请务必阅读正文之后的免责声明及其项下所有内容证券研究报告证券研究报告|20252025年年0808月月0606日日优于大市优于大市上海实业控股(上海实业控股(00363.HK00363.HK)高速高速.
2025-08-08
28页
5星级
1/18 东南亚国别贸易法律:东南亚国别贸易法律:新加坡新加坡 一、国际货物买卖合同一、国际货物买卖合同(一)法律适用 1.国际层面:中国和新加坡均为联合国国际货物销售合同公约(CISG)缔约国,适.
2025-08-06
18页
5星级
1/18 东南亚国别贸易法律:东南亚国别贸易法律:越南越南 一、国际货物买卖合同一、国际货物买卖合同(一)法律适用 1.国际层面:越南是联合国国际货物销售合同公约(CISG)缔约国,适用CISG 公.
2025-08-06
18页
5星级
1/19 东南亚国别贸易法律:东南亚国别贸易法律:老挝老挝 一、国际货物买卖合同一、国际货物买卖合同(一)法律适用 1.国际层面:中国和老挝均为联合国国际货物销售合同公约(CISG 公约)缔约国,适.
2025-08-06
19页
5星级
1/17 东南亚国别贸易法律:马来西亚东南亚国别贸易法律:马来西亚 一、国际货物买卖合同一、国际货物买卖合同(一)法律适用 1.国际层面:中国为联合国国际货物销售合同公约(CISG)缔约国,但马来西.
2025-08-06
17页
5星级
1/18 东南亚国别贸易法律:印度尼西亚东南亚国别贸易法律:印度尼西亚 一、国际货物买卖合同一、国际货物买卖合同(一)法律适用 1.国际层面:中国为联合国国际货物销售合同公约(CISG)缔约国,但印.
2025-08-06
18页
5星级
国海证券研究所请务必阅读正文后免责条款部分2025 年年 08 月月 05 日日行行业业研研究究研究所:Table_Title最近一年走势行业相对表现表现1M3M12M钢铁10.3%14.9%30.9.
2025-08-06
18页
5星级
2025 Q2 BENCHMARK REPORTAmazon Prime Day 2025|
2025-08-05
41页
5星级
运动商业新场景2025年6月第一太平戴维斯2025运动商业新场景目录区域场景区域场景 运动户外场域融合造就城市生活新景观门店场景 多元化体验型店铺成为品牌发力重心商场场景 运动空间占比增加,多点激活商业流量展望 从品牌、商场到产业,透视未来前景第一太平戴维斯2025运动商业新场景01第一太平戴维斯2025运动商业新场景体育运动消费规模不断扩大,已成为消费市场的重要增长点。国家统计局数据显示,运动体育用品类零售额已连续多月保持两位数增长,继2024年同比增长11.1%之后,2025年第一季度的限额以上企业销售增幅高达25.4%,创下近三年来新高,显著高于社会消费品零售总额的平均增速。这一趋势的背后,是全民健康意识提升与体育消费升级的共同作用。在不确定性日益增多的当下,消费者对健康的关注与投入持续增加,瑜伽、跑步、徒步等运动项目蓬勃发展,带动了专业装备的需求。与此同时,大型体育赛事的举办进一步激发了市场热情,推动运动品牌在产品创新和营销上持续加码。新兴需求增长,带动更多国内外运动及户外品牌增设门店。而运动方式由兴趣向专业性进阶,也带动了聚焦骑行、登山、高尔夫、网球等细分功能性专业品牌的需求。各品类品牌新店层出不穷。除商场内的零售及运动空间之外,体育消费的崛起带动了多个产业升级,与餐饮、休闲娱乐、文旅等业态的灵活适配,使运动户外氛围愈发突破物业空间及地理区域的限制。甚至通过与公园、河道或大型开发项目的结合,形成了独有的城市生活新景观。