1、跨境数据合规白皮书2024.Q1目录目录聚焦全球及中国数据合规发展态势1.1 全球数据合规条例兴起,部分国家和地区加强制度管理1.2 中国数据合规发展背景及趋势1.3 跨国企业数据流动价值Part数据合规风险及挑战2.1 AI风险及数据合规问题2.2 数据跨境主要痛点及难点2.3 企业在具体业务中的数据安全和合规性问题Part数据安全合规的应对策略3.1 现行法律法规对于数据安全的相关要求3.2 数据本地化存储与出境3.3 径硕科技数据安全解决方案Part前沿技术与数据合规的碰撞4.1 揭开生成式AI的神秘面纱4.2 AIGC国际层面的立法监管情况Part聚焦全球及中国数据合规发展态势Part
2、1.1 全球数据合规条例兴起,部分国家和地区加强制度管理1.2 中国数据合规发展背景及趋势1.3 跨国企业数据流动价值1.1 全球数据合规条例兴起,部分国家和地区加强制度管理近年来,随着互联网的迅速发展以及国内外对于数据要素的认知不断深化,各国更加关注对数据的合规利用以期提升国家综合竞争力。自欧盟推出一般数据保护条例(下文简称“GDPR”或“一般数据保护条例”)以来,已有100多个国家针对数据合规颁布或提出了数据保护或隐私保护法。除法律法规层面的完善之外,主要国家和地区的监管执行力度也在不断增强,2021年GDPR全年罚款金额同比上涨,总计达到11亿欧元,亚马逊也因违反GDPR被罚7.46亿欧
3、元。为保证数据安全和执法透明度,全球数据合规条例增长和范围扩大已成为必然。Part 1欧盟1981-欧盟个人数据自动化处理中的个人保护公约1995.10-95指令2016.4-一般数据保护条例2019.5-非个人数据自由流动条例2019.4-网络安全法案2020.2-欧洲数据战略2022.2-数据法案(草案)2022.5-数据治理法案2022.9-数字市场法案2022.10-数字服务法案加拿大1983-隐私法1983.7-信息访问法案2000-个人信息保护和电子文档法案2012.3-加拿大网络安全对关键基础设施威胁的评估2018.6-新版国家网络安全战略法国1978-信息技术与自由法2008.
4、6-国家安全与防务白皮书2011.2-信息系统防御与安全:法国战路2015.10-法国国家数字安全战略2018.2-网络防御战略评论2018.11-个人数据保护法2018.12-数据保护法德国1976-(个人数据保护法2018-新联邦数据保护法2021.1-联邦数据战略2021.5-IT安全法2.0版意大利1947.12-宪法1996-数据保护法2003-电子商务法2005-消费者法典2012-个人数据保护法典(修订版)2013-国家网络空间安全战略框架英国1984-数据保护法2003-隐私与电子通信条例(PECR)2018.5-网络和信息系统安全法规2021.1-通用数据保护条例2022.1
5、-国家网络安全战略2022-20302022.5-数据改革法案(草案)2024 跨境数据合规白皮书Part 1.聚焦全球及中国数据合规发展态势04由于各国家和地区间推动数据合规的驱动因素、国情的差异,立法侧重点及发展趋势也有所差异,以下是不同国家和地区在数据监管方面的不同措施:以欧盟和亚太经济合作组织为代表的地区性立法:以保护个人数据为出发点,推动地区间数据流通,同时在监管和执法程序上更加标准化和透明化;以美国为代表的国家:在合规立法中更看重数据自由流动带来的经济效益,在奉行整体宽松政策的同时;为特殊行业提供不同的法律依据,例如金融、医疗、电子通信、基础设施等行业;以俄罗斯为代表的国家:在合规
6、立法方面受政治因素影响较大,更关注以安全为核心的国内治理,对数据跨境流动施行严格管控,形成“内外双严”的数据安全发展态势。中国关于数据安全立法也有自身特点:地方数据立法实践开展较早,各地在以国家政策法律为导向的同时积极探索制度创新。整体来看,立法内容呈现从综合性到重点领域,再到综合性与重点领域并行的趋势,立法程度与数字经济发展水平呈正相关。各国家和地区立法具有鲜明特点,发展趋势存在差异Part 12024 跨境数据合规白皮书Part 1.聚焦全球及中国数据合规发展态势051.2 中国数据合规发展背景及趋势数字时代的全球竞争下,我国将数据定义为成继土地、资本、技术、人力之后的第五大生产要素,在新
