版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 举报,一经查实,本站将立刻删除。如若转载,请注明出处:http://shishibaogao.com/_chan____243/6268.html
定制报告-个性化定制-按需专项定制研究报告
行业报告、薪酬报告
联系:400-6363-638
《腾讯云&IBM:2024合规翼展御浪远航-企业出海数据合规指导书(224页).pdf》由会员分享,可在线阅读,更多相关《腾讯云&IBM:2024合规翼展御浪远航-企业出海数据合规指导书(224页).pdf(224页珍藏版)》请在本站上搜索。 1、【版权声明】本报告相关部分版权属于腾讯云计算(北京)有限公司或IBM(中国)有限公司,并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的,应注明“来源:腾讯云计算(北京)有限公司或IBM(中国)有限公司”。违反上述声明者,权利人将追究其相关法律责任。【主要作者】毕龙飞郑 鑫贺 明魏子瑞周洪飞程立伟杨子维丁 伟石延霞王 莉孙爱军包娜布棋胡琼琼蔡广宁孔祥慧黄子芸曾工棉夏小婷卢依湄金希玥腾讯云出海行业 专家架构师腾讯云政企行业 市场总经理腾讯云出海行业 技术总经理腾讯云出海行业 高级架构师腾讯云制造行业 专家架构师腾讯云教育行业 高级架构师腾讯云金融行业 资深项目经理IBM中国商业价值研2、究院 院长IBM中国商业价值研究院 高级咨询经理IBM中国商业价值研究院 高级咨询经理IBM中国商业价值研究院 高级咨询顾问IBM中国商业价值研究院 咨询顾问IBM咨询大中华区战略咨询部 高级咨询经理IBM咨询大中华区战略咨询部 咨询经理IBM咨询大中华区混合云转型咨询部安全&隐私团队 咨询经理IBM咨询大中华区混合云转型咨询部安全&隐私团队 咨询经理IBM咨询大中华区混合云转型咨询部安全&隐私团队 咨询顾问IBM咨询大中华区混合云转型咨询部安全&隐私团队 咨询顾问IBM咨询大中华区混合云转型咨询部安全&隐私团队 咨询顾问IBM咨询大中华区混合云转型咨询部安全&隐私团队 咨询顾问【致谢】感谢以3、下部门领导及专家对本指导书的支持和指导腾讯云与智慧产业事业群:汤道生、邱跃鹏、李强、钟翔平腾讯云与智慧产业事业群CSIG市场部腾讯云与智慧产业事业群泛互联网、制造与能源、金融、教育、出行行业腾讯云与智慧产业事业群港澳台及国际业务部腾讯云与智慧产业事业群安全产品部、云鼎实验室腾讯云与智慧产业事业群产业生态合作部腾讯数据合规与隐私保护部腾讯海外法务中心腾讯云与智慧产业事业群公共事务部腾讯研究院IBM咨询大中华区:Kher Tean Chen、李民、董海军、马勇、张玉明、石晓刚、殷俊企业出海面临的数据合规挑战全球法律法规的多样性数据跨境传输的复杂性国家安全数字主权数据本地化数据合规策略的一致性不同行4、业数据跨境的特殊性00700800900900900901001102企业出海形势分析与合规要求001002003004006企业全球化的新纪元企业出海路径及趋势企业出海过程中的合规要求概述数据合规的重要性01目录各国家地区数据合规法规概览欧盟北美美国加拿大拉丁美洲墨西哥巴西阿根廷01201301901902102302302502703029029031033036中东地区以色列沙特阿联酋土耳其037037040043045047049051053053055057057059061061063065东南亚印尼新加坡泰国越南马来西亚印度俄罗斯日韩日本韩国非洲埃及南非大洋洲澳大利亚新西兰中国数5、据合规体系建设站在全球看全球全球化框架定战略布业务搭运营建系统07107207207307307407504数据安全与合规体系企业出海数据现状概览全球化数据合规管理组织数据合规管理制度与流程数据合规技术体系数据合规运营体系数据安全与合规嵌入研发流程Security and Privacy by Design IT系统开发生命周期中的安全隐私管控工业产品(汽车为例)V模型的安全与隐私设计076076083087089107114114116119腾讯出海/数据合规服务产品及解决方案腾讯云在数据合规中的责任与建议腾讯云全球合规资质认证腾讯云的合规资源与能力准备角色:合规责任共担模型腾讯云平台数据合6、规保障国际站账号云平台数据保护能力云平台数据安全治理体系云平台供应链合规云平台数据留存与删除管理云平台数据合规问题应对体系云平台的透明性与可审计性腾讯云数据合规工具箱数据安全数据权限管理数据合规审计可信计算数据库大数据与数据湖12012112112512512712712712913013113213213313314214915215415705中国企业出海数据合规关键行动建议精准识别:数据合规要求精细梳理:数据出境场景规范评估:数据合规差距高效修复:合规改进建议标准编制:出境评估报告体系搭建:长效管理机制21521621621621721721807171172不同行业出海数据合规建议跨境7、电商06176181185193195203207211211211212212213213214214社交文娱游戏汽车/出行教育金融服务传统制造业智能终端制造业行业案例梳理某跨境电商企业数据合规审计体系化建设某社交公司海外数据合规落地实践三一集团有限公司海外数据出入境合规管控某能源企业数据跨境合规项目某制造业人力资源运营模式转型项目某制造业海外一体化运营项目某生物医药企业数据跨境合规项目某国有大型银行数据跨境项目腾讯云助力数据重要环节的安全合规数据生命周期视角合规实施框架数据采集收集数据存储数据共享数据使用数据传输数据删除与销毁167167168168169169170170企业出海形势分析8、与合规要求企业全球化的新纪元企业出海路径及趋势企业出海过程中的合规要求概述数据合规的重要性001全球化是一个动态演化的进程,随着人类文明的不断发展,全球化也经历了不同阶段的演变。从二十世纪九十年代的早期全球化到近年来的再全球化,全球化的格局也在急速变化。早期的全球化阶段,从近代工业革命开始至一战、二战期间,全球化主要表现为商品、资本、劳动力的跨境流动,以及国际社会在努力降低国家对于国际商品、服务、人员、知识产权跨境流动所设置的壁垒,使得国际经济贸易的法律环境变得更为顺畅。这几个阶段的全球化是自由贸易和资本流动的体现,促进了全球经济的快速增长和国际交流的增加。2020年以来,随着疫情的全球蔓延,9、全球经济受到冲击,许多国家开始对原有的经济运行方式和法律制度进行重新审视。与早期的全球化相比,当前的全球化更加注重建设当地的供应链体系,强调与当地社会的融合与发展。这一变化反映了全球化进程中的动态调整和适应,以及不同国家在全球经济中的角色和地位的变化。在复杂多变的国际贸易环境之下,中国企业出海一方面是主动参与国际循环,应对国内部分行业市场饱和等现实问题的必然选择;另一方面也是中国企业核心竞争优势不断扩大、国际影响力逐渐增强的直接体现。总之,今天中国企业思考和推动适合自身发展的、新的全球化战略已经成为时代发展的必然。中国企业在全球化的过程中,需要不断学习和适应,以应对各种复杂的国际环境和竞争挑战10、,同时抓住全球化机遇,思考和推动适合自身发展的、新的全球化战略,实现高质量、可持续发展。企业全球化的新纪元1.1002在变局之下,中国企业的全球化主要受到以下三个关键因素的推动:企业自身发展壮大的原动力:中国企业自身的发展壮大成为推动其全球拓展的内生动力。随着全球市场的紧密联系和贸易自由化的推进,中国企业意识到在全球舞台上拓展业务的机遇和必要性,以获取更广阔的市场、资源和合作伙伴。在可再生能源与储能、新能源汽车、电子商务、游戏开发等新兴行业中,许多中国企业已具备国际竞争力,海外市场成为其业务增长的重要驱动力。2024年初数据显示,国内头部新能源车企2023年第四季度销量首次超过海外新能源车企,11、标志着中国在全球电动汽车市场上的新兴实力1。国内市场竞争激烈的强压力:一方面,中国企业目前也面临着将近饱和、竞争激烈的国内市场,企业持续盈利的能力存在较大挑战。因此,开拓海外市场成为这些企业继续发展乃至生存的必然选择。另一方面,产业升级的历史逻辑需要中国企业在全球价值链中积累资本,加强创新,并向价值链中高附加值环节上升。这也进一步推动中国企业积极进军海外市场,寻求更广阔的发展机遇。以工程机械行业为例,2023年我国工程机械新机需求不旺,内销大幅下滑,但是工程机械出口依然保持增长态势。据海关数据整理,1-11月我国工程机械产品累计出口额446.22亿美元,同比增长10.6%2。中国政府双循环战略12、的推动力:中国政府的政策推动是中国企业走向海外市场的重要动力。中国实施的“双循环”战略需要加强对外循环,促进更多中国企业在海外市场扎根发展。政府推出了一系列支持企业海外投资的政策和措施,为企业拓展全球业务提供了支持和便利。1 陈宇轩、印朋、梁希之.“中国新能源车企销量再创新高 巩固全球领先地位”.新华社.20240105.https:/ Games正式成立.网易.20220506.https:/ 探讨成立合资公司.腾讯网.20231121.https:/ Games推动技术创新。利用当地的技术人才和创新环境,进一步提升游戏开发和技术能力,推出更具创新性和竞争力的游戏产品1。加大跨境投资和并购:13、中国企业加大了对海外市场的投资力度,通过收购、并购等方式获取海外资源、市场和技术。这有助于提升企业的全球影响力和市场份额。阿里巴巴于2016年宣布收购新加坡电商平台Lazada的控股权,通过这一交易,阿里巴巴进一步扩大了其在东南亚地区的市场份额。Lazada是东南亚最大的电商平台之一,涵盖多个国家,包括印尼、马来西亚、菲律宾等。通过收购该企业,阿里巴巴能够利用其强大的物流和电商基础设施,进一步拓展在东南亚地区的业务2。重视品牌建设与文化输出:中国企业越来越重视品牌建设和文化输出。以往中国企业主要依赖商品出口贸易的模式拓展海外市场,现在更多的企业注重打造具有国际竞争力的品牌形象,通过文化产品和服14、务输出能力,提升了中国企业的全球影响力。TCL致力于品牌建设和市场拓展,通过参与国际知名赛事和赞助顶级体育俱乐部等方式提升品牌知名度。TCL还积极拓展海外市场,与全球的零售商、电信运营商和合作伙伴建立合作关系,加强产品的销售和分销网络3。推动服务贸易和创新合作:相较于之前中国企业在海外单打独斗,当今中国企业在全球服务贸易中的地位不断提升,积极参与国际产业链,开展跨国创新合作,推动了全球合作与资源共享。2023年,宁德时代匈牙利电池工厂规划产能100GWh,一期已开工建设,预计2年左右建设完成。同年,全球第四大汽车集团Stellantis集团与宁德时代宣布双方已签署备忘录。在该备忘录中,宁德时代15、将在欧洲当地向Stellantis集团供应磷酸铁锂(LFP)电池的电芯和模组,助力Stellantis在欧洲市场的电动汽车生产4。企业出海路径及趋势1.2004在中国企业拓展国际市场的过程中,合规能力的建设必不可少。企业在海外运营中面临着不同国家和地区的法律法规和数据保护要求,数据合规不仅关系到企业的声誉和信任度,更直接影响到企业在全球市场的运营效率和竞争力。数据合规是本文的主要关注点,将展开详细阐述。除了数据合规以外,中国企业出海过程中面临的其他合规要求还包括财税合规、人力资源合规、知识产权合规、贸易管制与制裁等。企业出海过程中的合规要求概述1.3财税合规合规的财税管理可以帮助企业遵守当地法16、律和规定,高效管理财务风险,确保企业的可持续发展。每个国家或地区都有其特定的税收法规,企业需要确保其商业活动的合法性,并按照规定完成税务申报和缴纳。否则,企业将可能面临罚款、禁业等行政处罚。为实现跨境财税合规,中国企业在出海前,应进行详细的财税规划和准备工作,例如,了解目标国家的税法、会计准则和报告要求,了解税款缴纳和报表申报规则等。同时,企业还需建立健全的审计和内部控制系统,加强利润调整和会计核算,确保财务报表的准确性和合规性。此外,在进行国际贸易时,企业需要遵守相关的关税、进出口贸易规定和海关法规,如商业合同、国际支付等规定。企业在跨境财税合规方面遇到的主要问题有:税收管辖权冲突:跨境企业17、可能面临多个国家和地区的税收管辖权冲突,导致双重征税或出现税收漏洞。当同一笔收入在两个不同的税收管辖区内都要缴税时,就会构成双重征税,这对于企业而言无疑是一种重复的负担。永久性机构:跨境企业需要明确哪些海外活动可能构成永久性机构。一旦构成永久性机构,企业则需要按照所在国的规定缴纳相应的企业所得税。财税信息对接:各国近年来加大了财税信息透明度的要求和跨境税收信息对接力度,跨境企业需要做好全球财务信息的申报。转移定价:在跨境企业关联交易中,转移定价可能受到税务部门关注,需要合理规范以避免税收风险。人力资源合规人力资源合规也是中国企业在海外市场开拓中不可忽视的问题。中国企业如果对于出海国家当地的法律18、法规和劳动法了解不深入的话,容易在用工时产生劳务纠纷或面临高额罚款。此外,签证类型不适当也可能带来出入境管理风险。中国企业在海外雇佣员工之前,需要深入了解当地的劳动法律法规,包括最低工资标准、劳动时间、员工福利、假期制度等。建立完善的用工制度和流程,包括招聘流程、薪酬福利、员工培训等,以确保员工能够在合规的框架下开展工作,同时也提高员工的满意度和忠诚度。此外,还需针对管理者和员工开展法律法规培训和指导,并定期对合规情况进行检查,及时发现问题并予以解决。践行可持续发展和社会责任:中国企业越来越注重可持续发展和社会责任。他们关注环境保护、社会公益和企业道德,努力在全球范围内推动可持续发展目标的实现19、。某头部新能源汽车厂商致力于推动可持续供应链管理。他们与供应商合作,确保采购的材料和零部件符合环保标准,减少环境影响。同时还鼓励供应商采用可再生能源和节能措施,提高整个供应链的可持续性。知识产权合规不同国家和地区在知识产权保护方面的法规差异比较大,中国企业需要保护自身的创新成果不被侵犯,必须具备跨国知识产权管理和风险防控的能力。此外,在参与国际竞争的时候,欧美地区的企业常常通过知识产权侵权诉讼等方式针对中国企业,一旦在海外遭遇知识产权诉讼,中国企业需要面临较长的诉讼周期和高昂的应诉成本,不仅影响海外业务发展,而且还可能对企业的长期竞争力产生负面影响。因此,建立系统的知识产权风险防控机制非常必要20、。中国企业在出海过程中常见的知识产权风险包括:海外知识产权诉讼风险(如专利侵权、商标侵权和商业秘密侵权诉讼);海外参展知识产权风险(如商标风险、参展产品的专利风险、参展材料或展台设计的版权风险);跨境电商知识产权风险(因商标、专利、版权侵权投诉等被电商平台封号、冻结资金甚至诉讼);海关扣押风险(海关对侵权嫌疑货物实施扣留并进行调查、罚款、追究刑事责任等);知识产权相关的贸易风险(如美国的“337调查”、“特别301调查”以及欧盟针对相关不公平贸易措施的调查等);跨境技术交易的知识产权风险(专利侵权或自身知识产权流失)。中国企业需要建立一套全球性的知识产权管理体系,同时加强海外知识产权应诉能力,21、积极维权,最大化地实现知识产权价值。贸易管制与制裁受当前国际政治经济环境影响,中国企业在出海贸易和投资方面,受到海外其他国家基于安全利益实施的管制、制裁的风险日益增加。以美国为例,违反出口管制相关法律,可能遭到行政处罚(如民事罚金、进出口禁令、禁止从事BIS相关业务等)以及刑事处罚。若触发刑事处罚程序,依据美国出口管制条例规定,任何故意实施、试图实施或密谋违反相关规定的主体,可能会被处以100万美元的罚款,涉案高管个人则有可能面临最高20年的监禁,二者可并处。中国企业出海的过程中,应遵守国际贸易规则,如国际条约、多边/双边协定、商业惯例、海外国家或地区的法律法规、监管规定、行业准则、平台规则等22、要求。通过建立健全的合规体系,企业能够更有效地应对复杂多变的国际市场环境,保持业务的持续健康发展。接下来,我们将重点阐述数据合规的重要性、主要挑战、全球各地区的数据合规要求、以及数据合规体系建设。0051“Cost of a Data Breach Report 2024.”IBM Security and the Ponemon Institute.202407.https:/ 杜知航.“未做好未成年人保护 TikTok被欧盟罚款3.45亿欧元”.20230917.https:/ 488万美元1。企业数据合规有助于提升企业的竞争力和运营效率合规的数据管理实践可以帮助企业优化数据流程,提升数据23、质量和安全性,从而支持更精准的市场分析和业务决策。如果企业忽视隐私数据安全合规风险与挑战,监管机构有权力临时或永久限制或禁止违规企业的数据处理活动。例如,某短视频平台因隐私保护不足被处罚3.45亿欧元,多国对其展开调查或暂停其业务2。在复杂多变的国际政治经济形势之下,中国企业应当变被动为主动,积极融入全球合规治理体系,提升企业的合规竞争软实力,为实现高质量、可持续的全球化发展奠定坚实的基础。00605全球法律法规的多样性数据跨境传输的复杂性数据合规策略的一致性不同行业数据跨境的特殊性企业出海面临的数据合规挑战0071 https:/ 王融、易泓清.“中美欧个人信息保护法比较”.腾讯研究院.2024、210822.https:/ https:/ Nations Conference on Trade and Development,UNCTAD)统计,到2023年,在全球230多个国家(地区)中,已经有161个国家(地区)出台了数据隐私保护法,其中大多数制定了跨境数据流动法律或政策1。各国对数据保护的法规和要求不同,主要包括限制性规范和推动性规范两类。限制性规范以限制数据流动、数据安全偏好为主要策略,如印度、俄罗斯在促进数字经济发展的同时,制定数据本地化的规定;新加坡、欧盟在提倡数据跨境自由流动的同时,规定多样化的数据出境机制。推动性规范以推动数据自由流动、数据红利偏好为主要策略,如经济合25、作与发展组织(OECD)、亚洲太平洋经济合作组织(APEC)等国际组织确立了若干数据跨境流动的原则,建立了若干具有代表性的框架,推动数据在国家/地区间有序流动,以期减少数据跨境流动摩擦,但对于数据向组织外的跨境则较为谨慎。欧洲的通用数据保护条例(GDPR)提供了目前唯一的对外跨境合规框架,并采取了世界范围内的持续性实质推广,对全球多个国家/地区的相关规则产生了显著影响。在这些全球法规中,欧盟的通用数据保护条例(GDPR)号称是“史上最严个人数据保护立法”。从2018年正式实施到2023年11月,欧盟成员国根据GDPR针对与处理个人数据相关的违规行为发起了1701起罚款,罚款总额达到40亿欧元。26、根据欧盟对GDPR执法的总结和期望,未来GDPR的执法会越来越严格和频繁。我国的个人信息保护法自2021年11月1日正式实施,在规则的严厉程度上基本对标欧盟GDPR,而美国加州隐私立法(CCPA&CPRA)相较更为宽松。在适用地域范围上,GDPR最广泛,中国个人信息保护法更为克制,CCPA&CPRA最有限。在个人信息处理的合法性基础、同意规则、行政监管等方面,个人信息保护法比GDPR更严格,CCPA&CPRA最宽松。在个人信息定义、敏感信息处理规则等方面,个人信息保护法和GDPR严格程度基本一致,CCPA&CPRA最宽松。在受规制的对象类型、数据安全事件通知义务等方面,GDPR最严格个人信息保27、护法次之,CCPA&CPRA最宽松2。另外,各国数据保护政策和法规可能会不断变化,企业需要保持高度敏感,及时调整合规策略,以应对政策变化带来的挑战。例如,美国的数据保护法规在2023年之前一直保持相对宽松,但在2023年后,开始逐步收紧。2023年10月25日,在瑞士举行的世界贸易组织电子商务联合声明倡议会议期间,美国放弃了长期以来坚持的部分关于跨境数据自由流动的主张,并且美国正在审查其在数据和源代码等敏感领域的贸易规则现行举措。2023年11月15日,14名美国国会议员联合签署信函,向10家在美国进行自动驾驶汽车测试的中国公司发出质询,要求他们就“如何收集和处理美国的数据、以及与中国政府关系28、”做出回应3。虽然拥有自动驾驶汽车的中国公司在加州仍然相对不受限制,但未来可能会越来越困难。现在是质询,紧接着就会正式审查。美国的一位国会众议员已经起草了众议院国防授权法案的修正案,要求国防部报告可能涉及中国自动驾驶汽车的国家安全威胁,该法案已获得众议院批准。企业需要密切关注并遵守不同国家的法律法规及执法动态,一方面最大限度规避限制性规范的违规风险,另一方面充分利用推动性规范的弹性空间,降低企业跨境管控压力和成本。全球法律法规的多样性2.1008009数据跨境传输除了需要满足各地法律法规要求外,往往还面临“国家安全”、“数字主权”相伴而生的复杂地缘环境,各国围绕数据本地化的不同要求也进一步增加29、了企业的合规难度。数据跨境传输的复杂性2.2“国家安全”日益成为相关国家限制数据跨境流动的动力。一方面,特定重要数据的确需要加以保护和管理,例如基因、地理、气象等敏感数据以及大量个人数据等,都存在构成国家安全风险的可能。但另一方面,“国家安全”的概念同样也是模糊且覆盖广泛的,一旦跟国家安全风险挂钩,数据“真正的用途”便不再被关注,一方面政府无需提出合理有效的证明,另一方面企业亦难以“自证清白”。美国对中国某短视频平台海外版的打压,其中一个理由就是怀疑其搜集的大量数据会交给中国政府、影响其国家安全;美国也以国家安全为由,出台了阻止外国实体获得大量美国人个人数据的行政令,禁止数据流向中国在内的所谓30、“受关注国家”。2.2.1 国家安全2.2.2 数字主权2.2.3 数据本地化数字主权是国家主权在数字领域的延展。美国GAFA(谷歌、苹果、Facebook 和亚马逊)的全球扩张,加剧了价值转移的严重失衡,产生了数字领域的经济依赖,各国围绕数字经济发展的自主权的讨论开始增加。2013年斯诺登等事件的接连发生,也使得各国政府越发担忧由于跨境数据流动而失去对他国数字平台的控制,进而损害本国主权。数字主权的概念因此应运而生。尽管数字主权的概念仍然广泛而模糊,但已得到不少国家认可或接受,并在各自国家内以不同的方式得到解释和应用,也反映了有关国家各自的价值观和政治偏好。比如,欧盟的“数字主权”具有较强的31、代表性和影响力,最早于2008年进入欧盟公共领域,并逐渐确认为“欧洲数字政策的主旋律”;由于欧盟在数字领域的发展落后于美国和中国,且更加注重保护基本的个人权利,其实现数字主权的路径和愿景会更加侧重于强化数字平台责任。中国的数字主权意味着将数据保护作为政府的核心和战略资产,重点在于安全。美国由于缺少联邦层面的数据保护法规,美国企业对数据具有更多的自主权。而其他发展中国家提到的数字主权,往往是上述不同概念的混合,特别是曾经做过殖民地的国家,更多是从对“数字殖民主义的反抗”角度出发理解数字主权。但与此同时,过度强调数字主权及其有关概念,反过来可能也会削弱国家在数字领域的国际吸引力、加深国际数字鸿沟,32、因此并不是没有反对意见。数据本地化是数据跨境管理的一种措施,通常理解为某一主权国家和地区,通过制定法律或规则来限制本国和地区数据向境外流动,是对数据出境进行限制的做法之一。数据本地化不仅增加了企业的合规成本,还可能影响数据的流动性和企业的全球运营效率。目前,全球多个国家和地区提出了本地化要求,宽严程度有所不同,几种模式交织并行:模式1:无本地化要求,但有出境限制。比如,日本和欧盟规定原则上允许数据合规流动。模式2:境内存储副本,对转移或出境无限制。比如,印度仅要求将数据副本存储在国内计算机设备中,对外转移或处理数据副本无限制,其通常的目的是确保监管需求。010出海企业在全球化的商业环境中,面临33、着复杂的数据保护和隐私法规挑战。为了在各个国家和地区顺利开展业务,企业必须与当地的监管机构、合作伙伴以及供应商等多方进行深入的沟通和协调。这种协调不仅涉及到对各国数据保护法规的理解和遵守,及时了解和适应法规变化,降低因违反法规而面临的企业声誉风险、法律风险和罚款;还需要基于对各国法规的理解,制定一套统一的数据合规策略,明确数据收集、存储、处理和传输等方面的操作规范,确保在全球范围内的数据处理活动都能遵守相关法规。通过协调一致的数据合规策略,企业可以确保与各方合作伙伴和供应商的合作更加顺畅,避免因数据问题影响合作关系。同时,数据合规策略的一致性有助于企业在全球市场中做出更明智的战略决策,确保企业34、的长期可持续发展。数据合规策略的一致性2.3模式3:境内存储,可境外处理。比如,俄罗斯规定数据必须首次存储在国内,满足出境合规条件的情况下可以向境外传输,在境外处理数据。模式4:境内存储、处理。比如,美国、土耳其、澳大利亚规定数据只能在境内存储、处理,仅在特定的条件下(如国家安全需求)的情况下,经审批出境。除了以上各行业均面临的共性挑战之外,不同的行业在数据跨境时都面临着不同的挑战。这主要受到行业特性、法律法规、数据敏感度、业务模式和国际合作等多方面因素的影响。例如:每个行业在数据跨境时都需要考虑其特殊性,并制定相应的数据管理和保护策略,以确保合规性、安全性和业务的连续性。总之,中国企业在出海35、过程中需要全面了解和遵守各国的数据保护法规,建立完善的数据合规体系,并通过技术和管理措施确保数据的安全和合规性。同时,企业还需要密切关注政策变化和执法动态,及时调整合规策略,以应对不断变化的国际数据保护环境。不同行业数据跨境的特殊性2.4金融行业:金融数据通常涉及个人隐私和财务信息,因此对数据保护要求极高。跨境数据传输需要符合严格的金融监管要求,如欧盟的GDPR、美国的ADPPA和CCPA。医疗行业:医疗数据包含敏感的个人健康信息,需要遵守HIPAA等健康信息保护法规。跨境数据传输需要确保数据的安全性和隐私性,避免泄露给未授权的第三方。工业制造业:工业制造业数据可能包含商业秘密和知识产权信息,36、对数据保护有特别要求。跨境数据传输需考虑供应链管理和国际合作的需要。信息技术行业:IT行业数据跨境涉及大量的用户数据和网络流量,需要高度的数据安全和隐私保护。跨境数据传输需遵守各国的数据保护法规,如欧盟的GDPR。媒体和娱乐行业:媒体数据跨境可能涉及版权问题,需要确保内容的合法传播。跨境数据传输需考虑不同国家对媒体内容的审查和监管政策。电子商务:电商数据跨境涉及消费者个人信息和交易数据,需要保护消费者隐私。跨境数据传输需考虑税务、关税和消费者权益保护等问题。出行行业:出行行业包括航空、铁路、公路、水路等交通方式,涉及大量的乘客信息、行程数据和支付信息等敏感信息,需要出行企业采取特殊的保护措施。37、跨境数据需要确保数据存储在安全的服务器上,并需要实施严格的访问控制措施。汽车行业:汽车行业涉及车辆数据、位置数据、个人信息、供应链数据,需要实施严格的访问控制,防止数据泄露、篡改和丢失。跨境数据传输需要使用安全的传输协议,以及确保数据存储的安全,定期进行审计,实时监控数据访问和传输活动。消费电子行业:消费电子行业主要涉及用户数据、设备数据、位置数据、供应链数据等,需要采取特殊的保护措施,以确保数据安全和合规。跨境数据传输时,需要采用安全的加密算法和传输协议,并需要定期备份跨境数据,确保数据安全。能源行业:能源数据跨境可能涉及关键基础设施和国家安全,对数据的控制非常严格。跨境数据传输需符合国际能38、源合作和安全协议。011各国家地区数据合规法规概览欧盟北美拉丁美洲中东地区东南亚印度俄罗斯日韩非洲大洋洲中国012欧盟3.1通用数据保护条例(General Data Protection Regulation,GDPR)于2018年5月25日正式生效,是20多年来数据保护/数据隐私领域的最大的变革。在GDPR出台之前,每个欧盟成员国都有着各自的数据保护法,这些法律都源于1995年的欧盟数据保护指令(95指令)。95指令只规定了数据保护的最低标准,由于每个欧盟成员国在实施时都采取了不同的方法,导致当时的欧盟实际上拥有20多部不同的数据保护法。GDPR的出台,统一了欧盟各成员国分散的立法现状。在39、GDPR颁布之后,其它国家和地区也陆续颁布了数据隐私或数据安全方面的法律法规,可以说,GPDR的影响力是全球性的。GDPR共有99条规定,它授予个人更多的权利,加大了个人数据的保护力度,也顺应了欧盟消费者对数据隐私安全的迫切需求。具体而言,GDPR的出台:3.1.1 欧盟GDPR法规要求概述定义了法律允许的个人数据的传输和处理方式。详细说明了组织保护静态和传输中个人数据的具体方式。确立了欧盟居民对个人数据的收集、使用和拥有的权利。数据主体:个人数据的所有者。例如,如果一家公司收集电子邮件地址,那么这些电子邮件地址的所有者就是数据主体。数据控制者:收集个人数据并确定其使用方式的任何组织、公共机构40、或其他团体或个人。例如,保留用户数据库的社交媒体网站就是数据控制者。数据处理者:以某种方式对个人数据进行操作(例如分析、存储或更改数据)的任何组织。公司既可以是控制者,也可以是处理者。处理者也可以是代表控制者处理数据的第三方机构,如提供数据存储和分析的云服务提供商。为了清晰阐述权利、责任与义务,GDPR定义了三种角色:GDPR定义的三种角色GDPR较广的适用范围也会对中国企业的移动应用安全、数据收集、处理和交易产生重大影响。例如,一家中国的互联网公司在中国境内为欧盟数据主体提供服务,其收集的有关个人数据,也应当遵循GDPR相关要求。如果存在以下几种情况,欧洲经济区以外的企业也将受到GDPR的约41、束:公司定期向欧洲经济区居民提供商品和服务,即使没有资金易手。公司定期监控欧洲经济区居民的活动,例如使用跟踪cookie。公司代表欧洲经济区的控制者处理数据。唯一不受GDPR约束的数据处理活动是国家安全或执法活动以及纯粹的个人数据使用。GDPR的适用范围极广,所有位于欧洲经济区(包括27个欧盟成员国以及冰岛、列支敦士登和挪威)的数据控制者和处理者都受到GDPR的约束(即使是在欧盟之外存储和处理数据)。GDPR的适用范围013GDPR制定了七项核心原则作为法律基础。