体育类需求持续增长,户外运动聚集地重新定义城市生活地图来源:、国家统计局、第一太平戴维斯第一太平戴维斯2025运动商业新场景北京上海广州深圳成都杭州朝阳公园西岸二沙岛体育公园深圳湾滨海绿道桂溪生态公园西湖风景区奥林匹克森林公园世纪公园琶洲滑板公园前海运动公园麓湖水域拱墅运河体育公园兼具自然景观与良好设施的户外空间已成为年轻人的运动潮流圣地来源:滔博、第一太平戴维斯第一太平戴维斯2025运动商业新场景标志场域:上海西岸-前滩:空间规划优势徐汇滨江(西岸)与前滩隔江呼应,形成连贯的滨江运动带(跑步道、骑行道、露营绿地等),政府主导的黄浦江两岸贯通工程奠定基建基础。其中徐汇滨江兼具美术馆与艺术氛围,前滩主打商务与健康生活,东方体育中心赛事也带来引流,从而形成定位互补。高价值运动社群周边高端住宅与写字楼聚集大量中产及喜爱运动的高价值人群;周末则有家庭客群通过滨江骑行、露营聚集,催生相关消费需求。品牌布局区域已聚集包括Lululemon、On、Patagonia、Snow Peak等多个品牌旗舰店或概念店。此外也是运动户外品牌钟爱的快闪及活动场地。第一太平戴维斯2025运动商业新场景标志场域:成都麓湖生态基底社区麓湖以人工湖为核心,结合低密度居住区与户外体验,规划水上运动、环湖跑道、山地自行车道等,打造独有的泛户外生活方式集群。周末微度假目的地麓湖生态城及周边优质楼盘业主构成日常消费主力。业主自发成立的多个运动社团,粘性极高。此外,良好的生态及户外氛围,也成为很多成都市民周末“逃离都市”的微度假目的地,带动周边露营装备及餐饮消费。品牌布局麓湖吸引了大量注重生活方式的新兴零售及餐饮品牌,并穿插多个户外运动空间。除一些本地集合店之外,也包含Trek、Snow Peak等户外装备品牌旗舰店。第一太平戴维斯2025运动商业新场景02第一太平戴维斯2025运动商业新场景的受访人群仍将线下门店视为其偏好的运动消费渠道的运动鞋服购买行为发生在线下相对一般服装品牌而言,运动户外产品的功能性、场景体验的特殊要求,使其更为注重线下门店来推动营收。品牌的门店不仅是销售渠道,更是技术展示、社群运营和用户教育的核心阵地。专业跑鞋、球鞋、户外装备等功能性产品,消费者需亲身试穿或操作才能感知性能,线上图片和视频难以替代。此外,对品牌忠诚度较高的核心用户正愈发为品牌重视。门店在承担产品展示销售功能之外,也成为会员线下社群活动的重要场地,从而反哺线上社群活跃度。在为用户带来更多归属感和身份认同之外,间接推动的销售数据也助力提升品牌线上线下全渠道营收业绩。线下门店仍是运动零售消费主要渠道来源:滔博、魔镜、第一太平戴维斯研究部年 月,于上海淮海中路开启全新品牌形象店。新店将百年石库门建筑与现代户外美学深度融合,店内设立为徒步爱好者打造的交流空间等多功能分区,为消费者带来全方位、沉浸式零售新体验。第一太平戴维斯2025运动商业新场景随着成熟品牌渗透率高,门店总数趋于稳定,产品创新和细分赛道正成为中国运动户外市场的增长点。国际品牌如Lululemon、On昂跑通过极强的产品力在中高端市场增速亮眼;而安踏、李宁等本土头部企业通过多品牌矩阵和国潮设计抢占整体市场份额,尤其在二三线城市渗透率显著提升。此外,小众户外赛道(如滑雪、攀岩)增速迅猛,Goldwin、凯乐石等品牌依托细分领域实现高速增长,反映出消费者从大众运动向个性化探索的转变。领先成熟品牌全国门店数已超5,000家,专业性国际品牌持续涌入来源:公司网站及公开信息整理、第一太平戴维斯研究部(排名不分先后)第一太平戴维斯2025运动商业新场景内资四大运动品牌新店增速放缓,关注现有网络优化来源:品牌官网、第一太平戴维斯研究部度仅包含度成人系列门店安踏李宁特步度从整体来看,内资四大运动品牌(安踏、李宁、特步、361度)的门店数量在2020年后呈现积极扩张趋势,在疫情影响下显示出极强的市场韧性。