7、一轮数字经济浪潮中,正成为经济增长的新引擎和国际竞争的新抓手。2020年3月30日,中共中央和国务院明确将数据作为生产要素写入政策文件;2022年3月25日,中共中央和国务院明确第十三条:需要加快培育数据要素市场,完善知识产权评估与交易机制,推动各地技术交易市场互联互通,其中包括建立健全数据安全、深入开展数据资源调查、推动数据资源开发利用。数据作为发展侧越来越重要的向度,是构建新发展格局的重要支撑。尤其随着近几年AI、大模型、算力算法等技术的发展,数据作为其基础设施的“技术座驾”当其发展到一定规模后,肯定需要从国家层面进行规制和管理,以此提升国家综合治理能力。以app发展为例:App是媒介化社
8、会中,我们不可缺少的一部分,几乎今天所有的互联网行为都基于app生态,因此,app执法监管也越来越严格。据可公开信息:2022年网信办发布通告,对滴滴公司处以80.26亿元罚款。据国家网信办的查实,滴滴公司共存在16项违法行为。其中涉及个人隐私方面,除了基础的身份证等个人信息外,还包括人脸识别(face recognition)、亲情关系(family relationship)、精准位置(经纬度)(precise location)、出行意图(travel intention)等。同时,相册截图(album screenshots)、剪切板截图(clipboard screenshots)、
9、应用列表(application lists)等信息竟然也成为被过度收集的数据,几乎将用户个人信息以及手机使用习惯翻了底朝天。对该个例的执法表明了我国在数据合规层面上监管愈发严格和完善。Part 12024 跨境数据合规白皮书Part 1.聚焦全球及中国数据合规发展态势1.2.1 数据作为生产要素写入政策性文件06Part 12024 跨境数据合规白皮书Part 1.聚焦全球及中国数据合规发展态势以下为APP执法检查工作的主要部门:中国现行跨境法律监管体系由“1+3+N”组成。“1”即国家安全法,作为整个跨境监管体系的基石,进一步强调数据跨境监管中对国家网络安全和数据安全的保障;“3”即网络安
10、全法、数据安全法以及个人信息保护法,作为数据安全监管领域的三驾马车,分别对网络安全、数据安全以及个人信息保护领域提出原则性监管要求,并对关键信息基础设施、重要数据以及个人信息的跨境传输提出法律规制要求;“N”指在国家安全法和网络安全法、数据安全法以及个人信息保护法基本框架之内,落实四部上位法监管要求针对数据跨境场景出台的法律和监管规定,包括专门的数据安全立法以及行业监管立法,其中数据安全立法包括数据出境安全评估办法数据出境安全评估申报指南个人信息出境标准合同办法及标准合同样本、网络安全标准实践指南个人信息跨境处理活动安全认证规范V2.0、个人信息保护认证实施规则等,进一步细化数据出境相关路径要
11、求,为企业提供操作指引。1.2.2 中国现行“1+3+N”监管体系(1)中华人民共和国工业和信息化部(2)中华人民共和国国家互联网信息办公室(3)中华人民共和国公安部(4)国家市场监督管理总局(5)国家计算机病毒应急处理中心而这些主要部门的执法检查工作,将围绕以下被重点关注的违法行为展开:(1)超范围收集个人信息(2)强制用户使用定向推送(3)欺骗误导强迫用户提供个人信息(4)权限索取行为(5)违规使用个人信息(6)违规收集个人信息(7)欺骗误导用户下载App(8)移动应用分发平台信息展示(9)App频繁自启动和关联启动(10)开屏弹窗信息骚扰用户07Part 12024 跨境数据合规白皮书P
12、art 1.聚焦全球及中国数据合规发展态势针对不同行业领域内的数据跨境,相应行业监管机构从本行业特点出发亦提出相应监管要求,从而构建多维度多层级的数据跨境监管体系。不同行业及领域企业须同时满足数据安全立法及各行业监管机构的数据跨境要求,由此也形成了由国家网信部门负责统筹协调和监督管理网络安全工作,国家电信部门、公安机关以及各行业监管机关共同配合的“1+X”监管机制。从2016年-2023年为筑牢数据安全“防火墙”从不同层面都做了立法规制。网络安全法为构筑网络安全的基础,强调网络安全的保护,为网络空间的整体安全和有序发展奠定了总基调。数据安全法搭建数据安全的基础,强调数据安全的保护,尤其注重重要
13、数据和国家核心数据的保护。个人信息保护法则侧重于个人信息处理准则和保护边界的细化,对个人信息的保护,对个人信息保护的全生命周期作出细致且全面的规定。2016202320222021网络安全法:于2016年11月7日通过,自2017年6月1日起施行2023年7月24日,中国人民银行发布(中国人民银行业务领域数据安全管理办法(征求意见稿)2023年10月9日,工信部发布工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿)2023年2月24日,国家互联网信息办公室发布 个人信息出境标准合同办法2023年8日3日,国家网信办发布个人信息保护合规审计管理办法(征求意见稿)2022年5月19日,
