1、本白皮书由德勤企业咨询(上海)有限企业(“德勤企业咨询”)和 Amazon Web Services,Inc.或其关联方(“亚马逊云科技”)分别撰写,双方就各自撰写的内容分别、独立享有相关知识产权。其中德勤企业咨询负责第一章、第二章、第三章 3.1,单独享有该部分的知识产权;亚马逊云科技负责第三章 3.2 部分(即“技术平台”部分)与 3.3.3 中“云上构建端到端的安全”部分,单独享有该部分的知识产权;双方共同享有第三章 3.3 部分的知识产权。关于德勤企业咨询部分的声明:本白皮书中所含内容乃一般性信息,任何德勤有限企业、其全球成员所网络或它们的关联机构并不因此构成提供任何专业建议或服务。在
2、作出任何可能影响您的财务或业务的决策或采取任何相关行动前,您应咨询合格的专业顾问。我们并未对本白皮书所含信息的准确性或完整性作出任何(明示或暗示)陈述、保证或承诺。任何德勤有限企业、其成员所、关联机构、员工或代理方均不对任何方因使用本通讯而直接或间接导致的任何损失或损害承担责任。德勤有限企业及其每一家成员所和它们的关联机构均为具有独立法律地位的法律实体,相互之间不因第三方而承担任何责任或约束对方。德勤有限企业及其每一家成员所和它们的关联机构仅对自身行为及遗漏承担责任,而对相互的行为及遗漏不承担任何法律责任。德勤有限企业并不向客户提供服务。请参阅 了解更多信息。关于亚马逊云科技部分的声明:本部分
3、内容陈述了亚马逊云科技在封面页所示日期的有关服务产品及实践,该等信息可能变化且我们不会另行通知。客户对于本部分的信息以及亚马逊云科技的产品或服务应自己做出独立的判断,该等内容都是“依现状”提供,不包含任何明示或者暗示的保证。本部分内容并没有创设来自亚马逊云科技或其关联方、提供方或许可方的任何保证、陈述、合同性承诺、条件或者担保。亚马逊云科技对其客户的义务和责任均由适用的客户协议管辖。本部分内容不是亚马逊云科技和其客户之间任何协议的组成部分,也不构成对任何协议的修改。Table of Contents目录第一章 国际数字经济与科技发展态势 1.1 后疫情时代的出海大势 1.2 数字科技领域热点趋
4、势 1.3 数字科技立法及监管趋势1.3.1 个人信息及衍生信息保护1.3.2 大型数字平台监管1.3.3 人工智能技术监管第二章 中国企业出海面临的合规挑战2.1 数据安全与隐私合规态势概述2.1.1 常见数据安全与隐私合规监管事项2.1.2 数据跨境流通态势及监管重点2.2 数字平台监管态势概述 2.3 人工智能监管态势概述2.4 对中国企业出海的主要挑战2.5 主要行业在出海过程的特殊挑战2.5.1 游戏行业127101015172022233539424855552.5.2 网联汽车及软硬件服务2.5.3 社交 App 行业2.5.4 跨境电商行业2.5.5 智能设备行业2.6 出海支
5、持行业的特殊挑战2.6.1 跨境支付提供商2.6.2 企业级 SaaS 服务提供商2.6.3 智能广告提供商第三章 中国企业出海发展合规应对建议3.1 健全合规管理体系3.1.1 计划出海或准备出海3.1.2 已在海外有业务 3.2 技术平台3.2.1 安全责任共担模型3.2.2 亚马逊云科技云上的隐私保护3.2.3 亚马逊云科技的合规计划3.2.4 亚马逊云科技云上的安全3.3 应对案例3.3.1 案例背景介绍3.3.2 企业面临的出海安全合规核心挑战3.3.3 解决方案 58636669737375777980808189919295981041041051061国际数字经济与科技发展态势
6、112国际数字经济与科技发展态势一全球经济增长仍然面临巨大压力随着 2023 年 5 月,世界卫生组织宣布新冠疫情不再构成“国际关注的突发公共卫生事件”(PHEIC),人们逐步开始回归疫情前的生活状态。但是,全球经济复苏的前景充满不确定性,依据联合国 5 月发布的世界经济形式与展望,预计 2023 年世界经济增长率为 2.3%、2024 年略微增长至 2.5%,仍然远低于疫情前 2018 年的 GDP 增长率 3.7%。与此同时,全球经济增长两极分化的态势逐渐明显,大多数发达经济体经济急剧下滑,而南亚、西亚以及非洲在内的发展中区域虽然仍能保持相对较高的 GDP 增速,但与疫情前、甚至 2022
