1、本白皮書由德勤企業咨詢（上海）有限企業（“德勤企業咨詢”）和 Amazon Web Services,Inc.或其關聯方（“亞馬遜云科技”）分別撰寫，雙方就各自撰寫的內容分別、獨立享有相關知識產權。其中德勤企業咨詢負責第一章、第二章、第三章 3.1，單獨享有該部分的知識產權；亞馬遜云科技負責第三章 3.2 部分（即“技術平臺”部分）與 3.3.3 中“云上構建端到端的安全”部分，單獨享有該部分的知識產權；雙方共同享有第三章 3.3 部分的知識產權。關于德勤企業咨詢部分的聲明：本白皮書中所含內容乃一般性信息，任何德勤有限企業、其全球成員所網絡或它們的關聯機構并不因此構成提供任何專業建議或服務。在

2、作出任何可能影響您的財務或業務的決策或采取任何相關行動前，您應咨詢合格的專業顧問。我們并未對本白皮書所含信息的準確性或完整性作出任何（明示或暗示）陳述、保證或承諾。任何德勤有限企業、其成員所、關聯機構、員工或代理方均不對任何方因使用本通訊而直接或間接導致的任何損失或損害承擔責任。德勤有限企業及其每一家成員所和它們的關聯機構均為具有獨立法律地位的法律實體，相互之間不因第三方而承擔任何責任或約束對方。德勤有限企業及其每一家成員所和它們的關聯機構僅對自身行為及遺漏承擔責任，而對相互的行為及遺漏不承擔任何法律責任。德勤有限企業并不向客戶提供服務。請參閱 了解更多信息。關于亞馬遜云科技部分的聲明：本部分

3、內容陳述了亞馬遜云科技在封面頁所示日期的有關服務產品及實踐，該等信息可能變化且我們不會另行通知?？蛻魧τ诒静糠值男畔⒁约皝嗰R遜云科技的產品或服務應自己做出獨立的判斷，該等內容都是“依現狀”提供，不包含任何明示或者暗示的保證。本部分內容并沒有創設來自亞馬遜云科技或其關聯方、提供方或許可方的任何保證、陳述、合同性承諾、條件或者擔保。亞馬遜云科技對其客戶的義務和責任均由適用的客戶協議管轄。本部分內容不是亞馬遜云科技和其客戶之間任何協議的組成部分，也不構成對任何協議的修改。數字化經濟在云計算、人工智能、機器學習、區塊鏈、物聯網等新興技術的推動下，正在全面改變人們的生產生活方式，深刻影響人類社會歷史發展

4、進程。而數據是這一切的關鍵生產要素，從數據的來源、使用方式乃至數據衍生驅動的各類算法模型、執行決策都驅動了商業活動中數字經濟的快速發展?！昂弦幨羌t線，安全是底限”，各國都在不斷通過各種立法來規范數字化經濟的發展，確保對于數據的主權、維護核心數據資產的安全、保護個人隱私、促進數據必要的合法流動和共享、以及減少廣義供應鏈風險。同時由于大型服務平臺以及 AI 應用對于傳統商業模式的強勁沖擊，這類平臺或產品合規已成為全球關注的下一重點。而對于企業來說，隨著全球對于數字經濟監管范圍的進一步拓展以及公眾對于隱私保護的關注度越來越高，數據應用與保護不再是一件僅與自身相關的“家務事”，出海挑戰的良好應對更需要

5、企業廣泛關注在監管要求的縷清與響應、用戶訴求的明確與應對，以及數據、數據處理過程、供應鏈上下游的全生命周期安全。這就使得企業急需建立一套機制，從內部管理及技術手段兩個方面開展行動，以便在應對出海多國的合規目標的同時，拉動企業內部多部門在當前全球經濟乏力、降本增效背景下構建覆蓋全業務場景的合規協作方式。本白皮書旨在為幫助中國企業在出海數據安全議題上，解讀相應的法律法規，分析面臨的問題和挑戰，并提出應對策略以建立相應管理體系和構建數據安全技術平臺，從而啟發企業建立自身有效的數據安全合規保障體系。前言吳蘋德勤中國風險咨詢全國主管合伙人顧凡亞馬遜云科技大中華區產品部總經理Table of Conten

6、ts目錄第一章 國際數字經濟與科技發展態勢 1.1 后疫情時代的出海大勢 1.2 數字科技領域熱點趨勢 1.3 數字科技立法及監管趨勢1.3.1 個人信息及衍生信息保護1.3.2 大型數字平臺監管1.3.3 人工智能技術監管第二章 中國企業出海面臨的合規挑戰2.1 數據安全與隱私合規態勢概述2.1.1 常見數據安全與隱私合規監管事項2.1.2 數據跨境流通態勢及監管重點2.2 數字平臺監管態勢概述 2.3 人工智能監管態勢概述2.4 對中國企業出海的主要挑戰2.5 主要行業在出海過程的特殊挑戰2.5.1 游戲行業127101015172022233539424855552.5.2 網聯汽車及軟

7、硬件服務2.5.3 社交 App 行業2.5.4 跨境電商行業2.5.5 智能設備行業2.6 出海支持行業的特殊挑戰2.6.1 跨境支付提供商2.6.2 企業級 SaaS 服務提供商2.6.3 智能廣告提供商第三章 中國企業出海發展合規應對建議3.1 健全合規管理體系3.1.1 計劃出?；驕蕚涑龊?.1.2 已在海外有業務 3.2 技術平臺3.2.1 安全責任共擔模型3.2.2 亞馬遜云科技云上的隱私保護3.2.3 亞馬遜云科技的合規計劃3.2.4 亞馬遜云科技云上的安全3.3 應對案例3.3.1 案例背景介紹3.3.2 企業面臨的出海安全合規核心挑戰3.3.3 解決方案 5863666973

8、7375777980808189919295981041041051061國際數字經濟與科技發展態勢112國際數字經濟與科技發展態勢一全球經濟增長仍然面臨巨大壓力隨著 2023 年 5 月，世界衛生組織宣布新冠疫情不再構成“國際關注的突發公共衛生事件”（PHEIC），人們逐步開始回歸疫情前的生活狀態。但是，全球經濟復蘇的前景充滿不確定性，依據聯合國 5 月發布的世界經濟形式與展望，預計 2023 年世界經濟增長率為 2.3%、2024 年略微增長至 2.5%，仍然遠低于疫情前 2018 年的 GDP 增長率 3.7%。與此同時，全球經濟增長兩極分化的態勢逐漸明顯，大多數發達經濟體經濟急劇下滑，

9、而南亞、西亞以及非洲在內的發展中區域雖然仍能保持相對較高的 GDP 增速，但與疫情前、甚至 2022 年相比仍有所下滑。外資外貿是中國經濟增長的重要支撐及成果根據中國海關總署統計數據，2022 年全年中國貨物進出口總額突破 42 萬億元人民幣。推動產業向中高端邁進、促進數字經濟和實體經濟的深度融合、加快數字經濟的發展、推動高質量共建“一帶一路”仍然是未來幾年的重點發展方向。在此背景之下，發展海外市場成為了較多中國企業的優先選擇，其中，以跨境電商、游戲互娛、消費電子、新能源汽車為代表的新興行業更是在出海的道路上大展宏圖，形成空前活躍的發展景象，出海規模持續增長，從以下數據可見一斑：1.1 后疫情

10、時代的出海大勢3跨境電商：根據中國海關總署的數據顯示，2022 年跨境電商進出口規模再創新高，達 2.1 萬億元，同比增長 7.1%，占進出口總額的 4.9%，跨境電商成為外貿重要新生力量。游戲互娛：根據中國音數協游戲工委發布的中國游戲產業報告，2022 年 1-6 月，中國自主研發游戲在海外的實際銷售收入達 89.89 億美元，同比增長 6.16%。多款手游在海外的表現，無論是在下載排行還是游戲內付費充值都占據了當地應用榜單的前列。消費電子：據海關總署數據，2023 年 1-4 月，智能手機出口近 1.6 億臺，手機以及包括智能家居產品、無人機等消費電子早已成為多個國家和地區炙手可熱的產品。

11、新能源汽車行業：據中國汽車工業協會統計分析，繼2021年超200萬輛、2022 年超 300 萬輛之后，今年上半年中國汽車出口達 214 萬輛，同比增長 75.7%，預計 2023 年全年汽車出口有望達到 400 萬輛，成為整體汽車市場的重要增長力量。34 中國企業出海規模日益增長，中小企業乘上風口出海足跡從歐美拓展到東南亞、北美洲、非洲等新興區域亞馬遜云科技于 2022 年 6 月發布的中國企業上云出海趨勢洞察數據顯示，在已經布局全球業務的受訪企業中，大型企業依然占據主導地位，占比達到 63%，但是，在計劃出海的企業群體中，員工 1000 人以下的中小企業則占據了主流，占比達到 65%。由此

12、可見，面對數字經濟所帶來的機遇，中小企業將越來越多地參與到出海業務中，借助各類云服務實現跨區域業務的數字化轉型與智能化創新。中國企業出海足跡近年從歐美等傳統區域擴展到東南亞、北美洲、非洲等新興區域。根據亞馬遜云科技 2022 年 6 月的中國企業上云出海趨勢洞察，超過 60%受訪出海企業的全球業務布局覆蓋超過 3 個以上海外地區。5 東南亞作為新興經濟體的代表，由于地理位置優越，人口基數龐大，且擁有接近中國文化習慣的先天優勢，成為很多中國企業初次出海的重點考慮地區以及出海業務覆蓋最高的地區，尤其是對于從事網絡游戲、金融科技以及企業服務的中國企業，東南亞儼然已成為其出海的首選地。歐洲和北美洲作為

13、發達國家集中地區，受到大型企業更高的關注，分別位居出海重點覆蓋區域的第二位、第三位。由于歐洲、北美洲的高價值客戶較為集中，中國出海企業更加關注對品牌建設的投資力度，提升品牌競爭力。南美洲、非洲以及中東地區作為新興經濟體集中地區，正在成為中國企業出海的“新藍?！?，在 2021 年，中國對非洲出口 1483 億美元，同比增長 29.9%1。1中華人民共和國商務部統計數據6 跨境電商供應鏈相關企業開始分工合作、協同預測、協同供應、協同研發，以提高企業對市場變化的反應速度，強化產品功能質量，提高生產和供應效率。另一方面，與海外消費者建立信任關系，也同樣是開拓海外市場的重要一環，企業越發注重對海外消費者

14、權益更進一步的保障，比如對消費者權利以及數據安全和個人隱私保護。傳統的游戲行業通過分發平臺購買游戲或游戲內的充值內購進行盈利，近年來探索出新的營收模式，例如加入訂閱業務，通過運營商資源觸達用戶獲取訂閱分成或廣告變現等。中國汽車流通協會于 2022 年的調研數據顯示，所受訪車企在未來 3 至 5 年仍將全部或部分采用經銷商模式以及與當地售后合作，少量車企開始嘗試直營/自建模式。數據將逐漸從分散在經銷商回歸到車企的掌控范圍，助力于車輛研發與優化?？缇持Ц镀脚_、智能數字營銷平臺以及助力企業出海的工具平臺服務成為熱門投資領域，新業務場景得以實現，產品觸達更多消費者，更好地跨區域運營。激烈競爭促進出海業

15、務及盈利模式多樣性發展在競爭日益激烈的國際市場中，傳統的業務及盈利模式帶來的收入增長有限，中國企業也在探索應用數字經濟的東風，開展更為廣泛的創新活動。隨之而來的處理數據敏感化、數據處理過程復雜化、數據來源多元化、跨區域數據流動也帶來了出海過程合規新挑戰。7工作生活方式的變化帶動了線上服務的發展和對遠程安全保護的關注2020 年開始，新冠疫情的爆發引發了人們對于公共衛生安全與個人隱私邊界的熱烈討論，社會公眾越發注重對自身隱私的保護。一個典型場景是過去近三年，人們把工作和生活的重心轉移到線上，且隨著疫情后經濟艱難復蘇，越來越多的消費者選擇更為透明和低廉的線上購物渠道，物美價廉的中國服裝快時尚品牌、

16、操作友好的智能互聯家電以及與社交網絡深度融合的直播購物生態成為海外新寵兒。但在此過程中產生的數據自動化處理、多渠道數據融合化等復雜的新型問題，引發了公眾對企業的不信任，以及對AI技術背后黑盒的擔憂，加大了隱私增強計算的迫切需求。另一個場景，是疫情期間許多企業被迫轉為線上辦公。對于網絡體系較為健全的互聯網企業來說，要求員工使用 VPN 等類似的隱私通道技術可以相對安全高效地實現遠程辦公，而對于網絡邊界建設不完全的企業，員工可能不得不在遠程辦公期間通過互聯網接入企業，線上辦公所處理的數據大部分也都通過互聯網傳輸，這會大大增加員工受到網絡攻擊和社會工程的攻擊風險，對數據保護是一個巨大的挑戰。再者，在

17、工控領域，遠程操作的有效性和精準性遠遠不如實地操作，并且遠程接入工控網絡也會增加遭遇各種網絡攻擊的風險。同時，使用個人電腦存放機密材料，因設備損壞、設備被盜等原因導致的信息泄露事件仍時有發生。1.2 數字科技領域熱點趨勢78 AI 等新技術在加速價值產生的過程也帶來了新風險隨著 AI（Artificial Intelligence，人工智能）算法及算力基礎設施的快速發展，生成式 AI 在商業領域的應用在近兩年成為了熱點話題，尤其是在人機交互問答、圖像生成及美化、文本生成等領域在給商業或人們日常生活帶來極大便利的同時，AI 技術的安全性、對人類社會帶來的新挑戰也成為關注的重點。AI 的運行除了依

18、賴于大量算力、網絡傳輸的基礎設施支持以外，其被“投喂”的數據量級、準確程度以及人為對 AI 的干擾也極大地影響了 AI 的實際表現。由于網絡數據以及訓練過程的被誤導，AI 極有可能提供帶有欺騙性、誤導性甚至是非理性的信息給到交互人，帶來了不可控因素，包括降低了 AI 技術的可信度。另一方面，在交互人與 AI 進行溝通過程中，可能會無意識地提供個人信息或商業機密。即便存在事前的使用提醒，但是此類信息的被動收集仍有可能發生。對于用戶來說機密信息被不恰當地提供，而對于企業來說需要額外考慮應如何處理這類交互過程產生的數據以及如何進行保護，避免此類數據泄露以及進入模型提供給其他用戶。在網絡安全領域，AI

19、 在被用于自動化地網絡安全運營以減少人工成本、提供篩查效率的同時，也被不法分子用于尋找新的漏洞或生成更有侵犯性的網絡攻擊策略。企業不得不投入更大地精力提升其網絡安全能力，以應對使用了 AI 技術的網絡攻擊，避免在自身的安全防護中疲于奔命。9 但與此同時，企業之間的不信任以及對外的隱私承諾促使了數據保護技術的發展。例如在分布式機器學習技術被質疑可能導致大量隱私數據泄露時，聯邦學習提供了一種將隱私保護和機器學習相結合的方法，允許多方企業在不揭露自身敏感數據的同時參與運算，并且得到期望結果。各方企業在參與聯邦學習時，中心處理節點會向各個企業節點共享一個初始模型以供建模，在企業節點完成建模之后將建模參

20、數采用同態加密等保密手段傳回中心節點，中心節點通過新一輪的計算改進新的模型之后再共享給各節點。此過程不斷重復就構成了基本聯邦計算。除了采用聯邦學習和同態加密等密碼學手段保護個人隱私外，可信時空技術和追蹤技術也被運用于數據保護。10 1.3.1 個人信息及衍生信息保護在數字化時代，隨著云計算、移動通訊、物聯網、機器學習、人工智能、區塊鏈以及其他技術的蓬勃發展，各行業領域在數據安全方面面臨的機遇和挑戰伴隨其數字化和自動化變革進程而來。各國立法者們正在加緊完善國內立法，并積極參與雙、多邊數據跨境規則的制定：從各國視角，完善立法保護了本國重要數據，提升了數據安全治理效能，加快頒布國內數據法律更是規制了

21、各商業主體的收集、使用、分享、存儲以及披露數據信息行為；從國際視角，為占據數據國際流動規則話語權，各國紛紛建立嚴格的數據出境管理制度，積極參與數據跨境流動對話，并共同積極推進數據在全球范圍內的安全流動。一方面，在各國法律層面，上世紀末至今，各國陸續開啟了隱私保護國內立法進程。歐盟通用數據保護條例（General Data Protection Regulation，簡 稱“GDPR”）的生效，更催生了新一輪的隱私保護法律體系的完善，各國開始反思過往立法實踐并對其補充、優化。其次，除了保護個人信息外，多個國家也開始加強對非個人信息的規制，對可能影響國家安全、經濟運行、社會穩定、公共健康和安全的數

22、據進行強監管，例如韓國的信用信息法、信息通信網法，歐盟委員會發布的歐盟數據戰略（European Data Strategy）、2023數字羅盤（2030 Digital Compass:Your Digital Decade），美 國 的CLOUD 法 案（The Clarifying Lawful Overseas Use of Data Act）等。1.3 數字科技立法及監管趨勢1011 另一方面，在國際規則層面，除了個人信息保護，其他的商業數據同樣蘊藏著巨大的經濟價值。其流動支撐了跨國貿易中商品、服務、人才、資本等幾乎所有資源的流動，已成為推動全球經濟增長的必要力量。隨著全球各國數字產

23、業及大數據、云計算技術的迅猛發展，數據流動將對全球經濟產生更深遠的影響，由此產生的數據紅利與數據安全之間的碰撞將深刻影響著未來數字經濟的走向。為了釋放數據紅利并兼顧數據安全，搶占新一輪經濟競爭制高點，美國、澳大利亞、韓國等國紛紛建立、完善數據跨境流動的相關國內規則，并積極推動、參與國際規則的制定。12 首先，各國將制定統一專門的“個人信息保護法”并細化其適用規則。目前，全世界有三分之一的國家存在生效的隱私保護法令，超過三分之一的國家正在制定統一立法的過程當中，在未來可預見到將出現更多專門的隱私保護立法。各國在制定統一的個人信息保護立法的同時，將配套出具了更細致的法令的適用規則及操作指引。第二，

24、將出現更多針對特殊領域的專門立法。統一的隱私保護立法對各行業提出了統一的合規標準，但針對敏感信息集中的針對特殊的領域，例如醫療、金融、財務等行業，統一的要求未能滿足敏感信息的保護標準。為解決這一問題，各國將出臺針對特殊領域的特別法令，對數據進行風險分級管理，以滿足多層次需求。第三，國際間將逐步形成較為通用的數據保護和隱私原則?，F代數據保護和隱私法規具有一些共同的原則，如，數據處理者需要有處理數據的合法理由等。隨著各國與國際組織立法的不斷深入，這些基本的適用原則將出現更大的趨同趨勢。在這樣的前提下，雙邊和多邊的數據保護互認機制將出現，這將極大地便利跨國企業對不同地區業務的協調，從而大幅度降低運營

25、成本。從上述立法情況，不難預見以下幾點趨勢：1213第四，在個性化推薦方面，部分國家已建立算法推薦的監管制度，對算法缺乏透明度、不良內容誘導、用戶標簽聚合可能導致特定個人被識別等情況進行了相應的規制。例如，我國于去年發布互聯網信息服務算法推薦管理規定，用以規范互聯網信息服務算法推薦活動，規定算法推薦服務提供者應當加強用戶模型和用戶標簽管理，完善計入用戶模型的興趣點規則和用戶標簽管理規則，并應向用戶提供選擇或者刪除用于算法推薦服務的針對其個人特征的用戶標簽的功能，同時該規定鼓勵算法推薦服務提供者優化檢索、排序、選擇、推送、展示等規則的透明度和可解釋性，避免對用戶產生不良影響，預防和減少爭議糾紛。

26、而歐盟于2022 年頒布的數字服務法案（Digital Services Act）則要求超大型在線平臺和超大型在線引擎應對所使用的推薦算法及其他算法系統進行風險評估，考慮風險的嚴重性和發生概率，并對此采取風險緩解措施。第五，除隱私保護的監管外，部分國家也提升了對影響國家安全、公共健康和安全的重要非個人信息的管控。如我國全國信息安全標準化技術委員會于 2022 年發布的信息安全技術 重要數據識別指南（征求意見稿），用以對網絡安全法第 37 條關于重要數據的境內1314存儲以及出境安全評估及數據安全法第 21 條關于國家加強對重要數據保護的初步響應。又如美國國家標準與技術研究院（National