14、国家互联网信息办公室审议通过数据出境安全评估办法2022年9月1日起施行2022年2月15日,国家互联网信息办公室审议通过的网络安全审查办法正式施行2022年12月13日,工信部正式发布工业和信息化领域数据安全管理办法(试行)2021年8月16日,国家互联网信息办公室发布汽车数据安全管理若干规定(试行)数据安全法:于2021年6月10日通过,自2021年9月1日起施行个人信息保护法:于2021年8月20日通过,自2021年11月1日起施行081.3跨国企业数据流动价值在全球数据流通中,跨国公司作为海内外数据存储的庞大数据处理者,经常会涉及到跨境数据合规的问题。但也要承认当前跨国数据要素与数据流
15、动也会不断创造新的价值与机遇,因此,加强数字治理与数字安全的全球合作成为重中之重。虽然跨国数据流动在各个层面都存在巨大价值,但机遇与风险并存。一方面我们要看到数据跨境流动对全球经济的促进作用,另一方面也要关注到数据是支撑国家安全与发展的重要战略资源,也面对了很多不确定因素。比如说俄乌战争爆发后,有些跨国企业第一时间退出了俄罗斯,或者把当地的机构就地解散,对此无论是国家层面还是企业层面不得不思考一个的问题是:未来在面对地缘政治冲突等不确定因素时,我们应该如何去应对?而localization本土化成为很多企业正在考量的因素。Part 12024 跨境数据合规白皮书Part 1.聚焦全球及中国数据
16、合规发展态势(1)促进全球经济流动与增长。基于生产要素国际流动理论,数据的跨国界流动可以帮助跨国企业更直接、更合理地利用全球要素资源,世界经济论坛称“跨境数据流动的能力是高效行业的一个关键要素,也是关键的生产力增强剂,对维持全球复苏和为经济体奠定长期竞争力基础至关重要。”(3)推动全球化发展。跨境数据流动极大地推动了企业面向全球的商业拓展。以跨境电商为例,阿里巴巴、亚马逊等互联网平台企业通过互联网获取、处理和跨境传输数据,为各类跨境贸易商构建了全球用户社区,实现了电子商务模式的全球扩张,帮助企业融入全球供应链。(2)提升国际创新能力。数据跨境流动意味着信息、知识的传播与共享,自由流动的数据是国
17、家创新的重要催化剂,根据Frost&Sullivan 2025年大趋势预测,数据支撑着未来,90%的变革性转变严重依赖于数据。目前,几乎所有行业都依赖于跨境数据的流动和实时分析数据的能力,以此作为其供应链、运营和商业模式创新的推动力,激发更多创意,催生新业务、新模式。内容来源:全球数据跨境流动政策与中国战略研究报告09基于数据调研,我们可以看到不同类型的跨国企业在转型战略实施进度上也各有差异。以ToB和ToC的两个领域为例,消费品企业无论是评估与规划阶段、转型与实施阶段、持续运营阶段都很积极进行转型,药企相对来说转型的过程则相对来说较为缓慢。造成这一现象的原因有很多因素,消费品的数据量级和药企
18、是没法相比的,消费品数据量级大且异质性强,因此在合规方面会走的相对靠前一点,这是该行业的特性所决定的。因此,面对不同类型的企业,数据合规驱动转型进程也不可同一而语。Part 12024 跨境数据合规白皮书Part 1.聚焦全球及中国数据合规发展态势评估与规划转型与实施持续运营头部跨国公司(主要集中于消费品和制药行业)83%的公司已经启动了本地化进程12家消费品企业100%制药企业67%消费品企业50%制药企业50%消费品企业50%制药企业17%内容来源:数据合规新态势下的数字化转型之路10数据合规风险及挑战Part2.1 AI风险及数据合规问题2.2 数据跨境主要痛点及难点2.3 企业在具体业
19、务中的数据安全和合规性问题2.1 AI风险及数据合规问题生成式人工智能技术在带来深刻的生产力变革时,也为监管治理提出新挑战。因此,AI对于数据的获取也面临了以下几种风险:Part 22024 跨境数据合规白皮书Part 2.数据合规风险及挑战通常而言,获取AI数据主要有以下方式:一,自行采集,如通过网站、App、智能家居设备等渠道收集数据;二,从第三方数据供应商采购;三,通过网络爬虫等技术手段抓取现有数据。2.1.1 数据来源合规问题12Part 22024 跨境数据合规白皮书Part 2.数据合规风险及挑战2.1.2 数据使用合规问题2.1.3 数据安全合规问题13Part 22024 跨境
