《2024跨境数据合规白皮书_市场营销策划_2024年市场报告-3月第4周_【2024研报】重点报告_.docx》由会员分享,可在线阅读,更多相关《2024跨境数据合规白皮书_市场营销策划_2024年市场报告-3月第4周_【2024研报】重点报告_.docx(45页珍藏版)》请在三一办公上搜索。
1、径项科技JJmaniftiTA1.跨境数据管觊白忠2024.Q1聚焦全球及中国数据合规发展态势1.1 全球数据合规条例兴起,部分国家和地区加强制度管理1.2 中国数据合规发展背景及趋势13跨国企业数据流动价值数据合规风险及挑战2.1 Al风险及数据合规问题2.2 数据跨境主要痛点及难点2.3 企业在具体业务中的数据安全和合规性问题据安全合规的应对策略3.1 现行法律法规对于数据安全的相关要求3.2 数据本地化存储与出境33径硕科技数据安全解决方案前沿技术与数据合规的碰撞4.1 揭开生成式Al的神秘面纱4.2 AlGC国际层面的立法监管情况聚焦全球及中国数据合规发展态势1.1 全球数据合规条例兴
2、起,部分国家和地区加强制度管理1.2 中国数据合规发展背景及趋势1.3 跨国企业数据流动价值1.l全球数据合规条例兴起,部分国家和地区加强制度管理近年来,随着互联网的迅速发展以及国内外对于数据要素的认知不断深化,各国更加关注对数据的合规利用以期提升国家综合竞争力。自欧盟推出一般数据保护条例(下文简称GDPR或“一般数据保护条例)以来,已有100多个国家针对数据合规颁布或提出了数据保护或隐私保护法。除法律法规层面的完善之外,主要国家和地区的监管执行力度也在不断增强,2021年GDPR全年罚款金额同比上涨,总计达到11亿欧元,亚马逊也因违反GDPR被罚7.46亿欧元。为保证数据安全和执法透明度,全
3、球数据合规条例增长和范围扩大已成为必然。I嵋41981-欧盟个人数据自珈匕处埋中的个人保护公约1995.10-95指令2016.4-一般数据保护条例2019.5-非个人数据自由流动条例2019.4-网络安全法案2020.2-欧洲数据战略2022.2-数据法案(草案)2022.5-数据治埋法案2022.9-数字市场法案2022.10-数字服务法案I加拿大.1983-隐私法)1983.7-信息访问法案)200O-个人信息保护和电子文档法案2012.3-加拿大网络安全对关曜基础设施威胁的评估2018.6-新版国家网络安全战略法国.1978-信息技术与自由法2008.6-国家安全与防务白皮书2011.
4、2-信息系统防御与安全:法国战路2015.10-法国国家数字安全战略2018.2-网络防御战略评论2018.11-个人数据保护法I英国1984-数据保护法2003-隐私与电子通信条例(PECR)2018.5-网络和信息系统安全法规2021.1-通用数据保护条例2022.1-国家网络安全战略2022-20302022.5-数据改革法案(草案)I德国1976-(个人数据保护法)2018-新联邦数据保护法2021.1-联邦数据战略)2021.5-H安全法2.0版I懿到兔1996-数据保护法)2003-电子商务法)2005-消费者法典2012-个人数据保护法典(修订版)2013-国家网络空间安全战略框
5、架2018.12-数据保护法各国家和地区立法具有鲜明特点,发展趋势存在差异由于各国家和地区间推动数据合规的驱动因素、国情的差异,立法侧重点及发展趋势也有所差异,以下是不同国家和地区在数据监管方面的不同措施:以欧盟和亚太经济合作组织为代表的地区,性立法:以保护个人数据为出发点,推动地区间数据流通,同时在监管和执法程序上更加标准化和透明化;以美国为代表的国家:在合规立法中更看重数据自由流动带来的经济效益,在奉行整体宽松政策的同时;为特殊行业提供不同的法律依据,例如金融、医疗、电子通信、基础设施等行业;以俄罗斯为代表的国家:在合规立法方面受政治因素影响较大,更关注以安全为核心的国内治理,对数据跨境流