7、 年相比仍有所下滑。外资外贸是中国经济增长的重要支撑及成果根据中国海关总署统计数据,2022 年全年中国货物进出口总额突破 42 万亿元人民币。推动产业向中高端迈进、促进数字经济和实体经济的深度融合、加快数字经济的发展、推动高质量共建“一带一路”仍然是未来几年的重点发展方向。在此背景之下,发展海外市场成为了较多中国企业的优先选择,其中,以跨境电商、游戏互娱、消费电子、新能源汽车为代表的新兴行业更是在出海的道路上大展宏图,形成空前活跃的发展景象,出海规模持续增长,从以下数据可见一斑:1.1 后疫情时代的出海大势3跨境电商:根据中国海关总署的数据显示,2022 年跨境电商进出口规模再创新高,达 2
8、.1 万亿元,同比增长 7.1%,占进出口总额的 4.9%,跨境电商成为外贸重要新生力量。游戏互娱:根据中国音数协游戏工委发布的中国游戏产业报告,2022 年 1-6 月,中国自主研发游戏在海外的实际销售收入达 89.89 亿美元,同比增长 6.16%。多款手游在海外的表现,无论是在下载排行还是游戏内付费充值都占据了当地应用榜单的前列。消费电子:据海关总署数据,2023 年 1-4 月,智能手机出口近 1.6 亿台,手机以及包括智能家居产品、无人机等消费电子早已成为多个国家和地区炙手可热的产品。新能源汽车行业:据中国汽车工业协会统计分析,继2021年超200万辆、2022 年超 300 万辆之
9、后,今年上半年中国汽车出口达 214 万辆,同比增长 75.7%,预计 2023 年全年汽车出口有望达到 400 万辆,成为整体汽车市场的重要增长力量。34 中国企业出海规模日益增长,中小企业乘上风口出海足迹从欧美拓展到东南亚、北美洲、非洲等新兴区域亚马逊云科技于 2022 年 6 月发布的中国企业上云出海趋势洞察数据显示,在已经布局全球业务的受访企业中,大型企业依然占据主导地位,占比达到 63%,但是,在计划出海的企业群体中,员工 1000 人以下的中小企业则占据了主流,占比达到 65%。由此可见,面对数字经济所带来的机遇,中小企业将越来越多地参与到出海业务中,借助各类云服务实现跨区域业务的
10、数字化转型与智能化创新。中国企业出海足迹近年从欧美等传统区域扩展到东南亚、北美洲、非洲等新兴区域。根据亚马逊云科技 2022 年 6 月的中国企业上云出海趋势洞察,超过 60%受访出海企业的全球业务布局覆盖超过 3 个以上海外地区。5 东南亚作为新兴经济体的代表,由于地理位置优越,人口基数庞大,且拥有接近中国文化习惯的先天优势,成为很多中国企业初次出海的重点考虑地区以及出海业务覆盖最高的地区,尤其是对于从事网络游戏、金融科技以及企业服务的中国企业,东南亚俨然已成为其出海的首选地。欧洲和北美洲作为发达国家集中地区,受到大型企业更高的关注,分别位居出海重点覆盖区域的第二位、第三位。由于欧洲、北美洲
11、的高价值客户较为集中,中国出海企业更加关注对品牌建设的投资力度,提升品牌竞争力。南美洲、非洲以及中东地区作为新兴经济体集中地区,正在成为中国企业出海的“新蓝海”,在 2021 年,中国对非洲出口 1483 亿美元,同比增长 29.9%1。1中华人民共和国商务部统计数据6 跨境电商供应链相关企业开始分工合作、协同预测、协同供应、协同研发,以提高企业对市场变化的反应速度,强化产品功能质量,提高生产和供应效率。另一方面,与海外消费者建立信任关系,也同样是开拓海外市场的重要一环,企业越发注重对海外消费者权益更进一步的保障,比如对消费者权利以及数据安全和个人隐私保护。传统的游戏行业通过分发平台购买游戏或
12、游戏内的充值内购进行盈利,近年来探索出新的营收模式,例如加入订阅业务,通过运营商资源触达用户获取订阅分成或广告变现等。中国汽车流通协会于 2022 年的调研数据显示,所受访车企在未来 3 至 5 年仍将全部或部分采用经销商模式以及与当地售后合作,少量车企开始尝试直营/自建模式。数据将逐渐从分散在经销商回归到车企的掌控范围,助力于车辆研发与优化。跨境支付平台、智能数字营销平台以及助力企业出海的工具平台服务成为热门投资领域,新业务场景得以实现,产品触达更多消费者,更好地跨区域运营。激烈竞争促进出海业务及盈利模式多样性发展在竞争日益激烈的国际市场中,传统的业务及盈利模式带来的收入增长有限,中国企业也
13、在探索应用数字经济的东风,开展更为广泛的创新活动。随之而来的处理数据敏感化、数据处理过程复杂化、数据来源多元化、跨区域数据流动也带来了出海过程合规新挑战。7工作生活方式的变化带动了线上服务的发展和对远程安全保护的关注2020 年开始,新冠疫情的爆发引发了人们对于公共卫生安全与个人隐私边界的热烈讨论,社会公众越发注重对自身隐私的保护。一个典型场景是过去近三年,人们把工作和生活的重心转移到线上,且随着疫情后经济艰难复苏,越来越多的消费者选择更为透明和低廉的线上购物渠道,物美价廉的中国服装快时尚品牌、操作友好的智能互联家电以及与社交网络深度融合的直播购物生态成为海外新宠儿。但在此过程中产生的数据自动