20、数据合规白皮书Part 2.数据合规风险及挑战2.1.4 科技伦理合规问题针对上述合规问题,目前全球已有近100个国家和地区制定了数据安全相关保护和法律,Gartner预测,到2024年,全球75%的人口将在其个人数据方面受到隐私法规的保护。除了以上四大风险外,以下风险也值得引起企业在开展数据合规转型时注意:要求企业结合网安法、数安法、个保法等法律法规实施数据分类分级管理;关注业务中涉及生产、处理、流通三大环节中不同场景的合规要点;主动对标国标、行业标准,转化为企业内规则,结合业务发展平衡严格落实。01统筹法律数据安全合规要求 提升管理层数据安全合规意识,获得重视和支持;定期对内外部的数据安全
21、合规要求进行宣贯,形成文化认同。02定期培训形成合规文化内容来源:AI人工智能企业上市数据合规问题精解14Part 22024 跨境数据合规白皮书Part 2.数据合规风险及挑战对于以上提到的数据合规风险,以下几种合规措施,可以为不同企业提供科学规避风险指导1.数据分类分级/重要数据识别企业可盘点业务、系统涉及处理的数据、识别重要数据/协助填报目录、数据分类分级标签;2.整体数据安全体系建设可以从以下三方面建设:首先是,管理组织体系建设;其次是,管理制度体系建设;最后是,全流程网络和数据安全管理措施建设;3.数据安全风险评估/合规审计/PIA包括数据安全风险评估、个人信息保护合规审计、个人信息
22、保护影响评估;4.算法合规/大模型备案算法安全评估和算法备案、大模型算法备案;5.数据出境合规包括数据出境安全评估、个人信息标准合同备案、个人信息保护认证;6.数据本地化系统和数据的本地化、基础网络与设施的本地化、本地IT能力和团队的建立、国产化产品的选择和部署。提升安全事件应急响应能力,及时补救,消除减轻后果;妥善处理数据相关投诉;配合监管部门的相关调查。05接受外部监督及时纠错改进 推进全球数据合规一体化,落地执行与本地化;综合监管规则、执法动态、业务风险,确定合规处理方式。04海外数据合规应对 制定合规风险识别模板,按业务特点定期梳理风险;关注上下游可能的风险传导,避免第三方违规产生的连
23、带责任。03推进数据安全风险识别常态化152.2 数据跨境主要痛点及难点企业开展境外业务时面临的数据跨境监管形势日益严峻,数据跨境管控过程的痛点、难点,成为数据合规治理的热点、焦点。Part 22024 跨境数据合规白皮书Part 2.数据合规风险及挑战2.2.1 数据多样,跨境数据的法律属性识别与分类困难2.2.2 场景复杂,数据跨境的路径、角色及责任识别困难(1)企业业务场景多样随着企业成长与发展,业务版图和业务领域不断扩展或变化,配套的内部支撑流程也随之细化,各业务场景交互融合,业务数据随之交互融合,加大了数据跨境路径梳理和相关责任方识别的难度。(1)数据体量大大数据背景下,企业生产经营
24、过程中产生的数据呈爆炸式增长,且涉及数据类型丰富多变。从数据主体角度,包括客户数据、用户数据、合作方数据、供应商数据、内部员工数据等;从业务经营角度,包括产品数据、日常经营数据、研究/研发数据、内务管理数据等极大增加了企业数据管理的难度和成本。(3)载体拆分难多种类型的非结构化数据,可能同时集合在同一载体或分散在不同载体中,难以拆分、合并和精准识别,如何按照数据来源、内容、用途等进行数据分类梳理,成为企业数据跨境合规管控的实务难题。(2)属性识别难关于个人信息、重要数据等在监管定义上通常采用“概括式”的表达形式,虽为企业提供了一定灵活度,也为企业对数据的法律属性类型识别带来了模糊性和不确定性;
25、不同法域对个人信息、重要数据等概念定义存在差异甚至冲突,对企业跨境数据的属性识别和应用管控造成困难。16Part 22024 跨境数据合规白皮书Part 2.数据合规风险及挑战(3)角色法定含义不同不同的数据处理角色承担相应的责任和义务,准确识别企业在数据跨境场景下承担的角色、清晰界定双方责任和义务,对数据跨境合规管控非常重要;不同法域对数据处理角色的定义、相应责任与义务的规定不尽相同,复杂的数据流转链条下,企业难以准确判断自身角色、明确责任和义务,为企业数据跨境合规管控的力度决策带来障碍。Tips:欧盟 GDPR 对个人数据的控制者与处理者的责任分别有详细的规定;而中国个保法没有区分个人信息