这些原则与合法性、数据处理原因以及同意条件相关,包括:合法性、公平性与透明性:企业须告知数据主体其个人数据的使用方式,必须有正当理由42、才能处理数据。用途限制:企业只能出于特定目的收集数据,这是有意纳入隐私原则中的一项重要概念,其重点在于确保数据“被收集用于指定的、明确的且合法的目的”。数据最小化:企业收集数据的范围不得超出其特定处理需求的范围。准确性与及时更新:收集并处理数据的企业应及时更新数据,确保数据准确,还必须应数据主体的要求更改或删除数据。存储限制:企业保留收集数据的期限不得超过所需时长。完整性和保密性:企业必须采取适当的安全保护措施,保护个人数据,以避免数据被盗/未经授权访问等。合规性:措施和文档必须证明受管辖实体已遵循GDPR规定。GDPR的七项基本原则信息透明:数据控制者/处理者在收集个人数据前务必征询数据主体43、,如应以简单透明、清晰且容易获取的方式,通过清楚明确的语言向数据主体提供相关信息。设计和默认的数据保护:设计隐私和默认隐私必须在项目、产品或服务的所有阶段实施。控制者应当实施适当的技术和组织措施保护数据主体的权利,如匿名化等。且对特定事项,该技术和组织措施应确保在默认情况下只有对每个特定处理目的有必要的个人数据才能被处理。活动记录:控制者及其代表应当依职责保存处理活动的记录,且记录应当包含特定信息,如处理者/控制者的联系方式、处理目的、数据主体类别等。泄露通知:在个人数据泄露的情况下,控制者在知悉后应及时且最迟在72小时内通知监管机构。影响评估:在进行数据处理之前,控制者应当就个人数据保护所设44、想的处理操作方式的影响进行评估。提前咨询:根据影响评估情况,如果控制者不采取措施,处理会带来高风险,那么控制者应当在处理之前咨询监管机构。设立数据保护官:控制者和处理者需要指派专门的数据保护官(Data Protection Officer,DPO)负责降低数据风险,确保数据合规,响应请求,报告违规,并创建良好的数据安全策略。GDPR规定了控制者和处理者在处理个人数据时必须遵守的责任和义务:GDPR规定数据控制者/处理者的主要义务知情权:数据主体有权知道谁拥有其数据、他们获得这些数据的方式以及正在使用这些数据做什么。访问权:数据主体有权访问公司拥有的任何数据。纠正权:数据主体有权更正不准确或过45、时的个人数据。删除权:也即“被遗忘权”,指主体有权要求公司删除其数据。公司必须遵守,除非他们对数据的权益(例如,维护某些记录的法律义务)超越了这项权利。限制处理权:如果主体认为其数据不准确、遭到非法使用或不再需要用于公司目的,他们可以要求公司限制其数据的使用方式。公司必须遵守,除非能够证明其在处理数据方面拥有压倒性的权益。数据携带权:数据主体有权将其数据从一家公司转移到另一家公司。公司必须通过以可共享格式存储数据,或根据主体的请求将其发送给第三方来促进个人数据的传输。拒绝权:数据主体可以随时拒绝处理其数据。除非公司能够证明自己有压倒一切的合法理由,否则必须停止处理。不受自动化决策限制的权利:数46、据主体不受基于自动化处理行为得出的决定的制约,例如预测他们的工作表现或网页浏览行为。未经受影响人员同意,公司不能使用自动化处理制定重大决策。数据主体有权对仅基于自动化处理做出的决定提出异议。他们可以对决策提出意见,并要求公司任命一名员工来核查决策。GDPR第3章定义了数据主体拥有的八项权利,包括:GDPR赋予数据主体的八项主要权利0143.1.2 欧盟GDPR法规重点梳理根据欧盟GDPR的规定,欧盟成员国中每个国家都应当设置相应的数据监管机构(如数据保护委员会或数据保护局),以对本国内部的个人数据处理活动进行有效监管,并与其他成员国之间的数据处理活动进行协调。欧盟数据保护委员会(EDPB)会由47、各成员国的监管机构代表或者首长联合组成,以进一步促进协调。监管机构GDPR没有规定数据必须存储在本地,但对数据跨境有严格要求。此外,对于金融、医疗、政府业务等行业,还需要遵从欧盟各所在国的规定。数据本地存储GDPR规定了欧盟个人数据跨境的三种途径:获得“充分性认定”当欧盟委员会决定第三方已经确定达到充分的保护标准时,数据便可以向第三方转移,而无需经过任何特别授权程序(第三方白名单国家)。由于欧盟的充分性认定较为全面与严格,自瑞士成为首个获得充分性认定的第三方以来,20余年间仅有15个第三方通过欧盟的充分性认定,分别是:瑞士、英国、美国(仅限已加入欧美隐私框架的商业组织)、加拿大(仅限商业组织)48、、日本、韩国、安道尔、阿根廷、法罗群岛、根西岛、以色列、曼岛、泽西岛、新西兰、乌拉圭。为欧盟境内数据主体提供“适当保障措施”当数据出境的目的地没有获得欧盟的充分性认定时,数据控制者或处理者只有在提供了适当的保障措施并且满足数据主体能行使权利、能获得有效的法律救济的条件时,欧盟境内主体才能将相关个人数据向第三国或国际组织转移。这些保障措施包括:政府间签订有法律约束力和可执行性的文书、有约束力的公司规则、采纳欧盟提供的标准合同条款等。特定情况下的豁免在充分性认定和适当保障措施均不能满足的情况下,数据跨境需求方还可以退而求其次,判断其数据跨境传输是否属于特定情况下的豁免,GDPR规定了7种豁免情形,49、如数据主体在被告知该转移行为由于缺乏充分的保护标准和适当的保护措施可能会对其带来的风险后仍明确同意转移。数据跨境数据主体已经明确同意基于一项或多项目的而对其个人数据进行处理。处理对于控制者履行责任以及行使其特定权利是必要的,或者对于在雇佣、社会安全与社会保障法领域采取符合欧盟或成员国法律或集体协议的措施以保护数据主体的根本权利或利益是必要的。数据主体因身体原因或法律原因而无法表达同意,但处理对于保护数据主体或另一个自然人的核心利益所必要的。基金、协会或者其它具有政治、哲学、宗教或工会目的的非营利机构的正当性活动中所进行的处理,并且已经采取了恰当的保护措施。对数据主体明显已经公开的相关个人数据的50、处理。当处理对于提起、行使或辩护法律性主张必要。处理对实现实质性的公共利益是必要的。处理对于预防性医学或者临床医学目的是必要的。在公共健康领域,处理是为了实现公共利益所必要的。对于实现公共利益、科学或历史研究目的或统计目的是必要的,处理采取了与其期望目的所相称的处理,并且对数据主体的基本权利与利益采取了合适与特定的措施。根据GDPR的规定,只有满足如下条件中的至少一项,对于个人敏感数据的处理才是合法的:GDPR非常重视个人数据保护。GDPR将个人数据定义为与可识别人员相关的任何信息,包括直接和间接标识符。直接标识符是指一个人的唯一数据点,例如姓名或信用卡号。间接标识符包括可以识别一个人的非独特51、特征,例如Cookie标识符、IP地址、外形特征、出生日期等。GDPR还对敏感个人数据给予更大保护力度,包括以下信息:族裔或种族、宗教信仰、生物识别数据、政治观点、遗传数据、健康信息、性取向或性生活、工会会员身份。敏感数据需要接受更为严格的保护,是因为对这些数据的处理会大大增加个人权利和自由方面所面临风险的可能性和严重性。个人数据保护0153.1.3 欧盟GDPR数据违规案例因违反GDPR而产生的罚款有以下两个级别:1级:轻微违规行为(例如未经父母同意,处理16岁以下儿童的数据),处以全球年收入的2%或1000万欧元的罚款,以较高者为准。2级:重大侵权行为(例如出于非法目的处理数据),处以全球52、年收入的4%或 2000万欧元的罚款,以较高者为准。根据GDPR Enforcement Tracker 的分析1,罚款原因中位列前三的原因如下:违反通用数据处理原则。数据处理的法律依据不足。缺乏用于确保信息安全的技术和企业措施。GDPR的实施将加重中国企业及跨国公司涉欧业务的合规义务。所有在欧盟有业务的中国公司,无论是在欧盟内部还是在欧盟之外处理个人数据,或者是在欧盟以外处理欧盟居民的个人数据,都面临风险。GDPR的监管要求覆盖了各个行业,根据GDPR Enforcement Tracker 统计的罚款情况,以下行业的公司面临的风险最大:2023年5月,因违反GDPR,爱尔兰数据保护委员会向53、美国某社交平台开出了12亿欧元(即13亿美元)的罚单,高居近期大额制裁榜首。关于GDPR第46(1)条,爱尔兰隐私监管机构指责该公司在提供服务时,未能在将个人数据从欧盟或欧洲经济区(EEA)转移到美国的过程中提供足够的数据隐私保护2。2021年7月,荷兰数据保护局(Autoriteit Persoonsgegevens)以侵犯儿童隐私为由,决定对中国某出海社交平台处以75万欧元的罚款。这是GDPR实施三年以来,中国企业第一次因违反GDPR相关条款而遭受处罚3。2023年9月15日,爱尔兰数据保护委员会称该社交平台违反GDPR多条规则,再次对其罚款3.45亿欧元4。2024年3月14日,意大利竞54、争管理局认为,该社交平台的内容审核不到位,尤其是可能威胁到未成年人和弱势群体的内容,分别处罚该社交平台爱尔兰有限公司、英国有限公司、法国有限公司一千万欧元5。媒体、通信和广播行业银行、保险公司、咨询工业企业零售电商平台将个人数据用于营销目的的航空公司和酒店连锁房地产开发商1GDPR Enforcement Tracker fines statistics:https:/ Sharma.“迄今为止最大的数据泄露罚款、处罚和和解”.20240428.http:/ TikTok被欧盟罚款3.45亿欧元”.财新.20230917.https:/ 欧盟网络安全法规要求随着网络和信息系统以及电子通信网络和55、服务逐渐成为欧盟经济增长的支柱,欧盟陆续出台了多项政策,搭建了一套较为完善的关键基础网络安全防护法律体系,实行以风险管理为基础的网络安全治理策略。欧盟网络安全法案(EU Cybersecurity Act,CSA)于2019年6月27日正式施行1。该法案设立的目的是确保欧盟机构在处理个人用户、组织和企业网络安全问题的过程中加强网络安全结构、增强对数字技术的掌控、确保网络安全应当遵守的法律规制,旨在促进卫生、能源、金融和运输等关键部门的经济,特别是促进内部市场的运作。在网络风险不断增加的形势下,欧盟网络安全法案一方面将把欧盟网络和信息安全署(ENISA)定位成欧盟永久性机构,从而提升加强 ENI56、SA的地位;另一方面,还为信息和通讯技术(ICT)等产品创建了一个欧洲网络安全认证框架,旨在欧盟内部提供网络韧性和响应能力,因为协调各种标准以提升效率也是欧盟“数字单一市场”(Digital Single Market)战略的核心命题。设计、制造或实施ICT产品、服务或流程的企业应监控相关认证计划,评估其合规程度,并在计划正式采用后考虑认证。虽然网络安全法案的真正影响和有效性还有待观察,但它对网络安全的日益关注可能会促进 ENISA 认证计划的成功和广泛采用。欧盟 网络安全法案(CSA)为了实现这一目标,该法案包括两个主要部分:建立欧盟网络和信息安全局(European Network and57、 Information Security Agency,ENISA)管理的监管框架,旨在为各种信息和通信技术(ICT)产品和服务制定认证计划。授权欧盟委员会建立一个自愿的网络安全认证机制。随着时间的推移,可能会成为欧盟对关键产品或活动的强制性认证。未遵循NIS 2的要求会被处以巨额罚款:必要实体:最高1000万欧元或全球年营业额的2%,以金额较高者为准。重要实体:最高700万欧元或全球年营业额的1.4%,以金额较高者为准。2022年12月,欧洲议会和理事会共同通过了关于在整个欧盟全境实现高度统一网络安全措施的指令(NIS 2指令),其目标是在欧盟各成员国之间建立统一的网络安全水平2。NIS 58、2指令作为欧盟关键基础网络安全防护的核心法规,构建了一套基于分级分类原则的网络安全防护体系。NIS 2适用于欧盟范围内的任何公司,包括“在内部市场中,作为一个整体在经济和社会方面履行重要职责的公有和私有实体”,并且这些公司“应按要求采取充分的网络安全措施”。该指令将“受监管实体”分为两类:必要实体(Essential Entities,EE)和重要实体(Important Entities,IE)。这两类实体在合规方面的区别在于:必要实体在合规监控、事件报告义务和信息系统保护措施执行方面须遵循更为严格的监管要求。欧盟NIS 2指令NIS2规定的必要实体包括:能源、健康、交通、饮用水、废水、空间59、、公共政府、信息通信技术服务管理(B2B商家对商家)、金融市场基础设施、银行业、数字基础设施(包括互联网服务提供商ISP和云)等。NIS 2规定的重要实体包括:数字供应商、研究、邮政和快递服务、食品生产与分销、制造业、化学品制造生产和分销、废弃物管理等。1https:/eur-lex.europa.eu/EN/legal-content/summary/the-eu-cybersecurity-act.html2https:/eur-lex.europa.eu/eli/dir/2022/2555017欧盟关于关键设施弹性的指令(the Critical Entities Resilience 60、Directive,CER)于2022 年12月27日生效1,该指令明确了欧盟地区的关键基础设施涉及的11个领域(能源、交通、银行、金融市场基础设施、卫生、饮用水、废水、数字基础设施、公共行政、空间、食品),并明确识别关键基础实体的考虑因素和安全义务,如:CER和NIS 2指令下的国家主管部门必须定期合作和交换相关信息,如网络和非网络风险、威胁和事件等。风险评估。弹性措施。强制性背景调查。事件通知要求。现场检查/审核。欧盟CER指令数字运营弹性法案(Digital Operational Resilience Act,DORA)旨在为欧盟金融行业(Financial Entities)创建具有61、约束力的全面信息和通信技术(ICT)风险管理框架3。该法案于2022年12月通过,并将于2025年1月17日生效。DORA适用于欧盟的所有金融机构。其中包括银行、投资企业和信贷机构等传统金融实体,以及加密资产服务提供商和众筹平台等非传统实体。此外,DORA还适用于一些通常被排除在金融监管之外的实体。例如,为金融公司提供ICT系统和服务的第三方服务提供商(例如云服务提供商和数据中心)必须遵守DORA的要求。DORA还涵盖提供关键第三方信息服务的公司,例如信用评级服务和数据分析提供商。DORA鼓励但不要求信息共享。金融实体必须建立从内部和外部ICT相关事件中吸取教训的流程。为此,DORA鼓励实体参62、与自愿的威胁情报共享安排。以这种方式共享的任何信息仍必须受到相关准则的保护,例如,个人身份信息仍受通用数据保护条例(GDPR)的注意事项的约束。全面解决金融服务行业的ICT风险管理问题。协调各个欧盟成员国已有的ICT风险管理法规。DORA在四个领域为金融实体和ICT提供商制定了技术要求:ICT风险管理和治理。事件响应和报告。数字化运营弹性测试。第三方风险管理。欧盟针对金融行业的合规要求网络弹性法案(Cyber Resilience Act,CRA)是即将出台的欧盟法规,旨在确保在欧盟销售的所有数字产品和服务都采用强大的网络安全措施2。2022年9月,欧盟委员会发布了网络弹性法案(CRA)草案。63、欧洲议会于2024年3月12日通过了CRA最终文本的临时版本。该法案要求数字产品制造商在整个产品生命周期内确保其安全,并提供自动安全更新服务。未来的产品必须符合最低安全要求,以获得CE标志。CRA涉及整个开发过程中的访问保护、保密性、完整性和可用性等基本层面。欧盟网络弹性法案(CRA)DORA有两个主要目标:1https:/eur-lex.europa.eu/eli/dir/2022/2557/oj2https:/www.europarl.europa.eu/doceo/document/TA-9-2024-0130_EN.html3https:/www.eiopa.europa.eu/dig64、ital-operational-resilience-act-dora_en0181https:/www.ftc.gov/enforcement联邦贸易委员会(FTC)法案的监管机构是美国联邦贸易委员会(Federal Trade Commission,FTC)。FTC是美国政府的一个独立机构,成立于1914年,最初的目的是防止垄断和促进竞争。随着时间的推移,FTC的职责和权力不断扩大,今天已成为美国政府的重要机构之一。FTC的主要职责包括:保护消费者免受欺诈和不公平的商业行为,促进竞争和防止垄断,监管商业广告和营销活动,监管数据保护和隐私,监管金融服务和信用报告。加州隐私权法案(CPRA)65、的监管机构是加州隐私保护局(California Privacy Protection Agency,CPPA)。该机构成立于 2021年,负责执行CPRA的规定。CPPA由五名成员组成,成员由加州州长任命,并经加州参议院确认。CPPA的主要职责包括:执行CPRA的规定,调查消费者投诉,对违反CPRA的企业进行处罚,向消费者提供教育和资源,与其他政府机构合作。CPPA的权利包括:调查企业的数据处理活动,发布命令和规定,对违反CPRA的企业进行处罚,向法院提起诉讼,与其他政府机构合作。通用数据保护条例(GDPR):虽然GDPR的原则和要求主要针对欧盟设计,但通常也适用于美国的数据处理。在美国,没66、有等同于GDPR的联邦法律。许多美国公司,尤其是那些在全球运营的公司,可能会选择采用类似GDPR的做法,以确保遵守欧盟数据保护法规。联邦贸易委员会(FTC)法案:FTC法案是一项联邦法律,授予联邦政府的独立机构联邦贸易委员会在该国监管和执行消费者保护和反垄断法的权力。其中规范了个人数据的收集、使用和披露,并要求公司采取合理措施保护消费者数据。并对未能采取合理措施保护消费者数据,导致数据安全漏洞的公司采取行动1。数据在传输过程中必须加密。数据在存储过程中必须加密。必须采取访问控制措施,限制对数据的访问。必须采取监控措施,检测和响应安全事件。消费者必须被告知他们的数据将被传输到国外。消费者必须被告67、知数据传输的目的和范围。消费者必须给予明确的同意,才能传输他们的数据。数据控制者必须与数据处理者签订合同,规定数据处理者的义务和责任。合同必须包括数据保护的条款,包括安全措施、知情同意和监控措施。FTC有权监控和执行数据出境的要求。FTC有权调查和处罚违反数据出境要求的行为。美国法规重点梳理美国联邦级的数据合规法规主要有以下2个:另外,美国各州有权独立制定隐私法规,而以加州隐私权法案(CPRA)为代表。CPRA于2023年1月1日生效,自2023年7月1日起执行,是对2018年6月28日颁布的加州消费者隐私法案(CCPA)的修订和扩展,旨在保护加州消费者的隐私。美国法规要求概述北美3.23.268、.1 美国监管机构美国联邦贸易委员会(FTC)法案和加州隐私权法案(CPRA)对数据出境提出了相同的要求,旨在保护消费者的个人数据隐私。这些要求包括:同时,FTC法案和CPRA法案也都规定了一些例外,在某些情况下,数据出境的要求可能被豁免,例如在紧急情况下或根据法律要求。数据跨境01906美国联邦贸易委员会(FTC)法案和加州隐私权法案(CPRA)都对数据本地存储有特定的要求,旨在保护消费者的个人数据隐私。另外,这两项法案都规定了在某些情况下,例如在紧急情况下或根据法律要求,数据本地存储的要求可能被豁免。首先,前者要求数据控制者必须将个人数据存储在美国境内或符合FTC标准的国家,后者要求数据控69、制者必须将个人数据存储在加州境内或美国境内。另外,这两项法案都要求:数据控制者必须确保数据存储的安全和保密。数据控制者必须对数据存储进行监控和审计。数据控制者必须采取适当的安全措施来保护数据存储的安全。数据控制者必须对数据存储进行加密。数据控制者必须对数据存储进行访问控制。数据控制者必须与数据存储服务提供商签订合同,规定数据存储的义务和责任,合同必须包括数据保护的条款,包括安全措施、保密性和监控措施。FTC和CPPA均有权监控和执行数据本地存储的要求,以及有权调查和处罚违反数据本地存储要求的行为。数据本地存储美国联邦贸易委员会(FTC)法案和加州隐私权法案(CPRA)对个人数据保护均有特定的要70、求,旨在保护消费者的个人数据隐私。这些要求包括:个人数据保护企业必须向消费者披露他们所收集的个人数据的类型和用途。消费者有权选择是否允许企业收集和使用他们的个人数据。消费者有权访问和更正他们的个人数据。企业必须采取适当的安全措施来保护个人数据。企业必须对个人数据的保护负责。企业只能收集必要的个人数据。企业必须确定个人数据的保留期限。企业必须确保个人数据的传输安全。企业必须确保个人数据的存储安全。企业必须控制个人数据的访问。企业必须在合同中包括个人数据保护条款。企业必须确定数据保护义务。企业必须确定违约责任。2017年,美国某信用报告机构的安全团队发现了一个安全漏洞,黑客利用该漏洞进入了该机构的71、系统。黑客在系统中逗留了数月,窃取了大量客户数据,包括姓名、地址、出生日期、社会保障号码和驾驶执照号码等。经调查发现,该机构的安全措施存在严重缺陷,导致黑客能够轻易进入系统。此次事件的具体原因包括:该机构未能及时更新其系统的安全补丁,导致安全漏洞未被修复;未能采取适当的密码管理措施,导致黑客能够轻易猜测密码;未能采取适当的监控措施,导致黑客能够长时间地访问系统而不被发现。该数据泄露事件导致了1.47亿客户数据被泄露,包括姓名、地址、出生日期、社会保障号码和驾驶执照号码等。该机构声誉受到了严重损害,导致客户对公司的信任度下降。该机构面临了大量的法律诉讼和监管调查,导致公司的财务状况受到了严重影响72、。该机构在发现数据泄露事件后,立即采取了以下措施:通知受影响的客户,并提供相应的支持和帮助。与监管机构合作,进行调查和处理。采取措施来修复安全漏洞,并加强安全措施。提供免费的信用监控服务,以帮助客户保护其信用信息。此次数据泄露事件表明,数据保护是企业运营中的重要环节,企业必须采取适当措施来保护客户数据,否则可能面临法律和声誉风险。同时,企业必须及时更新其系统的安全补丁,采取适当的密码管理措施和监控措施,以防止黑客攻击。美国数据违规案例另外,美国与其他国家签订了多项国际协定,规定数据出境的要求和标准,包括欧盟-美国隐私盾框架和亚太经济合作组织(APEC)跨境隐私规则(CBPR)。多个行业组织也制73、定了数据出境的标准和指南,包括支付卡行业数据安全标准(PCI DSS)和国际标准化组织(ISO)27001。企业也应采取多种措施来确保数据出境的安全和合规,包括实施安全措施、知情同意和监控措施,签订合同,并遵守相关法案、国际协定和行业标准。020加拿大法规重点梳理监管和执行PIPEDA,确保组织遵守PIPEDA的规定,保护个人信息和隐私权。调查个人信息和隐私权相关的投诉,并采取适当的措施。为组织和个人提供关于PIPEDA和隐私保护的指导和教育。审查组织的隐私政策和做法,确保它们符合PIPEDA的要求。发布关于隐私保护和PIPEDA执行的报告和建议。与其他机构合作,促进隐私保护和个人信息保护。为74、政府和其他机构提供关于隐私保护的建议和指导。监测和分析隐私趋势和风险,确保OPC的工作始终与隐私保护的最新发展保持一致。PIPEDA的监管机构是加拿大隐私委员会(Office of the Privacy Commissioner of Canada,OPC),成立于1983年,独立于政府,直接向议会报告。2001年,OPC的职责扩展到监管和执行PIPEDA,保护加拿大公民的个人信息和隐私权,促进隐私保护和个人信息保护。主要职责包括:监管机构商业组织负责保护个人信息,并确保其员工和代理人遵守该法规。商业组织必须明确说明收集个人信息的目的,并确保该目的是合法和合理的。商业组织必须获得个人信息主体75、的知情同意,才能收集、使用和披露其个人信息。商业组织只能收集必要的个人信息,并确保该信息是最新的和准确的。商业组织只能使用和披露个人信息用于指定的目的,并确保该信息是保密和安全的。商业组织必须确保个人信息是准确和最新的。商业组织必须采取合理措施保护个人信息免受未经授权的访问、使用和披露。商业组织必须明确说明其个人信息保护政策和做法。个人信息主体有权访问其个人信息,并要求更正或删除不准确或不完整的信息。商业组织必须建立纠纷解决机制,以解决个人信息主体的投诉和问题。加拿大联邦级的数据合规法规主要有个人信息保护和电子文档法(Personal Information Protection and El76、ectronic Documents Act,PIPEDA),于2001年生效,这是加拿大联邦政府的一项法规,规范了商业组织如何收集、使用和披露个人信息。PIPEDA适用于所有在加拿大运营的商业组织,包括联邦政府机构、银行和金融机构、保险公司、电信公司、航空公司、医院和医疗机构、教育机构1。除此之外,加拿大的各个省份也都有自己的个人信息保护法,例如:安大略省的个人信息保护法(Freedom of Information and Protection of Privacy Act,FIPPA),不列颠哥伦比亚省的个人信息保护法(Personal Information Protection Ac77、t,PIPA),魁北克省的个人信息保护法(Act Respecting the Protection of Personal Information in the Private Sector,P-39.1)。另外,加拿大针对一些行业也制定了个人信息和数据安全法规,例如:加拿大支付卡行业数据安全标准(Payment Card Industry Data Security Standard,PCI DSS)规范了支付卡行业的数据安全要求。加拿大健康信息法(Personal Health Information Protection Act,PHIPA)规范了健康信息的收集、使用和披露。加拿大银行78、法(Bank Act)规范了金融机构如何处理个人信息。PIPEDA的主要原则有10条:加拿大法规要求概述3.2.2 加拿大1https:/www.priv.gc.ca/en/privacy-topics/privacy-laws-in-canada/the-personal-information-protection-and-electronic-documents-act-pipeda/021PIPEDA关于数据出境的要求主要有7项,旨在确保个人信息的安全和隐私。组织在数据出境时必须采取适当的措施和遵守相关的规定:数据跨境PIPEDA没有明确要求组织必须在加拿大境内存储所有个人信息。根据P79、IPEDA的规定,组织可以将个人信息传输到加拿大境外,但必须确保个人信息的安全和隐私,并且遵守相关的规定和标准。PIPEDA的重点是确保个人信息的安全和隐私,而不是要求组织必须在加拿大境内存储所有个人信息。组织可以根据自己的业务需要和风险评估来决定是否将个人信息传输到境外,但必须确保遵守相关的规定和标准,包括:数据本地存储组织必须确保数据中心的安全,包括物理安全和网络安全。组织必须遵守数据存储的标准,包括数据加密、访问控制和数据备份等。组织必须确保数据的可用性,包括数据的完整性和可恢复性。组织必须遵守数据保留的要求,包括数据的保留期限和删除要求等。组织必须确保数据的机密性,包括数据的加密和访问80、控制等。组织必须遵守数据审计的要求,包括数据的审计日志和审计报告等。PIPEDA对个人数据保护的要求是为了确保个人信息的安全和隐私,并且促进组织负责任地处理个人信息。主要有以下10项原则:个人数据保护组织只能收集必要的个人信息,并且必须明确说明收集的目的。组织必须获得个人同意,才能收集、使用和披露其个人信息。组织只能使用个人信息用于指定的目的,并且必须确保使用的方式是合理和合法的。组织只能披露个人信息给授权的第三方,并且必须确保披露的方式是安全和合法的。组织必须确保个人信息的保留期限是合理的,并且必须删除不必要的个人信息。组织必须确保个人信息的准确性,并且必须纠正不准确的信息。组织必须确保个人81、信息的安全性,并且必须采取合理的措施来防止数据泄露和滥用。组织必须确保个人信息的开放性,并且必须提供个人信息的访问和更正的机会。组织必须确保个人可以参与个人信息的管理,并且必须提供个人信息的访问和更正的机会。组织必须确保对个人信息的处理是负责任的,并且必须承担个人信息泄露和滥用的责任。组织必须确保在数据出境时采取适当的安全措施,以保护个人信息的安全和隐私。组织必须获得个人同意,才能将个人信息传输到加拿大境外。组织必须向个人披露个人信息将被传输到加拿大境外,以及传输的目的和范围。组织必须确保数据出境的目的合法,并且符合PIPEDA的要求。组织必须与数据接收方签订合同,确保数据接收方遵守PIPED82、A的要求,并且保护个人信息的安全和隐私。组织必须监测和控制数据出境,确保数据出境的安全和合法性。组织必须遵守跨境数据传输协议,例如欧盟的通用数据保护条例(GDPR)等。违反PIPEDA的商业组织可能面临以下三种处罚:最高50,000加元的罚款;法院可以命令商业组织采取特定措施以纠正违反行为;商业组织的名誉可能受到损害。2020年3月,加拿大一家提供无线通信的移动网络运营商发生了数据泄露事件。据报道,黑客入侵了该公司的数据库,盗取了大约15,000名客户的个人信息。泄露的信息包括客户姓名、地址、电话号码、电子邮件地址、账户信息(包括账户余额和支付信息)。黑客使用了一种称为SQL注入的攻击方法,利83、用该公司网站上的漏洞,入侵了该公司的数据库。该数据泄露事件对公司客户造成了影响,包括潜在的身份盗窃风险,财务信息泄露,对该公司的声誉造成了损害。该公司在发现数据泄露事件后,立即采取了措施,包括通知受影响的客户、提供免费的信用监测服务,更新了该公司的安全措施,以防止类似的事件再次发生。该公司的数据泄露事件提醒我们,网络安全是非常重要的。公司必须采取合理的措施,以保护客户的个人信息,包括定期更新安全措施,提供员工培训,使用安全的编码实践。