跨

15、境流動立法密集時代.493.11.2.歐盟數據保護及數據跨境的要點簡析.503.11.3.中國對 GDPR 的借鑒與發展.5133.12.美國.533.12.1.美國個人信息及數據法律環境分析.533.12.2.美國數據保護及數據跨境的要點解析.543.12.3.美國與中國數據保護法律之對比.563.13.尊重區域差異，做好數據跨境合規.57第四章 跨境數據流通技術解決與合規方案.584.1.跨境消費：某知名大型港資消費品企業數據跨境方案.584.1.1.案例背景.584.1.2.技術方案.594.1.3.方案創新點和亮點.594.1.4.應用效果.604.2.跨境金融：香港銀行跨境電子簽署.

16、604.2.1.案例背景.604.2.2.技術方案.604.2.3.方案創新點和亮點.624.2.4.應用效果.624.3.跨境芯片研發：M2&SKC 芯片數據跨境安全計算.624.3.1.案例背景.624.3.2.技術方案.634.3.3.方案創新亮點.644.3.4.應用成效.654.4.跨境數據：中國首單場內跨境數據交易.654.4.1.案例背景.654.4.2.整體方案.654.4.3.數據產品創新點和亮點.684.4.4.應用成效.684.5.數字貿易：基于數字貿易資產的融資解決方案.694.5.1.案例背景.694.5.2.技術方案.694.5.3.方案創新點和亮點.714.5.4

17、.應用成效.724.6.跨境金融：港股開戶跨境可靠電子簽署.724.6.1.案例背景.724.6.2.技術方案.7244.6.3.方案創新點和亮點.734.6.4.應用效果.734.7.衛生健康：跨境就醫結算服務平臺.744.7.1.案例背景.744.7.2.技術方案.744.7.3.方案創新點和亮點.774.7.4.應用效果.774.8.跨境征信：海外用戶信用風險評估報告.784.8.1.案例背景.784.8.2.技術方案.784.8.3.方案創新點和亮點.804.8.4.應用效果.804.9.健康醫療：臨床試驗數據跨境合規.814.9.1.案例背景.814.9.2.合規方案.824.9.3

18、.方案創新點和亮點.834.9.4.應用效果.844.10.跨境貿易：基于區塊鏈的兩岸跨境貿易商品溯源系統.844.10.1.案例背景.844.10.2.技術方案.854.10.3.方案創新點和亮點.884.10.4.應用效果.884.11.跨境電商：跨境數據推動電商企業 ESG 供應鏈改進.884.11.1.案例背景.894.11.2.技術方案.904.11.3.方案創新點和亮點.914.11.4.應用效果.914.12.數據合規：企業數據出境風險評估.924.12.1.案例背景.924.12.2.合規評估.924.12.3.方案創新點和亮點.944.12.4.結語建議.94第五章 數據跨境

19、流通與技術應用發展建議.955.1.數據跨境安全管理底線堅持與便利化探索.9555.2.企業全面建成數據跨境合規體系.965.2.1.企業數據安全與隱私保護.965.2.2.企業供應鏈風險控制與管理.975.2.3.企業跨境數據流通合規能力建設.985.3.推動跨境數據流通合規技術產業發展.995.4.重視合規人才培養與產業共生.1015.5.深化開放合作實現跨境合規應用多樣化.102參考文獻.104附錄 A:數據跨境流通域外法律解析.1071.香港.1072.澳門.1133.臺灣.1174.新加坡.1315.越南.1406.日本.1497.印度.1508.歐盟.1609.美國.176附錄 B

20、：編寫單位簡介.1931圖列表圖 1跨境流程示意圖.59圖 2跨境電子簽署服務平臺總體架構圖.61圖 3跨境電子簽署服務平臺網絡傳輸路徑圖.62圖 4整體架構圖.64圖 5UCloud 安全屋業務流程圖.64圖 6數庫 SmarTag 新聞分析數據產品架構圖.66圖 7跨境數據交易流程圖.67圖 8傳統供應鏈中 DTA 的應用流程圖.70圖 9多級供應鏈中 DTA 在發行、轉讓、融資和兌現場景中的應用.71圖 10深圳 CA 港股開戶電子認證服務平臺總體架構圖.73圖 11跨境就醫結算服務平臺框架結構圖.76圖 12平臺業務流程圖.76圖 13跨境就醫結算服務平臺技術架構圖.77圖 14用戶信

21、用風險評估報告處理系統作業流程示意圖.79圖 15征信報告模板示意圖.80圖 16數據出境安全評估流程.82圖 17自評估流程圖.83圖 18兩岸跨境貿易商品溯源應用技術架構圖.86圖 19兩岸跨境貿易商農品溯源應用數據上鏈流程.86圖 20兩岸跨境貿易商品溯源應用數據采集示例.87圖 21兩岸跨境貿易商品溯源應用案例.87圖 22方案功能展示圖.89圖 23企業跨境數據安全技術體系架構圖.961第一章 背景介紹數據是國家重要的戰略資源，跨境數據的積累、精煉、加工和管控是數字經濟的重要組成部分，對于促進全球經濟的可持續發展具有重要的推動作用。數據跨境流通對數字絲綢之路建設具有積極的推動作用，有

22、助于促進全球數字經濟的健康發展，實現各國在數字化時代的共同繁榮。在數字化轉型背景下，跨境數據流通已愈發成為全球經濟增長中的關鍵引擎。一是跨境數據推動數字經濟全球一是跨境數據推動數字經濟全球化化?？缇硵底謽I務如跨境金融、跨境醫療、跨境零售等都需要大量的數據在全世界范圍內快速傳輸和處理，實現全球化的服務和運營；如果無法跨境傳輸數據，這些基于網絡的數字業務將難以實現全球發展，實現數字經濟的全球布局。二是二是跨境數據保障數字貿易一體化?？缇硵祿Ｕ蠑底仲Q易一體化。隨著數字貿易規模不斷擴大,跨境數據流通將成為促進數字貿易發展的重要基礎，只有實現安全高效的跨境數據流通，數字貿易才能真正實現全球一體化，這將

23、進一步推動全球數字經濟的深入發展。三是三是跨境跨境數據流通數據流通支撐產業高質量支撐產業高質量。企業通過跨境數據流通，整合全球各地區的數據資源實現資源最優化配置，這可以幫助企業縮短產品迭代周期，提高研發效率，優化全球運營決策，在全球競爭中獲得先發優勢，同時產業也可以利用數據優勢，實現轉型升級和高質量發展。四是四是跨境數據流通跨境數據流通助力企業高效益助力企業高效益。通過收集和分析來自不同國家和地區用戶數據，企業可以更好地了解全球客戶的需求和偏好，挖掘出新的商業機會，針對不同市場提供定制化的產品和服務，實現精準營銷，拓寬全球銷售渠道，這將有利于企業快速擴大市場規模。1.1.我國跨境數據流通的發展

24、現狀（1）跨境數據流通的快速發展導致新的商業模式不斷涌現，產生更加緊密復雜的經濟互動，從而促進數字經濟外延形式上的持續擴張和內在邏輯上的持續延伸。在數字經濟全球化的背景下，我國對于跨境數據流通的管理上也參考了國際先進經驗，制定和實施了許多重要的管理措施?？傮w而言，我國跨境數據流通整體呈現管理框架更加完善、跨境數據流通行業應用更加豐富等特征。（2）數據數據跨境跨境流通流通管理規范體系愈發管理規范體系愈發完善完善為順應跨境數據流通，融入全球化發展，近年來我國出臺并施行了中國人民共和國民法典電子商務法網絡安全法數據安全法個人信息保護法中華人民共和國密碼法中華人民共和國外商投資法反壟斷法出口管制法等法

25、律規范。隨著網絡安全法數據安全法個人信息保2護法等法律的發布，我國建立了以數據保護與跨境數據流通為框架的制度體系，同時法律框架機制的設計也采取了全球共識和本土經驗相融合的創新模式，積極探索跨境數據流通規則體系多樣性的建設。2022 年 9 月國家互聯網信息辦公室發布實施數據出境安全評估辦法，進一步規范了數據跨境的事前管理路徑；2022 年 12 月中共中央國務院發布關于構建數據基礎制度更好發揮數據要素作用的意見（以下簡稱“數據二十條”），進一步有利于提高數據要素治理效能；2023 年 6 月 1 日施行的個人信息出境標準合同辦法及個人信息出境標準合同，是對個人信息保護法中國家層面的跨境數據流通

26、管理制度體系的落實；2023 年 7 月國務院印發關于進一步優化外商投資環境加大吸引外商投資力度的意見，進一步提出和倡議了“為符合條件的外商投資企業高效開展重要數據和個人信息出境安全評估，提供綠色通道”；2023 年 9 月 28 日國家互聯網信息辦公室發布規范和促進數據跨境流動規定（征求意見稿），進一步對數據跨境流動的禁止性行為、可行性行為進行了明確的界定，并針對允許的跨境數據流通的可行性行為給予了操作指引，并強調了企業數據出境安全責任和監管要求?？傮w而言，我國跨境數據流通相關管理體系愈發完善。（3）我國我國跨境數據流通跨境數據流通行業應用愈發豐富行業應用愈發豐富在我國，跨境數據流通已經滲透

27、到眾多行業中，其中以金融、制造業、醫療、物流、數字貿易和數字服務等行業為國內跨境數據流通的行業代表，跨境數據流通在其中發揮了積極重要的作用。在金融行業在金融行業，對客戶全球范圍的金融資產進行配置和管理的過程中，包含大量的跨境數據信息需求，如金融跨境結算，反洗錢及全球風控、客戶金融資產管理實時跨境同步等業務場景，都涉及到國境間的個人數據傳輸。例如，在風控業務中，有的外資機構幫助中國客戶在全球范圍內進行投資，建設全球風控系統需要掌握較敏感的數據。在制造行業在制造行業，全球化產業鏈發展格局下，制造業涉及大量數據協同過程，以實現優化配置和降本增效，如當前市場火熱新能源領域汽車制造業，車企需要將海外數據

28、存儲在當地自有數據中心或公有云中，雖然不涉及到出口國當地個人信息跨境傳輸，但由于海外銷售、研發等分支機構需要共用國內業務系統，會有研發、制造、銷售、財務、運行等相關數據跨境流動的需求。在物流行業在物流行業，隨著全球化貿易的增長和電子商務的興起，跨境數據流通和整合為物流行業提供了高效便捷的信息管理和運營模式。通過數字化技術和跨境數據流通，全流程物流信息獲取需求得以滿足，物流公司可以實時獲取全球運輸、庫存、訂單等關鍵信息，實現供應鏈的可見性和精細化管理，更好地與海外供應商、制造商和客戶進行合作和溝通，促進國際貿易的便捷性和可靠性。3在醫療行業，在醫療行業，藥物海外研發對于多樣性的個人數據跨境需求顯

29、得更為迫切，藥企需要收集、處理包括臨床試驗數據、試驗樣本中包含的人類遺傳資源信息、患者的健康檢測和管理數據等，這些數據部分屬于重要數據和敏感個人信息。如我國藥企向美國申請新藥上市，需要向美國食品與藥品管理局（FDA）提出新藥臨床試驗審批申請（IND）和新藥注冊申請（NDA），并提交臨床前研究、檢測結果、藥物組成、藥物生產與質控程序數據。在數字貿易在數字貿易，全球化產業的發展，對打通供應鏈、產業鏈、服務鏈從而實現三鏈貿易的整體打通，提出了“供應鏈可視化和跨境數據流通整合”的需求，其中跨境數據流通是實現供應鏈可視化的重要步驟。同時，伴隨著數字技術的發展，通過數字技術延伸出來的數字人、元宇宙、NFT

30、 等相關數字服務和需求也相繼產生，在數字服務和產品進行全球流通的背景下，跨境數據的流動是必然性的剛性需求，形成了一種跨境數據流通的新型生態系統。（4）跨境數據流通跨境數據流通技術解決方案日趨成熟技術解決方案日趨成熟當前跨境數據流通相關技術日趨成熟并廣泛應用。依據我國現有法律法規要求及相關標準規范建議，強調企業應當建立數據跨境的技術能力體系，以規范和促進數據依法有序自由流動。主要從以下幾個方面：在數據資產梳理在數據資產梳理方面，數據分類分級技術將助力實現核心數據、重要數據、一般數據的高效識別以及與相應數據類別、數據安全等級的智能關聯，從而大幅提升識別效率和安全性。在數據分析處理在數據分析處理方面

31、，隱私計算技術將在助力企業實現“數據可用不可見，原始數據不出域”。已經有越來越多的企業將通過跨境部署隱私計算節點來完成重要數據或個人數據的處理分析。在數據流動管理在數據流動管理方面，區塊鏈技術將有效助力實現跨境數據流通全生命周期的“防篡改、可追溯、可信任”，為國家及企業的個人信息保護合規審核和數據跨境流動安全監管審計工作提供有力的技術保障。（5）數據跨境措施持續促進外商投資和服務貿易發展數據跨境措施持續促進外商投資和服務貿易發展2020 年 8 月，商務部在全面深化服務貿易創新發展試點總體方案中提出，要積極開展數據跨境傳輸安全管理試點，并選擇了北京、天津、上海、廣州、深圳等 28 個省市作為試

32、點地區。2022 年 1 月，國家發改委、商務部宣布將放寬跨境數據業務等相關領域市場準入，開展數據跨境傳輸（出境）安全管理試點，加速數據要素跨境市場建設。2023 年 7 月，國務院公布關于進一步優化外商投資環境，加大吸引外商投資力度的意見，其中首次提出建立數據出境的清單制度，回應了眾多外商投資企業和國內企業的關注；同時在全國范圍內統一適用數據出境安全評估、標準合同、認證認可的“三件套”監管措施中，另單設京津4滬粵四地“試點探索”形成“可自由流動”的“一般數據清單”，此舉是國家發展大戰略之一京津冀一體化的通盤考慮，覆蓋環渤海、長三角、珠三角國內三個重要經濟帶。1.2.港澳大灣區跨境數據流通的發

33、展現狀粵港澳大灣區是我國跨境數據流通的重要節點，作為一個重要的經濟合作區域，涉及“一個國家、兩種制度、三個關稅區、三種貨幣”，具備強大的經濟發展實力和跨境數據流通需求。大灣區以率先探索制定數據跨境流動規則，擁有龐大的數據跨境流動應用場景和基礎設施，其在數據流動方面的地位與影響力日益凸顯，成為了我國跨境數據流通的重要支撐，是進行跨境數據流通研究的先行試驗田?；浉郯拇鬄硡^并結合行業需求，產生了一大批的經典應用案例。在金融領在金融領域域，粵澳上線跨境數據驗證平臺，利用區塊鏈技術，以金融信息為試行范疇，在個人資產信息、企業資產證明和核數證明等業務場景方面實現跨銀行、跨機構間的數據驗證服務。在醫療領域在

34、醫療領域，粵港實現電子病歷跨境互通，香港大學深圳醫院通過電子健康紀錄互通系統（簡稱“醫健通”）實現電子病歷跨境互通。在政務在政務領域領域，粵港澳實現政務“跨境通辦”，江門市在香港和澳門設立“跨境通辦政務服務專區”，推出“灣區政務通”可視化智慧服務柜臺，通過引入線上身份核驗、遠程視頻、數字空間、區塊鏈等新技術促進跨境政務數據可信共享，實現涵蓋商事登記、不動產登記、公積金、社保等多項高頻服務的跨境辦理。在科研領域在科研領域，中國澳門與歐盟實現科研數據共享，澳門與歐盟合作構建“中國澳門歐盟數據跨境流動通道”，以科研數據為突破點，探索出包括規則、技術和管理的治理機制，采用 IPV6、隱私增強、區塊鏈等

35、技術確保數據流動的可追溯和可管控，實現了科研數據安全有序跨境雙向傳輸。在在教育教育領域領域，粵港澳大灣區已成為我國科研創新中心，數十家境外高校陸續在廣東辦學或成立實驗室，其中包括香港中文大學、香港科技大學、香港浸會大學、澳門科技大學等，通過合作辦學的推動，進一步推動了校區之間包括人員身份信息、實驗室科研數據、管理規則技術體系的跨境數據流通共享?？傮w而言，粵港澳大灣區在促進數據跨境流動方面先行先試，成效顯著，但當前仍面臨數據跨境難以同時實現數據安全、隱私保護和自由流動三大目標的“三元悖論”，數字基礎設施互聯互通仍存在一定障礙。1.3.全球跨境數據流通的發展趨勢伴隨著產業全球協同化發展和數字經濟的

36、全面到來，在全球范圍內進行的跨5境數據流通愈發變得頻繁，成為全球經濟發展過程中的剛性需求。通過對全球跨境數據流通的現狀進行深入分析，全球跨境數據流通具有以下發展趨勢：一是數一是數據跨境治理政策愈發明確據跨境治理政策愈發明確。一方面，全球數據跨境流動的政策、規則和標準存在越來越多的共同點、互補性和趨同因素，都聚焦數據跨境安全保護和自由流動雙重目標。另一方面，數據跨境流動全球的監管力度、約束規則、懲戒措施，雖總體趨向嚴格和出現相關處罰案例，但相關的跨境數據流通的政策已愈發清晰具體。二是數據主權之爭愈演愈烈二是數據主權之爭愈演愈烈。數據是基礎性、戰略性資源，數據主權之爭成為國家沖突的新形態，許多國家

37、和國際組織積極推動數據主權戰略部署和政策規制；迄今，全球近 60 個國家和地區出臺了數據主權相關法律或戰略；特別是美歐濫用長臂管轄進一步導致數據主權沖突加劇。三是數據跨境安全面臨新技術沖三是數據跨境安全面臨新技術沖擊擊。生成式人工智能等新技術的發展促進數據應用場景和主體日益多樣化，同時也給數據安全帶來新的威脅，導致隱秘在新技術外衣下的數據泄露、數據販賣、數據侵權等數據跨境安全事件頻發；如用戶在使用 ChatGPT 的過程中若使用不當，將對個人隱私、商業秘密、國家安全造成嚴重威脅。四是數據本地化趨勢上四是數據本地化趨勢上升升。出于國家主權、數據安全、個人信息保護等多種因素的考慮，越來越多的國家和

38、地區采取數據本地化措施，限制部分相關重要數據跨境流動；同時，這些措施的限制性越來越強，許多措施涉及禁止數據流動的存儲要求。1.4.我國跨境數據流通發展面臨的挑戰我國跨境數據流通發展整體呈現出蓬勃發展之勢，但綜合分析現狀和未來趨勢，當前仍存在跨境數據流通實施標準和落地措施不足、境外主體數據安全保障能力評估受限、跨境數據流通安全評估成本高和耗時長、境外直接面向境內收集數據主體的申報難、大模型訓練數據來源廣泛導致監管難度加大等五個方面的問題和挑戰。（1）跨境跨境數據流通數據流通實施標準和落地措施不足實施標準和落地措施不足國家發布的數據出境安全評估辦法 工業和信息化領域數據安全管理辦法（試行）汽車數據

39、安全管理若干規定（試行）重要數據識別指南（征求意見稿）和規范和促進數據跨境流動規定（征求意見稿）已對數據和重要數據的范圍進行了定義，明確了告知原則和解決了范圍模糊的問題，并有效降低了數據處理者的合規成本；但在目前構建的數據跨境底座之上，我們仍然缺乏更加清晰的跨境數據相關標準、落地措施，以作為數據跨境流動的發展底層設施；如數據出境安全評估申報指南中對屬于數據出境的行為做出了描述，但在具體業務中，企業仍缺乏更加細致統一多方互認的數據跨境標準和共通的落地執行措施。6（2）境外主體數據安全保障能力評估受限境外主體數據安全保障能力評估受限數據出境安全評估辦法 個人信息出境標準合同辦法等法規對境外接收方的

40、數據安全保障能力、個人向境外接收方主張權利的途徑有效性評估進行了規定，但在具體核查評估過程中，仍然存在能夠進行有效評估的企業數量有限、評估事項評估標準理解不清晰、人工梳理出境活動協調難還原不準確等問題，大多數企業仍主要是靠“在合同中進行約定的方式”來完成判定境外主體履行責任義務的管理和技術措施、能力等保障出境數據的安全，也只有零星幾家企業有能力“派遣公司內部人員進行實地考察判斷其管理和安全防護能力”。同時在具體開展技術檢測過程中，僅通過書面材料審核還是需要到境外對相應接收方進行審核的不確定性導致很難對另外主體的數據安全保障能力進行一個精確性的評估。（3）跨境數據流通跨境數據流通安全評估成本高和

41、耗時長安全評估成本高和耗時長數據出境安全評估過程中，需對境內外雙方數據出境場景規模必要性、境外接收方數據法律環境、數據安全保障能力、數據出境風險等進行評估，內容龐雜且復雜，評估內容涉及多層面、多維度，單一能力團隊無法支撐。就所需要評估的內容，企業需要聘請內外部多方團隊，如聘請外部律師事務所、咨詢機構、技術單位進行評估申報、履行評估、整改和申報義務，總體花費的經濟成本較高。同時，由于涉及的層面內容的多樣性和多維度，處理評估、整改和申報相關手續及流程的時間周期較長，甚至可能經過多輪修改補充仍無法通過，在境內企業難以評估數據跨境風險和控制措施的有效性的情況下，評估周期有可能進一步拉長。（4）境外直接

42、面向境內收集數據主體的申報難境外直接面向境內收集數據主體的申報難根據個人信息保護法五十三條規定，本法第三條第二款（分析、評估境內自然人的行為）規定的中華人民共和國境外的個人信息處理者，應當在中華人民共和國境內設立專門機構或者指定代表，負責處理個人信息保護相關事務，并將有關機構的名稱或者代表的姓名、聯系方式等報送履行個人信息保護職責的部門。同時，個人信息保護法明確對于數據跨境業務和場景，應當依照個保法相關規定履行數據出境安全義務，強調對于滿足數據出境安全評估條件的境外個人信息處理者，應當申報數據出境安全評估，并滿制度要求：僅具有獨立法人資格的主體可以進行認證并持有認證證書。如境外主體或其境內不具

43、有獨立法人資格的分支機構需要進行認證，需由境外總部進行認證?，F階段而言對于境外數據處理者主體，面向境內收集數據也成為實務中難點。（5）大模型訓練數據來源廣泛導致監管難度加大大模型訓練數據來源廣泛導致監管難度加大大模型訓練數據中數據類型及數據來源多元復雜，包括他人隱私、個人信息、7智力成果等，使用這些數據訓練模型存在侵犯他人個人隱私、個人信息等風險。在使用過程中，境內主體通過 API 接口形式接入境外大模型，還可能會伴隨數據跨境傳輸及數據泄露風險。如眾多個人用戶跨境調用大模型服務，或導致數據積累違規跨境，業內多家大模型服務科技企業由于跨境調用大模型服務而致使企業陷入合規危機。在企業內部，企業在多

44、場景應用訓練時無法使用同一個模型，需采購或研發大模型（必要場景下國內外大模型都采用），這將使得企業面臨中國境內一套模型，境外一套模型的境況，無法實現系統的整體統一監控，導致跨境數據傳輸的風險進一步加大，同樣增加了跨境數據流通監管難度。8第二章 國際條約中的數據跨境規則2.1.總覽數據的跨境自由流動是當今世界經濟發展必備的常態，應當在保障國家安全、經濟安全和社會公共利益等少數必要情況下，盡可能促進和鼓勵數據跨境流動，以便創造出更大的經濟和社會價值。鑒此，產業界、學術界、社會公眾對于簡化和便利數據跨境流動監管手續的呼聲持續高漲，國際組織、區域機構、各國政府也在積極探索和不懈推動。主要經濟體基于自身

45、立場、產業要求分別形成了兩種不同的管理路徑：一是倡導數據自由流動的全球主義；二是以本地化存儲、數據跨境審查為主要特征的本地主義。在此情況下，條約作為國家之間、政府間國際組織之間、國家與政府間國際組織之間締結的國際協議，便發揮了最主要的契約型約束和造法性指引。必須承認，目前數據跨境活動并未形成全球性規制體系。換言之，全球范圍內暫不存在數據跨境流動監管中統一適用的“國際規則”，導致無專項性國際條約、無國際統一適用標準、無國際專業仲裁機構、無國際專項爭端解決?！皸l約是確立國際法主體之前權利義務的書面協定，是國際法淵源最主要體現?！蹦壳皣H法按照締約方數量的劃分，針對數據跨境這一特定問題構建權利和義務

46、的國際條約：分為雙邊條約、諸邊條約和多邊條約。由于體例和篇幅的限制，本節簡要分析涉及中國出境業務或對中國國內立法具有重要影響或參與國際規則談判發揮范例效應的主要國際條約。（1）缺有效強制但頑強推進的多邊條約缺有效強制但頑強推進的多邊條約目前，多邊條約主要中涉及部分數據跨境內容的國際組織成員簽署的條約或主要國際治理機發布的宣言，由于成員間的立場和利益分歧、經濟發展水平差異、執法水平經驗和機構無法對齊，導致普遍缺乏強制力保障，主要有三類：一是經濟合作與發展組織（OECD）于 1980 年確立的首部關于全球數據跨境流動執法原則立法-隱私保護和個人數據跨境流動指南、2013 年制定的OECD 隱私框架

47、，中國為觀察員身份未加入；二是二十國集團積極倡導于 2019 年簽署的數字經濟大阪宣言，中國加入；三是世界貿易組織（WTO）于 1995 年生效的服務貿易總協定、于 1997 年生效的信息技術產品協議、于 2019 年生效的關于電子商務的聯合聲明，中國均已加入。值得關注的是，盡管存在數據主權、隱私安全、管轄權的政策議題爭議諸多困難，國際多邊組織始終在不懈努力積極推進。特別是不斷有學者和產業人士呼9吁成立世界數據組織（WDO）并締結管轄數據跨境并具備強制約束力的條約，雖目前看此提議遙遙無期，但無容置疑：統一適用的國際多邊條約必是最終目標。（2）重區域適用但蓬勃發展的諸邊條約重區域適用但蓬勃發展的

48、諸邊條約由于達成多邊組織的廣泛一致和簽署具有約束效力的協商共識，近二十年來區域經貿協定和近年來的區域數字協定成為各經濟體開展對外合作的主流，涉及數據跨境移動便利化規制的諸邊條約主要有三類：一是中國已加入的具有相對廣泛代表性的，比如亞太經合組織（APEC）各成員于 2005 年簽署的隱私保護框架、2007 年簽署的數據隱私探路者協議、2011 年開發的“跨境隱私規則體系”；二是針對中國正積極申請加入且具備較高水平的，包括 2018 年生效的全面與進步跨太平洋伙伴關系協定，特別是其中的數字貿易規則；2020 年新加坡、新西蘭和智利（亦是 CPTPP 簽署方）線上簽署的 數字經濟伙伴關系協定，特別是

49、其中應對數字經濟對傳統商業貿易治理產生的巨大挑戰規定；三是國際上一體化程度十分緊密且為各成員廣泛關注的，如 2020 年，美國、墨西哥、加拿大之間新的貿易協議 美墨加協議 正式生效，該協議不僅正式承認了 APEC跨境隱私規則體系”的有效性，而且要求確保數據跨境自由傳輸、最大限度減少數據存儲與處理地點的限制以促進全球化的數字生態系統。（3）高標準雄心但數量有限的高標準雄心但數量有限的雙邊條約雙邊條約基于美歐密切的經濟聯系和高科技的深度合作，2022 年 歐美數據隱私框架達成。歐盟委員會不僅擴大數據跨境移動方面的規則解釋，更是更新了標準合同條款，明確確保數據進口提供同等保護的責任主體在于將個人數據

50、提供數據跨境的數據出口方。美國也提出了修補隱私盾協議的實質性承諾。2.2.具體條約中的數據跨境規則本節將從具體的條約著手，簡析其中的數據跨境規則。由于體例和篇幅的限制，我們挑選部分條約進行分析，供參考。2.2.1.基于世界貿易組織（WTO）框架下的重要多邊條約在全球發展數字經濟的背景下，世界貿易組織（World Trade Organization，WTO）作為全球范圍內的多邊貿易組織擁有 164 個經濟體成員，主要通過減免數字產品關稅、推動跨境數據自由流動促進全球范圍內信息技術產品貿易涉及數字服務貿易的統一化、便利化、自由化。在不斷涌現新興技術的有力加持下，多種形式的國際貿易均可能涉及到相應

51、的國際間數據跨境傳輸，相關成員關于數據跨境傳輸的法律和政策確實會影響貿10易開展。鑒于 WTO 框架目前主要針對基于貿易關切的數據跨境進行專項規制，在 WTO 體系下討論數據跨境問題應從相關成員的國（境）內法律政策對貿易本身的影響考慮，從而援引相關貿易協定進行分析，本節側重中國數據安全和個人信息保護開展例證。后續一節將重點討論三個重要多邊條約：服務貿易總協定（General Agreement on Trade in Services，以下簡稱 GATS）、信息技術產品協議（Information Technology Agreement，以下簡稱 ITA）、關于電子商務的聯合聲明（Joint

52、 Statement on Electronic Commerce，以下簡稱 JSEC）。（1）服務貿易總協定（服務貿易總協定（GATS）GATS 是關貿總協定（GATT）烏拉圭回合談判達成的第一套規范國際跨境服務貿易的具有法律效力的多邊條約，于 1995 年 1 月正式生效，包括美國、歐盟、日本、澳大利亞、中國等 140 多個成員，其宗旨是在透明度和逐步自由化的條件下擴大服務貿易。GATS 規定國際服務貿易具體分為四種方式：跨境交付（cross-border supply）、境外消費（consumption abroad）、商業存在（commercialpresence）、自然人流動（mov

53、ement of natural persons），其核心是市場準入及具體承諾表（schedules of specific commitments）。GATS 中與數據流動有關的內容，締約時放在計算機和相關服務（computer and related services）類別，其中包括數據處理服務（data processing services）。如前所述，目前上沒有一部專門管轄數據跨境的國際條約，WTO 規則中關于數據跨境傳輸的規制散件于各協定、備忘錄、宣言中。WTO 各項協議中都存在少量例外條款，如果符合例外條款，則有關限制數據跨境流動的國（境）內監管措施將不構成違反 WTO 規則。這

54、些例外規則暫時替代性地構成數據跨境流動的國際法基礎，其中最為重要的是，GATS 的例外包括了第 14 條的“隱私例外”和“安全例外”，第 14 條之二的“基本安全例外”，具體為：“隱私例外”系指第14條第1款的“為保護公共道德或維護公共秩序所必須的措施”；第 14 條第 3 款“為遵守法律或法規所必需的措施”及其第 2 項的“保護與個人信息（personal data）處理與傳播有關的個人隱私及保護個人記錄和賬戶的機密性”?！鞍踩狻毕抵傅?14 條第 3 款第 3 項的“安全（safety）”?！盎景踩狻毕抵傅?14 條之二第 1 款第 1 項的“（不得）要求任何成員提供其認為如披露