14、化处理、多渠道数据融合化等复杂的新型问题,引发了公众对企业的不信任,以及对AI技术背后黑盒的担忧,加大了隐私增强计算的迫切需求。另一个场景,是疫情期间许多企业被迫转为线上办公。对于网络体系较为健全的互联网企业来说,要求员工使用 VPN 等类似的隐私通道技术可以相对安全高效地实现远程办公,而对于网络边界建设不完全的企业,员工可能不得不在远程办公期间通过互联网接入企业,线上办公所处理的数据大部分也都通过互联网传输,这会大大增加员工受到网络攻击和社会工程的攻击风险,对数据保护是一个巨大的挑战。再者,在工控领域,远程操作的有效性和精准性远远不如实地操作,并且远程接入工控网络也会增加遭遇各种网络攻击的风
15、险。同时,使用个人电脑存放机密材料,因设备损坏、设备被盗等原因导致的信息泄露事件仍时有发生。1.2 数字科技领域热点趋势78 AI 等新技术在加速价值产生的过程也带来了新风险随着 AI(Artificial Intelligence,人工智能)算法及算力基础设施的快速发展,生成式 AI 在商业领域的应用在近两年成为了热点话题,尤其是在人机交互问答、图像生成及美化、文本生成等领域在给商业或人们日常生活带来极大便利的同时,AI 技术的安全性、对人类社会带来的新挑战也成为关注的重点。AI 的运行除了依赖于大量算力、网络传输的基础设施支持以外,其被“投喂”的数据量级、准确程度以及人为对 AI 的干扰也
16、极大地影响了 AI 的实际表现。由于网络数据以及训练过程的被误导,AI 极有可能提供带有欺骗性、误导性甚至是非理性的信息给到交互人,带来了不可控因素,包括降低了 AI 技术的可信度。另一方面,在交互人与 AI 进行沟通过程中,可能会无意识地提供个人信息或商业机密。即便存在事前的使用提醒,但是此类信息的被动收集仍有可能发生。对于用户来说机密信息被不恰当地提供,而对于企业来说需要额外考虑应如何处理这类交互过程产生的数据以及如何进行保护,避免此类数据泄露以及进入模型提供给其他用户。在网络安全领域,AI 在被用于自动化地网络安全运营以减少人工成本、提供筛查效率的同时,也被不法分子用于寻找新的漏洞或生成
17、更有侵犯性的网络攻击策略。企业不得不投入更大地精力提升其网络安全能力,以应对使用了 AI 技术的网络攻击,避免在自身的安全防护中疲于奔命。9 但与此同时,企业之间的不信任以及对外的隐私承诺促使了数据保护技术的发展。例如在分布式机器学习技术被质疑可能导致大量隐私数据泄露时,联邦学习提供了一种将隐私保护和机器学习相结合的方法,允许多方企业在不揭露自身敏感数据的同时参与运算,并且得到期望结果。各方企业在参与联邦学习时,中心处理节点会向各个企业节点共享一个初始模型以供建模,在企业节点完成建模之后将建模参数采用同态加密等保密手段传回中心节点,中心节点通过新一轮的计算改进新的模型之后再共享给各节点。此过程
18、不断重复就构成了基本联邦计算。除了采用联邦学习和同态加密等密码学手段保护个人隐私外,可信时空技术和追踪技术也被运用于数据保护。10 1.3.1 个人信息及衍生信息保护在数字化时代,随着云计算、移动通讯、物联网、机器学习、人工智能、区块链以及其他技术的蓬勃发展,各行业领域在数据安全方面面临的机遇和挑战伴随其数字化和自动化变革进程而来。各国立法者们正在加紧完善国内立法,并积极参与双、多边数据跨境规则的制定:从各国视角,完善立法保护了本国重要数据,提升了数据安全治理效能,加快颁布国内数据法律更是规制了各商业主体的收集、使用、分享、存储以及披露数据信息行为;从国际视角,为占据数据国际流动规则话语权,各
19、国纷纷建立严格的数据出境管理制度,积极参与数据跨境流动对话,并共同积极推进数据在全球范围内的安全流动。一方面,在各国法律层面,上世纪末至今,各国陆续开启了隐私保护国内立法进程。欧盟通用数据保护条例(General Data Protection Regulation,简 称“GDPR”)的生效,更催生了新一轮的隐私保护法律体系的完善,各国开始反思过往立法实践并对其补充、优化。其次,除了保护个人信息外,多个国家也开始加强对非个人信息的规制,对可能影响国家安全、经济运行、社会稳定、公共健康和安全的数据进行强监管,例如韩国的信用信息法、信息通信网法,欧盟委员会发布的欧盟数据战略(European D