27、Institute of Standards and Technology，簡稱“NIST”）一直在制定關于受控非密信息的安全保護要求，包括 SP 800-171保護非聯邦系統和機構的受控非密信息、SP 800-171A受控非密信息安全要求評估、SP 800-171B 保護非聯邦系統和組織中的受控非密信息：關鍵程序和高價值資產的增強安全要求。800-171B 的范圍擴展到了非聯邦機構，如聯邦政府的合同商跟聯邦政府發生了關聯，由此產生的數據到了社會領域，非聯邦機構就必須落實這些數據的安全要求。第六，在跨境規則方面，各國將建立完善的數據出境管理機制，數據本地化要求的地區范圍將擴大。各國結合本國產業

28、發展的特點及現有政策基礎，以維護個人隱私權利、保障企業發展創新、捍衛國家數據主權安全、增強數字國際競爭力四個價值維度為基本考量，積極探索建立各國的數據管理體系。許多國家/地區已制定了數據本地化法律，其范圍僅限于特定行業（如德國要求電信組織在本地存儲通信數據）或特定部門（如澳大利亞要求將健康數據存儲在本地）。隨著立法的深入和各國公民隱私保護意識的提升，全球各地區將出現更細化的本地化要求。最后，各國將推動國際數據跨境自由流動規則的構建，促進數字經濟穩健發展。通過提高數字基礎設施供給標準、完善驗證監管機制等措施，為數字網絡和創新服務的蓬勃發展創造有序健康的環境，也將是全球各國針對數字價值的普遍追求。

29、各國關注國內規則與不同國際規則的兼容性，降低規則差異給跨境數據流動管理帶來的風險和成本，開發與全球跨境流動規則對接的認證機制，爭取國際信任及合作空間。14151.3.2 大型數字平臺監管除了對一般數據處理角色的監管，當前歐美發達國家及我國對于一定用戶規模的大型數字平臺2的監管越來越嚴格，從公平競爭、用戶權益、網絡和數據安全等方面明確平臺服務提供者應承擔的義務。綜合來看，大型數字平臺相關監管的法律內容更加詳細、其適用范圍逐漸擴大，各國執法理念和工具創新等趨勢凸顯，監管背后的政治經濟博弈也在加劇。在歐洲，2022 年 7 月，歐洲議會高票通過數字市場法（Digital Markets Act，以在

30、美國，對大型數字平臺監管主要集中在反壟斷方面，美國司法部曾對巨頭企業展開反壟斷調查，意在限制它們在互聯網相關領域的市場份額和影響力。2021 年 6 月，美國眾議院審議通過了六項反壟斷法案，分別是終止平臺壟斷法案（Ending Platform Monopolies Act）美國創新和線上選擇法案（American Innovation and Choice Online Act）平臺競爭和機會法案(Platform Competition and Opportunity Act)收購兼并申請費現代化法案（Merger Filing Fee Modernization Act）通過啟用服務切換

31、（ACCESS）法案（Augmenting Compatibility and Competition by Enabling Service Switching Act）以及 州反壟斷執法場所法案（Augmenting Compatibility and Competition by Enabling Service 下簡稱“DMA”）和 數字服務法（Digital Services Act，簡 稱“DSA”），并 將 其整合為“數字服務一攬子法案”（Digital Services Package，簡稱“DSP”），兩個法案各有側重，DMA 重在數字平臺反壟斷，DSA 重在數字內容治理，實

32、現共同管控互聯網巨頭在歐洲的活動。法案賦予了歐盟理事會對大型數字平臺空前的監管權力，標志著歐洲數字市場監管模式的重大轉變。通常在監管過程中，還協同 GDPR 和反壟斷法（European Competition Law）限制大型數字企業的市場份額和市場行為。2大型數字平臺泛指如歐洲議會與歐盟根據 數字服務法（DSA）定義的“連續四個月月均活躍用戶的數量大于或等于4500萬”的超大型在線平臺、中國 互聯網平臺分類分級指南（征求意見稿）定義的“平臺上年度在中國的年活躍用戶不低于5億，核心業務至少涉及兩類平臺業務，上年底市值（估值）不低于 10,000 億人民幣，且具有超強的限制商戶接觸消費者（用戶

33、）的能力”的超級平臺。在本文中指代具有較大規模的互聯網在線平臺。16 Switching Act，簡稱ACCESS 法案），旨在控制大型科技企業（年市值或在美年凈銷售額在 5500 億美元以上或在美月平均活躍用戶在 5000 萬以上的平臺企業）不斷膨脹的權力。與此同時，在 2022 年 3 月，美國司法部正式批準反壟斷立法美國創新和線上選擇法案（American Innovation and Choice Online Act），新法將禁止大型數字平臺將自己的產品和服務置于競爭對手的產品和服務之上的行為。在澳大利亞，2021年2月，澳大利亞議會正式通過 新聞媒體和數字化平臺強制議價準則。該法對

34、社交媒體、數字代理服務平臺，以及其他在澳大利亞擁有超過 250 萬用戶的大型數字平臺使用新聞內容作出多項規范，規定澳大利亞新聞機構有權要求大型數字平臺為使用其新聞內容付費，并就此開展單獨或集體談判。在中國，對于大型數字平臺的監管主要依賴網絡安全法和反壟斷法等法律法規。例如，根據中國反壟斷法，中國監管部門曾向幾個大型平臺公司出具限制經營和提高透明度的監管警示，約束其行為。2021 年 10 月，中國國家市場監督管理總局發布了互聯網平臺分類分級指南（征求意見稿）和互聯網平臺落實主體責任指南（征求意見稿）兩部指南并向社會公開征求意見，以加強對超級平臺的監管，警示各大數字公司合規經營和數據安全等問題。

35、根據 20172021 年的有關公開資料，現有 18 個國家和地區發起了針對全球數字平臺頭部企業共計 150 起反壟斷訴訟和執法案件，總罰金超過 192.6 億美元。從區域來看，歐盟及其成員國的案件最多，占比 40.7%（其中 40%來自歐盟委員會）；美國、英國次之，分別占 21.3%、7.3%；印度、俄羅斯、澳大利亞、日本、韓國等也都加大了對大型數字平臺企業的反壟斷調查力度?？傮w來說，世界各國對數字平臺的監管呈現出多樣化的趨勢，對于中國出海企業來說需密切關注是否會落入監管范疇。在立法方面，數字隱私、數據保護和反壟斷法規等日益完善，企圖規范數字市場秩序；在社會觀念上，市場運作需透明公正，用戶權

36、益和個人信息得到應有保護等觀念變得越發重要。171.3.3 人工智能技術監管人工智能（Artificial Intelligence，簡稱“AI”）席卷全球的趨勢勢不可擋，但如何監管卻成了棘手的問題。新一代人工智能具有高度的自主性、自學習及適應能力，傳統的監管模式已難以適應其發展需求，在對智能產品應用后果和風險的預判，問題責任歸屬，以及對潛在安全風險管控等方面都將面臨新的挑戰。近年來，各國對于人工智能技術的監管趨勢和立法趨勢日益增強，主要涉及到數據隱私、算法公正性、安全可靠性、機器人倫理等多個方面。2020 年 2 月，歐盟委員會發布了三份重要的數字戰略文件，其中人工智能白皮書-走向卓越與信任

37、歐盟人工智能監管新路徑（White Paper on Artificial Intelligence:a European approach to excellence and trust）是歐盟的人工智能發展戰略，也是歐盟出臺的第一份人工智能白皮書，旨在打造以人為本的可信賴和安全的人工智能，確保歐洲成為數字化轉型的全球領導者。白皮書將“人工智能”定義為將數據、算法和計算能力結合起來的技術集合。特別強調，鑒于人工智能系統的復雜性及其潛在的風險，提升人工智能應用的可靠性至關重要。歐盟希望通過制定更加嚴格的規范，特別要在消費者保護、防止不公平商業競爭、保護個人數據等方面加強立法和管理，最大限度減小

38、人工智能應用風險。2021 年 4 月，歐盟發布 人工智能法案（Artificial Intelligence Act）提案，提出了 AI 統一監管規則，旨在從國家法律層面限制 AI 技術發展帶來的潛在風險和不良影響，使 AI 技術在符合歐洲價值觀和基本權利的基礎上技術應用創新得到進一步加強，讓歐洲成為可信賴的全球 AI 中心。目前，歐洲議會內部市場委員會和公民自由委員會在 2023 年 5 月 11 日 18目前，歐洲議會內部市場委員會和公民自由委員會在 2023 年 5 月 11 日高票通過了人工智能法案的談判授權草案，且已于 6 月中旬提交并通過歐洲議會全會表決，今年晚些時候歐洲議會將與

39、歐盟理事會就法律的最終形式進行談判。2020 年 1 月，美 國 聯 邦 政 府 發 布 了 人 工 智 能 應 用 的 監 管 指 南（Guidance for Regulation of Artificial Intelligence Applications）。這是美國發布的首個人工智能監管指南，為聯邦政府對 AI 發展應用采取監管和非監管措施提供了指引。該指南要求聯邦政府在針對 AI 技術和相關產業采取監管和非監管措施時，要以減少 AI 技術應用的障礙、促進技術創新為原則，隨而推動了美國人工智能監管政策在各行各業的積極發展。例如，美國食品和藥物管理局和美國交通部一直致力于將人工智能監管

40、納入其監管框架；美國聯邦貿易委員會（FTC）于近期啟動了對于人工智能歧視、欺詐和數據濫用等問題的監管規則制定；住房和城市發展部正著手推翻原先制定的一項規則，允許人們對與住房分配有關的算法決策不公提起歧視訴訟和索賠；平等就業機委員會發起了一項在人員雇傭和辦公場所管理等方面需合理有限采用人工智能系統的倡議；五大金融監管部門也已開始調查美國金融機構中存在的影響風險管理、公平借貸和信用額度的人工智能應用及相關做法。192022 年 4 月 22 日，日本內閣發布AI 戰略 2022，旨在加快人工智能在日本的發展。該戰略秉持“以人為本”、“多樣性”、“可持續”三項原則，設定了人才、產業競爭力、技術體系、

41、國際合作、應對緊迫危機五大戰略目標。此外，政府將從經濟安全的角度推出一些舉措，希望在以下五點提高 AI 技術，一是提升 AI 的可信性，確保 AI 的透明性和可解釋性；二是豐富數據以支撐 AI 的應用；三是面向人才培養打造相關環境；四是推動 AI 在政府的應用；五是促進 AI 與物理、化學、機械等日本具備強大實力的領域的融合，以開發競爭力強的產品與服務。2019 年中國國家人工智能治理專業委員會發布新一代人工智能治理原則、新一代人工智能倫理規范，兩者不僅提出人工智能相關方的八項原則，更是為“倫理道德”如何融入人工智能研發和應用全生命周期奠定發展基礎。隨著大數據及相應技術的發展，2021 年 1

42、2 月，國家互聯網信息辦公室聯合公安部等四部門聯合發布了 互聯網信息服務算法推薦管理規定對算法推薦類等技術服務提出合規要求。2022 年，隨著元宇宙、AI 換臉等技術的發展，監管部門針對深度合成技術，發布互聯網信息服務深度合成管理規定以規范國內對相應技術的使用。2023 年 7 月，面對ChatGPT和大模型領域的科技創新動態，中國網信辦聯合國家發展改革委、教育部、科技部、工業和信息化部、公安部、廣電總局七部門發布生成式人工智能服務管理暫行辦法（以下簡稱“暫行辦法”），這也是全球范圍內針對生成式人工智能的首部專門立法。暫行辦法整體聚焦生成式人工智能的規范應用與發展。在內容方面，暫行辦法 明確了

43、責任主體的義務，不僅對生成式人工智能在具體場景的應用提出合規要求，也針對多領域主管部門所管轄的生成式人工智能服務應用開展了行業垂直監管。此外，暫行辦法更是增設“技術發展于治理”章節，鼓勵 AI 技術發展，推動數據資源平臺建設并促進基礎技術的自主創新?？傮w來說，各國在 AI 技術的立法和監管趨勢上多數是為了保護消費者和用戶的利益，旨在增強 AI 技術的透明性，促進技術可信的同時限制 AI 對于社會道德、公平性的破壞。20中國企業出海面臨的合規挑戰221中國企業出海面臨的合規挑戰二在數字經濟領域，中國企業面臨的出海挑戰是復合的，其復合一方面體現在對于監管事項的管理是糅合的，例如企業難以為數據安全、

44、AI 安全以及隱私保護建立三套有所關聯又不同的體系去應對合規要求，成本以及內部執行的復雜性也會讓這種方式難以實施。企業更多地是建立一套管理體系可以響應不同領域的合規要求，梳理為可清晰理解的實施與管控路徑。另一方面的復合體現于出海過程的合規不僅僅企業內部管理、內部技術建設就可以滿足的，企業如何面對監管、面對客戶以及供應鏈、合作伙伴的合規與安全也至關重要。尤其是當出海企業落入數據控制者3角色時，對于合作的其他數據控制者或數據處理者仍需審視其是否具有足夠的能力保護處理過程的安全與隱私。因此本章節將以數據安全與隱私合規為主要切入，在其基礎上通過分析企業需面對的常見的合規事項，并列舉在此基礎上數字平臺與

45、人工智能監管的要點和補充領域，最后總結其對于中國企業的主要挑戰以及主要行業所面臨的特殊合規挑戰。3此處為 GDPR 下的數據控制者（Data Controller）與數據處理者（Data Processer）角色，各國的角色命名與定義以各國法律為準。22另外由于數據跨境的合規流通是近年來另一熱點話題，其所涉及的對象與以上六類合規面向主體存在重疊，且場景較為特殊，將在 2.1.2 章節具體開展介紹。2.1 數據安全與隱私合規態勢概述合合規規面面向向主主體體說說明明監監管管用用戶戶第第三三方方本文中主要指需要向監管部門進行登記、匯報、或其他所需的持續溝通與互動的行動。對于面向消費者的企業，消費者則

46、此處用戶。對于面向企業的用戶，這里主要為系統承載的個人信息的所屬個人。最終指向均為數據主體。出海的主要產品或服務，除業務功能外還需滿足在設計界面、處理流程、安全管控、功能提供等方面的合規要求。管管理理層層即出海企業的管理體系，包含公司業務及在數據安全、隱私保護領域的負責人，以及為支持內部運行的管理制度與管理規范。包括不限于供應商、生態合作伙伴等存在數據流動的第三方組織。產產品品及及服服務務技技術術實實現現支持公司、產品及服務整體安全運行的基礎，包括不限于數據加密、安全事件監控等手段。在本章節中，我們將以出海企業在應對合規過程中需重點關注的六類主體為框架，介紹面對不同主體企業需響應的合規監管事項

47、。23出海企業規范影響遵從管理層產品與服務技術實現e.遵從數據處理的基本原則f.識別可能處理的特殊類型個人數據以及處置要點g.識別并管理數據跨境活動h.開展數據保護影響評估i.采取與數據類型相匹配的保護手段，并持續監測其有效性j.管理數據留存期限k.對數據處理活動進行記錄數據主體a.任命數據保護負責人，識別合規要求并監督其落實供應商或合作伙伴對第三方的數據安全能力進行審查與第三方簽署合同約定責任義務提供數據主體權利請求的渠道與響應當地監管機構數據處理活動登記2.1.1 常見數據安全與隱私合規監管事項出海企業在內部可粗略按照在監管事項響應的主要負責角色來分為三類職能：管理職能、產品與服務的設計職

48、能以及技術實現職能。另一方面在外部，出海企業面對著當地監管機構、數據主體、第三方供應商或合作伙伴的合規需求。內部及外部的合規面向主體的關系可如下圖所示：24任命數據保護負責人，識別合規要求并監督其落實數據保護負責人（或稱數據保護官，Data Protection Officer）是自我約束機制中的重要一環。以 GDPR 的要求為例，數據保護負責人主要有以下職能和角色：一是作為各轄區監管機構的聯絡點；二是幫助數據控制者/處理者識別合規要求并對處理活動中是否滿足合規要求進行監督；三是作為和數據主體的聯絡點；四是作為境外數據控制者或處理者在處理行為發生地的代表。該角色應當具備足夠的專業資質背景，同時

49、企業管理層需要提供對于數據保護負責人履行職責應有的地位、資源以及接觸個人數據和處理機制的渠道，在其履行職責時不應受干涉，如直接向最高管理機構匯報等。但需注意的是，不同國家對于數據保護負責人的要求存在一定差異，主要體現在數據保護負責人任命的觸發條件、該個人的工作地點限制、是否屬于公司雇員等方面。數據保護負責人登記在任命數據保護負責人之后，如 GDPR、新加坡個人數據保護法（Personal Data Protection Act 2012，本文簡稱“新加坡 PDPA”）、泰國個人數據保護法（Personal Data Protection Act 2012，本文簡稱“泰國 PDPA”）均要求企業

50、需要公示其數據保護負責人以便公眾或被處理信息的個人可通過該渠道進行聯絡，GDPR 與泰國 PDPA 則進一步要求該數據保護負責人需告知監管機構該個人及其聯系方式。管理職能將作為出海合規的核心角色，承擔起內部合規的總體職責，同時對外與當地監管機構保持恰當的對接與溝通。2425數據處理活動登記在英國、馬來西亞及尼日利亞，企業在達到指定條件后還需就其數據處理活動進行登記說明。在不具備豁免情形的前提下，處理個人數據的出海企業在英國開展業務時，應在每個收費期前21天內向英國信息專員辦公室（Information Commissioners Office，簡稱“ICO”）支付數據保護費并提供與企業相關的信

51、息，如企業的姓名和地址、企業的工作人員數量、企業財政年度營業額等。支付的數據保護費水平取決于企業的類型、性質、規模和營業額而有所不同。如果數據控制者在 6 個月內處理超過 1000 個數據主體的個人數據，必須向尼日利亞國家信息技術發展局（National Information Technology Development Agency，簡稱“NITDA”）提交一份審計摘要的副本，說明其隱私保護的內部做法，包括收集的個人身份信息、收集目的、收集和使用的隱私政策聲明及獲取同意的方法、數據主體權利請求渠道、安全保障措施、個人數據使用說明、組織的隱私和數據保護政策和程序以及對于該政策和程序的監測與匯

52、報記錄。在 12 個月內處理超過 2000 個數據主體的個人數據的數據控制者，必須在次年 3 月 15 日之前向 NITDA 提交其數據保護審計摘要。而馬來西亞在2013 年個人數據保護（數據使用者類別）法令（Personal Data Protection Regulations 2013，簡稱“PDPR”）及其修正案注明了需要向個人數據保護委員會（Personal Data Protection Commission）注冊的數據控制者類別，涵蓋行業包括：銀行和金融機構、保險業、健康、旅游和酒店業、運輸、直接銷售、1961 年控制用品法（Control of Supplies Act）規定的

53、零售或批發交易等。如果出海企業是作為兩個或以上類別的數據使用者，則出海企業必須就其所屬的每個類別分別向個人數據保護委員會提出注冊申請。26數據泄露事件報告一旦出海企業意識到發生個人數據泄露或重大的數據安全事件，應當按照企業應急預案機制及時控制事件的影響范圍，并在指定時間內將事件情況通報監管機構，根據法律要求告知數據主體。在 GDPR 中，除非數據泄露不會對個人的權益和自由帶來威脅，企業最遲不應晚于意識到泄露發生后的 72 小時通知監管機構，如超出該時間，則需額外對延遲原因進行解釋。通知內容包括事件性質、涉及個人的類別與數量、涉及個人數據的類別及數量、數據保護負責人聯絡方式、后果預估、已采取的措

54、施說明。以韓國為例，當企業意識到發生個人數據泄露事件時，必須立刻通知受影響的數據主體。此外，如果發生涉及 1,000 個數據主體或更多的數據泄露事件，數據處理者除了向數據主體發出個別通知外，還必須向個人信息保護委員會（Personal Information Protection Commission，簡稱“PIPC”）或 PIPA 指定的專業機構報告數據泄露事件，并在其互聯網主頁上披露規定的信息，如果沒有開設互聯網主頁，則在其營業場所的明顯位置披露至少 7 天。27遵從數據處理的基本原則以 GDPR 為例，處理個人數據應遵循合法性、公平性、透明性、目的限制、數據最小化、準確、存儲限制、完整性