6、动施行严格管控,形成内外双严”的数据安全发展态势。中国关于数据安全立法也有自身特点:地方数据立法实践开展较早,各地在以国家政策法律为导向的同时积极探索制度创新。整体来看,立法内容呈现从综合性到重点领域,再到综合性与重点领域并行的趋势,立法程度与数字经济发展水平呈正相关。12中国数据合规发展背景及趋势1.2.1数据作为生产要素写入政策性文件数字时代的全球竞争下,我国将数据定义为成继土地、资本、技术、人力之后的第五大生产要素,在新一轮数字经济浪潮中,正成为经济增长的新引擎和国际竞争的新抓手。2020年3月30日,中共中央和国务院明确将数据作为生产要素写入政策文件;2022年3月25日,中共中央和国
7、务院明确第十三条:需要加快培育数据要素市场,完善知识产权评估与交易机制,推动各地技术交易市场互联互通,其中包括建立健全数据安全、深入开展数据资源调直、推动数据资源开发利用。中华人民共和国中央人民政府中共中央国务院关于加快建设全国统一大市场的意见xnM-oo*a*ttvatuxxI11oGOO新华社北京4月IOB电中共中央IB务Rt关于W设型Bit一大电M免(202293月25日)数据作为发展侧越来越重要的向度,是构建新发展格局的重要支撑。尤其随着近几年AI、大模型、算力算法等技术的发展,数据作为其基础设施的技术座驾当其发展到一定规模后,肯定需要从国家层面进行规制和管理,以此提升国家综合治理能力
8、。以app濯:APP是媒介化社会中,我不可缺少的一部分,几乎今天所有的互耳英行酒基于app生态因此,也越来越产格。据可公开信息:2022年网信上场通告,又通滴公司攵曼80.26彳次的。据国家网信抄室白滴滴公司共存在16工空底行为其中涉及个人陲方面,除了基石曲身份U赛个人信息外,括人(facerecognition)等三关系(familyrelationship)精准位置(3)(preciselocation)、出行意三Itravelintention)等。同日寸相册截摩IaIbUmscreenshots)、剪切板截三Idipboardscreenshots)、应用列表(applicationl
9、ists)等信息竟然也成海遗收集的数据,几乎将用尸中人信息以及手机使用了底朝天。又哪例的拗表明了我国在数据合夫霞上也愈发稻和完善。以下为APP执法检查工作的主要部门:(1)中华人民共和国工业和信息化部(2)中华人民共和国国家互联网信息办公室(3)中华人民共和国公安部(4)国家市场监督管理总局(5)国家计算机病毒应急处理中心而这些主要部门的执法检查工作,将围绕以卜被重点关注的违法行为展开:(1)超范围收集个人信息(2)强制用户使用定向推送(3)欺骗误导强迫用户提供个人信息(4)权限索取行为(5)违规使用个人信息(6)违规收集个人信息(7)欺骗误导用户下载APP(8)移动应用分发平台信息展示(9)
10、APP频繁自启动和关联启动(10)开屏弹窗信息骚扰用户1.2.2中国现行zl+3+N监管体系中国现行跨境法律监管体系由1+3+N组成。“1即国家安全法,作为整个跨境监管体系的基石,进一步强调数据跨境监管中对国家网络安全和数据安全的保障;即网络安全法、数据安全法以及个人信息保护法,作为数据安全监管领域的三驾马车,分别对网络安全、数据安全以及个人信息保护领域提出原则性监管要求,并对关键信息基础设施、重要数据以及个人信息的跨境传输提出法律规制要求;N指在国家安全法和网络安全法、数据安全法以及个人信息保护法基本框架之内,落实四部上位法监管要求针对数据跨境场景出台的法律和监管规定,包括专门的数据安全立法
11、以及行业监管立法,其中数据安全立法包括数据出境安全评估办法数据出境安全评估申报指南个人信息出境标准合同办法及标准合同样本、网络安全标准实践指南一一个人信息跨境处理活动安全认证规范V2.0、个人信息保护认证实施规则等,进一步细化数据出境相关路径要求,为企业提供操作指引。针对不同行业领域内的数据跨境,相应行业监管机构从本行业特点出发亦提出相应监管要求,从而构建多维度多层级的数据跨境监管体系。不同行业及领域企业须同时满足数据安全立法及各行业监管机构的数据跨境要求,由此也形成了由国家网信部门负责统筹协调和监督管理网络安全工作,国家电信部门、公安机关以及各行业监管机关共同配合的“1+X监管机制。2016