26、处理过程中控制者与处理者角色,统一称为“个人信息处理者”,并规定个人信息处理者共同处理个人信息将承担连带责任。Tips:数据的处理必须具备合法基础,但各法域的数据处理的合法基础不尽相同。在我国境内处理欧洲公民的数据,需要同时满足个保法及GDPR的要求。我国个保法为避免扩大解释,未将“数据主体利益”及“控制者合法利益”两个边界较模糊的合法基础纳入条款范围。若以“合法利益”为基础在中国境内进行进行数据处理,则可能因失去法律承认的合法基础而违规。2.2.3 规则变动,规则要求多层次、多类型、不断演进(1)全球规则层次多样全球尚未形成统一的数据跨境治理框架,各国家/地区受国家安全、数据主权、人权保护、
27、地缘政治、贸易模式等因素影响,制定了侧重点不同、各个层次的数据跨境规则,数据治理和数据跨境流动政策具有很大差异。(2)不同法域规则冲突企业在开展数据跨境流动活动时,需要同时考虑数据输出地和输入地的数据跨境规则,但不同法域数据跨境规则的不同,对企业“双向合规”带来困难。(2)数据流转路径复杂数字化转型背景下,企业的业务数据往往通过线上系统进行流转处理,业务系统间数据存在交叉传输的情况;同时,出于成本、效率等多因素考虑,企业的系统服务器通常集中部署、统一管理,导致在全球化业务开展过程中涉及频繁、复杂的数据跨境流转。内容来源:数据跨境合规治理实践白皮书17Part 22024 跨境数据合规白皮书Pa
28、rt 2.数据合规风险及挑战但在具体行业中,还会有更为细致的区分。比如药企和消费品行业,COSTCO跨国企业拥有很多全球会员数据,这些会员信息需要全球打通或数据流向全球不受限,对于该类企业本地化或全球会员体系挑战将会更大;而对于B端企业则在员工信息、供应商信息、客户联系人等方面的数据,但相比于C端数据量会少很多,而对于这一方面可能更多的会从“数据管理”层面去调整,“合规”层面的要求则相对较少。在跨国企业合规驱动战略转型实施中还会存在以下更为具象化的难题:(1)战略对齐:在转型战略层面缺乏一致的认知;(2)治理模式:决策范围和职责不够清晰明确;(3)现状调研:总部系统和运营现状的调研和梳理触点过
29、多;(4)沟通协作:不同部门和任务项之间的协作和沟通机制不明确;(5)本地方案选择:本地解决方案无法完全符合总部要求或遵循已有流程和管控;(6)本地能力:本地团队在短期内无法形成足够的能力支撑本地化运营。182.3 企业在具体业务中的数据安全和合规性问题数字化时代,企业面临海量的数据流动和存储,如何保护和合规处理企业数据成为一个重要问题,企业数据合规是指企业在数据处理、存储和传输过程中,遵守相关法律法规和规范要求,保护用户隐私、保证数据安全,并避免因数据违规而引起的法律风险。在实际业务中,企业通常会遇到以下数据合规问题。(1)数据获取和限制合规要求可能限制了企业收集和使用数据的方式。企业获取用
30、户信息之前,需要告知用户使用目的及使用范围,获取用户明确授权;(2)精准度与个性化以标签和行为数据为基准的个性化广告将受限,公域精准营销和投放的难度增加(各大平台如微信,B站,知乎,头条等均提供了便捷的关闭个性化推荐的入口);(3)渠道选择和内容策略在合规框架下,选择有效的营销渠道变得更为关键。有时传统的营销方法可能受到限制,因此企业需要寻找合规的替代方案,这可能包括寻找新的数字渠道或更改内容战略;(4)客户信任与透明度企业需要建立客户信任,并提供对数据处理方式的透明度。在合规的前提下,如何向客户解释数据的收集和使用,以及如何保护其隐私,变得尤为重要;(5)合规性审查与验证在B2B环境中,合规
31、性审查尤为重要。与个人数据不同,B2B数据的使用同样受到法规的约束。因此,确保所使用的数据来源和处理方式符合法规要求是挑战之一;(6)隐私保护和数据安全针对B2B营销使用的数据,保障数据的安全性和隐私保护是至关重要的。确保数据不被泄露或滥用,同时在合规框架内实施必要的安全措施,是一项挑战;(7)合规监管的变化法规和监管环境不断变化,企业需要保持对法规变化的敏感度,并及时调整其营销策略以符合新的合规要求。Part 22024 跨境数据合规白皮书Part 2.数据合规风险及挑战19数据安全合规的应对策略Part3.1 现行法律法规对于数据安全的相关要求3.2 数据本地化存储与出境3.3 径硕科技数