55、與機密性、問責制原則。合法性具體體現在數據來源合法、數據處理目的合法等，例如僅在獲取個人同意或為了履行合同、履行法律義務或保護數據主體以及公共利益所必要，再對個人數據進行處理。因此該原則應作為指定產品或服務細節時的主要考量依據。告知與同意是整個數據處理活動中至關重要的環節，也是合法性中最常見的場景。在告知層面，以 GDPR 為例，在獲取數據主體同意收集其個人數據前，應當披露數在內部的產品設計層面，產品與服務的負責人則需根據數據保護負責人識別的應履行的合規要求，在設計層面的上對此類要求進行落地。據控制著的身份和聯系方式、數據保護負責人的聯系方式、處理目的及法律基礎、其他可能接收到數據的第三方、存

56、儲期限或期限的確定標準、其所享有的數據主體權利及履行方式、涉及的自動決策機制與分析過程等。若如上信息發生變化，至少需告知數據主體。該同意應當是自由做出的，且該同意應當是有權隨時被撤回的。但需要注意的是，同意的形式或根據當地法律法規的要求有所不同，如一般的同意、明確同意或書面同意以及單獨同意。在 GDPR 中，對特殊類型的個人數據進行處理、個人數據被用于自動化決策以及數據出境時，需要獲取數據主體的明示同意。28綜合各國家和地區的法律規定來看，特殊類型的個人數據略有不同，企業需根據運營所在地識別當地文化下需特別關注的個人數據類型。常見的、可能被納入特殊類型的個人數據有：種族、民族起源、政治觀點、宗

57、教信仰、哲學信仰、基因、生物特征、健康數據、性生活、性取向等。各國與地區均要求特殊個人數據的處理需具有更高的保護要求，這要求出海企業在海外應先識別所在轄區的特殊類型的個人數據種類，并就這些特殊類型的個人數據種類采取比一般合理措施更為嚴格的安全控制措施。識別并管理數據跨境活動企業應識別并管理自身數據跨境的活動，并評估境外接收方是否有足夠的能力保護個人數據的安全以免損害數據主體的利益，同時也需符合當地法律對于數據出境的必要條件。針對于數據跨境活動而言，除需通過所在國家規定的數據出境管理要求外，通常還需在數據跨境前需要獲取數據主體的明示同意，并告知供其進行決定的必要信息，如出境后接收國及接收方、可能

58、帶來的風險等。詳細內容可參見 2.1.2 章節。識別可能處理的特殊類型個人數據以及處置要點而另一類常見的需特別關注的個人數據類型則為兒童個人數據。近年來，因兒童個人數據安全事件頻發，各國開始紛紛關注兒童個人信息問題，特別是歐美發達國家對兒童個人信息的關注度較高且對于兒童的定義各不相同，因此在企業出海過程中應首先識別所在轄區對于未成年人或兒童的年齡規定，再針對所在轄區制定相應的兒童個人數據處理與管理流程。例如英國規定年滿 13 歲的兒童才可提供有效的同意；日本則要求處理 15 歲及以下兒童的數據時應獲得法定監護人同意。29數 據 保 護 影 響 評 估（Data Protection Impac

59、t Assessment，簡稱“DPIA”）為在 GDPR 下引申出的一種對于特殊處理活動所產生的后果及影響分析的手段，如自動化決策或大規模對敏感個人數據的處理。其至少應包括對于數據處理技術和處理目的的描述、處理目的的必要性分析、對于數據主體可能帶來的影響及風險的評估以及預想的應對風險的措施。出海企業應在處理數據之前進行 DPIA，識別可能導致自然人的權利和自由面臨較高風險的可能性和嚴重性，特別需要考慮數據處理的范圍、背景和目的以及風險的來源、概率、特殊性和嚴重性，并幫助識別為消減此類風險需采取的安全技術保障措施。修訂前的加利福尼亞州消費者隱私法案（California Consumer Pr

60、ivacy Act，簡稱“CCPA”）并沒有強制要求出海企業進行此類評估，然而，2020 年通過的加利福尼亞州隱私權利法案（California Privacy Rights Act，簡 稱“CPRA”）在 CCPA 的基礎上進行了拓展，其指出開展數據保護影響評估加 州 隱 私 保 護 局（California Privacy Protection Agency，簡稱“CPPA”）有權發布法規，要求處理消費者個人信息對消費者隱私或安全構成重大風險的企業定期提交個人信息處理風險評估，包括處理過程是否涉及敏感個人信息 確定并權衡處理過程中給企業、消費者、其他利益相關者和公眾利益帶來的影響和潛在風險

61、，如果處理的風險大于給消費者、企業、其他利益相關者和公眾帶來的利益，則限制或禁止這種處理。出海企業應時刻關注加州隱私保護局針對風險評估的監管動態，并按照最新監管要求制定處理個人信息風險評估的流程。出海企業若在加拿大魁北克省開展業務，則需要按照修訂后的魁北克私營部門個人信息保護法（Privacy Protection In Quebec:An Overview Of Amendments To The Law Governing The Private Sector）要求，對涉及獲取、開發或重新設計涉及個人信息的信息系統或電子服務交付的任何項目，以及在個人信息被轉移到魁北克區域外時，進行數據保護

62、影響評估。30 阿根廷數據保護機構已于 2020 年 1 月 28 日發布數據保護影響評估指南（Data Protection Impact Assessment Guidelines），該指南給出了開展數據保護影響評估應包含如下階段：另外，該指南還提供了一個企業在進行數據保護影響評估之前應該考慮的問題清單，如該項目是否涉及敏感數據的收集；所處理的數據是否來自弱勢群體；該項目是否涉及使用會因其性質或程度而對隱私或人們的權利構成風險的技術；是否與組織外的第三方簽訂合同來進行數據處理活動；數據是否轉移到第三國；這些國家是否有被認為是適當的立法。a.第一階段是確定參與者并記錄評估的過程，目的是確定初

63、步分析和評估的參與者，并 確定記錄過程；b.第二階段是適用法律的分析，目的是分析適用于所進行的數據處理的法規，以了解它們對該處理的不同階段的適用性；c.第三階段是初步分析，目的是對影響后續評估需求的幾個因素進行初步分析；d.第四階段是處理背景梳理，目的是從個人數據保護的角度分析所有處理階段的情況；e.第五階段是風險管理對第四階段確定的處理背景的每個階段進行風險分析，以充分管 理這些風險；f.第六階段是風險處理計劃，目的是對第五階段確定的風險進行處理計劃的制定。3031除了在內部關注對于產品設計上對隱私的保護外，安全保障部門在產品或服務以及公司內部對于數據保護的技術手段實施，從安全角度提供合規能

64、力的支撐。對于數據處理過程，考慮到目前的技術水平、實施成本、數據處理的性質、范圍、內容、目的，以及數據處理給自然人的權利和自由帶來的不同可能性和不同嚴重程度的風險，控制者和處理者應當采取適當的技術和組織措施，以確保安全保障等級和預期風險是相匹配的。企業可采取的技術措施包括不限于個人數據的匿名化和加密、對數據處理系統或服務的安全保障、數據備份及恢復、對措施的有效性進行檢測、評估。目前全球的此類法規中，幾乎未見直接約束企業需采取的具體保護手段，更多從原則上進行要求。數據保留指對特定類型的數據設定保留期限，在期限截止日期到來之前對指定數據進行安全存儲。如歐盟、泰國、新加坡及尼日利亞，提出了企業應根據

65、最小化原則來管理數據的留存期限，通常不會強制設定一個固定值。出海企業需要時刻關注監管要求變化，對所在轄區法律以及自身業務實際需要對需保留的數據類型進行識別并設置保留期限，或設置到期后強制刪除。采取與數據類型相匹配的保護手段，并持續監測其有效性管理數據留存期限3132部分國家和地區對于不同類型的數據提出了保留處理記錄的合規要求，出海企業應在職責范圍內保存數據處理活動的記錄，并有義務配合轄區數據保護監管機構的調查，根據要求提供記錄，以便監管機關能夠對數據處理行為進行監測。GDPR 要求每一位數據控制者或數據處理者均需保留數據處理活動的記錄，記錄包括數據控制者姓名及聯系方式、數據主體的類別和個人數據

66、類型的描述、數據傳輸的接收方、跨境傳輸的接受方及目的地國、刪除數據的時限、技術和組織管理措施等信息。泰國 PDPA 也有類似的要求，并對記錄內容提出了更細致的要求，如需記錄收集個人數據的目的、使用及披露情況、數據主體權利及請求提出方法。韓國2011年的 個人信息保護法（The Personal Information Protection Act，簡稱“PIPA”）要求數據控制者存儲和管理登錄記錄，記錄包含在數據控制者的指導和監督下處理個人數據的負責人、雇員和工人在內的角色對數據處理系統的訪問，時間至少為一年。這種登錄記錄應包含 ID、訪問日期和時間、識別訪問者的信息，以及個人數據處理者在連接

67、到數據處理系統時執行的任務。對數據處理活動進行記錄如前文所說與供應商和合作伙伴的數據流動過程中，書面及技術上的責任劃分是有所必要的。3233數據處理協議是數據控制者和共同控制者或數據處理者之間的合同，旨在確保雙方遵守所在轄區的數據保護法律法規，通常它將約定了與雙方主要協議相關的數據處理活動的性質、目的和持續時間以及如何響應數據主體的權利。以加拿大聯邦的個人信息保護和電子 文 件 法（Personal Information Protection and Electronic Documents Act，簡稱“PIPEDA”）的規定為例，當信息由第三方處理時，該組織應使用合同或其他方式提供相當水

68、平的保護。依據加拿大隱私專員辦公室（Office of the Privacy Commissioner of Canada，簡稱“OPC”）對該規定的解釋，合同應包與第三方簽署合同約定責任義務括：1.要求第三方處理者制定隱私政策和程序，包括其對員工的培訓和有效的安全控制措施；2.要求個人信息在任何時候都能得到第三方處理者的妥善保護；3.組織有權審計和檢查第三方。根據修訂后的魁北克私營部門個人信息保護法（Privacy Protection In Quebec:An Overview Of Amendments To The Law Governing The Private Sector），

69、各 組織還需要在合同中明確規定對個人信息的使用限制、保留期限，以及要求第三方提供安全事件的通知?；诖?，出海企業在外包個人信息處理給第三方時應該確保已簽署包含前述內容的數據保護合同。34除合同協議外，當出海企業作為數據控制者選擇供應商作為數據處理者時，需審查其是否有足夠的能力在受托處理過程中保證數據的安全性、完整性以及評估數據泄露的風險。若出海企業自身作為整個出海過程中的一部分受托處理數據的處理者時，則仍需滿足響應的數據保護要求，以應對可能的來自于數據控制者的審查。在日本的個人信息保護法（Act on the Protection of Personal Information，簡稱“APPI

70、”）中則要求若將部分或全部數據處理行為委托至其他人，那么則應當實施必要且足夠的監督，來保證個人數據處理過程中的安全管理。從數據安全與隱私合規法律來說，通常沒有對具體審查的方式進行強制約束，但對于特定行業，如新加坡銀行業要求外包服務供應商提交 OSPAR 審核報告（Outsourced Service Providers Audit Report，簡稱“OSPAR”）以證明其符合該行業的特定安全要求水平。通常隱私保護法規會賦予了數據主體多項權利，但各法律具體規定的權利有所不同，常見的權利如知情權、訪問權、數據更正權和刪除權、撤回同意等權利。這就要求了一方面數據控制者需要為數據主體提供便捷、公開的

71、渠道，另一方面數據的控制者及處理者需要協同對數據主體的具體請求進行響應，并且該響應應當在當地法律法規要求的特定時間內進行處理及回復。當出海企業在美國加利福尼亞州開展業時務，除了注意常規的數據主體權利保護外，還應注意保障消費者不受歧視的權利，禁止的歧視行為包括但不限于：1.拒絕向消費者提供商品或服務；2.對商品或服務收取不同的價格或費率；3.向消費者提供不同水平或質量的商品或服務；4.暗示消費者將獲得不同的商品或服務價格或費率，或不同水平或質量的商品或服務；5.對雇員、求職者或獨立承包商進行報復，這些雇員、求職者或獨立承包商因行使 CPRA 規定的權利而受到威脅。對第三方的數據安全能力進行審查提

72、供數據主體權利請求的渠道與響應最后，企業還需在產品或公司官網等渠道，服務于數據主體的合理權利請求：35 2.1.2 數據跨境流通態勢及監管重點國家執法機構對數據跨境的監管一方面是為了滿足公民對個人信息保護的需求，也是為了維護自身在政治經濟方面的利益。數據價值實現和數據安全保障的融通對數字經濟的發展具有深刻的影響。因此，世界各國、各地區立法機構和政策制定機構紛紛建立和完善數據跨境流通相關的國內法規政策，并積極制定數據跨境流通的國際協議，以平衡兩者矛盾，從而促進經濟安全快速發展、搶占數字經濟市場先機。各國出于對國家安全和隱私保護的考量，會提出數據跨境流通的“門檻”，不同國家在數據跨境的態度上各不相

73、同，常見的數據跨境合規路徑包括以下方式。國家層面對于數據跨境的監管重點數據本地化俄羅斯是要求數據本地化存儲的最具有代表性的國家。俄羅斯有關法律要求，俄羅斯公民的個人數據必須首先在俄羅斯數據庫中存儲，隨后才能按照數據跨境流通的規則傳輸至其他國家。另一個具有代表性的國家是印度，不同于俄羅斯，印度不是對所有類型的數據都要求本地化傳輸，而是將個人數據劃分為一般個人數據、敏感個人數據和關鍵個人數據，并對每類數據的跨境傳輸做出了不同的要求：敏感個人數據必須存儲在境內，但副本可以按照跨境傳輸的要求傳輸到境外；關鍵個人數據要求只能在印度境內處理，只有在滿足極其特定的條件方能批準出境。數據本地化存儲要求企業在當

74、地擁有數據中心或服務器，相關設施的建設會增加企業在當地開展業務的運營及合規成本。企業在嚴格執行數據本地化存儲的國家和地區開展業務，需要充分評估在當地存儲數據的成本、數據在當地存儲后跨境傳輸的必要性、開展業務的利益前景等諸多方面的因素，進行合理決策。36 基于一定的出境保護機制該條件要求數據的傳輸方或接收方采取一定的隱私安全保護措施，以確?？缇硞鬏數臄祿陌踩?。世界大部分國家都采用了出境保護的機制，規定了出境保護的具體情形，同時也給出了例外情形，以最大限度覆蓋商業、公共管理等數據跨境流通場景。常見的出境保護措施包括:1.對接收方法律環境的要求：接收方國家應具有與發送方國家同等標準的個人信息保護體

75、系。部分國家會在監管過程中對此類國家和地區的范圍進一步進行明確，如俄羅斯個人信息保護法（Personal Data Protection Laws）第 12 條即說明個人數據可傳輸至歐洲委員會個人數據自動化處理時個人保護公約（The Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data）的公約國及其他充分維護個人數據主體權利的國家。2.使用標準合同條款（Standard Contractual Clause,簡稱“SCC”）：以歐盟及我國為代表，均將數據

76、傳輸與接受方之間簽訂標準合同條款作為一定條件下數據跨境的合規前提。3.有約束力的企業規則（Binding Corporate Rules,簡稱“BCRs”）：在 GDPR 中，BCRs 主要適用于大型跨國企業在不同區域的企業內部的數據跨境流通。4.監管機構認可的認證或評估：歐盟數據保護委員會（EDPB）通過了關于認證作為數據跨境傳輸工具的指南（Guidelines 07/2022 on Certification as a Tool for Transfers），探索將認證作為數據跨境傳輸合規機制的一種手段中的具體規則。37全面與進步跨太平洋伙伴關系協定（CPTPP）CPTPP 協定由十一個太

77、平洋地區的國家簽署并于 2018 年生效，是太平洋地區的重要自由貿易協定，并且中國已于 2021 年 9 月加入CPTPP。CPTPP 對個人信息保護和數據跨境流動的規則在第十四章“電子商務”中進行了規定，接收各締約方數據跨境規則的多樣性，但是不允許對數據跨境傳輸進行變相的限制，也不允許將數據本地化作為市場準入條件。這些約定充分顯示了 CPTPP 協定對于數據跨境的推動于支持態度。對企業來說，需要注意的是，即使開展業務的國家加入了 CPTPP 協定，數據跨境也并非完全自由，也依然要在遵守所在國家數據跨境要求的前提下進行。區域全面經濟伙伴關系協定（RCEP）RCEP 的協定國由 6 個東盟成員國

78、和中國、日本等 4 個非東盟成員國組成，該協定于 2022 年 1 月 1 日正式生效。RCEP 協定在鼓勵為電子商務創造有利環境的同時，也在第十二章“電子商務”明確約定了各締約方可以有各自的監管要求。對于金融服務數據跨境流動，RCEP 特別規定，在要求保障日常運營所需數據正常傳輸和處理以提高金融服務銷量的同時，認可各國監管機構出于監管或審慎原因制定法律法規的正當性。但是，對于企業來說，RCEP 協定為企業創造的數據跨境流動便利較為有限，企業仍需對參與協定的各國的數據跨境要求進行深入調研，以確保數據跨境業務的順利進行。除了本國立法外，為了提高數據跨境流通的效率，更加充分地發揮數據價值，從而促進

79、跨境數字經濟快速發展，一些國家和地區也在積極建立數據跨境流通相關的協議，促進數據在達成協議的國家、區域之間流通。對于中國出海企業，可關注中國參與的商業關系組織之間對于數據流通的協議。國家間/區域間協議38在國際上，部分協定劃定了在一定的國家范圍或條件下，數據跨境可以相對自由地實現。歐盟充分性認定歐盟在 GDPR 中制定了“充分性認定”程序，即如果第三國具有和歐盟同等水平的數據保護標準從而經過認定進入歐盟的白名單，則第三國企業可以不受限制地將在歐盟收集的個人數據引入第三國?！俺浞中哉J定”的條件包括：法治程度、是否尊重人權和自由、是否具有個人數據保護相關立法并有效實施、是否有獨立的數據保護監管機構

80、并有效運作、是否加入個人數據保護的國際條約或協定并承擔保護個人數據的義務等。目前已有日本、新西蘭、瑞士等國家或地區通過了“充分性認定”，也有很多國家正在積極加入歐盟設立的白名單，但是中國尚不在白名單中。歐盟的“充分性”認定機制給為企業部署數據中心提供了更多的空間，即可以將數據中心部署在白名單國家，以實現經濟或者商業目的，并在同時實現歐盟境內個人數據的跨境流通。APEC 全球跨境隱私體系 CBPRCBPR 在亞太經合組織 APEC 第 19 次領導人非正式會議上得到認可。CBPR 的核心由數據保護基本框架、認證機構、內部執行機制三部分組成的隱私保護認證機制，APEC 經濟體中的數據控制者在滿足數

81、據保護基本框架、并按照內部執行機制執行可以申請加入該認證體系，獲得認證的企業可證明自身的數據保護水平。當前加入的國家和地區包括：美國、墨西哥、日本、加拿大、韓國、新加坡、澳大利亞、菲律賓和中國臺灣。目前已有來自美國、新加坡、日本、韓國的 67 家企業經過了 CBPR 體系的認證。雖然 CBPR 也為由數據跨境傳輸需求的企業提供了一種數據跨境傳輸的合規途徑，但是認證成本也不可忽視。39歐盟2022年7月，歐洲議會高票通過 數字市場法（Digital Market Act，簡稱“DMA”）和 數字服務法（Digital Services Act，簡稱“DSA”），旨在明確數字服務提供者的責任，加強

82、對社交媒體、電商平臺和其他在線平臺的監管。DSA 的前身是歐盟電子商務指令，頒布時仍處于互聯網發展初期，以鼓勵電商發展為要旨，規定法律責任較輕。然而，在網絡信息技術發展的同時，互聯網中介服務提供商也造成了非法商品或服務的大范圍泛濫和非法內容的加速傳播，對消費者權利帶來了不良影響。為兼顧歐洲數字化發展轉型和消費者權利保護，歐盟大力修訂指令，DSA 已于 2022 年 11 月 16 日正式生效。DSA 針對向歐盟用戶提供網絡信息服務的中介服務提供者劃分了不同層次，包括一般中介服務提供者（如提供信息傳輸、緩存或托管服務的提供商）、托管服務提供商（如云計算、虛擬主機等存儲信息的服務）、在線平臺（應用