20、ata Strategy)、2023数字罗盘(2030 Digital Compass:Your Digital Decade),美 国 的CLOUD 法 案(The Clarifying Lawful Overseas Use of Data Act)等。1.3 数字科技立法及监管趋势1011 另一方面,在国际规则层面,除了个人信息保护,其他的商业数据同样蕴藏着巨大的经济价值。其流动支撑了跨国贸易中商品、服务、人才、资本等几乎所有资源的流动,已成为推动全球经济增长的必要力量。随着全球各国数字产业及大数据、云计算技术的迅猛发展,数据流动将对全球经济产生更深远的影响,由此产生的数据红利与数据安全
21、之间的碰撞将深刻影响着未来数字经济的走向。为了释放数据红利并兼顾数据安全,抢占新一轮经济竞争制高点,美国、澳大利亚、韩国等国纷纷建立、完善数据跨境流动的相关国内规则,并积极推动、参与国际规则的制定。12 首先,各国将制定统一专门的“个人信息保护法”并细化其适用规则。目前,全世界有三分之一的国家存在生效的隐私保护法令,超过三分之一的国家正在制定统一立法的过程当中,在未来可预见到将出现更多专门的隐私保护立法。各国在制定统一的个人信息保护立法的同时,将配套出具了更细致的法令的适用规则及操作指引。第二,将出现更多针对特殊领域的专门立法。统一的隐私保护立法对各行业提出了统一的合规标准,但针对敏感信息集中
22、的针对特殊的领域,例如医疗、金融、财务等行业,统一的要求未能满足敏感信息的保护标准。为解决这一问题,各国将出台针对特殊领域的特别法令,对数据进行风险分级管理,以满足多层次需求。第三,国际间将逐步形成较为通用的数据保护和隐私原则。现代数据保护和隐私法规具有一些共同的原则,如,数据处理者需要有处理数据的合法理由等。随着各国与国际组织立法的不断深入,这些基本的适用原则将出现更大的趋同趋势。在这样的前提下,双边和多边的数据保护互认机制将出现,这将极大地便利跨国企业对不同地区业务的协调,从而大幅度降低运营成本。从上述立法情况,不难预见以下几点趋势:1213第四,在个性化推荐方面,部分国家已建立算法推荐的
23、监管制度,对算法缺乏透明度、不良内容诱导、用户标签聚合可能导致特定个人被识别等情况进行了相应的规制。例如,我国于去年发布互联网信息服务算法推荐管理规定,用以规范互联网信息服务算法推荐活动,规定算法推荐服务提供者应当加强用户模型和用户标签管理,完善计入用户模型的兴趣点规则和用户标签管理规则,并应向用户提供选择或者删除用于算法推荐服务的针对其个人特征的用户标签的功能,同时该规定鼓励算法推荐服务提供者优化检索、排序、选择、推送、展示等规则的透明度和可解释性,避免对用户产生不良影响,预防和减少争议纠纷。而欧盟于2022 年颁布的数字服务法案(Digital Services Act)则要求超大型在线平
24、台和超大型在线引擎应对所使用的推荐算法及其他算法系统进行风险评估,考虑风险的严重性和发生概率,并对此采取风险缓解措施。第五,除隐私保护的监管外,部分国家也提升了对影响国家安全、公共健康和安全的重要非个人信息的管控。如我国全国信息安全标准化技术委员会于 2022 年发布的信息安全技术 重要数据识别指南(征求意见稿),用以对网络安全法第 37 条关于重要数据的境内1314存储以及出境安全评估及数据安全法第 21 条关于国家加强对重要数据保护的初步响应。又如美国国家标准与技术研究院(National Institute of Standards and Technology,简称“NIST”)一直在
25、制定关于受控非密信息的安全保护要求,包括 SP 800-171保护非联邦系统和机构的受控非密信息、SP 800-171A受控非密信息安全要求评估、SP 800-171B 保护非联邦系统和组织中的受控非密信息:关键程序和高价值资产的增强安全要求。800-171B 的范围扩展到了非联邦机构,如联邦政府的合同商跟联邦政府发生了关联,由此产生的数据到了社会领域,非联邦机构就必须落实这些数据的安全要求。第六,在跨境规则方面,各国将建立完善的数据出境管理机制,数据本地化要求的地区范围将扩大。各国结合本国产业发展的特点及现有政策基础,以维护个人隐私权利、保障企业发展创新、捍卫国家数据主权安全、增强数字国际竞