而随着四大品牌门店总数在2023年超过2019年,达历史新高,2024年的整体扩张略有收敛,门店总数同比微跌0.9%。成熟运动品牌在一二线城市的门店布局已接近饱和,优质商圈和核心地段资源有限;而下沉市场消费能力、品牌认知度与一二线城市存在差距,需谨慎评估投入产出比。因此主要通过专注单店效益提升,优化现有网络,提升门店质量。第一太平戴维斯2025运动商业新场景成熟及扩张期品牌:创新概念、深耕场景,核心城市大型旗舰品牌城市区域店铺类型面积(平方米)Anta深圳龙华旗舰店2,000Hoka上海淮海中路品牌体验中心1,600Lululemon北京三里屯旗舰店1,300On成都春盐旗舰店500Adidas Originals上海衡复旗舰店300Mobi Garden上海徐家汇旗舰店300The North Face广州天河路概念店200Salomon北京三里屯概念店120成熟品牌稳中求新,在已有的规模优势基础上,多通过大面积旗舰店、或更具目的性的概念店,突破以往予以消费者的传统印象。此外,也愈发积极采用新兴品牌擅长的社群营销策略,重构品牌形象。大型旗舰店核心城市的大型旗舰店正发挥“品牌博物馆”的作用,除可以全方面展示品牌所有系列产品,更可以通过融入体验互动区域、或餐饮设施,塑造全面生活场景体验。小型概念店集中于特定客群的概念店引入专业场景或限定特款,具备社交媒体话题热度,引发讨论;而社区店铺可以更好绑定本地运动社群,建立长期忠诚度。第一太平戴维斯2025运动商业新场景迪卡侬已为旗下公路自行车品牌在上海、杭州等地开出专门店铺,为骑行爱好者打造一站式的骑行体验。作为迪卡侬成都唯一的双层自建商场,迪卡侬成都天府店于年月焕新开业,全面升级运动体验。包括全国首家门店内区域维修中心与循环中心,以及抖音直播间等。安踏于沈阳中街开出全球首家“竞技场店”的概念门店。店铺面积约平方米,为独栋建筑,以奥运比赛氛围为设计灵感,打造出一个别具一格的竞技场馆。“超级安踏”平均面积约平方米,已开出超过家门店。尽可能覆盖全季节的各式运动场景和全年龄段的用户。安踏作品集专注于球鞋集合店,通过差异化的零售空间,为年轻消费者提供更具个性化的体验。位于上海武康路的是安踏目前唯一一家零碳使命店,致力于从产品制造到终端运营全面实现减碳目标。迪卡侬南京夫子庙店于年 月开业,约平方米的双层空间设置了运动设备租赁、旧物回收及个性化定制服务,传递运动可持续与绿色消费的理念。迪卡侬的上海浦东金桥店是其全国第一家设有社群负责人的门店,通过更好地组织社群活动,激活门店周围更年轻、更国际化客群的运动热情。安踏迪卡侬第一太平戴维斯2025运动商业新场景随着运动文化的成熟,更多国内外新兴品牌持续涌入市场,专业化及小众化趋势明显。多形态试水新进品牌短期内并不追求线下市场的广泛覆盖,而是聚焦垂直领域的深度挖掘。除积极通过线上渠道及社交媒体触达消费者,线下通过突出技术功能和场景化设计建立差异化优势。越来越多的新品牌在常驻门店开出之前,多通过快闪店、店中店形式试水消费者反馈。抱团目的性商场中高端户外品牌对商场氛围的关注,使三里屯太古里、静安嘉里中心、深圳万象天地等定位相符的购物中心成功成为众多品牌选址的首选,也进一步奠定了商场在运动户外品类中的影响力。新进品牌:技术硬核、细分圈层,抱团目的性商场品牌城市区域店铺类型面积(平方米)Rapha上海南京西路快闪200MAAP上海南京西路概念店135Titleist上海徐家汇首店100Wild Things上海南京西路首店100XEXYMIX广州天河路华南首店N/AWilson深圳南山快闪N/ACraft南京新街口快闪N/ABrooks北京三里屯快闪N/A第一太平戴维斯2025运动商业新场景选址趋势:更有趣、更灵活、更开放虽然传统商场仍然是品牌门店的主要聚集地,越来越多的品牌正放眼于街区街铺、文创改造项目等非传统形态空间,不拘泥于传统,通过风格迥异的店铺风格,打造独特体验。