83、程序商店、電商平臺、社交平臺）以及月均活躍用戶超 4500 萬人被歐委會指定的超大型在線平臺（VLOPs）和超大型在線搜索引擎（VLOSEs），需履行的主要義務包括透明度報告、非法內容舉報、內容審核、用戶協議、推薦透明度、廣告透明度、與監管和用戶建立單一聯絡點等。此外，VLOPs 和 VLOSEs 還需要承擔系統性風險評估、設立合規職能部門、向監管提供數據訪問共享等額外義務。如不履行義務，最高處以全球年營業額6%的罰款，對提供不正確、不完整或誤導性信息的行為，處以全球收入或營業額1%的罰款。下圖則展示了對于超大型在線平臺（VLOPs）和超大型在線搜索引擎（VLOSEs）的額外監管要求的說明。隨

84、著數字化時代的不斷推進，數字平臺已經成為了社會經濟發展的重要組成部分。然而，數字平臺的快速發展也帶來了監管難題，數字平臺的壟斷、數據融合等監管問題越來越受關注，公平競爭和保障用戶權益成為立法重點。2.2 數字平臺監管態勢概述40DMA 試圖構建一個數字化的公平競爭環境，為大型在線平臺（“守門人”）明確權利和義務規則，并要求企業不可濫用其優勢地位。若一個大型在線平臺可能對市場產生重大影響、提供“核心平臺服務”，且目前或將來具有根深蒂固和持久的地位，將會被歐委會認定為守門人。守門人如果達到相關的看門人門檻而未能按照 DMA 的要求告知歐盟委員會，則可能會被處以其上一財政年度全球總營業額 1%的罰款

85、。DMA 要求守門人應允許第三方在特定情況下與網守企業4提供的服務進行交互操作；應允許業務用戶訪問在使用守門人服務時生成的數據；應允許用戶在守門人平臺之外推廣他們的產品等應做義務。如果守門人不遵守DMA 的關鍵義務，歐盟委員會可以處以上一財政年度全球總營業額的 10%的罰款，或者在屢次不遵守的情況下處以最高 20%的罰款。1324添加標題添加標題建立獨立于運營職能并由一名或多名合規官（包括合規職能負責人）組成的合規職能。該職能必須具有足夠的權限、地位和資源，以及訪問管理機構以監控合規性的權限。外部合規性審計外部合規性審計管理系統性風險管理系統性風險在線廣告透明度公開在線廣告透明度公開在歐盟委員

86、會的監控下，至少每年一次由外部且不存在利益沖突的審計師開展的自費審計以評估合規性，減少風險。最終出具書面的審計報告。分析產生的所有系統性風險，采取必要的措施以減輕這些風險。系統性風險包括非法內容的傳播、對于歐盟憲章基本權利的負面影響、選舉進程及公共安全的負面影響、對于性別暴力、公共健康、未成年人的負面影響，以及其他對個人產生身心健康產生嚴重不利后哦給的事項維護展示的廣告以及與廣告相關的信息的公共信息庫。信息庫應包含的內容包括廣告內容、所代表的自然人或法人、支付廣告費用的自然人與法人、發布時間、定推的特定服務群體、服務接受者的總人數等。合規職能設立合規職能設立5768添加標題添加標題在流行病和戰

87、爭等嚴重威脅公共衛生和安全的情況下建立應對機制，評估可能構成的嚴重威脅以及采取相稱的措施減少或解決威脅。透明度報告透明度報告履行數據訪問義務履行數據訪問義務繳納監管費繳納監管費透明度報告包括發布并向監管機構發送風險評估、緩解、審計和審計實施報告。透明度報告應至少每六個月發布一次，還需包括風險評估和審計相關的信息VLOP和VLOSE應配合數字服務協調員或委員會的要求，提供相關數據的訪問，以及對算法系統的解釋說明。包括算法的設計、邏輯、運作和測試情況，以及對于歐盟系統性風險研究的數據提供。超大型網絡平臺和超大型網絡搜索引擎的提供者繳納年度監督費。建立危機應對機制建立危機應對機制4據數字服務法（DS

88、A），網守企業指大型互聯網公司，也是所謂的“守門人”（gatekeeper）企業。其規模足夠大，是具有系統性影響的平臺企業，且連接了廣泛的個人和企業用戶，具有強大的經濟地位，對所處市場具有重要影響。41美國美國參議院和眾議院在 2022 年 6 月發布了美國數據隱私和保護法（the American Data Privacy and Protection Act,簡稱 ADPPA）的草案，該立法草案是第一個獲得兩黨兩院支持的美國聯邦全面隱私保護提案，并且聯邦貿易委員會（FTC）專門設立一個新部門，負責執行這項法律。這項具有分水嶺意義的隱私保護法案，將為數據隱私保護引入一個美國聯邦標準，通過為個

89、人提供廣泛的保護，對非營利組織和電信企業等所有組織提出嚴格的要求，為保護個人數據創建一個強有力的國家框架。此外，美國政府還出臺了加強美國網絡安全法（Strengthening American Cybersecurity Act）等法律，旨在加強對數字平臺的監管?？傮w來看，在數字平臺監管方面仍處于不斷探索、完善、升級的過程中。監管機構需要密切關注數字平臺行業動態和風險發展趨勢，尋求有效的監管手段與技術工具。中國出海企業前往海外如歐美、澳洲等發達國家出海的過程中，需特別識別是否落入了平臺類的監管要求，及時分析與當地政策之間的合規差異，在職能建立、風險管理、透明及可信度方面進一步補強能力。42人工

90、智能的跳躍式發展在給人類社會帶來廣闊前景的同時，也給個人安全和保障帶來很大風險，增加了侵犯人類基本權利的可能性。隨著人工智能技術的發展和應用逐漸廣泛，相關立法需求越發迫切，歐盟、美國、加拿大、中國等國家先后出臺了一系列相關法律法規，以保護國家及個人的信息安全及隱私權利。歐盟歐盟于2021年4月21日公布了首個全面覆蓋人工智能的法規草案 人工智能法案（The Artificial Intelligence Act）是人工智能發展的重要里程碑。該草案目的在于降低人工智能風險，發展統一、可信賴的歐盟人工智能市場，保護歐盟公民基本權利。草案設置的監管結構兼顧了可能面對的企業面對內部和外部風險，細化了人

91、工智能風險等級，并制定了相對應的監管措施。草案適用于在歐盟內運行的所有當地和第三方國家的人工智能系統。草案把人工智能系統分為不可接受的風險、高風險、有限風險和極低風險四種類型：2.3 人工智能監管態勢概述不可接受風險：含被禁止的人工智能行為的實踐，如可能對個人或公眾產生威脅，例如對人或特定人群的認知行為操縱，會影響社會公平的對人的分類，實時且遠程進行生物特征識別的系統等。高風險：可能對安全或人的基本權利產生負面影響的人工智能系統，其分為兩類，一類適用于歐盟產品安全法規（EUs product safety legislation）的產品中的人工智能，如玩具、航空、汽車、醫療等，以及特定領域中的

92、人工智能，如用于自然人的生特征識別和分類、教育和職業培訓、影響就業職業機會的人工智能系統。有限風險：需要符合最低透明度要求的風險有限的人工智能系統，主要用于使用戶做出合理決策或其他不包含不可接受風險和高風險的 AI 交互。43其中著重指出對于具有高風險的人工智能產品和服務需要實施上游治理防范，規定了嚴格的前置審查程序和合規義務。高風險人工智能在使用時應受到嚴格的監管，嚴格遵守數據管理、記錄保存、透明度、人為監管等規定，以確保系統穩定、準確和安全，具體如下。建立和維持風險管理系統，風險管理系統需要能夠識別已知的和可預見的以及使用后可能存在的風險；進行數據治理，訓練人工智能系統的數據應當滿足一定的

93、質量標準要求，并且在對于數據的訓練、驗證、測試等環節，需要遵循相應的管理規定；在人工智能系統入市前，應當制定并更新技術文檔，并向主管部門提供所有必要的信息；人工智能系統應當在技術上設計為自動記錄相關日志，并且能夠進行追溯。日志至少應當包括記錄時間、參考數據庫、輸入數據以及參與自然人等；人工智能系統應當確保其操作足夠透明，附有簡明、完整、正確和清晰的信息，使得用戶能夠正確理解和使用系統；人工智能系統的設計應當保證人能夠實施干預。人工智能系統應當進行合格評估，由相關機構驗證人工智能系統是否滿足前述入市前的各項管理要求；并起草一份合格聲明，交由國家監督機構和主管部門保管；人工智能系統在投放入市場或投

94、入使用時，應當在歐盟建立的數據庫中進行備案。該數據庫可以為公眾免費使用瀏覽，并可以被機器所讀??；進入市場前進入市場中管理措施生命周期44初版草案并未提及生成式人工智能和聊天機器人，但在修正案中，將生成式人工智能與高風險人工智能劃分在了同一級別。對于草案明確的不可接受風險，包括利用人的潛意識扭曲個人行為給他人帶來身體和心理傷害，利用特定群體的脆弱性影響個人行為給他人帶來身體和心理傷害，以及任何形式的社會信用分級以及實時的遠程生物識別技術，均予以明令禁止。屬于有限風險的人工智能系統，需要履行包括告知用戶等透明義務，以確保用戶的知情權和選擇權。對極低風險的人工智能系統，例如垃圾郵件過濾器，草案沒有進

95、行干預。人工智能系統在投放入市場時，應當貼上實體/數字形式的CE 標志。人工智能系統入市后，應當建立入市后檢測系統，收集、記錄和分析人工智能系統在整個生命周期的性能數據；在人工智能系統發生嚴重事件時，人工智能系統的提供者應當在意識到該嚴重事件后 72 小時內向國家監督機構報告。進入市場中進入市場后管理措施生命周期該草案在歐盟一般數據保護條例（GDPR）的基礎上進一步明確了人工智能系統方向的法律框架，明確了數據治理和技術監管方面的要求。目前，歐洲議會內部市場委員會和公民自由委員會在 2023 年 5 月 11日通過了 人工智能法案 的談判授權草案，并已于 6 月 14 日在歐洲議會表決通過，歐洲

96、議會、歐盟委員會與歐盟理事會進行談判后預計將于今年晚些時候通過。45美國美國白宮于 2022 年 10 月發布了人工智能權利法案藍圖（Blueprint for an AI Bill of Rights），該藍圖雖不具有強制性，但其重要性不應被低估。該藍圖指出，確保個人數據不被誤用或濫用，是開發或部署人工智能的企業需要自愿遵循的準則。在沒有頒布具體法律之前，遵守這些準則將是選擇性的。該文件制定了設計、使用和部署自動化系統時應遵循的五項原則，包括：（1）安全有效的系統；（2）算法歧視保護；（3）數據隱私；（4）通知和解釋；（5）人工替代、考慮和回退。該文件的出臺將為美國人工智能發展提供指引。20

97、23 年 1 月，美國國家標準與技術研究院（NIST）發布了 人工智能風險管理框架（AI Risk Management Framework，簡稱“AI RMF”），旨在指導機構組織在開發和部署人工智能系統時降低安全風險，避免產生偏見和其他負面后果，提高人工智能可信度。該框架主要提出了兩個視角，一是為識別人工智能環境中的風險提供了一個概念性路線圖，概述了與人工智能相關的一般風險類型與來源，并列舉了可信賴的人工智能的七個關鍵特征：安全、可靠和有韌性、可解釋性、隱私增強、公平、負責任且透明、有效且可靠。二是提供了一套評估和管理風險的組織流程，將人工智能的“社會技術”維度與人工智能系統生命周期的各個

98、階段，以及相關參與者聯系起來。這些過程和活動的關鍵步驟是“測試、評估、驗證和確認”，并被分解為治理、映射、測量和管理四大核心功能，每個功能項下還分為不同的類別和子類別，通過多元化展開，幫助機構組織在實踐中應對人工智能系統帶來的風險和潛在影響。46加拿大在加拿大，2022 年 6 月，聯邦政府在下議院提出了 C-27 法案，C-27 法案的一個新特點是提議頒布 人工智能與數據法案(Artificial Intelligence and Data Act，簡稱“AIDA”)。AIDA 是加拿大第一部規范 AI 系統創建和使用的聯邦法律，將對不遵守規定的行為進行處罰，旨在以減輕傷害和偏見風險的方式開

99、發和部署高影響力的 AI 系統來保護加拿大人。AIDA 將“人工智能系統”定義為一種技術系統，它通過使用遺傳算法、神經網絡、機器學習或其他技術，自主或部分自主地處理與人類活動相關的數據，以生成內容或做出決策、建議或預測。AIDA 的既定目的主要有兩點，一是通過建立適用于全加拿大的 AI 系統的設計、開發和使用的共同要求，規范 AI 系統中的國際和跨省貿易和商業；二是禁止與 AI系統相關的某些行為，這些行為可能對個人或其利益造成嚴重傷害。AIDA 將“傷害”定義為對個人的身體或心理傷害、對個人財產的損害，或對個人的經濟損失。中國2023 年 7 月 10 日，中華人民共和國國家互聯網信息辦公室聯

100、合多個部委發布了生成式人工智能服務管理暫行辦法（以下簡稱“辦法”），對生成式人工智能在我國的開發及應用進行規范。該辦法中，對于生成式人工智能的定義是指具有文本、圖片、音頻、視頻等內容生成能力的模型及相關技術。該辦法面向與公眾服務的生成式人工智能，不47總則堅持正向價值觀避免歧視商業公平尊重合法權益透明、準確、可靠技術發展與治理鼓勵內容、應用場景、生態的創新鼓勵算法、框架、芯片及軟件平臺的自主創新，以及數據資源平臺建設依法開展訓練數據處理活動，包括來源合法、保護知識產權、個人信息保護、提高訓練質量、遵循法律法規提出的安全要求數據標準活動應制定清晰、具體、可操作的標注規則，對標注質量進行評估，對參

101、與人員進行培訓服務規范承擔網絡信息內容生產者責任，履行網絡信息安全義務，以及可能涉及到的個人信息保護義務與使用者簽訂服務協議明確及公開其服務的適用人群、場合、用途，指導使用者科學理性認識和依法使用生成式人工智能技術依法履行輸入信息和使用記錄保護義務，不得收集非必要個人信息提供安全、穩定、持續的服務發現違法內容時的處置措施以及模型優化整改建立投訴、舉報機制，公布投訴舉報入口，公布處理流程和反饋時限，及時受理、處理公眾投訴舉報并反饋處理結果除此之外，中國在近幾年陸續發布了互聯網信息服務算法推薦管理規定互聯網信息服務深度合成管理規定，并已經開啟了算法備案等行動。作為中國企業，需要做好靈活應對，及時進

102、行政策調整。中國人工智能系統研發企業在符合我國合規要求的同時，如果想要出海在歐盟，應及時通過歐盟要求人工智能企業完成的前置審查程序，確定企業自身研發的人工智能系統屬于哪種風險類型，并進行相對應的合規檢查，以確保企業滿足數據管理、透明度、人為監管等規定；如果想要出海美國，則需更多的考慮自身是否屬于大型科技企業，是否需要承擔更多的責任。企業在明確出海目標后，應及時制定相應的出海戰略，并落地執行一系列關于如何做、怎么做的具體方案。適用于新聞出版、影視制作、文藝創作等活動以及不面向境內公眾提供的服務。辦法的核心內容如下圖。48綜合前文所述，企業出海過程中面臨的監管要求是非常多樣化的，面向這些監管要求的

103、應對需要從管理、業務與技術三個維度進行考量。2.4 對中國企業出海的主要挑戰跨多個國家的合規要求融合不同國家與地區之間的合規要求有所差異的，大的差異包括需履行職責的不同或特定國家提出特定的合規要求，小的差異包括如 21 天、72 小時內等時間范圍的差異。但企業無法對每一個出海國家都建立一套獨立的管理制度體系，建立共性的管理目標、標識各國特例的管理要求，對于企業來說是減少合規壓力、提高管理效率的手段之一。但此類管理體系的建立，必須基于對當地法律法規的充分理解上，因此合規追蹤是企業管理的必修課。海外合規負責人的選定與協作企業需根據自身業務涉及的數據規模與范圍，考慮在海外的合規負責人，如數據保護負責

104、人以及平臺合規負責人。成本的規劃：海外合規負責人的設置不可避免的導致人力和管理成本的增加，企業除任命該負責人外，還需考慮該角色履行職責需具備的團隊規模以及招聘成本。人員的選用與管理：海外合規負責人需具備一定的專業資質背景、工作能力，在全球安全與合規人才緊缺的當下，企業需面臨雇傭當地專家還是從中國派駐專第一個維度為企業管理面臨的上層設計挑戰。監管機構數據主體關聯主體：49家的抉擇，其難免存在當地人才與與國內工作文化適配，或國內員工在與當地合規監管部門溝通、與當地團隊探索協作方法的權衡。協作模式：企業如何為其提供足夠的資源以支持其履行其職責帶來的團隊規模、團隊架構、合作模式都將與國內的本土業務有所

105、差異，尤其是不同文化背景下、甚至跨國間的溝通與協作成為另一難點。數據跨境傳輸數據跨境的合規難點在于場景的識別以及對于合規傳輸的路徑選擇?？缇硤鼍暗亩鄻踊褐袊髽I出海常涉及到數據由中國境外傳輸至境內處理、跨區域數據訪問、數據在境外不同國家與區域間跨境傳輸等不同的情況，迫使企業需要應對境內外的因不同文化、政治及經濟因素產生的多樣化的數據合規要求和執法政策。對于不同國家數據跨境的監管要求的識別：不同國家之間的數據傳輸往往需要通過特定的合同或規則才可進行，這給企業進行業務所在地的決策、數據中心選址帶來了挑戰，企業需考慮不同決策之間的各類成本及風險，如合規風險、實施成本、招聘及資源投入等。雖然大多數國

106、家都提供了多種數據跨境的途徑，例如標準合同條款或監管審查等，但是途徑適用條件相對復雜，需要專業人士分析在不同國家、不同場景下應該如何選擇跨境的合規途徑?？鐕碳昂献骰锇榭鐕悠髽I或母企業關聯主體：50供應商及合作伙伴管理出海企業為了滿足業務支持與運營，采購或聯合境內外的第三方、合作伙伴提供的服務或工具。這些第三方/合作伙伴或與出海企業都會或多或少地在數據處理活動中產生交集，或與出海企業共同處理數據，或受出海企業委托處理數據。明確責任：第三方/合作伙伴與出海企業均屬于數據處理行為鏈路上的責任人，任何一方的安全性存在紕漏都可能對其他各方的數據合規態勢產生影響。因此，簽署合同協議的前提即為識別各

107、方在監管要求下的角色，以及該角色需履行的責任義務。對第三方的安全管理深度及成本平衡：為確保第三方或合作伙伴不會成為出海鏈路上的合規“弱點”，除合同協議外，對于第三方實際的安全保證措施的評估也成為關鍵行動。但若每個合作方都進行實地評估其安全水平并不實際，公司需要根據不同風險程度的數據處理活動對不同的合作方提出具體請求。數據主體權利響應企業需對數據主體的合理請求進行回應以滿足對于數據主體基本權利的保障。標準化的需求識別機制：數據主體的需求是多樣的，如何準確分析收到的熱線電話、Email、網站反饋、線上客戶等渠道不同語言風格下的實際訴求，判斷其合理性，以及需開展的具體行動，都需要基于前期對于供應商及

108、合作伙伴數據主體關聯主體：關聯主體：51訴求的分類以及標準化的響應規則，以指導執行人員的行動。從個人數據到個人的關聯管理：對于數據主體的請求可能會涉及到對于個人名下所有處理的個人數據情況的匯總。例如在提出刪除權請求時，企業如何保證刪除了“所有”該個人的數據，而非是某個特定系統的該個人的數據。這就需要企業從原本的僅管理特定數據庫表的個人數據，延伸至以人維度拉齊其在企業內部的所有關聯信息。這也有助于進一步分析數據之間的關聯性，企業可在用戶同意的情況下通過數據分析尋找新業務機會。透明性與獨立第三方審查透明、可信是當前監管的重點方向，尤其是對于復雜的大型數字平臺或者參數上億的人工智能算法，其披露必要的

109、規則、內部開展的技術與管理手段，都將是監管未來關注的重點。若企業落入了大型數字平臺或高風險人工智能算法的監管，在對外披露或引入第三方就自身合規情況進行審查之前，企業需要對該類信息進行整理，做到“心中有數”，這迫使企業需要預先開展此類自檢自查，并提前進行整改。52數據保護影響評估數據保護影響評估對企業的挑戰主要體現在數據收集的商業目的和產品方案隱私合規的權衡方面。產品和服務的開發涉及產品開發和合規的各部門，各方的訴求不同，需要通過一套機制拉齊各方，讓業務部門了解需要如何開展才能符合合規要求，同時合規及法務等部門同事則需要全面了解業務的開展形式、涉及到的個人信息等情況，以綜合評估數據收集活動對于數