12、网络安全法:于2016年11月7日通过,自2017年6月1日起施行2021从2016年-2023年为筑牢数据安全y防火墙从不同层面都做了立法规制。网络安全法为构筑网络安全的基础,强调网络安全的保护,为网络空间的整体安全和有序发展奠定了总基调。数据安全法搭建数据安全的基础,强调数据安全的保护,尤其注重重要数据和国家核心数据的保护。个人信息保护法则侧重于个人信息处理准则和保护边界的细化,对个人信息的保护,对个人信息保护的全生命周期作出细致且全面的规定。1.3跨国企业数据流动价值在全球数据流通中,跨国公司作为海内外数据存储的庞大数据处理者,经常会涉及到跨境数据合规的问题。但也要承认当前跨国数据要素与
13、数据流动也会不断创造新的价值与机遇,因此,加强数字治理与数字安全的全球合作成为重中之重。(1)促进全球经济流动与增长。基于生产要素国际流动理论,数据的跨国界流动可以帮助跨国企业更直接、更合理地利用全球要素资源,世界经济论坛称“跨境数据流动的能力是高效行业的一个关键要素,也是关键的生产力增强剂,对维持分求复苏和为经济体奠定长期竞争力基础至关重要。(2)猊升国际创新能力数据跨境流动意味着信息、知识的传播与共享,自由流动的数据是国家创新的重要催化剂,根据FrOSt&Sullivan2025年大趋势预测,数据支撑着未来,90%的变革性转变严重依赖于数据。目前,几乎所有行业都依赖于跨境数据的流动和实时分
14、析数据的能力,以此作为其供应链、运营和商业模式创新的推动力,激发更多创意,催生新业务、新模式。C(3)推动全球化发展跨境数据流动极大地推动了企业面向全球的商业拓展。以跨境电商为例,阿里巴巴、亚马逊等互联网平台企业通过互联网获取、处理和跨境传输数据,为各类跨境贸易商构建了全球用户社区,实现了电子商务模式的全球扩张,帮助企业融入先求供应链。内容来源:全球数据跨境流动政策与中国战略研究报告虽然跨国数据流动在各个层面都存在巨大价值,但机遇与风险并存。一方面我们要看到数据跨境流动对全球经济的促进作用,另一方面也要关注到数据是支撑国家安全与发展的重要战略资源,也面对了很多不确定因素。比如说俄乌战争爆发后,
15、有些跨国企业第一时间退出了俄罗斯,或者把当地的机构就地解散,对此无论是国家层面还是企业层面不得不思考一个的问题是:未来在面对地缘政治冲突等不确定因素时,我们应该如何去应对?一一而IoCaliZatiOrl本土化成为很多企业正在考量的因素。基于数据调研,我们可以看到不同类型的跨国企业在转型战略实施进度上也各有差异。以ToBffiToC的两个领域为例,消费品企业无论是评估与规划阶段、转型与实施阶段、持续运营阶段都很积极进行转型,药企相对来说转型的过程则相对来说较为缓慢。造成这一现象的原因有很多因素,消费品的数据量级和药企是没法相比的,消费品数据量级大且异质性强,因此在合规方面会走的相对靠前一点,这
16、是该行业的特性所决定的。因此,面对不同类型的企业,数据合规驱动转型进程也不可同一而语。83%的公司已经启动了本地化进程头部跨国公司(主要集中于消费品和制药行业)持续运营转型与实施二评估与规划鹿痘100%67%消费品企业制药企业碧50%消费品企业星50%消费品企业霾17%制药企业内容来源:数据合蜘态势下的数字彳匕转型之路数据合规风险及挑战2.1 Al风险及数据合规问题2.2 数据跨境主要痛点及难点2.3 企业在具体业务中的数据安全和合规性问题21Al风险及数据合规问题生成式人工智能技术在带来深刻的生产力变革时,也为监管治理提出新挑战。通常而言,获取Al数据主要有以下方式:一,自行采集,如通过网站