32、据安全解决方案3.1 现行法律法规对于数据安全的相关要求为了支持和规范人工智能技术和产业发展,在一般数据安全法律框架的基础上,我国也制定了一系列人工智能领域的法律法规和文件。在数字经济时代,算法是一种重要的生产工具。算法推荐技术被广泛应用于信息分发和媒体传播领域,带来“信息茧房”、“大数据杀熟”、“困在系统里”等社会隐忧,规范算法推荐活动迫在眉睫。我国从2017年至2023年陆续颁布多条法规完善算法监管,从立法、监管和司法层面推动算法治理体系逐渐深入,并逐步形成互联网信息服务算法安全治理的政策法规体系。Part 32024 跨境数据合规白皮书Part 3.数据安全合规的应对策略3.1.1 我国
33、算法&AI监管体系时间轴1.生成式人工智能服务管理暂行办法2023年7月10日,国家互联网信息办公室(“国家网信办”)发布AI管理办法,对“研发、利用生成式人工智能产品”的行为作出规定。3.1.2 具体法律法规对训练数据的要求互联网新闻信息服务新技术新应用安全评估管理规定2017.12具有舆论属性或社会动员能力的互联网信息服务安全评规定2018.11科学技术进步法2022.1互联网信息服务深度合成管理规定2023.1科技伦理审查办法(试行)2023.12关于加强互网信息服务算法综合治理的指导意见2021.9互联网信息服务算法推荐管理规定2022.3生成式人工智能服务管理暂行办法2023.821
34、Part 32024 跨境数据合规白皮书Part 3.数据安全合规的应对策略根据上述第1、5项规定,企业应当遵守网络安全法等法律法规、使用具有合法来源的数据,相对来说这一规定内容存在较为明确的执行标准。但是,第2项关于“不得侵害他人依法享有的知识产权”对于企业来说存在一定挑战,企业需要主动判断:另外,就第4项要求,即数据的“真实、准确、客观、多样”在适用上可能存在一定的裁量空间,如新闻领域和艺术领域场景对于“数据真实性”的要求就可能略有不同。值得注意的是,鉴于AI管理办法将征求意见稿中的“保证”替换成了“增强”,企业可以在确保符合法律法规要求的基础上,参考人工智能使用领域等要素进行灵活调整。A
35、I管理办法第4条还指出,在选择训练数据的过程中,应当采取措施防止出现民族、信仰、国别、地域、性别、年龄、职业、健康等歧视。(1)使用具有合法来源的数据和基础模型;(2)涉及知识产权的,不得侵害他人依法享有的知识产权;(3)涉及个人信息的,应当取得个人同意或者符合法律、行政法规规定的其他情形;(4)采取有效措施提高训练数据质量,增强训练数据的真实性、准确性、客观性、多样性;(5)中华人民共和国网络安全法、中华人民共和国数据安全法、中华人民共和国个人信息 保护法等法律、行政法规的其他有关规定和有关主管部门的相关监管要求。(1)训练数据是否涉及知识产权(尤其是著作权或商业秘密);(2)该等知识产权是
36、否存在且合法有效;(3)是否存在该等知识产权利害关系人;(4)相关行为是否侵犯知识产权;(5)行为相关的抗辩条款是否适用等。AI管理办法第7条要求,AI服务提供者应当依法对生成式人工智能产品的预训练数据、优化训练数据来源的合法性负责,并遵守以下具体规定:22Part 32024 跨境数据合规白皮书Part 3.数据安全合规的应对策略2.人工智能安全标准化白皮书(2023版)2023年5月29日,TC260发布人工智能安全标准化白皮书(2023版)(下文简称“白皮书”),白皮书梳理了人工智能技术与应用的发展现状,分析了人工智能面临的安全新风险。白皮书指出,网络安全的基本属性包括了AI系统及其相关
37、数据的机密性、完整性、可用性以及针对恶意攻击的防御能力。数据应当具有:23总结:结合以上现行的法律法规以及已颁布的征求意见稿、白皮书等进行分析,训练数据的合规要求可以总结为以下三个方面:一,训练数据应当符合网络和数据等安全合规方面的要求,如经过数据分类、备份和加密等措施,并存储在境内;二,训练数据应当遵循知识产权和个人信息等权益保护方面的要求;三,训练数据本身应当可靠透明,如真实准确、客观中立,具有可解释性和公平性。透明性(用户能够在必要时候获取模型有关信息);可解释性(在计算过程中使用的数据、算法、参数和逻辑等对输出结果的影响能够被人类理解);公平性(不引入偏见和歧视因素);隐私性(采取隐私
38、增强方案,如最小化数据处理范围、个人信息匿名化处理、数据加密和访问控制等)。Part 32024 跨境数据合规白皮书Part 3.数据安全合规的应对策略3.2 数据本地化储存与出境随着数字经济和数字贸易日益深入的发展,企业势必会被卷入全球数据跨境合规体系的洪流中,企业必须迎接数据跨境合规的挑战。一方面,了解内部数据跨境现状和外部监管规则,了解企业数据跨境合规管控重点;另一方面,以风险为导向,建立完善企业数据跨境合规管控机制,搭建立足自身、内外联动、成本效益并举、灵活可持续的数据跨境合规体系。对于企业合规转型来说,这几种模式其实都是可选的,但防止因不稳定因素导致企业业务受损,比如俄乌战争或地缘政