55、則違背其基本安全利益（essential security interests）的任何信息（any information）”。世界各國在國內立法以及開諸邊經貿談判、區域規則談判過程中涉及數據跨境流動章節的規則設置時，包括緊接本節討論的 CPTTP、DEPA、RECP 等諸邊條約時，總體上均未超越 GATS 中限制跨境服務貿易的上述例外。11（2）信息技術產品協議信息技術產品協議（ITA）ITA 是世界貿易組織于 1996 年 12 月 9 日至 13 日達成的協議，于 1997 年 4月 1 日生效。它由世界貿易組織成員和申請加入國或單獨關稅區自愿參加，作為WTO 框架下“次多邊貿易協定”的

56、新類型，ITA 的成果在最惠國待遇原則的基礎上適用于所有成員，每個成員都可以從 ITA 締約方的市場準入承諾中受益。ITA 在 2015 年完成了擴圍談判，達成了關于擴大信息技術產品貿易的部長宣言，新增了 201 項產品。擴圍談判的成功使 ITA 適應了技術發展的現實，擴圍后的 ITA 涵蓋了尖端技術產品，例如自動數據處理設備、計算機、網絡設備、醫療磁共振成像機、高端半導體、激光技術等。ITA 擴大了作為數字貿易基礎的技術產品貿易，但 ITA 的規制局限于信息技術產品的關稅削減機制，不包含任何形式的非關稅壁壘的有約束力的承諾。數字貿易壁壘更多涉及邊境后的非關稅措施，盡管存在一定談判深入中的舉步

57、維艱，ITA 為與信息技術相關的硬件貿易提供了非常自由的體制保障，極大地推動了信息技術在全球的普及和運用，從而促進了跨境數據流通。（3）關于電子商務的聯合聲明（關于電子商務的聯合聲明（JSEC）2019 年 1 月 25 日，在瑞士達沃斯舉行的 WTO 電子商務非正式部長級會議上，中國、澳大利亞、日本、新加坡、美國、歐盟、俄羅斯、巴西、尼日利亞、緬甸等共計 76 個世貿成員簽署 JCEC。從多邊拓展層面分析從多邊拓展層面分析，JCEC 所積極倡導的 WTO 電子商務談判已擴大到 90個成員參與，形成覆蓋數字相關 7 個領域 16 項議題；從雙邊區域層面分析從雙邊區域層面分析，至2023 年上半

58、年，全球已簽署超 130 個數字協定，其中多為雙邊、區域自貿協定（FTA）以及數字經濟專門協定。從歷史演進層面分析，從歷史演進層面分析，JCEC 最早可以追溯至WTO 于 1998 年成立的“電子商務工作計劃”，強調將充分認識并考慮世貿組織成員在電子商務領域面臨的獨特機遇和挑戰，鼓勵所有成員參加談判，以便使電子商務為企業、消費者和全球經濟帶來更大利益。從發展理念層面分析，從發展理念層面分析，WTO成員形成三排意見：一是以美國為代表的發達經濟體，主張跨境數據自由流動，對電子傳輸永久免證關稅，并禁止數據本地化；二是以中國為代表的發展中經濟體，呼吁建立以貨物流動為主的跨境電子商務規則；三是以非洲、加

59、勒比和太平洋島國等相關成員，反對將數字貿易及跨境電子商務議題納入多邊貿易框架下討論。但近期出現重大的事件卻將改變 ICEC 后續談判的走向，2023 年 10 月 25日，在瑞士日內瓦舉行的 WTO 電子商務聯合聲明倡議會議期間，美國貿易代表凱瑟琳-戴辦公室聲明，美國在 WTO 電子商務規則談判中放棄該國長期以來堅持的部分數字貿易主張，其中包括關于跨境數據自由流動的要求，并且美國正在審12查其在數據和源代碼等敏感領域的貿易規則現行舉措.事態最終走向值得進一步關注。（4）WTO 涉及涉及數據跨境規則與中國數據跨境規則與中國立法的聯系立法的聯系我國制定的網絡安全法、數據安全法、個人信息保護法等法律

60、，關鍵信息基礎設施管理條例、網絡數據安全管理條例（征詢意見稿）等行政法規，網絡安全審查辦法、數據出境安全評估辦法等部門規章，對于重要數據跨境流動的限制、對于達到規定數量的個人信息出境從而會觸發安全影響的評估，對于關基運營者在境內運營中收集和產生的個人信息和重要數據應在境內存儲，這些措施都是援引 GATS 的“基本安全例外”來適度限制，其中對個人信息跨境流動的限制還會增加援引 GATS 的“隱私例外”和“安全例外”。特別指出的是，國家核心數據禁止出境、數據安全審查等事項可以援引“基本安全例外”，這兩種限制措施都著眼于保障國家安全和重大公共利益，屬于“基本安全”范疇。另一方面，WTO 例外條款的適

61、用旨在協調多邊貿易自由化與國內公共政策目標之間的沖突，既保障成員方善意行使例外條款的權利，又保持多邊貿易規則的包容性和靈活性。例外條款畢竟是在限縮明確條件和特定少數情況下適用，從既往涉及 GATS 例外條款的爭端來看，無論是美國博彩案還是中國出版物及音像產品案，爭端解決機構裁決中均采取了嚴格解釋，認為例外條款的要件沒有得到充分滿足。遵循這一法律邏輯，GATS 例外條款似乎也難以支持成員方限制跨境數據流通，即便是歐盟 GDPR 似乎亦未滿足 GATS 例外條款的適用條件。我國在數據出境安全評估的后續地方法規和細化的部門規章出臺和具體執法實踐中，也應秉持審慎的原則。GATS 創設的隱私例外和安全例

62、外存在共同的適用條件以及適用限制，即“為遵守國內法律法規所必需的措施”（稱為“必要性測試”）、“實施措施不得構成任意或不合理的手段或者構成變相限制的前提下”（稱為“非歧視性測試”）。目前，暫不確定主要國家和地區限制數據跨境流動的規則能夠通過 GATS 第 14條的“必要性測試”和“非歧視性測試”。同時，GATS 第 6.4 條規定服務貿易理事會應制定國內管制紀律，以“保證有關資格要求和程序、技術標準和許可要求的各項措施不致構成不必要的服務貿易壁壘”。這些多邊規定和紀律要求在我國深入開展數據安全和隱私保護立法及其落地實踐中必須得遵守。2.2.2.區域全面經濟伙伴關系協定（RCEP）區域全面經濟伙

63、伴關系協定（Regional Comprehensive EconomicPartnership，RCEP）由東盟于 2012 年發起，東盟十國和中國、日本、韓國、澳大利亞、新西蘭等 15 個亞太國家共同制定的協定。2020 年 11 月 15 日，前述 1513個國家正式簽署了 RCEP。2022 年 1 月 1 日，RCEP 正式生效，目前，該條約已在 15 個簽約國中生效，中國是首批生效的國家之一。RCEP 的簽署對我國擴大對外開放，形成國內國際雙循環新發展格局，促進亞太地區區域協調均衡發展，提升區域經濟一體化水平有重要意義。RCEP 由序言、20 個章節和 4 部分市場準入附件共 56

64、 個承諾表組成，是一個現代、全面、高質量、互惠的大型區域自貿協定。其中，關于數據跨境的規定主要集中在第十二章“電子商務”。RCEP 在原則上倡導和鼓勵跨境數據的自由流動，但考慮到各國在數字經濟和數據治理水平方面的差異，相應的也做出了例外規定，如允許各締約國基于“實現合法的公共政策目標”及“保護基本安全利益”采取必要措施。RCEP 關于數據跨境的具體規定如下：（1）個人信息保護的要求個人信息保護的要求對于個人信息保護，RCEP 要求各締約國應制定法律保護電子商務用戶的個人信息，且在制定相應法律時應考慮相關國際組織或機構的國際標準、原則、指南和準則，并應向電子商務用戶提供“個人如何需求救濟、企業如

65、何遵守法律要求”等關于個人信息保護的信息。同時，鼓勵法人公布其與個人信息保護相關的政策和程序。（2）推動各締約國間數據跨境自由流通推動各締約國間數據跨境自由流通圍繞著“促進締約方之間的電子商務，以及全球范圍內電子商務的更廣泛使用”的目標，RCEP 在第十二章第十一條規定締約方不對電子傳輸征收關稅；第十四條第二款規定了不得強制將數據“本地化”作為在該締約方領土內進行商業行為的條件；第十五條第二款規定“一締約方不得阻止涵蓋的人為進行商業行為而通過電子方式跨境傳輸信息?！奔词乖诒O管較重的金融領域及電信領域，RCEP在其第八章服務貿易的附件一及附件二中也作出了相應規定，原則上應允許相應領域的數據自由跨

66、境流通。（3）以以“合法的公共政策目標合法的公共政策目標”及及“基本安全利益基本安全利益”為例外的流通限制規為例外的流通限制規定定RCEP 以促進數據跨境自由流通為原則，但也為各締約國作出了例外規定，構建一套“原則+例外”的數據跨境流通規則體系。例外情形主要有兩種情形，一是基于合法的公共政策目標采取的必要措施，在 RCEP 序言中即已表明“每一締約方為實現合法的公共福利目標而進行監管的權利”，在第十二章第十四條第三款第（一）項，第十五條第三款第（一）項做出了相應規定。在金融領域，也對數據本地化做出了例外規定，在不作為規避 RCEP 項下承諾或義務手段的前提下，可以要求金融服務提供者將數據在本地

67、進行存儲。二是基于安全采取的必要14措施。該例外主要規定于第二章第十四條第三款第（二）項，第十五條第三款第（三）項。電信領域也有類似規定，在不夠成“任意的或不合理歧視或變相限制”的前提下，可以采取措施保證信息的安全性和機密性，并且保護公共電信網絡或服務終端用戶的個人信息。（4）靈活的爭端解決方案靈活的爭端解決方案RCEP 第十九章是專門的爭端解決條款，但第十二章第十七條對此作出了限制規定。根據該條的規定，締約國如果對第十二章的解釋和適用存在分歧的，首先應善意的進行磋商，盡最大努力達成共同滿意的解決方案。如磋商未能解決分歧的，可將分歧提交至 RCEP 聯合委員會，第十二章電子商務的爭議不適用第十

68、九章關于爭端解決的規定，但未來可對該條款進行一般性審議，在審議完成后，就電子商務分歧，可以在同意適用的締約國間適用爭端解決機制。2.2.3.全面與進步跨太平洋伙伴關系協定（CPTPP）全 面與 進 步跨 太 平洋 伙 伴關 系 協定（Comprehensive and ProgressiveAgreement for Trans-Pacific Partnership，CPTPP）跨太平洋伙伴關系協定（Trans-Pacific Partnership Agreement，TPP），在美國退出后，原 11 個 TPP 成員國于 2018 年 3 月在智利首都圣地亞哥共同發表聲明，宣布新的協議已

69、經達成并正式更名為 CPTPP。2021 年 9 月 16 日，中國商務部部長王文濤向 CPTPP 保存方新西蘭貿易與出口增長部長奧康納提交了中國正式申請加入 CPTPP 的書面信函。同 RCEP，CPTPP 并非專門的關于數字經濟，數據貿易的協定，而是一個全面的區域貿易協定，但其中關于數字經濟、數據貿易的規定是協定的重要組成部分。CPTPP 由全面與進步跨太平洋伙伴關系協定、序言、30 個章節及附件全面與進步跨太平洋伙伴關系協定委員會關于 CPTPP 加入程序的決定組成，其中關于數據跨境的規定集中于第十四章電子商務一章。與 RCEP 相同，CPTPP也采取了“原則+例外”的模式對數據跨境進行

70、規定，兩者原則上都鼓勵跨境數據的自由流動，但在數據流通的自由度上有所差異，具體分析如下：（1）建立促進不同個人信息保護體制間的兼容性的機制建立促進不同個人信息保護體制間的兼容性的機制CPTPP 在個人信息保護方面的規定與 RCEP 相似，但較 RCEP 更進一步的是，考慮到締約方可能采取不同法律方式保護個人信息，CPTPP 提出每一締約方應鼓勵建立促進這些不同體制之間兼容性的機制。這些機制可包括對監管結果的承認，無論是自主給予還是通過共同安排，或通過更廣泛的國際框架。為此，締約方應努力就其管轄范圍內適用的此類機制交流信息，并探索擴大此類安排或其他適當 安排的途徑以促進各機制之間的兼容性。15（

71、2）促進各締約國間的數據自由流通促進各締約國間的數據自由流通CPTPP 通過不對締約方間的電子傳輸征收關稅，數字產品的非歧視待遇，允許通過電子方式跨境傳輸信息，不強制將數據本地化作為作為在其領土內開展業務的條件，不強制開放源代碼等進行規定，促進數據在各締約國間自由流通，。（3）更為自由的數據跨境自由流通規則更為自由的數據跨境自由流通規則相較于 RCEP，CPTPP 關于數據跨境流通的規則更加自由，除了前述提到的RCEP 未做規定的數字產品的非歧視待遇，不強制開放源代碼等外，在海關關稅上兩者也存在差異，RCEP 的關稅規定屬于“臨時性”規定，而 CPTPP 的要求則較為嚴格,不僅“永久性”免征電

72、子傳輸關稅,還明確要求涵蓋電子傳輸的內容,即數字產品。此外，CPTPP 在例外規定方面有更嚴格的限制。關于“實現合法公共政策目標”的必要措施，CPTPP 在不構成任意或不合理歧視或對貿易構成變相限制之外規定了不對信息傳輸施加超出實現目標所需限度的限制。CPTPP 并未將“保護基本安全利益”作為例外情況進行規定。2.2.4.數字經濟伙伴關系協定（DEPA）數 字 經 濟 伙 伴 關 系 協 定 （DIGITAL ECONOMY PARTNERSHIPAGREEMENT，DEPA）由新西蘭、智利和新加坡三國于 2020 年 6 月 12 日在線上簽署，于同年 12 月 28 日生效。與 RCEP、

73、CPTPP 不同，DEPA 是全球第一個關于數字經濟的專項協定，因此，盡管該協定由三個經濟體量較小的國家提出，但在一定程度上為全球數字經濟制度提供了模板。中國目前正積極推動加入DEPA，已正式于 2021 年 11 月 1 日向 DEPA 保存方新西蘭提交了加入申請。2022 年 8 月 18 日,根據 DEPA 聯合委員會的決定,中國加入 DEPA 工作組正式成立,將全面推進中國加入 DEPA 的談判進程。2022 年 12 月 5 日、4 月25 日，中國已就加入 DEPA 進行了兩次首席談判代表會議，并于 2023 年 3 月28 日舉行第一次技術磋商。DEPA 深度借鑒了 CPTPP

74、中的數字貿易條款并對其進行細化歸類,將文本分為了十六章，涵蓋了商業和貿易便利化、數字產品待遇、數據問題、數字身份、新興趨勢和技術、創新和數字經濟、數字包容性等內容?？梢哉f，DEPA 非常全面的就數字貿易問題做出了詳細規定，但限于篇幅和體例，我們主要就數據跨境的規則進行簡析。（1）個人信息保護個人信息保護DEPA 第 4.2 條用了十個條款對個人信息進行了規定，除與 RCEP、CPTPP相同的地方外，主要在以下幾點做出了不同的規定：16首先是對個人信息保護法律框架應包含的原則做出了規定。主要包含了八大原則，分別是收集限制、數據質量、用途說明、使用限制、安全保障、透明度、個人參與及責任。其次是不對

75、電子商務用戶違反個人信息保護規定的行為采取歧視性做法。再次，在促進不同個人信息保護體制的兼容和交互方面，相較 CPTPP，規定了在可行時，對各自法律框架下的可信任標志或認證框架所提供的相當水平的保護給予適當承認，或建立締約方之間個人信息轉移的其他途徑。最后，應鼓勵企業采用數據保護可信任標志，以幫助驗證其符合個人數據保護標準和最佳做法，并推動各締約國間對他國數據可信任標志的承認。（2）與與 CPTPP 相似的例外限制相似的例外限制在通過電子方式跨境傳輸信息、數據本地化要求方面，DEPA 第 4.3 條和第4.4 條的規定與 CPTPP 相似，對于相關規定的限制均要求不得構成任意或不合理歧視或對貿

76、易構成變相限制且不對信息傳輸施加超出實現目標所需限度的限制。（3）推動數據開放，實現數據驅動開放推動數據開放，實現數據驅動開放DEPA 關于數據開放主要分為兩部分。一是企業數據的開放，通過數據監管沙盒機制，可信數據共享框架和開放許可協議等推動跨境數據流通和數據共享，從而實現數據驅動的創新。其次是政府公共數據的開放，DEPA 鼓勵各締約方間就政府公共數據開放開展合作，從而擴大獲取和使用公共數據的方式。合作方式包括共同確定可利用開放數據集、鼓勵開發以開放數據集為基礎的新產品和服務及推動使用和開發通過可在線獲得的以標準化公共許可證為形式的開放數據許可模式。2.3.對中國數據跨境管理的啟示推動數據的跨

77、境有序自由流動絕非一國之力可以完成，各國間數字經濟發展水平不一，利益訴求不一，法律體系不一，很難通過一國立法或標準來實現數據跨境標準和規則的統一。因此，才需訴諸于雙邊、諸邊或多邊協議來實現各國、各地區間的利益協商和標準統一，從而促進數據跨境的有序自由流動。無論是我國已經加入的 WTO，RCEP，還是正在推動加入的 CPTPP、DEPA，均是我國在這方面的嘗試和探索。這條路并非一條容易的道路，相關條約的規定與我國現行法律之間存在一定的差異，對于加入相關協定，勢必會對我國現有法律體系造成沖擊，如何平衡好國家數據主權與數據跨境流動在未來一段時間需要重點探索。但無論如何，積極對接國際標準，促進數據跨境

78、有序自由流動已是正在推進也應積極推進的事業。在全球范圍內暫不存在數據跨境流動監管中統一適用的“國際17規則”的當下，探索并推廣中國模式，發出中國聲音的絕佳機會。18第三章 數據跨境域外法律環境分析本章將以“一帶一路”為線索，按地理順序對具體國家或地區的數據跨境規則進行介紹。國際條約的落地依賴于各締約方立法的轉化，相關條約也允許締約方對條約進行例外規定，了解不同國家或地區間的數據跨境規則，對于實際開展數據跨境活動十分必要。更為重要的是，跨境數據流通雙方對跨境數據具有相對一致的保護水平是當前數據跨境流動風險管控的共識。對于中國境內的數據處理者，對境外接收方所在地法律對數據跨境的影響進行評估是履行數

79、據出境安全評估辦法等規章的規定的義務。3.1.中國香港3.1.1.推動數字經濟發展，打造亞太地區數據中心設立首選地香港是國際金融、貿易及物流的重要樞紐，眾多跨國企業及國際機構將地區辦事處或地區總部設立于此。隨著數字經濟發展以及網絡數據體量與日俱增，有關企業及機構對高效能和安全可靠的數據中心設施和服務的需求越來越殷切。為此，香港特別行政區政府近年來積極推廣香港的電訊基礎設施、有利營商環境、資訊自由、人才體系、土地供應優惠政策等優勢，并推出了包括設立數據中心促進組及專題網站、將工業大廈改裝作數據中心用途、預留數據中心等多項促進措施，致力促進香港成為在亞太地區內設立數據中心的首選地點。為進一步促進香

80、港的數字化經濟發展，香港特別行政區政府于 2022 年 6 月成立了數字化經濟發展委員會，負責制定有關鼓勵不同行業采用數字化的策略和措施及推進數據服務的產業和數字化政府的發展等。該委員會特別成立了跨境數據協作小組、數碼基建工作小組、數碼轉型工作小組及人才發展工作小組，以分析確定數據流通、數字化基建、數字化轉型及人才培養方面的具體促進措施。此外，香港也抓住了國家推動建設“一帶一路”數字絲綢之路和粵港澳大灣區數據中心的機遇謀求自身發展，2023 年，香港特區政府在促進大灣區數據跨境流動方面更是向前邁進了重要一步，其專門負責香港創新科技政策的創新科技及工業局攜手與中國國家互聯網信息辦公室于 2023

81、 年 6 月 29 日簽署了 促進粵港澳大灣區數據跨境流動的合作備忘錄，以期會同中國國家互聯網信息辦公室采取有效管理措施，推動建立粵港澳大灣區數據跨境流動安全規則，共同促進粵港澳大灣區數據跨境安全有序流動。193.1.2.香港數據保護及數據跨境的要點簡析（1）亞洲最早全面保障個人資料的法域之一亞洲最早全面保障個人資料的法域之一香港在數據安全和個人信息保護方面的立法框架主要包括 香港人權法案條例香港特別行政區基本法個人資料（私隱）條例，其中涉及個人資料保護的相關規定內容概述如下：香港人權法案條例香港人權法案條例1991 年，香港法例第 383 章香港人權法案條例出臺（2017 年修訂）。該條例第

82、二部第十四條“比照公民權利和政治權利國際公約第十七條”對私生活、家庭、住宅、通信、名譽及信用給予保護，規定“（一）任何人之私生活、家庭、住宅或通信，不得無理或非法侵擾，其名譽及信用，亦不得非法破壞。（二）對于此種侵擾或破壞，人人有受法律保護之權利?！毕愀厶貏e行政區基本法香港特別行政區基本法1997 年，香港特別行政區基本法正式實施（后其附件經數次修訂）。香港特別行政區基本法第三十九條確認了公民權利和政治權利國際公約中“適用于香港的有關規定繼續有效，通過香港特別行政區的法律予以實施”。香港特別行政區基本法第三十條規定：“香港居民的通訊自由和通訊秘密受法律的保護。除因公共安全和追查刑事犯罪的需要，

83、由有關機關依照法律程序對通訊進行檢查外，任何部門或個人不得以任何理由侵犯居民的通訊自由和通訊秘密?！眰€人資料（私隱）條例（個人資料（私隱）條例（以下簡稱以下簡稱“私隱條例私隱條例”）1995 年，香港法律第 486 章私隱條例制定（1997 年至 2022 年期間經多次修訂，現行有效版本日期是 2022 年 10 月 1 日），是亞洲最早出臺的全面保障個人資料（私隱）的法例之一。私隱條例共 12 部分及 6 個附表，涵蓋個人資料私隱專員職位的設立、資料使用者申報登記、個人資料的查閱和登記、轉移、使用、調查等等。私隱條例適用于包括政府在內的公營機構和私營機構。（2）個人資料私隱專員個人資料私隱專

84、員根據私隱條例第 5 條之規定，為監察私隱條例的施行，設立“個人資料私隱專員”（以下簡稱“私隱專員”）職位。該職位由香港特別行政區行政長官委任一人，任期為 5 年，至多連任一次。20個人資料私隱專員公署（以下簡稱“公署”）在私隱專員領導下執行法定職能。根據私隱條例第 8 條之規定，私隱專員的職責及權力包括就遵守私隱條例條文做出監察及監管等。（3）推行港股實名制：投資者識別碼制度推行港股實名制：投資者識別碼制度2022 年 12 月 12 日，香港證券及期貨事務監察委員會（以下簡稱“香港證監會”）公布，香港證券市場的投資者識別碼制度將于 2023 年 3 月 20 日推出。此后香港證監會發布了一

85、系列公告為該制度的落地做準備，并于 2023 年 3 月 31日的通告中公布，該制度已于 2023 年 3 月 20 日成功推出。在該制度實施后，相關受規管的中介人須在取得其客戶的明示同意后向香港聯合交易所有限公司（以下簡稱“香港聯交所”）提交有關識別信息（即客戶的名稱及身份證明文件資料），以符合香港證監會及相關的私隱法例規定的要求。如投資者不提供所需同意，則只能出售、轉出或提取已持有的證券，而不得在香港聯交所買入證券。因此如果境內用戶需要在香港進行證券交易，需要提供相關的身份證明文件，涉及數據的跨境流動。（4）構建以跨境資料轉移指引與建議合約條文范本為參考的跨境流通構建以跨境資料轉移指引與建

86、議合約條文范本為參考的跨境流通規則規則在香港，跨境個人數據保護的監管職責主要由公署承擔，該公署與境外相關機構協同處理跨境個人數據的保障事宜。私隱條例的第 33 條對個人資料轉移至香港以外的地方作出嚴謹和全面的規管，除在條例指明的情況下，明確禁止把個人資料轉移到香港以外的地方，以確保該條例對個人資料被轉移后所提供的保障不會被削弱。雖然該第 33 條至今尚未施行，但為了更好指引資料使用者保障個人資料跨境轉移并為企業提供最佳行事方式的建議，公署于 2014 年 12 月29 日發布了保障個人資料：跨境資料轉移指引（以下簡稱“2014 指引”），并特別擬備了一份建議范本條文，協助資料使用者制定與境外資

87、料接收者訂立的跨境資料轉移協議。2014 指引明確指出，私隱條例第 33 條的適用范圍：“是（i）將個人資料由香港轉移至境外，及（ii）在兩個其他司法區之間轉移個人資料，但有關轉移是由香港的資料使用者所控制；但如果一個位于香港的個人或實體經互聯網向同樣位于香港的接收者傳輸資料，但互聯網路由經過香港以外的地方（在傳輸中資料沒有被查閱或儲存），則不屬于第 33 條調整的范疇”。2022 年 5 月，公署發布了更新的跨境資料轉移指引：建議合約條文范本（以下簡稱“指引”）與建議合約條文范本（以下簡稱“范本”）（詳見附件 1.1），該等指引和范本均非強制性規范，屬于自愿遵守性質。213.1.3.香港與中

88、國大陸個人信息保護法規之對比情況（1）兩地保護思路較為一致兩地保護思路較為一致香港地區私隱條例的核心是 6 項信息保障原則，其中限制收集、限制利用和政策公開等原則都是為機構收集和使用個人信息的過程提供價值導向，與大陸地區個人信息保護法（以下簡稱“個保法”）在保護思路上有較高的一致性。（2）保護強度存在一定差異保護強度存在一定差異在個人信息保護范圍、保護義務、法律責任等方面，香港地區私隱條例與大陸個保法的保護強度存在一定差異。具體而言，對于個人信息的保護范圍，香港對“個人資料”的定義強調“確定性”，即強調能夠確定具體個人身份的資料才屬于“個人資料”，而大陸個保法則遵循了“可識別性”的定義思路，對

89、“個人信息”的定義包含了“已識別”和“可識別”兩個層面，既涵蓋了具體個人身份信息，也涵蓋了與個人關聯的信息。此外，個保法還對敏感個人信息作出了專門的定義和明確的處理規定。相較而言，大陸對個人信息的保護范圍更廣。對于個人信息的保護義務，香港并無本地化存儲、個人信息保護影響評估、指定個人信息保護負責人、自動化決策等相關要求，而大陸對該等方面明確地作出了規制。行政罰款權限和懲處力度方面，香港的個人信息監管機構沒有罰款的權力，香港私隱條例規定的最高罰款額度僅 100 萬港元，實務中，罰款額度普遍在 5 萬港元以下，而根據大陸個保法規定，履行個人保護職責的有關機構最高可處違法者以五千萬元以下或者上一年度

90、營業額百分之五的罰款，對企業具有明顯的震懾力。（3）個人信息跨境轉移的管理規則不同個人信息跨境轉移的管理規則不同根據中國大陸地區個人信息跨境的規則，企業完成個人信息保護影響評估、履行用戶告知義務、取得個人單獨同意（或其他合法依據）后，再履行相應的安全評估申報、個人信息保護認證或與境外接收方簽訂標準合同等手續，可跨境傳輸個人信息。香港私隱條例第 33 條關于個人資料跨境轉移的規定尚未正式實施，目前僅有指引作為參考。由于存在上述差異，加上兩地對個人信息的保護強度不同，在大陸與香港數據跨境流通合作中，存在著制度銜接的問題。不過，從大陸與香港地區的個人信息保護思路、保護強度來看，一般情況下，中國大陸主

91、體向香港地區傳輸數據時，香港地區數據接收方的合規程度通常能夠滿足要求。結合粵港澳大灣區建設及數據互聯互通機制深化的總體背景，香港與內地兩地的數據跨境主要有賴于數據跨境流動雙方的安全保障能力能力和個人信息權益保障的響應。223.2.中國澳門3.2.1.完整的個人資料保護規范，但不完善的跨境規則與中國大陸地區所采用的名稱略有不同，“個人信息”在澳門特別行政區被稱為“個人資料”（葡萄牙語 Dados Pessoais,英語 Personal Data）。澳門于 2005年制定澳門特別行政區第 8/2005 號法律個人資料保護法（以下簡稱“個資法”）,于 2019 年制定澳門特別行政區第 13/201

92、9 號法律網絡安全法。截至 2023 年 9 月，澳門并未制定數據安全領域的相關法律。根據澳門特別行政區第 83/2007 號行政長官批示，澳門于 2007 年設立專門的執法機構個人資料保護辦公室（Gabinete para a Protecco de DadosPessoais），該機構在行政長官的監督下獨立運作。個人資料保護辦公室是澳門民法典第 79 條第 3 款及個資法所指之公共當局，行使法律賦予的職權，包括但不限于：負責監察、協調個資法的遵守和執行，制定并監察保密制度的實施。澳門對公民個人資料的保護源自于澳門民法典第 79 條,澳門個資法的制定早中國大陸個人信息保護法（以下檢車“個保法

93、”）16 年。由于歷史的淵源，澳門較早地制定了完整的個人資料保護法律規范，但從實踐層面上來看，澳門對公民個人資料跨境的規定并不完善，沒有形成類似于歐盟白名單這樣的具體標準，而主要是依據個人資料保護辦公室的意見判斷決定。根據個人資料保護辦公室的公開信息，自 2019 年起，截至 2023 年 9 月尚未有個人資料保護相關的意見書發布。3.2.2.澳門數據保護及數據跨境的要點解析（1）個人資料保護法關于個人信息保護的要點個人資料保護法關于個人信息保護的要點澳門個資法的適用范圍包括以下三種情形：1）一切自動化處理的個人資料和非自動化處理的個人資料；2）對可識別身份的人的聲音和影像進行的鏡像監視，以及

94、以其他方式對其進行的取得、處理和傳播（只要負責處理資料的實體的住所在澳門，或通過在澳門設立的提供資訊或電信資訊網絡服務的供應商而實施）；3）以公共安全為目的處理個人資料。個資法不適用于自然人在從事專屬個人或家庭活動時對個人資料的處理。負責實體在處理個人資料時，應注意區分個人資料與敏感資料。以透明的方式進行處理，遵守合法、善意、目的限定、適度、準確、限期保存等原則，保障資料當事人的資訊權、查閱權、反對權等相關權利。處理個人資料的正當性條件包括：1）當事人明確同意；2）執行合同或應當事人要求準備訂立合同；3）履23行法定義務；4）保障無能力作出同意的當事人的重大利益；5）執行公共利益任務或行使公權