17、、App.智能家居设备等渠道收集数据;二7从第三方数据供应商采购丁;通过网络爬虫等技术手段抓取现有数据广因此,Al对于数据的获取也面临了以下几种风险:2.1.1数据来源合规问题来源合思网1讨说明发行人用务效鹏时西带关也主体及用户的合法理G.收取用户It的手JB及方式JI否合法合坦.立设明发行人。取.明户俄后及电筌的过程及方踢.台时用户名明示行示.用户建反在法种上昌亮仔,西承佶加收信的迫31及使用用;谓说明及行人及出用户AK惚笆息第聚Ir收步&及橙&方式,收用户s我,用户同的Ii体川震及相关安撵收网户信时否明售卸收信的效Al及/蠲用,对的度网量否过心重的眼.4收取模积的湿收量否时户的用户有示,育
18、户的网户对于上谍行为视为女枚许可在濡折上是西先I1.朝美协仪约定KK存在幽日不利子个人用户的电式条I1.星苦桥合相关法糠法规凶生定求事说出*双It行人说明舍对Cr果原遂行分类,er茶w应用过整中是且股,网户许S1.黑包存在慢史用户农Sfi(也灰、用反)的形;6S设阻依第寺成过5.惨用氏及国合法含疑理1计时不同的做视亶辑.行人,收I1.采的做蒙时,毫否均巾嗯了信息主体明的硬权弊司文件.2.1.2数据使用合规问题Jt行A懵用闲户(且西合注合视.演时阿绢/e庞关于办喜侵如公民个人依州,*件适用在Ifd干问1的号信息安全技术个人值安全Ja型温JRiO国温说明用色朋及行人厦台存在慢配周户M0的情况.西存
19、在漆风给或在法风:发行人时用户信的收.恂.保存及应用的现歌西料合s型安全及*个人德安全限卷的乘.a,充分售示唱关凤龄并说明后续名ur常行人收.合.如”用*厚否精含寄安令理办法的题定.M否5:TW公开我憎用胡纲,后苦3向所在电网值部门重,舌存在座反收用规例使阐个人信的情况.4发行人则AT的*用腰秀武协第席,S双行人遢过APPff&发章的用户信角于R”网或X处业务,是否起过用户RAPP的发&的事,送行人相美业努的开方式及W关数理的侵用方式.行*是否允讦H三方虱拘处违帼美薇I1.是语震取襟玄&主曾6MDttJB;履行人地阚大身关技大从,鹰香号IC个性化,努是令及侵9G产品冏户个人电超X恺叹风*.MH
20、人的犬国相关檀木RH侵用.相关务的开履的合法含鲍性,星色存在生弟0在蚂纷.Jt行人第Bll及西存。&!沈蝴堂三方使阚的情况,如内令,以西*以了个人主伟的明示R.JI否较过了充分的Bt.相关覆&差-墨西先得.2.1.3数据安全合规问题CtW安全合MI同1 选三维杳发生的产祖里汗.大诉或,U,谪农明处3站臬及僧关的整改窜物;2 5百熏透行情安全,吸但沪春惮.对相关个人信百寿后戒的保电机也,AfiRa全BI人艮代袤大黄学务委员会关于JIIfll网电信保护的决定牛竽A区共IQ国网霸安令港的Nur是令工0#安全利美购厦及包姑但不*十数富男得归5例.防迫揖*里及则的!(时用户必y4加电寰U及对于弱邛敏黑的
21、加及机刖IrJRVQDattC,慢里俱.个人嬉,黑且存在愁0le91.发5 ,个A0况或戛里风,展西已口宛加陇国受町田网安堂的内肥及明金.Ilm的我行IAWtt.2.1.4科技伦理合规问题1公司在仅让人工智修员术可修.M台屹立Iat方is的里施Wjet1.林充说基业务并IR中黑色若及人技伦HCt样领域M,M情.黑色巧合(叫字授术Ifi步法中共中央办公厅0资院办公室关于MMf沱号冶的见ex$,相关羟活土是而存在合就风.3 公司友人工箜怆方面的蛆织野构,心副、内司懵期艮凯行成;4 克分UB0t*合现IaHSHe方能温r湛观,我事对及H人技术,士化帚聚的不利imr;公司在第发卬业务并过星色存在!金守
22、伦理的关疑基IQMaffMt彩,若黑蜡含41内外洛O法、技术电、5行业共一-,史一乘分析公61在东碰人工*!f可不符合能号观的防JBC1RH,公司在搐点开及10(务开同程所*整的伦理风险.6 公司在吊及IO将开及过程中H实相美责任.守修lfl关疑也IQ标*的借露及执行祝.站台内外法律法I1.接木配气.行业共飒,这一会分析公司苍但任人工智Ifiti术可黑.将台怆富如费加梢*和7国割.公司右收本开直加,务开谆谷所的枪风给.针对上述合规问题,目前全球已有近100个国家和地区制定了数据安全相关保护和法律,Gartne顷测,到2024年,全球75%的人口将在其个人数据方面受到隐私法规的保护。内容来源:A