110、據主體的影響。在產品中融入隱私設計（Privacy By Design，簡稱“PbD”）PbD 最早在 GDPR 中提出，旨在提倡在產品設計、開發、測試等生命周期階段就將隱私保護的需求融入其中，而非等產品上線再補充隱私保護的功能或模塊。這需要企業對現有的產品研發流程進行改造與優化，識別在不同階段應由哪些角色采取的具體行動，例如隱私需求整理、隱私界面設計等工作。對外披露及聲明對外披露的準確與持續一致：如隱私政策類文件中需要清晰、明確且沒有誤導地體現數據處理的實際目的與范圍，需要企業對于自身的個人數據處理活動了如指掌，并隨著業務設計的變化而可及時反饋與外部隱私政策，保持其一致性。額外的信息披露準備

111、：如大型數字平臺，若涉及到在線廣告，還需建立公共信息庫，對外就廣告信息進行披露，并提供外部查閱的渠道。這需要非常強的信息管理能力以及額外的渠道構建工作。第二個維度為內部業務治理中的合規挑戰。53數據安全控制措施信息安全技術地不斷進步為出海企業提供了更多的工具維護用戶的個人數據安全。注入攻擊、模糊攻擊、網絡釣魚等多樣化的網絡安全攻擊手段，以及逐步發展的密碼破解方法，使得個人數據安全遭受到更大的風險。一旦發生數據泄露數據，可能面臨監管處罰、用戶投訴的風險，甚至可能因此陷入訴訟，對品牌形象造成威脅。與數據的敏感程度及技術發展相匹配：企業提供數據安全保障措施應當足夠滿足所處理個人數據的安全性，另一方面

112、與外部的網絡攻擊、行業安全發展趨勢相匹配，但這也不可避免地導致在安全設備、軟件和人員投入上的增加。與數據處理場景相匹配：另一方面跨國企業內部通常會進行大量的遠程辦公，遠程辦公可能涉及數據的跨境傳輸，也會涉及數據傳輸中的安全問題。傳輸數據不僅涉及企業業務和商業機密，也可能涉及大量員工和用戶的個人數據，一旦出現泄露，將對企業業務造成嚴重影響。數據處理記錄留存數據處理記錄留存不會顯著地影響企業經營的成本，若數據處理過程沒有得到恰當的記錄，從對外合規來講，難以自證是否以按照約定方式對數據進行處理，而從自身的企業管理視角，也難以判斷是否存在數據泄露、數據纂改等情況發生。同時在歐盟、美國、泰國、韓國等國家

113、，數據處理過程的記錄是一項強制性的要求。第三個維度要求安全技術的投入應與數據的敏感級別及時代發展相匹配。54數據留存期限的設置監管一般要求的保留期限是實現數據主體授權使用目的所必須的最短時間，這就使得數據需要在一定期限內刪除或者被匿名化。而個性化推薦和用戶畫像等數據價值的實現方式都完全依賴可以關聯到數據主體的個人數據，被刪除和匿名化的數據會導致企業無法實現數據收集的商業目的。同時，不同的保留期限也為企業建立數據保留的管理機制制造了挑戰。但需要注意的是，某些特定數據由其他法律規定了最短留存期限的，不應與其他法律法規沖突，例如合同履約信息。55游戲玩法及游戲內容是吸引用戶的重中之重，然而不同國家地

114、區對游戲內容的監管松緊不一，根據調研得出，部分發達國家對游戲內容的監管較為嚴格。韓國在游戲產業促進法（Game Industry Promotion Act）中 就 有 明 確 規 定 在 韓國市場推廣和發行的游戲需采取評級程序、隨機型內容概率的要求、游戲廣告的規制，以及負責視頻游戲評級和監管的游戲評級和管理委員會（Game Rating 2.5 主要行業在出海過程的特殊挑戰2.5.1 游戲行業隨著技術和互聯網的發展、游戲內容不斷豐富，用戶數量也在持續的增加，游戲市場規模（尤其是手機游戲）同樣水漲船高。越來越多的企業開始進入游戲市場競爭，為了尋求更高的回報，出海成為游戲企業拓展市場的重要途徑。

115、在大環境的推動下，各國政府逐漸加強對游戲行業的監管和立法，韓國于 2020 年及 2022 年先后發布的游戲產業促進法（Game Industry Promotion Act）、游戲產業促進法的執行法令（Enforcement Decree of the Game Industry Promotion Act），歐洲議會也在 2022 年 11 月高票通過了首項電子游戲相關決議?？梢?，游戲企業在開展全球業務時需要關注各地的游戲法規要求，遵守不同的法規，包括游戲內容審查、虛擬物品交易、用戶數據保護、未成年人保護等方面。游戲內容審核and Administration Committee，簡 稱“

116、GRAC”）、游戲內容分級委員會（Game Content Rating Board，簡稱“GCRB”）以明確標識各類游戲的年齡分級符號及游戲內容說明。游戲企業在選擇出海地區時，也需充分考慮當地的監管要求，如游戲內容及角色對話是否涉及血腥、色情或者其他當地監管無法接受的元素，游戲玩法是否涉及賭博元素等。56部分國家地區針對游戲內容和元素進行了年齡適應性劃分，如美國的 European Systemic Risk Board（ESRB）、日本的 Computer Entertainment Rating Organization（CERO）、澳 大 利 亞 的Australian Classif

117、ication Board（ACB）、俄 羅 斯 的 Russian Age Rating System（RARS）、歐洲的 Pan European Game Information（PEGI）等，其目的一方面因游戲行業的用戶群體中未成年人、青少年人占據較大的比重，部分國家和地區對于未成年人的隱私監管較高，如美國的兒童在線隱私保護法（COPPA）和歐洲的 通用數據保護條例（GDPR）等對兒童信息收集有明確要求和約束。游戲企業應根據自身用戶群體采取相應措施，如針對未成年人使用的游戲，企業應明確對未成年人同意認定的標準、方法、程序等詳細規定，設置有效的隱私聲明和監護人同意機制，明確告知收集、存儲

118、、使用或披露兒童個人信息的目的、范圍、方式和期限。游戲年齡適應性評估兒童隱私保護可以防止未成年人接觸不符合其接受能力的內容，另一方面也能有效保護電子游戲的創作自由。企業應根據游戲內容的特性，按照當地要求對出海游戲進行年齡適應性評估，針對游戲目標群體做好對應的保護措施或內容編輯。57因游戲業務營收模式主要集中在虛擬物品、廣告等方面，游戲企業將面臨各國關于游戲交易的監管。如歐盟要求游戲企業公開游戲中的隨機獎勵概率，規范虛擬物品交易，監管虛擬貨幣等操作。監管者在保護游戲消費者權益的同時也在防范非法金融操作。游戲企業應妥當設置并公開隨機獎勵的概率，也應主動監控并分析異常交易。虛擬物品交易廣告投放部分游

119、戲企業為擴大宣傳力會在海外投放游戲宣傳廣告，同時也有部分游戲企業會在游戲內投放他人廣告作為盈利來源。部分發達國家對廣告內容會有較強的監管，如日本對虛假廣告和虛假宣傳的監管力度相對嚴格。游戲企業應在廣告投放上采取合理的措施規避風險，如通過專業廣告企業進行投放，或成立內容審核部門等。58個人信息保護收集數據范圍與目的的最小化：智能汽車車內車外集成了多類傳感器，包括車內部的疲勞監控、語音助力、行車記錄儀，車外部的監控攝像頭等。這些傳感器無時不刻不在預備著進行收集信息，例如語音助理通過特殊引導詞喚起，需要避免錄制到車內無關的背景聲音以及情景信息，以規避刺探客戶隱私。荷蘭個人數據管理局（Dutch Da

120、ta Protection Authority）就在 2023 年發布了對于車輛“哨兵”模式的監管意見，調整后僅在車輛被觸碰時才進行反應，車主收到警報后查看情況時才記錄畫面，同時通過車輛燈光閃爍提示車外人員。在服務于海外市場時，車輛生命周期過程中提供服務時不可避免需要收集用戶的個人數據。尤其是隨著智能汽車行業的發展，車輛的智能生態也會愈發成熟，但為提高人車交互體驗，除了基本個人信息，還可能涉及監控影像、地理位置、行為習慣以及面容、聲紋等個人生物識別信息的收集和處理，甚至還包括了違章、事故以及犯規行為的記錄數據。數據類型的復雜、數據收集和處理場景的復雜以及涉及多類第三方，給汽車整車和汽車生態的上

121、下游供應商帶來了如下挑戰：2.5.2 網聯汽車及軟硬件服務隨著越來越多國內汽車企業戰略出海，海外業務發展過程中面臨的國內外網絡安全和數據合規風險對國內汽車整車企業、零部件提供商、軟件服務提供商提出了新的挑戰。59數據存儲和分析的本地化：駕駛員的生物識別數據，例如面部、語音、指紋等用于解鎖、啟動或激活車輛某些命令的應用程序建議本地進行存儲，盡量規避傳輸至云端、甚至通過跨區域訪問造成被動的數據跨境。汽車主機廠、零部件供應商以及軟件服務供應商，都需識別各類場景下需處理的數據類型、規模、敏感程度，注意評估數據回傳的必要性。與第三方信息分享的范圍最小化：除汽車廠商自身對于車輛內產生、收集數據的分析外，智

122、能化功能也往往依賴于第三方提供的服務。例如車輛提供當前所在區域的天氣情況，車輛向提供天氣服務的供應商提供位置信息，由天氣服務供應商反饋天氣信息到車輛。在這個過程中需要注意地理位置的獲取需在車載終端獲取同意，并且位置信息的提供為可滿足服務的最小范圍，例如僅到市、區級，而非具體的坐標信息，且該信息不應持續收集。同意獲取的方式：在當前的智能汽車上，與車輛的交互主要通過車載終端進行，因此車載終端將成為同意獲取以及同意撤銷的主要窗口。汽車軟件設計過程中，應盡量避免打包同意的情況，針對于各項較為敏感的信息收集，建議以單獨同意的方式為主，并且在不影響安全地前提下，可以便捷、快速地關閉授權。若涉及到跨區域或跨

123、國家的場景，數據控制者發生變化時，需要提示告知車主。數據安全性保護：車輛駕駛相關的核心功能應與信息娛樂等互聯網功能相隔離，汽車核心功能直接影響了車輛以及車主的安全性，互聯網功能的宕機不應影響到車輛的駕駛系統的正常運作。另一方面生物識別數據的收集、識別方案應當能夠抵抗一定強度的攻擊，并設置驗證嘗試的有限次數，避免對于生物識別信息或用戶身份信息的原始信息的本地存儲。60網絡安全體系建設由于以新能源汽車為代表的智能汽車越來越受到消費者的認可，智能汽車中的車載網關、T-BOX、傳感器、OTA、車載 OS、車載信息娛樂系統、ECU、OBD-II 接口等數據處理組件也面臨了巨大的安全挑戰。聯合國歐洲經濟委

124、員會（UNECE）下屬世界車輛法規協調論壇（Working Party 29，簡稱“WP29”）發布了第 155 號法規網絡安全與網絡安全體系CSMS（簡稱 UN-R155）和第 156 號法規軟件更新與軟件更新管理體系 SUMS（簡稱 UN-R156），是國內車企出口海外所面臨的主要網絡安全要求，是車型在 WP29 成員國5上市銷售的必備條件。1.UN-R155 是一個關于車輛網絡安全管理體系（Cyber Security Management System，簡稱 CSMS）和車型認證（Vehicle Type Approval，簡稱 VTA）的法規，2021 年 1 月生效，自 2022

125、年 7 月起對 WP29 下所有國家新上市的車型施行，2024 年尚未停產的車型也必須獲得該認證。其主要內容包括：a.企業層面獲得 CSMS 認證，即需 OEM 建立覆蓋車輛全生命周期（研發，生產，售后，下市）的網絡安全管理流程，從管理上確保車輛在生命周期各階段都得到有效的安全管控；b.車型層面獲得 VTA 認證，即需 OEM 針對具體車型在工程層面設計和實施安全措施，確保目標車型安全防護技術有效實現；5WP29 成員國包括歐盟、韓國、日本、泰國、馬來西亞等國家61c.企業獲得 CSMS 認證是具體車型獲得 VTA 認證的前提，兩個認證均獲取才可以在WP29 成員國內上市。2.UN-R156

126、是一個關于軟件更新管理體系 SUMS（Software Update Management System，簡稱USMS）和車型認證的法規，在2022年7月針對新上市車型正式生效并施行，2024 年針對所有車型施行。其主要主要內容包括：a.企業層面獲得 SUMS 認證，即需 OEM 建立軟件升級管理體系，體系由軟件升級評估流程、軟件升級文檔管理及安全的軟件升級流程這三部分構成。b.車型層面獲得 VTA 認證，即針對車型從工程角度對 OTA 方案進行驗證和認證，驗證車型符合通用軟件升級需求及 OTA（Over-the-Air Technology，無線傳輸）附加需求。62自動駕駛算法自動駕駛算法可

127、能影響到個人的生命安全，依據待正式發布的歐盟人工智能法案，其極有可能落入高風險人工智能類別。一旦法案正式生效，汽車企業急需建立全流程的算法管理措施。此外德國以開始針對自動駕駛的立法自動駕駛法（Gesetz zum autonomen Fahren），其中對自動駕駛的行使條件、參與方義務、數據處理場景、功能測試要求進行了規定。在 2022 年英國網聯和自動駕駛汽車中心發布自動駕駛汽車：聯合報告中，對安全使用自動駕駛汽車提出了諸多立法建議，涉及自動駕駛概念、自動駕駛的分級、設定安全標準、初始準入和授權、使用中的安全保障和數據使用民事責任等多個方面。63近年來大數據時代下，部分互聯網企業利用已采集的

128、海量消費者數據進行大數據包括用戶畫像分析，為消費者提供精準推薦、個性化廣告等服務。雖然一定程度上為消費者帶來便利，但隨著各國的個人信息保護宣傳和監管力度加強，消費自身者對個人隱私意識也在不斷提高，企業需要更加注重這些行為便利以外帶來的合規風險。2.5.3 社交 App 行業用戶畫像在移動互聯網和大數據普及的今天，大部分企業，尤其是高科技行業為分析用戶的群體分布特征和個性化需求，都會使用用戶畫像。GDPR 對用戶畫像定義為“通過自動化方式處理個人數據的活動”，并且在第 2 條“適用范圍”中明確規定：“本條例適用于個人數據的全自動或部分自動處理，以及形成或旨在形成用戶畫像的非自動個人數據處理”。也

129、就是說，在 GDPR 語境下，不僅用戶畫像自身是“處理個人數據的活動”，而且“形成或旨在形成用戶畫像”的活動亦屬于個人數據處理。因此，基于用戶畫像收集的與自然人相關的數據也構成個人數據，和其他個人數據一并受到法規監管。而對于用戶畫像的使用前提，在 GDPR 中規定應符合以下條件之一：（1）用戶畫像對于數據主體與數據控制者的合同簽訂或合同履行是必要的；（2）用戶畫像是歐盟或成員國的法律所授權的，數據控制者是用戶畫像的主體，并且已經制定了恰當的措施保證數據主體的權利、自由與正當利益；（3）基于數據主體的明確同意。即使符合上述第（1）種和第（3）種情形，數據控制者也應當采取適當措施保障數據主體的權利

130、、自由與正當利益，以及數據主體對數據控制者進行人工干涉，以便表達其觀點和對用戶畫像進行異議的基本權利。如果使用用戶畫像對與自然人相關的個人因素進行系統性與全面性的評價，數據控制者應當在處理之前評估計劃的處理進程對個人數據保護的影響。64就上述三種使用用戶畫像的情形，由歐盟或成員國的法律授權使用的情形較為少；而在大數據業務模式中，多數情形下使用用戶畫像也很難說對于數據主體與數據控制者的合同簽訂或合同履行是必要的。因此，在絕大多數情形下，需要取得數據主體對使用用戶畫像的明確同意。對此，GDPR 法規的要求包括：1.應當告知數據主體存在用戶畫像并提供相關邏輯、包括此類處理對于數據主體產生的預期后果的

131、有效信息。2.應當明確告知數據主體享有對用戶畫像的反對權。如果數據主體表示反對，數據控制者須立即停止針對這部分個人數據的處理行為，除非數據控制者能夠證明，相比數據主體的利益、權利和自由，具有壓倒性的正當理由需要進行處理，或者處理是為了提起、行使或抗辯法律性主張。此外，數據主體有權隨時反對為了直接營銷目的而處理個人數據，包括反對和直接營銷相關的用戶畫像。3.針對特殊類型個人數據，例如性取向、性生活、宗教信仰、政治信仰等敏感數據，除非數據主體明確同意基于一個或多個特定目的而授權處理其個人數據（但成員國可以通過立法明確規定即便數據主體同意，也禁止基于特殊類型個人數據的用戶畫像），或對數據的處理對實現

132、實質性的公共利益是必要的，并且已經采取了保護數據主體權利、自由與正當利益的措施，用戶畫像不應基于特殊類型個人數據。65大數據分析在互聯網企業的大數據分析場景下中，用戶畫像往往只是其中的一個環節。在形成基本畫像后，隨之而來的是各種個性化推薦，更甚會碰到某些企業采用大數據殺熟。殺熟一般有三種表現形式：1）根據用戶使用的設備不同而差別定價，比如針對蘋果系統用戶與安卓系統用戶制定不同的價格；2）根據用戶消費時所處的場所不同而差別定價，比如對距離商場遠的用戶制定的價格更高；3）三是根據用戶消費頻率的不同而差別定價，一般來說，消費頻率越高的用戶對價格承受能力也越強。在 GDPR 中 7 大數據主體權利中明

133、確定義了反自動化決策權，反自動化決策個人信息處理涉及傳統隱私和數據保護問題之深層原因在于社會要求保障人權，在高度強調人文精神的現代社會里，尤其是不歧視、言論自由和信息自由等人權要求。但是自動化決策過度依賴數據，而這些數據可能本身就包含個人或社會成見，形成基于偏見數據所做出的自動化決策，其結果不公平地歧視個人或群體，干擾個人權利，導致人們被排除在社會生活的某個領域之外，使個人無法享受某些服務或福利待遇。不僅在出海業務中，國內運營場景對于此類監管也愈發嚴格。我國在 2021 年11 月 1 日施行的中華人民共和國個人信息保護法對大數據殺熟有著明確的規定，要求“個人信息處理者利用個人信息進行自動化決

134、策，應當保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇”。因此，企業在出海需格外注意對于個人信息的分析處理行為，避免殺熟等違規操作。66平臺方雖然只是依托于賣方的委托，提供如客服功能、瀏覽記錄功能、廣告引流及對接以及甚至代發貨功能。但該類會直接接觸到買方個人信息的功能服務，需在設計之初就考慮并可滿足海外的合規需求，例如獲取同意的彈窗、隱私政策預留位置及自定義、用戶提出數據主體權利請求的入口等。2.5.4 跨境電商行業互聯網時代下，電商行業快速發展，國內出現了大量的跨境電商平臺，形成了多領域復合型綜合改革開放態勢，未來跨境電商在我國國際貿易中的比重會不斷加

135、大，跨境電商服務國家對外開放戰略的意義也將會更加明顯?？缇畴娚探洜I過程中，常見的經營模式包括入駐電商平臺以及通過獨立站建站運營。兩種模式下，賣方更多基于電商平臺或獨立站 SaaS 服務作為平臺來向海外買家提供服務。在本章節中，將會從兩個角度分析賣方與平臺分別面臨的合規挑戰。平臺內置的隱私功能67另外以電商平臺及獨立站 SaaS 服務為代表，數據將托管于該類電商或獨立站平臺所處的環境內，其整體環境的安全性通常需要電商平臺及獨立站進行負責。對于具體的數據處理活動，例如賣方基于品牌管理的需求建立會員庫，平臺應至少提供該會員庫構建過程中可供選擇的滿足數據保密與安全要求的數據加密方法、數據傳輸通道以及數