26、争力四个价值维度为基本考量,积极探索建立各国的数据管理体系。许多国家/地区已制定了数据本地化法律,其范围仅限于特定行业(如德国要求电信组织在本地存储通信数据)或特定部门(如澳大利亚要求将健康数据存储在本地)。随着立法的深入和各国公民隐私保护意识的提升,全球各地区将出现更细化的本地化要求。最后,各国将推动国际数据跨境自由流动规则的构建,促进数字经济稳健发展。通过提高数字基础设施供给标准、完善验证监管机制等措施,为数字网络和创新服务的蓬勃发展创造有序健康的环境,也将是全球各国针对数字价值的普遍追求。各国关注国内规则与不同国际规则的兼容性,降低规则差异给跨境数据流动管理带来的风险和成本,开发与全球跨
27、境流动规则对接的认证机制,争取国际信任及合作空间。14151.3.2 大型数字平台监管除了对一般数据处理角色的监管,当前欧美发达国家及我国对于一定用户规模的大型数字平台2的监管越来越严格,从公平竞争、用户权益、网络和数据安全等方面明确平台服务提供者应承担的义务。综合来看,大型数字平台相关监管的法律内容更加详细、其适用范围逐渐扩大,各国执法理念和工具创新等趋势凸显,监管背后的政治经济博弈也在加剧。在欧洲,2022 年 7 月,欧洲议会高票通过数字市场法(Digital Markets Act,以在美国,对大型数字平台监管主要集中在反垄断方面,美国司法部曾对巨头企业展开反垄断调查,意在限制它们在互
28、联网相关领域的市场份额和影响力。2021 年 6 月,美国众议院审议通过了六项反垄断法案,分别是终止平台垄断法案(Ending Platform Monopolies Act)美国创新和线上选择法案(American Innovation and Choice Online Act)平台竞争和机会法案(Platform Competition and Opportunity Act)收购兼并申请费现代化法案(Merger Filing Fee Modernization Act)通过启用服务切换(ACCESS)法案(Augmenting Compatibility and Competitio
29、n by Enabling Service Switching Act)以及 州反垄断执法场所法案(Augmenting Compatibility and Competition by Enabling Service 下简称“DMA”)和 数字服务法(Digital Services Act,简 称“DSA”),并 将 其整合为“数字服务一揽子法案”(Digital Services Package,简称“DSP”),两个法案各有侧重,DMA 重在数字平台反垄断,DSA 重在数字内容治理,实现共同管控互联网巨头在欧洲的活动。法案赋予了欧盟理事会对大型数字平台空前的监管权力,标志着欧洲数字市
30、场监管模式的重大转变。通常在监管过程中,还协同 GDPR 和反垄断法(European Competition Law)限制大型数字企业的市场份额和市场行为。2大型数字平台泛指如欧洲议会与欧盟根据 数字服务法(DSA)定义的“连续四个月月均活跃用户的数量大于或等于4500万”的超大型在线平台、中国 互联网平台分类分级指南(征求意见稿)定义的“平台上年度在中国的年活跃用户不低于5亿,核心业务至少涉及两类平台业务,上年底市值(估值)不低于 10,000 亿人民币,且具有超强的限制商户接触消费者(用户)的能力”的超级平台。在本文中指代具有较大规模的互联网在线平台。16 Switching Act,简
31、称ACCESS 法案),旨在控制大型科技企业(年市值或在美年净销售额在 5500 亿美元以上或在美月平均活跃用户在 5000 万以上的平台企业)不断膨胀的权力。与此同时,在 2022 年 3 月,美国司法部正式批准反垄断立法美国创新和线上选择法案(American Innovation and Choice Online Act),新法将禁止大型数字平台将自己的产品和服务置于竞争对手的产品和服务之上的行为。在澳大利亚,2021年2月,澳大利亚议会正式通过 新闻媒体和数字化平台强制议价准则。该法对社交媒体、数字代理服务平台,以及其他在澳大利亚拥有超过 250 万用户的大型数字平台使用新闻内容作出