23、I人工智能企业上市数据合规问题精解除了以上四大风险外,以下风险也值得引起企业在开展数据合规转型时注意:01统筹法律数据安全合规要求要求企业结合网安法、数安法、个保法等法律法规实施数据分类分级管理;关注业务中涉及生产、处理、流通三大环节中不同场景的合规要点;主动对标国标、行业标准,转化为企业内规则,结合业务发展平衡严格落实。02定期培训形成合规文化提升管理层数据安全合规意识,获得重视和支持;定期对内外部的数据安全合规要求进行宣贯,形成文化认同。制定合规风险识别模板,按业务特点定期梳理风险;推进数据安全风险、皿一太及关注上下游可能的风险传导,避免第三方违规产生的连带责任。04推进全球数据合规一体化
24、,落地执行与本地化;海外数据合规应对综合监管规则、执法动态、业务风险,确定合规处理方式。05提升安全事件应急响应能力,及时补救,消除减轻后果;接受外部监督妥善处理数据相关投诉;及时纠错皿配合监管部门的相关调直。对于以上提到的数据合规风险,以下几种合规措施,可以为不同企业提供科学规避风险指导1 .数据分类分级/重要数据识别企业可盘点业务、系统涉及处理的数据、识别重要数据/协助填报目录、数据分类分级标签;2 .整体数据安全体系建设可以从以下三方面建设:首先是,管理组织体系建设;其次是,管理制度体系建设;最后是,全流程网络和数据安全管理措施建设;3 .数据安全风险评估/合规审计/PIA包括数据安全风
25、险评估、个人信息保护合规审计、个人信息保护影响评估;4 .算法合规/大模型备案算法安全评估和算法备案、大模型算法备案;5 .数据出境合规包括数据出境安全评估、个人信息标准合同备案、个人信息保护认证;6 .数据本地化系统和数据的本地化、基础网络与设施的本地化、本地IT能力和团队的建立、2024跨境数据合规白皮书一一Part2.数据合规风险及挑战国产化产品的选痢口部署。/!2.2 数据跨境主要痛点及难点企业开展境外业务时面临的数据跨境监管形势日益严峻,数据跨境管控过程的痛点、难点,成为数据合规治理的热点、焦点。2.2.1 数据多样,跨境数据的法律属性识别与分类困难;(1)数据体量大大数据背景下,企
26、业生产经营过程中产生的数据呈爆炸式增长,目涉及数据类型丰富多变。从数据主:体角度,包括客户数据、用户数据、合作方数据、供应商数据、内部员工数据等;从业务经营角度,包括产品数据、日常经营数据、研究/研发数据、内务管理数据等一一极大增加了企业数据管理的难:度和成本。:属性识别难:关于个人信息、重要数据等在监管定义上通常采用概括式的表达形式,虽为企业提供了一定灵活,度,也为企业对数据的法律属性类型识别带来了模糊性和不确定性;不同法域对个人信息、重要数据:等概念定义存在差异甚至冲突,对企业跨境数据的属性识别和应用管控造成困难。r载体拆分难:多种类型的非结构化数据,可能同时集合在同一载体或分散在不同载体
27、中,难以拆分、合并和精准识;别,如何按照数据来源、内容、用途等进行数据分类梳理,成为企业数据跨境合规管控的实务难题。2.2.2 场景复杂,数据跨境的路径、角色及责任识别困难(1)企业业务场景多样随着企业成长与发展,业务版图和业务领域不断扩展或变化,配套的内部支撑流程也随之细化,各业务场景交互融合,业务数据随之交互融合,加大了数据跨境路径梳理和相关责任方识别的难度。(2)数据流转路径复杂数字化转型背景下,企业的业务数据往往通过线上系统进行流转处理,业务系统间数据存在交叉传输的情况;同时,出于成本、效率等多因素考虑,企业的系统服务器通常集中部署、统一管理,导致在全球化业务开展过程中涉及频繁、复杂的