加拿大数据违规案例022拉丁美洲3.33.3.1 墨西哥墨西哥保护私人持有的个人数据的联邦法(The Federal Law on the Protection 84、of Personal Data Held by Private Entities)于2010年7月6日发布,该法确定了个人数据保护原则,以及对个人数据处理相关各方的义务1。规范了个人信息的合法、受控和知情处理,保障个人隐私和自主决定权。墨西哥保护义务主体持有的个人数据联邦法(义务主体数据保护法,The General Law of Protection of Personal Data in the Possession of Obliged Subjects)于2017年1月27日发布,该法为在联邦、州和市一级行政、立法和司法部门、自治机构、政党、信托机构和公共基金的任何当局、实体、机关和85、机构保护个人数据制定了法律框架2。在欧盟的GDPR推出之前,墨西哥就已经拥有数据隐私的法规。在数据隐私保护方面,墨西哥主要有两部法律:数据在位于墨西哥的数据控制者的营业地点进行处理。数据由数据处理者(无论其位于何处)处理,且该数据处理者代表位于墨西哥的数据控制者行事。数据控制者不在墨西哥,但使用位于墨西哥的方法(means)处理个人数据,除非此类方法仅用于传输目的。墨西哥的保护私人持有的个人数据的联邦法具有域外效力,在以下情形之下,位于墨西哥境外的实体也应当遵守该法律的合规要求:墨西哥法规要求概述墨西哥个人数据保护最主要的监管部门是联邦信息获取和数据保护局(The National Insti86、tute for Access to Information and Data Protection),负责发布指导性意见、监督法律和法规的落实情况、监督相应主体履行法务义务的情况、根据法律规定开展行政执法、以及与其他国内国际监管机构合作等。国家法律或墨西哥参与的国际条约明确规定。为医疗诊断或预防、医疗保健、医疗卫生服务管理所必需。集团内部公司在相同的内部流程和政策下进行数据传输。为履行数据控制者与第三方之间为数据主体之利益所签订的合同所必需。为保护公共利益或司法行政所必需。为在司法程序中确认、行使或维护法律权利所必需。为维护或实现数据主体与数据所有者之间的法律关系所必需。墨西哥法规重点梳理监87、管机构当数据控制者拟向除数据处理者之外的境外第三方传输个人数据时,必须通过隐私声明向数据所有者告知传输目的,并包含数据所有者是否同意跨境传输的条款。数据控制者和境外数据接收方就数据跨境传输承担相同的责任。2018年,美国、墨西哥和加拿大签订了美国-墨西哥-加拿大协定(USMCA),该自由贸易协定旨在促进整个北美的商业流动。APEC跨境隐私规则(APEC CBPR,Cross-Border Privacy Rules)由APEC制定统一标准,获得相关认定后,APEC各成员之间即可开展便捷的数据跨境传输,以促进商贸往来。美国、加拿大、墨西哥已正式加入APEC CBPR体系。然而,对于以下例外情况,88、数据控制者无需获取数据主体的同意也可进行数据跨境传输:数据跨境墨西哥没有规定数据必须存储在本地,但对数据跨境传输有明确规定(如上)。数据本地存储1https:/cms.law/en/int/expert-guides/cms-expert-guide-to-data-protection-and-cyber-security-laws/in-mexico2https:/ Geral de Proteo de Dados,LGPD)于2020年9月18日生效。LGPD以欧盟的通用数据保护条例(GDPR)为蓝本,与GDPR一样,规定了个人和公司如何收集、使用和以其他方式处理个人数据1。另外,巴西电89、信法(Lei Brasileira de Telecomunicaes)是巴西联邦法律,规范巴西电信行业。法律适用于巴西所有电信服务和提供商,包括固定电话、移动电话、互联网服务和卫星通信等,也适用于国际电信服务和提供商在巴西的业务。国家电信局(ANATEL)负责执行法律和确保遵守巴西电信法。ANATEL有权对违反法律的电信提供商实施罚款、暂停或撤销许可证等执行措施。国家电信局(ANATEL)负责执行法律和确保遵守巴西电信法。ANATEL有权对违反法律的电信提供商实施罚款、暂停或撤销许可证等执行措施。巴西法规要求概述3.3.2 巴西充分保护水平:如果数据接收国根据巴西国家数据保护局(ANPD)的90、评估,被认定为具备充分的隐私保护水平,那么可以进行数据传输。法律工具:如果跨境数据传输的国家或地区没有被认定为具备充分保护水平,数据控制者可以通过标准合同条款、全球公司间的企业规则(BCRs)或其他法律工具,确保接收方遵守与LGPD类似的保护义务。数据主体的同意:在跨境数据传输之前,数据主体必须被明确告知数据转移的国际性质,并且他们必须明确同意这种传输。法律或监管规定:如果传输是为了履行国际法律或监管义务,或者是在公共利益、医疗、研究等特定情况下,这种传输可能被允许。合同义务:当数据传输是履行合同的一部分时(例如,为了履行客户请求或为其提供服务),这种传输可能被允许。个人数据保护:LGPD旨在91、确保个人数据在透明、公平和安全的处理中,并且个人有控制自己数据的权力。透明度和责任:该法要求数据控制者(收集和处理个人数据的组织)对如何收集、使用和共享个人数据的透明度,并且对数据保护的违反负责。数据主体权利:LGPD授予个人某些权利,例如访问、更正和删除个人数据的权利,以及反对数据处理的权利。数据安全:该法要求数据控制者实施适当的技术和组织措施来确保个人数据的安全和完整性。数据转移:LGPD 规范个人数据的转移,确保数据被转移到提供个人数据保护的国家。罚款和处罚:该法规定了数据控制者违反LGPD的罚款和处罚,包括罚款和严重案件中的监禁。巴西的LGPD对跨境数据传输有严格的规定,要求企业确保接92、收方的保护水平足够,或采取法律工具、获得数据主体同意,或者在特定情况下遵守例外条款。所有这些规定的核心目标是确保巴西公民的个人数据在跨境传输时,仍然受到与LGPD相当的保护。企业必须遵守这些要求,以避免法律责任和潜在的制裁。巴西的通用数据保护法(LGPD,Lei Geral de Proteo de Dados,Law No.13,709/2018)并没有明确要求数据必须在巴西境内存储。虽然LGPD没有要求数据必须在巴西本地存储,但对于某些公司和行业来说,出于合规性、数据主权、法律便捷性或商业策略等考虑,可能会选择在巴西境内存储数据。数据本地存储LGPD共十章,包含基本条款、个人数据的处理、个93、人数据所有者权利、公共机构对个人数据的处理、国际数据传输、个人数据处理代理人、数据安全及良好实践、国家数据保护局及国家保护个人数据和隐私委员会等内容。个人数据保护1https:/www.gov.br/anpd/pt-br025未能通知个人数据泄露:巴西某银行未能正确通知个人数据泄露,这是LGPD的关键部分,因为个人有权知道可能影响他们的数据泄露。缺乏适当的数据保护措施:巴西某银行未能实施适当的数据保护措施,以防止数据泄露的发生,这包括缺乏加密、不充分的访问控制和不充分的监控和事件响应程序。ANPD的调查发现,巴西某银行未能采取合理措施保护其客户的个人数据,这包括敏感信息,如姓名、地址和金融数据94、。对巴西某银行的罚款是非常具有代表性,作为对其他组织的一个警告,表明未遵守LGPD就要承担相关法律后果。根据LGPD,数据处理代理人(即控制者或操作者)如果违反法律规定,可能面临如下行政处罚:警告;罚款;公开违法行为;删除或封存与违法行为相关的个人数据;暂停运行违法行为所涉数据库;暂停违法行为所涉个人数据处理活动;部分或全部禁止开展与数据处理相关的活动。其中,罚款的最高额为该私法人实体、集团或联合企业在巴西上一财政年度营业额的2%(不含税),每次违规罚款总额不超过5,000万雷亚尔(约合人民币7,000万元)。在2020年,巴西某银行因未能正确通知个人数据泄露和未能实施适当的数据保护措施而被罚95、款R$1.5万(约USD375,000)。巴西某银行的违法行为涉及两个主要问题:巴西数据违规案例026阿根廷法规重点梳理阿根廷的公共信息获取机构(AAPI)负责执行个人数据保护法。监管机构2016年,AAPI发布了一条新法规(条款60-E/2016),用来管理个人数据的跨境传输。在该规则下,批准了传输到数据控制器和数据处理器的模式(部分基于欧盟中的数据传输模式)。根据阿根廷的法律规定,除例外情况外,应在确认传输的国家或国际组织有足够的水平保护个人数据时才能进行个人数据的跨境传输。阿根廷已正式承认一系列具有足够数据保护水平的国家或地区,其中包括欧盟和欧洲经济区成员国、瑞士、根西岛和泽西岛、马恩岛96、、法罗群岛、加拿大(仅限商业组织)、新西兰、安道尔、乌拉圭,以及大不列颠及北爱尔兰联合王国。阿根廷禁止将任何类型的个人信息转移到未提供足够保护水平的国家或国际或超国家实体。但是,该禁令不适用于以下披露:用于国际司法合作。用于流行病学调查目的的医疗保健或匿名个人数据。用于股票交易所或银行转账。受阿根廷共和国签署的国际条约约束。用于情报机构在打击有组织犯罪、恐怖主义和贩毒方面的国际合作。数据主体明确同意转移的情况。数据跨境新设的域外效力原则。个人数据处理的合法性、公平性与透明度原则。个人数据处理的目的明确、数据最小化、准确性和问责制原则。数据主体的同意以及同意的特征、要求。公共部门的数据处理。新设97、的允许个人信息自由跨境传输的机制。对儿童和青少年个人数据的特别保护。数据主体所享有的查阅、纠正、限制和删除的权利等。数据控制者应当履行的义务,包括与隐私影响评估相关的义务。2000年10月30日,阿根廷发布个人数据保护法(Personal Data Protection Law,PDPL),以帮助保护阿根廷境内的个人数据隐私,以及个人数据在国际间的跨境传输。PDPL与欧盟的数据保护立法模式一致,而且阿根廷是拉丁美洲中第一个获得从欧盟进行数据传输的“充分性认定”的国家1。阿根廷PDPL适用于位于阿根廷境内就个人或法律实体(后者需位于阿根廷或在阿根廷设有办事处、分支机构)个人数据的处理行为。20198、8年7月23日由阿根廷公共信息获取机构(简称“AAPI”)颁布的第47/2018号决议(Resolution 47/2018,简称“第47号决议”)。第47号决议旨在保护从数据收集到数据删除的个人数据处理过程中的机密性和完整性。该决议规定数据使用者应采取必要技术和组织措施,保障个人数据的安全性和机密性,从数据收集、访问控制、变更管理、备份和恢复、漏洞管理、销毁信息、安全事件及开发环境八个控制领域出发,依据国际标准提出了共30个具体安全保护目标以及相对应的建议安全控制措施。此外,第47号决议还包括适用于“敏感数据”的安全措施清单。阿根廷个人数据保护法修订草案于2022年9月公布并于同年11月通过99、。修订草案在许多方面遵循了欧盟GDPR的规定。该法案的关键条款包括但不限于:阿根廷法规要求概述3.3.3 阿根廷1https:/ 47号决议等监管机构发布的条例、良好实践指南等官方文件。阿根廷PDPL规定了如下有关个人数据处理的核心监管要求:保障个人数据的质量通知和获取同意有条件地收集和处理敏感数据与医疗数据保障数据安全保密义务数据传输相关的同意有条件的跨境传输信息登记要求数据留存时间限制直接促销的数据处理限制针对个人敏感数据,阿根廷法律规定,不得强迫任何人提供敏感个人数据。获得处理敏感个人数据的同意必须是明确的和知情的。根据具体情况,同意应为书面形式或类似形式。敏感个人数据只能在以下情况下处100、理:禁止创建直接或间接泄露敏感个人数据的个人数据库。但是,天主教会、宗教协会、政党和工会有权保存其成员的登记册。存在法律授权的普遍利益情况。出于统计或科学目的,前提是无法从该信息中识别数据主体。个人数据保护故意在个人数据库中插入虚假信息,可处以最高两年监禁。故意向第三方提供个人数据库中的虚假信息,可处以最高三年监禁。入侵个人数据库,可处以最高三年监禁。泄露数据库中的机密信息可处以最高三年监禁。如果对数据主体造成伤害或公职人员在履行职责时犯下罪行,处罚将加重。1https:/ 以色列以色列隐私保护法(Protection of Privacy Law,PPA),它由以色列法律框架下的数据保护监管101、机构负责执行。该法律旨在保护个人数据的隐私,并规定了数据处理的条件、数据主体的权利、数据控制者的义务以及跨境数据传输的要求1。以色列法规要求概述以色列隐私保护法的监管由以色列隐私保护局(Privacy Protection Authority,PPA)负责。隐私保护局负责监督所有涉及个人数据处理的活动,确保各方遵守隐私保护法的规定。它有权对违反法律的机构进行调查,并实施相应的处罚,如行政罚款或其他法律制裁。数据应合法且公正收集和处理。数据应仅用于收集它们的目的。数据应准确且最新。数据主体保留查阅权。数据库所有者应采取适当的安全措施来保护数据库中的数据2。以色列法规重点梳理监管机构对于需要传输到102、国外的数据,必须确保接收方所在国家或地区具备与以色列相当的数据保护水平,或事先获得数据主体的明确同意,并且采取必要的安全措施。在某些情况下,数据应保留在以色列境内,以避免可能的隐私风险。个人或实体不得将来自以色列的数据库数据转移到国外,除非境外国家的法律保护水平与以色列法律相当或更高,并满足以下原则:在转移数据时,数据库所有者应在书面保证中确保收件人采取适当的措施来保护数据主体的隐私,并确保数据不会转移给其他人。数据主体同意转移。无法获得数据主体的同意,但转移对其生命或身体健康至关重要。数据转移到数据库所有者控制的公司。数据转移给按照数据库所有者的要求遵守保护条件的人。数据已公开或已由法定机构103、公开检查。数据转移对公共安全或安全至关重要。数据转移是根据以色列法律的要求。数据转移到与欧洲自动处理敏感数据保护公约的国家/地区、接受欧盟成员国同样条件的国家/地区或具有适当保护机构并与其达成合作安排的国家/地区。然而,数据库所有者可以在满足以下条件之一时将数据从以色列传输到国外:数据跨境以色列收集的个人数据,尤其是涉及敏感信息的,应优先存储在本地服务器上。此要求旨在确保数据的处理和保护符合以色列的隐私和安全标准。以色列的隐私保护法并未规定强制的数据本地存储要求。因此,个人数据可以在国外存储和处理,只要符合相关的数据保护标准。数据本地存储1https:/www.gov.il/en/depart104、ments/the_privacy_protection_authority/govil-landing-page2https:/www.gov.il/BlobFolder/legalinfo/legislation/en/PrivacyProtectionTransferofDataabroadRegulationsun.pdf029以色列的“隐私保护法”是一项涵盖性法律,规定以色列境内的个人数据收集、处理和保护。该法律旨在平衡个人对隐私数据的保护权利和组织对这些数据的合法使用需求。个人数据定义:法律定义个人数据为任何能够识别或允许识别个人的信息,包括姓名、身份证号、地址、电话号码、电子邮件105、地址等其他信息。同意:法律要求个人在其个人数据被收集、处理或披露前提供明确的同意。同意必须是明确的、特定的和自愿的。目的限制:法律要求个人数据只用于指定的、明确的和合法的目的。数据不得用于与原有目的不符的目的。数据最小化:法律要求个人数据只收集和处理到达指定目的为止。准确性:法律要求个人数据是准确的、最新的和完整的。组织必须采取合理措施确保数据的准确性。存储和保留:法律要求个人数据只存储和保留到达指定目的为止。安全性:法律要求组织采取合理措施保护个人数据免受未经授权的访问、使用、披露、修改或销毁。数据主体权利:法律授予个人以下权利:数据泄露通知:法律要求组织在数据泄露可能对个人权利和自由造成风106、险时通知个人和以色列数据保护局(DPA)。执行力:法律由以色列DPA执行,该局负责调查投诉、罚款和其他执行措施。个人数据保护罚款:罚款金额取决于违反行为的性质和严重性,最高可达500,000 谢克尔(约合15,000美元)。行政处罚:以色列隐私保护局(PPA)可以对违反隐私保护规定的组织或个人实施行政处罚,包括警告、罚款、暂停或终止业务等。刑事处罚:在某些情况下,违反隐私保护规定的行为可能构成刑事犯罪,结果可能是罚款、监禁或其他刑罚。以色列在实施隐私保护法时,对违反隐私保护规定的行为采取了严格的处罚措施。弱密码:医院的数据库使用了弱密码,使得黑客可以轻松地访问网络。缺乏加密:医院的数据库没有加107、密,使得黑客可以轻松地访问敏感信息。安全措施不足:医院的安全措施不足,使得黑客可以轻松地访问数据库。调查结果表明,该事件发生的原因有以下几点:2022年,一家以色列医疗机构发生了数据泄露事件,患者的个人健康信息被未经授权的第三方获取。调查发现,该机构未能实施足够的安全措施来保护敏感的健康数据,如数据加密和访问控制。数据泄露未得到及时报告。以色列隐私保护局(PPA)对该医疗机构罚款了150,000 谢克尔(约40,000美元),以彰显其未能遵守数据保护法的责任。以色列数据违规案例访问个人数据更正不准确的数据删除数据对数据的处理提出异议限制数据的处理接收数据泄露通知030沙特阿拉伯在2021年9月108、发布了其第一部数据保护法(The Personal Data Protection Law,PDPL),这项法规受欧洲通用数据保护法(GDPR)的启发。随后,沙特阿拉伯于2023年3月对PDPL进行了修正,并最终于2023年9月14日生效1。PDPL兼具域内效力和域外效力。PDPL适用于在沙特境内以任何方式处理的与个人有关的任何个人数据,包括沙特境外任何一方以任何方式处理与居住在沙特境内的个人有关的个人数据。个人和家庭用途的数据处理不在该法案适用范围内,依据PDPL执行条例的定义,只要不向第三方发布或披露,“个人在其家庭或有限社交圈内作为任何社交或家庭活动的一部分而处理的个人数据”不在法案适用109、范围内。沙特法规要求概述3.4.2 沙特沙特阿拉伯王国数据和人工智能管理局(SDAIA)是负责数据保护的主要监管机构,其下设三个部门,分别负责不同领域:国家信息中心、国家人工智能中心和国家数据管理办公室(NDMO)。其中,国家数据管理办公室是该局的立法机构,负责制定和实施计划、政策、数据法规及相关项目,并监督其合规情况。它还承担着与其他司法管辖区的数据保护办公室类似的职能。国家数据管理办公室与商界保持密切合作,定期发布简讯,阐明其在技术、人工智能和数据领域的立场,并促进与在沙特运营的国内外企业的直接沟通。SDAIA将发布有关保护数据传输机制、监督个人权利处理的进一步指导方针和政策,并对违规行为110、进行处罚。转让或披露不得对王国的国家安全或重大利益造成不利影响。基于“适当措施”或“特定豁免条件”开展数据跨境转移,或持续大规模向境外传输敏感数据,须开展风险评估。个人数据的转移或披露应仅限于所需的最低限度。沙特法规重点梳理监管机构沙特主要在传输条例中规定数据跨境事项,立法上,为数据跨境传输设置了三条路径:充分性保护水平、适当保障措施、特定豁免条件。同时PDPL还概括性地规定,在将数据传输至境外的过程中,必须满足以下条件:数据跨境知道数据处理的目的和手段访问个人数据修正或删除个人数据对数据处理提出异议请求删除个人数据沙特阿拉伯监管机构批准境外数据存储计划。组织能够确保个人数据在境外存储的安全性111、和保密性。组织能够向个人数据所有者提供相关信息和保护措施。数据主体享有以下权利:个人数据保护沙特阿拉伯PDPL并没有明确规定所有数据必须本地化存储。敏感数据,例如卫生数据、金融数据,必须在沙特阿拉伯境内存储。非敏感数据可以存储在境外,但必须遵守PDPL中的数据保护原则。沙特PDPL允许组织在以下情形下在境外存储个人数据:数据控制方必须确保个人数据的保密性、完整性和可用性,并采取适当措施防止未经授权的访问、公开、修改或删除个人数据。数据本地存储1https:/dgp.sdaia.gov.sa/wps/wcm/connect/f579bc32-fda8-47bd-bc6f-66b8cb77985c112、/ENG-Guide+to+the+saudi+PDP+law+for+controllersprocessors.pdf?MOD=AJPERES031对于为了谋取私益而违反PDPL泄露或公布敏感数据的行为,最高可处以300万沙特里亚尔(约合5,784,900人民币)的罚款和最高两年的监禁。对于违反数据传输规则的行为,最高可处以100万沙特里亚尔(约合1,928,300人民币)的罚款和最高一年的监禁。对其他违反PDPL的行为处以最高500万沙特里亚尔(约合9,641,500人民币)的一般罚款,屡犯者罚款额有可能翻倍。2023年,某国际公司在沙特阿拉伯运营的分支机构发生了大规模的数据泄露事件,泄113、漏了客户、员工和业务伙伴的敏感信息。调查结果表明,该事件发生的原因有以下几点:公司因事件而遭受重大财务损失,损害了公司的声誉,包括通知受影响个人的成本、提供信用监控服务的成本。沙特数据保护局(SDAIA)对该公司处以2,000,000沙特里亚尔(约533,000美元)的罚款,并要求公司采取整改措施以加强数据保护。沙特数据违规案例缺乏安全措施:公司的网络没有实施足够的安全措施,包括防火墙、入侵检测系统和加密。弱密码:员工使用了弱密码,使得黑客可以轻松地访问网络。培训不足:员工没有接受充分的网络安全培训,导致他们在使用密码和网络时不当行为。软件过时:公司的软件和操作系统过时,留下了已知漏洞的窗口。114、0323.4.3 阿联酋阿联酋联邦政府于2021年9月20日颁布了个人数据保护法(Protection of Personal Data Protection,PDPL)(2021年第45号联邦法令),为该地区提供了统一的个人数据保护框架,这是阿联酋数据保护法律的核心。该法律于2022年1月2日正式生效,适用于在阿联酋境内的任何数据控制者(data controller)或处理者(data processor)所进行的所有个人数据处理活动,不论数据主体身处何地1。此外,位于阿联酋境外但处理阿联酋境内数据主体个人数据的任何控制者或处理者的活动也在该法的适用范围内。个人数据保护法在结构上与欧盟通用115、数据保护条例(GDPR)相似,涵盖了多个重要内容,包括合法性基础(第4条)、数据主体的权利(第13至18条)、数据控制者和数据处理者的义务(第7和8条)、数据保护官的任命(第10和11条)、以及数据跨境传输(第22和23条)等方面。总体而言,个人数据保护法与欧盟的GDPR和中国的个人信息保护法在原则和要求上有许多相似之处。阿联酋法规要求概述自由经济区数据相关法规阿联酋自由贸易区有权发布其区域内适用的数据保护法律法规。目前,迪拜国际金融中心(Dubai International Financial Centre,DIFC)、阿布扎比全球市场(Abu Dhabi Global Market,AD116、GM)都分别颁布了各自区域内的数据保护条例。迪拜国际金融中心迪拜国际金融中心的主要法律依据是迪拜国际金融中心数据保护法(The DIFC Data Protection Law),并辅以迪拜国际金融中心数据保护条例(DIFC Data Protection Regulation)。DIFC数据保护法的内容与GDPR相似,涵盖了数据处理的基本原则、数据主体的权利、数据控制者和数据处理者的义务、数据泄露通知、法律责任等方面。具体内容包括合法性基础、数据主体的权利、数据控制者/处理者的义务,透明度要求、数据保护机构、以及违法后果等。DIFC数据保护条例进一步细化了DIFC数据保护法中若干条款的实施规117、则,如数据泄露通知的程序与规则和数据保护专员的职权行使程序与限制。根据DIFC数据保护法,处理个人数据的合法性基础是获得当事人的同意,除非符合其他例外情况。数据主体享有知情权、更正权、删除权和拒绝处理权等多项权利。数据控制者和处理者则负有保障数据安全、记录和通知等义务。在透明度方面,数据控制者和处理者应避免引发数据主体误解,并不得通过暗示可能受到歧视的方式来诱导数据主体同意数据处理。与GDPR或中国的个人信息保护法不同,DIFC数据保护法对每个具体条款的违反后果都明确了相应的罚款金额,罚款范围从25,000美元到100,000美元不等。此外,同一行为可能同时违反多条规定,因此除了罚款外,还可能118、需要承担赔偿责任。阿布扎比全球市场阿布扎比全球市场所实施的为2021年2月11日所发布的2021数据保护条例(Data Protection Regulation 2021)。ADGM数据保护条例为数据控制者和数据处理者设置了较高的保护义务,处理个人数据的合法性基础原则上需要取得个人同意,除非具备其他合法性基础;数据主体享有知情权、更正权、删除权、可携带权、拒绝权等权益;明确了合法、目的正当、最小必要、充分保障安全的处理原则。与阿联酋个人数据保护法不同的是,ADGM数据保护条例对企业必须设置数据保护官的情形更多参考了GDPR的规定。根据ADGM数据保护条例,若企业的核心业务活动包括个人数据处理119、活动,需要定期和系统地大规模监测数据主体,或包括大规模处理特殊类别的个人数据,则企业应当设置一名数据保护官。数据保护条例也规定了独立的数据保护办公室(ODP),由新成立的数据保护专员领导。阿联酋自由贸易区迪拜国际金融中心(Dubai International Financial Centre,DIFC)和阿布扎比全球市场(Abu Dhabi Global Market,ADGM)已经通过了适用于其自贸区的隐私保护法。在DIFC和ADGM设立的实体以及在DIFC范围内通过稳定安排处理个人信息的公司需要评估是否落入DIFC和ADGM自贸区数据保护法。与阿联酋的个人数据保护法(PDPL)相比,迪拜120、国际金融中心(DIFC)和阿布扎比全球市场(ADGM)的数据保护立法更加细致和全面。此外,DIFC和ADGM的各自数据保护主管机构还发布了一系列指南和模板供数据处理者参考使用,例如数据保护影响评估模板、数据泄露通知模板、跨境传输白名单和标准合同条款等。目前,中国并未被列入DIFC和ADGM认可的跨境传输白名单国家。1https:/u.ae/en/about-the-uae/digital-uae/data/data-protection-laws https:/uaelegislation.gov.ae/en/legislations/1972/download033阿联酋其它酋长国除了阿联酋121、数据保护法(Federal Decree-Law No.45 of 2021 on the Protection of Personal Data),沙迦、阿治曼、富查伊拉、乌姆盖万、哈伊马角这些酋长国还可能遵循其他相关的法规和政策,特别是在特定行业或领域。以下是一些适用的数据保护法规或要求:除了上述内容,各个酋长国通常会遵循国家级别的指引,并根据国家法律在地方层面实施补充性措施。因此,除非特定行业或领域有特殊规定,沙迦、阿治曼、富查伊拉、乌姆盖万、哈伊马角主要还是依照阿联酋个人数据保护法和相关的联邦法律框架来管理数据保护事务。电信行业法规:阿联酋电信监管局(TRA)对电信行业有一系列的规定,122、其中包括对用户数据保护的要求。这些规定适用于在各个酋长国运营的电信服务提供商。健康数据保护法规:卫生领域的数据保护有特定的要求,特别是对于涉及病人信息的处理。阿联酋卫生部和各个酋长国的地方卫生部门可能有相关规定,确保健康数据的隐私和安全。金融行业法规:阿联酋中央银行和各酋长国的金融服务监管机构对金融数据的处理有严格的规定。这些规定可能包括客户数据保护的要求。网络安全法规:阿联酋的网络安全法律和政策也包含了对数据保护的要求,如阿联酋网络安全法(Federal Law No.5 of 2012 on Combating Cybercrimes)。这些规定旨在防止网络犯罪,并保障个人和企业的数据安全123、。自由区的特定规定:在一些酋长国,如沙迦和富查伊拉,存在自由区(Free Zones),这些自由区可能有其自身的数据保护条例。阿联酋法规重点梳理根据阿联酋个人数据保护法(PDPL),PDPL的执行机构是阿联酋数据保护局(United Arab Emirates Data Protection Authority,UAE DPA)。监管机构监管和监督数据处理活动,以确保数据处理的合法性和透明度。处理数据泄露事件和数据保护违规行为的调查和处理。提供数据保护指导和培训,帮助企业和个人遵守PDPL。承担其他相关的数据保护职责。DPA负责执行PDPL,包括:数据跨境合同保障:传输数据的两个组织之间可以签124、订合同或协议,适用阿联酋PDPL的规定、措施、控制和要求。明确同意:数据主体明确同意其数据被转移至境外。合同义务:为签订或履行数据主体与控制者之间的合同,或是为实现数据主体利益而促进控制者与第三方之间的合同而进行的必要传输。法律义务:为履行义务以及向司法机关证明、行使或捍卫权利而进行的必要传输,以及为执行国际司法合作相关程序所必需的传输。数据跨境传输是保护公共利益所必需的。阿联酋PDPL构建了基本的跨境传输框架。个人数据可以被转移到阿联酋境外,只要接收数据的国家的现行法律能够提供“足够水平的保护”,类似于GDPR下欧盟委员会做出充分性认定的白名单国家。但截止目前,阿联酋主管机关尚未发布白名单国125、家清单。在当前没有保护充分性决定的情况下,阿联酋PDPL也提供了一些例外情况,满足下列情形之一的也可将个人数据转移到没有充分保护水平的国家:数据本地存储PDPL要求组织在阿联酋境内存储个人数据,除非有合法的理由存储在外国。组织必须在阿联酋境内使用安全和受保护的数据中心或云服务提供商存储个人数据,该数据中心或云服务提供商必须由阿联酋通信管理局(TRA)认证。