有趣:差异化体验上海安福路、北京798艺术区等潮流街区具备独一无二的先锋文化个性,有助于品牌塑造新世代形象,在高价值客群尤其是年轻人群中扩大影响力。灵活:精准触达目标客群在旗舰店之外,快闪店已成为很多品牌常态化配置。通过IP联名、主题设计等快闪店,品牌能以较低成本快速测试目标消费者反应;而限量发售等营销方式吸引客流排队打卡,放大社交传播。开放:高浓度户外氛围户外空间的开放性尤其与运动户外品牌“探索自然”的场景匹配,成都麓湖、杭州西湖等区域兼具商业体、自然景观与多样运动设施,吸引越来越多喜爱运动及户外生活方式的人群,也成为品牌开店或举办活动的绝佳场地。图:三叶草上海安福路第一太平戴维斯2025运动商业新场景03第一太平戴维斯2025运动商业新场景将舒适性、功能性和时尚简约设计结合的运动休闲风已成为当下时尚趋势,并愈发成为消费者日常穿搭。这一趋势使运动户外相关品类在商场中的面积占比明显上升。我们对上海样本购物中心租户分析发现,截止2025年6月,运动户外品牌在一般零售大类的占比已达10%,同比上升1.1个百分点。头部品牌在商场的入驻往往能带动整个楼层客流,也其在租赁谈判中的议价能力愈发增强。而包括各类健身房、瑜伽馆、射箭馆、舞蹈教室等泛运动类空间同样表现亮眼,其在休闲娱乐大类的面积占比达17%,同比上升0.5个百分点。运动户外品类在商场业态中占比持续攀升运动健身空间在休闲娱乐业态中占比同比达17%,上升0.5个百分点运动健身空间在整体租户面积占比达5%来源:第一太平戴维斯研究部基于上海样本购物中心运动户外品牌在一般零售业态中占比达10%,同比上升1.1个百分点运动户外品牌在整体租户面积占比达4%第一太平戴维斯2025运动商业新场景与运动相关的空间在商场内已不仅仅是作为配套设施存在,更日渐成为很多项目的“流量抓手”。从健身房到餐饮,更多空间通过融入运动体验,或作为运动相关服务,为消费者带来新颖内容。健身新势力运动健身行业在过去两年经历了剧烈调整,不少连锁品牌接连关店。行业正面临从野蛮生长向精细化运营转向。此前,大量健身房采用的预付制模式在宏观经济压力之下面临成本失控,进而导致用户信任崩塌。但强劲的用户需求基本面并未减弱。新进健身类品牌多通过改变付费模式、细分运动场景、重构门店设计等方式重新赢回消费者信心。餐饮跨界不少餐厅也通过与运动元素结合,以更好服务目标客群,提升门店吸引力。例如麦当劳在部分餐厅设置了充电单车,通过踩单车可以逐渐点亮地面的能量条。大鲁阁运动旗下TRK达鲁酷运动餐酒吧,结合体育电竞赛事直播及多元化活动,以运动休闲、微醺畅饮为主题的聚会空间为消费者带来沉浸式感受。运动健身空间正成为新世代商场的流量入口图:第一太平戴维斯2025运动商业新场景轻量即时消费:按次 月付费降低参与门槛。如提供小时健身房服务,会员按月付费,其私教课也支持按次付费成本控制:通过缩减如淋浴、前台等部分服务降低成本以提供物美价廉的健身体验娱乐虚拟运动竞技场:如上海星荟中心的,将竞技体育与技术结合,吸引年轻客群方格大战:游戏结合运动体验,寓体于乐,增加互动体验感家庭亲子运动场景:亲子瑜伽、家庭拳击满足家庭客群需求细分功能训练:如室内拳击:不再局限于专业训练,衍生出“减压拳击”和“夜店风拳击”网球:提供包括智能网球训练机等服务,模拟教练发球,便于新手入门女子健身:仅限女性消费的健身场所,提供更适合女性需求的及具有安全感的健身环境服务运动康复:包括健身等健身房,提供免费筋膜枪进行舒缓放松心理健康整合:如超级猩猩设立颂钵疗愈课,提供心理放松服务宠物寄存:位于上海西岸梦中心的昂跑跑者基地,设立跑鞋租赁服务,作为宠物友好店,店内还特别设置了宠物充电站提供宠物寄存服务空间创新:降低参与门槛、增强娱乐与服务属性第一太平戴维斯2025运动商业新场景04第一太平戴维斯2025运动商业新场景功能科技创新在细分领域的专业性和功能性已成为品牌的重要竞争力。