32、多项规范,规定澳大利亚新闻机构有权要求大型数字平台为使用其新闻内容付费,并就此开展单独或集体谈判。在中国,对于大型数字平台的监管主要依赖网络安全法和反垄断法等法律法规。例如,根据中国反垄断法,中国监管部门曾向几个大型平台公司出具限制经营和提高透明度的监管警示,约束其行为。2021 年 10 月,中国国家市场监督管理总局发布了互联网平台分类分级指南(征求意见稿)和互联网平台落实主体责任指南(征求意见稿)两部指南并向社会公开征求意见,以加强对超级平台的监管,警示各大数字公司合规经营和数据安全等问题。根据 20172021 年的有关公开资料,现有 18 个国家和地区发起了针对全球数字平台头部企业共计
33、 150 起反垄断诉讼和执法案件,总罚金超过 192.6 亿美元。从区域来看,欧盟及其成员国的案件最多,占比 40.7%(其中 40%来自欧盟委员会);美国、英国次之,分别占 21.3%、7.3%;印度、俄罗斯、澳大利亚、日本、韩国等也都加大了对大型数字平台企业的反垄断调查力度。总体来说,世界各国对数字平台的监管呈现出多样化的趋势,对于中国出海企业来说需密切关注是否会落入监管范畴。在立法方面,数字隐私、数据保护和反垄断法规等日益完善,企图规范数字市场秩序;在社会观念上,市场运作需透明公正,用户权益和个人信息得到应有保护等观念变得越发重要。171.3.3 人工智能技术监管人工智能(Artific
34、ial Intelligence,简称“AI”)席卷全球的趋势势不可挡,但如何监管却成了棘手的问题。新一代人工智能具有高度的自主性、自学习及适应能力,传统的监管模式已难以适应其发展需求,在对智能产品应用后果和风险的预判,问题责任归属,以及对潜在安全风险管控等方面都将面临新的挑战。近年来,各国对于人工智能技术的监管趋势和立法趋势日益增强,主要涉及到数据隐私、算法公正性、安全可靠性、机器人伦理等多个方面。2020 年 2 月,欧盟委员会发布了三份重要的数字战略文件,其中人工智能白皮书-走向卓越与信任欧盟人工智能监管新路径(White Paper on Artificial Intelligence
35、:a European approach to excellence and trust)是欧盟的人工智能发展战略,也是欧盟出台的第一份人工智能白皮书,旨在打造以人为本的可信赖和安全的人工智能,确保欧洲成为数字化转型的全球领导者。白皮书将“人工智能”定义为将数据、算法和计算能力结合起来的技术集合。特别强调,鉴于人工智能系统的复杂性及其潜在的风险,提升人工智能应用的可靠性至关重要。欧盟希望通过制定更加严格的规范,特别要在消费者保护、防止不公平商业竞争、保护个人数据等方面加强立法和管理,最大限度减小人工智能应用风险。2021 年 4 月,欧盟发布 人工智能法案(Artificial Intelli
36、gence Act)提案,提出了 AI 统一监管规则,旨在从国家法律层面限制 AI 技术发展带来的潜在风险和不良影响,使 AI 技术在符合欧洲价值观和基本权利的基础上技术应用创新得到进一步加强,让欧洲成为可信赖的全球 AI 中心。目前,欧洲议会内部市场委员会和公民自由委员会在 2023 年 5 月 11 日 18目前,欧洲议会内部市场委员会和公民自由委员会在 2023 年 5 月 11 日高票通过了人工智能法案的谈判授权草案,且已于 6 月中旬提交并通过欧洲议会全会表决,今年晚些时候欧洲议会将与欧盟理事会就法律的最终形式进行谈判。2020 年 1 月,美 国 联 邦 政 府 发 布 了 人 工
37、 智 能 应 用 的 监 管 指 南(Guidance for Regulation of Artificial Intelligence Applications)。这是美国发布的首个人工智能监管指南,为联邦政府对 AI 发展应用采取监管和非监管措施提供了指引。该指南要求联邦政府在针对 AI 技术和相关产业采取监管和非监管措施时,要以减少 AI 技术应用的障碍、促进技术创新为原则,随而推动了美国人工智能监管政策在各行各业的积极发展。例如,美国食品和药物管理局和美国交通部一直致力于将人工智能监管纳入其监管框架;美国联邦贸易委员会(FTC)于近期启动了对于人工智能歧视、欺诈和数据滥用等问题的监管
38、规则制定;住房和城市发展部正着手推翻原先制定的一项规则,允许人们对与住房分配有关的算法决策不公提起歧视诉讼和索赔;平等就业机委员会发起了一项在人员雇佣和办公场所管理等方面需合理有限采用人工智能系统的倡议;五大金融监管部门也已开始调查美国金融机构中存在的影响风险管理、公平借贷和信用额度的人工智能应用及相关做法。192022 年 4 月 22 日,日本内阁发布AI 战略 2022,旨在加快人工智能在日本的发展。该战略秉持“以人为本”、“多样性”、“可持续”三项原则,设定了人才、产业竞争力、技术体系、国际合作、应对紧迫危机五大战略目标。此外,政府将从经济安全的角度推出一些举措,希望在以下五点提高 A