39、治的影响导致国内业务出现较大波动,因此,为了保证国内业务正常运行,很多企业会选择“双系统体系”或“关键设施本地化”,来保障即使在“脱钩”的情况下,国内业务还能保持独立运营能力,而这种就是除法律层面之外的本土企业战略化考量。3.2.1 了解三种模式的本地化程度以技术框架为例,我们可在三种本地化模式中去选择符合自身情况的运营模式。第一种方法:MVP(最小必要产品);第二种方法:关键设施本地化方法;第三种方法:双系统体系。“MVP(最小必要产品)”是最基础的模式,考虑的更多是符合法律监管要求及企业成本控制,如全球化的咨询行业;“关键设施本地化”则更进一步的考量业务上连续性,保证在出现突发情况时,业务
40、可以正常运营不受损;“双系统体系”则是更高一阶的要求,需要企业拥有独立的技术架构和技术团队,在本地化运营上拥有完全的自主性和可控性。MVP(最小必要产品)关键设施本地化双系统体系24Part 32024 跨境数据合规白皮书Part 3.数据安全合规的应对策略数据出境安全评估办法从主体、客体、数量等方面规定了触发数据出境安全评估(以下简称“安全评估”)的条件(以下简称“触发条件”),具体包括:须注意的是,安全评估是法律的强制要求。企业一旦达到触发条件,则必须开展安全评估,不存在所谓数据出境路径选择的问题。3.2.2 数据出境-触发条件3.2.3 以营销系统为例:如何逐步建立本地化能力(1)出境数
41、据中含有重要数据;(2)数据处理者为关键信息基础设施运营者(以下简称“CIIO”);(3)数据处理者为处理100万人以上个人信息的数据处理者;(4)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者;(5)国家网信部门规定的其他需要申报数据出境安全评估的情形。阶段一:战略决策阶段一是对于采取三种本地化模式:MVP(最小必要产品)、关键设施本地化方法、双系统体系的战略决策。在该阶段所要解决的问题是:企业所面临的风险及驱动力是什么?包括地缘政治、中国监管要求、提高服务性能等,企业基于合规驱动转型战略目标与指导原则是什么?转型评估与实施所需花费的时间与成本预估是多少等问
42、题。阶段一:战略决策(部分)25Part 32024 跨境数据合规白皮书Part 3.数据安全合规的应对策略对于阶段一的决策主要取决于中国的管理层对于本土的设施和全球设施博弈的结果,其中不仅包含了基础的法律底线,更多的是基于本土实际业务、未来发展、持续性运营能力的考量。其中需要遵循的首要原则是:采用能力本地化的混合模式,以最低成本满足监管硬性要求。阶段二:评估与规划阶段二的评估与规划主要维度涵盖“数据&应用”、“业务运营影响”和“技术运营影响”。比如实施合规转型成本需要多少?跨国企业进行本地化部署所影响的团队范围有多大?对全球业务流程有多大影响?中国本土团队是否有技术能力支撑合规转型所涉及到的
43、部门主要有数字化营销、法务、安全与合规等职能部门。其中最重要的关于转型成本考虑主要包含人力成本、一次性开支、非人力成本/第三方。阶段三:转型与实施阶段三的转型与实施即若各职能部门评估后建议实施合规转型,接下来的实施仍有一定程序要走:从“选商采购-流程详设-研发-主数据交互涉及-历史数据迁移-AD集成-系统对接-上线”,但该流程只是大部分的情况,不同的企业可能实施程序也会有差异,但目标是一致的,即保证本地安全能力符合本地和集团标准。阶段二:评估与规划(部分)26Part 32024 跨境数据合规白皮书Part 3.数据安全合规的应对策略阶段四:持续运营阶段四的持续运营,提醒很多准备开展合规转型的
44、企业,合规转型是一项“长期工程”,在部署完之后仍要不断提升运营管理能力,本土企业与总部仍要保持有效的资源共享与工作协作。比如消费者在与企业产品/服务互动中会产生很多数据,企业则需要提供跨平台、跨渠道的统一、标准化的授权记录收集方式、提供上下游系统间数据主体授权同意记录的同步机制、提供统一的平台对授权方式、用户授权现状渠道管控现状等进行管理等。个性化展示、购物服务、会员服务等广告推送、营销短信等用户行动二方数据一方数据一方数据阶段三:转型与实施(部分)阶段四:持续运营(部分)27Part 32024 跨境数据合规白皮书Part 3.数据安全合规的应对策略3.3 径硕科技数据安全解决方案随着以网络