品牌将加速融合智能穿戴技术,并强化功能性材料研发,满足消费者运动场景。同时,对可持续发展的重视将增加环保性门店数量,并丰富线下门店的绿色体验功能,如旧衣物和装备回收、以旧换新等。从零售商到服务商品牌门店有望从零售体验进一步转向综合性服务,如提供装备租赁、运动教学等衍生服务;而随着社群化运营愈发普遍,门店的社交功能有望放大。本土 vs 国际虽然国际品牌多主攻中高端市场并保持较强的品牌影响力,中国本土品牌近年通过技术追赶和国潮崛起机遇,实现了竞争力大幅提升。随着越来越多的专业性小众国际品牌涌入市场,以及本土新创品牌扩张,在新兴品牌赛道的竞争有望成为未来的关注焦点。品牌:功能革新驱动消费心智第一太平戴维斯2025运动商业新场景创造健康消费生态圈商场可尝试贯穿零售空间与运动场景。除与品牌深入合作,设置沉浸式运动体验区之外,更可协调多个业态租户,如与健康餐饮、康复理疗等店铺形成联动,构建独有的健康消费生态。新业态导入场景随着娱乐休闲业态整体在购物中心占比增加,如今商场正越来越承担消费者“第三生活空间”的作用。引入新型运动业态如电竞空间、直播观赛等,可以进一步强化商场运动娱乐氛围,紧跟消费体验趋势,同时有利于社交媒体传播。深入社群运营在硬件设施与品牌招商之外,商场可以尝试与本地运动社群(如跑团、骑行俱乐部)、运动达人的深度合作,其自带高粘性用户群体和专业化内容生产能力。通过联合举办活动,拉动商场到访客群,既能带动销售提升,也能帮助社团扩大影响,形成双赢。商场:颠覆盒子逻辑,打造运动社交第三空间第一太平戴维斯2025运动商业新场景产业:生态扩张,架构泛运动健康生态网全民健身政策推动市场扩容中国的目标是到2035年,经常参加体育锻炼人数比例达到 45%以上,人均体育场地面积达到 2.5 平方米。系列政策助推包括体育公园、健身步道、专业场馆在内的各类基础设施投资,带动运动参与率提升。大健康产业协同运动与医疗、养老等大健康产业存在深度融合的机遇。例如华为可穿戴设备与医疗机构的合作、安踏为乡村学校青少年提供运动装备和指导等,共同推动大健康产业发展。文旅协同通过打造运动旅游项目和举办体育赛事,将运动与休闲度假相结合,不仅丰富了旅游产品的内涵,也为运动户外品牌提供了展示和推广的平台。例如,万龙、北大湖等滑雪场已吸引不少国际滑雪和户外品牌开设各类门店,提升了滑雪场的配套品质之余,也为消费者带来了更优质的滑雪装备和体验。第一太平戴维斯是一家在伦敦股票交易所上市的全球领先房地产服务提供商。公司于年创立,具有悠久的历史传承以及强劲的增长态势。第一太平戴维斯是行业引领者而非跟随者,在全球设有逾家分公司与联营机构,广泛分布于美洲、欧洲、亚太、非洲和中东地区。本报告仅作一般信息用途。未经事先许可,任何人不得对其相关内容或全部内容进行出版、复制或引用。同时本报告亦不构成任何合同、计划书、协议或其他文档的依据。第一太平戴维斯已尽全力确保报告内容的准确性,但对于该报告的使用而导致直接或间接的相关损失不承担任何责任。本报告版权所有,未经第一太平戴维斯研究部书面许可,不得以任何形式对该报告的部分或全部内容进行复制。商铺部钟芳芳高级董事中国区交易及顾问业务招启怡高级董事中国区策略顾问部朱锋高级董事中国区市场研究部高级董事中国区市场研究部张琳董事中国区扫一扫 小程序查看更多研究报告
2025-08-01
24页
5星级
引言第1章 背靠祖國優勢聯通全球商機第1節營商環境冠全球企業投資首選地一國兩制 方針堅定不移法律制度和金融體系健全稅制簡單、競爭環境公平對外聯繫便捷金融及商業服務、人才卓越更好結合 有為政府 和 高效.