034根据个人数据保护法的第四条规定,未经数据所有者的同意,处理其个人数据是被禁止的,除非存在个人数据保护法规定的例外情况,例如基于公共利益、处理已公开的个人数据、或为了保护数据主体的利益等。个人数据保护数据收集:该法规要求数据控制器在收集个126、人数据前获得明确的同意。数据处理:数据控制器必须公平、合法和透明地处理个人数据,并确保数据的准确性、完整性和最新性。数据安全:数据控制器必须采取适当的技术和组织措施来确保个人数据的安全和完整性。数据主体权利:数据主体有权访问、修改、删除和异议对其个人数据的处理。数据转移:数据控制器必须在将个人数据转移到第三方前获得数据主体的明确同意。数据泄露通知:数据控制器在发生数据泄露时必须通知国家数据保护委员会(NDPC)和数据主体。数据保护官员:数据控制器必须任命数据保护官员(DPO)以确保遵守法规和处理数据保护相关事宜。PDPL 关于个人隐私保护的关键条款:根据PDPL,阿联酋数据保护局(DPA)负责127、执行该法和对违反该法的个人和组织实施罚款。该法规定了违反法的罚款,包括:阿联酋数据保护局(DPA)的罚款旨在警告其他阿联酋公司不要类似地违反数据保护法。这个案例表明了阿联酋数据保护法的重要性,以及违反这些法规的后果,同时也强调了公司需要采取合理措施保护用户数据。阿联酋数据违规案例警告:DPA可能对违反者发布警告,并将其发布在DPA的网站上。行政罚款:DPA可能对违反者罚款,罚款范围为阿埃迪50,000至500,000迪拉姆(约合1,3600至136,000美元)的小规模违反。刑事处罚:对严重违反的违反者可能面临刑事处罚,包括最长两年的监禁和/或罚款500,000迪拉姆(约合136,000美元)128、。2020年,阿联酋一家通信公司因未通知用户的一起数据泄露事件,被阿联酋数据保护局(DPA)罚款一百万阿联酋迪拉姆(约272,000美元)。该公司未能实施足够的安全措施来保护其用户的数据。因此,该公司的数据库被渗透,敏感信息,如姓名、地址、电话号码和使用模式被泄露。经过调查发现,该公司违反了以下阿联酋PDPL的规定:未能实施足够的安全措施来保护用户数据 未能在合适的时间通知用户数据泄露 未能向用户充分提供关于数据泄露的信息 未能采取合理的步骤来预防数据泄露035土耳其个人数据法(Personal Data Protection Law,PDPL)于2016年3月7日颁布。该法旨在规范个人数据的129、处理和保护个人权利和自由。该法律为个人数据的处理、存储、传输和销毁等各个环节提供了详细的规范和指导。PDPL适用于在土耳其处理个人数据的所有数据控制者和处理者1。土耳其法规要求概述3.4.4 土耳其2023年,土耳其个人数据保护局(KVKK)通报了一起涉及某鞋履和配饰品牌的数据泄露事件。KVKK指出,该品牌违反了第6698号个人数据保护法第12(5)条的规定。该条款规定了数据处理者在数据保护中的义务,特别是关于数据泄露的处理和报告要求。调查发现,有未经授权的人员试图登录品牌的管理平台。该平台由数据控制者创建,用于发送短信和电子邮件。未经授权的访问者通过获取客户的手机信息,向相关个人发送了包含网130、络钓鱼内容的短信,试图进行欺诈。此次数据泄露事件影响了1,926,889条记录,受影响的个人数据主要包括客户的手机号码等。KVKK强调了数据控制者的法律责任,特别是在数据保护和隐私方面的责任。品牌被要求采取必要的措施以防止类似事件再次发生。KVKK会对涉事品牌处以100万土耳其里拉(约140,000美元)罚款,并要求其进行整改,以加强数据保护措施。品牌必须改进其数据安全和管理流程,确保符合个人数据保护法的要求。土耳其数据违规案例数据控制器:PDPL定义数据控制器为自然或法人实体,决定个人数据的处理方式和目的。数据处理:该法要求数据控制器公平、合法和透明地处理个人数据。数据控制器还必须确保数据的131、收集和处理是明确的、明确的和合法的。数据主体:PDPL 授予数据主体某些权利,包括访问、修改、删除和异议个人数据的处理。安全措施:数据控制器必须采取必要的技术和组织措施,以确保个人数据的安全、保密和完整性。数据转移:该法规定了将个人数据转移到第三个国家的规则,要求数据控制器确保接收国提供个人数据的适当保护。数据泄露通知:数据控制器在发生数据泄露时必须通知土耳其数据保护局(DPA)和数据主体。数据保护官员(DPO):数据控制器拥有50名以上员工或处理敏感个人数据必须任命DPO。记录:数据控制器必须保留个人数据处理活动的记录,包括目的、数据类别和数据主体类别。同意:PDPL 需要数据主体对个人数据132、的处理提供明确的同意,除非存在特定的情况,如公共利益或合法利益。土耳其法规重点梳理根据PDPL,监督和执行法规的监管机构是土耳其个人数据保护局(KİİSEL VERİLERİN KORUNMASI KANUNU,KVKK)。土耳其个人数据保护局是独立的公共机构,于2016年建立,以确保PDPL的实施和保护个人在个人数据处理中的基本权利和自由。监管机构2024年3月12日,KVKK宣布,对土耳其多项法律进行修改的第7499号法案对PDPL进行了多项修订。对第9条进行了修订,修改了可将数据跨境传输的情形,并增加了有关个人数据保护委员会作出充分性决定的某些要求。通过签署委员会公布的标准合同,无需单独133、授权即可进行数据跨境传输。在没有根据合同协议(即标准合同条款或具有约束力的公司规则)做出适当性决定的情况下传输数据,罚款的金额为5万至100万土耳其里拉(1557美元至31,140美元)。数据跨境PDPL并不要求数据控制方在土耳其境内存储个人数据,但数据控制方必须确保个人数据在安全和保护的环境中,且采取适当的措施保护个人数据,无论存储在哪里。如果数据处理活动在土耳其境内进行,数据控制方必须确保个人数据在土耳其境内存储,除非有合法的理由要在外国存储。数据本地存储个人数据保护1https:/www.kvkk.gov.tr/036数据出境必须遵循该法的规定和原则。数据控制者和处理者必须确保数据出境的134、合法性和安全性。数据控制者和处理者必须获得数据主体的同意。数据出境必须有正当理由,例如商业合作、技术支持等。数据控制者和处理者必须确保数据出境的目的地国家或地区有相应的电子信息和交易保护法律和监管机制。数据控制者和处理者必须向印尼通信和信息技术部提交数据出境申请,数据出境申请必须包括数据出境的目的、范围、方式等信息。印尼通信和信息技术部会审查数据出境申请,并在必要时进行调查。数据控制者和处理者必须采取必要的安全措施,以保护数据出境的安全性。数据控制者和处理者必须确保数据出境的加密和访问控制。电子信息和交易法(EIT Law)对数据出境有明确的要求,以确保电子信息和交易在跨境传输时的安全和合法性135、。主要包括:数据跨境印尼针对所有行业有两项比较重要的法规和指南:另外,印尼针对一些行业也制定了个人信息和数据安全法规,例如:金融服务管理局条例第1/POJK.07/2013号由印尼金融服务管理局(OJK)颁布,主要针对金融机构的消费者保护和金融服务中个人数据的处理。卫生部条例第269/Menkes/Per/III/2008号由印尼卫生部颁布,涉及医疗记录和个人健康信息的保密性和安全性。通信和信息技术部条例第20/PER/M.KOMINFO/09/2016号由印尼通信和信息技术部颁布,涉及电子系统运营商保护个人数据的指南。印尼法规要求概述东南亚3.53.5.1 印尼电子信息和交易法(EIT La136、w)的监管机构是印尼通信和信息技术部(Ministry of Communication and Information Technology,MCIT)。该部负责监督和检查电子信息和交易的合法性和安全性,主要职责包括:监督和检查电子信息和交易的合法性和安全性;制定和实施电子信息和交易的技术标准和规范;处理电子信息和交易相关的投诉和纠纷。其他相关的监管机构还包括:印尼金融服务管理局(OJK)负责监督和检查金融机构的电子信息和交易活动。印尼国家警察局(Polri)负责调查和处理电子信息和交易相关的犯罪活动。印尼消费者保护机构(BPKN)负责保护消费者在电子信息和交易中的权益。个人数据保护法(PD137、P Law)的监管机构是印尼个人数据保护局(Personal Data Protection Authority,PDPA)。该局负责监督和检查个人数据处理的合法性和安全性,主要职责包括:监督和检查个人数据处理的合法性和安全性;制定和实施个人数据保护的技术标准和规范;处理个人数据保护相关的投诉和纠纷;对违反个人数据保护法的行为进行调查和处罚。印尼法规重点梳理监管机构第一是电子信息和交易法(Electronic Information and Transaction Law,EIT Law),该法于2008年通过,主要目的是规范电子信息和交易的使用和保护,涵盖了数据隐私、电子签名、电子交易、电子138、信息等方面1。该法之后经历了多次修订,2016年11月的修订增加了有关电子签名、电子合同和电子交易的规定,提高了电子交易的安全性和效率2。2020年9月的修订增加了有关个人数据保护和电子信息安全的规定,加强了个人数据保护和电子信息安全。第二是个人数据保护法(Personal Data Protection Law,PDP Law),该法于2022年颁布,编号为第 27 号法令,颁布机关为印尼总统。该法专门针对个人数据的保护,对数据控制者和处理者提出了明确的义务,包括获得个人同意、确保数据准确性、实施安全措施等3。1http:/ Law)对个人数据保护有明确的要求,以确保电子信息和交易中的个人数139、据安全和合法性。主要包括:个人数据保护数据出境必须遵循该法的规定和原则。数据控制者和处理者必须确保数据出境的合法性和安全性。数据控制者和处理者必须获得数据主体的同意。数据出境必须有正当理由,例如商业合作、技术支持等。数据控制者和处理者必须确保数据出境的目的地国家或地区有相应的个人数据保护法律和监管机制。数据控制者和处理者必须向印尼个人数据保护局提交数据出境申请,数据出境申请必须包括数据出境的目的、范围、方式等信息印尼个人数据保护局会审查数据出境申请,并在必要时进行调查。数据控制者和处理者必须采取必要的安全措施,以保护数据出境的安全性。数据控制者和处理者必须确保数据出境的加密和访问控制。个人数据140、保护法(PDP Law)对数据出境有明确的要求,以确保个人数据在跨境传输时的安全和合法性。主要包括:数据本地存储必须遵循该法的规定和原则。数据控制者和处理者必须确保数据本地存储的合法性和安全性。数据控制者和处理者必须将电子信息和交易数据存储在印尼境内。数据控制者和处理者必须确保数据本地存储的安全性和完整性。数据控制者和处理者必须遵循印尼的数据保护和隐私法律和监管机制。电子信息和交易法(EIT Law)对数据本地存储有明确的要求,以确保电子信息和交易数据在印尼境内的安全和合法性。主要包括:数据本地存储必须遵循该法的规定和原则。数据控制者和处理者必须确保数据本地存储的合法性和安全性。数据控制者和处141、理者必须将个人数据存储在印尼境内。数据控制者和处理者必须确保数据本地存储的安全性和完整性。数据控制者和处理者必须遵循印尼的数据保护和隐私法律和监管机制。个人数据保护法(PDP Law)对数据本地存储有明确的要求,以确保个人数据在印尼境内的安全和合法性。主要包括:同时,在某些情况下,数据控制者和处理者可以将电子信息和交易数据存储在印尼境外,但必须获得印尼通信和信息技术部的批准。数据控制者和处理者必须确保数据本地存储的例外符合该法的规定和原则。数据控制者和处理者必须确保数据本地存储的加密和访问控制。同时,在某些情况下,数据控制者和处理者可以将个人数据存储在印尼境外,但必须获得印尼个人数据保护局的批142、准。数据控制者和处理者必须确保数据本地存储的例外符合该法的规定和原则。数据控制者和处理者必须确保数据本地存储的加密和访问控制。数据本地存储038印尼最大的电子商务平台之一在2020年3月遭遇了一起严重的数据泄露事件,导致超过900万用户的个人数据被泄露。泄露的数据类型包括用户姓名、邮箱地址、电话号码、密码哈希值等,泄露数据数量超过900万条。泄露的原因是该平台的数据库配置错误,导致数据未加密且可公开访问。该平台确认了数据泄露事件,并通知了受影响的用户,建议他们更改密码。同时,该平台向印尼信息和通信部报告了事件,并被印尼信息和通信部罚款10亿印尼卢比(约67万美元)。此次数据泄漏事件导致该平台的143、声誉受损,用户信任度下降。之后,该平台升级了安全措施,以防止类似事件发生。此次数据泄露事件表明,即使是大型企业也可能出现数据泄露问题。组织和个人必须重视数据安全,采取必要措施保护用户数据。印尼数据违规案例个人数据的收集和处理必须有合法的依据。个人数据的收集和处理必须有明确的目的。个人数据的收集和处理必须是必要的。个人数据的收集和处理必须与目的相符。个人数据必须准确、完整和最新。个人数据必须保密。个人数据必须受到合适的安全措施保护。个人数据保护法(PDP Law)规定了对个人数据保护的要求,旨在保护个人信息免受未经授权的收集、使用、披露和其他处理。PDP规定了七项个人数据保护原则:组织必须制定和144、实施数据保护政策。组织必须指定数据保护官负责个人数据保护。组织必须保留个人数据收集和处理记录。组织必须进行数据保护影响评估。组织必须在数据泄露事件发生后通知相关个人和监管机构。PDP还规定了五项个人数据保护措施:个人有权访问其个人数据。个人有权更正其个人数据。个人有权删除其个人数据。个人有权反对其个人数据的处理。个人有权携带其个人数据。PDP还规定了五项个人数据权利:最后,PDP还规定了执法措施,包括调查、罚款和其他行政处罚。0392012年10月15日,新加坡颁布了个人数据保护法(Personal Data Protection Act,PDPA),该法是一部规范个人数据的收集、使用和披露的145、综合性立法。2020年11月2日,新加坡议会通过了个人数据保护法(修正案),该修正案自2021年2月1日分阶段生效1。为了更好地执行个人数据保护法,新加坡还配套出台了针对特定领域(如电信业、房地产行业、教育行业、医疗行业、社会公益服务行业)的各项个人数据保护指南,以指导企业更好地对个人数据进行保护,且不断根据现实情况对指南进行修订。另外,新加坡的网络安全法(Cybersecurity Act,CSA)于2018年6月1日生效,是新加坡政府颁布的一系列法规和政策,旨在保护新加坡的网络和数字基础设施免受各种威胁和攻击,保护国家和个人免受网络攻击和数据泄露的影响。该法是落实新加坡网络安全战略的重要举146、措,为涉及关键信息基础设施(CII)的公司提供明确的指导方针,说明其保护CII免受网络攻击的义务2。新加坡法规要求概述3.5.2 新加坡告知个人并取得有效同意。个人被视为同意。豁免同意中保护数据主体利益及国家利益的必要情形,并且已经采取合理措施确保数据接收方不会基于其他目的使用或披露所传输的数据。个人数据过境中转,指个人数据通过新加坡传输至新加坡以外的国家或地区,且在新加坡期间未被传输服务组织及其员工以外的主体接触、使用或披露。个人数据是在新加坡已公开的数据。境外接收方拥有特定的数据保护认证,即 APEC PRP 或 APEC CBPR。合法性基础(满足下列其一要求):新加坡法规重点梳理新加坡147、通讯和新闻部于2013年1月2日建立了个人数据保护委员会(Personal Data Protection Commission,PDPC)是管理和负责实施PDPL的监管机构。新加坡网络安全局在网络安全战略颁布后,成为一个独立的国家机构,负责监督所有网络安全事务,包括网络安全战略、运营、教育、外展和生态系统发展。新加坡网络安全局的设立不仅能够维持对国家网络安全的集中监督和维护,保持对不同部门需求的灵活应对。监管机构PDPA在2020年修订了数据跨境传输的相关规定:除非根据PDPA相关要求确保接收方对传输的个人数据提供至少与PDPA同等的保护,不得将任何个人数据传输到新加坡以外的国家或地区。该规148、定在条例中进一步细化:“组织只有在采取适当措施,确保数据接收方受法律强制义务的约束,对传输的个人数据提供与PDPA同等的保护标准时,才能将个人数据向第三国转移。”实际操作中,通常建议与数据接收方签订跨境传输合同或BCRs(Binding Corporate Rules)等文件,以确保数据的安全和隐私。除此之外,如果个人数据传输方获得了个人数据主体关于跨境事项的有效同意、个人数据为过境中转数据或已公开数据、接收方企业具备新加坡政府要求的认证等情况,可以直接进行跨境传输个人数据。数据跨境CSA 的主要内容包括:加强对CII的保护,防范网络攻击,涉及CII的行业包括能源、水利、银行和金融、医疗保健、149、运输(包括陆地、海事和航空)、信息通信、媒体、安全和应急服务以及政府。授权新加坡网络安全局预防和应对网络安全威胁和事件,并且可以根据网络安全威胁或事件的严重程度以及响应所需的措施来调整可行使的权力。建立共享网络安全信息的框架。为网络安全服务提供商设立许可证制度,目前仅要求提供渗透测试服务、管理网络安全营运中心服务的企业必须申请许可证。因为这两类服务提供商可以访问客户的敏感信息,对整体安全格局有重大影响。1https:/www.pdpc.gov.sg/overview-of-pdpa/the-legislation/personal-data-protection-act2https:/www.150、csa.gov.sg/legislation/Cybersecurity-Act040新加坡数据违规案例刑事责任:未经授权披露、使用个人数据,或未经授权重新识别匿名数据,可能面临最高5000新加坡元罚款和2年监禁。在已经构成犯罪但未明确规定处罚的场合,可能按照第56条,在定罪后处以不超过10,000新加坡元的罚款或不超过3年的监禁,或两者兼施。民事责任:个人可以依据 PDPA中 PART 9C 第480 条保护自己的个人数据,向法院提起诉讼,请求赔偿损失或获得其他民事救济。行政责任:委员会有权对违反PDPA的组织进行惩罚,包括要求违法的组织:(1)停止违法收集、使用或披露个人数据,销毁违法收集151、的个人数据;(2)警告;(3)指令;(4)经济处罚。对于违反信息保护义务的自然人处以20万新加坡元以下处罚;对其他组织最高处以1百万新加坡元以下或年营业额10%以下的经济处罚(二者取高者)。PDPA对违反数据保护义务规定了比较严格的处罚,包括刑事犯罪、行政处罚、民事责任三个方面。违反PDPL的法律后果同意义务:组织在采集、使用或披露某人的个人数据之前必须事先获得其同意。目的限制义务:组织采集、使用或披露个人数据时的目的必须合理。告知义务:组织在收集、使用或披露个人数据时或之前必须将目的告知相关个人。许可访问和更正义务:组织有义务应个人要求告知自己所掌握的其个人数据和在过去一年中可能使用或披露其152、个人数据的记录;并应个人要求更正或补正其个人数据。准确性义务:组织如果可能需要在其决策中参考相关个人数据或者可能需要向其他组织披露的,必须通过合理方式保证其收集或受托收集的个人数据准确、完整。保护义务:组织必须通过合理的安全措施防止其掌握的个人数据被非法获取、收集、使用、披露、复制、修改等风险,并防止储存个人数据的媒介或设备丢失。保留限制义务:组织可以合理假设所保留的个人数据已不能实现相关目的,或者继续保留相关个人数据已无法律或商业意义时,必须立即删除相关个人数据。传输限制义务:组织在将个人数据传输至新加坡境外地点时,必须遵守 PDPA 相关规定。数据泄露通知义务:组织认为发生个人数据泄露,且153、经过评估认为符合 PDPA 规定的条件时,必须向受影响的委员会和有关个人通知。谢绝来电义务:组织不得向“谢绝来电”登记簿上的号码拨打营销电话、发送营销信息或传真。责任制义务:组织对自己拥有或控制的个人数据承担责任,需就此满足PDPA 规定的合规义务,包括任命数据保护官(DPO)、制定和实施数据保护政策和操作流程、在规定场合进行个人数据影响评估(DPIA等。新加坡的PDPA没有强制要求数据必须本地存储(即在新加坡境内存储)。然而,PDPA对跨境数据传输有明确规定,确保个人数据在转移到其他国家或地区时仍然受到充分的保护。虽然新加坡没有强制的数据本地存储要求,但某些行业或公司可能会出于商业、法律或合154、规性考虑,选择在新加坡本地存储数据。这通常与对数据安全、访问速度、法律监管的方便性有关。此外,在跨境传输数据时,公司通常需要评估风险,并可能采取额外的保护措施,以确保遵守PDPA的规定。根据PDPA第26条,数据控制者在将个人数据传输到境外时,必须确保接收国的法律或安排能够提供与PDPA同等或更高的保护水平,除非获得个人明确同意或满足其他特定条件。数据控制者可以通过合同条款确保境外接收方履行与PDPA类似的保护义务。PDPA涵盖以电子和非电子格式存储的个人数据。PDPA规定了机构在收集、使用和披露个人数据时所使用的方式需要合理且恰当,同时也承认了个人有权保护其个人数据,且拥有对个人数据的各项权155、利1。PDPA 个人数据保护义务:数据本地存储个人数据保护1https:/sso.agc.gov.sg/Act/PDPA2012?WholeDoc=1041个人和组织违反法规可能遭受罚款,最高罚款为新加坡元100,000元,还可能面临监禁,最高监禁期为6个月。CSA法规提供了对违反法规组织的监管行动,包括暂停或吊销许可证和许可证。在某些情况下,个人违反CSA法规可能面临刑事诉讼。2018年,新加坡的某银行受到黑客攻击,导致超过130,000名客户的个人数据泄露,受影响的数据包括客户的姓名、身份证号、联系方式、地址、银行卡号和密码等信息。这些数据可能会被黑客攻击者用于非法活动,例如身份盗用、银行156、卡盗用等。事件的原因是该银行的一些系统中发现了漏洞,黑客攻击者能够访问和盗取客户的个人数据。该银行未能采取合理的步骤来保护客户的个人数据,未能及时通知受影响的客户,未能采取合理的步骤来防止数据泄露。因此,该银行的数据泄露事件违反了新加坡网络安全法的多项规定,导致了该银行受到新加坡数据保护局的罚款新加坡元13,000元。事件也导致了该银行的名誉损害和客户信任度的下降。新加坡CSA法规规定,违反CSA法规的组织可能承担法律责任,包括因违反法规而导致的损失或损害。违反CSA的法律后果新加坡某私人有限公司的病例数据库系统遭到网络攻击,黑客从公司数据库中非法访问和复制近150万病人的个人数据和近160万157、门诊病人的处方记录,导致大规模的病人数据泄露。PDPC遂依受害人的投诉启动了调查程序,并在综合考虑证据、当事人陈述,以及公司方面事后所采取的有效补救措施等减轻情节后,对该公司和综合健康信息系统公司分别作出了25万新加坡元(约125万元人民币)和75万新加坡元(约375万元人民币)罚款指令。PDPC认为,该公司作为医疗机构可以将部分业务外包给服务供应商,但不能将其PDPA规定的法定义务亦转移给他人。上述两公司最终自愿承认病例数据遭到泄露的事实,接受个保委的调查结果,同意按照个保委的指令承担责任,并认为上述指令的处罚力度合理适当。迄今为止,PDPC 对组织施加的最大罚款(75 万新元)是由于该组织158、未能采取足够的安全措施或作出必要安排,以保护个人数据免遭未经授权的访问。042泰国针对所有行业比较重要的法规是个人数据保护法(Personal Data Protection Act,PDPA),于2022年6月正式生效,适用于在泰国境内收集、使用或披露个人数据的组织和个人。主要内容是规定了个人数据的保护原则、数据主体权利、数据控制者和数据处理者的义务等。PDPA借鉴了GDPR的立法模式,共分为七章,涉及数据主体权利、数据处理者义务、跨境数据传输、滥用个人数据处罚等方面。从立法目的来看,PDPA体现出泰国作为东盟经济体在自由贸易方面的考量1。另外,泰国针对一些行业也制定了个人信息和数据安全法规159、,例如:电信法(Telecom Act),于2001年生效,适用于在泰国境内提供电信服务的组织和个人,规定了电信服务的法律框架,包括电信许可、电信服务质量等。计算机犯罪法(CCA),于2007年生效,适用于在泰国境内发生的计算机犯罪行为,规定了计算机犯罪的类型和处罚,包括数据泄露、网络攻击等。数字经济和社会发展法(DESDA),于2017 年生效,适用于在泰国境内发展数字经济和社会的组织和个人,规定了数字经济和社会发展的法律框架,包括数字基础设施、数字服务等。泰国法规要求概述3.5.3 泰国数据控制者必须获得数据主体的同意方可进行数据出境。与境外数据接收者签订合同。数据控制者必须与境外数据接收160、者签订合同,规定数据接收者必须遵守泰国个人数据保护法的规定。数据控制者必须确保数据接收国有适当的个人数据保护水平。泰国PDPA关于数据出境的定义是指将个人数据从泰国境内传输到泰国境外。数据出境必须符合四项条件:数据主体同意数据出境的。数据出境是为了执行合同。数据出境是为了保护公共利益。同时,PDPA也规定了数据出境的三种例外情况,不需要遵守数据出境的规定:数据出境必须执行的安全措施包括:数据控制者必须对数据进行加密,以防止数据泄露;数据控制者必须与数据接收者签订安全协议,以确保数据的安全。泰国的数据保护委员会负责监督数据出境的活动,数据控制者必须向数据保护委员会报告数据出境的活动。泰国法规重点161、梳理泰国PDPA的监管机构是泰国个人数据保护委员会(PDPC)。PDPC的职责主要包括:负责监管个人数据保护,包括调查、罚款和其他行政处罚。负责制定个人数据保护政策和指南。负责提供个人数据保护咨询和培训。PDPC的权力主要包括:有权调查个人数据泄露事件和其他违反PDPA的行为。有权对违反PDPA的行为处以罚款。有权对违反PDPA的行为采取其他行政处罚。监管机构数据跨境关键信息基础设施的运营者必须将个人数据存储在泰国境内。公共部门必须将个人数据存储在泰国境内。私营部门可以选择将个人数据存储在泰国境内或境外,但必须遵守PDPA的规定。泰国PDPA对数据本地存储的要求主要有三条:数据主体同意数据存储162、在境外的。数据存储是为了执行合同的。数据存储是为了保护公共利益的。同时,PDPA也规定了数据本地存储的三种例外情况,不需要遵守数据本地存储的条件:数据本地存储必须执行的安全措施包括:数据控制者必须对数据进行加密,以防止数据泄露;数据控制者必须与数据存储服务商签订安全协议,以确保数据的安全。泰国的数据保护委员会负责监督数据本地存储的活动,数据控制者必须向数据保护委员会报告数据本地存储的活动。数据本地存储043泰国的一家电信运营商于2020年遭遇了一起严重的数据泄露事件,包括超过460万条用户姓名、手机号码、电子邮箱地址等数据。泄露原因是该运营商的数据库配置错误,导致数据未加密且可公开访问。该运营163、商通知了受影响的用户,并建议他们更改密码,并向泰国国家广播和电信委员会报告了事件。该运营商被泰国国家广播和电信委员会罚款100万泰铢(约3.3万美元),也导致了声誉受损,用户信任度下降。另外,泰国的一家电子商务平台也于2019年遭遇了一起严重的数据泄露事件,包括超过10万条的用户姓名、邮箱地址、电话号码等。此次事件的原因同样也是该平台数据库配置错误,导致数据未加密且可公开访问。该平台被泰国电子商务委员会罚款50万泰铢(约1.65万美元),声誉受损,用户信任度下降。这些案例表明,数据合规违规可能导致严重的后果,组织和个人必须遵守泰国数据合规法规的规定,以确保个人数据的安全和保护。泰国数据违规案例164、泰国PDPA旨在保护个人数据免受未经授权的收集、使用、披露和其他处理。内容主要包括:个人数据保护定义个人数据:指与个人有关的任何信息,包括姓名、地址、电话号码、电子邮件地址等。数据主体:指个人数据的所有者,即个人。数据控制者:指决定个人数据处理目的和方式的组织或个人。数据处理者:指代表数据控制者处理个人数据的组织或个人。个人数据保护原则合法性原则:个人数据的收集和处理必须有合法的依据。目的明确原则:个人数据的收集和处理必须有明确的目的。必要性原则:个人数据的收集和处理必须是必要的。比例原则:个人数据的收集和处理必须与目的相符。准确性原则:个人数据必须准确、完整和最新。保密性原则:个人数据必须保165、密。安全性原则:个人数据必须受到合适的安全措施保护。数据主体权利访问权:数据主体有权访问其个人数据。更正权:数据主体有权更正其个人数据。删除权:数据主体有权删除其个人数据。反对权:数据主体有权反对其个人数据的处理。携带权:数据主体有权携带其个人数据。数据控制者和数据处理者义务数据保护政策:数据控制者必须制定和实施数据保护政策。数据保护官:数据控制者必须指定数据保护官负责个人数据保护。数据收集和处理记录:数据控制者必须保留个人数据收集和处理记录。数据保护影响评估:数据控制者必须进行数据保护影响评估。数据泄露通知:数据控制者必须在数据泄露事件发生后通知相关个人和监管机构。0443.5.4 越南20166、23年4月17日,越南政府正式发布No:13/2023/ND-CP法令,即个人数据保护法令1(Personal Data Protection Decree,PDPD),于2023年7月1日起正式生效。越南法规要求概述越南个人数据保护法具有域外效力,在越南境外直接参与或涉及越南个人数据处理活动的外国机构、组织和个人同样受该法规管辖。根据规定,越南个人数据保护法适用于:越南的机构、组织和个人。在国外经营的越南机构、组织和个人在越南的外国机构、组织和个人。直接参与或涉及越南的个人数据处理活动的外国机构、组织和个人。在法规的适用方面,法规第43条特别指出,微型企业、小型企业、中型企业、初创公司在其成167、立之日起的两年内有权选择豁免任命数据保护负责人和负责部门的义务,但上述企业中直接从事个人数据处理活动的除外。越南法规重点梳理越南与个人数据保护相关的主要监管机构包括公安部、信息和通信部、国防部和科技部等,其中最主要的监管机构是公安部。