28、数据跨境流转。(3)角色法定含义不同:不同的数据处理角色承担相应的责任和义务,准确识别企业在数据跨境场景下承担的角色、清晰界定双方责任和义务,对数据跨境合规管控非常重要;不同法域对数据处理角色的定义、相应责任与义务:的规定不尽相同,复杂的数据流转链条下,企业难以准确判断自身角色、明确责任和义务,为企业数:据跨境合规管控的力度决策带来障碍。Tips:欧盟GDPR对个人数据的控制者与处理者的责任分别有详细的规定;而中国个保法没有区分个人信息处理过程中控制者与处理者角色,统一称为“个人信息处理者并规定个人信息处理者共同处理个人信息将承担连带责任。2.2.3 规则变动,规则要求多层次、多类型、不断演进
29、(1)全球规则层次多样全球尚未形成统一的数据跨境治理框架,各国家/地区受国家安全、数据主权、人权保护、地缘政治、贸易模式等因素影响,制定了侧重点不同、各个层次的数据跨境规则,数据治理和数据跨境流动政策具有很大差异。(2)不同法域规则冲突企业在开展数据跨境流动活动时,需要同时考虑数据输出地和输入地的数据跨境规则,但不同法域数据跨境规则的不同,对;企业双向合规来困难。Tips:数据的处理必须具备合法基础,但各法域的数据处理的合法基础不尽相同。在我国境内处理欧洲公民的数据,需要同时满足个保法及GDPR的要求。我国个保法为避免扩大解释,未将数据主体利益及控制者合法利益两个边界较模糊的合法基础纳入条款范
30、围。若以合法利益为基础在中国境内进行进行数据处理,则可能因失去法律承认的合法基础而违规。内容来源:数据跨境合规治理实践白皮书在跨国企业合规驱动战略转型实施中还会存在以下更为具象化的难题:(3)(4)(5)(6)战略对齐:在转型战略层面缺乏一致的认知;治理模式:决策范围和职责不够清晰明确;现状调研:总部系统和运营现状的调研和梳理触点过多;沟通协作:不同部门和任务项之间的协作和沟通机制不明确;本地方案选择:本地解决方案无法完全符合总部要求或遵循已有流程和管控;本地能力:本地团队在短期内无法形成足够的能力支撑本地化运营。但在具体行业中,还会有更为细致的区分。比如药企和消费品行业,CoSTCO跨国企业
31、拥有很多全球会员数据,这些会员信息需要全球打通或数据流向全球不受限,对于该类企业本地化或全球会员体系挑战将会更大;而对于B端企业则在员工信息、供应商信息、客户联系人等方面的数据,但相比于C端数据量会少很多,而对于这一方面可能更多的会从数据管理层面去调整,合规层面的要求则相对较少。2.3 企业在具体业务中的数据安全和合规性问题数字化时代,企业面临海量的数据流动和存储,如何保护和合规处理企业数据成为一个重要问题,企业数据合规是指企业在数据处理、存储和传输过程中,遵守相关法律法规和规范要求,保护用户隐私、保证数据安全,并避免因数据违规而引起的法律风险。在实际业务中,企业通常会遇到以下数据合规问题。(
32、1)数据获取和限制合规要求可能限制了企业收集和使用数据的方式。企业获取用户信息之前,需要告知用户使用目的及使用范围,获取用户明确授权;精准度与个性化以标签和行为数据为基准的个性化广告将受限,公域精准营销和投放的难度增加(各大平台如微信,B站,知乎,头条等均提供了便捷的关闭个性化推荐的入口);(3)渠道选择和内容策略在合规框架下,选择有效的营销渠道变得更为关键。有时传统的营销方法可能受到限制,因此企业需要寻找合规的替代方案,这可能包括寻找新的数字渠道或更改内容战略;(4)客户信任与透明度企业需要建立客户信任,并提供对数据处理方式的透明度。在合规的前提下,如何向客户解释数据的收集和使用,以及如何保
33、护其隐私,变得尤为重要;(5)合规性审查与验证在B2B环境中,合规性审查尤为重要。与个人数据不同,B2B数据的使用同样受到法规的约束。因此,确保所使用的数据来源和处理方式符合法规要求是挑战之一;(6)隐私保护和数据安全针对B2B营销使用的数据,保障数据的安全性和隐私保护是至关重要的。确保数据不被泄露或滥用,同时在合规框架内实施必要的安全措施,是一项挑战;(7)合规监管的变化法规和监管环境不断变化,企业需要保持对法规变化的敏感度,2024跨境数据合规白皮书一一Part2.数据合规风险及挑战并及时调整其营销策略以符合新的合规要求。数据安全合规的应对策略3.1 现行法律法规对于数据安全的相关要求3.