95、力；6）負責實體或被告知資料的第三人具有優先的正當利益。（2）接收方需達到同等保護水平接收方需達到同等保護水平澳門對個人信息跨境的一般要求，主要規定于澳門個資法第 19 條、第20 條及第 23 條。一是適當保護程度。原則上，只有在遵守澳門個資法的規定且接收轉移資料當地的法律體系能確保適當保護程度的情況下，才可將個人資料轉移到特區以外的地方。根據法律規定，資料接收地是否有適當保護程度由公共當局（即個人資料保護辦公室）判斷及決定。通常采用的方法，是根據互惠的原則把已經達到適當保護水平的國家/地區名單列入“白名單”。但直至目前，個人資料保護辦公室未將任何國家或地區列入“白名單”。二是發送通知。除上

96、述原則外，存在以下例外情形。在通知個人資料保護辦公室后，實體仍可轉移個人資料：1）資料當事人明確同意轉移；轉移是執行資料當事人和負責實體間的合同所必需，或是應資料當事人要求執行制定合同的預先措施所必需；2）轉移是執行或制定合同所必需，而該合同是為了資料當事人的利益由負責實體和第三人之間所訂立或將要訂立；3）轉移是保護重要的公共利益，或是在司法訴訟中宣告、行使或維護權利所必需或法律所要求；4）轉移是保護資料當事人的重大利益所必需；5）轉移自作出公開登記后進行。根據法律或行政法規，該登記是為公眾信息和可供一般公眾或證明有正當利益的人公開查詢之用，但需根據具體情況遵守上述法律或行政法規規定的查詢條件

97、。三是申請許可。當轉移不滿足上述適當保護程度原則要求且不符合上述發送通知的例外情形規定時，實體在確保有足夠保障他人私人生活、基本權利和自由的機制，尤其透過適當的合同條款確保該等權利行使的情況下，可向個人資料保護辦公室申請許可，并在獲得許可后轉移個人資料。四是無需許可。當個人資料的轉移成為維護公共安全、預防犯罪、刑事偵查和制止刑事違法行為以及保障公共衛生所必需的措施時，個人資料的轉移如由專門法律或適用于特區的國際法文書及區際協定所規范，則無需向個人資料保護辦公室申請許可。3.2.3.注意敏感個人信息保護，避免行政處罰中國大陸個保法與澳門個資法所規范的處理個人資料的原則大致相同，但個保法對某些定義

98、作出了更明確的規定，對違法主體的處罰更嚴、罰款更高、處罰手段更多。中國大陸個保法與澳門個資法,主要在以下方面有較大差異（具體法條比詳見附件 2.1）:24（1）在處理敏感資料方面，兩部法律有較明顯的區別。在個保法中，敏感資料被稱為“敏感個人信息”即一旦泄露或非法使用，容易導致自然人的人格尊嚴受到侵害或人身、財產安全受 到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及未滿十四周歲未成年人的個人信息。而個資法則明確規定世界觀或政治信仰、政治社團或工會關系、宗教信仰、私人生活、種族和民族本源、以及與健康及性生活有關的個人資料（包括遺傳資料）等六種資料為敏感

99、資料。由此可見，個保法所規范的敏感個人信息較個資法更廣，且作出了更嚴格的保護。值得注意的是，個保法將未成年人個人信息歸入敏感個人信息，加強了對未成年人個人信息保護的力度。（2）在違法處罰方面，兩部法律皆按違法情節的嚴重程度予以規定，但個保法的行政處罰更具威懾力，最高罰款額以違法主體的營收總額為基準，處罰力度遠高于個資法的規定。且相較于個資法,個保法的處罰手段更全面，例如，沒收違法所得、責令暫停相關業務、停業整頓吊銷業務許可或營業執照等。當澳門個人信息出境到中國大陸時，在遵守個資法規定的同時，應注意遵守個保法對于 公民個人信息保護之規定，避免被處以高額罰款。應特別注意，對于未成年人個人信息的保護

100、力度，應符合中國大陸的相關法律規定。3.3.中國臺灣3.3.1.臺灣地區個人資料保護及跨境流通監管的法律環境（1）逐步完善的逐步完善的個人個人資料保護立法資料保護立法20 世紀 90 年代起，受歐美國家的影響，我國臺灣地區開始重視個人資料保護問題。為滿足當地民眾對于個人資料保護的主觀訴求并促進對外貿易，臺灣地區政府成立了專門小組研究個人資料保護相關法律問題，并于 1990 年開啟了個人資料保護立法。1991 年 9 月，臺灣地區法務部成立了專門小組負責起草相關法律法規，并于 1995 年 8 月公布施行了電腦處理個人資料保護法（以下簡稱“電資法”），于 1996 年 6 月公布了電腦處理個人資

101、料保護法施行細則。由于面臨諸多質疑，法務部于 2012 年頒布了修正后的個人資料保護法（以下簡稱“個資法”）及個人資料保護法施行細則（以下簡稱“個資法施行細則”），其于 2012 年 10 月 1 日正式實施。自此，個資法及個資法施行細則經歷多次修正，至今為我國臺灣地區個人資料保護的基本規范。（2）加入加入 CBPRs，促進數據跨境流通促進數據跨境流通為了促進數據跨境流通，我國臺灣地區于 2018 年 12 月加入了亞太經濟合作25組織（Asia-Pacific Economic Cooperation,以下簡稱“APEC”）框架下的跨境信息傳輸區域安排“跨境隱私規則體制”（Cross-Bor

102、der Privacy Rules System,以下簡稱“CBPRs”）。CBPRs 的基本邏輯是，如果位于不同經濟體的不同公司，統一承諾并遵循“APEC 隱私框架”提出的九大個人數據保護原則，則個人數據在這些公司之間的傳輸就不應受到阻礙，獲批準加CBPRs 的成員國家或地區的政府會指定一個或多個法擔任“問責代理機構”（Accountability Agents），經 CBPRs 認可的問責機構通過認證成員國家或地區內其他企業或組織使這些“認證企業”最終成為CBPRs 的真正參與者。此后，我國臺灣地區資訊工業策進會于 2021 年 6 月 3 日經審查認證成為問責代理機構。截至目前，美國、日

103、本、墨西哥、加拿大、新加坡、韓國、澳大利亞、我國臺灣地區及菲律賓已加CBPRs。（3）以臨床試驗及海關檢驗為代表的數據互通探索以臨床試驗及海關檢驗為代表的數據互通探索海峽兩岸在數據互通問題上進行了很多探索。例如在臨床試驗方面，海峽兩岸關系協會與臺灣海峽交流基金會簽署的海峽兩岸醫藥衛生合作協議于 2011年 6 月 26 日正式生效后，兩岸展開了一系列合作。2014 年臺灣“食品藥物管理署”委托臺北榮民總醫院啟動了建立兩岸臨床試驗中心合作計劃。在此框架協議下，兩岸 8 家臨床試驗中心簽署了合作意向書，承認對方所做的符合 ICH 的臨床試驗數據。2016 年 4 月 25 日國家食品藥品監督管理總

104、局發文兩岸開展藥物臨床試驗機構的共同認定，其中明確了大陸藥品注冊申請人可以委托 4 家臺灣醫院（臺北榮民總醫院、三軍總醫院、臺灣大學醫學院附設醫院、林口長庚紀念醫院），按照兩岸有關監管要求，開展藥物臨床試驗，符合要求的臨床試驗數據可用于在大陸申報藥品注冊。在海關檢驗方面，福建檢驗檢疫局于 2015 年組織兩岸檢驗建議數據交換測試工作，通過兩岸檢驗檢疫數據交換中心實現了與臺灣關貿網的雙向數據互通，雙方均成功接收到了來自對方的電子通訊報文，這標志著兩岸檢驗檢疫數據的“電子跨海大橋”已經成功“對接合攏”。近期，中國工業合作協會、北京海峽兩岸民間交流促進會和臺灣工業合作協會于2023年9月共同舉辦海峽

105、兩岸數字經濟交流研討會，來自海峽兩岸相關協會、科研院校、金融、制造業、互聯網、文旅、數字技術等領域的 60 多位專家、學者和企業家在會上針對“海峽兩岸數字經濟協同發展的機遇與挑戰”共同探討了兩岸數字經濟發展方面的交流與合作。3.3.2.我國臺灣地區數據保護及數據跨境的要點簡析（1）個資法個資法的適用主體及適用范圍的適用主體及適用范圍在臺灣發生的所有個人資料的收集、處理和使用活動（不論信息當事人是否是臺灣籍、實施該活動的主體是否為臺灣境內主體）均必須遵守個資法。另26外，該法區分了公務機關和非公務機關，并對它們在收集、處理和使用個人資料方面設置了不同的規定，其中非公務機關包括不屬于臺灣地區公務機

106、關的任何個人或實體。根據個資法，個人資料指自然人的姓名、出生日期、身份證號碼、護照號碼、特征、指紋、婚姻狀況、家庭信息、教育背景、職業、醫療記錄、醫療保健資料、遺傳資料、性生活資料、體檢記錄、犯罪記錄、聯系方式、經濟狀況、有關個人社會活動的資料及其他可以直接或間接用于確定自然人的資料。其中，收集、處理或使用有關自然人的醫療記錄、醫療保健資料、遺傳資料、性生活資料、體檢記錄、犯罪記錄須符合更高的標準。（2）對數據跨境傳輸采取對數據跨境傳輸采取“原則允許，例外禁止原則允許，例外禁止”的立法思路的立法思路我國臺灣地區在立法上對于數據傳輸采取“原則允許，例外禁止”的態度。在個資法 中，僅對非公務機關設

107、置了跨境傳輸個人資料的限制：根據 個資法第 21 條規定，有以下情形之一的，監管機關可以對其進行限制：（1）“涉及國家重大利益”；（2）“國際條約或協定有特別規定”；（3）“接受國對個人資料的保護沒有完善之法規，致有損當事人權益之虞”；（4）“以迂回方式向第三國（地區）傳輸個人資料以規避個資法的情形”。因此，依據個資法規定，在監管機關未限制國際傳輸個人資料前，非公務機關基于合法收集、處理及利用要件，即可將個人資料進行跨境傳輸。此外，我國臺灣地區的行業主管部門可以發布適用于相關行業的個人資料跨境傳輸的規則和規定，對行業內的主體進行跨境資料傳輸方面的限制。臺灣地區行政院于 2021 年 8 月進一

108、步制定了實行個人資料保護的合作規范指引，規定各部委應修訂針對受其監督的特定行業部門的現行個人資料保護法規，要求各部委應定期認真研究是否有必要制定針對受其監督的特定行業部門的新的數據保護法規，且應考慮相關行業非公務機關的規模、所保留的個人資料的數量或性質、數據泄露對數據主體的潛在影響及跨境數據傳輸的頻率等因素。（3）數據跨境傳輸的監管部門數據跨境傳輸的監管部門在 2018 年 7 月以前，我國臺灣地區法務部負責解釋個資料保護法，在我國臺灣地區發展委員會下屬機構個人資料保護專案辦公室于2018年7月4日成立以后，個人資料保護法的解釋權于 2018 年 7 月 25 日正式移交給發展委員會。2023

109、 年 5 月，臺灣地區立法院通過了個資法的修正草案，補充了個資法第 1 條之 1 規定，規定由個人資料保護委員會擔任個資法主管機構。未來個人資料保護委員會將作為專責機關，整體規劃對于公務機關及非公務機關個人資料保護的監管機制，解決目前個資法分散式管理下的實務監管問題。273.3.3.我國臺灣地區個人資料保護法與大陸個人信息保護法的銜接與差異個資法施行早于大陸個保法，兩者均吸收了 GDPR 相關思路和經驗，因此在保護模式上大致相同。但整體而言個資法的側重點在敏感個人信息及弱勢群體的保護，比如對敏感個人信息具體規定了特殊保護，并鼓勵公益訴訟、規定團隊訴訟減免訴訟費等。該法對于個人信息跨境傳輸原則上

110、允許，沒有設置過多的限制，對信息本地化也沒有明確要求，而是通過臺灣當局在 個資法的基礎上通過頒布行政指令的方式規定信息本地化儲存的規則，以及對特定傳輸進行限制。個保法雖然也規定了敏感個人信息的保護以及公益訴訟，但較為籠統，將更多的重點放在了跨境信息流動規制上，注重國家層面的信息和數據安全。此外，我國臺灣地區的個資法不僅規定了民事責任，還區分主體規定了詳細的行政責任和刑事責任。如第四十一條規定了違反本法收集處理個人信息導致損害他人利益的將會被判處有期徒刑或罰金的刑事責任，第五十條規定了有關主體在非公務機關受到罰款的行政處罰時，若不能證明自己盡到防止義務，也要承擔與非公務機關一樣數額的罰款，第二十

111、八條規定了公務機關違反本法導致個人信息泄露或者是有其他侵害信息主體權利行為且無免責事由的，要承擔損害賠償責任。個資法甚至對特殊情況的量刑也做出了統一規定，比如第四十四條規定“公務員假借職務上之權力、機會或方法，犯本章之罪者，加重其刑至二分之一”。我國大陸境內的制度框架則結合個保法 民法典行政法和刑法等多部門法進行規制，沒在個保法中進行詳細的統一規定。3.4 東盟東南亞國家聯盟（Association of Southeast Asian Nations，簡稱“東盟”）成立于 1967 年，截至 2023 年 10 月，成員國包括印度尼西亞、泰國、新加坡、菲律賓、文萊、馬來西亞、越南、老撾、柬埔

112、寨和緬甸 10 國。東帝汶是東盟候選成員國，巴布亞新幾內亞是東盟觀察員國。東盟穩步推進東盟共同體建設，目前已發展成為東南亞地區以經濟合作為基礎的政治安全、經濟和社會文化一體化的合作組織，并建立起一系列的合作機制。東盟與中國、日本、韓國、印度、澳大利亞、新西蘭、美國、俄羅斯、加拿大、歐盟、英國等 11 個國家和國際組織建立了對話伙伴關系。在經貿合作方面，東盟已經與中國、中國香港、日本、韓國、印度、澳大利亞及新西蘭分別達成自由貿易協定或經濟伙伴協定。2022 年 1 月 1 日，由東盟主導發起的區域全面經濟伙伴關系協定（RCEP）正式生效實施。2023 年 6 月 2 日，RCEP 對東盟十國28

113、和中國、日本、韓國、澳大利亞、新西蘭 15 個成員全面生效，全球最大經濟規模的自由貿易區進入全面實施新階段。東盟目前是亞洲第三大經濟體，世界第五大經濟體，也是中國第一大貿易合作伙伴。因此，促進數據跨境流動對中國和東盟的雙邊貿易有及其重要的意義。3.4.1.出臺系列指導性政策文件，統籌數字經濟發展與數據保護東盟作為一個重要的區域性組織，基于對外經貿的需要，一方面在數據治理和數據跨境流動領域亟需建立協調統一的合規路徑和機制；而另一方面，因東盟各成員國國內法針對數據保護機制的成熟度和數據治理水平差異較大，除了新加坡、泰國、馬來西亞、菲律賓、印尼、越南出臺數據保護的相關法律法規外，柬埔寨、老撾、緬甸和

114、文萊等其他國家尚未出臺數據保護的相關法律。因此，東盟陸續出臺了一系列具有靈活性、包容性和指導性的政策文件，以幫助東盟各成員國內的企業和組織根據自身的業務情況，自愿參考適用。為此，東盟于 2016 年出臺東盟個人數據保護框架，提出保護數據、支持數字貿易和創新。2018 年制定東盟數字信息治理框架，促進東盟跨境數據流通認證，推動東盟地區的數字信息互聯互通。2019 年 11 月，東盟頒布東盟跨境數據流動機制的關鍵方法，明確將重點建立東盟示范合同條款和東盟跨境數據流動認證兩個機制。2021 年出臺東盟數據管理框架和東盟跨境數據流動示范合同條款，促進各成員國國內數據保護政策一致化，推進數據管理指標考核

115、、建立跨境數據傳輸評估標準。3.4.2.東盟個人數據保護框架促各成員國國內數據保護政策一致化東盟個人數據保護框架確立了一系列的原則，包括同意、通知和目的，個人數據的準確性、安全保障、訪問和更正、跨境數據傳輸、存留以及問責等 7個方面。在同意、通知和目的方面，該框架規定企業在未獲同意情況下不得收集、使用和披露個人數據。在跨境數據傳輸方面，該框架規定在將個人數據轉移到另一個國家或地區之前，企業應獲得個人有關向境外傳輸的同意，或采取合理措施確保數據接收方將按照框架中確定的原則保護個人數據。東盟個人數據保護框架雖然是東盟出臺的首個專門針對個人數據保護的區域層面的規制，但該框架對各成員國并不具有國際和國

116、內的法律約束力，僅作為指導性文件為各成員國提供數據治理合作的框架基礎，旨在靈活適應各成員國在數據保護監管方面的不同的成熟度。各成員國適用該框架可采取符合本國國情的例外措施。293.4.3.東盟數據管理框架和東盟跨境數據流動示范合同條款為企業提供數據管理和跨境數據流通的指引東盟數據管理框架和東盟跨境數據流動示范合同條款是東盟落實跨境數據流動機制的具體舉措，目的是要促進數據相關的業務運營，減少談判和合規成本，同時確?？缇硵祿鬏斶^程中的個人數據保護。東盟數據管理框架為東盟企業提供指南，說明建立數據管理系統的每個步驟，包括建議的數據治理架構、防護措施及適當的風險管理。整個過程可以分為 6 個重點環節

117、，包括治理與監督、政策與程序、數據清單、風險影響評估、數據保護控制、以及監測與持續改進。東盟跨境數據流動示范合同條款為企業之間跨境傳輸個人數據提供了合同條款模板，具體分為從控制者到處理者的數據傳輸、從控制者到控制者的數據傳輸兩個合同模板。企業可以采納或修改這些條文，就跨境傳輸個人數據擬訂自己的法律協議。不過東盟數據管理框架和東盟跨境數據流動示范合同條款屬于自愿性條款，并不對東盟企業具有強制的約束力，這也是考慮到東盟各成員國間數據治理水平的差異。2023 年 5 月，東盟和歐盟聯合發布了東盟跨境數據流動示范合同條款（MCCs）和歐盟標準合同條款（SCCs）聯合指引（“聯合指引”），以利兩個經濟體

118、內成員國的企業參考適用。聯合指引將分為參考指引和實施指引兩個部分。此次頒布的是參考指引，該指引對 MCCs 和 SCCs 條款的共性和差異性進行比較和詳解，幫助企業理解相關的合同義務和數據保護要求。之后將頒布的實施指引將提供企業遵守合同條款要求的最佳實踐，以供企業參考如何更便利的履行 MCCs 和 SCCs 合同義務。除了東盟跨境數據流動示范合同條款以外，東盟也承認其他的跨境數據流動機制，例如同等保護水平機制、個人信息主體的同意、行為規范（Codes ofConduct）、具有約束力的企業規則（BCR）、認證機制，如 ISO 體系或 APEC跨境隱私規則（CBPR）和處理者隱私識別體系（PRP

119、）等。3.5.新加坡3.5.1.尋求加強監管與數據開放流動直接平衡的監管體系作為全球貿易自由化程度最高的經濟體之一，新加坡在嚴格保護個人隱私的前提下，對數據跨境流動秉持開放的態度。整體來看，新加坡的數字跨境流動政策比歐盟寬松，對國內數據的保護比美國更為嚴格。新加坡通過運用雙邊協議或30多邊協議中關于數據跨境流動的條款、在局部區域范圍內試點數據跨境流動、探索沙盒監管模式等阻力更小、可行性更高的方式，積極參與區域合作機制建設和尋求區域內數據自由流動。3.5.2.新加坡數據保護監管框架概覽及數據跨境的要點解析（1）新加坡數據保護監管框架概覽新加坡數據保護監管框架概覽2012 年 10 月，新加坡頒布

120、個人數據保護法（Personal Data Protection Act，“PDPA”），該法確立了新加坡個人數據保護的基本制度。2021 年 12 月 1 日，新加坡對 PDPA 進行了修訂，修訂版本于 2021 年 12 月 31 日生效，系當前適用版本。個人數據保護條例（Personal Data Protection Regulations，“PDPR”）作為 PDPA規定的實施細則，進一步細化個人數據保護的合規要求。新加坡在 2013 年設立個人數據保護委員會（Personal Data ProtectionCommission，“PDPC”）。PDPC 隸 屬 新 加 坡 信 息

121、通 信 媒 體 發 展 局（Info-communications Media Development Authority，“IMDA”），負責制定 PDPA合規指引、監督 PDPA 履行。在合規指引制定方面，PDPC 當前已頒布關于 PDPA 關鍵概念的咨詢指南（Advisory Guidelines on Key Concepts in the PDPA，“PDPA Guidelines”）、關于特定合規話題的 PDPA 咨詢指南（Advisory Guidelines on the Personal DataProtection Act for Selected Topics）、拒絕來電

122、條款咨詢指南（Advisory Guidelineson the Do Not Call Provisions）等。另外，對于特定專業領域的數據流動，PDPC會與各專業領域的主管部門合作，制定相關咨詢指引，例如電訊行業咨詢指引房地產中介行業咨詢指引教育行業咨詢指引醫療保健行業咨詢指引等。在監督 PDPA 履行方面，PDPA 賦予 PDPC 較大的執法權，PDPC 有權對于違反 PDPA 的行為開展執法調查、作出處罰決定，采取的處罰措施包括但不限于：a.要求處罰對象停止收集、使用或披露違反 PDPA 的相關個人數據；b.要求處罰對象銷毀違反 PDPA 的相關個人數據；c.對處罰對象最高處以其在新

123、加坡年度營業額的 10%或 100 萬新加坡元（以較高者為準）的罰款等。在違反 PDPA 的責任后果方面，除前述提到行政責任外，PDPA 還規定民事責任和刑事責任。PDPA 第 480 條賦予個人向法院起訴的民事救濟權利。在刑事責任方面，對于未經授權故意使用、披露個人數據構成刑事犯罪的，行為人可能面臨最高 2 年監禁如 PDPA 以及最高 5,000 新加坡元的罰款。企業通過故意更改、偽造、隱瞞個人數據收集、使用或披露的相關信息以逃避個人訪問或更正個人數據的請求，可能面臨最高 50,000 新加坡元的罰款，而行為人可能面臨最高 12 個31月監禁以及最高 5,000 新加坡元的罰款。（2）數據

124、跨境流通：不限制數據入境，但對數據出境要求數據跨境流通：不限制數據入境，但對數據出境要求“同等保護同等保護”對于不同的數據流動情形，PDPA 的監管要求不同：對于入境新加坡的數據，PDPA 不設限制；對于以新加坡作為出海各國數據集中存儲地，在數據跨境合規義務方面，新加坡規定數據中轉行為（intransit），即來自新加坡境外的數據通過新加坡進一步轉移至第三方國家或地區過程中的個人數據，該個人數據在新加坡境內未被任何組織訪問、使用或披露（傳輸方或傳輸方員工訪問和使用除外），該類情形被視為已履行數據傳輸限制義務（PDPR 第 9-10 條）；對于由新加坡境內流向境外的數據，PDPA 第 26 條等

125、條款規定除非根據 PDPA 相關要求確保接收方對傳輸的個人數據提供至少與 PDPA 同等的保護，不得將任何個人數據傳輸到新加坡以外的國家或地區。需注意的是，上述義務僅適用于“數據傳輸方”。對于數據接收方，新加坡則通過要求數據傳輸方確保數據接收方提供“同等保護”，通過數據傳輸方向數據接收方傳導 PDPA 規定的數據保護義務。（3）持續傳輸及集團內部傳輸場景常見跨境傳輸方式持續傳輸及集團內部傳輸場景常見跨境傳輸方式從實踐及 PDPA Guidelines 建議看，對于持續或集團內部傳輸場景，企業通常采用與接收方簽訂數據處理協議、集團內簽訂具有約束力的公司規則（BindingCorporate Ru

126、les，“BCRs”）的方式進行跨境傳輸。如傳輸方通過與接收方簽訂數據處理協議履行數據跨境傳輸義務，除要求接收方提供與 PDPA 相當水平的保護外，還需注意：a.協議內容：1）數據傳輸目的地國/地區；2）如接收方為數據中介（數據處理者）時，該合同還應包括：安全措施、留存期限限制、數據泄漏通知相關內容；以及 3）如接收方為數據中介外的其他主體（數據控制者）時，該協議還應包括：收集、使用和披露的目的、數據準確性要求、安全措施、留存期限限制、數據保護政策、訪問權、更正權以及數據泄露通知相關內容（PDPR 第 11（2）（b）條及 PDPA Guidelines）。b.協議生效條件：該等協議經雙方締約

127、即生效，無需再經新加坡政府審批或備案。新加坡主管部門也尚未像中國這樣預先制定數據出境標準合同，因此數據傳輸方和接收方可自行起草該等數據處理協議。但新加坡作為東盟成員，PDPC明確承認東盟跨境數據流動示范合同條款（ASEAN MCCs）可滿足協議要求。因此出海企業在起草數據處理協議時可參考 ASEAN MCCs。如傳輸方通過簽訂 BCRs 履行上述義務，除要求接收方提供與 PDPA 相當水平的保護外，須注意下述事項：a.適用范圍限制：接收方與傳輸方須存在關聯關系，包括傳輸方與接受方之32間存在控制關系或為同一主體所控制（PDPR 第 11（3）（a）條及 PDPA Guidelines）。因此，

128、BCRs 更適合用于集團內數據傳輸情況；b.CRs 內容應包含：1）適用 BCRs 的接收方；2）適用 BCRs 的數據傳輸接收國；以及 3）數據保護權利及義務（PDPR 第 11（3）（b）條）。如傳輸方未能與接收方簽訂數據處理協議或BCRs，PDPC 在PDPA Guidelines中建議，企業可通過取得用戶的同意或視為同意的方式履行數據跨境傳輸的義務。其中，“視為同意”情形包括：1）跨境傳輸為履行合同所必需：如基于該事由跨境傳輸數據，接收方可基于履行合同所必需向第三方再傳輸數據；2）用戶主動提供個人數據或雖未主動提供但允許個人數據被收集使用。無論是取得同意或“視為同意”情形，傳輸方均須履

129、行以下義務：a.告知義務：在請求個人同意前，傳輸方應向數據主體提供書面概要說明，告知其數據接收國對數據的保護措施，以及該保護水平不低于 PDPA（PDPR 第10（3）（a）條）；b.手段正當性：傳輸方不得以任何欺騙性或誘導性方式獲得該同意（PDPR第 10（3）（c）條）；（4）積極參與區域合作機制建設和尋求區域內數據自由流動積極參與區域合作機制建設和尋求區域內數據自由流動2018 年，新加坡加入了亞太經濟合作組織（Asia-Pacific Economic Cooperation，APEC）主導的亞太經合組織跨境隱私規則體系（Cross-Border Privacy RulesSystem

130、，以下簡稱“CBPRs”）和亞太經合組織數據處理者隱私識別體系（PrivacyRecognition for Processors System，以下簡稱“PRPs”）。根據 CBPRs 的文件，想要通過 CBPRs 認證的企業需要通過 CBPRs 對于企業所在國當前的隱私保護法、隱私保護執法機構、隱私信任認證機構、隱私法的評估。新加坡個人數據保護委員會（Personal Data Protection Commission，以下簡稱“PDPC”）因此建立了一項與 CBPRs 對接的認證機制，如果在新加坡獲得這一認證的企業，即可以在其他 CBPRs 成員內與其他認證企業自由傳輸個人數據。當接收

131、方為數據中介方（Data Intermediary）1時，接收方應取得 APEC PrivacyRecognition for Processors System（APEC PRP）或 APEC Cross Border Privacy RulesSystem（APEC CBPR）認證；當接收方為數據中介外的其他組織（如數據控制者）時，該接收方應取得 APEC CBPR 認證（PDPR 第 12 條）2。1根據 PDPA 及 PDPA Guidelines 的定義，“數據中介”為代表數據傳輸方并為其目的處理個人數據的主體。2對此，數據出傳輸方可以登錄 APEC 網站（www.cbprs.org

132、）查詢數據接收方是否已通過認證。333.5.3.新加坡與中國個人信息保護之比較新加坡與中國在個人信息保護方面存在諸多的異同（詳見附件 4），例如不適用個人信息保護法律的規定，新加坡相較中國做出更為寬泛的規定；關于同意的規定，中國的法律要求同意必須是個人信息主體自愿、明確做出的，但新加坡規定了可以視為同意的情形。在個人信息跨境傳輸方面，新家坡相較于中國而言，有更為清晰的個人信息跨境規則，如前文所述的數據中轉、持續跨境個人信息及跨國集團內部數據傳輸等情形，新加坡均做出了清晰的規定，為數據處理者提供了很好的指引。3.6.越南3.6.1.越南數據保護法律體系概況（1）數據保護相關法律法規數據保護相關法

133、律法規越南個人數據保護法令于 2023 年 7 月 1 日起施行，是越南首部個人數據保護綜合性立法，對個人數據保護原則、數據主體權利以及數據控制者和數據處理者義務、數據跨境傳輸等方面作出了規定。該法令同越南刑法網絡安全法網絡信息安全法消費權益保護法信息技術法電子交易法關于網絡安全法若干條款的詳細規定法令關于信息系統安全分類法令關于互聯網服務及在線信息的管理、提供與使用法令電子商務管理法令關于郵政服務、電信、無線電頻率、信息技術和電子轉賬的若干行政處罰規定法令等法律法規構成了越南現行的數據保護法律體系。（2）主要監管部門主要監管部門越南與個人數據保護相關的主要監管機構包括公安部、信息和通信部、國

134、防部和科技部等。其中公安部負責指導和實施個人數據保護工作，保護數據主體的權利免受侵害，提出出臺數據保護標準、個人數據保護和適用建議，并開展依法檢查、審查、處理投訴和控告等工作，是最主要的監管機構。（3）特殊主體的克減義務特殊主體的克減義務個人數據保護法令明確規定，微型、小型、中型和初創企業在建立企業時，有權選擇在注冊的前兩年內免于遵守相關要求。3.6.2.越南數據保護和數據跨境的要點簡析（1）數據跨境傳輸機制數據跨境傳輸機制根據越南個人數據保護法令，“個人數據跨境傳輸”是指通過網絡空間、34電子設備、電子手段或其他形式將越南公民的個人數據傳輸到越南境外地點或在越南境外的地點處理越南公民個人數據

135、的任何活動。要將越南公民的個人數據轉移到境外，跨境數據傳輸者必須進行個人數據跨境傳輸影響評估并持續更新和維護跨境傳輸影響評估檔案，以供越南公安部檢查和評估?？缇硵祿鬏斦邞谔幚頂祿掌?60 天內將個人數據跨境傳輸影響評估檔案提交給越南公安部；數據傳輸完成后應將相關數據傳輸的信息及負責組織或個人的聯系方式以書面形式通知越南公安部。除特殊情況外，越南公安部將每年對個人數據跨境傳輸影響評估檔案進行一次檢查。如出現違反國家安全、提交的個人數據跨境傳輸影響評估檔案不完整不符合要求或未根據新的變化及時更新、泄露或丟失越南公民個人數據等的情況，越南公安部可要求停止數據的跨境傳輸。（2）數據本地化及存儲