136、據存儲位置的選擇，甚至進一步的可供選擇的數據脫敏方法。同時買家選擇數據存儲所在國家或區域時，平臺也需提醒有可能的數據跨境，并最終由客戶確認選擇。買家在線上瀏覽并下單的過程中，涉及到廣告投放、支付、物流運輸、海外快遞派送等與第三方進行交互的環節，才能最終完成交易。在這個過程中，賣方作為數據控制者，需要基于最小化、必要性原則考量需要分享給第三方的個人數據范圍，并考量第三方對于此類數據保護的能力，最終簽署數據處理的協議以通過書面形式約定責任與義務。平臺安全及數據安全選項數據共享過程的最小范圍及安全保障68賣方仍然是電商運營過程中的最終負責人，賣方需要與平臺、第三方明確各自負責的安全與合規范圍，如何去

137、確定此類安全與合規的邊界成為一個核心挑戰。另一方面，賣方需要知悉在跨境電商場景下的數據合規要求，內部制定規范以約束員工的數據處理行為，避免隨意下載、共享及發送給外部。同時對于平臺內數據安全，賣方應充分了解其需采取的安全保障措施，選擇與數據的敏感程度相匹配的加密舉措。賣方對于數據的使用以及保護職責692.5.5 智能設備行業隨著智能設備的技術不斷發展，智能設備的應用場景和市場規模也在不斷擴大。因消費者需求差異，不同品類的智能設備在不同國家地區所面臨的競爭環境和監管環境都有差異，企業不僅需要考慮市場機會，也需要慎重應對不同國家和地區的法律法規要求。智能設備作為終端設備收集并根據信息進行響應，并通過

138、藍牙、Wifi等方式與 Web、手機App 進行交互與數據傳輸，最終數據將通過 Web 或 App 傳輸至云平臺進行管理。因此除了網絡安全法規、隱私保護法規、數據安全法規等通用法規，還需要關注產品安全、無線通訊相關的法律法規，企業根據當地的法規進行適應性調整。出海智能設備企業應全面識別出海目標國家地區針對產品安全的相關安全標準和法律要求，如歐盟頒布的 CE 認證標準，智能設備企業若要將產品在歐洲市場貿易，則必須通過 CE 認證，并在產品上貼上 CE 標簽。智能設備企業重視運用技術的同時也需要注意安全控制和滿足合規要求，如歐洲電信標準協會(ETSI)針對 IoT 產品推出了 ETSI TS 10

139、3 645 和 ETSI EN 303 645 安全標準來保產品及云端安全障的合規基礎，企業應積極參考并保障產品滿足合規基線。另外，智能穿戴設備以及智能家居 IoT 產品在設計過程的安全性一般不如 App 以及手機等設備的安全性程度，其漏洞的暴露可能使得攻擊者以 IoT 產品作為突破口，例如蔓延獲取 Wifi憑據，進一步獲取連接到該網絡的所有設備的訪問權限，抑或是對目標直接發動攻擊。70IoT智能設備需要借助相關通訊技術（Wifi、藍牙、RFID、MQTT 等）來實現與 APP、平臺、用戶的交互，在使用這些通訊技術時可能會存在相關隱私泄露的場景，如 IoT 設備的平臺和 APP 可能會在業務場

140、景中收集用戶 Wifi信息（ssid、密碼、位置等）；智能設備之間通過藍牙技術、MQTT 協議的交互可能會被監聽或者重放；使用射頻識別技術 RFID 可能造成的隱私泄露風險等。故而智能設備企業不僅需要從自身產品的安全性出發，也需要關注以下相關協會或聯盟所制定的標準，并充分地實現合規。如歐洲的 ETSI（歐洲電信標準協會）、日本的ARIB（社團法人電波產業會）和 TTC（情報通信技術委員會）、中國的 CCSA（中國通信標準化協會）、韓國的 TTA（情報通信移動通信技術運用的合規智能穿戴設備的多種功能也依賴于第三方SDK 實現，在手機或設備端的應用包括地圖類、統計類、廣告類、短信驗證類以及支付類

141、SDK。在引入 SDK 前，智能設備企業應對于 SDK 的安全性進行測試，檢查其是否存在安全漏洞、收集個人信息的范圍是否合理、隱私政策告知內容與實際收集、處理機制是否一致等問題，并以書面形式協商雙方的責任邊界。由于終端存儲的有限性、以及對于云端分析的依賴，云端平臺是眾多終端設備數據的最終載體，因此云端的防護同樣需要智能設備供應商重點關注，尤其是云上的數據庫訪問權限以及數據庫內對數據本身的保護。71技術協會）、北美洲的ATIS（電信工業解決方案聯盟）和印度的TSDSI（電信標準開發協會）。智能 IoT 設備安全運行時會隨之而產生的海量數據，這些數據可能會直接或者間接的揭示用戶的隱私信息，企業需充

142、分考慮是否需要收集處理和儲存該設備的運行數據，從而達到滿足產品性能的同時也符合監管要求。例如在智能燈光系統及空調遠程打開或預約回家時間，體重秤等健康類應用會通過設備、用戶輸入收集身高、體重、身體狀態，甚至是飲食過敏信息。而像手環、手表等穿戴設備，除了監控用戶日常的身體狀態、運動狀態、作息狀態外，還有可能記錄用戶的日常訪問位置、接打電話等通訊記錄。收集的數據類型的多樣化，需要智能設備提供商梳理其可以收集的信息類型，分析其目的，制定與信息類型匹配的同意獲取方式。例如僅在需要的時候獲取地理位置信息，并且在第一次接入時告知收集目的并獲取同意。智能設備可能會使用到用戶的生物信息，如指紋、掌紋、聲紋、面部

143、特征等常見生物特征數據，例如指紋鎖、人臉解鎖、聲紋喚醒等場景，在給用戶帶來便捷的同時，此類生物信息的特征化提取、原始信息的留存成為需關注的重點問題。企業應當特別關注并遵守當地對生物特征信息收集與使用的要求，并謹慎應對生物信息的收集與處理，如制定完善的隱私說明；從業務邏輯出發實現生物信息本地存放；提供更多的可選項等應對措施。海量 IoT 數據收集與傳輸生物數據的收集與識別72同時由于智能設備的互聯特性，在維修過程中存在其本地數據的被不當獲取、甚至冒用權限的情況。智能設備企業出海后面臨著在當地構建售后團隊需細化維修人員可接觸的數據邊界及范圍，并且在硬件層面嚴格遵循銷毀標準要求；若通過遠程方式進行售

144、后，例如寄回維修，則建議提醒用戶提前對數據進行備份，在可開機的情況下刪除數據再寄出，規避數據跨境和可能在寄送過程中的數據泄露。同時企業應提供一鍵清除設備內數據的功能，包括不限于用戶信息、使用信息、日志信息，以免在報廢或二手買賣過程中的信息泄露。維修及報廢處理732.6.1 跨境支付提供商2.6 出海支持行業的特殊挑戰隨著全球貿易回暖，越來越多的中國企業將市場目標擴展向海外，與此同時，也促生了一些為需要出海的企業提供各類服務的企業，如跨境支付提供商、云服務提供商、和智能廣告提供商等類型的企業。這些企業可以在相對陌生且復雜的海外環境給需要出海的企業提供專業的解決方案和應對方式，同時自身也面臨著來自

145、海外日趨嚴格的監管約束。自 2018 年到 2022 年，跨境電商零售進出口額在中國外貿進出口總值的占比逐年上升。即使在新冠疫情的影響下，中國跨境電商進出口額由 2020 年的 1.69 萬億元增長至 2022 年的 2.11 萬億元，總體呈上升趨勢。對于現在的跨境支付服務，單純提供不同地域之間的資金轉換已經滿足不了現在多變的海外環境。為客戶提供海外調研材料，為客戶定制專屬化的支付收款方式已經成為新的行業特征。除支付行業特有的監管，如歐盟支付服務指令（修訂版）（Payment Service Directive 2，簡稱 PSD2）、美國統一貨幣服務法等法律法規之外。同時，跨境支付行業在交易透

146、明度，收付款，數據保護與合規等方面都面臨著諸多挑戰。74跨境收付款的過程中，服務對象不僅僅企業的對公賬戶，也包含個體工商戶或獨立開發者在內的個人用戶，通常需要收集姓名、身份證件、交易數據以及銀行卡等信息以實現收款、入賬、客戶服務及反洗錢調查等正常運營工作的開展。而身份識別信息和與財產息息相關的數據在中國以及美國加利福尼亞州等國家或地區被認為是敏感個人數據，此類信息泄露對于數據主體即個人的影響較大，更容易造成經濟方面的損失。對于這類的數據處理除需要明示或單獨同意外，還需要進一步增強對其的安全保護，并對其進行必要的脫敏處理。目前全球多個金融機構也在探索在交易、支付、結算等過程中引入隱私增強技術，例

147、如基于多方安全計算、聯邦學習的反欺詐模型、反洗錢模型等。另一方面，以支付卡行業安全標準協會（Payment Card Industry，簡稱 PCI）為代表的行業協會，也發布了多份數據安全標準，如支付卡行業數據安全標準（PCI DSS）和支付應用程序數據安全標準（PA DSS）。企業可根據業務需要，獲取相應的安全認證以對外說明自身的安全性?？缇持Ц短峁┥逃捎谛枰峁┟嫦蚨鄠€國家、不同支付渠道的資金流轉渠道，在此過程中無可避免地需提供個人數據至合作的第三方，其中包括金融類服務商，如銀聯、中國及海外銀行、非銀支付機構等，以及如 Amazon、Shopee 在內的購物平臺。在此過程中，應當與存在數據

148、互通的第三方根據其合作類型簽署相應的合同協議，明確雙方對于數據處理的角色、責任以及義務，并且在特定場景下，例如第三方作為供應商提供服務時，應當對第三方供應商的安全保障能力進行檢查，確保其符合應滿足的數據安全及隱私保護要求。敏感個人數據的處理對共享第三方的管理75隨著各國對于數字主權的進一步關注和爭奪，控制和處理著大量交易數據的跨境支付提供商不可避免地會面臨數據主權與海外國家長臂管轄的問題。如美國的云法案（Clarifying Lawful Overseas Use of Data Act，CLOUD Act）就涉及了美國執法過程中對于數據調取的管轄要求。但此可能與我國的個人信息保護法第四十一條

149、“非經中華人民共和國主管機關批準，個人信息處理者不得向外國司法或者執法機構提供存儲于中華人民共和國境內的個人信息”存在沖突，因此企業應謹慎處理海外執法機構提出的數據調取請求。境外調查取證2.6.2 企業級 SaaS 服務提供商國內企業為非洲、中東等新興市場提供的計算機與軟件服務越來越多，類型也趨于廣泛，例如 ERP 類企業資源管理服務、報表管理工具、自動工單及應答系統、協同辦公工具、出海支持平臺等。此類工具雖然是面向企業發布并不直接面向消費者，但是其工具本身可能承載著大量個人數據，這類服務提供商仍然需要滿足相應的合規要求。76面向與企業提供的如 EPR、SAP 等企業管理工具，雖然服務提供商通

150、常作為 GDPR 定義下的數據處理者，但提供服務的產品仍需支持購買產品的企業實現數據安全與隱私保護相關的合規要求，例如提供保留數據處理記錄、可選擇數據存儲所在地區、可實現不同級別的權限管控以及加密策略等功能。企業級 SaaS 服務提供商應當與客戶簽訂的合同協議中明確雙方的職責范圍以及操作邊界，原則上盡量避免運維或客服人員觸碰客戶的內容數據，即客戶環境中的經營數據、收集的個人信息等。在收到客戶請求下進入客戶環境進行操作時，建議提前獲取客戶的書面同意，并全程記錄操作過程，并在操作結束后及時關閉或返還操作權限。如因經營活動必需收集云環境或產品運行數據，例如云資源使用情況、服務可用性指標等記錄，應注意

151、其中避免包含客戶內容數據。部分國家的重點行業會對于外包服務的風險進行管理，通常提供云服務或 SaaS 級企業服務也被視為外包服務的一種。以新加坡為例，新加坡信息通信發展管理局推出了多層云安全認證（Multi-Tier Cloud Security Certification，簡稱 MTCS），認證共分為三級，包含在數據保留、數據主權、數據可移植性方面的安全要求。部分新加坡的組織或企業，如金融機構，基于政府要求僅可購買符合相應 MTCS 標準的云服務提供商的服務。產品或服務應包含合規支持功能產品數據的觸碰邊界安全水平證明772.6.3 智能廣告提供商從 2015 年開始國家推動“大數據戰略”以來

152、，大部分企業以數字化轉型為目標，推動了廣告行業商業模式和范圍的擴張。由于新冠疫情的影響，進一步的促進了廣告行業向互聯網發展的趨勢。自 2018 年開始，中國移動互聯網廣告在總體廣告行業份額的占比逐年穩步增長，到 2021 年，中國移動互聯網廣告份額占比達到 56%。廣告行業結合大數據分析和 AI 自主學習的技術是目前的大勢所趨，廣告商需要通過大數據收集受眾的信息和喜好并且根據 AI進行個性化推送。這個過程會涉及大量的個人數據?；诖?，各國針對廣告行業的信息收集出臺了更加嚴格的監管，例如歐盟的 GDPR、中國的中華人民共和國個人信息保護法和美國的 HIPPA、COPPA 等。此外，廣告行業在與投

153、放方的交互中，需要共同計算出最優方案。在這個過程中，雙方或者多方需要在不互相泄露敏感數據的情況下共同計算出結果。由此可見，智能廣告提供商須在符合中國和相關過法律法規的前提下，才可以為需要出海的企業提供服務?；ヂ摼W數字廣告往往通過搜集個人在網絡的瀏覽數據，形成其數據畫像從而進行分析、預測個人偏好，可以高效地精準投放信息以增強商業競爭力。依據 GDPR 等法規，數據主體，即個人應當擁有拒絕信息被用于自動化決策 的權利，包括直接營銷相關的特征分析。近兩年深度合成技術一度非?；鸨?，不少廣告企業開始嘗試使用深度合成技術生成廣告素材，但需注意的是如果合成技術使用到了人臉、人聲等生物識別信息，支持生成或編輯

154、該類信息的，需要按照各國對于生物識別信息或敏感個人數據的實際要求，獲取該主體的同意。若該類素材的合成在我國境內實現，依據互聯網信息服自動化決策與廣告推送素材合成和使用78無論是推薦算法還是素材合成的算法，都應關注國家對于此類技術的規則、輸入數據、結果驗證、應用范圍等內容的規定，例如算法注冊、算法規則解釋、算法模型運行日志監控、人工介入機制、結果公平驗證方法、模型安全性等內容。算法的合規務深度合成管理規定，企業還應進行安全評估并在對外展示區域提示觀眾或讀者此類信息為深度合成。79中國企業出海發展合規應對建議380中國企業出海發展合規應對建議三對于中國企業出海來說，面臨的是雙向合規的強監管時代，在

155、某些場景下，合規甚至是比業務先行更重要的決定性議題，出海業務需未雨綢繆，從人員意識、管理體系、技術支撐等多方面入手開展合規準備，提前識別并滿足適用的網絡安全、數據安全和隱私保護相關監管要求，結合企業自身業務特點兼顧所在的行業監管重點，積極擁抱監管要求，主動合規。在深入理解當地法規、文化和經濟的基礎上，在隱私數據生命周期各階段中采取相應的數據安全與隱私合規措施，實現數據“可管、可控、可信”，構建合規管理體系，保障為出海業務的長效合規。在出海前，企業首先應當對當地法規、當地文化和經濟進行充分調研，了解當地的網絡安全、數據安全和隱私保護相關監管環境，識別新業務是否受到當地法規的監管，評估當地數據合規

156、要求對業務發展的潛在影響，為業務決策提供支持。其次，梳理計劃出海的新業務和新產品相關的前端及后端隱私數據，開展隱私安全合規自評，充分考慮可能存在的個人數據處理情形，結合業界優秀實踐對計劃出海新業務和新產品的規劃和設計進行針對性調整，以最大程度防范合規風險。如果涉及數據跨境，應當在考慮數據存儲位置時結合當地法律對于數據出境的要求提前布局3.1 健全合規管理體系 3.1.1 計劃出?；驕蕚涑龊?1對于已經出海的企業而言，首要需應對來自外部各方的合規挑戰，面向監管、最終用戶、企業客戶/合作伙伴/供應商等第三方時均有不同的側重點。3.1.2 已在海外有業務面向監管側的合規對于重點目標市場在歐盟、泰國、

157、新加坡的企業，應當通過隱私聲明等容易被外界獲取的渠道公示企業數據保護負責人以便公眾或被處理信息的個人可通過該渠道進行聯絡，在歐盟和泰國還應將數據保護負責人及其聯系方式告知監管機構；一旦出海企業意識到發生個人數據泄露或重大的數據安全事件，應當由數據保護負責人按照事件涉及國家或區域所在地的適用法規要求，在指定時間內將事件情況通報監管機構；在英國、馬來西亞及尼日利亞，企業在達到指定條件后還應當就其數據處理活動向當地數據保護監管機構進行登記說明；對于復雜的大型數字平臺或者參數上億的人工智能算法，還應當提前對于披露必要的規則、內部開展的技術與管理手段進行整理和準備，以便在對外披露或引入第三方就自身合規情

158、況進行審查之前，做到“心中有數”。公開數據保護負責人：數據泄露事件報告：數據處理活動登記：透明性與獨立第三方審查：82應當分析在不同業務場景下出海企業自身的角色，明確處于不同角色時需要承擔的隱私合規義務。出海企業在選擇第三方合作伙伴、供應商時，應當提前考慮對于數據合規能力的考量，并在合同協議中提出滿足數據合規的要求。面向企業客戶/用戶側的合規面向合作伙伴/供應商的合規該場景下大多數情況下企業作為數據控制者角色，應當重點關注隱私政策及相關協議合規、告知用戶以及同意獲取的合規、用戶數據主體權利響應渠道打通、數據泄露事件應急響應等合規事宜；該場景下通常企業作為數據處理者角色，則應當重點關注與數據控制

159、者的合同協議是否涵蓋充分的數據合規相關條款，根據需要配合數據控制者響應數據主體權利請求，并在發生個人數據泄露事件時及時通知數據控制者。直接面向最終用戶提供服務：面向 B 端客戶提供服務：83在解決外部合規問題的基礎上，企業還應當進行“內功”的修煉，持續建設和提升內部隱私合規能力。對于重點目標市場在歐盟的企業，應當設立數據保護負責人角色，建議在歐盟選擇一個能夠涵蓋歐盟大多數國家且監管力度適當的國家設立 GDPR 要求下的數據保護官（Data Protection Officer，簡稱 DPO），該數據保護官可由企業內部具有數據保護法律與實踐的專業知識、了解公司業務活動和組織架構、能夠保證較充分的

160、獨立性并且可以直接向企業最高管理層報告的人員擔任，也可由外部專業人士擔任；而對于出海業務橫跨多個市場，在歐洲、北美，南美，中東，東南亞各市場都可能存在業務運轉的跨國企業，則建議按照相對嚴格的區域法規要求設立隱私保護組織并任命全球首席數據保護官，然后在必要的地區分別設立本地數據保護官。除數據保護負責人以外，為實現管理體系在公司的有效運作與維護，還需建立覆蓋面廣且強有力的合規管理組織架構。結合德勤實踐經驗，建議合規管理組織由決策層、統籌層、執行層三個層級構成，所有相關的業務部門和組織均需參與該管理組織，包括但不限于公司的高級管理層、法務、合規、質量體系管理、產品與研發、銷售與市場人員、IT、HR

161、等，示例如下圖。構建隱私合規組織組組長長決決策策層層統統籌籌層層執執行行層層研研發發中中心心銷銷售售市市場場中中心心移移動動互互聯聯網網業業務務制制造造質質量量中中心心法法務務部部門門人人力力資資源源部部門門全全球球信信息息系系統統部部產產品品中中心心委委員員長長委委員員副副委委員員長長隱隱私私管管理理委委員員會會組組長長助助理理組組員員DPO協理DPO協理外外部部DPO組組員員隱隱私私保保護護工工作作組組委委員員委委員員總總部部DPO歐歐洲洲DPODPO辦辦公公室室84 對于面向海外市場提供的產品或解決方案，建議重點考慮以下三個方面的合規準備。決策層：戰略決策。負責制定企業合規戰略目標、進行

162、重大事項的最高決策，并推動戰略與政策的落地。統籌層：統籌管理。負責制定企業合規管理的制度與工作方案，統籌各部門合規需求與活動，并開展合規方面的溝通與咨詢。執行層：工作執行。負責執行與配合具體的合規任務，跟進職責范圍內的合規問題與風險。數據梳理：出海企業相關主導人員應當組織出海產品/服務/解決方案相關的前端及后端負責人，理清隱私數據及其全生命周期合規管控現狀合規風險評估及整改：產品部門協同法務、研發、運維等開展數據保護影響評估，重點考慮是否滿足數據處理的范圍最小化、目的合法正當、第三方數據合規、數據跨境和數據本地化相關風險、以及貫穿數據生命周期的技術保護，識別為消減此類風險需采取的技術和組織措施