监管机构越南个人数据保护法针对个人数据跨境传输所制定的合规要求和合规机制具有一定独特性,与欧盟以及周边的泰国、马来西亚等国家所采取的合规机制也有较大差别。根据越南个人数据保护法的规定,越南实体从越南向境外传输数据,必须同时满足下述条件:数据跨境数据传输方就个人数据跨境传输开展影响评估,评估需包括以下内容:个人数据传输方和接收方的详细信息和联系方式。个人数据传输方旗168、下参与传输和接收越南公民个人数据的组织或个人的全名和联系方式。描述和解释个人数据跨境传输后对越南公民个人数据处理活动的目的。描述并阐明跨境传输的个人数据的类型。描述并说明跨境传输活动遵守越南个人数据保护法中关于个人数据保护规定的情况,以及所采取的具体个人数据保护措施。评估个人数据处理的影响,跨境传输可能造成的负面后果和损害,以及减少或消除此类后果和损害的措施。越南个人数据保护法第11条规定的个人数据主体(越南公民)在已得知出现问题/需求时的反馈/投诉机制的基础上,给予同意。数据传输方和接收方之间的关于处理越南公民个人数据的保护义务和责任的相关文件。个人数据跨境传输影响评估档案应当随时备存,以供169、越南公安部检查和评估。此外,数据输出方应在处理个人数据之日起60天内,根据越南个人数据保护法附件第06号表格,向越南公安部(网络安全和高科技犯罪预防司)发送一份真实的评估副本。数据输出方应在个人数据传输完成后,将数据传输的相关信息及负责传输的组织或个人的联系方式以书面形式通知越南公安部(网络安全和高科技犯罪预防司)。越南公安部(网络安全和高科技犯罪预防司)应当进行评估,并在数据跨境传输影响评估根据相关法规不完整、不准确的情况下,要求数据输出方完善个人数据跨境传输影响评估档案。此外,数据输出方应在提交公安部(网络安全和高科技犯罪预防司)的个人数据跨境传输影响评估档案内容发生变化时,对其进行更新和170、修改。数据输出方应在内容发生变化之日起10天完成对评估档案的更新。除特殊情况外,越南公安部可根据具体情形,决定每年对个人数据跨境传输活动进行一次检查。此外,有下列情形之一的,越南公安部可以决定要求数据输出方停止向境外传输个人数据:被传输的个人数据用于危害越南国家利益和国家安全的活动。数据输出方未遵守前述在数据跨境传输影响评估档案不完整、不准确的情况下完善评估档案和内容发生变化时更新和修改评估档案的规定。越南公民的个人数据被泄露或丢失。045数据主体的沉默或不回应不被视为同意。数据主体可以给予部分或有条件的同意。在发生争议的情况下,个人数据的控制者、个人数据控制者兼处理者应该证明已获得数据主体的171、同意。在告知同意机制的设计方面,越南对告知同意的内容、方式等具体要求给出了较为细致的规定。越南个人数据保护法明确规定:越南个人数据保护法对各方主体的角色划分采用了与欧盟GDPR类似的概念和结构,将数据相关主体角色划分为“数据主体”、“个人数据控制者”、“个人数据处理者”、“个人数据控制者兼处理者”。越南个人数据保护法将个人数据划分为一般个人数据与敏感个人数据。一般个人数据包括:姓名、性别、出生日期、出生地、个人照片、身份证号码、护照号码、驾驶执照、个人税号、婚姻状况以及有关家庭关系的信息等。敏感个人数据包括:政治观点、宗教观点、病历中所记载的健康状况及性取向等。数据主体享有11项权利,包括知情172、权,同意权,访问权,撤回同意权,删除权,限制数据处理的权利,获得数据的权利,反对数据处理的权利,投诉、检举和提起诉讼的权利,索赔权,自我保护权。个人数据保护2022年8月15日,越南就2018年6月颁布的网络安全法发布数据处理法令。这项法令(第53/2022/NDCP号法令)于2022年10月1日生效,规定在该国经营的公司必须于当地储存数据。向越南客户提供跨境服务的公司必须在越南设立实体,并在该国储存数据。法令涵盖的活动包括:在网络储存和共享数据;电讯服务;电子商贸;提供域名;网上支付;社交网络和媒体;支付中介;网上游戏;提供、管理或操作电邮、短讯、电话、视频通话或网上聊天;以及网络传输连接。173、服务用户的个人数据和用户产生的数据同样受规管。违反规定的外国企业会接到书面通知,该等企业须于12个月内在越南设立办事处并于当地储存数据。数据必须保存至少24个月,系统日志则至少保存12个月。越南当局或许会出于多种原因要求企业删除某些内容。数据本地存储数据处理者违法违规处理个人数据,需要承担法律责任。根据违法行为的类型,基本罚款金额从4,000万越南盾到2亿越南盾不等。根据违法行为的严重程度,公司可被处以基本罚款金额的2-5倍,金额最高可达到企业上一财年收入或在越南境内所取得的利润的5%。对于需要收集个人数据的行业,可能会受到吊销营业执照三个月的处罚。该处罚还适用于以下情况:在数据主体撤回同意后174、,未停止处理其个人数据。未编制数据处理影响的评估。违反个人数据安全性/保密性规定,可能会面临警告、罚款甚至最高3年监禁等刑事处罚。2022年12月,越南的两家金融公司的3,848份客户数据遭到泄露,罪犯通过出售客户个人信息获得总金额为458,952,000越南盾(约合 18,825 美元)的非法所得。该罪犯被处以1 亿越南盾(4,100 美元)的罚款,没收非法所得,并被判决缓刑二十四个月2。越南数据违规处罚案例1https:/baovedlcn.gov.vn/2https:/ Data Protection Act 2010,PDPA)及其相关配套规定,该法案于2013年11月15日生效1。个175、人数据保护法包含七个数据保护原则:通用原则、通知和选择原则、披露原则、安全原则、保留原则、数据完整性原则和访问原则。这些原则将为个人数据提供保护,也为消费者、电子商务、网络及非网络设施从业人员的利益提供保障。2010年个人数据保护法规定了商业交易中个人数据的处理,并适用于:马来西亚法规要求概述数据主体书面同意。为了履行数据主体与数据用户之间的合同所必需。为了履行数据主体与第三方之间的合同所必需。为执行法律程序或为了确立、行使或捍卫合法权利。避免针对数据主体的不利行为或减轻类似行为造成的影响。数据使用者已采取合理的预防措施和尽职调查。为保护数据主体的利益或符合公共利益所必需。个人数据保护法第12176、9条禁止向马来西亚境外转移个人数据,除非经相关官员允许传输至指定的地方,或者符合以下条件(必须符合至少一项):2023年1月30日,马来西亚与新加坡就数字经济和绿色经济达成两项合作框架协议。在其中的数字经济合作框架协议中,双方就实施可互操作的个人数据保护框架、企业数字身份双边试点等举措开展合作。2023年8月,马来西亚个人数据保护专员同新加坡和菲律宾一道被接纳为亚太经合组织(APEC)跨境隐私执法安排(CPEA)的成员。目前,马来西亚个人数据保护专员正在积极准备参与亚太经合组织跨境隐私规则(CBPR)。马来西亚法规重点梳理马来西亚的通讯及多媒体部成立了个人数据保护部,并任命一位个人数据保护专员177、来负责监督用户的数据,以监督个人数据保护法的实施。该专员由部长任免,任期为三年,可以连任。监管机构数据跨境马来西亚没有规定数据必须存储在本地,但对数据跨境传输有明确规定(如上)。数据本地存储处理数据的任何人。控制或授权处理与商业交易有关的任何个人资料的人。3.5.5 马来西亚1https:/www.pdp.gov.my/jpdpv2/laws-of-malaysia-pdpa/personal-data-protection-act-2010/?lang=en0472024年7月4日,马来西亚内阁批准PDPA 2010的拟议修正案。该修正案提高了违规的处罚力度。违反个人数据保护法的七项数据保护178、原则,可能受到罚款和/或监禁的处罚。罚款范围最高可达100万令吉(约168万元人民币),而监禁最多可达3年。近年来,马来西亚发起了多起数据泄露事件。2022年12月30日,马来西亚某银行遭遇数据泄露,影响了1300万账户持有人。这些信息发布在一个在线数据库市场上还发布了一个单独的列表,卖家声称拥有互联网提供商Unifi移动客户的个人数据库。2022年9月,马来西亚某航空公司遭遇数据泄露,4500万客户的电子邮件地址、出生日期、地址、护照号码和电话号码在网上被泄露1。然而,自2017年以来,只有20家公司因数据泄露被罚款,平均每家公司被罚款24,000林吉特(约合5,480美元)2。马来西亚数据179、违规案例签订的合同中允许处理个人数据。符合其他法规义务。保护数据所有者最大利益。执法或履行法律职能。马来西亚个人数据保护法第9节和个人数据条例第6条规定了安全原则。安全原则要求数据用户在处理个人数据时,应采取相关切实措施保护个人数据不受任何丢失、误用、修改、未经授权或意外访问或泄露的影响。如:确保个人资料存放的地点安全;确保有权接触该等个人资料的人员的可靠性、完整性及能力而采取的措施;确保该等个人资料的能够安全转移等。马来西亚个人数据保护法范围内的“个人数据”必须直接或间接地涉及到个人,披露用户的身份或其它信息,而且该数据必须由自动化工具处理或意图被记录而形成相关文件系统的一部分。这些数据需透180、过商业交易而被收集,如销售商品或服务的供应。个人数据保护法禁止在未经个人同意的情况下私自处理数据,严格地保护了个人数据。对于18岁以下的数据所有人,数据使用者应就处理其个人数据取得其父母、监护人或对数据所有人负有监护责任的人的同意。同时也对特定情况下,数据处理规定了相应的免责条款。免责条款适用于以下情形:个人数据保护1https:/ 年 8 月 11 日,印度议会颁布了数字个人数据保护法案(the Digital Personal Data Protection Act,DPDP Act),这是印度第一部全面的数据保护法案,取代之前2000、2008、2011年的相关规定1。DPDP 法案适用181、于所有数字个人数据的处理,无论是以数字形式收集,还是以非数字形式收集后再数字化。该法案不仅适用于印度境内的数字个人数据处理,也适用于印度境外的数字个人数据处理,特别是对居住在印度的数据主体提供商品或服务有关的数字个人数据处理。DPDP与 GDPR 有两个明显的不同之处:另外,DPDP法案要求企业为数据主体提供以英语或印度宪法承认的22种语言中的任何一种查看同意通知的选项。DPDP还要求企业向之前已同意个人数据处理的数据主体提供通知。通知说明将收集哪些个人数据、处理这些数据的目的、数据主体如何就这些数据行使其权利,以及相关数据保护官或数据控制者负责回应数据主体行使其权利的请求的其他负责人的详细联182、系信息。第一,DPDP法案不承认将合法利益或合同必要性作为收集或处理个人信息(PI)的有效法律依据,而是需要征得数据主体的同意。但出于就业目的或在某些紧急情况下处理PI的情况除外。第二,DPDP法案设想了一个“同意管理人consent manager”,该管理人应在印度数据保护委员会注册,并作为一个联络点,使数据主体能够给予、管理、审查和撤回其同意。DPDP法案的监管机构是印度数据保护局(Data Protection Authority of India,DPAI)。DPAI是一个法定机构,负责监督和执行DPDP法案的规定。DPAI有权调查投诉,进行审计,并对不遵守法案的行为进行处罚。监管机183、构DPDP法案允许将个人数据传输到印度境外,但必须得到数据主体(与数据相关的个人)的明确同意。此外,数据受托人必须确保数据传输到的国家/地区具有与印度相似的数据保护水平。另外,DPDP法案授权中央政府通知某些国家为跨境数据传输的“批准司法管辖区”。数据可以传输到这些国家/地区,而无需获得数据主体的明确同意。该法案还允许使用示范合同条款,这些条款是标准化的合同条款,可确保在向数据保护水平不如印度的国家/地区传输数据时提供充分的数据保护保障。在某些情况下,印度数据保护局(DPAI)可能需要批准跨境数据传输,特别是如果传输到的国家/地区的数据保护水平不如印度。这些规定旨在促进数据跨境自由流动和确保保184、护印度公民的个人数据之间取得平衡。数据跨境3.6.2 印度法规重点梳理3.6.1 印度法规要求概述1https:/www.meity.gov.in/content/digital-personal-data-protection-act-2023049知情权:数据主体有权被告知其个人数据的收集、处理和使用。访问权:数据主体有权访问其个人数据并获取其副本。更正权:如果个人数据不准确或不完整,数据主体有权更正其个人数据。删除权:在某些情况下,数据负责人有权删除其个人数据,例如当数据不再需要用于收集数据的目的时。数据可移植性的权利:数据委托人有权将其个人数据从一个数据受托人移植到另一个数据受托人。2185、021年4月,印度一家全球知名的披萨连锁店因安全漏洞导致数据泄露,涉及数十万用户的个人数据,包括姓名、电子邮件地址、手机号码、地址等。数据泄露原因是该连锁店的第三方服务提供商使用了不安全的协议和密码,导致黑客能够轻松访问用户数据。此数据泄露事件对该连锁店的用户造成了严重影响,许多用户收到了诈骗邮件和短信。同时,数据泄露事件也对该连锁店的品牌声誉造成了严重损害,许多用户表示不会再使用连锁店服务。数据泄露事件后,该连锁店采取了安全措施,防止进一步的数据泄露。包括更改密码、更新安全协议等,并通知了受影响的用户,提醒他们注意个人数据安全。印度政府和监管机构对该连锁店施加了严厉的处罚,包括罚款和安全整改186、要求。该数据泄露案例告诉我们:企业必须高度重视数据安全,采取有效措施保护用户数据;企业必须严格评估第三方服务提供商的安全风险,确保他们能够保护用户数据;企业必须使用安全的协议和密码,防止黑客攻击;企业必须能够快速有效地进行内部调查,确定数据泄露的原因和范围;企业必须与政府和监管机构合作调查数据泄露事件,确保用户数据安全。首先,DPDP法案赋予了数据主体五项权利:DPDP法案对不遵守其规定的数据受托人处以处罚,包括罚款和监禁。数据主体有权要求赔偿因数据泄露或不遵守本条例而遭受的任何损害或损失。这些规定旨在通过建立强大的数据保护框架来保护印度公民的个人数据,并确保数据受托人对其数据收集和处理实践负187、责。另外,DPDP为重要数据受托人(SDF,Significant Data Fiduciary)规定了更高的义务。SDF指中央政府根据对以下因素评估而被通知为的数据受托人:所处理的个人数据的数量和敏感性、对数据委托人权利的风险、对印度主权和完整的潜在影响、对选举民主构成风险、国家安全、公共秩序。SDF在DPDP法案下承担了更高的义务,包括:完成数据保护影响评估,任命一名数据保护官,任命独立(第三方)审计师进行数据审计,并评估SDF是否遵守法律。透明度:数据受托人必须对其数据收集和处理实践保持透明。目的限制:数据受托人只能出于特定、明确和合法的目的收集和处理个人数据。数据最小化:数据受托人只能188、收集和处理为收集目的所必需的个人数据准确性。数据受托人必须确保他们收集和处理的个人数据是准确和最新的数据安全。数据受托人必须实施适当的技术和组织措施,以确保个人数据的安全。同时,DPDP为数据受托人也规定了五项义务:个人数据保护3.6.3 印度数据违规案例DPDP法案要求所有敏感个人数据(Sensitive Personal Data)和关键个人数据(Critical Personal Data)都存储在印度,不能传输到印度境外。其中,敏感个人数据定义为包括与健康、财务信息、密码和其他敏感信息相关的个人数据。关键个人数据的定义包括对印度的主权和完整、国防和国家安全至关重要的个人数据。同时,DP189、DP法案允许对敏感个人数据和关键个人数据的数据本地化要求有某些例外,例如在数据主体明确同意的情况下,或者出于法案中规定的出于国际合作、研究或法案等其他目的需要传输。这些规定旨在确保印度公民的敏感和关键个人数据存储在该国境内,同时允许在个人同意的情况下传输其他个人数据。DPDP法案并未对其他个人数据(即非敏感或关键的个人数据)施加任何存储限制。经数据主体明确同意,组织可以将其他个人数据转移到印度境外。数据本地存储050俄罗斯3.7俄罗斯主要的数据保护监管机构是联邦通信、信息技术和大众传播监督局(Roskomnadzor),数据保护领域的专门政府机构还包括联邦技术和出口管制局(FSTEK)和联邦安190、全局(FSS)。数据运营商在开始处理任何个人数据之前,应通知Roskomnadzor,并且数据运营商的细节应记入个人数据运营商的公共登记册。在个人数据跨境转移的情况下,数据运营商在跨境传输前必须确保相关数据主体的权利和利益在相应的外国以适当的方式adequate manner得到充分保护adequate protection。(Article 12 of the PD Law)。所有签署斯特拉斯堡公约的缔约国家都被认为是为数据主体的权利和利益提供“充分保护adequate protection”的管辖区。此外,Roskomnadzor还通过了一份官方清单,列出了非斯特拉斯堡公约缔约国但在个人数191、据跨境转移方面确保“充分保护(adequate protection)”的国家。向任何具有 充分保护 水平的司法管辖区进行的国际数据转移不受任何限制,前提是数据运营商已收到各自数据主体的事先同意。此外,PD Law规定了向不提供“充分保护”水平的国家跨境转移个人数据的特殊要求。在实践中,在将个人数据转移到国外之前,数据运营商应首先检查各外国管辖区的数据保护水平。此外,为了将个人数据转移到其他司法管辖区,需要事先获得相关数据主体的书面同意。数据运营商也可以与个人数据主体签署国际数据传输协议。监管机构数据跨境PD Law规定了本地数据存储要求,适用于任何处理俄罗斯公民个人数据的数据运营商,包括其在192、线商业活动例如通过互联。在收集个人数据时,经营者须满足通过使用一个实际位于俄罗斯联邦的任何数据库来记录、安排、积累、储存、指定(更新、更改)或检索俄罗斯联邦公民的个人数据,但以下情况除外(Article 18(5)of the PD Law):数据本地存储为实现国际条约的目标或执行经营者的法定权力和义务而进行的数据处理。用于国家目的。为记者的专业活动或大众媒体的合法活动提供服务。可直接在外国数据库中进行的科学、文学或其他创造性活动。3.7.2 俄罗斯法规重点梳理俄罗斯个人数据保护类法律法规主要是2006年通过的第152-FZ号联邦法律(Federal Law No.152-FZ,PD Law)193、,它是俄罗斯个人数据保护的关键法律1。PD Law在某些方面的制定参考了隐私和数据保护的国际法律文件如欧盟一般数据保护条例(GDPR)中的概念。PD Law适用于任何处理俄罗斯公民个人数据的数据运营商,无论其是否位于俄罗斯。另外,还有一些具体的数据保护条款可以在俄罗斯其他法律中找到,包括Russian Labour Code俄罗斯劳动法第14章(2001年)、Russian Air Code俄罗斯航空法第85.1条(1997年)、Federal Law No.395-1 On Banks and Banking关于银行和银行业的第395-1号联邦法(1990年)、Federal Law No.194、323-FZ on the Fundamentals of Protection of the Health of Citizens in the Russian Federation关于保护俄罗斯联邦公民健康基本原则的第323-FZ号联邦法(2011年)、Federal Law No.38-FZ on Advertising关于广告的第38-FZ号联邦法(2006年)、Russian Administrative Offences Code俄罗斯行政犯罪法(2001年)等。3.7.1 俄罗斯法规要求概述1https:/secureprivacy.ai/blog/comprehensive-g195、uide-russian-data-protection-law-152-fz#:text=The%20Federal%20Law%20on%20Personal%20Data%20%28No.%20152-FZ%29%2C,then%2C%20the%20most%20recent%20being%20in%20February%202023.051数据运营商或其他获得个人数据的实体有义务在未经个人数据主体事先书面同意的情况下不向第三方披露这些数据或传播这些个人数据,但联邦法律规定的情况除外。一般来说,没有向数据保护机构报告数据泄露的法律要求。俄罗斯Roskomnadzor应审查个人数据主体196、自愿提出的有关个人数据内容的兼容性compatibility、存在或缺乏个人数据主体的同意、个人数据处理方法及其是否符合所宣称的处理目的。Roskomnadzor应对此作出适当的决定,如果发现违规,数据运营商必须在三个工作日内终止这种未经授权的处理。如果不可能将未经授权的个人数据处理变成合法的处理方式,数据运营商必须在10个工作日内销毁这些个人数据(Article 21(3)of the PD Law)。数据运营商必须在终止处理或销毁个人数据时通知数据主体或其代表,如果终止或销毁的要求是由Roskomnadzor提出的,则必须将这种通知发送给Roskomnadzor。没有特别的法律规定要向受影197、响的数据主体报告数据泄露事件。但是,权利受到侵犯的个人数据主体有权向Roskomnadzor提交索赔调查申请,Roskomnadzor可以行使相关的调查,并对被指控的侵权者及其对个人数据的未经授权的行为作出索赔决定。数据运营商可能会对几种违反个人数据处理的行为负责包括在需要时未经数据主体书面同意的数据处理,未在网站上公布数据处理政策,或未向数据主体提供与处理其个人数据有关的信息犯罪的罚款最高可达75000卢布(The Russian Code for Administrative Offences俄罗斯行政犯罪法第13.11(2)条)。违反本地存储要求的数据运营商会被处以罚款,初犯者最高罚款6198、00万卢布,再犯者最高罚款1,800万卢布(The Russian Code for Admin-istrative Offences俄罗斯行政违法法典第13.11条8&9款)。The Russian Criminal Code俄罗斯刑法典规定了以下行为的刑事责任:未经个人同意,非法收集或传播,包括公开传播与个人或家庭秘密有关的个人资料,最高可处以20万卢布的罚款;非法访问计算机信息,造成个人数据的破坏、封锁、修改或复制,最高可处以50万卢布的罚款。特别要指出的是,根据俄罗斯法律,刑事处罚只能针对个人,而不能针对法律实体。个人数据保护2024年7月31日,俄罗斯对中国某领先社交平台开出了一张4199、00万卢布(约合33.6万元人民币)的行政罚款,原因是该平台未能遵守俄联邦通信、信息技术和大众传媒监督局的指示。2024年5月,俄联邦通信、信息技术和大众传媒监督局要求该平台提供涉及俄联邦“个人数据”和“信息、信息技术和信息保护”信息,证明其遵守俄罗斯通信与传媒的相关法律。2022年,数家外企因违反俄罗斯数据管理规定而被处以100万-200万卢布(约合3.77万美元)不等的罚款,其中包括美国某游戏直播平台、某社交媒体网站、某旅游住宿网站、某包裹运送服务公司。3.7.3 俄罗斯数据违规案例052日韩3.8日本的个人信息保护法案(Act on the Protection of Personal 200、Information,APPI)于2003年颁布,并于2022年4月1日修订生效,是日本一部全面的数据保护法。APPI适用于位于日本的处理个人信息(PI)的控制者和处理者,以及位于日本境外,处理与向位于日本的数据主体提供商品或服务相关的个人信息的控制者和处理者1。APPI与GDPR相似之处在于它授予个人有关其PI的权利,规定了数据治理义务(例如数据最小化和数据安全性)、加强对敏感PI的保护以及对国际数据传输的要求。但是,APPI在两个关键方面与 GDPR不同:它在控制者和处理者之间没有明确的区别,并且PI的处理不需要法律依据(SPI 除外);它还将假名和匿名处理的信息分类为具有自身特定要求的201、PI子集。另外,2016年1月生效的日本个人编号法(My Number Act,MNA)补充了个人信息保护法案。在日本,所有注册居民都会获得一个称为“个人编号”的号码,用于社会福利和税收目的。MNA规定了包含“个人编号”或用作个人编号替代品的任何数字、标记或代码的信息的处理,包含此类数据的个人信息在 MNA中被定义为“特定个人信息(SPI)”。MNA 适用于位于日本境内和境外处理SPI的控制者和处理者2。MNA要求MNA SPI仅用于社会保障、地方税收和灾害预防目的进行处理,控制者对处理者进行适当的监督,并且处理协议中包含特定条款,包括处理者和子处理者只有在控制者事先明确同意的情况下才能任命。202、多边核协议对应通报数据事件的定义也设定了较低的门槛。请注意,处理MNA SPI的控制者和处理者也必须遵守APPI。日本法规要求概述日本法规重点梳理监管机构日本APPI法案的监管机构是个人信息保护委员会(Personal Information Protection Commission,PPC)。PPC是一个独立的行政委员会,成立于2016年,负责监督和执行APPI。PPC总部设在东京,并在日本各地设有区域办事处。它负责确保个人信息得到日本企业和组织的适当保护和处理。日本MNA法案的监管机构是总务省(Ministry of Internal Affairs and Communications203、,MIC)。MIC负责监督个人编号法的实施,包括:个人编号卡的发行,My Number系统的管理,监督个人编号数据使用,个人信息保护。MIC与内阁秘书处和法务省等其他政府机构密切合作,以确保个人编号法的顺利实施。数据跨境日本APPI法案第24条对跨境数据传输主要有4项具体要求:要求数据主体(个人数据被传输的个人)对跨境数据传输提供事先同意。要求个人数据被传输到的国家/地区具有足够的个人数据保护水平,这意味着该国必须制定法律和法规,提供与 APPI 同等的保护。要求数据控制者(传输数据的组织)和数据处理者(接收数据的组织)之间签订数据保护协议,以确保数据按照APPI受到保护。要求数据控制者将跨境204、数据传输通知个人信息保护委员会(PPC)。日本MNA第17条对跨境数据传输主要有5项具体要求:限制个人编号数据跨境传输到具有足够个人数据保护水平的国家。个人编号数据被传输到的国家/地区拥有提供与MNA同等保护的法律法规。要求事先获得总务和通信部长的批准,才能对个人编号数据进行跨境数据传输。要求数据控制者(传输数据的组织)和数据处理者(接收数据的组织)之间签订数据保护协议,以确保数据根据MNA得到保护。要求数据控制者将跨境数据传输通知总务省(MIC)。3.8.1 日本053此外,APPI 和MNA都规定了跨境数据传输要求的某些例外情况,例如:出于国际合作目的(如执法或国家安全)的跨境数据传输无需205、事先同意和充分保护要求。如果数据主体已明确同意跨境数据传输,则免除APPI或MNA要求。出于公共利益而必需的跨境数据传输,例如用于统计或研究目的,可以免于 APPI 或MNA要求。值得注意的是,APPI和MNA都是相对较新的法律,日本政府仍在制定这两项法规实施的指导方针和法规。因此,APPI和MNA对跨境数据传输的要求将来都可能会发生变化或澄清。数据本地存储与其他一些国家不同,日本的APPI对数据本地化没有具体要求,不要求将个人数据存储在日本境内。但是,数据控制者仍必须确保个人数据根据 APPI 受到保护(个人数据保护),无论数据存储在何处。而日本的MNA对个人编号数据的本地存储有一些具体要求206、:MNA要求将My Number数据存储在日本境内。这意味着数据控制者(收集和处理个人号码数据的组织)必须确保个人号码数据存储在位于日本境内的服务器或其他存储设备上。MNA还要求以安全的方式存储个人编号数据,以防止未经授权的访问、泄漏、丢失或损坏。这包括实施适当的技术和组织措施,例如加密、访问控制和备份系统。MNA要求对My Number数据的访问仅限于授权人员,并且仅在需要知道的基础上授予访问权限。MNA要求数据控制者实施备份和恢复程序,以确保在数据丢失或系统故障的情况下,可以恢复My Number数据。MNA要求将My Number数据保留一段规定的时间,通常为自收集之日起5年。MNA要求207、在不再需要或保留期限届满时,安全销毁My Number数据。这些要求旨在保护个人号码数据的隐私和安全,并确保以负责任和安全的方式处理这些数据。个人数据保护日本的APPI法案对个人数据保护主要有10项要求,这些要求旨在保护日本个人的隐私和权利,并确保以负责任和安全的方式处理个人数据。主要包括:数据控制者必须对其个人数据处理活动保持透明,包括收集的目的、收集的数据类型以及数据的接收者。个人数据必须为特定、明确和合法的目的收集,未经个人同意,不得用于任何其他目的。数据控制者只能收集和处理为收集目的所必需的个人数据。个人数据必须准确且最新。数据控制者必须实施适当的技术和组织措施,以保护个人数据免遭未经208、授权的访问、泄露、丢失或损坏。个人有权访问、更正和删除其个人数据,并有权反对处理其个人数据。数据控制者在收集和处理其个人数据之前必须事先获得个人的同意。数据控制者必须将任何数据泄露或未经授权访问个人数据的情况通知PPC和受影响的个人。数据控制者在实施新的个人数据处理活动之前必须进行数据保护影响评估。数据控制者有责任确保个人数据根据 APPI 受到保护,并且必须能够证明遵守法律。日本的MNA对个人数据的保护同样有10项要求,这些要求旨在保护个人号码数据的隐私和安全,并确保以负责任和安全的方式处理这些数据。主要包括:个人编号数据的收集和使用只能用于管理个人编号系统,未经个人同意,不得用于任何其他目209、的。个人编号数据必须限制在收集目的所需的最低限度,并且不得包含任何不必要或过多的信息。个人编号数据必须准确且最新。必须保护个人编号数据免受未经授权的访问、泄露、丢失或损坏,并且必须以安全的方式存储。