45、安全法数据安全法个人信息保护法为核心的数据保护法律体系的完善,以及生成式人工智能服务安全基本要求互联网信息服务深度合成管理规定等细分领域规范性文件的密集出台,无论是内资还是外资企业在数据业务中都会面临更加严格、细化的数据合规审查的趋势及更高的业务要求。径硕科技数据安全解决方案主要分为四个部分:软件设置安全、实施部署安全、数据传输安全、专业服务安全。全称为:Role-Based Access Control,简单而言即基于角色、权限、人三个维度,分配不同的权限。可以通俗理解为:操作者在企业处于何种角色,决定了后台将开通哪种类型的权限给到操作者进行管理。比如说当使用者是市场部的CMO角色,那它的权
46、限可能是最大的,所有的功能都可以给他开放,但如果仅仅是管理活动执行层之一,那后台可能只会相应给他开活动相关的权限。对于RBAC2.0上线流程,可理解为在客户业务上线中,CSM(客户成功团队)怎么样去帮到我们的客户,一步一步的去创建整个后台账号跟权限相关的关系。包括会做一些定期的复盘,比如说可以做一个季度复盘来看所有的账号跟权限角色要不要更新等等。除此之外,径硕科技通过洞悉客户需求,配置SSO(single sign on)即单点登录功能。该功能可以跟内部客户的OA系统关联起来,现在用户登录后台,需要“账号密码+扫码”双因素验证登录,过程较为繁琐,因此,通过SSO单点登录功能,则可以直接登录账号
47、,账号内会有企业所涉及到的应用入口,可以直接跳转到各个平台,无需二次验证。SSO功能对于企业业务开展的好处在于:企业内部拥有统一的账号,若因内部业务调整或组织架构变动,对应的人员权限发生变动,则无需单个系统调整,对于整个账号管理、权限分配做到了一体化、实时化管理。3.3.1 软件设置安全-RBAC权限管理28Part 32024 跨境数据合规白皮书Part 3.数据安全合规的应对策略该功能的开发,是基于真实的客户需求,考虑到规模较大的客户团队,人员变动离职若不及时去关闭权限或者因为系统分散导致操作上出现疏漏,该情况下企业的数据安全风险会存在非常大的威胁因素。径硕的“隐私合规中心”,如图所示可以
48、支持最多关联 5 条隐私条款,比如说针对个人信息保护法、个人信息数据出境,不同企业、不同行业或不同地区都有相应的要求,在法律条款中,径硕后台则会支持根据不同的管理目的进行条款分类,以此适应不同场景的合规需求。同时隐私条款在不断的迭代升级,随着国家法律法规的变化以及内部业务的一些变动,同步更新隐私条款,对此,径硕科技有一个“法律条款版本管理”来单独管理隐私条款,即隐私条款一旦变更之后,用户就需要重新授权。29Part 32024 跨境数据合规白皮书Part 3.数据安全合规的应对策略为了方便大家更好的理解,下图为用户端隐私条款样式。以线下活动参展为例:作为用户,首次参加品牌或者企业的线下活动,当
49、需要下载企业的白皮书等内容资料,企业会要求用户提供个人维度的一些信息。而根据用户隐私保密协议,用户信息作为一个敏感内容,必须要用户授权,这时下载界面会弹出一个表单,引导用户去填用户信息,与此同时就会相应的有一个或多个隐私条款来勾选,只有当用户选择必须接受隐私条款,用户才可以提交填写了个人信息数据的表单。当用户勾选隐私协议后,后台也会有相应的记录,这一步骤是为了审计,目的是为了解决用户关于隐私获取的投诉等问题。举个简单例子,如果一个终端用户去企业投诉表示:“你看我都没有授权,你怎么就给我推这些内容?你怎么还有我的数据呢?”企业就可以在后台去拉取到他授权的记录,相应的显示在什么时候、什么时间、在哪
50、个页面,用户去授权的隐私条款。这一举措无论是对用户还是企业都可以最大程度保护自身的利益不受损。30Part 32024 跨境数据合规白皮书Part 3.数据安全合规的应对策略实施部署安全关键在于数据加密安全。径硕科技在数据加密服务项中会提供阿里云的TDE的服务(Transpar-ent Data Encryption)这是阿里云的硬盘加密服务,也是径硕数据安全加密的基础。该功能不会跟客户额外收费,但客户若有更高层面的数据需求,也可以对此功能进行升级,即个人数据的加密服务,该项功能启用的是较为高阶的算法(AS-256非对称加密)方式来确保用户的主数据、个人信息数据以及公钥私钥公网传输。这一功能根
浙ICP备2021020529号-1 | 浙B2-20240490 