2025-08-01
97页
5星级
2024 企业出海数据安全合规年报 Annual Report on Data Security and Compliance in Corporate Overseas Expansion 编制单位:上海市国际贸易促进委员会 发布日期:2024 年 7 月 2024 企业出海数据安全合规年报 FOREWORDS (一)编制背景 在当今数字化飞速发展的时代,数据已成为驱动社会进步的关键生产要素之一。然而,随着数据量的爆炸式增长及其应用场景的日益复杂,如何确保数据的安全性、隐私性和合规性成为了全球范围内亟待解决的重大课题。近年来,从跨国企业到中小企业,从互联网巨头到新兴创业公司,各类主体纷纷遭遇不同程度的数据泄露事件,给个人隐私保护和商业利益带来了巨大威胁。面对这一严峻形势,世界各国政府相继出台了更加严格的数据保护法律法规,如欧盟的通用数据保护条例(GDPR)、中国的网络安全法数据安全法个人信息保护法等,以期通过法律手段强化对公民个人信息的保护力度。同时,在数字经济重构全球产业格局的 2025 年,中国企业出海已从单一贸易输出演变为全产业链的生态整合。随着全球数据产量突破 200ZB量级,数据主权争夺战正成为大国博弈的新焦点美国通过 芯片与科学法案 构建技术壁垒,欧盟借数字市场法强化规则主导权,而中国推进的东数西算工程则构筑起数字边疆。企业不仅需要应对 150 个司法辖区的法规拼图,更要防范地 前言 2024 企业出海数据安全合规年报 FOREWORDS 缘突变引发的供应链断供风险。在此背景下,探讨数据安全合规的未来发展趋势不仅具有重要的理论意义,更关乎每个国家、每家企业乃至每个人的切身利益。(二)目的意义 本文将围绕“数据安全合规”这一核心主题,梳理全球数据安全合规生态,分析法规、市场趋势及技术创新的影响,为企业提供风险识别与应对策略,旨在为相关政策制定者和企业管理者提供有益参考。前言 目录 第一章 全球数据安全合规概览.7(一)数据安全的重要性.7(二)全球数据安全合规发展现状.9(三)各国数据安全合规政策对比.12 第二章 2023-2024 年全球数据安全合规现状.15(一)国际组织行动.15 1.关键会议与声明.15 2.倡议与框架.18(二)法律法规更新.25 1.中国(大陆、港澳台).25 2.欧盟.29 3.美洲.31 4.东盟国家.37 5.日韩.43 6.其他国家和地区重要法规变动.45(三)重大数据安全合规事件.50 1.影响广泛的泄露事件.51 2.高额罚款案例.53 3.企业应对措施与启示.55 第三章 企业数据安全合规最佳实践.58 (一)数据安全合规管理体系构建.58 1.内部政策与程序.58 2.安全技术部署.62(二)数据合规培训与意识提升.67(三)应急响应与恢复.68 第四章 未来展望.71(一)技术发展趋势.72 1.加密技术进步.72 2.区块链技术应用.73(二)企业准备建议.74 1.适应性策略.74 2.投资与资源分配.76 结语.78 附录.79 术语表.79 参考文献.84 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 6 1 第一章 CHAPTER 1 全球数据安全合规概览 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 7 01 第一章 CHAPTER 1 全球数据安全合规概览 (一)数据安全合规的重要性 数据安全已经成为企业国际化过程中的核心议题,尤其是在当今的地缘政治大背景下,数字技术的迅速发展与全球各地的数据合规要求使得企业面临前所未有的安全与合规挑战。首先,用户隐私保护是数据安全的基础,它关系到企业与消费者之间的信任,任何数据泄露或滥用都会对企业造成无法估量的负面影响,甚至可能导致法律诉讼和罚款。例如,欧盟的GDPR 法规就对企业处理个人数据提出了严格的要求,违规的企业将面临高额的经济处罚。其次,跨境业务的连续性依赖于数据的安全传输和存储。随着国际业务拓展,企业需要处理来自不同国家和 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 8 地区的数据,而不同国家的法规和安全标准存在差异。企业必须确保在遵守当地法律的前提下,能够高效、安全地管理全球范围内的数据流动。