个人编号数据必须保密,未经个人同意,不得向任何第三方披露。个人有权访问、更正和删除其个人编号数据,并有权反对处理其个人编号数据。只有在个人同意的情况下才能收集和使用个人编号数据,并且必须告知个人数据收集的目的和范围。MNA要求在实施任何新的个人数据处理活动之前进行数据保护影响评估。MNA要求数据控制者(收集和处理My Number数据的组织)负责确保My Number数据受到法律保护。MNA要求数据210、控制者遵守与保护My Number数据相关的法律法规。1https:/www.japaneselawtranslation.go.jp/en/laws/view/4241/en2https:/www.kojinbango-card.go.jp/zh-cn/054日本数据违规案例某国际社交平台公司提供的一款APP是日本国民级社交软件,也是绝大多数国民日常使用的服务。2023年11月27日该公司公布信息泄露,2024年2月14日该公司官网再次更新了信息泄露情况,总数增至约51万9,000条。经审查,总务省发现该公司在安全管理措施、网络安全措施以及业务委托方管理等方面存在缺陷,认定其违反了电气通信事211、业法第4条第1款规定的有关通信秘密保护的条款。总务省严厉指出,该公司的本次事件不仅严重损害了公司形象,也损害了用户对日本整个电信行业的信任。一般而言,出海日本企业数据合规的相关法律规定主要集中在日本个人信息保护法和个人信息保护委员会发布的相关指南、条例中。但是,此次事件中,除了个人信息保护委员会就个人信息保护的相关问题下达行政指导外,总务省也多次就通信秘密泄露问题发布指导命令。这警示出海日本提供电信相关服务的厂商,在关注个人信息保护法相关法律框架之外,也需要重视电气通信事业法的合规要求,提前采取措施加强对数据的安全管理、做好数据泄露的应急备案。韩国个人信息保护法案(Personal Infor212、mation Protection Act,PIPA)在2020年8月生效,并于2021年、2023年分别进行了修订,管理所有领域的个人信息采集、使用和处理1。尽管PIPA中没有明确规定地域范围,但韩国数据保护法对控制者/处理者的执行标准与GDPR相似。在韩国成立的公司受该法律的约束,外国实体也可能受该法律的约束,具体取决于该组织是否针对韩国用户或是否通过在韩国开展业务而产生收入等因素。2021年1月6日对PIPA的修正案中,引入了数据可携带权和拒绝自动化决策的权利,增加了向海外传输个人数据的方法,并将假名数据纳入要求销毁的范围。2023年7月30日,韩国个人信息保护委员会(PIPC)发布个人213、信息保护法规范解释和2023年个人信息保护法标准解释例,规定在线平台向海外传送信息需信息主体同意。2023年8月3日,韩国PIPC发布了人工智能时代个人信息安全使用指南。这是PIPC发布的首份人工智能领域指南,旨在帮助降低人工智能在隐私和数据保护方面的潜在风险,同时促进数据的安全使用与人工智能生态系统的进一步创新和发展。韩国法规要求概述韩国法规重点梳理监管机构韩国PIPA的监督机构是个人信息保护委员会(Personal Information Protection Commission,PIPC)。PIPC是一个独立机构,成立于2011年,负责监督和执行PIPA。其主要职责包括:监督和指导,合214、规监控,争议解决,政策制定。PIPC总部设在首尔,并在韩国各地设有区域办事处。数据本地存储与其他一些国家/地区不同,韩国的PIPA不要求个人数据存储在韩国境内。但是,数据控制者(收集和处理个人数据的组织)必须确保个人数据根据 PIPA 受到保护,无论数据存储在何处。同时,PIPA规定了跨境数据传输要求的某些例外情况,例如:为执法或国家安全目的的国际合作,为向数据主体提供服务或产品而传输个人数据,为进行统计或科学研究而传输个人数据。数据跨境韩国的PIPA第17条对跨境数据传输有4项具体要求:要求数据主体(个人数据被传输的个人)对跨境数据传输提供事先同意。要求个人数据被传输到的国家/地区具有足够的215、个人数据保护水平,这意味着该国必须制定法律和法规,提供与 PIPA同等的保护。要求数据控制者(传输数据的组织)和数据处理者(接收数据的组织)之间签订数据保护协议,以确保数据按照PIPA得到保护。要求数据控制者将跨境数据传输通知PIPC。3.8.2 韩国1https:/pipc.go.kr/eng/user/ltn/new/noticeDetail.do?bbsId=BBSMSTR_000000000001&nttId=2331055根据韩国个人信息保护法第28条第8款,个人信息处理者不得将个人信息提供至境外,除非从信息主体获得关于境外转移的单独同意。此外,第29条第10款要求在跨境传输个人信息216、时必须采取保护措施,包括个人信息保护安全保障措施、对个人信息侵犯的投诉处理及纠纷解决措施等。韩国个人信息监管机构7月26日对某跨境电商平台处以近19.8亿韩元罚款,原因是该平台在未通知韩国用户的情况下向约18万海外卖家泄露了他们的个人信息。该跨境电商平台允许入驻卖家向用户销售商品,并从中收取一定比例的销售金额作为中介费。在此过程中,卖家将消费者的个人信息跨境传输给发货工厂,导致超过18万韩国用户的个人信息被提供给了中国卖家。该平台并未向用户告知“个人信息转移的国家”、“接收个人信息的个人或法人的姓名(公司名称)及联系方式”等根据个人信息保护法规定的应告知事项,也未在卖家须知中反映保护个人信息所217、需的措施。此外,该平台还通过使会员退出菜单难以查找、将账户删除页面以英文显示等方式,增加了用户行使个人信息权利权利的难度,违反了韩国个人信息保护法中关于个人信息跨境传输的规定。韩国数据违规案个人数据保护韩国的PIPA对个人数据保护主要有10项要求,包括:这些要求旨在保护个人数据的隐私和安全,并确保以负责任和安全的方式处理个人数据。数据控制者必须对其个人数据处理活动保持透明,包括收集的目的、收集的数据类型以及数据的接收者。个人数据的收集和使用只能用于收集目的,未经个人同意,不得用于任何其他目的。个人数据必须限制在收集目的所需的最低限度,并且不得包含任何不必要或过多的信息。个人数据必须准确且最新。218、必须保护个人数据免受未经授权的访问、泄漏、丢失或损坏,并且必须以安全的方式存储。个人数据必须保密,未经个人同意,不得向任何第三方披露。个人有权访问、更正和删除其个人数据,并有权反对处理其个人数据。只有在个人同意的情况下才能收集和使用个人数据,并且必须告知个人数据收集的目的和范围。PIPA要求在实施任何新的个人数据处理活动之前进行数据保护影响评估。数据控制者有责任确保个人数据按照 PIPA 受到保护,并且必须能够证明遵守法律。056非洲3.9埃及数据保护法(Data Protection Law,DPL)于2020年7月15日公布,并于3个月后正式生效1。埃及DPL共14章49条,系埃及国内首部219、关于个人数据保护的专门立法。埃及DPL在法律责任、跨境数据保护、数据主体的权利以及数据控制者和处理者的义务设定等方面体现出其鲜明的本土特色。埃及DPL的出台对于提升埃及整体的个人数据保护水平意义重大,完善了埃及国内的个人数据保护制度,并通过制定达到国际最佳实践标准的数据保护法来改善本国的营商环境,以吸引更多的外国投资者,助力埃及的技术创新和数字转型。埃及DPL主要以GDPR为蓝本。它适用于处理属于埃及居民的个人数据的数据控制者和处理者,无论他们是否在埃及。根据DPL,所有数据泄露或网络攻击必须在72小时内向个人数据保护中心以及受影响的数据主体报告。只有在存在法律依据的情况下,才允许处理个人数据220、。埃及的DPL仅能适用于以电子方式处理的个人数据,相较之下,欧盟GDPR则适用于任何媒介手段下的所有数据处理活动。埃及DPL第2条专门规定了数据主体所享有的权利,以强化对个人数据的保护,主要包括:数据访问权,撤回权,数据修改、编辑、删除及更新权,数据限制权,个人数据泄露的知情权,数据处理反对权。埃及的DPL第3条作了相当广泛的适用豁免规定,其中包括:自然人基于个人使用而进行的数据处理;基于官方统计目的进行的数据处理;与司法记录、调查和司法程序有关的个人数据处理等。其中,埃及中央银行以及所有受中央银行监管的金融机构并不适用该法;埃及国家安全机构在其职责范围内进行的个人数据处理也不受该法规限制。与221、欧盟GDPR及非洲绝大多数国家的数据保护立法主要规范数据控制者不同,埃及数据保护法对数据处理者施加了与数据控制者同等的监管措施。在数据泄露的通知及告知义务方面,相比欧盟GDPR的模糊规定,埃及数据保护法则更为具体、清晰,还特别规定了涉及国家安全事项的通知要求。在数据保护官的设置方面,埃及数据保护法对数据控制者及处理者提出了更高要求。数据保护法第8条规定,所有数据控制者或处理者都应当任命一名数据保护官,专门负责个人数据安全工作。在数据保护法之外,埃及个人数据处理及其治理散见于宪法和各个部门法中。如埃及已将个人隐私权保护作为一项基本原则写入宪法;民法典规定了侵犯隐私数据的一般侵权责任;劳动法规定了222、雇员个人数据的保护;网络安全法规定了网络经营者的个人数据保护义务等。在埃及数据保护法生效后,上述法律对于数据的相关规定仍将适用。埃及法规要求概述埃及法规重点梳理监管机构数据保护中心最高权力机构是理事会,理事成员分别来自国防部、内务部、情报总局、行政管理局、信息技术产业发展局、电信管理局等部门。EDPA采用许可及认证管理制度,即无论是个人数据的收集、存储、跨境传输,还是个人敏感数据的处理以及电子直销等,都需要取得数据保护中心的许可或认证。埃及DPL设立了专门的数据保护监管机构埃及数据保护局(Data Protection Authority of Egypt,EDPA)。EDPA的主要职责包括:223、制定有关个人数据保护的政策及计划。明确涉及个人数据保护的标准、规则、程序及决定。与其他政府部门及非政府部门合作。支持政府和非政府部门有关个人数据保护工作人员的培养计划。向数据控制者或处理者签发有关个人数据保护的许可证、认证证书等。开展关于个人数据保护的教育、培训、宣传等。3.9.1 埃及1https:/ of Personal Information Act 4,POPIA)于2018年年底施行,紧随着2018年5月28日施行的欧盟数据通用保护条例(GDPR)1。POPIA对于企业的合规要求于2019年完成。POPIA旨在保护个人的个人信息,并确保组织以负责任和透明的方式处理个人数据。个人信息224、保护法案(POPIA)建立是为了让数据主体能够更好地控制其个人信息的自由流动。它适用于在南非注册的公共和私人机构,规范了商业主体收集、储存及使用个人信息的条件和行为。欧盟通用数据保护条例(GDPR)启发了南非的个人信息保护法(POPIA),但这两项法律之间存在一些关键差异。以下是POPIA比GDPR较严格的三个方面:POPIA涵盖有关公司的数据而不仅仅指个人。GDPR将“个人数据”定义为“与已识别或可识别的自然人相关的信息.”(“数据主体”)。POPIA同样将“个人信息”定义为“.与可识别的在世自然人有关的信息.”。但南非法律随后进一步扩大了这一定义,并补充说,个人信息也可能与“可识别的现有法225、人.”有关。这意味着在南非运营的企业可能需要保护有关业务合作伙伴、供应商等的数据,就像保护有关其客户/用户的数据一样。这不仅包含着有关这些商业实体的员工(他们是“自然人”)的数据,还意味着有关企业本身(“法人”)的数据。POPIA对儿童数据的规定更加严格。GDPR对儿童的规定已经相当严格,侧重于直接向儿童提供“信息社会服务”(在线服务)的控制者。此类控制者在处理儿童的个人数据之前必须征得父母的同意。另外,GDPR强调在处理儿童个人数据时对儿童的“特定保护”,特别是在出于营销或分析目的时。相比之下,POPIA关于处理儿童数据的规则适用于您处理数据的上下文法律不区分不同的处理目的。这基本上意味着完226、全禁止处理儿童数据。此外,可以直接向南非的信息监管机构申请处理儿童数据的授权。每个公司都必须任命一名高管级别的DPO。根据POPIA要求属于法律范围的每个企业都必须任命一名数据保护官(DPO),并且这种任命有一些严格的条件。这与GDPR对DPO的态度形成鲜明对比。根据GDPR,DPO充当独立顾问,来监督企业数据保护的合规性,而对于许多不定期监控数据主体或处理“特殊类别数据”的私营公司,并不需要任命DPO。同时,相比GDPR,POPIA也有较宽松的三个方面:GDPR第25条规定了隐私设计(privacy by design)这一概念。POPIA并未体现这一概念,然而对于在南非实施隐私计划的人而言227、,隐私设计被视为最佳实践方案。GDPR第35规定了数据保护影响评估(the data protection impact assessment)的义务,然而POPIA对此并未有所体现。GDPR第20规定了数据可携权(the right of data portability),这一权利为数据主体提供将其数据迁移至另一数据控制者或服务提供者的选择权。然而POPIA对此并未有所体现。监管机构南非负责监控与强制实施POPIA的信息监管机构主要包括南非国家消费者委员会、南非公司与知识产权局(CIPC)、南非标准局以及强制性技术规范国家监管机构(NRCS)。这些机构共同构成了南非信息监管的框架,旨在保护228、消费者权益、促进知识产权的保护、制定和执行标准,以及监督技术规范的实施,以确保信息的安全和合规性。南非POPIA 的第 72 节允许在符合下列条件时将个人信息转移到南非境外:数据跨境作为信息接收者的第三方遵守能提供充足保护的法律,具有约束力的公司规章或具有约束力的协议。数据主体同意转移。转移对履行数据主体和责任方之间的合同,或应数据主体请求实施合同前措施而言是必要的。转移对责任方和第三方之间订立或履行保护数据主体利益的合同来说是必要的;或者转移对数据主体有好处。3.9.2 南非1https:/www.gov.za/documents/protection-personal-informatio229、n-act059一家南非主要银行被罚款12万南非兰特(约82,000美元),因未能实施适当的安全措施保护客户数据,这些数据后被黑客盗取。一家南非私人医疗机构被罚款50,000南非兰特(约34,000美元),因未能确保患者数据的保密性,这些数据后被未经授权的人访问。一家南非流行零售连锁店被罚款20,000南非兰特(约14,000美元),因未能实施适当的安全措施保护客户数据,这些数据后被黑客盗取。一家南非主要通信服务提供商被罚款1,000,000南非兰特(约68,000美元),因未能确保客户数据的保密性,这些数据后被未经授权的人访问。一家南非主要雇主被罚款50,000南非兰特(约34,000美元)230、,因未能确保员工数据的保密性,这些数据后被未经授权的人访问。数据本地存储任何公共或私人机构或任何其他人(称为“责任方”)必须采取适当、合理的技术和组织措施,确保其拥有或控制下的个人信息的完整性和保密性,以防止个人信息的丢失、损坏或未经授权销毁;以及非法访问或处理个人信息。责任方必须采取的合理措施包括:识别其拥有或控制的个人信息的所有合理、可预见的内部和外部风险;建立并保持针对已确定的风险的适当保障措施;定期核实保障措施是否得到有效实施;并确保保障措施不断更新,以应对以前实施的保障措施中的新风险或缺陷。责任方必须适当考虑普遍接受的信息安全实践和程序,这些做法和程序可能普遍适用,或在特定行业或专业231、规则和条例方面适用。个人数据保护1996年南非共和国宪法第14条规定,人人有权享有隐私权;隐私权包括免受非法收集、保留、传播和使用个人信息的权利。POPIA规定个人信息必须直接从数据主体收集(除非POPIA另有规定),数据主体可以随时反对处理个人信息。POPIA第34条规定禁止处理儿童个人信息,但有一些情况下此规定不适用,例如经过主管人员事先同意;捍卫法律权利或义务的需要;处理符合公共利益并采取适当保障措施来保护儿童个人信息。任何机构或个人在未得到客户书面允许的情况下,不得对外泄露他们的个人信息,例如手机号码、电子邮件地址等。此外,银行、保险公司、医疗保健机构、制药公司、市场营销公司、旅行社等232、商业机构也不能向个人电子信箱、手机等发送信息,除非获得使用者的许可。南非数据合规案例060大洋洲3.10澳大利亚隐私法(Australias Privacy Act,APA)于1988年颁布,是澳大利亚联邦层面的一部全面的数据保护法。APA包括一份适用于处理个人信息的组织的13项澳大利亚隐私原则的清单1。APA不仅适用于澳大利亚境内,在澳大利亚境外,只要该组织拥有“澳大利亚联系”。所谓澳大利亚联系指的是此APP实体(Australia Privacy Principles Entity)收集或处理了澳大利亚人的个人数据(除非是持有护照或其他在限定时间内必须离开澳大利亚的人,否则其他在澳大利亚土233、地上的人都是 澳大利亚人),或者向澳大利亚公民进行营销推广的离岸实体或网站。APA在某些材料要求方面类似于GDPR,包括对个人数据有相似的定义、数据处理的要求,并为个人提供访问其个人信息的权利。但是,APA和GDPR还是有些不同之处,主要区别在于APA没有区分数据控制者和数据处理者,而是统一用APP实体来指代。此外,向澳大利亚以外发送个人信息的APA机制也有所不同。原则上禁止以直接营销为目的使用或披露个人信息。此外,将数据发送给另一家公司,接受个人信息的公司利用这些信息来进行营销也是不被允许的。除非得到个人的明确同意。但政府机构、政党和慈善机构向个人发送电子信息属于例外豁免的情形。另外,APA234、对跨境数据传输的要求存在某些例外情况,例如:个人已同意披露。为履行APP主体与个人之间的合同所必需的披露。在法律要求或授权的情况下进行披露。澳大利亚法规要求概述澳大利亚法规重点梳理澳大利亚APA的监督机构是澳大利亚信息专员办公室(the Office of the Australian Information Commissioner,OAIC)。OAIC是一个独立机构,成立于2010年,负责监督和执行APA。其主要职责包括:隐私监管,投诉处理,指导和教育,审核和评估,政策制定。OAIC由澳大利亚信息专员领导,他负责确保OAIC按照APA履行其职能。监管机构澳大利亚APA对跨境数据传输有3项具235、体要求,这些要求在澳大利亚隐私原则(Australian Privacy Principles,APPs)中进行了概述:数据跨境与其他一些国家/地区不同,APA不要求将个人信息存储在澳大利亚境内。但是,APP实体必须确保个人信息根据APA受到保护,无论其存储在哪里。数据本地存储APP 8.1规定在向境外接收方披露个人信息之前,APP主体必须采取合理措施确保接收方不违反APP。APP 8.2规定如果APP实体向境外接收方披露个人信息,必须确保接收方受到与APP 基本相似的法律或约束机制的约束。APP主体必须采取合理措施,确保境外接收方不违反APP,包括与海外接收方签订合同,要求他们遵守 APP;236、对海外接收方进行尽职调查,以确保他们有足够的隐私保护措施;实施技术和组织措施来保护个人信息。3.10.1 澳大利亚1https:/www.oaic.gov.au/privacy/privacy-legislation/the-privacy-act0612023年7月,澳大利亚联邦法院对某全球社交平台旗下两家子公司分别处以1,000万澳元罚款,理由是两家公司在Onavo Protect应用程序的数据使用方面存在误导消费者的行为。在未向消费者披露的情况下,将消费者的个人活动数据,包括使用应用程序时的位置、应用程序访问记录和使用时间等数据以匿名汇总形式提供给该社交平台以实现其他商 业目的,例如广告237、和营销活动、改进产品和服务以及制定商业战略等。2022年,澳大利亚公平竞争和消费者委员会(ACCC)发布消息称,因某全球互联网公司2017年1月至2018年12月期间,向用户展示了误导性信息,违规收集、储存并使用了澳大利亚境内约130万用户信息。因违反澳大利亚消费者法,该公司为此支付6,000万澳元罚款。澳大利亚的APA规定了保护个人数据的一些关键要求:个人数据保护组织只能为收集时声明的目的收集和使用个人信息,并且必须确保信息与目的相关。组织在收集、使用或披露其个人信息前,必须征得个人的同意。同意必须是知情的、具体的和明确的。组织必须采取合理措施确保个人信息准确、最新和完整。组织必须采取合理措238、施保护个人信息免遭滥用、干扰、丢失、未经授权的访问、修改或披露。组织必须制定个人信息保留和处置政策,并且不得将个人信息保留超过必要的时间。如果发生可能对个人造成严重伤害的数据泄露,组织必须通知受影响的个人和OAIC。个人有权访问和更正其个人信息,组织必须提供访问和更正程序。组织必须采取额外措施来保护敏感信息,例如有关个人健康、性取向或犯罪记录的信息。组织必须在其系统和流程中实施隐私设计原则,并且在设计新产品和服务时必须考虑隐私。组织在实施涉及高风险个人信息处理的新技术或流程时,必须进行隐私影响评估。组织必须制定内部政策和程序,以确保遵守隐私法,并且必须能够证明遵守。澳大利亚数据违规案例062新239、西兰1993年颁布了隐私法(Privacy Act,PA),在2020年12月,为了加强数据保护方面的规定,实施新的2020年隐私法(2020 PA)。与世界各地的其他综合隐私和数据保护法相比,该法的一个关键特征是赋予“隐私专员”在制定和执行法律方面的核心作用和更大的权利,包括在个人或代表诉讼提交人权法庭之前,作为必要的“阻止”;发布全面的合规通知;禁止跨境传输个人信息等1。2020 PA适用于任何设在新西兰的数据处理机构,以及任何从事与新西兰公民有关的业务或收集数据的海外组织。2020 PA和GDPR相同之处是企业任命一名隐私官来监督内部合规过程,并处理出现的任何问题。如果个人资料被泄露,他240、们将与隐私监管机构联系,并负责发布报告。和GDPR不同处是,尽管2020 PA旨在规范国家和公司之间的用户信息流动,但它缺乏GDPR和其他现代隐私法的力量。首先,它没有建立一个框架,让互联网用户选择加入或反对跟踪他们的数据。此外,它并没有赋予个人被遗忘的权利或数据可移植性的权利。最后,它没有赋予隐私专员对隐私泄露处以罚款的能力。新西兰法规要求概述新西兰法规重点梳理新西兰的2020 PA由多个机构和组织负责执行:监管机构新西兰的2020 PA对数据出境的关键要求是:组织必须确保不会将个人信息传输到国外,除非接收国的法律提供类似于PA的保护标准。允许将个人信息传输到经济合作与发展组织(OECD)成241、员国,只要接收国的法律提供类似于PA的保护标准。组织确保个人信息根据PA的原则受到保护,即使它被转移到国外也是如此。组织必须采取合理措施,确保接收国的法律和做法为个人信息提供充分保护。另外,PA允许在某些情况下进行跨境数据传输,例如,当传输是履行组织与个人之间的合同所必需的,或者为法律纠纷的目的而需要传输时。允许组织与外国接收者签订数据保护协议,以确保遵守该法案。这些协议必须包括确保接收国拥有为个人信息提供充分保护的法律和做法的条款。数据跨境隐私专员:隐私专员是议会的独立官员,也是新西兰隐私的主要监管机构。专员负责确保遵守隐私法,并拥有一系列权力,包括调查投诉、提供指导、监督和审计组织,以及提242、高公众对隐私问题的认识。隐私专员办公室(OPC):OPC是支持隐私专员工作的办公室。OPC为组织和个人提供有关隐私问题的信息和指导,处理投诉和查询,并与其他机构和组织合作,以提高隐私意识和合规性。新西兰信息和隐私专员(NZIPC):NZIPC是根据2020年PA成立的新机构,旨在为新西兰的所有信息和隐私相关事务提供一站式服务。NZIPC负责提供有关隐私和信息管理的信息和指导,处理投诉和查询,并提高公众对隐私问题的认识。数据保护局(DPA):DPA是根据2020年PA成立的新机构,旨在规范新西兰个人数据的使用。DPA负责确保组织遵守PA,并有权调查和执行违反该法的行为。新西兰2020年PA中包括243、与数据本地化相关的几项规定,这些规定涉及在新西兰存储个人信息。关键要求有:数据本地存储将个人信息存储在新西兰,除非出于合法目的有必要将其存储在新西兰境外,在这种情况下,组织必须确保个人信息根据隐私法受到保护,并且已将转移及其原因告知个人。要求组织实施适当的安全措施,以保护个人信息免遭未经授权的访问、披露或使用,这包括确保将个人信息存储在安全的位置,例如上锁的柜子或安全的数字存储设备。要求组织仅在收集信息的目的所需的时间内保留个人信息,并在不再需要时将其处理掉。要求组织安全、保密地处理个人信息,以防止未经授权的访问或使用。3.10.2 新西兰1https:/www.legislation.gov244、t.nz/act/public/2020/0031/latest/whole.html063新西兰某全球电信公司在2018年发生了一起数据泄露事件,导致大量客户数据被泄露,包括客户姓名、地址、电话号码、电子邮件地址和账户信息。经调查发现,该公司的第三方供应商未能采取适当措施来保护客户数据,导致数据泄露。具体原因包括:第三方供应商未能及时更新其系统的安全补丁,导致系统存在安全漏洞。第三方供应商未能采取适当的密码管理措施,导致黑客能够轻易猜测密码。第三方供应商未能采取适当的监控措施,导致黑客能够长时间地访问系统而不被发现。这起数据泄露事件严重影响了客户的隐私和安全。同时,该电信公司的声誉也受到了严245、重影响,导致客户对公司的信任度下降。该公司在发现数据泄露事件后,立即采取了以下措施:通知受影响的客户,并提供相应的支持和帮助。与第三方供应商合作,采取措施来修复安全漏洞并防止类似事件发生。启动内部调查,查明事件原因并采取相应的改进措施。向新西兰隐私委员会报告事件,并接受委员会的调查和指导。此次数据泄露事件表明,数据保护是企业运营中的重要环节,企业必须采取适当措施来保护客户数据,否则可能面临法律和声誉风险。同时,企业必须与第三方供应商合作,确保供应商采取适当措施来保护客户数据。新西兰数据违规案例根据2020 PA,数据处理者如果不遵守规定,将被处以最高1万新西兰元(7,000美元)的罚款。虽然这246、听起来似乎是一个相对较低的数字,但隐私专员办公室也可以向人权法庭提出正式投诉,最高可被处以23万新西兰元(16.2万美元)的罚款。2020 PA规定了组织在收集、使用、披露和存储个人信息时必须遵循的13项数据保护原则,这些原则主要包括:个人数据保护个人数据的收集必须是合法、公平和合理的。个人数据的收集目的必须明确,并且必须告知个人。个人数据的收集范围必须合理,并且必须与收集目的相关。个人数据必须准确、完整和最新。个人数据必须存储在安全的地方,并且必须采取措施防止未经授权的访问。个人数据必须保密,并且必须采取措施防止未经授权的披露。个人数据只能用于收集目的,并且必须根据法律规定披露。个人有权知道247、自己的个人数据是否被收集、存储和使用,以及有权访问和更正自己的个人数据。新西兰设立了数据保护官(Privacy Commissioner),负责监督个人数据保护法的执行。组织必须在发生数据泄露时通知受影响的个人和数据保护官。个人数据只能传输到有适当数据保护水平的国家或地区。数据处理者必须遵守个人数据保护法,并且必须对数据控制者负责。组织必须定期进行数据审计和风险评估,以确保个人数据的安全。064中国3.11为促进数据依法有序自由流动,我国相继制定实施中华人民共和国网络安全法、中华人民共和国数据安全法、中华人民共和国个人信息保护法,对数据跨境流动作出了明确规定。中华人民共和国网络安全法:该法于2248、016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过,2017年6月1日起施行。该法规定了网络安全的基本要求,包括网络产品和服务的安全要求、网络运营者的安全义务等,为数据出境提供了基本的法律框架1。中华人民共和国数据安全法:该法于2021年6月10日第十三届全国人民代表大会常务委员会第二十九次会议通过,2021年9月1日起施行,是一部基础性、框架性的法律。该法确立了数据处理者的安全义务,包括数据出境的安全评估和管理,确保数据出境活动符合法律规定2。中华人民共和国个人信息保护法:该法于2021年8月20日第十三届全国人民代表大会常务委员会第三十次会议通过,2021年11月1日起249、施行,是中国首部个人信息保护专门法。该法规定了个人信息的收集、使用、处理和保护原则,对数据出境中的个人信息保护提出了明确要求3。此外,为了具体实施这些法律,国家网信办还公布了数据出境安全评估办法、个人信息出境标准合同办法等文件,进一步细化了数据出境的安全评估和标准合同备案的要求。这些措施共同构成了中国数据出境的法律体系,旨在确保数据出境活动的安全性和合规性。3.11.1 中国数据出境法规要求概述1http:/ 中国数据出境法规重点梳理066该法的出台标志着我国在数据安全领域有了明确的法律依据,旨在提升国家数据安全保障能力,促进数字经济发展创新,同时扩大了数据保护范围,为各行业数据安全提供监管依250、据。该法共七章五十五条,涵盖了数据安全的多个方面,包括数据保护的域外法律效力、数据安全与发展、数据安全监管机制等。根据中华人民共和国数据安全法,数据安全的监管机构主要包括以下,这些监管机构在各自的职责范围内,共同负责数据安全的监管和管理工作。监管机构国家互联网信息办公室:负责全国数据安全的统筹协调工作,负责制定和实施数据安全政策、规划和规范,负责组织和协调国家数据安全工作。工业和信息化部:负责工业和信息化领域数据安全工作,负责制定和实施工业和信息化领域数据安全标准和规范,负责组织和协调工业和信息化领域数据安全工作。公安部:负责数据安全保卫和打击数据犯罪工作,负责组织和协调全国公安机关数据安全保251、卫和打击数据犯罪工作。