163、，并結合企業實際情況制定整改計劃和推行整改落地。其中可采取的技術措施包括不限于個人數據的匿名化和加密、對數據處理系統或服務的安全保障、數據備份及恢復等。產品/服務/解決方案合規85隱私默認設計（PbD）：結合現有產品的研發流程，設計 PbD 流程，將隱私安全要求融入開發全過程，持續保障產品/服務/解決方案的合規，開發生命周期各階段明確應采取的隱私管理活動如下圖所示。管理制度的完善有利于推進企業執行層面人員了解應滿足的合規要求、自身所應承擔的責任以及所需采取的行動，提供落地實踐的原則性指導。出海企業應當融合業務所涉及主要國家和地區的監管要求，結合企業未來發展需求、行業最佳實踐、以及管理層的合規期

164、望，總體規劃合規體系框架，搭建和不斷完善合規管理體系，整體提升數據安全與隱私保護水平。依據國際知名標準組織對此類管理體系的要求，結合德勤實踐經驗，建議企業以確立相關高階合規政策、構筑合規組織架構、建立相關規范與流程、融入隱私安全技術為導向，建立從管理層面到技術細節的四層管理機制，由上至下的將合規思想滲透到整個管理體系框架，幫助管理和執行人員有法可依、有路可行，形成標準化、流程化的內部管理機制，指導企業合規工作的持續有效開展。我們結合業界實踐設計了以下合規管理體系基礎框架，出海企業可根據實際情況進行定制。建立合規管理體系和流程制度需求分析需求分析方案設計方案設計開發實施開發實施驗證驗證發布發布運

165、維運維退役退役需求文檔分析隱私數據詳細分析裁剪PbD工作項任務分工PIA初步分析隱私合規要求默認設計實現機制設計威脅建模隱私功能實現隱私聲明核驗隱私安全技術測試隱私功能核驗PIA最終評估產品應急預案制定發布評審執行產品應急預案增強隱私及安全控制措施執行漏洞管理流程執行退役計劃*注：虛線框為根據實際情況可裁剪工作項第三方APK、SDK接入審核第三方APK、SDK技術測試86第一層：企業層面的原則、方針及政策，包括企業整體的總體合規管理方針策略為公司合規管理工作提供基本原則和方向、明確合規管理工作領域與任務范圍，合規組織架構及職責說明以明確管理體系中各項活動的權責，確保每項任務的管理、推進和有效實

166、施；第二層：企業層面的管理規范，包括數據分類分級制度、數據生命周期管理規范、數據跨境傳輸規范、第三方數據及隱私合規管理規范、人力資源數據及隱私合規管理規范等；第三層：業務層面的流程指引和操作指南，包括隱私風險評估(PIA)流程、數據泄露事件報告及處理流程、數據主體權利響應流程等；第四層：技術層面的支撐，通過 Privacy by Design（隱私默認設計）流程將隱私及安全的考慮嵌入到業務流程、IT 系統、產品研發中，將相關管控措施作為產品的默認配置。數據及隱私合規管理體系框架個人數據泄露事件響應流程數據主體權利響應流程數據分類分級管理人力資源數據及隱私合規管理數據授權訪問數據安全傳輸數據防泄

167、漏數據保存和銷毀可約束自動化決策數據加密、標記和模糊化數據隱私權利國際隱私保護法規公司業務發展戰略公司實際條件AI與算法中的數據合規第三方數據及隱私合規管理隱私合規內審管理1.治2.管理4.技術3.流程數據生命周期管理個人數據跨境傳輸管理隱私風險評估（PIA）流程Privacyb y Design（隱隱私私默默認認設設計計）安全開發生命周期漏洞管理第三方APK隱私管理隱私合規管理組織隱私合規方針策略管理政策87體系運轉與合規審計合規管理體系在全公司的有效運轉，需要在合規管理組織的帶領下，通過下圖所示從計劃、實施推進、監督審計全面推進合規體系運轉。合合規規宣宣貫貫培培訓訓合合規規工工作作計計劃劃

168、合合規規認認證證合合規規管管理理評評估估/審審計計制定和推行合規工作計劃：合規職能應每年制定下年全公司的合規工作計劃，詢問 DPO 辦公室的建議，并在通過合規管理委員會審批后，在全公司推行工作計劃，并每月至少與執行層進行一次工作計劃實施進度的全面溝通。定期開展意識宣貫培訓，建設全公司的隱私保護文化，并提升員工隱私保護意識；定期召開合規管理工作會議，例如每年至少召開一次合規管理組織決策層會議，進行年度重大事項決議；每半年至少召開一次合規管理工作會議，跟進合規整體工作情況；在數據泄露等緊急事項發生時，及時召開臨時工作會議。定期開展自查與監督，例如每年展開一次體系工作評估，了解體系運轉效率、管控效果

169、、執行情況，同時對管理體系也進行檢查，在外部監管環境、內部管理機制變動時及時對管理體系進行更新，實現體系的持續改善；基于監管需要、企業數據保護負責人提出的建議、客戶的要求等，結合實際工作需求和情況，由企業內部審計部門或邀請外部第三方機構，開展合規管理專項評估或審計，定期對自身的合規情況進行識別與評估。88合規能力對外展示出海企業要實現業務長效合規發展，不僅需要通過本章節包含的在企業管理層面的各項準備工作搭建起來整體的合規體系，技術層面的合規也非常重要。我們將在下一章節詳述技術平臺的合規，并在 3.3章節通過德勤與亞馬遜云科技合作的典型成功案例來詳細講解出海合規的應對實踐獲取合規認證：隨著企業出

170、海的足跡不斷擴展，企業會越來越多地收到來自不同市場的客戶對于企業合規能力的期望，根據出海業務常見目標國家的合規發展情況，結合德勤在安全合規領域的服務經驗，我們建議出海企業可考慮以下認證，彰顯企業的合規遵從性，從而獲得現有客戶的更高認可。針對組織的認證：ISO 27001 信息安全管理體系認證，ISO 27701 隱私管理體系認證，ISO22301 業務連續性管理認證等針對行業的認證：PCI-DSS 支付卡行業數據安全標準認證，CSMS 車輛網絡安全管理體系認證和 VTA 車型認證等針對產品的認證：ePrivacyseal EU 認證，ePrivacyseal Global 認證，EuroPri

171、Se 認證等發布合規白皮書：出海企業還可通過白皮書向客戶傳遞企業在合規方面所做的工作，讓客戶更加便捷的了解企業對業務目標國家法律法規、行業標準的遵從以及高度的合規性，增強市場潛在客戶對選擇和使用企業出海產品/解決方案/服務的信心。893.2 技術平臺 亞馬遜云科技（Amazon Web Services）是全球云計算的開創者和引領者，自 2006 年以來一直以不斷創新、技術領先、服務豐富、應用廣泛而享譽業界。亞馬遜云科技可以支持幾乎云上任意工作負載。亞馬遜云科技目前提供超過200項全功能的服務，涵蓋計算、存儲、網絡、數據庫、數據分析、機器人、機器學習與人工智能、物聯網、移動、安全、混合云、虛擬

172、現實與增強現實、媒體，以及應用開發、部署與管理等方面；基礎設施遍及 32 個地理區域的 102 個可用區，并計劃新建 4 個區域和 12 個可用區。全球數百萬客戶，從初創企業、中小企業，到大型企業和政府機構都信賴亞馬遜云科技，通過亞馬遜云科技的服務強化其基礎設施，提高敏捷性，降低成本，加快創新，提升競爭力，實現業務成長和成功。亞馬遜云科技在中國的愿景是，作為全球云計算的開創者和引領者，利用與生俱來的創新文化，賦能客戶的重塑，加速客戶全球業務拓展，加強本地人才培養，從而促進行業轉型，助力數字經濟的可持續發展，并讓全社會共同受益。安全是亞馬遜云科技最高優先級的工作，“引領行業的安全合規理念和實踐”

173、是亞馬遜云科技服務全球數百萬客戶的五大全球優勢之一。亞馬遜云科技秉承安全責任共擔模型，既保證其全球底層云基礎設施和服務的安全合規，讓客戶可以直接繼承，又為客戶提供“洋蔥型”的多層次安全防護，幫助客戶提升云上應用的安全合規。90 計算存儲數據庫網絡開發人員工具管理工具安全和身份分析移動及物聯網(IoT)應用程序服務企業生產力應用程序Amazon EC2、Amazon EC2 Container Services、Amazon Elastic Beanstalk、Amazon Lambda、Auto ScalingAmazon CodeCommit、Amazon CodePipeline、Amaz

174、on CodeDeploy、Amazon Web Services SDKAmazon CloudWatch、Amazon CloudFormation、Amazon CloudTrail、Amazon Config、Amazon Web Services Management Console、Amazon OpsWorks、Amazon Service Catalog、Amazon Trusted Advisor、Amazon Tools for Windows PowerShellAmazon Identity&Access Management、Amazon Directory Serv

175、ice、Amazon GuardDuty、Amazon Inspector、Amazon CloudHSM、Amazon KMS、Amazon WAF、Amazon Audit ManagerAmazon EMR、Amazon Data Pipeline、Amazon Elastisearch Service、Amazon Kinesis、Amazon Kinesis Firehose、Amazon Machine Learning、Amazon QuickSightAmazon IoT、Amazon Mobile Hub、Amazon API Gateway、Amazon Cognito、A

176、mazon Device Farm、Amazon Mobile Analytics、Amazon Mobile SDK、Amazon SNSAmazon API Gateway、Amazon AppStream、Amazon CloudSearch、Amazon Elastic Transcoder、Amazon FPS、Amazon SES、AmazonSNS、Amazon SQS、Amazon SWFAmazon WorkSpaces、Amazon WAM、Amazon WorkDocs、Amazon WorkMailAmazon VPC、Amazon Direct Connect、Ama

177、zon Elastic Load Balancing、Amazon Route 53、Amazon Network FirewallAmazon S3、Amazon CloudFront、Amazon EBS、Amazon EFS、Amazon Glacier、Amazon Storage Gateway、Amazon SnowballAmazon RDS、Amazon DynamoDB、Amazon ElastiCache、Amazon Redshift類別亞馬遜云科技提供的相關產品與服務913.2.1 安全責任共擔模型亞馬遜云科技首創“安全責任共擔模型”，亞馬遜云科技負責云自身的安全，客戶

178、負責云中自身業務的安全，亞馬遜云科技通過提供多層次的安全防護服務幫助客戶提升云中的安全防護。亞馬遜云科技“安全責任共擔模型”不僅使客戶能夠繼承亞馬遜云科技全面的安全性，降低客戶管理、運營底層基礎設施的復雜性并節省了成本。亞馬遜云科技負責云自身安全，包括其底層云基礎設施和云服務，讓客戶繼承亞馬遜云科技全面的安全性，在安全的云環境中開展業務。亞馬遜云科技負責運行、管理和控制從主機操作系統和虛擬層到服務運營所在設施的物理設備以及提供的云服務的安全?？蛻糌撠熢浦凶陨順I務的安全，包括選用哪個區域、使用哪種服務、訪問控制的授權、安全防護的手段等?？蛻舻陌踩熑卧谑褂脕嗰R遜云科技不同服務時會有所不同。例如，

179、客戶使用 Amazon Elastic Compute Cloud(Amazon EC2)服務，客戶需要負責操作系統（包括更新和安全補?。┑墓芾?、客戶在實例上安裝的任何應用程序軟件或實用工具，以及每個實例上配置亞馬遜云科技提供的防火墻（稱為安全組）的配置?？蛻羰褂萌?Amazon S3 和 Amazon DynamoDB，由亞馬遜云科技運營基礎設施層、操作系統和平臺，而客戶通過訪問終端節點存儲和檢索數據，客戶負責管理其數據（包括加密選項），對其資產進行分類，以及使用 IAM 工具分配適當的權限。92亞馬遜云科技提供客戶所需的控制權、可見性和安全保護。亞馬遜云科技細粒度的身份和訪問控制，可確?？?/p>

180、戶無論數據存儲何處，都能始終讓正確的資源擁有正確的權限。亞馬遜云科技還提供了加密、刪除和監控數據處理的功能，其中加密服務涵蓋了數據的存儲、傳輸以及使用各個環節數據全生命周期；亞馬遜云科技安全自動化和安全事件監控服務可幫助客戶檢測整個系統中的可疑安全事件（例如配置更改），從而在擴展時降低風險。使用亞馬遜云服務的客戶可以保持對其數據的控制，并根據其特定需求實施額外的安全措施，包括內容分類、加密、訪問管理和安全憑據。3.2.2 亞馬遜云科技云上的隱私保護亞馬遜云科技始終堅持客戶擁有和控制數據的理念，并以隱私和數據安全最高標準構建基礎設施和服務，確?？蛻魯祿踩?，同時為客戶提供所需的控制權、可見性以及

181、安全保護。贏取客戶信任是亞馬遜云科技開展業務的基礎。亞馬遜云科技致力于滿足客戶的隱私需求，并以公開透明的態度對待隱私承諾，從而贏得信任。亞馬遜云科技行業領先的隱私保護和安全控制體系使客戶能夠自信地開展運營，助力客戶在全球范圍內實現并超越隱私與合規性要求?？蛻艨梢愿鶕囟ㄐ袠I要求實施隱私保護，并使用亞馬遜云科技的服務、工具和資源來控制和保護數據，以滿足監管機構和審計人員的要求。亞馬遜云科技嚴格遵從客戶擁有和控制數據的理念，不會未經客戶同意訪問或使用其數據。亞馬遜云科技的客戶對自己的數據擁有完整控制權，可以自主選擇數據的存儲位置，包括存儲類型和存儲區域，可以控制訪問數據的權限，并自由選擇任何方式對

182、數據進行加密、移動以及管理。亞馬遜云科技以數據隱私和安全最高標準構建基礎設施及服務。亞馬遜云科技提供網絡安全技術、物理訪問控制以及人員管理來防止未經授權的訪問，所有流經連接亞馬遜云科技基礎設施和區域互連的全球網絡的數據在離開安全設施之前，均在物理層自動加密。93關于某些健康信息共享的法案 魁北克省阿根廷數據隱私法巴西數據隱私法加利福尼亞州消費者隱私法案(CCPA)FERPA信息自由和隱私保護法案(FOIPPA)不列顛哥倫比亞省健康信息法案(HIA)亞伯達省個人健康信息保護法(NL PHIA)紐芬蘭與拉布拉多省個人健康信息法案(PHIA)新斯科舍省個人健康信息隱私和訪問法案(NB PHIPAA)

183、新不倫瑞克省個人健康資訊保護法案(PHIPA)安大略省個人信息保護及電子文檔法案(PIPEDA)加拿大針對出?？蛻?，全球各地的隱私保護紛繁復雜，亞馬遜云科技為 190 多個國家/地區的數百萬個活動客戶提供服務，包括企業、教育機構和政府機構。亞馬遜云科技的客戶包括金融服務提供商、醫療保健提供商和政府機構，他們將一些最敏感的信息托付在亞馬遜云科技云上，給予我們充分的信任。由此我們積累了豐富的全球隱私保護的經驗和知識。亞馬遜云科技隱私保護頁面上提供了全球各地主要的隱私保護洞見。美洲：https:/ 美國隱私護盾亞太地區：歐洲，中東和非洲日本數據隱私法韓國數據隱私法馬來西亞數據隱私法新西蘭數據隱私法菲

184、律賓數據隱私法新加坡數據隱私法中國臺灣數據隱私法泰國數據隱私法953.2.3 亞馬遜云科技的合規計劃亞馬遜云科技支持眾多安全標準與合規性認證，幾乎滿足全球所有監管機構的合規性要求，客戶可全面繼承。亞馬遜云科技云自身的安全合規。亞馬遜云科技致力于在全球業務范圍內建立嚴格的安全性和合規性標準，在其基礎設施覆蓋區域支持眾多安全標準并獲得多項合規認證。亞馬遜云科技目前獲得了 98 項安全標準與合規認證。這些認證和資格鑒定也印證了亞馬遜云科技行業領先的安全合規能力，例如，技術措施方面的 ISO 27001、云安全性方面的 ISO 27017、云隱私方面的 ISO 27018、SOC 1、SOC 2 及

185、SOC 3、PCI DSS 1 級，以及 Common Cloud Computing Controls Catalogue（C5）等面向歐洲地區的認證。這些技術和組織安全措施由獨立的第三方評估機構驗證，旨在防止未經授權訪問或泄露客戶內容。例如，ISO 27018 是首個面向云中個人數據保護的國際行為準則。它基于 ISO 信息安全標準 27002，并針對 ISO 27002 控制體系提供了實施指南，適用于由公有云服務提供商處理的個人可識別信息(PII)。亞馬遜云科技集成了風險管理和合規機制，采用包括廣泛使用自動化工具、獨立風險評估、定期接受獨立的第三方審計等多種措施，確保亞馬遜云科96并對每個

186、服務都做了合規性驗證。以Amazon Aurora 為例，作為亞馬遜云科技合規性計劃的一部分，第三方審計員將評估 Amazon Aurora 的安全性和合規性，包括 SOC、PCI、FedRAMP、HIPAA等?？蛻艨衫^承亞馬遜云科技全球基礎設施覆蓋區域的各地安全合規認證，以及亞馬遜云科技在其基礎架構上使用的最新安全控制措施。這些控制措施可加強客戶自己的合規性和認證計劃，同時還可以訪問可用于降低運行自己的特定安全保障要求的成本和時間的工具。技運營的有效性和嚴格遵守合規制度。亞馬遜云科技定期對數千個全球合規性要求進行第三方驗證，并持續監控這些要求，幫助客戶滿足財務、零售、醫療保健、政府及其他方面

187、的安全性與合規性標準。亞馬遜云科技支持包括 PCI-DSS、HIPAA/HITECH、FedRAMP、GDPR、FIPS 140-2 和 NIST 800-171 在內的安全標準和合規性認證，幾乎滿足全球所有監管機構的合規性要求。亞馬遜云科技確保每個服務的合規性，基于預期使用案例、反饋和需求將正式發布的各項服務納入合規性工作范圍內，97亞馬遜云科技中國（寧夏）區域和亞馬遜云科技中國（北京）區域嚴格按照中國法律法規的監管要求依法合規經營。亞馬遜云科技向西云數據和光環新網提供行業領先的技術、指導和專業知識，西云數據和光環新網運營并向本地客戶提供亞馬遜云科技云服務。中國大陸的兩個區域所提供的云服務與

188、其它亞馬遜云科技區域所提供的云服務相同，但是又與所有其它亞馬遜云科技區域隔離，客戶可以完全控制數據實際所在的區域，從而滿足數據駐留要求。亞馬遜云科技中國（北京）區域和亞馬遜亞馬遜云科技中國大陸區域的合規性云科技中國（寧夏）區域通過獨立的第三方機構驗證其標準符合能力，已經完成了網絡安全等級保護三級測評（等保三級是授予公有云服務最高級別，阿里云、騰訊云、華為云等宣布獲得的等保四級認證，是針對其私有云的），還獲得了中國信息通信研究院可信云服務評估，以及在國內也通行的 ISO9001 質量管理體系認證、ISO20000 信息技術服務體系認證、ISO27001 信息安全管理體系認證、ISO27018 云

189、隱私安全管理認證、ISO22301 業務連續性管理認證、PCI-DSS 支付卡行業數據安全標準認證、SOC認證。983.2.4 亞馬遜云科技云上的安全亞馬遜云科技為客戶提供全方位的安全服務，目前有 300 多項安全、合規服務及功能，涵蓋威脅檢測和事件響應、身份認證和訪問控制、網絡和基礎設施安全、數據保護與隱私以及風險管控及合規五大領域。審核，以確保訪問策略的安全性。重點 服 務：Amazon Identity and Access Management 以細顆粒度的身份認證與訪問控制機制，結合對安全事件的持續監控和精準的安全權限設置，保障正確資源被相應正確人員訪問。網絡與基礎設施安全：亞馬遜云