如果数据安全得不到有效保障,跨境业务可能会受到阻碍,甚至面临业务停滞的风险。最后,数据安全直接影响企业的声誉。在信息化社会,企业的数据安全事件会迅速传播,公众的信任和市场的认可度会迅速下降。良好的数据安全管理不仅能够避免潜在的安全风险,还能增强消费者对企业的信任,从而为企业带来竞争优势。相反,一旦发生数据泄露等安全事件,企业不仅会遭遇直接的经济损失,还可能失去原本的市场份额,造成长期的声誉损害。因此,数据安全不仅是技术问题,更是企业战略中的关键要素,它影响着企业的合规性、运营效率以及品牌形象。企业必须将数据安全视为核心竞争力的一部分,以确保其在国际市场中的可持续发展。2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 9(二)全球数据安全合规发展现状 全球数据合规领域正经历快速发展,各国和地区纷纷制定和完善相关法律法规,以应对数字经济时代对数据安全和隐私保护的需求。中国于2021 年相继通过 数据安全法 和 个人信息保护法,构成了数据合规的法律基础。2022 年,国务院发布关于构建数据基础制度更好发挥数据要素作用的意见,强调数据要素的流通和利用。此外,各地如上海、深圳等地也相继出台了地方性数据法规,进一步完善数据合规体系。欧盟于 2016 年通过通用数据保护条例(GDPR),为个人数据保护设立了统一的法律框架。2022 年,欧盟通过了数字市场法案(DMA)和数字服务法案(DSA),进一步规范数字市场和在线平台的行为。美国尚未制定统一的联邦数据保护法,但各州如加利福尼亚州、弗吉尼亚州等已出台州级的隐私法案。此外,联邦贸易委员会(FTC)等机构在数据保护方面发挥重要作用。各国和地区正在建立和完善数据合规认证机制,以帮助企业证明其数据处理活动符合相关法律法规。例如,欧盟的 ePrivacy 认证和美国的 NIST 隐私框架为企业提供了合规评估的标准和方法。同时,随着全球数字化转型进入深水区,数据合规治理已从被动应对转向主动构建体系化能力。隐私科技(Privacy Tech)作为数据治理领域的核心技术架构,正在经历从工具层到生态层的跨越式发展。在技术实现层面,基于零信任架构的隐私增强技术(PETs)已形成三大支柱体系:以联邦学习和安全多方计算为核心的数据可用不可见技术,以同态加密和可信执 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 10 行环境(TEE)为代表的数据可用难解密技术,以及结合区块链和差分隐私的可验证审计技术。这些技术通过 API网关与微服务架构深度嵌入企业 IT 系统,构建起覆盖数据全生命周期的隐私工程防护链。在跨境数据流动领域,全球正形成三大规制范式:欧盟基于GDPR 的充分性认定 标准合同条款体系,中国构建的数据分类分级 安全评估 认证 合同四维治理框架,以及 APEC 跨境隐私规则(CBPR)体系。值得关注的是,2024 年生效的 全球跨境隐私规则宣言提出了合规科技互认机制,允许经认证的隐私增强技术方案在不同司法辖区获得等效性认可。这种技术互认机制有效缓解了传统合规中数据传输方-接收方的双重监管压力。行业实践方面,金融业已构建起三纵三横隐私计算矩阵:纵向打通反洗钱监测、智能风控和开放银行场景,横向部署多方安全计算平台、联邦学习中台和区块链存证系统。以中国工商银行打造的星云隐私计算平台为例,其通过硬件级可信执行环境实现了日均 50 亿条客户数据的合规流转,欺诈交易识别准确率提升37%。医疗健康领域,美国梅奥诊所联合 MIT 研发的医疗数据协作网络(MDCN)采用联邦学习 同态加密双重架构,在保护 200 万患者隐私数据的同时,使新药研发的基因匹配效率提升 40 倍。值得关注的是,生成式AI 的爆发式发展正在重塑隐私科技范式。OpenAI 于 2024 年推出的隐私保护 型 大 语 言 模 型 GPT-5 Privacy Shield,采用动态差分隐私和模型分片技术,在保持 97%模型性能的前提下将隐私泄露风险降低至 10-6级别。这种隐私原生(Privacy-by-Design)的 AI 架构,为金融咨询、医疗诊断等 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 11 敏感场景提供了合规化落地的技术通路。Gartner 预测,到 2026 年,70%的企业将采用隐私增强计算处理敏感数据,全球隐私科技市场规模将突破千亿美元,形成涵盖技术供应商、合规认证机构和数据信托服务商的完整产业生态。