国家安全部:负责国家安全和数据安全工作,负责组织和协调国家安全和数据安全工作。各级人民政府:负责本行政区域内的数据安全工作,负责组织和协调本行政区域内的数据安全工作。关键信息数据保护的域外法律效力考虑到全球经贸和技术交流的频繁,该法明确规定,无论数据处理活动发生在中华人民共和国境内还是境外,只要损害了国家安全、公共利益或公民、组织的合法权益,都将依法追究法律责任。数据安全与发展该法强调在保障数据安全的基础上促进数据的开发利用,明确了数据安全与发展的关系,并提出了相应的措施来促进数据开发利用和技术研究应用。数据安全监管机制国家建立了数据安全应急处置机制和审查制度,对影响或可252、能影响国家安全的数据处理活动进行国家安全审查。此外,还实施了出口管制措施,对关键信息基础设施运营者的重要数据出境安全管理进行了规定。数据安全保护义务数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,采取相应的技术措施和其他必要措施保障数据安全。重要数据的处理者需明确数据安全负责人和管理机构,落实数据安全保护责任。关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用中华人民共和国网络安全法的规定;其他数据处理者的重的数据出境安全管理办法由国家网信部门会同国务院有关部门制定。067关键信息个人数据及敏感数据定义个人信息是以电子或者其他方式记253、录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。依据民法典第一千零三十四条规定,个人信息包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。数据主体权利该法还强调了个人信息的权利属性,将其定义为具体人格权益,并规定了知情同意权、信息查阅、访问与复制权、信息更正权、信息删除权(被遗忘权)、撤回同意权、限制处理权、254、数据可携权、反对权、自动化决策和分析权、投诉权等具体权益内容。个人信息的客体属性被视为天然内置财产价值的人格利益,其财产属性需要通过特定的法律程序性制度设计转化为被他人共享与利用的财产利益。数据处理者义务采取措施确保个人信息处理活动合规。指定个人信息保护负责人进行监督。定期对其处理个人信息情况进行合规审计。进行个人信息保护影响评估,并对处理情况进行记录。对个人信息泄露、篡改、丢失立即采取补救措施,并履行通知义务。提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者应履行的义务。数据处理原则该法规定了个人信息的处理原则,包括通过自动化决策方式向个人进行信息推送、商业营销时,应提供不255、针对其个人特征的选项或提供便捷的拒绝方式。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等;处理个人信息要遵循合法、正当、必要和诚信原则、目的限制原则、公开、透明原则、质量原则以及责任与安全原则。处理敏感个人信息,如生物识别、医疗健康、金融账户、行踪轨迹等,应取得个人的单独同意。对于违法处理个人信息的应用程序,法律规定可以责令暂停或终止提供服务。根据中华人民共和国个人信息保护法,个人信息保护的监管机构主要包括以下,这些监管机构在各自的职责范围内,共同负责个人信息保护的监管和管理工作:监管机构国家互联网信息办公室:负责全国个人信息保护的统筹协调工作,负责制定和实施个人256、信息保护政策、规划和规范,负责组织和协调国家个人信息保护工作。工业和信息化部:负责工业和信息化领域个人信息保护工作,负责制定和实施工业和信息化领域个人信息保护标准和规范,负责组织和协调工业和信息化领域个人信息保护工作。公安部:负责个人信息安全保卫和打击个人信息犯罪工作,负责组织和协调全国公安机关个人信息安全保卫和打击个人信息犯罪工作。国家安全部:负责国家安全和个人信息保护工作,负责组织和协调国家安全和个人信息保 护工作。各级人民政府:负责本行政区域内的个人信息保护工作,负责组织和协调本行政区域内的个人信息保护工作。中华人民共和国个人信息保护法该法的制定旨在保护个人信息权益,规范个人信息处理活动257、,并促进个人信息的合理利用。该法明确了自然人的个人信息受法律保护,任何组织或个人不得侵害自然人的个人信息权益。它适用于在中华人民共和国境内处理自然人个人信息的活动,以及在中国境外处理中华人民共和国境内自然人个人信息,但满足特定条件的活动。个人信息的定义包括与已识别或可识别的自然人有关的各种信息,通过电子或其他方式记录,但不包括匿名化处理后的信息。个人信息的处理活动包括收集、存储、使用、加工、传输、提供、公开、删除等。立法目的个保法适用于在中国境内处理个人信息的活动,以及境外组织和个人处理中国境内自然人个人信息的活动,包括:向中国境内自然人提供产品或者服务、分析或者评估中国境内自然人的行为以及法258、律、行政法规规定的其他情形。适用范围068数据处理的合法正当理由个人信息处理者方可处理个人信息。取得个人的同意。为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需。为履行法定职责或者法定义务所必需。为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需。为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息。依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息。法律、行政法规规定的其他情形。依照个保法其他有关规定,处理个人信息应当取得个人同意,但是有上述第(2)至第(7)种情259、形的,不需取得个人同意。本地化存储要求关键信息基础设施境内运营过程中产生的个人数据和重要数据实施数据本地化的要求。数据跨境传输规则属于关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,需就其向境外提供个人信息办理了网信部门组织的安全评估。属于经国家网信部门的规定经专业机构进行了个人信息保护认证即可出境的情形,需按照国家网信部门的规定经专业机构进行了个人信息保护认证。属于按照国家网信部门制定的标准合同与境外接收方订立合同即可出境的情形,需按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务。向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处260、理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项。该法的实施,旨在加强个人信息保护的法制保障,回应广大人民群众对于个人信息保护的关切和期待,确保个人信息安全,维护公民在网络空间的合法权益。069数据出境绝不仅仅是只关涉企业自身利益的企业行为,企业必须从国家安全、公共利益、个人信息主体权益保护等多重角度来监督和管理数据出境。对于需要进行数据出境的企业来说,需根据自身情况选择合法的数据出境合规路径,切不可因一时的利益追求置数据出境的合规安全于不顾。在国家数据安全层面,数据处理者未遵守数据交易安全的规定,擅自向境外提供重要数据,泄露涉及国家重要情报的数据,对国家安全带来潜261、在危害。这表明数据分类分级保护制度有待完善,需要加强对重要数据的保护。在企业数据安全层面,涉案企业均未及时落实数据安全保护义务,缺少数据安全风险评估和监测以及应急处置制度,系统存在重大数据安全隐患。但与此同时,对于企业“未履行数据安全保护义务”时,行政机关的处罚存在“类案不同罚”的情况,处罚结果轻至“责令改正”,重至“罚款15万”,如此可能会加重企业的合规负担。在个人数据安全层面,存在敏感数据违规收集以及数据泄漏风险的问题。数据处理者未履行数据安全保护义务、对敏感数据采取去标识化和加密措施等技术保护措施,导致平台数据泄漏或存在数据泄露风险。而一些平台以强制、诱导等恶意方式严重违法违规收集使用个262、人信息,侵害了公民的隐私权。数据安全行政处罚案例中,涉及到的数据安全主要包含国家数据安全、企业数据安全、以及个人数据安全这三类。数据安全法第31条规定:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用中华人民共和国网络安全法的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。2021年12月,上海某信息科技公司接受一境外公司委托,在对方规定的北京、上海等16个城市及相应高铁线路上,采集了我国铁路信号数据(包括物联网、蜂窝和高铁移动通信专网敏感信号等数据),并在数据采集设备上为该境263、外公司开通了远程登录端口,方便境外公司实时获取对应的测试数据。经鉴定,两家公司为境外公司搜集、提供的数据涉及铁路GSM-R敏感信号。GSM-R是高铁移动通信专网,直接用于高铁列车运行控制和行车调度指挥,是高铁的“千里眼、顺风耳”,承载着高铁运行管理和指挥调度等各种指令。境内公司的行为是数据安全法无线电管理条例等法律法规严令禁止的非法行为。相关数据被国家保密行政管理部门鉴定为情报。数据安全法第27条规定:开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。数据安全法第29条规定:开展数据处理活动应当加264、强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。3.11.3 中国数据出境法规重点梳理典型案例12023年3月,浙江温州公安网安部门在查处一起涉数据安全违法案件时,发现浙江某科技有限公司为浙江某县级市政府部门开发运维信息管理系统的过程中,在未经建设单位同意的情况下,将建设单位采集的敏感业务数据擅自上传至租用的公有云服务器上,且未采取安全保护措施,造成了严重的数据泄露。浙江温州公安机关根据数据安全法第45条,对公司及项目主管人员、直接责任人员分别作出罚款100万元、8万元、6万元的行政处罚。典型265、案例2070数据合规体系建设站在全球看全球数据安全与合规体系数据安全与合规嵌入研发流程071站在全球看全球4.1在全球化浪潮、经济低迷和激烈竞争的背景下,越来越多的中国企业将目光转向国际市场,寻求海外拓展的机遇。然而,国际化的道路并非一帆风顺,中国企业在这一过程中既面临严峻挑战,也拥有重要机遇。从外部环境来看,中国企业需要应对多重挑战以谋求经营的韧性。全球经济和市场环境的变化,使得企业在国际市场上面临着诸多不确定性,尤其是受“去中国化”和“中国+1”等产业链调整政策的影响,部分企业可能面临上游供应链的掣肘以及下游客户的流失。此外,国内市场竞争日益激烈,利润空间被大幅压缩,整体经济增长放缓,企业266、的生存和发展受到威胁。然而,在内部驱动方面,中国企业仍然可以借助自身优势实现高速增长。中国拥有丰富且完善的产业配套体系,并且在移动互联网、新能源等领域具有全球领先的竞争力。这些优势使得中国企业在发展中国家市场能够以相对较低的成本和更高的效率展开竞争,从而占据市场主导地位。在发达市场,中国企业也能够通过抢占价值链中更有利的环节,甚至实现技术和市场上的“弯道超车”。随着市场环境和竞争格局的变化,传统的出海策略已无法满足当前需求。企业必须制定新的出海战略和运营策略,以适应当下的国际环境,提升全球竞争力。为系统化解决企业出海过程中的各种难点和痛点,中国企业需要采用一体化的出海解决方案。该方案能够帮助企267、业全面规划和实施国际化战略,有效应对复杂的市场环境,提升竞争力,实现资源的高效配置,从而保障企业在全球市场中的成功和可持续发展。我们认为,要成为一个真正的全球化企业,必须构建全球化的业务布局和管理体系。这需要从以下四个方面入手:战略制定、业务布局、运营搭建和系统落地。通过这些方面的系统构建,企业可以全面提升全球化能力。接下来,我们将详细介绍一体化解决方案的具体内容。4.1.1 全球化框架企业全球化管理框架定战略布业务搭运营落系统全球化数字基座全球化业务运营策略全球化管控模式与运营架构海外人才治理全球化财税管理全球化数据管理全球化IT系统建设全球化营销&销售战略规划与落地全球化供应链战略规划与落268、地全球化产品&研发战略规划与落地全球化公司战略海外区域市场战略投融资战略全球化战略“站在全球看全球”聚焦全球化数据安全与合规管理体系0724.1.2 定战略从战略视角而言,出海已成为中国企业无法回避的课题,其中首要的是出海战略规划,需要解决“为何出、去哪儿、怎么出、怎么赢”等关键痛点。全球化战略的核心是为决策层提供清晰的方向,涵盖战略意图、市场环境、业务组合及高阶财务目标。为确保战略的有效制定和执行,企业应聚焦如下关键领域:企业在制定出海战略时,能够从全球市场的角度进行长远的规划和布局。这种视野不仅限于当前的市场机会,还包括对未来趋势、技术演变、竞争态势的洞察,以及对不同文化和市场环境的深刻理269、解。战略视野全球市场洞察:企业需要具备对全球市场的深刻理解,包括目标市场的经济环境、政治形势、文化差异、法律法规、消费者行为等。这种洞察力能够帮助企业识别哪些市场具有潜力,哪些市场可能存在风险,理解和尊重当地文化、风俗和商业惯例,以实现市场的成功进入和持续发展。前瞻性规划:企业应能够超越短期利益,制定长期的全球化战略。通过战略规划明确国际化愿景、战略目标、市场组合、竞争优势和客户策略,企业可以在全球市场中找到自己的定位。通过海外布局开展市场潜力、进入难度和影响力的评估,企业可以选择和优先开发重点市场,明确资源投入、业务打法。4.1.3 布业务从业务视角来看,随着企业出海低成本优势逐渐消失,传统270、的价格战策略和国内成功经验的简单复制在海外市场难以为继。对海外市场特点和用户需求的洞察不足,使得业务开展和运营困难重重。此外,面对多个海外市场时,企业缺乏明确的重点,策略均一化、投资分散化,既未能发挥区域规模化的协同效应,也无法满足各市场的个性化需求,严重影响了全球竞争力的提升。全球化业务布局核心是为决策层提供营销与销售、供应链和产品研发的全局视角与综合方案,确保公司在全球市场中的业务决策更加精准有效,为此企业应聚焦如下关键领域:企业在全球化过程中,将营销与销售、供应链、产品与研发等各个环节紧密结合,以实现全方位的业务协同。这种融合不仅包括内部各部门之间的协作,还包括企业与外部合作伙伴之间的深271、度协作。通过整合全球资源,企业可以更好地适应不同市场的需求,提升供应链的效率与灵活性,以及加快产品研发周期,从而在全球范围内保持竞争优势。深度融合营销与销售:企业需要整合全球市场的营销和销售资源,确保品牌定位和市场策略的一致性,同时针对不同区域进行本地化调整,以满足当地市场的特殊需求。通过构建全球销服一体化业务设计,实现品牌商与区域市场经销商,服务商之间的业务规范,通过流程体系和数据的打通和协同,为终端客户提供更为个性化的服务体验,提升品牌海外影响力。供应链管理:企业需要以集成供应链计划为主线,重塑供应链管理体系,优化全球供应链布局,构建系统平台一体化联动供应链各业务计划的制定和调整,并通过数272、据共享和实时监控,实现供应链的可视化管理,提高响应速度和成本效率,提高供应链服务水平。产品研发:为了在全球市场中保持竞争力,企业需要将全球研发资源进行有效整合,并通过全生命周期管理支持产品研发。通过全球各地研发团队的协同合作,企业可以加速创新过程,开发出符合全球市场需求的产品。进一步拓展本土化产品时,企业需要深入理解全球及各区域市场的用户需求并进行优先级排序,再针对不同区域市场进行本地化产品开发和适应。国际化战略是一个需要长期投入、坚定不移的长期建设过程,并动态纠偏,构建科学的战略规划,在面对全球市场的复杂性和不确定性时,能够保持坚定的战略执行力和稳健的应对能力。这包括企业出海短期内出现市场波273、动、法规变化也要按照既定战略执行的坚持力、抗压力,以及当外部环境发生重大变化时,企业能够快速调整策略并落地执行的变通力。通过以上能力建设,全球化公司战略的制定和实施变得更加清晰和具体,有助于领导者更好地理解并推动战略的执行,在全球市场中实现稳步发展,增强竞争力和可持续发展能力。国际化战略的实施是一个动态且持续的过程,它要求企业不断学习和适应新的市场环境,更好地规划和执行其国际化战略,实现在全球市场上的成功和持续增长。战略定力073企业通过与产业链上下游公司结成战略合作伙伴关系,共同拓展国际市场,提升整个产业在全球的领先地位和综合布局,促进产业链上的企业在国际市场上协同发展,形成竞争优势和协同效274、应。通过共享资源,提升产业链整体能力、分担海外不确定性风险,并在海外市场中形成更强的竞争力。通过以上能力建设,全球化公司业务布局的制定和实施变得更加清晰和具体,企业可以实现全球市场的资源整合、业务风险的分散、市场份额的扩大以及品牌的国际化提升,从而在激烈的国际竞争中获得持续的增长和长期的竞争优势。产业抱团4.1.4 搭运营从运营视角来看,中国企业在出海过程中面临诸多挑战。首先,总部与海外分支机构之间的管控模式不清晰,导致各市场各自为政,形成了大量个性化的业务场景、流程和管理方法,极大地增加了管理复杂度。其次,企业在海外拓展时往往侧重于业务扩展和人员外派,而忽视了运营体系的建设和国际化人才梯队的275、发展,这使得企业在全球运营中缺乏统一的标准和有力的支撑。最后,随着地缘政治和政策因素的影响日益加剧,企业由于对海外市场在财税、数据安全等领域的法律法规和政策走向缺乏深入了解,面临着较高的业务合规风险。这些问题共同导致企业在全球化进程中运营效率低下,风险增加,影响了企业的国际化发展进程。全球化公司运营战略的核心是为决策层提供全面的运营效率提升方案、资源配置优化建议,为此企业应聚焦如下关键领域:企业应通过建立一套标准化的全球运营框架,同时赋予各地业务一定的自主权,以灵活应对本地市场的变化。这种双轨制的运营模式不仅能够保持全球统一标准,还能够充分发挥本地市场的优势,从而提升整体运营效率和市场响应能力276、。标准化与本地化管控模式与运营架构:企业需要建立统一的管控模式和运营架构,以确保全球各地业务的一致性和协同性,包括制定全球化组织架构、海外组织的管控与分权,全球统一的管理流程、技术标准和运营规范。但企业也必须考虑到各个市场的独特需求和运营环境,在制定运营架构时赋予各地业务单元一定的自主权,允许其根据当地市场的实际情况进行调整。海外人才治理:全球化企业需要建立标准化的海外人才治理体系,以确保全球范围内的人才管理符合企业的整体战略,包括统一的招聘流程、绩效评估体系以及培训与人才梯队发展计划。但为了吸引和留住当地人才,企业需要制定符合当地市场的薪酬福利体系和职业发展路径,并积极推动跨文化管理,增强总277、部与各地团队之间的沟通与协作,以减少文化冲突和误解。全球化财税管理:企业为满足运营合规、财务稳健和税务优化目标,应开展全球核算体系标准化,建立全球资金管理体系管控资金风险,提升资金利率效率,建设财务共享中心将人力成本和技能组合提升财务运营效率,考虑到各国的税收政策、会计准则和法规存在差异,企业必须根据当地法律法规进行调整,在确保全球业务的合规基础上,优化税务和财务管理,以支持企业的长期可持续发展。合规性是企业持续发展的基础。随着地缘政治的复杂化和各国政策环境的多变性,企业面临着越来越多的合规挑战。坚守合规底线要求企业必须严格遵守各地的法律法规,特别是在财税、数据安全、劳动法和环境保护等关键领域278、。通过以上能力建设措施,全球化公司运营策略的制定和实施变得更加清晰和具体,有助于领导者更好地理解并推动运营策略的执行,企业能够有效提升全球运营的效率和适应性,增强竞争力和可持续发展能力。坚守合规底线0744.1.5 建系统从数字化基座而言,许多中国企业在海外扩展过程中,未能提前规划数字化的管控模式、架构设计和部署方式,而是随着业务需求的变化自由建设。这种缺乏前瞻性规划的做法,往往导致企业在业务发展到一定阶段后,发现架构问题已积重难返,不得不付出高昂的代价进行改造和整合。此外,许多企业对海外市场的数字化技术和工具应用了解不足,导致数字化体系和架构滞后于业务发展的实际需求,进而阻碍了企业的业务拓展279、和运营效率。全球化公司数字化基座的核心是为决策层提供实时、精准的数据支持与分析工具,帮助他们在全球范围内做出明智的战略决策,通过构建一个高度集成和灵活的数字化平台,企业可以实现全球运营的统一管控、资源的高效配置以及市场变化的快速响应。为确保数字基座的有效规划和执行,企业需聚焦如下关键领域:在构建中国企业出海的数字化基座时,企业需要确保数字化基座的设计与公司整体发展战略紧密对接。顶层设计不仅要考虑企业当前的国际化需求,还要具有前瞻性,支持未来的业务扩展和技术创新。此外,顶层设计还需要明确数字化基座的总体架构规划,制定统一的技术标准、数据标准和安全。顶层设计全球化数据管理:作为系统落地的基础,主要280、从数据治理、数据质量管理、数据安全合规、数据架构与技术架构、数据全生命周期管理等方面进行体系化建设,确保企业能够在全球范围内有效地管理和利用数据,支持业务运营、提升竞争力,并确保遵守全球和本地的数据法规。在这一过程中,数据安全和合规至关重要。企业必须确保在全球范围内的数据管理过程中,始终优先考虑数据安全,严格遵守各国和地区的数据法规与合规要求。这不仅是为了保护企业和用户的敏感信息,也是为了避免法律风险,确保企业能够在全球范围内稳健运营。全球化IT系统建设:为了支持企业在不同国家和地区的业务运营,确保系统的可靠性、可扩展性、安全性以及全球各地的无缝协作,通常从IT架构设计、基础设施布局、网络与通281、信、应用与服务管理、运维与支持等方面系统化地设计和实施IT建设框架,企业能够确保其全球业务在不同国家和地区都能高效、稳定、安全合规地运营,并且通过模块化设计和云技术来增强系统的弹性和适应未来技术变革的能力,灵活应对未来挑战的能力。企业需要通过安全的混合云的架构,建设开放的互联互通的企业生态,借助标准化的智能流程和用户体验实现业务敏捷,借助AI来促进创新与突破。科技赋能通过以上能力建设措施,中国企业可以构建一个强大而灵活的全球数字化基座,这一基座不仅能够支持企业在全球市场中的复杂运营,还能通过技术创新和数据驱动的决策,支持企业全球化运营的复杂需求,还为企业在国际市场中实现敏捷业务运营和持续创新提282、供了强有力的技术保障。安全与合规保障:科技赋能还需高度关注数据安全和合规性。企业必须部署先进的网络安全技术,如数据加密、身份验证、多因素认证等,来保护全球范围内的数据安全。同时,数字化基座必须符合各地的数据保护法律法规,以避免法律风险。安全的混合云架构:企业在全球化过程中,需要构建一个安全的混合云架构,以支持不同市场的业务需求。混合云架构结合了公有云和私有云的优势,既能够提供灵活的资源调度和全球化的业务覆盖,又能够满足各地数据主权和安全合规的要求。通过混合云架构,企业可以实现IT资源的弹性扩展,快速响应业务变化,同时保障敏感数据的安全性。先进技术应用:在数字化基座的建设中,科技赋能是提升系统能283、力和业务敏捷性的关键。通过AI技术,企业可以在多个领域实现智能化的转型,如智能客服、精准营销、供应链优化、产品推荐和风险管理等。AI还可以通过大数据分析和机器学习模型,帮助企业更好地理解全球市场趋势、预测客户需求,从而做出更加精准的战略决策。生态开放:为了支持全球业务的协同和扩展,企业需要建设一个开放的互联互通的企业生态系统,包括建立开放合作平台、开放API接口,支持与合作伙伴、客户和供应商的系统集成,实现数据和业务流程的无缝衔接。075在当今全球化日益加深的经济环境中,各行各业都面临着前所未有的机遇与挑战,将目光投向海外市场,以实现业务的跨越式增长。在这一浪潮中,企业出海已不再是少数大型企业284、的个体行为,而是成为了众多企业转型升级、实现跨越式发展的必经之路,数据安全与合规成为了不可或缺的关键要素。数据安全与合规体系4.2企业出海已成为众多企业寻求新增长点、实现国际化战略的重要途径。然而,随着企业逐步深入全球市场,面临的安全与合规挑战也随之增加。为了更好地把握企业出海的脉搏,需要明确企业出海的数据现状概览,首先需要梳理企业出海的典型业务场景,从而明确企业出海过程中需要重点关注的数据对象,进而绘制企业出海的数据流转地图,满足企业出海的分类分级要求,规避风险,稳健前行。4.2.1 企业出海数据现状概览在深入梳理企业典型的出海业务场景时,我们需从企业战略、业务布局、运营搭建、系统落地的关键285、步骤出发,细致考察其全球化进程的每一步,全面分析企业的出海活动,并基于企业的出海活动识别数据出境的业务场景。通过这样系统性的分析框架,我们能够更加精准地识别出数据出境这一关键环节在不同业务场景下的具体需求,以下是企业出海的典型业务场景:企业出海典型业务场景企业出海典型业务场景一览表境外资本市场活动IPO、兼并收购跨境业务活动 跨国企业管理活动境外第三方服务营销与销售产品与研发供应链管理渠道管理客户管理供应商管理采购管理人事管理财务管理档案管理 海外部署IPO披露、兼并收购披露等产品研发、技术研发、医学研究等潜客维护、客户签约、售后服务等供应商评估、供应商选择等采购合同签订、采购订单跟进等员工招286、聘、薪酬绩效考核、期权管理等员工费用报销、个人薪资发放、税收申报等档案存储与共享、档案销毁与处置等数据中心运营部署、应用系统运营部署等渠道合作伙伴选择与谈判、渠道运营支持、渠道冲突解决与关系维护等市场调研、品牌推广、市场营销、公共关系管理等订单调度、仓库发货、配送路线规划、物流运输等落系统搭运营布业务定战略企业出海步骤数据出境业务场景说明数据出境业务场景企业出海活动076企业出海的业务场景丰富多元,每一个细分领域都蕴含着巨大的市场潜力。伴随着这些业务场景的深化与拓展,海量数据应运而生,包含了市场趋势、消费者行为、产品性能等关键商业信息,通过深入挖掘与分析,能够为企业精准定位市场、优化产品服务、287、制定高效运营策略提供强有力的支持,从而助力企业在激烈的国际竞争中脱颖而出。值得注意的是,诸多的业务场景中均涉及到个人信息。不同国家对于个人信息保护、隐私安全及跨境流动的法律法规存在显著差异。因此,企业在出海过程中,必须高度重视并严格遵守属地及目标市场的相关法律法规,确保数据处理与流转的合规性。这要求企业深入了解并适应不同国家的监管要求,确保在拓展业务的同时,有效保护数据安全和用户隐私。具体国家的法律法规概述、合规重点梳理(监管机构、数据本地存储、数据跨境、个人数据保护)及违规处罚案例详见第三章各国家地区数据合规法规概览。为了更直观的展示如何在业务场景中识别关键数据类型,以中国为例,分析其数据安288、全与合规方面重点关注的重要数据及个人信息。企业出海关键数据类型重要数据:重要数据监管是国家数据安全分类分级制度的核心,也是国家数据安全工作的重点。2021年9月1日,数据安全法实施,首次真正意义上明确了重要数据的内涵,提出了制定重要数据具体目录的要求。2021年11月14日,国家互联网信息办对网络数据安全管理条例公开征求意见,专门设立了“重要数据安全”章节,提出了重要数据的定义,并设立了一系列重要数据安全监管制度,是我国系统性建立重要数据保护制度的标志。全国网络安全标准化技术委员会在2024年3月15日发布数据安全技术 数据分类分级规则附录G(规范性)重要数据识别指南进一步详细指导重要数据的识289、别工作。个人信息与敏感个人信息:2021年8月20日,十三届全国人大常委会第三十次会议表决通过中华人民共和国个人信息保护法,规范了个人信息与敏感个人信息的定义,着重强调了个人信息与敏感个人信息的处理原则及保护义务。在探讨数据安全与合规议题时,明确区分“个人信息”与“敏感个人信息”显得尤为重要,这不仅关乎不同的法律法规要求,也是意味着采取不同的数据出境路径。2020年3月6日,中华人民共和国国家市场监督管理总局、中国国家标准化管理委员会发布信息安全技术个人信息安全规范(GB/T 35273-2020)进一步详细指导个人信息的识别工作。2024年6月11日,全国网络安全标准化技术委员会发布了网络安290、全标准实践指南敏感个人信息识别指南(征求意见稿)指导个人信息处理者识别敏感个人信息,规范敏感个人信息处理、出境和保护活动。基于上述重要数据、个人信息及敏感个人信息识别方法作为指导,企业可以系统地梳理在跨国出境业务场景中可能涉及的重要数据、个人信息及敏感个人信息。这一过程不仅要求深入分析出境场景的具体环节,还需要细致梳理具体环节涉及的具体数据内容,以确保重要数据、个人信息及敏感个人信息识别的全面性和准确性。077支撑关键基础设施所在行业、领域核心业务运行或重要经济领域生产的数据等1.反映国家科技创新重大成果;描述我国禁止出口限制出口物项的设计原理、工艺流程、制作方法等信息;源代码、集成电路布图、291、技术方案、重要参数、实验数据、测试报告等2.未公开的科学考察、开发利用数据和影响人员安全进出的数据等3.重要生物资源数据;微生物耐药基础研究数据等4.