190、科技在主機、網絡和應用程序級別邊界為客戶提供細粒度的保護。其中，Amazon VPC 安全組在主機級別為亞馬遜云科技工作負載中的資源提供保護。在網絡級別，Amazon Network Firewall 允許客戶通過狀態檢查、入侵防護和 Web 過濾等功能嚴格控制進出 VPC 和 VPC 之間的流量。對于 Web 應用程序保護，Amazon Web Application Firewall 等服務允許客戶過濾 Web 請求的與規則不匹配部分，以阻止常見的攻擊模式。Amazon Shield 可以保護客戶的網絡和應用程序免受惡意的 DDoS 攻擊，并提供托管檢測和響應以抵御有針對性的攻擊?？蛻暨€能

191、通過與 Amazon Firewall Manager 的集成，實現對不同賬號的網絡安全防護實施統威脅檢測與事件響應：檢測是安全生命周期的重要組成部分，可用于支持安全流程、法律符合或合規義務，還可以用于威脅識別和響應工作?？蛻羰褂脵z測服務和功能，可以識別潛在安全配置錯誤、威脅或意外行為。重點服務：威脅檢測服務 Amazon GuardDuty 可持續監測惡意活動和未經授權的行為，該服務具有豐富的情報源并集成了機器學習的能力，可實現威脅的精準定位，并對安全事件進行快速反應；Amazon Security Hub 安全事件統一管理平臺為客戶提供了統一的安全事件視圖，并可根據不同的標準和最佳實踐持續

192、對客戶的云環境進行合規性檢查，快速發現技術差異并提供修復方案。身份認證與訪問控制：亞馬遜云科技為客戶提供強大的身份管理和權限管理，確保適當的人員在適當的條件下有權訪問適當的資源。亞馬遜云科技提供了大量幫助客戶管理客戶身份及其權限的服務及功能，客戶可以根據業務的需要，進行最小化的授權并且對授權策略進行99一的策略。數據保護與隱私：亞馬遜云科技數據保護服務提供加密、密鑰管理和威脅檢測功能，可以持續保護客戶數據、監控和保護客戶的賬戶和工作負載。亞馬遜云科技使用很多不同的方法實施數據保護。其中，自動識別和分類數據可以幫助客戶快速地根據合規的需要，發現并定位包括個人數據在內的敏感數據。Amazon Ma

193、cie 使用機器學習技術來自動發現和保護客戶的敏感數據并對其分類，可以識別個人可識別信息(PII)或知識產權之類的敏感數據，并為客戶提供控制面板和警報，讓客戶了解此類數據的訪問或移 動 方 式。Amazon Key Management Service(Amazon KMS)為客戶提供數據加密，該服務深度集成于亞馬遜云科技的 140 多項服務中，可幫助客戶大幅減少人工操作，降低出錯概率。對于數據保密要求更高的客戶，還可使用 Amazon CloudHSM來獲得云上專屬加密機服務。在數據計算過程中，客戶可使用 Amazon Nitro Enclaves 的云端機密計算的技術，創建嚴密隔離的環境處

194、理敏感數據。風險管控及合規：亞馬遜云科技可幫助客戶全面了解合規狀況，并使用自動合規性檢查，持續監控客戶的環境。例如，Amazon Artifact 自助門戶，允許客戶按需訪問并免費獲取亞馬遜云科技的合規性報告。為避免客戶在合規審計與評估中消耗過多成本，亞馬遜云科技提供Amazon Audit Manager，可自動掃描、搜集證據，還提供了各種合規認證的模板，簡化合規審計的證據收集工作，實現高效的自動化合規審計與評估。100亞馬遜云科技云原生敏感數據識別解決方案是亞馬遜云科技根據中國客戶的需求，以及最新的合規要求，專門研發的解決方案?？蛻艨梢酝瑫r管理多個賬號內的資源，自動構建資產目錄，并且定期掃

195、描數據源中的敏感數據?？蛻艨梢允褂眠@個方案快速發現云環境中的敏感數據，目前已經支持了 200 多種敏感數據類型，客戶還可以根據需要自定義敏感數據。發現敏感數據后，可以對數據進行自定義分類分級，再根據分類分級的結果選取合適的保護措施。Amazon LambdaAmazon Glue CrawlerAmazon Glue CatalogAmazon Glue JobAmazon LakeFormation101此方案可以數據治理地圖的形式展示企業內部的數據狀況，如下圖。102資源，如云安全白皮書：描述了如何利用云技術來保護數據、系統和資產，以提升安全水平，提供了有關在亞馬遜云科技云上構建工作負載的

196、最佳安全實踐指導；一系列的合規資源，例如如何在亞馬遜云科技上構建符合 PCI-DSS 的應用，亞馬遜云科技云中的 DoD 合規性實施，亞馬遜云科技上的 GxP 系統等等。亞馬遜云科技客戶團隊支持：指導客戶完成部署和實施，為客戶尋找合適的資源來解決客戶可能遇到的安全問題；并開設了安全合規的社區，為客戶提供各類安全合規解答。多 種 在 線 工 具：如 Amazon Trusted Advisor 在線工具就像一個定制的云計算專家，讓客戶配置資源時遵循最佳實踐。Amazon Security Bulletins 圍繞當前的漏洞和威脅提供安全公告，使客戶能夠攜手亞馬遜云科技的安全專家，應對云資源濫用、

197、漏洞和滲透測試等安全關切。自動化工具，簡化客戶評估風險及合規：如 Amazon Audit Manager 提供映射亞馬遜云科技資源到控制要求的預構建框架，控制要求會根據行業標準或法規要求進行分組，例如 CIS 基準、GDPR 或 PCI DSS。Amazon Audit Manager 通過自動收集和整理由每個控制要求定義的證據為客戶節省時間。亞馬遜云科技通過安全合規相關的在線工具、資源和支持，為客戶提供指導和專業知識分享。103客戶可以使用他們已經了解和熟悉的解決方案，選擇信賴的安全技術和咨詢服務來擴展亞馬遜云科技的優勢，通過結合亞馬遜云科技安全服務，實現多層保護其應用和數據安全。我們持續

198、引入全球最新的安全合作伙伴的技術到中國，加強和本土安全合作伙伴的合作，更好地滿足客戶在國內安全合規方面的需求。以德勤為例：德勤是亞馬遜云科技全球核心級咨詢合作伙伴，雙方在中國也開展了多年的戰略合作。在安全合規領域，德勤中國和亞馬遜云科技攜手創建了云上安全實驗室，為客戶提供網絡安全事件管理解決方案，并發布了一系列企業亞馬遜云科技合作伙伴網絡(APN)提供數百種行業領先的安全及合規解決方案，多層保護客戶的應用和數據安全。安全白皮書，為企業解讀不同國家和地區關于數據安全和保護的法律法規。雙方還攜手推出安全運營中心服務。該安全運營中心集成了亞馬遜云科技云原生安全能力和德勤中國安全合規服務能力，將賦能企

199、業提升五大層面的安全管理能力：安全態勢洞察、威脅預防與控制、降低安全風險和業務中斷時間、降低管理成本，以及合規支持，從而幫助企業規避網絡攻擊帶來的額外成本、以及網絡安全帶來的生意損失，保護品牌聲譽、提高信息安全投資的百分比和投資人的信心，助力企業平穩快速發展。104對于出海企業而言，亟需一個高效的整體解決方案，消除出海過程中的合規關鍵痛點。本文將以當下熱門的全球電商獨立建站平臺作為典型案例，展示出海過程中，德勤與亞馬遜云科技將如何幫助企業構建基于自身業務的合規體系并選擇恰當的技術實現方式。3.3.1 案例背景介紹：案例企業是一家為全球 B2C 跨境電商提供獨立站建站 SaaS 服務的企業，為跨

200、境電商客戶提供品牌出海主題、訂單管理、營銷插件、多語言店鋪、數字營銷等多種服務，助力客戶打造專屬的自建站和品牌。該企業總部設在中國大陸境內，提供面向歐洲、美國、東南亞等多個地區進行銷售的電商支持服務，企業規模約為 100 名員工，主要為銷售人員、技術工程師與客服人員。在業務開展之初，考慮到海外客戶訪問的便捷性與網絡延遲問題，將其應用和數據部署在亞馬遜云科技的美國區域。而作為跨境電商平臺作為直接面對消費者的業務平臺，處理著大量敏感的個人數據，包括姓名、住址、電話號碼、銀行卡號等。同時跨境電商平臺要維持 7x24 小時的不間斷運營，任何業務中斷都可能會造成訂單損失、客戶體驗下降等業務影響。又由于跨

201、境電商平臺面對的消費者通常來自于不同的國家和地區，這就使得跨境電商平臺要適應不同區域的合規要求?？缇畴娚唐脚_的安全合規具有行業特性，例如在產品的設計階段（例如服裝）就要特別注意信息的保密；在促銷季，新品發布季就要特別注重網絡的 DDoS 防護；在日常的售后發貨環節，則需要保護客戶的個人聯絡和地址位置信息。3.3 應對案例 1053.3.2 企業面臨的出海安全合規核心挑戰：隱私合規。企業收集、處理了大量客戶的個人數據，其處理的合規性、數據的安全性以及數據傳輸過程的合規性成為核心挑戰，這包括兩個維度：隱私保護。使用技術、流程以及合同等手段對客戶的個人數據進行保護。數據跨境。數據跨境傳輸和訪問成為中

202、國企業出海的頭等大事。收集必要的數據來為數據分析提供支持，收集的數據可能用于產品或服務的改進、用于審計或數據分析等內部目的或用于故障診斷等，這會涉及到數據的跨境。這需要考慮到數據本地化以及減少非必要的數據傳輸。行業合規。不同的行業也加強的合規要求。以支付行業常見的 PCI-DSS 為例，支付卡行業數據安全標準(PCI-DSS)是一組專有信息安全標準，由 PCI 安全標準委員會管理，該委員會由 American Express、Discover Financial Services、JCB International、MasterCard Worldwide 和 Visa Inc.創 建。PCI

203、 DSS 適用于存儲、處理或傳輸持卡者數據(CHD)或敏感身份驗證數據(SAD)的實體，包括商家、處理機構、購買方、發行機構和服務提供商。PCI DSS 主要分為 6 部分，包括建立并維護安全的網絡和系統、保護持卡人數據、維護漏洞管理計劃、實施強效訪問控制措施、定期監控并測試網絡、維護信息安全政策。安全要嵌入到業務發展的每一個階段，在云上構建端到端的安全。加強業務安全建設，實現產品和服務的高質量發展，加速業務創新和上線速度。需要將安全嵌入到業務發展的每一個階段，包括設計，研發，布署和運維的不同階段，手段包括安全介入，架構審核，威脅建模，安全 360 度掃描，架構復審，滲透測試，審批和安全運維等

204、。1063.3.3 解決方案 第一步,構建隱私合規管理體系：德勤以出海核心國家的隱私合規法律 GDPR 的要求為基準，協助該客戶構建企業隱私合規制度文件，組成企業內部隱私合規組織和確立數據合規負責人，形成完善的管理機制。第二步：從客戶感知層面到后臺能力支持逐步進行完善產品合規：產品隱私政策完善：德勤幫助客戶審閱已有的隱私政策條款，對于其數據字段的準確性、數據使用目的、適用范圍是否符合最小化原則、條款是否通俗易懂、同意方式是否與數據的敏感程度相匹配等事項進行檢查，并提供整改建議，幫助業務及法務部門員工完善隱私政策。產品自身合規性：德勤協助該客戶拆解 GDPR 對于數據控制者、數據處理者以及處理活

205、動的要求，構建了公司內部使用的數據保護影響分析模板（Data Protection Impact Assessment，簡稱 DPIA），并以此模板為基準與核心產品比對是否存在合規風險，并協作優化產品設計與功能界面；產品流程優化:另一方面德勤在該客戶已有的對產品設計、開發、上線等流程進行改造，將隱私合規需求融入流程，以降低后期進行隱私合規改造花費的合規成本。數據跨境管理：德勤協助客戶梳理自身的數據流轉情況，包括不限于消費者的個人信息、供應商聯絡人信息、員工個人信息等，并與亞馬遜云科技基于業務需求、行為屬性、數據類型、法規要求角度為客戶推薦合適的區域來部署海外應用和數據分析方案，客戶最終可選擇合

206、適的亞馬遜云科技云區域來符合數據本地化的要求。同時亞馬遜云科技提供敏感數據保護識別和保護，提供敏感數據識別、數據打標、數據脫敏、數據跨境傳輸監控、跨境審計等能力，幫助客戶持續監控數據資產及傳輸情況。隱私合規體系建設策略步驟：107數據主體權利響應：德勤協助客戶構建數據主體權利響應流程，并逐漸通過工具的開發實現自動化的數據主體權利響應窗口功能，該窗口集成常見的數據主體權利響應能力，并構建了將請求者身份信息匹配以識別其關聯個人數據的機制，以幫助 SaaS 客戶實現支持多國多語言的 24 小時自助服務。安全事件響應機制：除部署邊界防護工具、入侵檢測等工具檢測是否存在數據安全事件的同時，德勤幫助企業內

207、部構建了一套對發生安全事件時的定級、上報、對外溝通、解決確認和最終復盤在內的機制，以便滿足多個國家要求的在發生事件后指定時間內進行處置和上報的合規需求。108PCI-DSS 合規：亞馬遜云科技提供了滿足 PCI 合規的全套云上解決方案，確保出海企業在持卡人數據環境(CDE)下每一筆交易都安全可靠，全方位的安全服務可為出海企業提升 PCI 審計效率、減輕架構搭建壓力、縮短產品交付周期提供了強大支撐。亞馬遜云科技還專門推出了CAA PCI-DSS課程，輔助支付相關企業快速通過PCI DSS審計。第三步：形成定期合規狀況復核機制，監管環境、企業業務環境、系統配置環境、外部安全環境不斷變化的同時，企業

208、的合規性也并非一成不變。德勤為客戶提供了隱私合規自評估工具 D.PAsS，客戶可以定期對自身在 GDPR 的合規管理狀態、產品合規狀態進行自評估，該工具還關聯了 Amazon Config 產品，可以依據其掃描結果自動判斷合規狀態。同時該工具為客戶提供了 GDPR 處罰庫以及整改建議庫，幫助企業識別當前監管重點以及提升方向。第四步：通過國際權威的在隱私管理、數據安全、信息安全等領域的第三方認證，比如ISO27701、EuroPrivacy 等增強對于自身合規性的認可與市場信任程度。德勤隱私合規自評估工具 D.PAsS109云上構建端到端的安全以下從電商平臺外部，內部，日常管理效率和反欺詐四個場

209、景來展開，將亞馬遜云科技云安全服務應用到這四個場景中去。平臺外部的安全。電商平臺需要關注的安全問題包括 DDoS 攻擊，非法掃描攻擊，賬戶盜用，存儲桶入侵等。在 DDoS 防護方面，亞馬遜云科技提供了 Shield 和 WAF 兩種服務。亞馬遜云科技觀察到之前未出現過的攻擊峰值 2.3Tbps，這是通過一個已知的 UDP 反射攻擊-CLDAP反射達到的。如此大規模的CLDAP反射攻擊發生在2020年2月的第三周，亞馬遜云科技針對此次攻擊采取了最高級別響應，最終成功防御了此次攻擊。針對應用層的攻擊，亞馬遜云科技提供了 WAF 服務，并為客戶提供了簡易上手的自動化布署模板，客戶可根據此模板加載相關

210、規則，設置白名單，黑名單，SQL注入防護等規則，該服務還提供了蜜罐功能用于反爬蟲和惡意機器人。同時可使用亞馬遜云科技 Athena對 WAF 日志進行分析，再根據分析結果去更新規則?？蛻舫丝梢允褂脕嗰R遜云科技提供的托管規則，或自定義規則外，客戶還可以在 Marketplace 上選用第三方的規則并加載到 WAF 上，以此來實現多 WAF 規則的布署。110在應對外部的安全危脅時，電商平臺客戶可以通過 Amazon GuardDuty 威脅檢測功能來持續監控和保護亞馬遜云科技 賬戶、工作負載以及 Amazon S3 中存儲的數據。特別是對于存放客戶敏感數據，交易信息，產品設計文稿的 Amazo

211、n S3，更加應該注意非授權的訪問，非授權的外部分享，惡意 IP 的訪問等。111平臺內部的安全。安全的問題就集中在訪問控制，網絡和實例的安全以及數據的保護和備份。在今年，頻頻出現數據泄露，數據被惡意刪除等事件，電商平臺處理的數據多且集中。數據的安全，需要在以下四個維度做好功課，訪問控制，審計，加密和備份。亞馬遜云科技在這四個維度都提供了相應的服務供客戶使用。以訪問憑證的管理為例，在日常工作中，憑證管理容易出現各種疏忽，比如用郵件傳送相關憑證，開發者可以看到或者共享相關憑證，憑證的管理雜亂無序，對憑證的使用沒有跟蹤記錄，缺乏可見性，憑證的產生和獲得完全依靠安全團隊，耗費時力，憑證輪換會影響系統

212、運行的穩定性。這時可以通過 Amazon Secrets Manager 進行管理，獲取和輪換憑證,解決憑證明文使用的問題，可以更頻繁地進行輪換更新，實現程序化地運行，減少人工參與，同時可審計并追溯憑證使用的情況。112別是電商行業客戶。亞馬遜云科技 Macie根據現行的 GDPR，PCI，HIPAA 等合規要求定義出了敏感數據的類型，包括個人信息，家庭信息，健康信息，同時也支持客戶自定義敏感信息，亞馬遜云科技 Macie可以根據預置的和自定義的敏感數據規則進行分類篩選，并根據發掘出來的數據類型提供不同的保護建議。對于已經查找出來的敏感數據，亞馬遜云科技提供了不同的加密服務，包括 ACM,KM

213、S,CloudHSM 來滿足不同的加密場景，例如傳輸加密，存儲加密，數據庫加密和應用加密。對于內部的網絡可到達性和實例的安全性，亞馬遜云科技提供了 Inspector 服務，在網絡層面 可以檢測到具體哪個端口在哪條路徑被打開，以及正在被哪個進程以什么樣的方式使用，在實例層面，可以檢測到CVE 漏洞，并告知客戶可能產生的影響，以及推薦的改進措施。數據是一切安全合規的本源，對數據進行分類并保護是所有合規的基礎。隨著業務的發展，生產數據越來越多，各個國家和地區對敏感數據的定義也越來越廣，同時數據分布也越來越分散，這一切都使得對敏感數據的識別和保護變更日益重要，特密鑰層級架構113提高安全管理的效率。

214、雖然事關安全無大小，但還是應該簡化安全的管理流程，將更多的精力和時間投入到業務創新中去。例如針對證書管理和 APP 客戶管理耗時耗力的問題，亞馬遜云科技 ACM 可支持通過郵件或 DNS進行認證，證書有效期是 13 個月，支持全托管的更新和布署，被多個瀏覽器信任，并且完全免費，非常適用于初創企業，客戶也可以導入第三方證書到 ACM 進行簡化管理。在 APP 客戶管理方面，亞馬遜云科技提供了 Cognito,可結合多種社交應用進行注冊登陸，也可以支持對注冊賬號進行綜合的安全認證，例如郵件，電話號碼唯一性。Cognito 可結合亞馬遜云科技 Pinpoint 對客戶進行分類和分析，并產生分析報告，

215、例如客戶的區域，注冊時間，消費偏好等。反欺詐。在疫情過后，經濟正在逐漸恢復，但也出現了各種網絡欺詐事件，包括假合同，虛假信用卡支付等。傳統應對欺詐的做法是組織人工團隊，并針對已發生的欺詐行為進行總結歸納找到規律，再制訂相關規則更新到系統中進行防護，此做法通常會滯后，缺乏實時性。近幾年也出現了專門提供反欺詐解決方案的企業，但由于欺詐行為通常發生在不同的行業，例如電商，游戲等，這種方案顯得針對性不夠。亞馬遜云科技 Fraud Detector 可以用來解決欺詐識別，該服務先構建一個機器學習的模型，同時結合了亞馬遜云科技和 AMAZON.COM 多年的反欺詐經驗，最后允許客戶上傳歷史欺詐交易數據，這三方面的結合就給客戶提供了一個可用于識別虛假賬戶，虛假交易，虛假信用卡的方案。此服務還提供了 API，在客戶對某一筆交易存疑時，可以實時調用 API 進行欺詐評估。114編寫指導德勤中國：薛梓源亞馬遜云科技：顧凡 陳曉建 白帆主編人員德勤中國：何微 鄧娜 萬芷辰 張繁 張文瑾 王琳 亞馬遜云科技：江學森 張亮 謝燕敏協助編輯德勤中國：康軒瑜 趙育彤 陳思陽 章桁 張權 黃彥愷亞馬遜云科技：王燾 王騫 龐碩致謝