136、要求數據本地化及存儲要求為了加強數據安全管理，越南網絡安全法中納入了數據本地化儲存條款，規定“在越南提供電信網絡、互聯網和網絡增值服務的國內外企業，其收集、挖掘、分析和處理有關個人信息的數據、服務用戶關系數據、服務用戶生成的數據必須在政府規定的時間內儲存在越南。本款規定的外國企業必須在越南設有分支機構或代表處?！?022 年 10 月 1 日生效的關于網絡安全法若干條款的詳細規定法令對上述數據本地化條款進行了細化規定，特別強調對于在越南開展特定行業的外國企業，必須將上述三大類型的數據儲存在本地，并在企業提供的服務被使用的情況下在越南設置分支機構或代表處。這些行業包括：電信服務；在網絡空間存儲和

137、共享數據；為越南服務用戶提供國內或國際域名；電子商務；在線支付；支付中介；通過網絡空間傳輸連接服務；社交網絡和社交媒體；網絡視頻游戲；以短信、語音通話、視頻通話、電子郵件、在線聊天等形式在網絡空間提供、管理或運營其他信息的服務。另外，該法令規定的數據儲存期限最低為 24 個月，用于調查和處理違反網絡安全法的系統日志至少保存 12 個月。3.6.3.越南與中國數據保護法律之對比中國和越南的數據保護法律法規既有相似的內容，又有基于各自國情形成的差異。中越均高度重視國家網絡安全和網絡空間主權，兩國的網絡安全法對部分數據的本地化存儲都作了要求。此外，中越均高度重視保護公民個人信息安全，但因基本國情和發

138、展狀況等的不同，中越兩國的個人信息保護法律法規也有諸多差異之處。如在個人信息跨境傳輸方面，中國個人信息保護法規定了數據出境安全評估、個人信息保護認證和個人信息出境標準合同等三條個人信息跨35境合規路徑。越南的個人信息跨境合規機制則較為獨特，僅要求跨境數據傳輸者在規定時限內向監管部門提交個人數據跨境傳輸影響評估檔案。該影響評估檔案應隨時備存且依據變化情況及時更新，以供監管部門進行事后監管。在告知同意機制方面，越南個人數據保護法令對于同意的認定作了更加細致的要求：數據主體的沉默或不回應不應被視為其同意；數據主體可以給予部分或有條件的同意；如果發生爭議，個人數據控制者和/或個人數據控制者和處理者應負

139、責證明數據主體的同意。另外，越南在將個人數據用于廣告營銷服務和違規后的通知義務等方面也提出了更為嚴格的規定（詳見附件 5.1）。3.7.沙特阿拉伯3.7.1.沙特阿拉伯數據保護法律框架概述目前，沙特阿拉伯規范數據治理的法律框架主要由個人數據保護法（TheSaudi Arabia Personal Data Protection Law（PDPL）和配套的個人數據保護法實施條例沙特阿拉伯境外個人數據傳輸規定以及適用于某些行業或部門的特定法規組成。2021 年 9 月，沙特阿拉伯部長理事會批準了沙特阿拉伯個人數據保護法。這是沙特阿拉伯第一部全面的個人數據保護法案，旨在規范該國個人數據的收集、使用和

140、傳輸等個人數據處理活動。PDPL 在 2023 年 3 月進行了修訂，并于 2023年 9 月 14 日正式生效。根據修訂后的 PDPL 序言，自 PDPL 生效起有一年的過渡期，各實體應在過渡期內完成整改以使其個人數據處理活動符合 PDPL 的要求。2023 年 9 月 7 日，沙特數據與人工智能管理局（SDAIA）發布了沙特個人數據保護法實施條例及沙特阿拉伯境外個人數據傳輸規定。兩部法規擴展了 PDPL（于 2023 年 3 月修訂）中概述的一般原則和義務，并對數據控制者提出了新的合規要求。PDPL 適用于沙特境內以任何方式處理個人數據的實體。同時，PDPL 具有域外效力，如果外國組織處理

141、與沙特居民有關的個人數據，則 PDPL 也將適用。3.7.2.沙特個人數據保護法要點簡析（1）同意同意PDPL 立法體例參照了歐盟的通用數據保護條例（GDPR）的體例。它包括常見的關鍵原則和要求，如目的限制、最小必要、數據控制者責任、數據主體權利和違規處罰等。與許多國家的個人信息法案一樣，對于個人數據收集和使用，PDPL 需要事先征得同意。36根據 PDPL 第 5 條，控制者必須在處理之前或處理時應“明確無誤”獲得個人同意。個人數據主體的同意可以以多種形式做出，包括書面、口頭或電子方式等，但必須是在個人未被誤導的前提下自愿做出。數據主體可以隨時撤回對個人數據處理活動的同意，控制者不得要求以拒

142、絕提供服務或福利為條件獲得數據主體同意（除非服務或福利與所獲同意的處理活動特別相關）。此外，如果存在多個個人數據處理活動，且分別具有不同的目的，則必須針對每個目的單獨獲得同意。（2）隱私政策隱私政策數據控制者必須制定隱私政策，PDPL 列明了隱私政策中必須包含的必要信息。數據控制著在收集個人數據前應當向個人數據主體提供隱私政策進行告知。（3）目的限制原則和最小必要原則目的限制原則和最小必要原則控制者必須明確收集和使用個人數據的目的，收集和使用的個人數據必須與收集和使用的目的具有相關性。另外，數據控制者必須在能實現預期目的的最小范圍內收集個人數據。（4）影響評估影響評估控制者必須對處理個人數據的

143、影響進行評估，如果預期目的不再需要某類個人數據，則數據控制者必須停止收集該類數據。（5）違規通知違規通知當發生數據泄露、未經授權訪問個人數據等情況時，數據處理者必須通知監管機構；對個人數據主體造成損害的事件必須通知數據主體。（6）沙特個人數據保護法下的數據跨境傳輸沙特個人數據保護法下的數據跨境傳輸PDPL 要求數據控制者必須在沙特王國的地理邊界內存儲和處理個人數據。在某些情況下，如果不構成安全風險，數據可以在王國境外存儲或處理。在向沙特境外提供個人數據之前，數據控制者必須進行影響評估，并獲得監管機構的書面批準。監管機構將根據具體情況聯系審批事宜。根據 PDPL 修訂后的第 29 條，數據控制者

144、可以將個人數據轉移到王國之外或向王國之外的實體披露個人數據的前提是：1）為保護公共利益、公共衛生、公共安全或保護特定個人的生命或健康安全以防止、測試或治療病理性感染而進行的轉移；2）根據王國作為當事方的國際條約進行的轉移；3）為服務于王國的利益而進行的轉移；4）為履行數據主體的義務；375）根據與 PDPL 配套的個人數據跨境傳輸法規的允許的目的進行的數據轉移。對于上述條件，PDPL 及其執行條例的草案也設置了具體的豁免情形：如果主管部門本身與其他機構合作，并經評估個人數據在沙特王國境外可以得到足夠的保障，且不包括敏感個人數據的傳輸時，主管部門可以根據具體情況，免除控制者遵守第 29 條規定的

145、任何其他條件。在不滿足上述例外情況時，數據控制者必須向主管部門申請批準，方可將個人數據傳輸到沙特王國之外。批準申請必須在傳輸前至少 30 天提出，數據保護部門將有 30 天時間審查申請，并可酌情延長這一期限。如果這些例外都不適用，企業需創建本地的數據中心，并使用在沙特王國內處理數據的服務提供商，以滿足沙特的數據本地化要求。3.7.3.沙特數據保護與中國的對比沙特個人數據保護法對個人數據跨境傳輸規定了嚴格的限制，其批準要求比 GDPR 數據轉移限制更進一步，更類似于中國的個人信息保護法（以下簡稱個保法）。在個人數據權利方面，沙特 PDPL 與個保法一樣，PDPL 賦予個人對自己的個人數據的權利，

146、包括訪問、更正和銷毀/刪除的權利。此外，PDPL 還授予個人知情權，要求處理者告知個人收集其個人數據的法律或實際理由和目的。違反個保法和沙特王國的 PDPL 都會引發行政或刑事處罰。沙特對違規行為的處罰相對嚴厲，包括對實施非法數據轉移的行為的主體處以最高一年的監禁和/或 100 萬里亞爾（約 25 萬美元）的罰款，對實施違法披露敏感個人數據的行為處以最高兩年的監禁和/或 300 萬里亞爾（約 80 萬美元）的罰款，以及 SDAIA能夠施加最高 500 萬里亞爾（約 130 萬美元）的罰款?？梢钥吹?，沙特阿拉伯正在逐步對其境內的個人數據使用進行國家監管，并為法律的實施提供了寬限期，使監管對象符合

147、 PDPL 的規定。同時需要注意的是，沙特目前關于數據合規、隱私保護的法律法規尚未完善，爭議性的網絡行為可能被禁止，中國企業在沙特運營應嚴格遵守當地法律并評估風險。3.8.日本3.8.1.日本數據跨境流通戰略舉措出于振興本國經濟、提高網絡空間軟實力、提升國際社會話語權等多重因素的考慮，日本通過修訂國內立法、簽訂雙多邊國際協議、推廣全球理念等戰略舉38措，不斷推進跨境數據流通治理，倡導參與全球數據跨境流動合作。（1）通過修訂和完善立法，構建與數據自由流動相匹配的數據安全機制通過修訂和完善立法，構建與數據自由流動相匹配的數據安全機制日本多次修訂個人信息保護法，對個人信息跨境制度規則進行動態調整。2

148、015 年，日本修訂個人信息保護法，增加了關于跨境數據流通的規定，包括設立個人信息保護委員會（PIPC）作為獨立監管機構，制定向境外傳輸數據的規則和指南，增加數據出境須獲得數據主體同意的一般性規定及例外情形。2020 年、2021 年，日本分別再次修訂個人信息保護法，旨在促進大數據利用的同時解決數據的跨境流動中面臨的風險。新個人信息保護法要求，在取得個人信息主體同意之前，應披露信息接收方所在國家及該國的個人信息保護體系、信息接收方采取的個人信息保護措施，同時采取必要措施確保接收方所在國家或地區持續實施了與日本個人信息保護法對個人信息的保護要求相當的保護措施?？傮w而言，日本多次修訂個人信息保護法

149、，強化對人信息出境行為的監管，對人信息出境提出了更為嚴格的要求，體現了日本通過構建數據安全機制來保障數據自由流動的戰略考量。（2）積極參與雙邊、多邊貿易協定，尋求數據跨境流動規則的廣泛合作積極參與雙邊、多邊貿易協定，尋求數據跨境流動規則的廣泛合作在雙邊貿易協定方面，日本積極與歐美英等發達經濟體簽訂貿易協定，對接協調數據治理規則，構建“數據流動圈”。例如，日本與歐盟經濟伙伴關系協定（EPA）日美數字貿易協定，日英全面經濟伙伴關系協定等雙邊協定均提到了促進數據自由流動的合作倡議。以日本與歐盟在數據跨境方面的合作為例，2018 年 7 月，日本與歐盟正式簽署 EPA，約定建立數據流通安全區，相互將對

150、方的數據保護體系視為同等有效；2019 年 1 月，日本與歐盟正式施行以互認為基礎的個人數據跨境傳輸充分性框架，實現了日歐之間個人數據的雙邊自由傳輸；2022 年 10 月，日本與歐盟同意就將數據跨境流動規則納入 EPA 進行談判。在多邊貿易協定方面，日本參與或加入亞太經合組織跨境隱私規則體系（CBPR）全面與進步跨太平洋伙伴關系協定（CPTPP）、區域全面經濟伙伴關系協定（RCEP）等雙多邊規則體系和貿易協議，積極尋求和推動跨境數據流通規則的多邊合作。以 CPTPP 為例，2017 年美國退出 TPP 后，日本接替美國開啟了 CPTPP 的多邊談判，沿襲了美國在 TPP 中設置的一系列跨境數

151、據流通規則。面對國際格局的深刻變革，日本積極參與雙邊、多邊貿易協定，尋求數據跨境流動規則的廣泛合作，不斷提升其建立在高標準基礎上的數據跨境國際協作水平。（3）構建和推行構建和推行“基于信任的數據自由流通基于信任的數據自由流通（DFFT）”機制機制，積極參與全球積極參與全球數據規則制定數據規則制定392019 年 1 月，日本時任首相安倍晉三首次提出 DFFT 概念。同年 5 月，安倍在第 25 屆國際交流會議演講中指出，將在 G20 峰會上啟動名為“大阪軌道”的國際數據流動倡議。隨后，在 G20 大阪峰會期間，“大阪軌道”正式啟動，并簽署 大阪數字經濟宣言，標志著 DFFT 從概念提出階段進入

152、實踐階段。從 2021 年至今，日本通過七國集團（G7）、二十國集團（G20）等國際平臺，不斷推進 DFFT的制度化、機制化落地。2021 年 4 月，在英國舉行的 G7 數字和技術部長級會議通過了G7 DFFT 合作路線圖。同年 8 月，在意大利舉行的 G20 數字經濟部長級會議發布部長宣言，重申了 DFFT 的重要性和挑戰。2022 年 5 月，在德國舉行的 G7 數字部長會議通過了促進 DFFT 行動計劃，同年 8 月，在印度尼西亞舉行的 G20 數字經濟部長會議發布 主席宣言，也重申了 DFFT 的重要性。今年 3 月，在日本舉行的 G7 數字與技術部長會議發布了G7 數字和技術部長級

153、宣言，提出建立新機制和通過新的伙伴關系制度安排來運作 DFFT。在全球數字貿易治理碎片化的情況下，日本通過構建和推進 DFFT 機制，倡導基于信任的數據自由流動，積極參與全球數據規則制定，不斷提升全球的數字治理影響力和話語權。3.8.2.日本數據跨境流通法律規制要點簡析日本數據跨境流通法律規制主要包括個人信息出境法律法規體系和多邊貿易協定數據流通規則體系。其中，前者致力于規范和強化對個人信息出境行為的監管，后者致力于在高標準的基礎上推進協定國之間的數據自由流通。（1）個人信息出境法律法規體系分析個人信息出境法律法規體系分析日本于 2003 年制定了日本個人信息保護法，并先后頒布了與個人信息保護

154、法有關的施行令、施行規則，進一步細化個人信息保護規則。此外，日本政府專門設置個人信息保護委員會作為個人信息保護的主管部門，該委員會相繼制定、更新了關于個人信息保護法的指南，為企業個人信息合規提供具體指導。日本個人信息保護法律法規體系如表 1 所示。表 1 日本個人信息保護法律法規體系項目項目法規名稱法規名稱基本法日本個人信息保護法實施法規及細則日本個人信息保護法施行令日本個人信息保護法施行規則實務指南日本個人信息保護法指南（其中，“外國第三方提供40篇”規定了個人數據出境要求）根據新修訂的日本個人信息保護法及其配套制度規則，日本個人信息出境需滿足以下條件：一是以事先取得個人信息主體的同意為原則

155、，以不需要取得同意為例外。獲得個人信息主體關于跨境傳輸個人信息的同意時，應當履行告知義務，事先向個人信息主體提供數據接收方所在國家或地區的個人信息保護的度、數據接收方采取的個人信息保護措施以及應供個人信息主體參考的其他信息，以便個人信息主體判斷是否同意。此外，日本規定了無需取得個人信息主體同意的例外情形，包括向白名單國家跨境傳輸個人信息（如歐盟、日本），以及向已經建立了符合日本法規定的保護標準的個人信息保護機制的接收方跨境傳輸個人信息。二是判斷接收方所在國家或地區是否擁有與日本具有同等水準的個人信息保護制度。日本個人數據跨境傳輸規則借鑒了歐盟 GDPR 的白名單機制，根據 GDPR 的相關規定

156、，對于與歐盟具有同等水準的個人信息保護制度的國家，從歐盟向其跨境轉移個人數據時無需另外取得個人信息主體的同意。目前，日本與歐盟、英國已建立白名單機制，認定對方的個人信息保護水平及安全措施具有同等水準，在不需要事先取得個人信息主體同意的情況下，允許個人信息在日本和歐盟、英國之間自由流動。三是判斷接收方所在國家或地區是否建立了符合日本法律法規標準的制度且可持續采取同等保護措施。滿足下列條件之一的可被認定為符合日本法律法規標準：1）個人信息運營商和第三方，應當以適當和合理的方法，確保第三方在處理個人資料時，實施符合日本個人信息保護法第四章個人信息運營商義務的措施；2）通過第三方獲得國際體系認證，例如

157、經合組織的隱私準則和 APEC 的跨境隱私規則（CBPR）系統的認證。（2）多邊貿易協定數據流通規則分析多邊貿易協定數據流通規則分析如前所述，日本參與或加入了 CBPR、CPTPP、RCEP 等雙多邊規則體系和貿易協議，致力于在高標準的基礎上推進協定國之間的數據自由流通。一是 CBPR體系關于數據跨境流動的規則要求。CBPR 規則體系包含自評估、合規審查、承認或接受跨境規則、爭端解決和執行四部分內容。在 CBPR 體系下，APEC 建立了數據處理者隱私識別（PRP）體系，并且還建立了跨境隱私執法安排（CPEA）。接受方獲得 CBPR 體系的認證，是日本允許個人數據跨境傳輸的合法路徑之一。二是

158、CPTPP 關于數據跨境流動規則要求。CPTPP 規定締約方不得對數據跨境流動征收關稅，要求締約方允許包括個人信息在內的跨境數據自由流動，同時給予締約方在不構成對其他締約方貿易歧視和變相限制的情況下基于“合法公共政策”的豁免；允許締約方對計算機設施的使用根據安全保障和機密保護設有不同監管要求，同時不得將數據本地化存儲作為市場準入條件的強制性要求。三是 RCEP41關于數據跨境流動的規則要求。RCEP 要求締約方不能阻止金融服務提供者進行其金融服務活動必需的相關信息傳輸；不得將計算機設施必須置于境內的規定，作為進入該締約方內部市場的前提條件，不得阻止正常經營活動中的信息跨境傳輸活動，同時為以上約

159、束提供了實施“合法公共政策”和保護“基本安全利益”兩種豁免情形。3.8.3.與我國數據跨境法律法規對比分析在數據安全方面，我國主要遵循的上位法包括網絡安全法和數據安全法，其中對數據的跨境轉移和數據本地化都作出了限制；日本主要遵循的上位法為個人信息保護法，無數據本地化存儲限制，但在跨境轉移方面規定需取得個人同意，妥善處理數據。其中，日本側重對個人數據的跨境保護，要求處理個人數據的經營者數據跨境轉移需要滿足：“事先獲得個人同意的情況下，處理個人信息的經營者可向國外第三方提供個人數據”、“向個人信息保護委員會白名單中所列國家第三方提供數據時可不經個人同意直接提供（白名單歐盟、英國）”、“個人數據保護

160、委員會有權對在日本處理個人數據的外國經營者行使處罰的權限，包括收集報告和現場檢查”三個條件。中國對個人數據和公共數據的跨境均提出數據保護要求，對于關鍵信息基礎設施運營者，數據跨境轉移需要滿足“應通過所在地省級網信部門向國家網信部門申報數據出境安全評估”的要求。在個人信息保護方面，中國主要遵循的上位法為個人信息保護法，對個人信息保護程度相對嚴厲；日本主要遵循的上位法為個人信息保護法和個人信息保護法相關指南，確立對個人信息權力保護的一體化監督機制。其中，對于個人信息的定義二者略有差別，中國認為個人信息為“以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息”，日本方面則定義個人信息為“

161、包括能夠識別特定個體的內容及符號。內容自身無法識別特定個體，但參照其他相關信息后能夠識別特定個體的信息也被納入范疇內”，中日均規定匿名化的數據不屬于個人信息范疇，但日本特別提出，對于假名化的信息（即只要不與其他信息對照就無法識別出特定個體的信息），在個人信息處理者內部使用時，可改變信息獲取時的使用目的。同時，中日在個人信息保護的細節上略有偏差：例如，在管理模式上，日本實行一體化監督機制，由內閣府下設的個人信息委員會負責，個人信息委員會將原本分散在政府各個部門的各個領域的監督權回收，集中到了新設立的個人信息委員會，從而確立了對個人信息權利保護的一體化監督機制；我國實行由國家網信辦統籌、各行業主管

162、部門協同的政府主導模式，由國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作。在認證機構上，日本 1998 年開始導入由經濟產業省下屬的日本情報處理開發協會（JIPDE）42認證的“隱私標志制度”；中國按照國家網信部門的規定經專業機構進行個人信息保護認證，如 CCRC 是 APP 個人信息安全領域的認證機構。3.9.印度3.9.1.經歷多次曲折，終接近出臺數據保護專門立法印度作為人口大國，超過 14 億人口中擁有超過一半的互聯網用戶，且印度是全球科技巨頭的重要發展市場，此前依賴的 2011 年的信息技術（合理的安全實踐和程序以及敏感個人數據或信息）規則已無法解決互聯網時代用戶數據隱私保

163、護和數據處理市場的平衡問題，因此制定一部專門的個人數據保護立法成為印度各界共同的呼聲。然而，由于印度特殊的國情和龐大的人口基數，印度個人數據保護立法工作十分曲折，從 2018 年 7 月印度高級別專門委員會提出首版法案2018 年個人數據保護法案開始，經歷了 2019 年印度電子和信息技術部提交的2019 年個人數據保護法案版本，2021 年印度議會聯合委員會經歷 78 次會議提交審議報告包括 81 項修正案和 12 項建議，2022 年印度政府則以議會聯合委員會對法案修改過多為由，撤回了 2019 年版本，而后 2022 年 11 月，印度電子和信息技術部發布了2022 年數字個人數據保護法

164、案草案，最終于 2023 年 8 月 9 日由電子和信息技術部長發布了印度2023 年數字個人數據保護法案（DPDP）。該法案將在印度總統批準后正式成為法律，使印度接近出臺第一部數據保護專門立法。關于 2018 年、2019 年、2021 年印度議會聯合委員會的建議及 2023 年法案主要內容的對比可參見附件 10.1。2023 年數字個人數據保護法案限縮了該法的適用范圍，將此前采用的更為廣泛的個人數據保護，替換為了更為明確、具體的“數字個人數據”（digitalpersonal data），后者使用范圍更為廣泛，研究規制也較為充分。同時，在境外適用方面，2023 法案相較于2022 法案刪除

165、了“特征分析”（profiling）這一情形，只保留了向印度境內數據委托人提供商品或服務相關的境外數據處理應適用法案的規定。3.9.2.印度數據保護及數據跨境的要點解析（1）確定了確定了“特定合法使用特定合法使用”的數字個人數據處理的合法性基礎的數字個人數據處理的合法性基礎一般而言，亞太地區的數據保護立法皆采用了“視為同意”（deemed to havegiven her consent）作為個人數據處理的合法性基礎。印度2022 年法案同樣采取了“視為同意”的立法技術，但是其引入了過多的“視為同意”情形引發了較大的43爭議。因此，2023 法案 則創新性地采取了“特定合法使用”（certai

166、n legitimate uses）作為數字個人數據處理的合法性基礎，但是保留了大部分2022 年法案中“視為同意”的情形，包括個人資源提供數據的特定目的、政府提供福利或服務、醫療緊急情況、就業等。此外，2023 年法案還特別賦予了國家處理個人數據的多項豁免，包括預防和調查范圍行為、執行合法權利或索賠等，此處的國家包括中央政府、州政府、地方機構、政府設立的機關和公司等。由于國家的豁免允許國家將處理的數據用于其他目的，并允許國家將已有的個人數據用于任何目的，即消除了目的限制這一隱私保護的關鍵原則，因此關于國家豁免是否可能對隱私保護產生不利影響，目前仍在廣泛討論之中。（2）數據出境情形的規定更為寬

167、松，從數據出境情形的規定更為寬松，從“必要因素評估必要因素評估”轉為轉為“通知限制通知限制”的的方式方式印度政府監管境外個人數據傳輸的目的是保護印度公民的隱私，因此若其他國家或地區缺乏健全的數據保護法，則存儲在該國家或地區的數據可能更容易遭到泄露或未經授權與外國政府共享。因此，印度政府嘗試對數據對外傳輸進行限制，四部法案（或建議）皆對數據跨境傳輸進行了規定，參見下表。法案名稱法案名稱具體內容具體內容2018 年個人數據保護法案草案每個受托人在印度至少存儲一份個人數據副本如果獲得同意，可以轉移到印度境外的某些允許的國家或根據管理局批準的合同某些關鍵數據只能在印度處理2019 年個人數據保護法案敏

168、感個人數據的副本應保留在印度僅在獲得明確同意的情況下才能傳輸某些敏感個人數據，對其他個人數據沒有限制關于關鍵個人數據，與 2018 年法案相同2021 年議會聯合委員會的建議補充說明，未經中央政府事先批準，敏感個人數據不會與外國機構或政府共享2023 年數字個人數據保護法案刪除敏感和關鍵的個人數據分類中央政府可能會通過通知將個人數據限制在某些國家/地區目前由于2023 年法案極有可能成為印度個人數據保護的正式立法，因此44未來在印度的數據跨境流通中特別需要關注2023 年法案的規定。其中明確，印度中央政府可以通過通知的方式限制向某些國家傳輸個人數據。這也意味著個人數據傳輸到所有其他國家在一般情

169、況下沒有任何明確的限制，除非中央政府以通知的方式予以限制，一般體現在將這些國家列入限制的清單之中。該措施相當于前三個法案（或建議）放寬了對數據跨境傳輸和流通的限制，此前的法案都要求對數據可能傳輸到的每個國家的標準進行逐案評估，而2023 年法案下則可以有選擇地進行評估，可能導致傳輸國家評估的不充分，引發了印度業界關于該機制能否為印度公民的數據和隱私提供足夠的保護的擔憂。（3）業務流程外包提供商處理不在印度境內個人數據等特殊情形可不落入業務流程外包提供商處理不在印度境內個人數據等特殊情形可不落入適用范圍適用范圍2023 年法案規定，業務流程外包提供商在處理不在印度境內的數據主體的個人數據時，如果

170、是根據印度境內的任何人員與印度境外的任何人員簽訂的任何合同進行的，則不受該法的約束。然而，2023 年法案的某些規定仍然適用，如實施 合理的安全保障措施以防止個人數據泄露 的義務。（4）對本地化存儲的特殊規定對本地化存儲的特殊規定對于特定行業，印度通過行業法規，對該行業的數據做出了本地化存儲的要求。例如銀行業，印度儲備銀行（RBI）依據 2007 年支付和結算系統法（thePayment and Settlement Systems Act，2007）于 2018 年 4 月 6 日發布的關于支付系統數據存儲的通知，RBI 指示所有系統提供商須確保與其運營的支付系統相關的全部數據存儲在印度法律

171、管轄范圍內的系統中；再比如 2020 年外國直接投資綜合政策（the Consolidated Foreign Direct Investment Policy）中規定的條件之一是廣播公司不得將用戶數據庫轉移到印度法律管轄范圍以外的任何實體或地方，除非得到相關法律的允許；再比 2014 年公司（賬目）規則the Companies（Accounts）Rules第 3（5）條中的但書規定，以電子方式保存的賬簿、公司其他賬簿和文件的備份（包括在印度境外的）應存儲在物理上位于印度法律管轄范圍內的服務器中。（5）特別法庭特別法庭印度建立了一套專業審理信息技術相關案件的專業法庭，并在較低審級的階段排除了

172、普通法院體系的管轄權。為了行使印度 IT 法下的權利，個人必須向印度政府任命的、具有相關專業知識的裁決官（Adjudicating Officer）提出投訴并由裁決官審理：對裁決官的決定不服的，則應向電信爭端解決和上訴法庭（TelecomDisputes Settlement and Appellate Tribunal，TDSAT）上訴；對于 TDSAT 的裁決結果，可再次上訴至相應州的高等法院。45（6）印度數據保護機構印度數據保護機構在現行立法下，印度的數據保護機構是電子和信息技術部（Ministry ofElectronics and Information Technology，Me

173、itY）。電子和信息技術部有權就電子和信息技術領域的問題提供指導。為應對數據安全事件，電子和信息技術部成立了印度計算機應急小組（CERT），作為接收和回應所有違規通知的節點機構。根據2023 年法案，中央政府將成立印度數據保護委員會。該委員會的主要職能包括（i）監督合規情況并實施處罰，（ii）指導數據受托人在發生數據泄露時采取必要措施，（iii）聽取受影響者的申訴。委員會成員的任期為兩年，并可連任。中央政府將規定委員會成員人數和遴選程序等細節。對委員會決定的上訴將由 TDSAT 受理。3.9.3.與中國法律的對比印度2023 年法案對標的是我國的個保法，皆是針對個人信息或個人數據做出的綜合性立

174、法。由于國情和法域的巨大差異性，兩部法律存在較多的不同之處，具體可見附表。下文將展開重點需要關注的四點不同。（1）適用范圍方面適用范圍方面，印度法案適用于印度法案適用于“數字個人數據數字個人數據”，相比中國相比中國“個人信息個人信息”的范圍更為狹窄的范圍更為狹窄印度在2023 年法案中將該法的適用范圍確定為“數字個人數據”（digitalpersonal data），而將以線下方式或是非數字化形式收集的個人數據排除在規制范圍外。中國個人信息保護法的適用對象為“個人信息”，并不排除如紙質收集的非數字化形式收集的個人信息，保護范圍更為廣泛。（2）在主體名稱方面，印度法案使用了在主體名稱方面，印度法

175、案使用了“數據持有者數據持有者”和和“數據受托人數據受托人”兩個兩個概念，中國個保法則使用了概念，中國個保法則使用了“個人信息處理者個人信息處理者”和和“受托人受托人”的表述的表述印度2023 年法案在主體名稱使用上與歐盟的“數據控制者”“數據處理者”結構較為類似，其使用“數據持有者”一詞去概括“合法持有并且有一定保護義務的人”，英文翻譯為 Data Fiduciary，而不同于歐盟“數據控制者”（DataController）；而對于接受委托處理數據的人，則使用“數據處理者”的概念予以概括。我國個保法則使用了“個人信息處理者”和“受托人”的表述，“個人信息處理者”是我國個保法規則的核心對象，

176、個保法明確了個人信息處理者對受托人的個人信息處理活動的監督職責。這與印度2023 年法案確定了“數據持有者”首要和唯一的責任地位具有類似性。即，印度2023 年法案明確，數據處理者僅是代表數據持有者并按其指示或約定進行數據處理，數據持有者對數據處理者獲取、使用、開發乃至刪除數據的整個過程都在程序和實質上掌握著控制權和主動權。46（3）處理個人數據的合法性基礎方面，印度法案采取處理個人數據的合法性基礎方面，印度法案采取“合法目的合法目的+同意同意 or特定合法使用特定合法使用”的模式，特定合法使用的范圍較中國個保法合法理由的范圍的模式，特定合法使用的范圍較中國個保法合法理由的范圍更為廣泛更為廣泛