34、2 数据本地化存储与出境3.3 径硕科技数据安全解决方案31现行法律法规对于数据安全的相关要求为了支持和规范人工智能技术和产业发展,在一般数据安全法律框架的基础上,我国也制定了一系列人工智能领域的法律法规和文件。3.1.1 我国算法&AI监管体系时间轴在数字经济时代,算法是一种重要的生产工具。算法推荐技术被广泛应用于信息分发和媒体传播领域,带来“信息茧房、大数据杀熟、“困在系统里等社会隐忧,规范算法推荐活动迫在眉睫。我国从2017年至2023年陆续颁布多条法规完善算法监管,从立法、监管和司法层面推动算法治理体系逐渐深入,并逐步形成互联网信息服务算法安全治理的政策法规体系。2017.122021
35、.92022.32023.8互联网新闻信息服务新技术新应用安全评估管理规定关于加强互网信息服务算法综合治理的指导意见互联网信息服务算法推荐管理规定生成式人工智能服务管理暂行办法具有舆论属性或社会动员能力的互联网信息服务安全评规定科学技术进步法互联网信息服务深度合成管理规定科技伦理审杳办法(试行)3.1.2 具体法律法规对训练数据的要求1.生成式人工智能服务管理暂行办法2023年7月10日,国家互联网信息办公室(“国家网信办”)发布AI管理办法,对研发、利用生成式人工智能产品的行为作出规定。AI管理办法第7条要求,Al服务提供者应当依法对生成式人工智能产品的预训I练数据、优化训练数据来源的合法性
36、负责,并遵守以下具体规定:(1)使用具有合法来源的数据和基础模型;;(2)涉及知识产权的,不得侵害他人依法享有的知识产权;:(3)涉及个人信息的,应当取得个人同意或者符合法律、行政法规规定的其他情形;:(4)采取有效措施提高训练数据质量,增强训练数据的真实性、准确性、客观性、多样性;(5)中华人民共和国网络安全法、中华人民共和国数据安全法、中华人民共和国个人信息保护法等法律、行政法规的其他有关规定和有关主管部门的相关监管要求。根据上述第1、5项规定,企业应当遵守网络安全法等法律法规、使用具有合法来源的数据,相对来说这一规定内容存在较为明确的执行标准。但是,第2项关于不得侵害他人依法享有的知识产
37、权对于企业来说存在一定挑战,企业需要主动判断:(1)训练数据是否涉及知识产权(尤其是著作权或商业秘密);(2)该等知识产权是否存在且合法有效;(3)是否存在该等知识产权利害关系人;(4)相关行为是否侵犯知识产权;(5)行为相关的抗辩条款是否适用等。另外,就第4项要求,即数据的真实、准确、客观、多样在适用上可能存在一定的裁量空间,如新闻领域和艺术领域场景对于“数据真实性的要求就可能略有不同。值得注意的是,鉴于AI管理办法将征求意见稿中的“保证替换成了“增强,企业可以在确保符合法律法规要求的基础上,参考人工智能使用领域等要素进行灵活调整。AI管理办法第4条还指出,在选择训练数据的过程中,应当采取措
38、施防止出现民族、信仰、国别、地域、性别、年龄、职业、健康等歧视。2.人工智能安全标准化白皮书(2023版)2023年5月29曰,TC260发布人工智能安全标准化白皮书(2023版)(下文简称“白皮书),白皮书梳理了人工智能技术与应用的发展现状,分析了人工智能面临的安全新风险。白皮书指出,网络安全的基本属性包括了Al系统及其相关数据的机密性、完整性、可用性以及针对恶意攻击的防御能力。数据应当具有:透明性(用户能够在必要时候获取模型有关信息);:可解释性(在计算过程中使用的数据、算法、参数和逻辑等对输出结果的影响能够被人类理解);:公平性(不引入偏见和歧视因素);隐私性(采取隐私增强方案,如最小化
39、数据处理范围、个人信息匿名化处理、数据加密和访问控制等)。总结:结合以上现行的法律法规以及已颁布的征求意见稿、白皮书等进行分析,训练数据的合规要求可以总结为以下三个方面:一,训练数据应当符合网络和数据等安全合规方面的要求,如经过数据分类、备份和加密等措施,并存储在境内;二,训练数据应当遵循知识产权和个人信息等权益保护方面的要求;三,训练数据本身应当可靠透明,如真实准确、客观中立,具有可解释性和公平性。3.2数据本地化储存与出境随着数字经济和数字贸易日益深入的发展,企业势必会被卷入全球数据跨境合规体系的洪流中,企业必须迎接数据跨境合规的挑战。一方面,了解内部数据跨境现状和外部监管规则,了解企业数