39、I 技术,一是提升 AI 的可信性,确保 AI 的透明性和可解释性;二是丰富数据以支撑 AI 的应用;三是面向人才培养打造相关环境;四是推动 AI 在政府的应用;五是促进 AI 与物理、化学、机械等日本具备强大实力的领域的融合,以开发竞争力强的产品与服务。2019 年中国国家人工智能治理专业委员会发布新一代人工智能治理原则、新一代人工智能伦理规范,两者不仅提出人工智能相关方的八项原则,更是为“伦理道德”如何融入人工智能研发和应用全生命周期奠定发展基础。随着大数据及相应技术的发展,2021 年 12 月,国家互联网信息办公室联合公安部等四部门联合发布了 互联网信息服务算法推荐管理规定对算法推荐类
40、等技术服务提出合规要求。2022 年,随着元宇宙、AI 换脸等技术的发展,监管部门针对深度合成技术,发布互联网信息服务深度合成管理规定以规范国内对相应技术的使用。2023 年 7 月,面对ChatGPT和大模型领域的科技创新动态,中国网信办联合国家发展改革委、教育部、科技部、工业和信息化部、公安部、广电总局七部门发布生成式人工智能服务管理暂行办法(以下简称“暂行办法”),这也是全球范围内针对生成式人工智能的首部专门立法。暂行办法整体聚焦生成式人工智能的规范应用与发展。在内容方面,暂行办法 明确了责任主体的义务,不仅对生成式人工智能在具体场景的应用提出合规要求,也针对多领域主管部门所管辖的生成式
41、人工智能服务应用开展了行业垂直监管。此外,暂行办法更是增设“技术发展于治理”章节,鼓励 AI 技术发展,推动数据资源平台建设并促进基础技术的自主创新。总体来说,各国在 AI 技术的立法和监管趋势上多数是为了保护消费者和用户的利益,旨在增强 AI 技术的透明性,促进技术可信的同时限制 AI 对于社会道德、公平性的破坏。20中国企业出海面临的合规挑战221中国企业出海面临的合规挑战二在数字经济领域,中国企业面临的出海挑战是复合的,其复合一方面体现在对于监管事项的管理是糅合的,例如企业难以为数据安全、AI 安全以及隐私保护建立三套有所关联又不同的体系去应对合规要求,成本以及内部执行的复杂性也会让这种
42、方式难以实施。企业更多地是建立一套管理体系可以响应不同领域的合规要求,梳理为可清晰理解的实施与管控路径。另一方面的复合体现于出海过程的合规不仅仅企业内部管理、内部技术建设就可以满足的,企业如何面对监管、面对客户以及供应链、合作伙伴的合规与安全也至关重要。尤其是当出海企业落入数据控制者3角色时,对于合作的其他数据控制者或数据处理者仍需审视其是否具有足够的能力保护处理过程的安全与隐私。因此本章节将以数据安全与隐私合规为主要切入,在其基础上通过分析企业需面对的常见的合规事项,并列举在此基础上数字平台与人工智能监管的要点和补充领域,最后总结其对于中国企业的主要挑战以及主要行业所面临的特殊合规挑战。3此
43、处为 GDPR 下的数据控制者(Data Controller)与数据处理者(Data Processer)角色,各国的角色命名与定义以各国法律为准。22另外由于数据跨境的合规流通是近年来另一热点话题,其所涉及的对象与以上六类合规面向主体存在重叠,且场景较为特殊,将在 2.1.2 章节具体开展介绍。2.1 数据安全与隐私合规态势概述合合规规面面向向主主体体说说明明监监管管用用户户第第三三方方本文中主要指需要向监管部门进行登记、汇报、或其他所需的持续沟通与互动的行动。对于面向消费者的企业,消费者则此处用户。对于面向企业的用户,这里主要为系统承载的个人信息的所属个人。最终指向均为数据主体。出海的主
44、要产品或服务,除业务功能外还需满足在设计界面、处理流程、安全管控、功能提供等方面的合规要求。管管理理层层即出海企业的管理体系,包含公司业务及在数据安全、隐私保护领域的负责人,以及为支持内部运行的管理制度与管理规范。包括不限于供应商、生态合作伙伴等存在数据流动的第三方组织。产产品品及及服服务务技技术术实实现现支持公司、产品及服务整体安全运行的基础,包括不限于数据加密、安全事件监控等手段。在本章节中,我们将以出海企业在应对合规过程中需重点关注的六类主体为框架,介绍面对不同主体企业需响应的合规监管事项。23出海企业规范影响遵从管理层产品与服务技术实现e.遵从数据处理的基本原则f.识别可能处理的特殊类