177、印度2023 年法案規定處理個人數據的合法性基礎是在根據本法規定并出于合法目的下處理個人數據，在此情形上滿足數據委托人已同意或屬于特定合法使用兩個條件其一。中國的個保法則并列規定了七點處理個人數據的合法理由，除了取得個人的同意之外，其余六種情形可以視為在同意以外處理個人數據的合法事由。在具體的合法事由中，中國的個保法額外包括“處理已合法公開的個人信息”，印度2023 年法案則包括“為國家機構提供補貼、福利、服務、認證、執照或者許可目的使用”“主權和國家安全”“為履行判決等理由”等中國個保法處理個人數據合法理由中沒有涵蓋的情形。同時，印度特定合法使用的情形之一是“自愿提供數據并且未向數據受托人表

178、示不同意使用其個人數據的”，該條款可以理解成個人自愿同意相當于默示同意，只要個人未明確反對，即可處理。因此，印度處理個人數據的合法性事由是寬泛于我國個保法的。（4）在向境外傳輸個人信息方面，印度在向境外傳輸個人信息方面，印度2023 年法案調整成了年法案調整成了“不限制不限制向境外傳輸個人數據向境外傳輸個人數據”的模式，但賦予了中央政府確定能否數據出境的權力，我的模式，但賦予了中央政府確定能否數據出境的權力，我國法律則對數據出境進行了較為嚴格的限制國法律則對數據出境進行了較為嚴格的限制在此前版本的印度法案中，對于印度的數據出境予以了較為嚴格的限制，即必須進行中央政府的“必要因素評估”后通知數據

179、受托人方可出境。同時，印度 2022年版本的法案還提出了滿足條件的強制數據本地化的要求，對于個人敏感數據，必須存儲在印度境內，但其副本可以按照跨境轉移的要求進行傳輸到印度境外。而印度2023 年法案極大地放寬了對于數據出境的限制，沒有了數據本地化的強制性要求，更加鼓勵數據流動，然而也為中央政府賦予了較大的權力，即數據能否出境將依賴于中央政府的通知或者其他法律的另行規定，這也為印度數據出境的寬嚴程度附加了更多的不確定性。我國法律則對數據出境提出了較為嚴格的限制，規定了數據出境應當經過安全評估、認證、簽署標準合同等流程。3.10.俄羅斯3.10.1.俄羅斯聯邦個人信息及數據法律環境分析（1）俄羅斯

180、聯邦數據與信息安全法律體系俄羅斯聯邦數據與信息安全法律體系根據俄羅斯國家杜馬發布的 關于網絡與數據信息保護立法與政策發展報告（以下簡稱網絡與數據報告），俄羅斯關于網絡主權與數據保護的規范性文47件主要呈現“兩大類、雙層次”的分布特征，“兩大類”是指傳統部門法和新頒布的政策性文件；“雙層次”是指對國內、國外兩個層次的監管，該特征在傳統部門法和政策性文件中也均有體現。網絡與數據報告 指出，俄羅斯已發布了近 50 部國家層面的法律法規與政策性文件，就網絡主權問題給予國家立法支持與保護，呈現出立法數量多、頒發部門層級高、涉及范圍廣的特征；形成了以俄羅斯聯邦憲法及已經締結的國際條約為基礎，以俄羅斯聯邦關

181、于信息、信息技術和信息保護法俄羅斯聯邦個人數據法和俄羅斯聯邦主權互聯網法案為準則，以其他聯邦法律與規范性文件為補充的數據與信息安全法律體系。（2）強本地化的規定強本地化的規定目前，全球對于數據流動監管尚未形成統一的規則和方案，新興經濟體與發達國家采取了截然相反的數據監管制度。各國在選擇數據流動監管制度上受地緣政治、國家安全、隱私保護、產業發展水平等因素的影響，形成了數據自由流動與數據本地化兩大基本監管制度。俄羅斯作為全球化進程中重要的經濟體，基于數據主權的安全需求與立場，制定了數據本地化的監管措施，表現為跨境與境內限制性措施相結合，既要求跨國企業在俄開展業務或提供服務時須在俄境內建立數據中心，

182、也對數據存儲和服務器地址提出本地化要求。3.10.2.俄羅斯聯邦數據跨境保護及審查要點分析（1）信息安全要點信息安全要點俄羅斯聯邦法律對信息安全的要求主要有以下幾點：1）未經本人同意，禁止收集和傳播有關其生活的信息。2）所有信息技術都是平等的不能強迫公司使用任何特定的技術來創建信息系統。3）對特定類型的信息傳播不做限制，例如有關環境狀態的信息。4）對特定類型的信息禁止傳播，如宣揚暴力的信息。5）存儲信息的人有責任保護信息安全。6）被禁網站的登記冊。俄羅斯聯邦通信、信息技術和大眾傳媒監督局（）可以禁止在俄羅斯聯邦境內傳播非法信息的網站。7）被封禁網站的所有者可以通過刪除非法信息并將其報告給俄羅斯

183、聯邦通信、信息技術和大眾傳媒監督局（）解禁網站。（2）個人數據保護要點個人數據保護要點個人數據保護法是俄羅斯聯邦關于“個人數據”保護的主要法律。該法律規范了個人數據的處理活動，對個人數據的保護主要有以下幾點：1）在收集和處理個人數據之前，需征得個人的同意；482）為了保護個人數據，僅可基于特定目的收集個人數據；3）有義務保障收集的個人數據的安全；4）個人數據的主體要求刪除其個人數據的，需按要求刪除其個人數據；5）在俄羅斯處理個人數據，需在俄羅斯聯邦境內的數據庫中存儲和處理這些數據。（3）公司數據保護要點公司數據保護要點1）公司可以決定某一數據是否是商業秘密并形成公司商業秘密的數據清單。2）特定

184、類型的數據不能歸類為商業秘密，例如，有關公司創始人或員工人數的數據。3）俄羅斯聯邦基于充分的理由可以要求公司提供商業秘密，例如，對公司涉嫌違法的情況進行調查。4）公司有義務保護其商業秘密，并保留有權訪問此數據的人員的記錄。5）公司員工泄露商業秘密，可能會被解雇、罰款或起訴。（4）數據跨境監管要點數據跨境監管要點1）數據共享或轉讓如果個人數據不是從數據主體處直接取得，接收人（處理人）應在開始處理個人數據前向個人數據主體履行告知義務，但以下情況除外：處理人已對數據主體進行告知;個人數據是由處理人履行法定義務或數據主體作為一方當事人的合同而取得;該等個人數據是由該數據主體自行公開或由處理人從公開來源

185、取得的;為統計或其他研究目的、或處理是由新聞記者或大眾傳媒作為其專業活動的一部分或為科學、文學或其他創造性活動的目的而進行的，但處理行為會損害數據主體的權利和自由的除外；若向其告知會侵犯第三者的權利和合法權益。2）數據跨境轉移：提供同等保護在將個人數據轉移出俄羅斯之前，處理人必須確保接收國對個人數據提供足夠的保護。比如接收人所在國加入并批準了 個人數據自動化處理中的保護公約。2013 年，俄羅斯列出了被官方認可為“確保充分保護”的國家名單。除了公約成員國外，截至目前還有 26 個國家被認可為“確保充分保護”的國家名單。如果處理人向無法提供同等保護的境外主體轉移個人數據，必須滿足以下條件之一：取

186、得數據主體的書面同意；俄羅斯聯邦參加的國際條約中關于簽證事宜另有規定的，以及國際條約中涉及提供民事、家庭和刑事案件司法協助事宜另有規定的；基于保護俄羅斯聯邦憲法制度、保障國家安全目的所需；履行數據主體作為一方當事人的合同要求；在不能取得個人數據主體的書面形式同意時為保護個人數據主體或者他人的生命、健康、其他重大生存利益。493.10.3.中俄數據保護及數據跨境合規對比在個人數據層面，俄羅斯注重保護個人數據權利。在保障個人數據權利的同時，注重保障個人數據不被竊取、破壞和濫用，以及確保整體數據系統的安全可靠運行。由于個人數據隱私的屬性很難界定，俄羅斯所采取的措施與美國等國家有所不同，俄羅斯在加強對

187、科技公司使用本國用戶數據的監管與限制使用搜索引擎的同時，正研究制定向數字企業征收數字稅的規范。在跨境數據流通層面，俄羅斯實行嚴格的管控制度，對不同國家的數據主體實行差異化的法律監管。例如，對于美國等主動型數據流動國家，俄羅斯以俄羅斯聯邦主權互聯網法案為基礎，在全球首次立法，實施“主動斷網”，以識別網絡主權威脅；在保護數據主權的同時，孤島維權式地反對網絡霸權成為保護性特征的重要表現形式。面對新興經濟體保守型數據流動國家，俄羅斯采取較為柔和的監管態度，在實施數據本地化存儲的同時，兼顧數據流動的對等性。俄羅斯聯邦信息數據安全保護的監管特點最明顯的就是數據存留本地化，數據存留本地化是專門限制數據跨境傳

188、輸的措施，包括禁止信息出境、跨境傳輸信息必須征得數據主體的同意、要求在境內留存信息副本、對數據輸出征稅等形式?！袄忡R事件”后，俄羅斯加快了數據流動法律的修改，旨在全面限制數據流動，加強數據流動監管，從法律層面確立了數據處理本地化的基本規則?？傮w來看，俄羅斯的立法規定十分嚴格，通過對企業施加法定義務，實現了政府對數據處理、存儲和跨境傳輸等環節的全面控制，牢牢掌握了本國數據跨境流動的主動權。我國個保法正式確立了我國個人信息跨境流動的規則體系，規定個人信息以在境內存儲為原則，并確定了需要在滿足法律規定的條件下可以向境外提供個人信息的規則。我國的數據治理模式和方法仍在逐步探索和完善中，鑒于我國數字經濟

189、蓬勃發展、數據要素豐裕，在借鑒他國經驗的同時，更要積極尋求符合國內數據要素保護方式和跨境數據流通的規則，逐步探索出一條符合中國特色的數據治理之路。3.11.歐盟3.11.1.棱鏡事件推動的數據跨境流動立法密集時代2013 年美國棱鏡事件加速了歐盟對數字經濟時代數據跨境流動規則的重新審視，歐盟認為與美 國簽署并生效于 2000 年的安全港協議已無法充分發揮在雙方數據跨境流動機制中保證歐洲公民 數據隱私的效用，于 2015 年由歐盟法院裁定該協議無效并撤銷；隨后，歐洲委員會在 2016 年初與美國達成新協議50“歐盟一美國隱私護盾”（EU-US Privacy Shield，以下簡稱“隱私盾協議”

190、）。2016年，歐盟議會通過了 2016/679 號條例通用數據保護條例（GDPR），建立了基于充分性認定的白名單制度、約束性公司規則、標準合同條款和行為準則四項數據跨境流動體系。2020 年 7 月 16 日，歐盟法院對施雷姆斯案數據保護專員訴 Facebook 愛爾蘭和 Maximillian Schrems 案,C-311/18,“Schrems II”）作出裁決,認定歐美數據跨境傳輸機制的隱私盾協議無效。2021 年 6 月 4 日，歐盟委員會公布了將個人數據從歐盟傳輸到第三國的新標準合同條款并于 2021 年 6 月 27日生效。同時，歐洲數據保護委員會于 2021 年 6 月 18

191、 日更新了關于為確保遵守歐盟個人數據保護水平而采用的對數據跨境傳輸工具補充措施的建議。歐盟委員會和美國于 2022 年 3 月 25 日宣布，雙方原則上已就新的跨大西洋數據隱私框架達成一致，該框架將促進跨大西洋數據流動，并解決歐盟法院在 2020 年 7月 Schrems II 裁決中提出的問題。美國總統拜登于 2022 年 10 月 7 日簽署一項行政命令，指示美國將采取措施，履行跨大西洋數據隱私框架下的美國承諾。2023年 7 月 10 日，歐盟委員會通過了歐盟-美國數據隱私框架（EU-US Data PrivacyFramework,DPF）的充分性決定。DPF 規定了將個人數據從歐盟的

192、控制者或處理者轉移到第三國和國際組織的規則，包括明確了歐盟的數據控制者及處理者可以在無需獲得任何進一步授權的情況下將個人數據轉移到經認證的美國主體。（詳見附件 8.1）3.11.2.歐盟數據保護及數據跨境的要點簡析歐盟 GDPR 將個人數據作為基本人權進行保護，其規定覆蓋了包括公私部門在內的各行各業的個人信息處理行為，且處罰額度可高達 2000 萬歐元或年收入 4%。GDPR 及其對違反 GDPR 行為的嚴厲執法力度，在全球范圍內帶來了深遠的影響（詳見附件 8.3）,以下主要結合 GDPR 進行分析。（1）獨立數據保護機構獨立數據保護機構 EDPBGDPR 正式生效的同時，歐盟數據保護委員會（

193、EDPB）也正式成立，總部位于布魯塞爾，是歐盟的獨立數據保護機構，負責發布關于 GDPR 核心概念解釋的指南，并通過對有關跨境處理活動的爭議做出具有約束力的決定來做出裁決，確保在整個歐盟范圍內統一應用數據保護規則，并促進歐盟數據保護機構之間的合作，以應對歐盟眾多成員國在不同主權下的政策制定、理解、執行一致性難題。EDPB 由歐盟各成員國數據保護機構（國家監督機構）的代表和歐洲數據保護監管機構（EDPS）組成，EDPS 作為 EDPB 秘書處為其提供分析、行政與后勤等支持。（2）與歐盟同等保護水平下才被允許的個人數據跨境傳輸與歐盟同等保護水平下才被允許的個人數據跨境傳輸51歐盟將個人數據保護視為

194、一項基本權利，一直堅持高標準保護個人數據。在消除境內數據自由流動壁壘、建立統一數據保護標準的同時，歐盟要求其他國家只有在提供與歐盟同等水平保護的情況下，才允許個人數據跨境向其進行傳輸。允許數據跨境的具體措施和要求包括：基于充分性認定的白名單制度基于充分性認定的白名單制度。歐盟委員會對歐盟以外國家或地區數據保護的充分性進行評估，將與歐盟保護水平相當的國家或地區列入“白名單”,允許歐盟個人數據向上述國家或地區傳輸。歐盟委員會對獲得認定的國家和地區至少每四年進行一次評估，以確保其滿足同等保護水平要求。約束性公司規則約束性公司規則（Binding Corporate Rules，BCR）適用于在歐盟設

195、立總部或分支機構的跨國公司，由跨國公司自行擬定內部機構之間數據傳輸和保護的規則，經歐盟成員國數據監管機構審核批準后生效。運行多年來，共有 100 多家跨國公司申請并獲得通過。BCR 解決了跨國公司內部機構之間頻繁傳輸數據的隱私保護問題，但同時也存在適用范圍有限、實施成本高等弊端。標準合同條款標準合同條款（Standard Contractual Clause，SCC）是數據傳輸雙方采用歐盟標準合同條款，通過將 GDPR 規定的義務轉化為合同義務和責任，確保對數據主體權利的保護。2021 年 6 月歐盟委員會公布了兩套標準合同文本，取代了之前的三個標準合同文本：一是將個人數據從歐盟轉移到第三國的

196、新標準合同文本；二是適用于歐盟境內的控制者與處理者之間的標準合同文本。SCC 為數據跨境流動提供了一個相對寬松且安全的解決方案，有助于促進數據跨境流動規則的融合與統一。行為準則行為準則（Codes of Conduct，CoC）是 GDPR 新引入的機制。當歐盟以外國家未獲得充分性認定時，該國的數據控制者或處理者可作出具有約束力和可強制執行的承諾，承諾遵守經批準的行為準則，則歐盟數據可向其傳輸。目前歐盟委員會還未批準任何 CoC。如果歐盟以外國家未達到歐盟數據保護水平，且仍未提供適當的保障措施時，GDPR 規定數據跨境的法定例外情形，包括：數據主體同意、履行合同義務、保護重要公共利益、保護數據

197、主體及他人的重大利益、行使或抗辯法定請求權、公共注冊登記機構數據傳輸等情形。3.11.3.中國對 GDPR 的借鑒與發展截止目前，歐盟委員會認定的充分數據保護的國家包括：安道爾、阿根廷、52加拿大（商業組織）、法羅群島、根西島、以色列、馬恩島、日本、澤西島、新西蘭、韓國、瑞士和烏拉圭、英國、美國（參與 DPF 的商業組織）。另外，2022年 10 月 10 日，EDPB 公布了對 Europrivacy 認證標準的批準意見，使得該認證標準成為歐盟通用標準，經評估后符合這一標準的認證對象，證書中可以獲頒歐盟數據保護印章（European Data Protection Seal）。Europri

198、vacy 認證成為目前所有歐盟成員國唯一正式認可的 GDPR 認證機制。有看法認為，GDPR 在相當程度上扮演了貿易壁壘角色，提高了他國互聯網企業進入歐洲市場的成本。同時，歐盟試圖通過對外輸出占據道德高地的歐盟標準，以獲取與美國等數字經濟領先國家在全球數字貿易談判中的優勢，扭轉自身在全球數字競爭中的不利局勢。在通用數據保護條例施行一周年之際，美國信息技術和創新基金會下屬的數據創新中心發布的 GDPR 實施一年以來的影響報告指出，通用數據保護條例并未產生歐盟立法者預期的積極效果，反而存在對歐盟經濟的消極影響。其在增加企業數據合規成本、損害科技公司創新和競爭力的同時，也增加了消費者獲取在線服務的成

199、本和不信任感。中國倡導全球數據安全，鼓勵在保護個人信息權益，維護國家安全和社會公共利益的條件下，促進數據跨境安全、自由流動。對數據接受國或地區也采取同等保護水平的要求。歐盟 GDPR 的個人信息保護規定為中國制定個人信息保護法數據安全法提供了借鑒意義，同時，中國的個人信息保護法數據安全法和網絡安全法也設置了知情同意制度、原則上本地化、黑名單制度和反歧視措施，在全球數字經濟發展的大背景下更全面地規范了數據處理活動和數據跨境流動，以促進個人信息的自由安全的流動與合理有效的利用，推動數字經濟的健康發展。2023 年 2 月 3 日，中國個人信息出境標準合同辦法由國家互聯網信息辦公室 2023 年第

200、2 次室務會議審議通過并公布，自 2023 年 6 月 1 日起施行。個人信息出境標準合同辦法對歐盟將個人數據從歐盟傳輸到第三國的新標準合同條款在一定程度上進行了借鑒，并結合中國個人信息保護與監管的特色有所創新，是中國跨境數據流通制度的又一里程碑。中國的個人信息出境標準合同辦法對個人信息設置了更高級別的保護，要求境內提供方在標準合同生效之日起 10 個工作日內向所在地省級網信部門備案，提交標準合同（包含個案具體的保護措施及出境情況說明）和個人信息保護影響評估報告。歐盟雖然在 Schrems II案后對標準合同條款提出了更高要求，即境內提供方須證明個人數據出境后在實質上可以達到歐盟同等保護水平，

201、而非形式簽署標準合同即可，但并沒有要求對標準合同進行備案。然而，和歐盟歷史悠久且在 GDPR 實施后通過大量實踐案例而不斷豐富發展53的制度相比，中國個人信息出境標準合同辦法仍存在需要完善的方面。比如，GDPR 中標準合同條款對于特定服務商來說并不是唯一的選擇，還有公司準則、行為準則的承諾、第三方認證機制的承諾。但是根據中國個人信息出境評估辦法，標準合同并不具有可選擇性和任意性。其次，歐盟將個人數據從歐盟傳輸到第三國的新標準合同條款區分了四種可能的傳輸場景，包括控制器到控制器、控制器到處理器、處理器到控制器和處理器到處理器，分別規定相關義務。中國個人信息出境標準合同辦法則并沒有區分接收者的角色

202、，僅規定從中國實體轉移到“海外接收者”，更加強調各方數據處理者的責任義務，同等嚴格的要求。3.12.美國3.12.1.美國個人信息及數據法律環境分析（1）由聯邦立法、州立法及行業自律組成的由聯邦立法、州立法及行業自律組成的“拼湊拼湊”特色特色在美國立法體系中，數據保護框架包括數據隱私和數據安全，前者涉及個人信息的收集、使用和傳播，后者涉及未經授權訪問和使用個人信息。美國數據保護立法體系由聯邦級立法、州級立法、行業自律準則三部分構成。美國尚未形成統一的聯邦數據保護立法，但許多聯邦、州的法律中均涉及隱私保護的相關法律條文。從聯邦立法來看，美國數據保護法采取分行業式分散立法模式，集中于特定領域和特定

203、對象。美國在特定政府部門、電信及網絡、金融、健康、教育及兒童在線隱私等領域均有專門的數據保護立法，例如，限制州政府的機動車輛部門的1994年駕駛員隱私保護法（DriversPrivacyProtectionActof1994,DPPA）、電信及網絡領域的視頻隱私保護法案（VideoPrivacy ProtectionAct,VPPA）及1984 年有線通信政策法（Cable Communications Policy Act of 1984）等。同時，2023 年3 月，拜登-哈里斯政府發布了國家網絡安全戰略（NationalCybersecurityStrategy）。從州立法來看，各州均在

204、積極進行數據保護領域立法。其中，2018 年 6 月28 日，加州州長批準通過 加州消費者隱私法案（California Consumer PrivacyAct，CCPA）,創設了美國歷史上最為嚴格且全面的數據隱私保護制度，該法案于2020 年 1 月 1 日正式生效。2020 年 11 月 3 日，加州選民投票通過第 24 號提案加州隱私權法案（California Privacy Rights Act,CPRA）該法案實質性修訂了此前里程碑式的 CCPA,因此CPRA 亦被稱為CCPA 2.0,已于 2023 年 1 月 1日全面生效。美國加州的CCPA/CPRA 與歐盟的通用數據保護條例

205、（GeneralData Protection Regulation,GDPR）也一并成為了當前全球最突出的數據保護立54法，事實上的數據保護全球標準。從行業自律準則來看，美國數字隱私行業自律準則的興起與 20 世紀末美國政府提倡行業自我監管的政策息息相關。相對于政府管制，行業自我監管更具效率性和靈活性。在自我監管的理念下，通過“告知和選擇”程序落實消費者信息保護，企業將隱私政策納入服務合同供用戶選擇，除法律明確禁止或限制外，企業可自由收集、處理和分享從客戶處獲取的信息。不同于歐盟嚴格保護個人隱私的立法態度，美國對于數據保護的立法態度更多側重于數據流通所帶來的經濟價值，以期通過促進數據跨境維護

206、自身已建立的信息優勢。（2）由由 FTC、CFPB、FCC、HHS 等組成的聯邦數據保護執法機構等組成的聯邦數據保護執法機構目前，美國有多個聯邦機構負責數據保護執法工作，包括聯邦貿易委員會（Federal Trade Commission,FTC）、消費者金融保護局（Consumer FinancialProtection Bureau,CFPB）、美國貨幣監理署（Offce of the Comptroller of theCurrency,OCC）、證券交易委員會（Securities and Exchange Commission,SEC）、聯邦通信委員會（Federal Communi

207、cations Commission,FCC）、衛生與公眾服務部（Department of Health and Human Services,HHS）和商務部等。在諸多聯邦機構中，FTC 在制定美國隱私標準方面發揮了突出作用，通常被視為領導性的數據保護執法機構，有權對“不公平和欺騙性貿易行為”執法，同時亦有權對兒童在線隱私和商業電子郵件營銷等問題執法。近年來，FCC 亦發揮了突出的執法作用。FTC 和 FCC 外的其他機構則是根據具體的法規或條例，負責相關的隱私執法工作，例如，衛生與公眾服務部（HHS）的民權辦公室根據健康保險可攜性和責任法案（HIPAA）負責醫療隱私的執法；美聯儲和貨幣監

208、理署根據格雷姆一里奇一比利雷法（GLBA）負責金融隱私的執法。3.12.2.美國數據保護及數據跨境的要點解析（1）以以 CCPA 和和 CPRA 為代表的為代表的“美國標準美國標準”如前所述，美國無統一的聯邦數據保護立法，因此我們選取了美國在全球最具影響力的數據隱私立法，即最具代表性的“美國標準”CCPA 和 CPRA,并結合我國個保法的相關規定，對美國 CCPA 和 CPRA 數據保護的一般要求予以比對分析（詳見附件 9.1）。除已生效的 CCPA 和 CPRA 外，值得注意的是，2022 年 6 月 3 日，美國眾議院和參議院商務委員會主要成員聯合發布美國數據隱私和保護法案（America

209、n Data Privacy and Protection Act,ADPPA）（詳見附件 9.2）草案文本，55這是首份獲得美國兩黨、兩院支持的聯邦綜合性隱私保護法草案。ADPPA 草案的適用范圍及被涵蓋主體廣泛，被涵蓋主體包括受其他聯邦法案約束的實體，其義務范圍既反映州隱私法，也存在一些例外情況。ADPPA 草案成為法律仍有很長的路要走。如 ADPPA 草案正式通過，則美國將具備聯邦層面的統一數據保護立法，并將廣泛地取代此前聚焦于消費者的法律，例如，加州的 CCPA/CPRA,但ADPPA 草案將保留未受影響的CCPA/CPRA法規下針對安全違規行為的私人訴訟權。（2）允許境外數據流入、限

210、制境內數據流出允許境外數據流入、限制境內數據流出由于美國對于數據的態度是希望通過數據跨境活動維護自身的技術經濟優勢和所擁有的數據市場，發揮數據經濟價值，占據全球領先地位。因此，在數據跨境方面，美國采取“允許境外數據流入、限制境內數據流出”的跨境數據流通政策體系。簡而言之，美國對于數據跨境流動采取截然相反的兩種態度強監管數據向外流動，而允許數據自由向內流動。最具代表性的“美國標準”CCPA 和 CPRA 均為州立法，故不涉及數據跨境傳輸。在數據跨境活動方面，美國直接相關的法案主要有：澄清海外合法使用數據法案（Clarifying Lawful Overseas Use of Data Act，C

211、LOUD Act）、出口管理條例（Export Administration Regulations，EAR）和2023 年保護美國人的數據免受外國監視法（Protecting Americans Data From Foreign SurveillanceAct of 2023,PADFFSA）。目前，CLOUD Act 和 EAR 均已生效，但 PADFFSA尚未生效。CLOUD Act 于 2018 年 3 月 23 日生效，最核心的內容是加強美國的長臂管轄，即，無論數據是否儲存在美國境內，均允許美國聯邦政府強制調取服務提供者的數據，否定以數據存儲位置認定數據主權的判斷標準，確立以服務提

212、供者的控制權認定數據主權的新體系，擴大美國執法機關調取海外數 據的權力。這意味著，任何在美國設有辦事處或子公司的外國公司均須受 CLOUD Act 的約束。同時，其他國家若要調取存儲在美國的數據，則必須通過美國“適格外國政府”的審查，需滿足美國設定的人權、法治、數據自由流動標準。美國對于個人信息類型的數據跨境傳輸持開放態度，但對于其他重要數據則采取相應的限制，嚴格限制關鍵技術與特定領域的數據出口。EAR 嚴格限制部分關鍵技術與特定領域的數據出口，受管制的技術數據傳輸到位于美國境外的服務器保存或處理，需取得美國商務部產業與安全局（BIS）的出口許可。美國總統 2010 年簽署的 13556 號行

213、政令界定的“重要數據”范圍，包括農業、受控技術信息、關鍵基礎設施、應急管理、出口控制、金融、地理產品信息、信息系統漏洞信息、情報、國際協議、執法、核、隱私、采購與收購、專有商業信息、安全56法案信息、統計、稅收等 17 個門類。PADFFSA 則針對敏感個人數據的跨境傳輸制定了嚴格的規則。雖尚未生效，但仍須引起中國企業注意。根據 PADFFSA，由美國商務部長聯合其他聯邦機構負責對數據進行分類，確定哪些數據類型可能會被外國勢力利用，以及傳輸的數據的數量級高于特定的閾值從而損害美國的利益。對于適用范圍內的數據將受到EAR 項下的相應管制。3.12.3.美國與中國數據保護法律之對比（1）中美中美跨

214、境數據流通跨境數據流通存在政策限制存在政策限制在兩國的立法中，對于數據跨境流動都有所限制。以美國數據隱私和保護法案（以下簡稱“法案”）為例，該法案明確要求，數據處理企業應向消費者說明，其所收集、處理、傳輸的數據是否會提供或者以其他方式提供給包括中國、俄羅斯、伊朗、朝鮮在內的國家。中國的個人信息保護法要求，個人信息處理者需要向境外提供個人信息的，需要進行個人信息保護影響評估，取得當事人的單獨同意，具備法定條件，并確保境外接收方的處理活動符合規定。（2）以中國個保法為例對比美國數據保護立法以中國個保法為例對比美國數據保護立法美國標準 CCPA 和 CPRA 是消費者保護領域的州立法，中國的個保法是

215、統一的綜合性數據保護法，存在諸多不同之處，例如：（1）中國個保法相較于美國 CCPA/CPRA,適用的地域范圍、受保護的主體范圍、受規制的實體類型、適用的數據活動等均更為廣泛；（2）中國 個保法 與美 國 CCPA/CPRA,在定義個人信息、敏感個人信息及分類、合法性基礎范圍、同意機制等規定中均存在差異（詳見附件 9.1）。雖然美國尚無聯邦層面的數據保護立法，但是，針對美國議院擬議的美國數據隱私保護法進展以及可能對我國企業境外合規工作的影響，我們亦加以整理（詳見附件 9.2）。（3）中美數據保護立法取向不同中美數據保護立法取向不同美國與中國數據保護法律規定的不同亦體現兩國對于數據保護的不同立法

216、態度，例如，中國的個人信息保護立法趨于歐盟的 GDPR 與美國之間，在重視保護個人信息的前提尋求與數據經濟發展的平衡，美國則致力于加強美國在數字經濟中的領先優勢。例如，就個人對數據處理的“同意”而言，中國采取須取得信息主體同意（opt-in）的模式，要求個人數據處理活動應具有合法基礎，而美國CCPA/CPRA 選擇退出模式（opt-out）為主要機制，僅要求特定的數據處理活動取得個人同意，其他情況下則可以不經個人事先同意而處理數據，但個人可以選擇退出。573.13.尊重區域差異，做好數據跨境合規限于篇幅，我們無法全面的分析各國在數據保護及數據跨境的具體規定，只能粗淺的向各位讀者展示部分國家和地