40、据跨境合规管控重点;另一方面,以风险为导向,建立完善企业数据跨境合规管控机制,搭建立足自身、内外联动、成本效益并举、灵活可持续的数据跨境合规体系。3.2.1 了解三种模式的本地化程度以技术框架为例,我们可在三种本地化模式中去选择符合自身情况的运营模式。第一种方法:MVP(最小必要产品);第二种方法:关键设施本地化方法;第三种方法:双系统体系。zzMVP(最小必要产品)是最基础的模式,考虑的更多是符合法律监管要求及企业成本控制,如全球化的咨询行业;“关键设施本地化则更进一步的考量业务上连续性,保证在出现突发情况时,业务可以正常运营不受损;双系统体系则是更高一阶的要求,需要企业拥有独立的技术架构和
41、技术团队,在本地化运营上拥有完全的自主性和可控性。MVP(最小必要产品)关键设施本地化双系统体系对于企业合规转型来说,这几种模式其实都是可选的,但防止因不稳定因素导致企业业务受损,比如俄乌战争或地缘政治的影响导致国内业务出现欧大波动,因此,为了保证国内业务正常运行,很多企业会选择双系统体系或关键设施本地化“,来保障即使在脱钩”的情况下,国内业务还能保持独立运营能力,而这种就是除法律层面之外的本土企业战略化考量。3.2.2 数据出境-触发条件数据出境安全评估办法从主体、客体、数量等方面规定了触发数据出境安全评估(以下简称安全评估)的条件(以下简称触发条件),具体包括:r(1)出境数据中含有重要数
42、据;I(2)数据处理者为关键信息基础设施运营者(以下简称;I(3)数据处理者为处理100万人以上个人信息的数据处理者;I(4)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者;(5)国家网信部门规定的其他需要申报数据出境安全评估的情形。须注意的是,安全评估是法律的强制要求。企业一旦达到触发条件,则必须开展安全评估,不存在所谓数据出境路径选择的问题。3.2.3 以营销系统为例:如何逐步建立本地化能力阶段一:战略决策阶段一是对于采取三种本地化模式:MVP(最小必要产品)、关键设施本地化方法、双系统体系的战略决策。在该阶段所要解决的问题是:企业所面临的风险及驱动力是什
43、么?包括地缘政治、中国监管要求、提高服务性能等,企业基于合规驱动转型战略目标与指导原则是什么?转型评估与实施所需花费的时间与成本预估是多少等问题。阶段一:战略决策(部分)93fiK(人员位置产品连号3国市埔转为的功解产工/犀务仅谓用于中国r卜4个人值,二1场(*SMaUta由于IMMUMii本*MFlIHU8七汉勤)关务JMMMu1.基建iAH.:t/恰,;.,(1.TAlf对第决方加8行JuIP(SlA)对于阶段一的决策主要取决于中国的管理层对于本土的设施和全球设施博弈的结果,其中不仅包含了基础的法律底线,更多的是基于本土实际业务、未来发展、持续性运营能力的考量。其中需要遵循的首要原则是:采
44、用能力本地化的混合模式,以最低成本满足监管硬性要求。阶段二:评估与规划阶段二的评估与规划主要维度涵盖“数据&应用、业务运营影响和技术运营影响”。比如实施合规转型成本需要多少?跨国企业进行本地化部署所影响的团队范围有多大?对全球业务流程有多大影响?中国本土团队是否有技术能力支撑合燔专型所涉及到的部门主要有数字化营销、法务、安全与合规等职能部门。其中最重要的关于转型成本考虑主要包含人力成本、一次性开支、非人力成本/第三方。阶段三:转型与实施阶段三的转型与实施即若各职能部门评估后建议实施合规转型,接下来的实施仍有一定程序要走:从“选商采购-流程详设研发-主数据交互涉及-历史数据迁移-AD集成系统对接上线但该流程只是大部分的情况,不同的企业可能实施程序也会有差异,但目标是一致的,即保证本地安全能力符合本地和集团标准。(部分)人力财务组织紫构变革IK目管理阶段四:持续运营阶段四的持续运营,提醒很多准备开展合姗专型的企业,合解专型是一项“长期工程,在部署完之后仍要不断提升运营管理能力,本土企业与总部仍要保持有效的资源共享与工作协作。比如消费者在与企业产品/服务互动中会产生很多数据,企业则需要提供跨平台、跨渠道的统一、标准化的授权记录收集方式、提供上下游系统间数据主体授权同意记录的同步机制、提供统一的平台对授权