45、型个人数据以及处置要点g.识别并管理数据跨境活动h.开展数据保护影响评估i.采取与数据类型相匹配的保护手段,并持续监测其有效性j.管理数据留存期限k.对数据处理活动进行记录数据主体a.任命数据保护负责人,识别合规要求并监督其落实供应商或合作伙伴对第三方的数据安全能力进行审查与第三方签署合同约定责任义务提供数据主体权利请求的渠道与响应当地监管机构数据处理活动登记2.1.1 常见数据安全与隐私合规监管事项出海企业在内部可粗略按照在监管事项响应的主要负责角色来分为三类职能:管理职能、产品与服务的设计职能以及技术实现职能。另一方面在外部,出海企业面对着当地监管机构、数据主体、第三方供应商或合作伙伴的合
46、规需求。内部及外部的合规面向主体的关系可如下图所示:24任命数据保护负责人,识别合规要求并监督其落实数据保护负责人(或称数据保护官,Data Protection Officer)是自我约束机制中的重要一环。以 GDPR 的要求为例,数据保护负责人主要有以下职能和角色:一是作为各辖区监管机构的联络点;二是帮助数据控制者/处理者识别合规要求并对处理活动中是否满足合规要求进行监督;三是作为和数据主体的联络点;四是作为境外数据控制者或处理者在处理行为发生地的代表。该角色应当具备足够的专业资质背景,同时企业管理层需要提供对于数据保护负责人履行职责应有的地位、资源以及接触个人数据和处理机制的渠道,在其履
47、行职责时不应受干涉,如直接向最高管理机构汇报等。但需注意的是,不同国家对于数据保护负责人的要求存在一定差异,主要体现在数据保护负责人任命的触发条件、该个人的工作地点限制、是否属于公司雇员等方面。数据保护负责人登记在任命数据保护负责人之后,如 GDPR、新加坡个人数据保护法(Personal Data Protection Act 2012,本文简称“新加坡 PDPA”)、泰国个人数据保护法(Personal Data Protection Act 2012,本文简称“泰国 PDPA”)均要求企业需要公示其数据保护负责人以便公众或被处理信息的个人可通过该渠道进行联络,GDPR 与泰国 PDPA
48、则进一步要求该数据保护负责人需告知监管机构该个人及其联系方式。管理职能将作为出海合规的核心角色,承担起内部合规的总体职责,同时对外与当地监管机构保持恰当的对接与沟通。2425数据处理活动登记在英国、马来西亚及尼日利亚,企业在达到指定条件后还需就其数据处理活动进行登记说明。在不具备豁免情形的前提下,处理个人数据的出海企业在英国开展业务时,应在每个收费期前21天内向英国信息专员办公室(Information Commissioners Office,简称“ICO”)支付数据保护费并提供与企业相关的信息,如企业的姓名和地址、企业的工作人员数量、企业财政年度营业额等。支付的数据保护费水平取决于企业的类
49、型、性质、规模和营业额而有所不同。如果数据控制者在 6 个月内处理超过 1000 个数据主体的个人数据,必须向尼日利亚国家信息技术发展局(National Information Technology Development Agency,简称“NITDA”)提交一份审计摘要的副本,说明其隐私保护的内部做法,包括收集的个人身份信息、收集目的、收集和使用的隐私政策声明及获取同意的方法、数据主体权利请求渠道、安全保障措施、个人数据使用说明、组织的隐私和数据保护政策和程序以及对于该政策和程序的监测与汇报记录。在 12 个月内处理超过 2000 个数据主体的个人数据的数据控制者,必须在次年 3 月 1
50、5 日之前向 NITDA 提交其数据保护审计摘要。而马来西亚在2013 年个人数据保护(数据使用者类别)法令(Personal Data Protection Regulations 2013,简称“PDPR”)及其修正案注明了需要向个人数据保护委员会(Personal Data Protection Commission)注册的数据控制者类别,涵盖行业包括:银行和金融机构、保险业、健康、旅游和酒店业、运输、直接销售、1961 年控制用品法(Control of Supplies Act)规定的零售或批发交易等。如果出海企业是作为两个或以上类别的数据使用者,则出海企业必须就其所属的每个类别分别