217、區的法律要點，作為一個引子，以期讓各位讀者了解到不同國家和地區在數據保護及數據跨境法律環境方面是存在很大差異，即使是最基礎的處理個人信息前的告知同意，不同國家和地區的規定不盡相同。我們不能閉門造車，需要了解和吸收各國和地區優秀的經驗。正因不同國家和地區關于數據保護和數據跨境的理念、規范乃至數據的基本定義有很大差異，相關主體在涉及到數據跨境業務時，需要尊重不同國家和地區的差異，除了使自己的業務符合本國和地區的法律法規外，還需符合境外接收方所在國家和地區對數據保護的要求。58第四章 跨境數據流通技術解決與合規方案數字經濟的發展源自與技術的進步，跨境數據流通既是法律問題，也是技術問題。如何使數據依法

218、有序安全跨境流通，不僅需要法律在數據跨境合規中發揮積極作用，還需要新技術在新場景應用上找解決方案。4.1.跨境消費：某知名大型港資消費品企業數據跨境方案某公司，作為一家知名大型港資消費品企業，在境內與境外均有業務布局，境內境外會員相關業務相對獨立。鑒于兩地社會聯系緊密且顧客群體中相當一部分存在交叉，為了服務好這一部分群體以及將來可能發生的跨地區經營活動。公司需要建立數據跨境通道，以實現兩地會員業務數據互通并激發會員消費潛力。4.1.1.案例背景該公司在境內境外兩地均維護著CRM 系統，并建立了兩套獨立的會員體系。在這兩地，會員的消費積分、會員等級、會員信息等均未進行同步。隨著兩地游客往來頻繁，

219、線下門店接待的境外客戶數量逐漸增多。然而，許多顧客對于兩地會員體系不互通的問題產生困惑。（1）業務挑戰業務挑戰由于同一品牌下不同地區的會員體系不同，會員在一個地區的消費積分、會員權益在另一地區無法查看和使用。而且，由于會員權益帶來的附加值較高，無法享受會員應有的會員權益會引起客戶不滿情緒。線下門店的店員不能便捷地查詢顧客的會員賬戶信息，這限制了他們及時識別客戶類型并提供定制化服務。若客戶若在兩地接受不同水平的服務，可能會產生心理落差，影響其消費意愿。后端業務分析人員由于缺少此部分交叉客戶群體的消費數據，難以分析和預測消費熱點和消費人群等關鍵業務指標，這限制了業務活力，并為供應鏈、生產、銷售等環

220、節增加了不確定性。（2）應用場景與需求應用場景與需求在用戶層面上，改方案能滿足客戶在兩地同步累計消費積分享受會員權益的需求；在業務層面上：前線員工應能夠及時得知客戶的會員賬號信息，以便提供定制化服務。同時，后臺業務分析人員將能獲取更多關于交叉用戶地消費數據，從而促使經營分析更加全面可靠，支撐業務發展。594.1.2.技術方案考慮到問題緊迫性、技術建設的時間周期、業務改造的難度、合規要求等，本跨境解決方案流程示意圖如 4.1-1 所示，具體分為如下兩個步驟：（1）短期補救方案實施：通過簡單而高效的方法解決兩地會員體系信息不互通的問題。將在原境內會員平臺中增加一個新的功能區域，會員可以進入此區域來

221、開通和綁定境外會員帳戶，并同步其基礎信息至境外會員系統地數據庫。一旦會員完成綁定和同步操作，境外線下門店地店員就能通過會員手機號識別出會員在境內的消費情況，識別是否高價值客戶，或者是新客戶。并為客戶提供定制化的服務。（2）長期完善方案規劃：通過系統搭建和業務同步等措施，目標是使境內外的會員體系最終融合為一個高度統一的整體。在未來的計劃中，更多的境內會員賬戶信息將被傳輸至境外的會員系統數據庫，會員在境內消費與境外消費的積分按照一定比例統一積累至唯一會員賬戶。同時在線下門店終端，可以根據會員手機號或會員碼，識別出完整的會員在境內與境外的消費情況，以及其他相關會員信息。用于判斷會員的消費習慣、興趣，

222、同時便利業務部門分析產品銷售情況，優化業務布局與決策。圖 1 跨境流程示意圖4.1.3.方案創新點和亮點為緩和數據字段最小必要性所存在的矛盾，并在合規的紅線內開展高效的數據跨境活動。在跨境方案設計之初，合規團隊已與業務團隊、數據分析團隊展開深度溝通與合作，探索數據傳輸最小必要可能性。60第一期數據跨境方案當中僅傳輸七項個人信息字段，其中兩項是由消費者在注冊會員賬號時自行提供、與其個人強相關的個人信息字段，其余五項是會員在該品牌消費后產生的消費記錄相關字段?？紤]到不同字段的敏感程度以及在業務當中的重要性。對于消費者個人強相關字段，在跨境傳輸前進行了脫敏處理。而基于消費后產生的數據字段也剔除了個人

223、屬性而使用會員編號替代。4.1.4.應用效果采用此種方案成效是在最大程度上不影響業務正常開展的前提下，保證境外前線門店工作人員無法定位至具體的消費者，但可以了解會員的大致消費習慣以及會員等級，工作人員可以基于前述信息為消費者提供定制化的服務。后端數據分析人員開展分析工作同樣基于無法定位至具體消費者的字段，同時也可以得出完整的數據分析結果，以支持業務決策。4.2.跨境金融：香港銀行跨境電子簽署為了實現大陸居民、香港居民在線開立香港地區商業銀行賬戶，深圳 CA 在項目中對持不同身份證件的兩地居民提供統一標準的身份核驗服務、數字證書服務和電子簽署服務。且本項目在大陸和香港兩地電子簽名互認的司法框架下

224、合法開展，深圳 CA 依據中華人民共和國電子簽名法粵港電子簽名互認策略等法律法規簽發的數字證書簽署的文件，在中國大陸和香港具有法律效力。4.2.1.案例背景內地與香港居民在銀行開戶的跨境開戶的需求確實受到一些監管限制，通常需要他們在銀行所在地區進行面審和簽署協議，以確保開戶人的合規性。這種做法不僅效率低下，而且給客戶帶來了不便。為了解決這一痛點，在粵港兩地電子簽名證書互認辦法的框架下，深圳 CA 結合自身產品能力，提出一套在內地和香港均合規的銀行跨境電子簽署方案。4.2.2.技術方案（1）方案思路方案思路為滿足銀行的業務需求，深圳 CA 將項目中多個標準產品進行組合，并結合銀行業務系統特點進行

225、定制化改造。主要涉及如下產品和服務：大陸居民、香港居民身份核驗、跨境數字證書、嵌入客戶方 APP 的身份核驗 SDK、嵌入客戶方web 端的電子簽署頁面、支持簡體中文/繁體中文/英文的顯示界面和短信服務等。61（2）方案實現流程方案實現流程深圳 CA 根據銀行遠程在線開戶業務中對申請用戶身份的認證需求，以及跨境電子認證服務的業務規范，以 PKI/PMI（PKI：公鑰基礎設施；PMI：授權管理基礎設施）技術為基礎，依托深圳 CA 作為第三方 CA 機構所提供的電子認證服務為核心，為銀行建一個完整的電子認證服務平臺。通過銀行在線開戶系統集成深圳 CA 的相關 SDK 控件和接口，在銀行部署業務簽署

226、平臺并與深圳 CA 的身份認證服務平臺、證書簽發系統、證書管理系統實現無縫對接，為遠程開戶業務提供完善的身份鑒證、在線簽署、粵港互認等服務。本項目總體架構如圖 2所示：圖 2 跨境電子簽署服務平臺總體架構圖4.2.3.方案創新點和亮點本項目將大陸居民身份核驗SDK及香港居民身份核驗SDK同時集成在銀行的 APP 上，大陸香港兩地客戶通過同一銀行 APP 辦理所需的銀行業務，客戶通過選擇不同身份證進入不同核驗流程。采用 H5 簽署的方式，將深圳 CA 的電子簽署集成到銀行的網頁端，產品體量輕，實施效率高，客戶體驗感好。4.2.4.應用效果通過此項目，推進了大陸客戶在香港銀行開設商業銀行賬戶的進程

227、，為日后吸引更多大陸客戶打下了基礎。香港市場采用了香港居民身份核驗平安方案，擺脫了該行只有一家供應商的局面。在電子簽署方面，首次采用基于數字證書+密62碼學的更安全的電子簽署方案。在整個香港銀行業，大陸居民線上開戶仍處于一個早期發展的時期，客戶借此項目，走在整個行業前面，為促進兩地金融科技合作提供了范本。圖 3 跨境電子簽署服務平臺網絡傳輸路徑圖4.3.跨境芯片研發：M2&SKC 芯片數據跨境安全計算為了降低 HBM IP 流片失敗的成本，國內芯片設計公司 M2 需要更專業的境外芯片設計公司 SKC 幫助其進行設計調優和制造測試。因此，兩家公司需要使用對方的數據進行加密隱私計算，以獲取最直接的

228、提高流片成功率的設計方案。由于項目涉及跨境數據流通，為了保證監管合規并盡量降低數據泄露風險，兩家公司需要第三方中立 IT 服務商 UCloud 安全屋數據沙箱托管數據，并提供隱私計算、算力、存儲、網絡和安全服務。4.3.1.案例背景（1）業務挑戰業務挑戰首先，由于芯片設計制造行業算法成本及隱私加密難度高，全部為定制化流程，沒有任何可參考經驗。隱私計算部分涉及核心數據，且不能繞過 EDA 算法層。其次，由于合規及數據風險評估需求，漫長的 POC 測試過程導致前期推進63幾度停滯，商務及技術側的對接失位導致項目受限于商務談判能力效率滯后；合同談判過程亦受技術側進度和國內外數據安全政策變化影響。最后

229、，跨境合規要求及隱私計算性需要能跟上用戶交付時效性要求。（2）技術挑戰技術挑戰首先，由于存在數據泄露風險，芯片數據部分明文規定，需要用合同條款約束使用方行為。其次，由于數據的類型是非常規的，數據包量級基本 3T 以上，且由專業程序應用打開，相當于流通的加密數據包，EDA 算法嵌入對于安全檢測有非常規要求，標準 MPC 產品難以實現。最后，隱私安全與可用性難平衡。作為巨量算力項目且有時效性要求，對于隱私計算部分的加密程度需要做出部分犧牲，且需要客戶允許 MPC 介入核心算法層進行改造，對業務效率進行妥協，通過其他技術手段和流程限制來同步規避數據安全風險。4.3.2.技術方案UCloud 安全屋以

230、成熟產品為基礎核心輸出第三方數據流通服務能力及 MPC服務價值，在關鍵數據層完成價值保護及防竊取工作。UCloud 安全屋采用私有化集群部署，物理上是分布式部署，邏輯上是去中心化協作。此項目中，國內芯片設計公司 M2 作為甲方，國外芯片設計公司 SK2 作為乙方，第三方中立 IT 服務商優得 UCloud 作為丙方，提供隱私計算、算力、存儲、網絡和安全服務。第三方服務商與另外兩方之間不存在業務競爭性，不存在關聯控股競爭性，且在原始能力上能夠幫助甲乙雙方完成軟硬件及實時過程的整體安全合規和組織管理。芯片數據跨境安全計算應用場景的整體框架圖如圖 4 所示。此項目中，國內芯片設計公司 M2 作為甲方

231、，國外芯片設計公司 SK2 作為乙方，第三方中立 IT 服務商優得 UCloud 作為丙方，提供隱私計算、算力、存儲、網絡和安全服務。第三方服務商與另外兩方之間不存在業務競爭性，不存在關聯控股競爭性，且在原始能力上能夠幫助甲乙雙方完成軟硬件及實時過程的整體安全合規和組織管理。芯片數據跨境安全計算應用場景的整體框架圖如 5 所示。64圖 4 整體架構圖圖 5 UCloud 安全屋業務流程圖4.3.3.方案創新亮點在技術升級上，超長前置調試 MPC 嵌入芯片 EDA 編譯，直接對原算法進拆分編譯，使數據加密本身對業務影響降到最低，使用方無感應用。在技術創新上，對原有算法進行最小程度拆分，層 SMP

232、C 隱私計算，疊加層數據沙箱，將隱私加密計算與數據安全流通拆分進，并盡量降低性能損耗，保證業務流暢及項成果交付時效性。654.3.4.應用成效甲方收益及目前成果有，按業務約定，甲方僅獲得最終 PDK 文件，用于其項目的最終流片量產對接，過程文件及數據歸乙方所有，不可被取出。項目截止時，甲方可獲取應用于實際生產的 PDK 文件。甲方商業側對于目前的成果進展表示滿意，從時間效率進度及流片成本層面上極大的降低了無效損耗，提高芯片設計驗證能力。乙方收益有，SKC 側的專家人力價值輸出及知識產權被保護，在這個合作模式下可穩定長期收取費用，并且降低了差旅成本及人員投入數量。與此同時，在雙方合作的中間過程中

233、完整保留數據及工程經驗，幫助其持續保持行業領先的工程經驗值。4.4.跨境數據：中國首單場內跨境數據交易2022 年 11 月 15 日，深圳數據交易所（以下簡稱：深數所），與數庫（上海）科技有限公司（以下簡稱：數庫科技）實現了國內首單場內跨境數據交易，為探索跨境數據流通交易邁出了堅實的第一步，也為推進跨境數據交易制度和規則銜接提供了實踐經驗。這不僅意味著數庫科技的整體實力再次受到權威認可，更標志著數據跨境時代的正式起航。同時，該筆交易也經過了第三方律所合規評估及深數所的交易風險評估及見證。4.4.1.案例背景2022 年 2 月 12 日，深圳市探索開展數據交易工作方案正式通過深圳市委全面深化

234、改革委員會第二十四次會議。其中提及，到 2022 年底初步形成新型數據交易體系框架，到“十四五”期末初步形成全球數據交易市場樞紐，打造 5家左右知名跨境數據商，培育 100 家以上具有技術優勢及特色應用的中小型數據商。深數所自成立以來，廣泛對接央地各級部門以及跨行業多種類市場主體，開展調研與業務對接，積極探索跨境數據交易，已經與香港生產力促進局簽訂“跨境數據流通試點合作框架協議”，正在推進首批跨境數據交易，場景覆蓋金融、電商、互聯網、醫療行業。4.4.2.整體方案（1）數據產品介紹數據產品介紹此次數庫科技與知名境外頭部對沖基金交易的標的為“數庫 SmarTag 新聞分析數據”。該數據產品屬于原

235、創數據集，是深數所重點推進首批跨境數據交易之66一，通過公司在自然語言處理領域的旗艦級新聞標簽解析引擎 SmarTag 生產。SmarTag 主要通過自主研發的 NLP 算法將市場中的高頻非結構化新聞資訊轉化為機器可讀的結構化元數據。這一產品主要通過自然語言處理算法對國內主流網站的財經及行業新聞資訊進行提取加工，形成標簽化數據，在剔除個人信息、新聞標題及新聞內容后，向境外客戶提供。在技術層面，SmarTag 以多種深度學習和機器學習技術為基礎，將對新聞的分析轉化為多種自然語言處理任務的組合。由于各任務存在一定的重合，分析過程采用有向無環圖的形式調度各項算法。產品架構圖如圖 6 所示。圖 6 數

236、庫 SmarTag 新聞分析數據產品架構圖（2）數據數據出境目的與方式出境目的與方式境及境外數據接收方的數據處理在金融行業投融資領域的應用，包括為資產管理機構的量化分析、優化二級市場的策略決策提供支持等。交易數據以數據表及宇段說明的形式，上傳至 SFTP 服務器，供境外接收方訪問、下載及存儲。相關協議中約定了數據接收方的處理方式，并且均對數據接收方的轉售或對外提供限制、數據安全保護及責任承擔進行了約定。（3）數據出境涉流程數據出境涉流程數庫科技數據交付過程包含數據文件生產、數據文件授權、數據文件推送、67數據文件入庫的環節。如圖 7 所示：圖 7 跨境數據交易流程圖在數據存儲安全方面，數庫科技

237、數據庫系統使用主備模式，從庫用來進行數據的備份。另外，數庫科技對數據庫數據進行日度備份并使用多臺機器存儲。對于本地的數據 NAS 服務器，硬件磁盤通過定義 raid 的不同級別來增加磁盤可靠性。此外，還通過為對象存儲提供 SSE-KMS 默認加密、為數據庫使用 AES-256進行數據加密來保障數據存儲的安全性。在數據傳輸安全方面，針對數據傳輸過程可能面臨的被中斷、截獲、篡改、偽造等風險，數庫科技采取以下措施控制風險：1)采用負載均衡技術，通過服務冗余的方式，將相同的應用部署到多臺機器上，解決訪問統一入口問題，實現流量分發。這樣，即使面對大量用戶訪問、高并發請求或非法請求/攻擊時，也能保障數據傳

238、輸服務的可用性。2)采取防火墻技術有效隔絕外網非法入侵內網的風險，同時使 IP 白名單策略進行身份驗證，有效拒絕非授權的訪問請求。3)通過 SSL、HTTPS 和 SSH 等網絡加密協議，保障數據傳輸通道的保密性，避免數據被截獲。4)通過基于 SHA256 的 Hash 校驗算法，保障數據傳輸的完整性。5)使用基于 RSA2048 的非對稱加密算法，及私鑰加簽、公鑰驗簽的數宇簽名68方式，保障數據傳輸不被篡改、偽造。（4）數據出境法律法規要求數據出境法律法規要求數庫科技委托廣東北源律師事務所開展合規評估，廣東北源律師事務所針對交易主體、交易標的、交易流程三大維度進行客觀獨立地評估并出具法律意見

239、書。同時，深數所對該交易的交易主體基本情況、交易數據情況、交易合同及風險評估情況等多項事宜進行審查并留存了相關記錄?；谙嚓P材料，深數所尚未識別到交易數據涉及個人信息及重要數據的情況，考慮到數據本身為公開數據，且經過標簽化及剔除個人信息、新聞標題及新聞內容的處理，深數所認為數庫科技主動防范了數據跨境交易的安全風險，該交易基本符合法律法規的要求。4.4.3.數據產品創新點和亮點SmarTag 的最大特點在于其標準化的數據體系。算法所提取的公司、行業、產品、地區等標簽都與數庫科技知識圖譜體系中的公司圖譜、產業圖譜等圖譜中的節點對應，并且帶有唯一性的標識 ID。因此，在提取標簽的同時，實體鏈接的問題

240、得以解決，標簽得以對應到知識圖譜上的具體實體，并且在下游應用中可通過知識圖譜進行進一步的圖計算。SmarTag 以自然語言處理技術為基礎，通過對金融資訊的解析、提取和標準化，形成了一套完整的資訊分析算法和系統。這能夠實現對金融資訊的清洗和去重，得以從資訊中提取出公司、行業、產品、概念、事件、地區等多種標準化標簽，分析資訊及資訊中具體主體的正負面輿情，并將標簽等結果注入數庫的數據體系，形成規范化、標準化的知識圖譜，從而實現了對海量資訊的實時分析，為各種金融應用和計算提供了數據支撐。4.4.4.應用成效（1）量化投資應用量化投資應用數庫科技的 SmarTag 可對新聞文本的結構化解析，從而實現對全

241、篇新聞及新聞中的主體情緒解析。并且，通過各維度的標簽及情緒分析數據的結合，可對各公司主體的情緒進行定量研究。同時，也可以構建 A 股全市場的新聞情緒，例如，A 股個股情緒因子、A 股行業情緒指數和 A 股市場情緒指數等，為相關量化人士提供更多 Alpha 挖掘機會。（2）榮譽獎項榮譽獎項數庫科技的“智能文檔資訊分析技術服務”榮獲上海市高新技術成果轉化項目。在首屆應用算法實踐典范 BPAA 中，數科科技“智能文檔與資訊分析技術”榮獲“金融算法賽道全球 10 強”。694.5.數字貿易：基于數字貿易資產的融資解決方案融資是中小企業的發展過程中長期面臨的難題，聯易融（Linklogis）基于自身在供

242、應鏈科技方面的領先優勢，與國際清算銀行創新中心啟動數字貿易資產（Digital Trade Asset，DTA）項目，共同探索數字技術在金融領域的應用，推動科技賦能和產品創新，為拓寬中小微型企業融資渠道提供有力支持。該項目提供了一個原型平臺，核心買家及供應鏈上游供應商可利用數字貿易資產實現附條件支付。中小型企業可在未滿足既定條件之前利用 DTA 向機構投資者尋求融資。4.5.1.案例背景（1）行業現狀行業現狀在迅速發展的全球供應鏈格局中，中小微企業在經濟增長和技術創新中發揮著至關重要的作用，為全球經濟和社會發展提供了不可或缺的力量。世界銀行的研究表明，中小企業占所有企業的 90%以上，貢獻了全

243、球 50%以上的就業機會，也在全球供應鏈中發揮著重要作用。盡管中小企業發揮著如此重要的作用，但因為缺乏抵押品或在檔的信用和運營記錄而較難得到傳統投資方的資金支持，面臨著長期的融資難題。（2）業務挑戰業務挑戰在傳統的供應鏈中，核心買家經常以賒賬（Open Account，OA）的方式從一級供應商那里采購貨物或服務，因為核心買家往往具有更強的議價能力。負責交付產品的一級供應商又根據 OA 或信用證（Letter of Credit,LC）條款將某些制造流程外包給二級供應商，或從二級供應商處購買零件或材料。這是供應鏈的基本運作模式。但由于于缺乏抵押品和/或已建立的信用和運營記錄，且保理和發票等貿易融

244、資產品不能實時更新貿易信息，投資者給中小企業的貿易融資意愿大大降低。同時企業運營規模較小，這導致中小企業貿易資金周轉困難，營運風險陡增。4.5.2.技術方案（1）解決方案思路解決方案思路基于傳統的供應鏈結構，聯易融構建了一個原型平臺，核心買家及其供應鏈上的供應商可以在該平臺上使用 DTA 進行交易可編程支付。在不同的貿易階段，DTA 有不同的狀態體現，分別為：未實現的（unrealised）、“確認的（confirmed）”、和“已實現的（realised）”。核心買家根據貿易合同將基于行為、數據和時間的DTA 狀態轉移的條件編碼到智能合約上，當供應鏈上貿易流程的某一環節被確認，DTA 就根據

245、上述預設條件自動完成相應的狀態轉移。當 DTA 的附加條件均70已滿足，下游供應商就可以向發行方兌換 DTA，獲得等值的法定貨幣。通過區塊鏈和智能合約等去中心化技術，充分保障供應鏈上各參與方之間貿易的正確執行與資產的安全轉讓。（2）平臺功能架構平臺功能架構假設必要的監管已經到位，DTA 可由平臺上核心買家要求的商業銀行發行。圖 8 說明了 DTA 在供應鏈上貿易結算中的應用：圖 8 傳統供應鏈中 DTA 的應用流程圖核心買家與一級供應商簽訂采購訂單，然后從 DTA 發行方處獲得 DTA，并使用（與合同金額等額的）DTA 向一級供應商進行有條件付款供應商。DTA可以由核心買家根據時間、行為和數據

246、為條件進行編程預設，預設條件舉例如下：1)基于時間的條件：僅在特定日期向 DTA 接收者付款。2)基于行動的條件：只有當核心買家表示接受付款時，才會向 DTA 的接收者付款。3)基于數據的條件：僅當某個貿易平臺或承運商已發出電子提單時，才會向 DTA 的接收者付款，或者當供應商達到一定的 ESG 級別時，才會向供應商支付獎金。這些條件被編碼在區塊鏈上的智能合約上，一旦滿足預設條件，付款就會自動執行。圖 9 展示說明了在多層級的供應鏈上，DTA 如何應用在發行、轉讓、融資和兌現等場景中。71圖 9 多級供應鏈中 DTA 在發行、轉讓、融資和兌現場景中的應用供應鏈上持有 DTA 的供應商可以通過兌

247、現、轉讓或融資等方式來獲取營運支持：1)兌現：在 DTA 發行處兌現滿足條件的 DTA（見 3a/4a/5a）；2)轉讓：將全部或部分避免雙重征稅條約轉讓給上游供應商，以支付其欠上游供應商的全部或部分債務或應付款項（見 3b/4b/5b）；3)融資：在條件滿足之前，通過 DTA 平臺與投資方（機構投資方）利用全部或部分 DTA 融資。以 DTA 為預付款項去做投資。在這種情況下，投資方承擔的信用風險是來自供應商的履約風險和 DTA 發行方的信用風險的（投資方不承擔核心買家的信用風險，因為索賠是針對 DTA 發行方的）（見 3c/4c/5c）。4.5.3.方案創新點和亮點1)流程創新流程創新：更

248、流暢地銜接供應鏈貿易與中小企業融資的場景。2)模式創新模式創新：運用 DTA 實現貿易信息的實時更新，解決了傳統融資場景中投資方無法及時信息同步的問題，使得中小企業的信用評估變得更快、更容易，也提升了投資者的投資意愿。3)融資方式創新融資方式創新：核心買家可利用 DTA 實現附條件支付，中小型企業可在未滿足既定條件之前利用數字資產向機構投資者尋求融資。這不僅為中小型企業開拓了空前豐富的融資選擇，也為投資者開辟了新的投資機會。4)科技創新科技創新：本項目方案展示了去中心化金融技術在貿易金融行業領域的創新運用，它提供了一個突破性原型，用數字資產用與智能合約技術來促進中小企業在供應鏈上的融資。724

249、.5.4.應用成效中小企業在大多數經濟體中發揮著重要作用，數字貿易資產項目原型可以為以前無法獲得傳統融資的中小企業提供新的融資途徑，從而有助于刺激經濟增長。利用區塊鏈技術，原型平臺還為參與貿易交易的各方以及投資方提供透明和即時可用的貿易信息。這些中小企業基礎貿易和業績記錄的信息將使中小企業的信用評估變得更快、更容易，鼓勵投資者向中小企業提供融資。同時，這也是為投資方開辟新的投資機會。對于核心買家來說，財務彈性更強的供應商意味著供應鏈更具彈性，可以促進其建立更穩健、更綠色、更具社會責任感的供應鏈。4.6.跨境金融：港股開戶跨境可靠電子簽署為了實現大陸居民、香港居民在線開立香港地區銀行賬戶，深圳

250、CA 在項目中對持不同身份證件的兩地居民提供統一標準的身份核驗服務、數字證書服務和電子簽署服務。且本項目在大陸和香港兩地電子簽名互認的司法框架下合法開展，深圳 CA 依據中華人民共和國電子簽名法粵港電子簽名互認策略等法律法規簽發的數字證書簽署的文件，在中國大陸和香港具有法律效力。4.6.1.案例背景隨著各行各業信息化的迅猛發展，傳統的商業模式逐漸轉變成互聯網的方式，證券行業同樣需要順應互聯網的潮流，基于互聯網模式的證券網上開戶業務不僅有利于證券公司快速占據客戶群和拓展業務中取得先機，同時互聯網業務的運行成本低、覆蓋面廣的優勢也將很好解決證券公司網點少、分布不均問題，促進券商業務創新與發展。為了

251、實現大陸居民遠程完成港股賬戶開立全流程，深圳CA 港股開戶電子認證服務平臺對持身份證件的大陸居民提供統一標準的身份核驗服務、數字證書服務和可靠電子簽署服務。4.6.2.技術方案（1）方案思路方案思路港股開戶電子認證服務平臺是深圳 CA 依托于跨境粵港互認電子認證服務資質，基于 PKI/CA 密碼技術，圍繞港股無紙化網上開戶業務場景與需求，建設的跨境電子認證及簽署服務平臺，為港股網上開戶提供可靠電子簽名服務，確保網上開戶與傳統線下紙質開戶協議具備同等法律效力，為券商業務創新提供支撐與保障，實現大陸居民無需現場面簽，即可遠程完成港股賬戶開立全流程。73（2）方案流程實現方案流程實現深圳 CA 根據

252、港股遠程開戶業務中對申請用戶身份的認證需求，以及跨境電子認證服務的業務規范，以 PKI/PMI 技術為基礎，依托深圳 CA 作為第三方 CA機構所提供的電子認證服務為核心，為券商提供一個完整的跨境電子認證及可靠電子簽署服務平臺。通過券商開戶系統、APP 集成深圳 CA 的相關 SDK/H5 組件和接口，在券商部署簽署服務系統并與深圳 CA 的身份認證服務平臺、證書認證系統實現無縫對接，為大陸投資者港股遠程開戶業務提供完善的身份鑒證、證書簽發、在線簽署、電子存證、粵港互認等服務。本項目總體架構如圖 10 所示：圖 10 深圳 CA 港股開戶電子認證服務平臺總體架構圖4.6.3.方案創新點和亮點本

253、方案將大陸居民身份核驗及電子簽署 SDK/H5 組件集成在券商的 APP 上，大陸客戶可通過券商 APP，無需現場面簽，即可遠程完成港股賬戶開立全流程。產品體量輕，實施效率高，客戶體驗感好。4.6.4.應用效果通過此項目，極大推動了大陸客戶在香港股市開設賬戶，投資港股的進程，也為日后香港資本市場吸引更多大陸客戶打下了基礎。目前深圳 CA 已經與超過六十家國內及香港券商合作，為近 400 萬客戶提供港股開戶在線電子認證及可靠電子簽署服務。多家券商通過實施此港股遠程開戶項目，使得港股開戶業務走在整個行業前列，也為促進兩地金融科技合作提供了范本。744.7.衛生健康：跨境就醫結算服務平臺久遠銀?？缇?/p>

254、就醫結算服務平臺支持跨區域和跨境接入，實現就醫和結算信息共享及業務對接，平臺支持機構快速接入及醫療保險快速結算賠付和機構監管等業務?？缇尘歪t結算服務平臺提供了機構間互聯互通、線上一站式快賠和監管等功能，并支持多方聯合確認對象資格、多方審核互認、多方整合賠付路徑及確認理賠結果等業務，能夠縮短報銷等待期，提高結算和賠付效率，并有效支撐對騙保行為的監管等。4.7.1.案例背景隨著粵港澳大灣區建設的加速，灣區內居民交流日益密切，越來越多港人到大灣區就醫，也會有大陸居民赴港就醫的情況，涉及基本醫保和商業保險等一站式賠付和監管需求，傳統理賠模式存在報銷等待期長、報銷手續復雜、報銷需提交材料多，和個人需要對

255、接多家保險公司等問題，并且由于數據不互通，有可能違反誠信原則，存在騙保行為，監管難度大。表 2 醫?？赡艽嬖诘馁r付群體情況和傳統理賠步驟4.7.2.技術方案（1）方案思路方案思路跨境就醫結算服務平臺的核心機制在于其實現了大陸醫療保障、大陸醫療機構、香港醫療機構、香港健保和香港商保公司、大陸商保公司之間的數據共享與業務協同。在嚴格遵守數據不出境的前提下，該平臺通過患者（保險消費者）的授權，針對性地解決了理賠難、報銷速度慢以及手續繁雜等長期以來的痛點。這75一創新舉措不僅極大地提升了醫療保險的消費體驗，也顯著提高了商保賠付的準確率和效率，同時降低了管理成本和風險。（2）功能結構功能結構跨境就醫結算