健康医疗资源数据、批量人口的诊疗与健康管理数据、疾控防疫数据、健康救援保障数据、特定药品实验数据,食品安全溯源标识信息等【非敏感】个人基本资料、个人身份信息、个人 财产信息、个人通信信息等【敏感】金融账户信息等N/A【非敏感】个人基本资料、个人身份信息、个人 通信信息等【非敏感】个人基本资料、个人教育信息、个人 通信信息等 危化品制作工艺、危化品储备地点等政府或军工单位客户清单等【非敏感】个人基本资料、个人身份信息、个人通信信息等N/AN/AN/292、AN/A【非敏感】个人基本资料、个人身份信息、个人通信信息等【非敏感】个人基本资料、个人身份信息、个人 财产信息、个人通信信息等【敏感】金融账户信息等【非敏感】个人基本资料、个人身份信息、个人 财产信息、个人通信信息等【敏感】金融账户信息等未公开的产品和服务采购情况等【非敏感】个人基本资料、个人通信信息等【敏感】金融账户信息等【非敏感】个人基本资料、个人身份信息、个人 财产信息、个人通信信息等【敏感】金融账户信息、行踪轨迹信息等未公开的统计数据、重点企业商业秘密【非敏感】个人基本资料、个人身份信息、个人 财产信息、个人通信信息等反映关键信息基础设施系统配置信息、核心软件硬件设计信息、系统拓扑、293、应急源、测评、监测、审计等情况的数据等【非敏感】个人上网记录、个人常用设备信息等IPO、兼并收购营销与销售产品与研发供应链管理渠道管理客户管理供应商管理采购管理财务管理档案管理海外部署人事管理【非敏感】个人基本资料、个人身份信息、个人 健康生理信息、个人教育工作信息、个人财产信 息、个人通信信息、联系人信息等【敏感】医疗健康信息、金融账户信息、行踪轨 迹信息等数据出境业务场景业务场景说明重要数据识别个人信息识别IPO披露、兼并收购披露等市场调研、品牌推广、市场营销、公共关系管理等产品研发、技术研发、医学研究等订单调度、仓库发货、配送路线规划、物流运输等渠道合作伙伴选择与谈判、渠道运营支持、渠道294、冲突解决与关系维护等潜客维护、客户签约、售后服务等供应商评估、供应商选择等采购合同签订、采购订单跟进等员工招聘、薪酬绩效考核、期权管理等档案存储与共享、档案销毁与处置等数据中心运营部署、应用系统运营部署等员工费用报销、个人薪资发放、税收申报等企业出海典型业务场景数据类型识别表078中国企业出海过程中,加强数据分类分级工作是构建全面数据合规体系的基础,也是保障企业国际化战略顺利推进的重要一环。通过精细化的数据分类分级管理,企业能够有效提升数据安全防护能力,降低合规风险,为国际化发展奠定坚实基础。2016年11月7日,第十二届全国人民代表大会常务委员会第二十四次会议通过中华人民共和国网络安全法,明295、确规定“国家建立数据分类分级保护制度”,并要求对数据实行分类分级保护。2024年3月15日,全国网络安全标准化技术委员会发布GB/T43697-2024数据安全技术数据分类分级规则,规定了数据分类分级的原则、框架、方法和流程,给出了重要数据识别指南,指导数据分类分级工作有效开展。企业出海数据分类分级数据分类:按照明确数据范围、细化业务分类、业务属性分类、确定分类规则的“四步法”开展数据分类工作。数据按照先行业领域分类,再业务属性分类的思路进行分类。按照行业领域,将数据分为工业数据、电信数据、金融数据、能源数据、交通运输数据、自然资源数据、卫生健康数据、教育数据、科学数据等;再根据本行业本领域业296、务属性,对本行业领域数据进行细化分类,如涉及法律法规有专门管理要求的数据类别(如个人信息等),应按照有关规定和标准进行识别和分类。数据分级:按照确定分级对象、分级要素识别、数据影响分析、综合确定级别的“四步法”开展数据分级工作。数据级别一般根据重要程度和危害程度两个维度判断,重要程度是指数据在经济社会发展中的重要程度;危害程度是指一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益造成的危害程度。2024年3月22日,国家互联网信息办公室发布数据安全出境安全评估申报指南(第二版)和个人信息出境标准合同备案指南(第二版),两份指南297、均清晰明确的分解了“数据出境”行为,包含企业出海数据流转地图数据处理者将在境内运营中收集和产生的数据传输至境外;数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;符合个人信息保护法第三条第二款情形,在境外处理境内自然人个人信息等其他数据处理活动。因此,企业开展数据跨境活动时应重点关注下述主要数据传输路径:境内主体通过软件或硬件介质将数据传输至境外,软件介质包括电子邮件、即时通讯软件、FTP、跨境搭建的VPN、API等传输信道等,硬件介质包括U盘、硬盘、刻录数据的光盘、存储条、装载数据的笔记本电脑等;境内主体通过服务器位于海外的信息系统、软件平台存储和上传298、数据,例如企业使用的信息系统、软件平台或数据库的服务器或云端部署在境外;境内主体经由第三方向境外传输数据,例如境外主体委托境内或境外第三方供应商代为收集境内数据;境外访问部署于境内的服务器/数据库/信息系统/网页,例如境外主体可以在境外对存储于境内的数据进行访问、调取、下载、导出;境外主体数据回传境内。基于上述主要数据传输路径作为参考,绘制详细的数据流转地图,需要涵盖数据类型、处理活动、处理位置、传输路径等具体内容,更直观地反映数据在国家地区、业务层面和系统层面的流动情况。以下是绘制数据流转地图时应重点关注要素:数据类型梳理:明确数据的具体内容及数量级,重点关注重要数据、个人信息及敏感个人信息299、;数据处理活动:记录数据在流转过程中经历的各类处理活动,如数据采集、存储、加工、传输、删除等。同时,需要标注数据处理的目的和依据的法律条款;数据处理位置:明确数据处理的位置,包括物理位置(所在国家或地区位置)和虚拟位置(云服务供应商数据中心所在位置);数据传输路径:详细描绘数据传输的整个过程,包括数据在境内外的传输路径,以及数据在不同系统、服务器或云平台之间的传输。079不同行业在开展数据分类分级工作时,除了遵循通用的数据分类分级法律法规以及国家标准外,还应特别遵循各行业的法律法规及标准,行业法律法规及标准通常更加细致和具体,能够针对行业的特殊性和业务需求提供更有针对性的指导,以确保数据能够得300、到有效保护、合理利用和合规处理。影响对象和影响程度参考表影响对象影响对象示例特别严重危害严重危害一般危害国家安全直接影响政治安全关系其他国家安全重点领域直接危害国家安全影响国家政治、国土、军事、经济、文化、社会、科技、电磁空间、网络、生态、资源、核、海外利益、太空、极地、深海、生物、人工智能等国家利益安全影响市场经济运行秩序、宏观经济形势、国民经济命脉、行业领域产业发展等经济运行机制影响社会治安和公共安全、社会日常生活秩序、民生福祉、法治和伦理道德等社会秩序 直接危害宏观经济运行,或对行业领域或地区的经济发展造成严重危害如果影响大规模的个人或组织权益,需要同时研判会否会对国家安全、经济运行、社301、会秩序或公共利益造成影响及影响程度经济运行关系国民经济命脉社会稳定关系重要民生直接危害社会稳定影响社会公众使用公共服务、公共设施、公共资源或影响公共健康安全等公共利益组织权益:影响组织自身或其他组织的生产运营、声誉形象、公信力、知识产权等组织权益个人权益:影响自然人的人身权、财产权、隐私权、个人信息权益等个人权益。公共利益关系重大公共利益组织&个人权益直接危害公共健康和安全影响程度行业发布时间发布机构文件名称主要内容金融行业汽车行业2018年中国证券监督管理委员会证券期货业数据分类分级指引(JR/T 0158-2018)明确根据数据泄露或损坏造成的影响将数据分为不同级别,为证券期货业的数据安全302、提供分级方法2020年中国人民银行金融数据安全分级指南(JR/T 01972020)明确金融数据安全分级的目标、原则和范围,以及数据安全定级的要素、规则和定级过程,指导金融业机构开展数据安全分级工作,以及第三方评估机构等参考开展数据安全检查与评估工作,建立数据分类分级标准2023年国家市场监督管理总局和国家标准化管理委员会证券期货业数据安全风险防控 数据分类分级指引(GB/T 42775-2023)为证券期货行业机构提供一种规范的数据分类、分级方法,指导机构有效甄别数据类型,依据数据重要性或敏感度确定数据级别,从而对不同类别、等级的数据有针对性地采取适当、合理的管理措施和安全风险防控措施202303、4年国家金融监督管理总局银行保险机构数据安全管理办 法(征求意见稿)明确要求银行保险机构制定数据分类分级保护制度,建立数据目录和分类分级规范,动态管理和维护数据目录,并采取差异化的安全保护措施2020年工信部车联网用户个人信息保护要求(YD/T3746-2020)明确车联网信息服务用户个人信息保护的信息内容分类、敏感性分级和分级保护要求,适用于车联网相关的汽车厂商、零部件和元器件供应商、软件提供商、数据内容提供商和服务提供商等在提供服务过程中的用户个人信息保护2020年工信部车联网数据安全技术要求(YD/T3751-2020)明确对车联网信息服务数据进行了分类分级,将数据划分为不同的敏感性等级304、,并按照等级的不同实施相应的安全保护措施,规定了数据生命周期内的安全保护要求行业法律法规及标准梳理表080制造行业2020年工信部工业数据分类分级指南(试行)通信行业医疗行业互联网行业传媒行业2022年国家市场监督管理总局和国家标准化管理委员会 智能制造工业数据分类原则(GB/T 42128-2022)2022年工信部工业和信息化领域数据安全管 理办法(试行)2020年国家市场监督管理总局和国家标准化管理委员会信息安全技术 健康医疗数据安 全指南(GB/T 39725-2020)2023年国家卫生健康委员会卫生健康信息数据集分类和编码 规则2021年全国信息安全标准化技术委员会秘书处 网络安全305、标准实践指南-网络数 据分类分级指引 2023年工信部电信网和互联网数据分类分级 技术要求与测试方法(YD/T 4244-2023)2022年中国市场信息调查业协会媒体大数据分类分级指南(T/CAMIR 003-2022)航空行业2022年民航局民航领域数据分类分级办法航洋行业2023年中国自然资源部海洋数据分类分级标准(HY/T 0366-2023)2014年中华人民共和国工业和信息化部电信和互联网服务 用户个人信 息保护 定义及分类 2020年工业和信息化部基础电信企业数据分类分级方法(YD/T 3813-2020)2022年中国信息产业商会数据技术 数据 数据资源分类分 级指南(T/CI306、ITA 409-2022)2023年工信部电信网和互联网数据分类分级 技术要求与测试方法(YD/T 4244-2023)指导企业全面梳理自身工业数据,提升数据分级管理能力,促进数据充分使用、全局流动和有序共享明确智能制造工业数据的分类要求、分类依据以及分类维度,适用于指导智能制造领域工业数据分类明确工业和信息化领域数据分类分级、重要数据和核心数据识别认定、数据分级防护等标准规范,指导开展数据分类分级管理工作,制定行业重要数据和核心数据具体目录并实施动态管理明确数据资源分类分级总则、分类分级方法、分级管控措施以及分类分级的实施流程,适用于数据要素金库的设计、建设和运行过程中,对数据资源的分类分级307、进行管理,也可以为政府、组织和企业在开放和共享本单位数据资源时,构建科学合理的分类分级体系提供指导明确电信网和互联网数据在分类分级过程中所需技术的相关要求和对应的测试方法,适用于企业、组织或机构在实施数据分类分级过程中对相关技术工具或产品的设计、开发、测试、评估明确数据分类范围、数据分级方法及数据安全管理原则,以信息安全为出发点,对健康医疗数据进行分类分级,促进信息开发利用明确卫生健康信息数据集分类与编码需遵循的基本原则、技术方法以及应用规则,适用于卫生健康领域各类卫生健康信息数据集分类与编码方案的制定明确网络数据分类分级的原则、框架和方法,可用于指导数据处理者开展数据分类分级工作,也可为主管308、监管部门进行数据分类分级管理提供参考明确电信网和互联网数据在分类分级过程中所需技术的相关要求和对应的测试方法,适用于企业、组织或机构在实施数据分类分级过程中对相关技术工具或产品的设计、开发、测试、评估明确媒体大数据分类分级原则、媒体大数据分类和媒体大数据分级的建议,适用于指导媒体大数据活动中的分类分级旨在规范民航数据的收集、存储、使用、加工、传输、提供、公开等活动,保障数据安全,促进数据共享,激发数据价值,提升行业治理能力和服务水平明确海洋数据资源的分类分级原则,给出了海洋数据的分类,描述了相应的分级方法,适用于海洋数据采集、处理、存储、交换以及海洋信息系统建设等工作明确用户个人信息保护的术语309、和定义、保护范围、信息内容和分类,初步提出了用户个人信息分类的方法进一步提出了数据分类分级的具体方法和要求,有助于电信企业更好地开展数据安全管理工作081为了满足企业出海的安全与合规要求并推动安全与合规要求有效落地,企业需要从管理组织、制度流程、技术体系、运营体系等方面的全面布局,系统化地建立数据安全与合规体系。数据安全与合规体系数据安全合规管理组织组织架构与治理模式合规组织人员意识关键人员人员安全岗位职责人员技能数据安全合规管理制度&流程记录表单细则指南手册规范程序管理办法方针策略数据安全合规运营体系数据安全合规风险评估第三方数据安全合规管理数据泄露实践管理数据合规审计监管沟通数据主体权利响310、应数据安全合规技术体系技术需求针对核心数据、重要数据、一般数据合规要求梳理收集传输存储使用删除技术支撑数据安全合规管理工具I:识别P:防护D:检测R:响应R:恢复APP合规评估数据主体授权管理Cookie授权管理数据资产分级与打标操作审计数据跨境流量分析数据库审计数据安全事件监控数据脱敏与匿名化数据水印数据防泄漏身份认证与访问控制密码服务隐私计算平台数据安全事件溯源数据安全事件处置数据主体响应管理数据备份容灾数据删除数据留存数据安全合规管理系统数据合规基线管理数据处理活动管理数据合规评估管理数据主体权利管理数据合规风险监测管理数据安全合规管理目标、原则082中国企业在海外拓展业务时,构建数据合311、规的跨境组织结构至关重要。这需要在满足中国本地法规的同时,与境外分支机构建立紧密的联系,确保两者之间的有效协同与沟通,满足多地域合规要求。数据安全合规全球组织4.2.2 全球化数据合规管理组织决策层:企业可结合实际设立合规委员会,作为企业合规管理体系的最高负责机构。合规委员会一般应履行合规职责包含:确认合规管理战略,明确合规管理目标;建立和完善企业合规管理体系,审批合规管理制度、程序和重大合规风险管理方案;听取合规管理工作汇报,指导、监督、评价合规管理工作。管理层:管理层应分配充足的资源建立、制定、实施、评价、维护和改进合规管理体系。在组织架构中发挥承上启下的重要作用,负责做好数据合规全面落地312、工作,是公司内开展数据合规工作最核心的部分,在资源不足的情况下,部分工作可能需要联合组织外部的专业团队来共同完成。其主要职责包含但不限于:基于决策层给出的合规策略,对数据合规实际工作制定详细方案;制定与各部门之间的数据合规工作机制,保障数据合规工作顺利开展,协调落实数据安全管理运作机制等。执行层:各执行部门以及境外分支机构与管理层在数据合规管理工作中需要建立一种协同紧密的关系,其职责主要是聚焦每一个数据合规管控的场景,逐一实现设定的安全合规流程,落实流程中的合规管控点。执行层主要包括负责数据合规的专职人员和各业务部门的数据合规接口人员、风险管理人员、数据所有者、数据使用者等,其主要工作包含但不313、限于:识别归口管理领域的合规要求,改进合规管理措施,执行合规管理制度和程序,收集合规风险信息,落实相关工作要求等。监督层:监督层应当确保独立性,监督层人员通常由企业审计部门成员组成,负责进行内部审计,或委托独立的第三方外部审计对数据合规管理工作开展审查监督,并对已发现的数据合规管理工作的缺失或不足提出改进建议。主要职责为审查监督各项数据合规方针、制度与规范、指南与细则的执行情况。在发展改革委、外交部、商务部等部门共同制定的企业境外经营合规管理指引文件中,明确给出了在中国企业在开展境外经营时,对于合规管理架构的建议。结合实际经验,在构建数据合规组织时,可以采取分层管理的策略,在决策、管理、执行、314、监督四个层级上划分相应的合规管理责任。在实际执行过程中,企业也可利用现有资源,赋予已有团队与其它相关部门数据合规的工作职能,或通过第三方专业团队开展工作。数据安全合规组织数据安全合规组织架构图合规管理负责人可以由法律负责人或风险控制负责人担任 决策层管理层合规管理委员会外部监管机构执行层监督层*业务部门一道防线合规管理牵头部门二道防线*业务部门应包括所有涉及数据处理活动的部门内审部门/纪检监察部门三道防线083数据合规关键人员中国总部关键人员数据安全责任人:根据中华人民共和国数据安全法以及相关法律法规的要求,对于以经营为目的收集重要数据或个人敏感信息的网络运营者应当设立数据安全负责人,并非所有315、企业都需设置该角色。数据安全负责人应当具备数据安全专业知识和相关管理工作经历,由数据处理者决策层成员承担,并且有权直接向网信部门和主管、监管部门反映数据安全情况。个人信息保护负责人:根据中华人民共和国个人信息保护法第52条规定,处理个人信息达到国家网信部门规定数量的个人信息处理者应当设立个人信息保护负责人,但“国家网信部门规定数量”目前尚未明确。考虑到合规风险,建议企业设立个人信息保护负责人以满足合规要求。个人信息保护责任人主要负责对个人信息处理活动以及采取的保护措施等进行监督。同时,法律要求个人信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个316、人信息保护职责的部门。在实务中,数据安全负责人与个人信息保护负责人的工作职责存在一定的交叉和重合,“数据安全”和“个人信息保护”概念存在包含、重叠的关系,企业在权衡合规成本等多重因素后,可以考虑选拔一名具备相应资质的员工,使其同时担任两个关键职位。境外分支机构关键人员数据保护官(DPO):根据出海目标国家/地区的法律要求,应设置境外分支机构DPO。在实践过程中,若该国家/地区境外分支机构确定无需设立 DPO,公司可以选择在有此要求的不同司法管辖区内任命一名或多名 DPO为无需设立 DPO的分支机构提供合规指导。境外分支机构关键人员DPO被任命的数据保护官应理解并掌握理解并掌握当地数据保护法律和317、实务熟悉企业业务环节、组织架构、制度流程执行的数据处理活动和信息系统数据数据控制者对数据保护的需求、行政规则和公司流程等内容资质职责告知控制者或处埋者及处理数据的员工所承担的义务并提供建议监督合规情况(培训、审计)对草拟的数据保护影响评估提出建议配合监管机构,作为监管机构的联络人建议控制者在数据处理过程中注意处理操作的风险数据保护官应被提供以下支持数据保护官可以以适当方式及时参与所有涉及个人数据保护事宜必要的资源及查阅隐私数据、进行处理操作及保持其专业知识的途径可直接向数据控制者或数据处理者的最高管理层进行汇报地位公司应确保数据保护官工作的独立性确保不能对数据保护官的任务进行任何指导指示其如何318、履行职责确保数据保护官不会因履行职责而被解雇或受处罚确保数据保护官履行的其他职责不会号致利益冲突保障084数据安全合规工作不应仅由数据合规管理团队独立承担,企业应当树立全员参与的安全合规文化,将数据安全合规视为每个部门、每位员工的共同责任。建议企业对安全合规任务进行细致的拆解后,利用RASI模型,如下图所示,明确每个部门的职责所在,并进一步将这些职责落实到具体的岗位职责中,形成数据安全合规职责矩阵。这样,从顶层设计到日常操作,每个环节都能够体现对安全合规的重视,确保企业在各个层面上都能够达到法律法规的要求,构建起一张严密的数据安全合规网络。通过这种自上而下、由内而外的整合,企业能够更有效地管理319、和降低运营风险,保障企业的可持续发展。数据安全合规职责矩阵RASI模型图Accountable批准者完成最终决策Informed知情者在决策定案后须被告知决定在决策定案或行动完成后必须被告知的人员;为单项沟通模式Support支持者为任务提供支持或资源的人可能提供专业知识、工具或其他形式的支持,以帮助任务的完成负最终责任者,拥有最终决定权每一项任务活动的决策只有一个AResponsible责任者实际完成工作任务或活动实际工作任务完成者其任务可以由多人分工RASI085数据安全合规培训和教育是构建安全、可靠工作环境的基石,对公司和个人都具有长远的影响。通过人员培训和教育有助于提升公司员工个人对数320、据保护法规和公司政策的理解,且增强了他们识别和预防数据违规行为的能力,从事数据安全合规的人员能够更好地保护公司免受数据泄露和不当使用的风险,从而维护公司的声誉和客户信任。此外,安全合规教育还有助于确保业务流程的顺畅和法律遵从性,避免因违规而产生的潜在罚款和法律诉讼。结合NIST SP 800-50的建议以及实践中的需求,对人员的培养建议分为意识、培训、教育三种类别,三种类型的安全学习培训特点如下图所示。在实践过程中,建议公司对全体成员定期进行数据合规意识培训,确保全体成员了解所在国家数据保护合规要求以及公司数据合规保护策略。同时,应具体区分数据合规工作角色(如:数据保护官、法务顾问、技术专家/321、IT安全专家、数据合规专员、合规审计师等),建立基于角色的学习体系,针对不同角色提供差异化的培训内容。在可行的情况下,公司内部提供的培训可以扩展到业务合作伙伴和供应商,要求其同意遵守公司的制度和适用的法律,确保公司数据合规方针、策略有效传递至各利益相关方。除此之外,对于全体员工,可通过在线考核系统或其他途径定期发布测验和评估任务,以此来衡量员工在通用数据安全合规理论知识上的掌握程度。同时,对于数据安全合规团队而言,建议适当进行合规实战演练,将团队成员在模拟实战环境中的操作表现纳入关键考核要素,综合评定数据安全合规团队的专业技能和实践能力。这种综合评估机制有助于完成人员培养的循环建设,确保团队能322、力的全面提升和持续改进。数据安全合规人员教育“意识教育”专注于某一具体的主题,目的是将注意力集中在合规性上,旨在让个人认识到数据合规问题并做出相应的响应。“培训”致力于培养相关且必要的技能和能力,为相关领域的从业者提供所需的安全技能和能力。“教育”则是将各种职能专业的所有安全技能和能力整合到一个共同的知识体系中,增加了对概念、问题和原则(技术和社会)的 多学科研究,目标是培养具有远见和主动响应的合规安全专家和专业人员。中期短期长期真/假;多选题(识别性学习)解决问题(运用性学习)小论文(解读性学习)WhatHowWhyInformation 信息认知和记忆意识演示旨在让个人认识到 IT安全问题323、并做出相应的响应素养与技能指个人对保护数据和系统所需的IT安全基础知识的熟悉程度和应用能力理解进行基于角色的安全技能教育 媒体视频 简报 海报 实践指导讲座/演示 案例研究 动手练习 理论指导研讨会 研究 阅读和学习Knowledege 知识Insight 洞察意识、培训与教育之间的特点比较方式意识培训教育属性级别学习目标教学方法示例测试手段影响时间价值三种类型的安全培训学习的特点比较IT安全意识计划的基本价值在于,它们通过改变改变组织文化的态度,为培训奠定了基础。文化变革是认识到IT安全是关键,因为安全故障可能会对每个人产生不利影响。因此,IT安全是每个人的工作。所有使用计算机技术或产品的个324、人,无论其具体工作职责如何,都必须了解IT 安全基础知识并能够应用它们。IT安全培训的需求随着角色的变化而变化086在构建数据合规管理制度体系时,需要全面考虑并设计结构化的体系框架,如下图所示,一般分为四个层级,各级之间逐层细化,同级不同模块之间相互关联。一级文件:规定了数据合规管理与数据跨境的方针、策略、战略目标、基本原则和总体管理要求;二级文件:是对一级文件的支撑和细化,在数据合规管理、个人信息保护和数据跨境合规方面展开,主要内容包括但不限于:数据资产管理和数据分类分级要求、数据及个人信息生命周期阶段划分和各阶段管理要求和流程、数据合规管理违规处理、个人信息保护影响评估、个人信息主体权利响325、应等、数据跨境管理要求等。三级文件:是对二级文件的扩展和补充,包含数据合规管理各生命周期及某个特定领域的管理要求细则、实施流程、相应的作业指导书、指南等。管理要求细则是对二级管理要求的细化和展开,详细规定了某个特定领域的具体要求;实施流程规定了开展某项工作的内部流程;作业指导书和指南属于指导性文件,并非强制要求,为执行者开展某项工作提供指导和建议。四级文件:指执行数据合规管理过程中产生的模板、表格、报告、各种运行或检查记录等,与二级和三级文件配套使用,确保执行一致性。在建立全球标准化的企业统一数据合规管理制度与规范体系时,应全面覆盖跨境数据的整个生命周期,从数据的收集、存储、处理、传输、使用到326、最终销毁或归档的每一个环节。企业应当识别数据合规管理的法律法规要求,并深入参考行业标准和公司顶层战略规划,结合企业实际情况制定适用于企业内部环境的制度规范。这些制度规范旨在明确界定相关人员的职责与权限,明确数据管理目标和范围,规范日常工作中涉及数据处理的行为,并赋予管理人员必要的监督与管理职责,以确保企业数据合规工作的有效执行与持续优化。数据安全与合规管理制度体系4.2.3 数据合规管理制度与流程数据合规管理制度体系四级文件三级文件二级文件一级文件细则、指南、手册记录、表单方针、策略规范、程序、管理办法087建议的数据安全与合规管理制度体系包含内容如下图所示:数据合规管理制度内容数据安全与合规327、管理制度体系 一级数据合规治理总体政策二级 数据合规管理规定个人信息保护管理规定数据跨境合规管理规定三级四级 数据生命周期安全管理细则 数据分类分级管理细则 数据安全审计细则 数据安全风险评估细则 数据脱敏指南 数据共享及外发审批流程个人信息生命周期管理细则个人信息影响评估指南个人信息主体权利响应指南 数据出境安全管理细则数据出境安全评估流程 数据出境合规审计指南数据出境申报指南 数据保护协议 数据安全风险评估报告 数据安全审计报告 数据导出申请表 数据安全关键岗位责任书模版 个人信息主体权利响应处理记录 个人信息处理活动清单 个人信息影响评估报告 个人信息删除记录 数据出境业务识别表 数据出328、境安全自评估表 数据出境评估报告 数据出境安全评估申报材料 数据出境合规审计报告 在建立企业海外分支机构本地化数据合规管理制度与规范体系时,需要重点识别海外分支机构所在国家的法律法规要求,依据集团统一的制度规范,建立本地化的数据合规管理制度体系。具体方法如下:各国家/地区分支机构制度体系本地化建设明确法律法规要求:深入研究分支机构所在国家的数据保护法律、隐私法规以及其他与数据跨境流动相关的法律要求,关注不同国家之间的法律差异,特别是对数据定义、分类、处理、存储、传输等方面的具体要求。并识别并分析在数据跨境过程中可能面临的合规风险,包括违反当地法律、监管处罚、损害公司声誉等。制定本地化策略:根据329、目标国家的法律法规要求,对国内总部的数据管理制度进行必要的调整和优化,确保调整后的制度能够完全符合当地法律要求,并保持与总部整体数据管理体系的一致性。针对数据跨境流动的具体环节(如数据收集、处理、存储、传输等),制定符合当地法律要求的操作流程和规范,并引入必要的审批和监控机制,确保数据跨境流动过程的合规性。落实制度要求并监督:对分支机构员工进行数据保护法律法规和合规制度的培训和教育,提高员工的合规意识和能力。定期对分支机构的数据跨境流动活动进行合规审查,确保各项制度和流程得到有效执行,并对发现的问题及时进行整改和纠正,防止合规风险的发生。建立数据跨境流动的持续监督机制,关注当地法律法规的更新和330、变化,及时调整和优化合规策略和措施。0884.2.4 数据合规技术体系目前,在全球数字化浪潮的推动下,各国政府及立法机构均深刻认识到数据安全与合规的重要性,纷纷通过制定和完善相关法律法规,明确要求采用先进且有效的技术措施来保障数据处理活动的安全合规性。这一趋势不仅体现了对公民个人数据权益的尊重与保护,也促进了数字经济健康有序的发展。以欧盟为例,其颁布的通用数据保护条例(General Data Protection Regulation,GDPR)堪称全球数据保护领域的标杆。GDPR不仅规定了严格的个人数据保护原则,还明确提出了技术与组织措施(Technical and Organizatio331、nal Measures,ToMs)的概念,要求数据控制者和处理者必须实施适当的技术和组织措施,以确保数据处理活动的合法、公平、透明,并保护个人数据免受未经授权的访问、泄露、篡改或损坏。这些措施包括但不限于数据加密、访问控制、定期安全审计、员工培训以及应急响应计划等,旨在构建一个全方位、多层次的数据安全防护体系。同样,中国作为数据大国,也高度重视个人信息保护。在中华人民共和国个人信息保护法中,明确规定了个人信息处理的基本原则,特别是针对敏感个人信息的处理,提出了更为严格的要求。该法要求个人信息处理者在处理敏感个人信息时,必须采取加密、去标识化等安全技术措施,以降低数据泄露和滥用的风险。此外,还332、强调了个人信息处理活动的透明度、目的明确性、最小化收集以及个人同意等原则,为个人信息保护提供了坚实的法律基础。通过对数据安全合规领域的主要法律法规和监管文件进行深入分析,为了更好地指导企业实践,我们可以从数据生命周期和数据级别两个维度进行映射,从而识别出主要的数据安全与合规技术原子化需求:数据安全合规技术需求数据生命周期中的合规技术需求收集传输存储使用删除数据源合规个人信息收集告知同意Cookie授权数据分类分级完整性校验设备/系统增强验证缓存清理数据与通道加密日志记录数据分级完整性校验设备/系统增强验证数据源合规个人信息收集告知同意Cookie授权缓存清理采集通道加密日志记录完整性校验设备/333、系统真实性验证个人信息收集告知同意Cookie授权采集通道加密日志记录数据主体请求删除达到保存期限删除数据安全擦除物理销毁日志记录与审计访问控制、身份认证超范围使用再次征得同意接口安全隐私影响评估隐私计算日志记录与分析通讯网络安全抗抵赖、完整性校验传输通道加密缓存清理数据保密性不同类别个人信息隔离存储访问控制数据恢复测试数据主体请求删除达到保存期限删除数据安全擦除物理销毁日志记录与审计访问控制、多因素认证数据加密(导出、委托)数据脱敏(导出、公开、外发、展示、委托)与匿名化数据水印(展示、委托处理)接口安全隐私影响评估隐私计算日志记录与分析数据保密性数据完整性不同类别个人信息隔离存储访问控制数据恢复测试数据防泄漏通讯网络安全终端准入抗抵赖、完整性校验传输通道加密缓存清理物 理 介 质 传 输 加 密/脱敏日志记录访问控制、多因素认证数据导出跟踪溯源数据脱敏与匿名化接口安全隐私影响评估数据处