256、服務平臺主要由跨境就醫理賠中心、跨境就醫數據中心和管理規范體系三個核心部分構成。其中，跨境就醫理賠中心是處理所有理賠申請的核心機構，負責確認理賠對象的資格、實施多方審核互認，并提供線上一站式快賠服務?？缇尘歪t數據中心則是處理所有醫療保障數據、醫院醫療數據、商保數據的關鍵機構。該中心對所有數據進行集成和治理，確保數據的準確性和共享的統一管理。這個中心包括數據處理子系統和數據監測子系統，用以實現高效的數據處理和實時監測。管理規范體系是跨境就醫結算服務平臺的重要組成部分，它制定了一套全面的跨境醫商協同業務規范。這些規范對醫療保障、醫療機構與商保公司之間的數據共享和數據產品應用進行了嚴格的約束，包括保

257、險產品登記、項目登記、數據使用申請、參保人授權等方面的詳細規定。這一體系旨在確保所有數據的合法使用，保護參保人的隱私權，并進一步提升了整個平臺的規范性和高效性。（3）平臺架構平臺架構平臺的總體框架分為“五層二體系”，如圖 11 所示：系統接入層包括醫療機構接口、醫保系統接口、商保理賠接口，可以通過接入這些接口來連接不同的系統，實現數據的共享和交互。應用服務層包含跨境就醫結算服務平臺的雙中心及所有應用，提供平臺的所有業務處理和數據處理。應用支撐層包括任務管理引擎、控費規則引擎和風控規則引擎等，這一層為上層的應用程序提供了各種支撐服務，用于處理特定的業務需求。數據資源層包括三目病種庫、醫院知識庫、

258、結算清算庫等，涵蓋了系統運行所需的各種數據資源?；A設施層包括云計算平臺、分布式存儲和云虛擬網絡等，提供了平臺的基礎運算資源和網絡支持。商保理賠數據標準體系和數據安全保障體系可以提高商保理賠效率和準確性，保護保險公司信息安全和客戶隱私。76圖 11 跨境就醫結算服務平臺框架結構圖（4）業務流程業務流程跨境就醫結算服務平臺是一個集數據處理、業務處理和醫療服務支持于一體的先進平臺。該平臺的核心是數據中心，它負責處理和存儲來自香港的商業保險數據和理賠模型，這些數據和模型是支持跨境就醫結算服務的核心組件，為平臺的運行提供了重要的參考依據。參保人在深圳醫院就診后，可以通過線上申請理賠并簽署授權。申請后，

259、平臺通過接口獲取醫療保障數據中臺及就診醫院 HIS的基礎數據，在數據中心進行數據清洗、數據確權、數據加工、數據流通等處理，處理完的數據將導入一站式理賠子系統。在理賠子系統中，會根據商保數據和理賠模型進行自動化的理賠計算，減少人為錯誤的可能性，提高理賠處理的效率和準確性。計算得出的理賠結果將輸出給香港商保公司，并經其確認無誤后，商保公司即向參保人賠付相應的金額。平臺業務流程圖如圖 12 所示。圖 12 平臺業務流程圖77（5）技術架構技術架構跨境就醫結算服務平臺的技術架構能夠實現高效的數據采集、處理和分析，保障數據的安全和隱私。同時具備可擴展性和靈活性，能夠適應不斷變化的需求和業務場景。圖 13

260、 跨境就醫結算服務平臺技術架構圖4.7.3.方案創新點和亮點跨境就醫結算服務對數據安全和隱私保護的要求較高，為此平臺采用了多重安全技術與策略。首先，平臺應用數據脫敏技術，包括動態脫敏和靜態脫敏，以保護患者等敏感信息的真實性和隱私性；平臺采用數據加密技術，以確保數據的完整性和機密性，防止未經授權的訪問和泄露；平臺引入了數據水印技術，能在數據中添加難以察覺的溯源信息，以便在數據發生泄露時能夠迅速定位源頭，及時采取應對措施；平臺運用數據沙箱技術，在保證數據安全的同時，確保數據的使用和分析過程完全在安全的環境中進行；平臺采用 API 安全監測與訪問控制技術，能夠實時監控并識別敏感數據的流動風險，從而及

261、時發現并阻止任何可能的安全威脅，保證數據的安全與穩定傳輸。4.7.4.應用效果跨境就醫結算服務平臺對患者（保險消費者）、商保公司、醫療機構和醫療保障部門都有明顯的好處?；颊撸ūｋU消費者）無需再為了理賠而奔波于香港、大陸和醫院、醫保局、保險公司之間，大大簡化了流程。商保公司不再需要投入大量的人力物力去核實理賠78申請的真實性和完整性，因為平臺已經實現了對醫療數據的實時抓取和驗證。這不僅提高了理賠的效率和準確率，也降低了商保公司的運營成本，提高了他們的工作效率。通過平臺，醫療機構可以減輕工作負擔，使其能夠專注于提供醫療服務。通過與商保公司的信息共享，醫療機構可以及時獲取理賠情況，這有利于提高醫療資

262、源的合理配置。4.8.跨境征信：海外用戶信用風險評估報告本案例涉及某大型貿易公司，該公司在全球范圍內經營業務，業務板塊涉及大量海外貿易場景。由于海外貿易的復雜性、不確定性及信息不對等，導致該公司對其海外客戶及供應鏈上下游合作伙伴的信用風險評估存在挑戰。為了有效管理這些海外客戶及供應鏈上下游合作伙伴風險并保護自身利益，該公司決定引入中誠信征信有限公司（簡稱“中誠信征信”）的海外用戶信用風險評估報告。4.8.1.案例背景在國際貿易中，合作客戶及供應鏈合作伙伴信用風險是一個重要的考慮因素。由于交易雙方可能存在信息不對稱、資金鏈斷裂等問題，導致交易無法按時完成或出現違約情況，應收賬款違約損失常年高于

263、5%；信用交易訂單的處理時效低于行業平均水平，也導致公司損失大量業務，限制了業務規模的增長。該大型貿易公司前期希望通過一系列海外報告來監控和管理其海外客戶及供應鏈之間的信用違約風險，以便及時采取措施減少損失，同時為業務規模增長提供支持。4.8.2.技術方案在該案例中海外用戶信用風險評估報告,是中誠信征信通過收集和整合來自不同渠道的數據，包括海外供應商和海外客戶的信用評級、財務狀況、經營活動、訴訟負債等數據，以及中誠信征信基于近 20 年在企業信用風險評估領域積累沉淀的風險評估維度和指標，最終生成滿足客戶需求的各種類型的海外信用報告，提出風險分析觀點和風險評級結果；幫助用戶識別其海外客戶潛在信用

264、風險，并生成相應的預警信號,方便用戶監控海外客戶及供應商信用風險狀況并進行決策。圖 14 為用戶信用風險評估報告的處理系統的作業流程示意圖，實際以落地系統為準。79圖14 用戶信用風險評估報告處理系統作業流程示意圖（1）技術特點技術特點1)數據收集和整合：系統基于 CCX 編碼進行數據的深度關聯和檢索，從多個渠道獲取相關數據，包括公共數據、企業財務報告、社交媒體、生產經營等。2)機器學習算法：系統使用監督學習和無監督學習算法對數據進行分析和建模，以識別潛在的信用風險。3)知識圖譜：系統通過知識圖譜和 NLP 算法，挖掘各主體之間的各類關聯關系，通過各類關系及關聯方的串聯識別與展示，排查多維度風

265、險事件，防止風險蔓延。4)分析和評價結果可視化：系統將模型結果用可視化圖表的形式展現，使用戶能夠快速了解信用風險狀況，并做出相應決策。（2）技術架構技術架構該系統采用分布式架構，包括數據采集模塊、數據處理模塊、模型訓練模塊、風險預警模塊和可視化展示模塊等。各個模塊之間通過 API 進行數據交換和通信。（3）工作工作/業務流程業務流程1)數據采集：系統從不同渠道收集相關數據，包括客戶的信用評級、歷史交易、財務狀況、工商信息、司法信息、生產經營數據等。2)數據處理：系統對采集到的數據進行清洗、轉換和整合，以便后續分析處理。3)模型訓練：系統利用機器學習算法對數據進行訓練和建模，以識別潛在80的信用

266、風險。4)風險預警：系統根據模型的結果生成相應的預警信號，提醒用戶注意潛在的信用風險。5)決策支持：用戶可以查看風險評分結果，了解信用風險狀況，并根據建議額度和自身需要進行相應決策。4.8.3.方案創新點和亮點該系統通過人工智能技術和大數據分析技術，搭建企業評級模型和風險監測模型。能夠幫助貿易類進出口公司篩選優質的客戶，實時監測和管理與客戶之間的信用風險，及時發現潛在問題并采取相應措施，從而降低違約風險和損失。同時，系統提供的可視化圖表使用戶能夠直觀地了解信用風險狀況，并做到決策流程和審批流程留痕，支持科學決策。4.8.4.應用效果該案例中海外用戶信用風險評估報告,在該公司正式使用后取得了顯著

267、的應用成效。圖 15 為報告模板示意圖，實際報告以落地為準。圖 15 征信報告模板示意圖81（1）風險篩查，提高客戶質量風險篩查，提高客戶質量通過海外用戶信用風險評估報告，快速完成海外客戶及供應商的篩選，精準識別優質客戶及供應商，極大提高準入篩選效率，提升了對其質量的判斷能力，不僅從事前就降低了客戶及供應商的信用違約風險，而且使業務規模提高 200%。（2）科學審批，提高效率和準確性科學審批，提高效率和準確性該公司業務審批決策流中融入海外用戶信用風險評估報告，幫助補足該公司海外客戶及供應商信用風險評估數據空缺，使其單位時間內的訂單審批數量提高了 150%，審批效率提高 100%，決策更有科學依

268、據。（3）動態監測，提高風險處置效率動態監測，提高風險處置效率通過對客戶信用風險的定期監測和管理，該公司成功降低了違約風險和損失。（4）風險可視化，提高風險感知風險可視化，提高風險感知海外用戶信用風險評估報告內，針對海外客戶及供應商信用風險情況，內置多款的可視化圖表和風險評估數據，使決策鏈各環節,能夠更好地了解海外各客戶及供應鏈合作伙伴信用風險狀況，并及時做出決策。4.9.健康醫療：臨床試驗數據跨境合規在全球醫療創新和數字化高度發展背景下，健康醫療數據的跨境流動需求日益增多。在臨床研究中，有時需要通過國內外高水平的多個醫學中心合作研究和跨境數據對比分析，研究某種新技術或者新療法的療效。醫療機構

269、基于臨床研究跨境合作需求，開展數據出境安全評估申報，并成功獲得審批，由此，該國際多中心臨床研究項目成為數據合規出境示范案例。本案例介紹信聯科技作為此項目的支撐單位，通過優質的數據出境咨詢服務，協助醫療機構實現數據跨境合規。4.9.1.案例背景（1）法律層面難點法律層面難點根據數據出境安全評估辦法第五條規定，開展數據出境風險自評估，應重點評估以下事項：1)數據出境和境外接收方處理數據的目的、范圍、方式等的合法性、正當性、必要性；2)出境數據的規模、范圍、種類、敏感程度，數據出境可能對國家安全、公共利益、個人或者組織合法權益帶來的風險；3)境外接收方承諾承擔的責任義務，以及履行責任義務的管理和技術

270、措施、82能力等能否保障出境數據的安全；4)數據出境中和出境后遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等的風險，個人信息權益維護的渠道是否通暢等；5)與境外接收方擬訂立的數據出境相關合同或者其他具有法律效力的文件等（以下統稱法律文件）是否充分約定了數據安全保護責任義務；6)其他可能影響數據出境安全的事項；以上評估事項涵蓋臨床研究、法律和數據安全等多種維度的合規性，評估報告涉及專業方向多而廣，數據出境自評估難度較大。（2）業務層面難點業務層面難點健康醫療數據在跨境合規的評估過程中，醫療出境數據種類繁多，涵蓋了病人的病歷、診斷結果、治療方案、藥品信息等敏感信息，同時也包括了醫生的學

271、術研究、醫療系統的運營數據等重要信息。這些數據的梳理面臨諸多困難，如數據量大、處理復雜度高、涉及的隱私和安全問題多等，因此需要專業的第三方數據跨境服務機構協醫療機構開展數據跨境合規建設。4.9.2.合規方案（1）數據出境安全評估具體流程數據出境安全評估具體流程依據數據出境安全評估申報指南（第一版），相關醫療數據出境評估流程如下圖所示：圖 16 數據出境安全評估流程（2）自評估工作流程自評估工作流程本次自評估咨詢服務分為五個階段：確定評估范圍、制定評估計劃、收集評估信息、開展評估工作和形成評估報告。83圖 17 自評估流程圖各階段的實施過程說明如下：1)確定評估范圍：首先，需要明確數據出境的范圍

272、和內容，確定需要進行安全評估的出境活動和數據類型。2)制定評估計劃：根據確定的評估范圍，制定詳細的評估計劃，包括評估時間、評估人員、評估方法等。3)收集評估信息：收集與數據出境相關的信息，包括出境活動的具體情況、數據類型、數據量、數據用途、數據安全措施等。4)開展評估工作：根據制定的評估計劃，開展評估工作，對數據出境的安全性進行評估。需要評估數據出境活動是否符合法律法規的要求，是否采取了必要的措施來保護數據安全。5)形成評估報告：在評估工作結束后，形成評估報告，包括評估結果、評估結論、建議等。需要明確指出數據出境活動存在的問題和不足，并提出改進建議。4.9.3.方案創新點和亮點信聯科技在數據資

273、產梳理、數據安全保障能力評估、數據安全體系建設等方面對醫療機構（數據處理者）進行深入評估并設計相關整改方案。（1）在出境數據層面在出境數據層面，信聯科技通過盤點醫療機構數據資產，梳理出境臨床醫療數據的規模、范圍、種類、敏感程度，識別出境數據中是否包含敏感個人信息或重要數據，是否存在不必要的出境數據等。針對出境數據風險，引導醫療機構篩除不必要的數據出境字段，對敏感個人信息和重要數據采取脫敏、去標識等必要的技術手段，以降低出境數據可能對國家安全、公共利益、個人或者組織合法權益帶來的風險。（2）在業務層面在業務層面，信聯科技協助醫療機構梳理業務流程，識別其是否與當前國家法律法規要求、行業主管部門規定

274、和國家標準建議等存在差距。針對業務合規性風險，引導醫療機構在業務流程中增加數據出境合法性確認環節，例如向個人告知境外接收方的名稱或者姓名、聯系方式、處理目的、處理方式、個人信84息的種類以及個人向境外接收方行使本法規定權利的方式和程序等事項，并取得個人的單獨同意。（3）在數據安全體在數據安全體系方面系方面，信聯科技通過人員訪談、查驗安全管理制度，識別醫療機構是否明確數據安全管理機構、設立數據安全負責人、建立數據安全管理制度體系、落實管理監督考核機制等。針對數據安全風險，建議醫療機構建立或完善數據安全管理組織架構，設立數據安全負責人等關鍵崗位，健全數據處理活動全流程、數據分類分級、應急處置、個人

275、信息權益保護等管理制度，并建立數據安全技術保障機制，搭建數據出境風險防控體系。4.9.4.應用效果（1）強化數據跨境制度保障強化數據跨境制度保障，信聯科技協助醫療機構全面建立包括但不限于明確數據跨境傳輸管理機制，建立數據跨境合規評估制度與流程，建立出境數據分級分類目錄及重要數據目錄，提升醫療機構數據跨境安全保障能力。（2）培育數據跨境合規理念培育數據跨境合規理念，以數據跨境法規為指引，推動醫療機構樹立全面數據跨境合規理念，納入機構數據治理的宏觀策略管理，實現與機構高層領導、業務管理、骨干員工達成數據跨境業務合規共識。（3）賦能賦能健康健康醫療跨境合作醫療跨境合作，本次成功案例為強化醫療健康數據

276、出境安全管理、促進國際醫療研究合作提供了參考示范和實踐指引，推動醫學的進步并造福于患者，為提升全人類生命健康水平作出貢獻。4.10.跨境貿易：基于區塊鏈的兩岸跨境貿易商品溯源系統為促進兩岸經貿文化交流深度融合，中共中央國務院和福建省政府出臺了一系列政策措施，包括支持兩岸企業在數字經濟領域開展合作、推進數字基礎設施建設、促進數字經濟與實體經濟深度融合等。兩岸跨境貿易商品溯源應用以促進兩岸數字經濟融合發展為目標，廈門海峽鏈科技有限公司，與兩岸企業攜手合作，運用區塊鏈、IPFS 分布式存儲、去中心驗證器等技術，構建了兩岸跨境貿易商品溯源系統，助力兩岸貿易合作、商品數據協同，促進兩岸數字經濟融合發展。

277、4.10.1.案例背景根據海關總署的統計數據，2022 年 1 至 11 月，兩岸貿易總額已達到 2943.9億美元。隨著兩岸產業合作的不斷深化，產業鏈供應鏈基本穩固，越來越多的商品需要在海峽兩岸之間進行跨境貿易，跨境貿易需求逐年穩步增長。然而，由于兩岸在政策、基礎設施、行業標準、技術規范等方面存在差異，導致了數據孤島85效應，這極大限制了兩岸商品數據的跨境流通和應用，嚴重阻礙了兩岸實體經濟和數字經濟的融合發展。因此，兩岸企業之間迫切需要一套低成本且可信賴、多方協同的跨境貿易商品數據流通方案。這套方案需要在確保商品數據的安全性和防止篡改的前提下，高效地進行商品數據協同與應用，從而加速兩岸數字經

278、濟的融合發展。4.10.2.技術方案（1）解決方案思路解決方案思路海峽鏈為兩岸跨境貿易商品溯源應用提供了關鍵的技術支持，包括區塊鏈底層平臺、IPFS 分布式存儲以及 SC-DValidator 去中心驗證器等。這些技術的應用在很大程度上保障了貿易商品數據的安全性和共享效率。區塊鏈技術的分布式、公開透明和防篡改特性為應用提供了堅實的基礎。同時，IPFS 分布式存儲基于內容的快速尋址和數據永久保存等特性，進一步增強了數據的可靠性和安全性。在兩岸跨境貿易商品溯源應用的設計中，充分考慮了數據的采集、存儲、驗證和共享等各個環節的需求，結合區塊鏈、物聯網以及數字簽名技術，對貿易商品數據進行采集、加密、上鏈

279、、存證，實現安全高效的數據確權、驗證和共享。通過引入去中心驗證器和 IPFS 分布式存儲等關鍵技術，應用實現了第三方系統數據的快速核驗上鏈和分布式加密存儲，從而進一步保障了貿易商品數據的安全性和可靠性。（2）系統框架與功能模塊系統框架與功能模塊兩岸跨境貿易商品溯源應用基于區塊鏈、IPFS 分布式存儲、去中心驗證器等技術構建，并結合了物聯網、第三方物流系統和供應鏈系統。如圖 18 所示，應用分為四層架構，從下到上依次是區塊鏈層、服務層、物理層以及應用層。1)區塊鏈層：整個系統的基礎，為數據提供安全保障，確保數據的不可篡改和透明性。其中包括 P2P 網絡、共識算法、智能合約、數字簽名、IPFS 去

280、中心化存儲、分布式身份標識、去中心驗證器等海峽鏈基礎設施。2)服務層：連接區塊鏈層和物理層，負責管理和操作數據，確保數據的準確性和實用性。提供從品牌到商品的精細化溯源管理服務，包括品牌商管理、信息上鏈管理、溯源查詢、溯源統計、溯源碼管理、產品管理等。3)物理層：配合應用層，結合物聯網技術和物理設備，進行數據采集和數據協同。支持一物一碼錨點商品，提供多標識（如條形碼、二維碼、RFID、NFC芯片）的全生命周期管理，包括規則配置、標識生成、查詢標識、下載標識。86圖 18 兩岸跨境貿易商品溯源應用技術架構圖4)應用層：是最接近用戶的層級，主要負責數據的展示和交互，為各個應用提供數據支持。支持通過

281、API 接入第三方物流系統、PAD 或掃碼設備的數據，可在小程序、H5、Web 多端展示商品溯源信息、客群分布熱力圖、掃碼統計等功能。在跨境貿易業務流程中，涉及到多角色和多場景的數據協同。兩岸跨境貿易商品溯源應用以區塊鏈和 IPFS 去中心化存儲技術為架構基礎，確?？缇迟Q易業務流程中數據協同的高效、穩定和真實性。同時，支持產品從生產制造到終端銷售的全流程信息記錄上鏈，并通過微信小程序或區塊鏈瀏覽器，讓消費者快速查驗商品。兩岸跨境貿易商農品溯源應用數據上鏈流程如圖 19 所示。圖 19 兩岸跨境貿易商農品溯源應用數據上鏈流程圖 20 是臺灣某有機茶廠的祈韻紅茶的數據采集示例：茶園物聯網設備實時采

282、集茶葉生長環境數據，如氣溫、濕度、土壤 PH 值和蟲情，并通過 IPFS 進行分布式存儲，上鏈確保數據真實可追溯。平臺利用區塊鏈 NFT 作為憑證，每罐87茶葉產品都鑄有專屬溯源碼。全鏈路數據上鏈保證了商品信息的真實和可信，實現了茶產量和商標用量的數字化精細管理，從而全面提升茶產品質量。圖 21 展示了兩岸跨境貿易商品溯源應用案例。圖 20 兩岸跨境貿易商品溯源應用數據采集示例圖 21 兩岸跨境貿易商品溯源應用案例884.10.3.方案創新點和亮點兩岸跨境貿易商品溯源應用具備以下顯著特點和創新：（1 1）數據透明可溯源數據透明可溯源：區塊鏈的共識機制和鏈式結構，確保數據的透明和可溯源。（2 2

283、）數據安全防篡改數據安全防篡改：利用區塊鏈的不可篡改特性，結合 IPFS 去中心化存儲技術，保障了數據的安全且不可篡改。（3 3）商品唯一可信商品唯一可信：每件商品都通過“一物一碼”的方式進行標識，全流程信息被記錄上鏈，確保商品從生產到銷售每一個環節的唯一性和可信度。（4 4）數字簽名確權數字簽名確權：在信息上鏈的過程中，每一個環節的參與主體都對所負責的環節的上鏈數據進行簽名，確保信息的真實性，不可抵賴和可追溯。（5 5）數據高效協同數據高效協同：貿易商品全流程信息上鏈，確保數據的公開透明和高效協同，解決了多方參與、信息碎片化和重復審核等問題，這大幅降低了溝通和審核成本，提升了跨境貿易的整體效

284、率。4.10.4.應用效果兩岸跨境貿易商品溯源應用已經記錄多家臺灣企業的商品數據信息，涵蓋農業、工業、制造業等多個領域，為兩岸企業在商品溯源、跨境電商等場景提供服務。通過掃描溯源碼，消費者能夠查看產品的真實信息，有效降低購買假貨風險。應用運營的臺灣企業負責人之一在接受大陸媒體采訪時表示：通過兩岸跨境貿易商品溯源應用，將產品信息和相關證書記錄上鏈，從而方便客戶隨時查詢和驗證商品，提高了品牌信用和價值。兩岸跨境貿易商品溯源應用是跨境數據流通的一次全新探索和嘗試，其充分發揮區塊鏈技術的優勢，解決兩岸商品數據孤島問題，為兩岸貿易企業創建高質量的貿易商品數據協同平臺。4.11.跨境電商：跨境數據推動電商

285、企業 ESG 供應鏈改進九鑫智能專注于為跨境電商賣家提供數據管理、決策輔助和智能自動化等技術手段，幫助他們應對存量競爭激烈和增量天花板的挑戰。目前跨境賣家面臨著建立核心競爭壁壘和與低價競爭企業抗衡的問題。本案例客戶應用九鑫智能行業ESG AI 模型實現 ESG 目標的持續評估和核心指標監測，通過對全球供應鏈數據的分析和優化幫助跨境電商賣家大幅降低未銷庫存比，并引入客戶全球市場銷售數據跨境，整合歷史和目標市場數據，利用行業 AI 模型進行分析和模擬，快速重構業務流程，抓住以價值觀為導向的消費群體的新增量機會，實現可持續發展。89圖 22 方案功能展示圖4.11.1.案例背景（1）行業現狀行業現狀

286、中國跨境電商賣家面臨著存量競爭激烈和增量天花板的現實問題。一方面，低價內卷策略下的企業通過迎合全球經濟下行趨勢和消費者對折扣的追求，成為低價市場的領導者。另一方面，中國跨境電商賣家面臨歐美等市場需求減緩的巨大挑戰。在這種極端競爭下，這些賣家的生產發展空間持續受到壓縮。因此企業需要尋求新增量，升級自身的核心競爭壁壘，以應對激烈競爭的局面。（2）業務挑戰業務挑戰1)產品多渠道出海，從“產品第一”到“多渠道出?！毙枰鎸缇畴娚痰奶魬?。2)在不同國家和地區經營跨境電商需要遵守各自的數據、財務、稅務和法律法規。確保數據合規和本土合規是一個復雜的任務。3)在可持續發展的背景下，企業需要承擔社會責任。在跨

287、境電商中，公司需要確保供應鏈的可持續性和社會責任的落實。4)跨境電商的快速發展可能會對環境造成負面影響，綠色生產和環境友好成為必須關注的問題，需要采取措施減少環境影響。（3）應用場景與需求應用場景與需求在不進行重構的前提下，面向后續業務變化、需要靈活調整流程和功能的場景下，客戶希望實現以下需求：1)可持續供應鏈管理可持續供應鏈管理：通過全域數據和跨境數據流通，建立透明、可追溯90的供應鏈系統，以減少資源浪費和環境污染為目標。2)基于基于 AI 和數據驅動的產品設計和數據驅動的產品設計：與全球設計師合作，利用 AI 和數據分析預測市場需求，實現按需生產，從而降低成本和庫存浪費，并減少侵權事件的發

288、生。3)促進可持續消費和經濟增長促進可持續消費和經濟增長：通過降低生產成本，將成本優勢回饋給全球消費者，促進負擔得起的可持續消費。通過可持續轉型創造就業機會，與當地消費市場融合并貢獻經濟增長。4.11.2.技術方案本案例技術方案思路以客戶可以實現全域數據驅動的可持續發展，快速提高ESG 供應鏈相關評分為目標，采用了統分結合的靈活部署方式，實現數據來源授權可獲取、數據分析過程可管理，以及數據執行結果和傳輸可記錄的目標。（1）數據整合與數據整合與共享共享：建立一個統一的數據平臺，整合全球供應鏈和業務部門的數據，實現數據的實時共享與更新。采用安全加密和身份驗證機制，確保數據來源的授權獲取。（2）AI

289、 驅動的預測與優化驅動的預測與優化：建立企業 AI 模型，利用九鑫行業 AI 模型和數據分析技術對全球供應鏈和業務部門的數據進行實時分析和預測。通過預測市場需求、優化生產計劃和庫存管理，實現供應鏈的及時性優化。（3）按需生產模式按需生產模式：基于 AI 預測和需求信號，實現按需生產模式，減少過剩庫存和資源浪費。通過實時數據分析和供應鏈協同，優化生產計劃，提高生產效率和供應鏈的可持續性。（4）減少產品設計侵權事件減少產品設計侵權事件：對設計師方案內容進行內部審查，減少產品設計侵權事件風險。后繼可結合區塊鏈技術，提升知識產權保護，促進全球設計師的合作與創新。（5）供應鏈）供應鏈數據共享與協作數據共

290、享與協作：建立實時數據共享平臺，通過協作工具和溝通平臺，促進企業內部和供應鏈合作伙伴之間的高效溝通和協作。實時數據共享和協作能夠提高工作效率，優化供應鏈的整體協同性。（6）促進可持續消費和經濟增長促進可持續消費和經濟增長：為一些地區建立生產基地，為當地創造就業機會匹配市場擴張需求的項目提供生產成本可控，當地負擔得起的可持續消費選擇，提供可持續消費分析數據，在獲取市場增長同時做好 ESG 專項評估和分析預測。914.11.3.方案創新點和亮點（1）數據整合與實時共享數據整合與實時共享通過建立統一的數據平臺，整合全球供應鏈和業務部門的數據，并實現實時的數據共享與更新。這一特點使得企業能夠獲得準確、

291、全面的數據，同時能夠及時了解市場變化并做出相應的決策。（2）提高數據及時性提高數據及時性數據能夠迅速在全球供應鏈和業務部門之間流動，實時更新和共享。這種實時性的數據流動使得企業能夠更快地獲取最新的市場信息和需求變化，從而能夠更快地做出決策和調整策略。（3）快速響應市場變化快速響應市場變化由于數據平臺的建立和連接可用技術提升數據的實時性，企業能夠更快速地響應市場變化。這種快速響應能力為企業帶來了競爭優勢，提高了市場反應速度和決策的準確性。通過跨境數據流通實現企業內部全域數據流動互通，使得數據分析及時有效顯著提升，讓企業能夠更好地應對市場挑戰和需求變化。全域數據平臺達到供應鏈協作支撐要求，保障在既

292、定時間實現供應鏈 ESG 可持續發展的目標和具體指標。4.11.4.應用效果跨境電商在供應鏈 ESG 挑戰中，可通過跨境數據快速實現數據整合與實時共享、及時響應市場變化，基于數據的準確分析和有效預測可大幅降低消耗對提高供應鏈ESG 評分至關重要，并且有機會通過更好的 ESG 表現獲取新增量市場。本案例以下輸出成果可以為行業應用提供參考：（1）數據整合與實時共享數據整合與實時共享：通過統一數據平臺整合全球供應鏈和業務部門的數據，并實現實時的數據共享與更新。通過提高供應鏈數據的準確性和可靠性，預計可提高供應鏈 ESG 評分約 10%。（2）快速響應市場變化快速響應市場變化：通過準確的數據和實時的信

293、息，該企業能夠更快速地響應市場變化，能夠更及時地調整供應鏈和生產計劃，提高供應鏈效率約12%。（3）可持續發展可持續發展：通過分析提供可持續消費選擇、提供促進可持續消費計劃。預計可持續發展措施將提高整體 ESG 評分約 10%。924.12.數據合規：企業數據出境風險評估A 為中國境內外資企業，向境外 B 企業提供產品和服務，A 企業向 B 企業交付產品和服務同時通過系統提供 A 企業在中國境內運營和收集的相關數據。廣東卓建律師事務所受委托評估 A 企業長期存在的數據出境活動是否合規，以及是否應當立即向網信部門申報數據出境安全評估備案需要從法律方面進行評估，以防范未履行法定義務的法律風險。4.

294、12.1.案例背景根據我國數據安全法個人信息保護法數據出境安全評估辦法規定，關鍵信息基礎設施的運營者需要進行數據出境的應通過安全評估，數據處理者確需向中國境外提供個人信息的，需滿足法定條件，數據處理者進行數據出境應履行法律規定的義務,出境數量達到法定標準還需通過所在地省級網信部門向國家網信部門申報數據出境安全評估,在申報出境安全評估之前應先進行數據出境風險自評估等。數據出境安全評估辦法明確規定，在 2022 年 9 月 1日起前已經開展的數據出境活動，不符合規定的，應當在 6 個月內完成整改，否則應承擔相應法律責任。4.12.2.合規評估（1）聚焦問題及分析思路聚焦問題及分析思路問題問題 1：

295、A 企業在數據出境活動中的具體法定義務有哪些？企業在數據出境活動中的具體法定義務有哪些？個人信息保護法第五十五條的規定，向境外提供個人信息的，應當進行個人信息保護影響評估。通過梳理企業的業務流和數據流，A 企業向境外提供的數據包含個人信息，因此，A 企業應當先就個人信息出境事宜進行個人信息保護影響評估。數據出境安全評估辦法第五條的規定，在申報數據出境安全評估之前，應先進行數據出境風險自評估，自評估應當對包括數據出境的合法性、正當性、必要性等內容進行評估，并制作數據出境風險自評估報告，作為申報數據出境安全評估的材料之一提交。個人信息保護法第三十八條，個人信息處理者因業務等需要，確需向中華人民共和

296、國境外提供個人信息的，應當具備下列條件之一：（三）按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務；數據出境安全評估辦法第六條，申報數據出境安全評估應提交申報書、自評估報告、與境外接收方擬訂立的法律文件、安全評估工作需要的其他材料。根據數據出境安全評估辦法第八條的規定，A 企業與境外接收方簽訂的相應法律文件93應明確約定雙方的數據安全保護責任及義務，確保出境數據的安全以及個人信息權益能夠得到充分保障等。因此，除了自評估報告之外，A 企業還需要與境外接收方訂立網信部門制定的標準合同和相應的法律文件。個人信息保護法第三十九條的規定，如需向中華人民共和國境外提供個人信息的，應

297、當向個人告知境外接收方的名稱或者姓名、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規定權利的方式和程序等事項，并取得個人的同意。因此，針對個人信息出境的情況，A 公司應當采取適當的方式告知相關個人，并取得其同意。數據處理者數據安全保障能力包括數據安全管理能力、數據安全技術能力、數據安全保障措施有效性以及其他應當遵守數據和網絡安全相關法律法規的有情況等。因此，對 A 企業與境外接收方 B 企業的數據安全保障能力需要通過盡調評估和技術測評等手段進行風險排查，以及對于不合規事項應提前予以整改。問題問題 2：A 企業主體資格企業主體資格、出境數據類型出境數據類型、數量以及敏

298、感程度是否達到法定數量以及敏感程度是否達到法定申報評估備案的條件？申報評估備案的條件？通過 A 企業提交的材料、訪談、會議等方式調查了解，A 企業不涉及公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域，未被認定關鍵基礎設施運營者，出境數據類型未列入重要數據白名單，但屬于自上年 1 月 1 日起累計向境外提供 10 萬人個人信息的數據處理者。結合數據安全評估辦法規定，A 企業應當進行申報備案。問題問題 3：A 企業未申報數據出境安評估的法律責任有哪些？企業未申報數據出境安評估的法律責任有哪些？根據數據出境安全評估辦法第十八條、第二十條和個人信息保護法第

299、六十六條的規定，對于已經開展的數據出境活動，應當在數據出境安全評估辦法施行之日（即 2022 年 9 月 1 日）起 6 個月內完成整改；同時，違反數據出境安全評估辦法對于應當向網信辦申報數據出境安全評估但未申報的，可能面臨責令改正、警告，拒不改正的，并處一百萬以下的罰款，直接負責的主管人員或其他直接責任人員則可能被處一萬元以上十萬元以下罰款。如果被認定為情節嚴重的，可能面臨責令改正、沒收違法所得，并處五千萬元以下或者上一年度營業額百分之五以下罰款，暫停相關業務或者停業整頓、吊銷相關業務許可或者吊銷營業執照；直接負責的主管人員和其他直接責任人員則可能被處以十萬元以上一百萬元以下罰款，并可能被禁

300、止在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人。（2）結論結論A 企業應當對現有的數據出境活動進行全面的風險識別，開展相關評估和申報備案工作，否則直接面臨如上所述相關法律責任。具體工作包括但不限于按照94法律規定進行個人信息保護影響評估以及數據出境安全自評估工作，評估內容包括數據出境及境外接收方數據處理的合法性、正當性、必要性、出境可能對國家安全、公共利益、個人或組織合法權益代來的風險等法律規定的內容；另外，還需要準備與境外接收方簽訂網信部門制定的標準合同和相關法律性文件；依法提交申報書等安全評估工作需要的其他材料等。4.12.3.方案創新點和亮點數據出境安全評估辦法

301、 規定了企業的數據出境活動應向監管部門進行申報的條件、提交材料、評估要點、報備流程、備案單位等，且有時限的要求。如果企業不經專項評估直接進行申報，必然造成人力、資金、時間等成本支出，企業的日常運營也會有一定影響，如果不申報，又會直接導致承擔高額處罰和相關責任，對企業經濟、聲譽均會帶來重大損失。因此，對于企業是否應當啟動評估申報備案程序、何時啟動顯得非常重要。本專項風險評估需要投入的工作時間、人力資源、經濟支出以及對業務的影響程度，相較正式的申報評估工作具有周期短、成本低的特點，如本團隊在其他項目中也評估出有的企業不需要向監管部門申報備案，則可以通過認證、自評估報告、標準合同等方式達到監管對數據

302、出境的要求，大大節省了企業的各項成本。因此，通過專業法律分析，及時解決法律施行后對企業影響的不確定性，幫助企業在合規的情形下繼續開展數據出境活動。4.12.4.結語建議數據合規是企業行穩致遠的基礎，數據跨境的違規成本較其他情形的違規成本來說較大，因此，企業提前開展是否需要申報的風險評估，對于企業控制成本與風險具有非常重要的作用，也是充分發揮數據合規律師專業水平，提升企業的合規意識，促進企業高質量發展。95第五章 數據跨境流通與技術應用發展建議目前我國以國家安全法網絡安全法數據安全法個人信息保護法和密碼法等法律法規為框架，國務院、國家網信辦、發改委、工信部、公安部、安全部、財政部等單位相繼出臺了

303、關鍵信息基礎設施安全保護條例商用密碼管理條例網絡數據管理條例（征求意見稿）網絡安全審查辦法數據出境安全評估辦法個人信息出境標準合同辦法數據出境安全評估申報指南（第一版）和規范和促進數據跨境流動規定（征求意見稿）等配套規范性文件，初步建立了數據保護與數據跨境流動管理體系，為我國企業規范數據跨境處理活動、監管單位審查和監督數據跨境處理活動提供了法律依據。數據跨境除了法律上的合規管理的保障，同時也需要在技術上維護安全可信環境，國家鼓勵和支持開展數據流通相關安全技術研發和服務，目前廣泛使用的技術包括但不限于區塊鏈、聯邦學習、安全多方計算等。我國現階段存在市場主體對數據跨境評估審批認知不一、供應鏈風險控

304、制與管理難、技術與標準難適應、合規人才嚴重不足、缺乏安全有效的流通模式等問題，既阻礙了數據跨境的安全有序流通，也影響了企業的數據安全能力建設和跨境業務的發展?，F結合法律法規的現狀和部分企業積極探索的實踐經驗，開展如下探討并提出相關建議。5.1.數據跨境安全管理底線堅持與便利化探索為了保障數據跨境流通過程中的合法合規，同時提升數據合規出境的效率，建議可以補充以下方式輔助現有數據出境管理體系：（1）企業在向管理部門報送相關材料時，可附上由獨立第三方專業機構出企業在向管理部門報送相關材料時，可附上由獨立第三方專業機構出具具“安全評估風險意見安全評估風險意見”在目前的數據出境安全管理框架中，向主管機關

305、申報數據出境安全評估時，數據處理者除了提供“數據出境風險自評估報告”之外，可事先委托獨立第三方專業機構進行合規、安全和風險的評估，并出具無保留意見的“意見書”，以獨立第三方專業機構的專業資質、實踐經驗及技術能力等為擔保，增加監管對申報企業的信心，以期加快審批流程。（2）通過擬出境數據自愿預備案通過擬出境數據自愿預備案模式模式，為企業提供數據出境合規緩沖區，為企業提供數據出境合規緩沖區允許企業根據國家網信辦發布的數據出境相關規定，結合實際情況，參照“互聯網服務算法”等預備案制度，在正式申請數據出境安全評估前自愿向有關部門申請預備案，待正式申報數據出境安全評估時，可相應簡化具體審核的內容和流96程

306、，提高數據出境安全評估行政審核效率。預備案的主要內容可以包括企業基本情況，境外接收方基本情況，出境情況，如數據出境的目的、范圍、方式等，出境數據情況，如數據的種類、來源、規模、范圍、敏感程度等。預備案模式，不僅有助于國家網信部門事先對擬出境企業數據跨境處理活動的進行合規指導，也有助于提升企業后續申報過程中材料準備的效率。（3）根據申報業務場景和數據安全程度，根據申報業務場景和數據安全程度，分級分級分類設置數據出境安全評估分類設置數據出境安全評估行政審核流程，節約審批時間行政審核流程，節約審批時間根據企業申請數據出境的數據種類、來源、規模、范圍、敏感程度、潛在風險，數據出境的目的、范圍、方式等，

307、可以在流程的繁簡程度、審批的時間長短等方面歸類處理。如針對數據類型少、敏感程度低、數據量小等數據出境活動，可以適當減化審批環節和時間；或根據數據所涉行業、用途、特點、應用領域等進行分類，適用不同的審查程序等，既幫助企業解決業務的現實合規性，又極大提高審核質量和效率。因此，建議以粵港澳大灣區為試點，在實踐中探索建立數據出境監管的新模式、新方法、新手段。5.2.企業全面建成數據跨境合規體系5.2.1.企業數據安全與隱私保護涉及跨境業務的企業應當依法建立數據出境安全評估和風險監測機制，以保護個人數據、敏感數據、重要數據的跨境流動安全，保證數據出境的合規性、正當性以及必要性。建議企業構建以跨境數據資產

308、盤點與風險識別、跨境數據安全風險監測與預警、跨境數據響應處置與數據留檔為核心的跨境數據安全技術體系架構。圖 23 企業跨境數據安全技術體系架構圖（1）以跨境數據以跨境數據資產盤點與風險識別完善為首要資產盤點與風險識別完善為首要企業可通過跨境數據資產探測探針等工具主動探測跨境應用、FTP、各種郵件服務、文庫等數據資產，梳理各類跨境數據資產的數據資產類型、跨境方式、跨境區域、跨境組織、跨境組織聯系人、跨境組織地址等相關信息，并對這些資97產進行多維度管理，用于輔助企業判斷數據跨境合規性；針對跨境數據敏感程度、安全防護措施、企業安全保障能力等多方面按照實際情況判斷是否需要依法向國家網信辦申報數據出境

309、安全評估。（2）以跨境數據安全風險監測與預警實效為以跨境數據安全風險監測與預警實效為核心核心通過跨境數據風險監測分析引擎，對數據資產探針所采集的各類原始告警，以及各類專項檢測引擎輸出的告警，進行跨境數據初步關聯分析，采取可信技術進行監控和存儲，進而輸出準確程度更高、更加多方可信的跨境數據安全告警信息。因跨境數據安全分析工作往往是動態的、多變的，需要基于各類實際應用場景靈活調整關聯分析策略，以便更有效地應對跨境數據安全監管合規要求，跨境數據風險監測分析引擎類型包括合規性符合風險分析引擎、跨境數據資產脆弱性及弱點分析引擎等。（3）以跨境數據響應處置與數據留檔夯實為基礎以跨境數據響應處置與數據留檔夯

310、實為基礎針對跨境數據安全風險監測并預警的風險，跨境數據安全運營專員結合企業自身業務發展情況，制定的安全風險等級和前期制定好的應急預案做通報與處置，相關責任部門根據安全風險預警通報情況制定合理的跨境數據安全治理方案并做相應整改，整個過程數據通過區塊鏈等多方可信技術，全部留檔，便于跟蹤和安全追溯。5.2.2.企業供應鏈風險控制與管理供應鏈合規對于企業順利安全地開展數據出境業務有重要意義。供應鏈風險具有關聯性，傳遞性、復雜性和“牛鞭效應”，企業要在國內合規數據的基礎上根據國家關于數據出境的相關法律法規的要求評估自身數據處理情況，按照規定流程進行數據出境，最終保障跨境數據的全流程合規。為了加強企業供應

311、鏈風險評估和監控，保證數據鏈的暢通和完整，建議可以從以下路徑改進供應鏈合規管理模式的實施。（1）企業應建立供應商審核和評估機制，確保潛在供應商的合規性和可靠企業應建立供應商審核和評估機制，確保潛在供應商的合規性和可靠性。性。企業針對與外部供應商的數據流動合作事宜，按照數據安全能力成熟度指南標準，根據自身已達到的標準，對外部供應商的對應能力進行評估，確認供應商在數據安全生命周期過程中可達到的數據安全能力成熟度，不低于企業自身已達到的或數據流動過程中需要達到的最低等級要求，實現對供應商的安全要求選型，降低供應商的數據安全隱患導致的數據泄露或損失。98（2）企業通過可追溯性系統對供應鏈進行動態合規管

312、理和監督。企業通過可追溯性系統對供應鏈進行動態合規管理和監督。企業應采用信息技術工具和評估系統，加強對供應鏈合規情況的監控和跟蹤。供應鏈可追溯性是指企業能夠追蹤和掌握供應鏈中產品或服務的來源、流向等信息。通過建立可追溯性系統，企業可以更好地監控供應鏈的合規性，及時發現和解決潛在的違規問題，并對供應商進行及時的提醒和整改。（3）企業跟進最新法律法規和行業監管動態，及時調整供應鏈合規管理機企業跟進最新法律法規和行業監管動態，及時調整供應鏈合規管理機制。制。企業根據自身多樣化業務場景及流程，對不同類型的供應商開展事前、事中、事后的全面合規風險評估和整改。同時，還應深入解讀和實時掌握自身所處行業相關的

313、法律法規、規范、監管要求、查處案例等，設置“合規紅線”，將合規操作要求有機嵌入供應鏈合規管理或指導辦法中。此外，企業還應與監管機構保持良好的溝通合作關系,了解最新政策動向,及時調整內部合規規程。（4）企業與國際合作伙伴和第三方服務商建立長效合作機制。企業與國際合作伙伴和第三方服務商建立長效合作機制。企業需加強與政府、行業協會、合作企業、組織和個人等的溝通與合作，共同推動跨境數據流通合規的國際標準制定和協作機制建立。明確合作目標和原則、評估合作伙伴和第三方服務商的合規能力、簽訂權利義務明確的合同或條款、建立溝通渠道和協作機制、加強合規培訓和教育、制定應急預案、定期審計和風險評估等，以確?？缇硵祿?/p>

314、流通合規和安全得到有效保障。建議與外部專業的數據安全機構、咨詢公司、律師事務所等合作，共同提升數據安全和合規能力。此外，在跨境數據流通過程中，企業與第三方進行數據共享時，可通過制定行業規則、建立合作機制、簽訂數據共享協議等方式，明確數據的使用范圍和使用方式、各方在數據合規方面的職責與義務等，實現用戶數據的跨平臺流通和使用。合作期間，還應不定期對外部服務提供商的安全管理水平和措施進行監督和風險評估，保障供應鏈管理的有效性。5.2.3.企業跨境數據流通合規能力建設在滿足日益增長的數據跨境流通需求的同時確保數據安全和合規、建立健全的跨境數據流通合規管理體系，已成為各國政府和企業共同面臨的挑戰。作為一

315、個關鍵性的任務，跨境數據流通合規能力建設涉及到數據安全、隱私保護、合規義務等多方面的問題。（1）在戰略層面重視跨境數據流通合規能力建設，充分了解并遵守目的國在戰略層面重視跨境數據流通合規能力建設，充分了解并遵守目的國家和地區相關法律法規。家和地區相關法律法規。企業需在戰略層面重視跨境數據流通合規性，作好整體的合規性規劃，并確99保落實數據流通的合規性和安全性。由于不同國家和地區對于數據管理有著不同的法規，例如歐洲的 GDPR、美國的 CCPA 等，企業在進行數據跨境處理活動時必須要遵守業務所在國法律法規，提前全面評估數據跨境傳輸合規風險，包括數據泄露、數據安全事故、違反相關法規等風險，做好應對

316、和整改措施，以確保數據跨境的合規性。此外，還應加大培養熟悉境外法律法規的數據安全和合規專業人才。（2）成立跨部門協作的企業內部數據合規成立跨部門協作的企業內部數據合規組織機構組織機構企業可以成立跨部門的數據合規組織，明確各崗位職責和任務，建立良好的溝通和協作機制。數據合規組織的成員應該來自企業的各個部門，包括但不限于法務、信息安全、合規、技術等部門,共同探討數據跨境的業務場景、評估合規風險,制定合規政策和操作規程、開展合規意識和能力的培訓和教育，必要情況下，可聘請外部專業的數據安全機構、咨詢公司、律師事務所等專家進行內訓。此外，數據合規組織還應制定數據跨境安全事件的應急預案（包括啟動條件、響應

317、程序、恢復措施等），以應對可能發生的數據跨境安全事件或違規行為。第五，數據合規組織還需定期開展個人信息保護風險評估和審計（包括審計內容、審計時間、審計人員等），以確保數據跨境的數據安全和隱私政策的執行符合要求。（3）建立標準、完善的數據安全管理制度，強化數據跨境傳輸安全保障措建立標準、完善的數據安全管理制度，強化數據跨境傳輸安全保障措施施企業應采用創新的數據安全和合規管理模式，如采用人工智能、區塊鏈等技術手段，提高數據管理和監管的效率和準確性。標準、完善的數據安全管理制度包括但不限于對數據進行分類與標記、設置訪問控制、開展定期審查與監測、記錄操作日志、實施數據備份與恢復等。建立一套數據流通審計

318、機制，追溯數據流通的路徑；建立一套完善的數據保護機制，包括數據加密、數據脫敏、數據備份、數據訪問權限控制、數據恢復等，定期評估數據風險；建立一套數據合規風險應急響應機制，及時處理風險問題；建立數據跨境傳輸審批和監管機制，與相關監管機構保持密切聯系（及時了解相關法規和要求），明確審批流程和責任人，確保數據的合規性和安全性。5.3.推動跨境數據流通合規技術產業發展建構跨境數據流通友好型的技術與標準體系，有利于解決數據跨境風險不可見和流轉不可知的問題。這套技術體系可包括跨境數據流量采集與還原技術、跨境敏感數據傳輸發現技術、跨境數據安全風險發現技術、大數據關聯分析和事件分析技術、區塊鏈可信確權監管技術

319、等。沉淀在數據跨境過程中的發現敏感數據、預警和及時應對風險的能力，從技術上保障數據的跨境安全和有序流動。100（1）通過數據采集傳輸的技術標準，助力發現跨境場景的敏感數據通過數據采集傳輸的技術標準，助力發現跨境場景的敏感數據針對敏感數據發現的問題，企業可借助相關技術標準如跨境數據流量采集與還原技術、跨境敏感數據傳輸發現技術等予以解決。如跨境數據流量采集與還原技術，即通過對企業互聯網側或者跨境專線流量進行采集和還原，并結合單邊、空洞和碎片化流量的補全檢測技術，提高流量還原的能力，同時也有效提升敏感數據的檢測能力和威脅分析能力?？缇趁舾袛祿鬏敯l現技術是通過流量還原及特征識別技術對互聯網流量進行深

320、度分析還原，利用特征分析、自然語言識別、OCR 等技術實現對傳輸敏感數據的應用、API 接口進行敏感數據識別、提取、去重，并記錄訪問時間、數據流入地址等信息。這些技術標準可以幫助企業保護敏感數據，減少不安全的訪問傳輸導致泄露的風險，實現在相應場景下的技術標準推廣，確保數據的安全性和可用性。（2）通過跨境數據安全風險發現技術標準，加強數據跨境的風險識別通過跨境數據安全風險發現技術標準，加強數據跨境的風險識別構建跨境數據安全風險發現技術標準體系，可以有效地提升數據跨境的風險識別能力?？缇硵祿踩L險發現技術標準體系包括：數據庫漏洞發現技術、弱口令風險發現技術、數據爬取風險發現技術、接口鑒權風險發現

321、技術、接口安全漏洞風險發現技術、接口誤暴露風險發現技術等?？缇硵祿踩L險發現技術標準體系，支持通過技術手段識別和分析數據存儲、訪問、傳輸的過程中可能存在的安全漏洞，保障數據跨境的合規機制在技術方面落地，從而確保數據的機密性、完整性和可用性。相關技術標準的推動有助于預研措施保障數據跨境安全，發現處理任何可能的跨境數據泄露事件，避免潛在的損失和風險，提高跨境數據流通的安全性和可靠性。（3）跨境數據安全事件發現技術標準，提升數據跨境安全事件的防范能力跨境數據安全事件發現技術標準，提升數據跨境安全事件的防范能力構建跨境數據安全事件發現技術標準體系，可以有效地降低數據跨境安全事件帶來的安全風險?？缇硵?/p>

322、據安全事件發現技術標準體系主要包括：利用對威脅情報、攻擊事件、敏感數據傳輸等多維度關聯分析，建立攻擊者與敏感數據傳輸通道關聯關系，基于敏感數據竊取事件發現技術挖掘攻擊者竊取行為的重要信息；基于訪問時間、訪問源、訪問賬號、傳輸方式、傳輸內容等訪問行為相關的多維度敏感數據，通過統計分析手段精確地追蹤敏感數據違規傳輸事件；利用監測手段構建“境內-境外”的數據流轉態勢，精確追蹤敏感數據全路徑信息和行為的敏感數據違規出境事件。該標準的發布和推行能夠支持企業和監管機構及時發現重要數據違規出境、敏感數據未通過加密鏈路傳輸出境、個人敏感數據出境數量超過申報數量或法律法規要求等違規出境傳輸事件，從而實現數據跨境

323、場景安全事件的防范能力、內部核查和政府監管的能力提升。101（4）通過通過區塊鏈及隱私計算的區塊鏈及隱私計算的標準標準，實現跨境數據安全，實現跨境數據安全可信流通可信流通為解決數據流通中多方共治、共管的安全和隱私保護，可以通過區塊鏈及隱私計算等新技術基礎設施相關標準的指引，保障數據可用不可見，能有效降低不同地區跨境政策和法規可能導致的合規沖突可能性。如區塊鏈作為分布式數據庫技術，通過去中心化和共識機制確保數據的安全性和可信度，其分布式、點對點的特點，支持針對跨境場景數據流通和安全審查的技術基礎設施層的解決方案，可實現數據不可篡改、透明和可追溯；隱私計算技術在政府管控敏感數據流動的場景下，使數據

324、備份、流通、交易、交換更加安全和高效。數據跨境場景的區塊鏈及隱私計算的技術標準體系，應包含數據結構標準、網絡通信標準、加密算法標準、身份驗證標準、隱私計算標準等。推廣區塊鏈及隱私計算的技術標準，實現不可篡改的數據鏈條，實現數據操作分級、確權和監控，保障數據流動的完整性、安全性和可靠性。5.4.重視合規人才培養與產業共生隨著跨境數據流通日益頻繁，企業對數據合規專業人才的需求也在加速增長。目前，我國數據跨境專業合規人才緊缺，高校、專業培訓機構、行業協會、企業等均應重視對數據跨境專業人才的培養。高校通過設立數據合規相關專業、研究機構等，針對性的開展中國數據出境相關法規、歐盟 GDPR、美國 CCPA

325、、中國數據出境相關法規等課程教學，培養后備力量，為企業和社會提供人才。行業協會可建立數據跨境人才培養機制，聘請行業內外部專家開展數據跨境法規和案例培訓、宣講，每年進行數據跨境合規人才和實踐案例的選拔和評選等。企業可內部挖掘和培養跨境數據流通合規人才。通過聘請外部專家對數據跨境業務所涉及的國家或地區的法律法規、監管政策、實務場景和處罰案例等進行宣貫，以培訓、考試等方式進行內部培養。同時，鼓勵和獎勵內部員工考取數據合規相關資質證書和認證資格。也可支持和安排合規人才短期出國訪問或實習,了解國際最佳實踐（包括參與國際項目和與國際數據傳輸相關的工作內容等），積累國際經驗。企業可以聯合高校（如南方科技大學

326、深圳國家應用數學中心、深圳職業技術大學）、行業協會等機構建立合作共享和交流平臺，開展數據跨境理論與實踐的研討與交流，互通有無，共同學習和進步。目前，各數據交易所在全國范圍內培養數據合規、數據跨境、數據交易、數據價值挖掘等方面的復合人才，如深圳數據交易所開展的 DEXCO（數據交易合規師）的培訓認證，幫助企業開展數據合規、數據治理、數據交易、數據資產入表等，取得較好的社會效果。1025.5.深化開放合作實現跨境合規應用多樣化數據二十條提出，深入參與國際高標準數字規則制定，構建數據安全合規有序跨境流通機制。開展數據交互、業務互通、監管互認、服務共享等方面國際交流合作，推進跨境數字貿易基礎設施建設，

327、以 全球數據安全倡議 為基礎，積極參與數據流動、數據安全、認證評估、數字貨幣等國際規則和數字技術標準制定。堅持開放發展，推動數據跨境雙向有序流動，鼓勵國內外企業及組織依法依規開展數據跨境流動業務合作，支持外資依法依規進入開放領域，推動形成公平競爭的國際化市場。實踐中，如何建立相互信任，其實是數據跨境的最大挑戰。（1）積極深入推進國際性數據跨境流通的頂層設計積極深入推進國際性數據跨境流通的頂層設計積極參與聯合國、G20、上合組織等國際組織，共同制定多邊國際數字規則，推選相關機構和個人參與國際數字化規則的具體制定；積極參與、主導國際、地區間的數據跨境流通協定制定，探索在東盟、一帶一路、中非合作等區

328、域性國際合作組織加入區域性國際數據跨境流動制度。推動數據跨境流動雙邊多邊協商，在中日韓、東盟、中歐、中俄、一帶一路等雙邊或多邊國際合作中推進建立互利互惠的規則。在國際頂層設計的國際組織、國際交流中倡導反對數據霸權和數據保護主義，探索新的數據主權保護規則。（2）積極推進國際標準化和交流合作平臺搭建積極推進國際標準化和交流合作平臺搭建鼓勵并推進國內企事業單位和標準化組織參與 ISO、IET 等國際標準組織，推進數據要素跨境、數據要素安全等國際標準的研究和制定，積極組織相關機構和個人在國際標準組織中組建、參與相關標準工作組，牽頭、主導、參與數據流動、數據安全、認證評估、數字貨幣和數字技術標準的制定。

329、利用現有國際貿易交流合作平臺、組建新的數字貿易合作交流平臺，面向國際、區域性合作、雙邊或多邊合作，積極開展數據交互、業務互通、監管互認、服務共享等方面國際交流合作。（3）面向數據跨境開展頂層設計研究和制度建設面向數據跨境開展頂層設計研究和制度建設強化和完善數據跨境法律法規體系的構建。鼓勵并組建國家級、區域性智庫和研究機構對國際規則、國際數字化協定進行研究，支撐我國主導、參與國際化數字規則的制定；加強對美國、歐盟、日本等國家和國際組織的數據跨境相關規則、法律法規的研究，支撐國內相關機構開展數據跨境合作和業務開展。對影響或者可能影響國家安全的數據處理、數據跨境傳輸、外資并購等活動依法依規進行國家安

330、全審查，建立能夠統籌國內國外兩個循環的安全審查制度、安全評估制度。按照對等原則，對維護國家安全和利益、履行國際義務相關的屬于管制物項的數據建立出口管制制度，保障數據用于合法用途，防范數據出境安103全風險。探索構建多渠道、便利化的數據跨境流動監管機制，健全多部門協調配合的數據跨境流動監管體系。加強對國際主流國家相關標準規則的參考，增強我國數據跨境制度與其他國家或地區的國際協定與貿易談判相銜接。（4）積極開展數據跨境流通試點和推廣積極開展數據跨境流通試點和推廣鼓勵在北京、深圳、上海和海南等地面向國際貿易合作國探索數據跨境流動與合作的新途徑新模式，鼓勵國內外企業及組織依法依規開展數據跨境流動業務合

331、作，支持外資依法依規進入開放領域，推動形成公平競爭的國際化市場。探索建立數據海關、數據保稅區等新型跨境數字貿易基礎設施。支持北京、深圳、貴陽、上海、海南等數據交易機構試點探索構建國際數據交易市場，積極與國際數據交易場所和機構開展合作，并面向國際組織和企業開展數據跨境交易活動。協同推進數據要素合法合規在各類國際組織間流通，協調好數據走出去與數據走進來的關系。針對跨境電商、跨境支付、供應鏈管理、服務外包等典型應用場景，探索安全規范的數據跨境流動方式，并適時面向東盟、俄羅斯、一帶一路等主要貿易合作對象開展數據跨境試點，推進數據要素的高效跨境流入和流出，并在國際數字貿易具體場景中進行試點和推廣。探索建

332、立健全符合數據跨境白名單制度，適當減弱對數據跨境的嚴格限制，鼓勵企業、社會組織積極參與數據國際流通，激活數字經濟市場的活力。（5）探索粵港澳大灣區數據跨境發展的先行先試探索粵港澳大灣區數據跨境發展的先行先試數據二十條指出，積極鼓勵試驗探索。堅持頂層設計與基層探索結合，支持香港作為國際數據中心，輻射推廣至整個大灣區，積極發揮高水平開放平臺作用，支持有條件支持高端智造、生物醫藥、綠色低碳、合作辦學的等產業加快突破數據可信流通、安全治理等關鍵技術，建立創新容錯機制，探索完善數據要素產權、定價、流通、交易、使用、分配、治理、安全的政策標準和體制機制，更好發揮數據要素的積極作用。因此，應充分發揮粵港澳大

333、灣區的跨境區域協調優勢，從灣區的實踐和需求出發，通過制定雙向或多向清單、互認協議等方式促進灣區內部數據流通循環，建立重點行業如金融數據出境標準建設，積極探索數據要素跨境流通的治理協同標準化，為參與國際數據治理規則的制定作出有益的探索和總結。因此，一方面要積極主動開展國際交流合作、參與國際規則及標準制定，通過國際組織、智庫平臺積極開展數據安全、認證評估的相互認可，數據可信空間或者“數據可用不出境”的數據跨境流通系統等探討，促成相互信任的機制的建立，維護國家安全和利益；另一方面在粵港澳大灣區等重要區域或城市先行先試，建立數據跨境標準體系，鼓勵探索數據跨境流動與合作的新途徑新模式。104參考文獻1 區域全面經濟伙伴關系協定,中華人民共和國商務部.http:/ CPTPP 數據跨境流動規則的難點及對策，服務外包，2023 年3 月，34-393 王蕊、潘怡辰、袁波、宋云瀟，從 CPTPP 與 RC