总体而言,全球数据合规正朝着统一化、标准化和技术化的方向发展,各国和地区在制定和完善相关法律法规、认证机制和技术标准方面持续努力,以应对数字经济时代对数据安全和隐私保护的挑战。2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 12(三)各国数据安全合规政策对比 全球各地的数据保护法律在基本原则和目标上具有显著的共性,主要体现在对个人权利、数据控制者责任、跨境数据传输限制以及同意原则的重视。首先,在个人权利方面,各国普遍保障个人对其数据的访问权、更正权和删除权(即“被遗忘权”),确保个人能够了解其数据如何被使用并有权要求修改或删除不准确的信息。其次,关于数据控制者的责任,大多数法律都规定了数据控制者需采取适当的技术和组织措施来保护数据安全,并确保数据处理过程透明可追溯。此外,对于跨境数据传输,许多国家和地区都有相关规定,旨在确保当个人数据转移到国外时,接收国或组织能够提供足够的保护水平。然而,在具体实施细节、适用范围、监管机制及执法力度等方面,各国的数据保护法律呈现出明显的差异。例如:1.适用范围:欧盟的通用数据保护条例(GDPR)适用于所有处理欧盟居民个人数据的行为,无论数据控制者是否位于欧盟境内;而在美国,由于缺乏统一的联邦数据保护法,数据保护主要通过一系列行业特定法规实现,如健康保险可携性和责任法案(HIPAA)、格雷姆-里奇-比利雷法(GLBA)等。2.数据跨境传输要求:全球各国对数据跨境传输的要求存在显著差异,主要体现在本地存储要求、传输条件上。尽管各国普遍允许在满足一定条件下的数据跨境流通,如与接收方签订标准合同条款或进行数据保护影响评估,并确保接收国有足够的保护水平并采取适当的安全措施。但一些国家,如中国和俄 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 13 罗斯,要求某些类型的数据必须存储在国内,以增强国家安全和数据主权。3.监管机构的角色与权力:不同国家的数据保护监管机构职能和权限各不相同。欧盟每个成员国都有自己的数据保护机构,并由欧洲数据保护委员会(EDPB)协调,形成了一个相对统一的监管框架;而在美国,联邦贸易委员会(FTC)是主要的执法机构,但由于缺乏统一的联邦数据保护法,各州可能有自己的数据保护立法和执行机制。4.法律细节和技术标准:具体的技术标准和实施细节在各国间存在很大差异。例如,欧盟的 GDPR 详细规定了数据保护影响评估(DPIA)的要求,而其他国家可能没有如此详细的指南。同时,一些国家对数据最小化原则、匿名化技术的应用有具体要求,以确保数据处理的合法性和安全性。5.执法力度与处罚:对于违法行为的处罚程度也大相径庭。欧盟的GDPR 可以处以高达全球年度营业额 4%的罚款,这极大地提高了企业违反数据保护规定的成本;相比之下,其他国家的处罚可能相对温和,更多依赖于行政指导或其他非经济手段。综上所述,尽管全球各地的数据保护法律在核心原则上达成了一致,但在具体实施细则、监管方式、数据跨境传输要求以及执法力度等方面仍存在较大差异。企业在国际化运营时,不仅需要遵守总部所在国的数据保护法规,还需充分了解目标市场的相关法律要求,制定全面且灵活的合规策略,以应对复杂的国际数据保护环境。2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 14 02 第二章 CHAPTER 2 2023-2024 年全球数据安全合规现状 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 15 02 第二章 CHAPTER 2 2023-2024年全球数据安全合规现状 (一)国际组织行动 1.关键会议与声明 图 1 欧盟网络安全政策会议,图源:ENISA 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 16(1)24 年 4 月:欧盟 ENISA 网络安全政策会议 布鲁塞尔会议重点关注欧盟最新网络安全政策在当今地缘政治背景和威胁形势下的实施情况。论坛讨论了欧盟于 2023 年生效的 网络和信息系统指令(NIS2)的实施情况与面临的挑战,该指令是欧盟成员国范围内颁布的最重要的网络安全立法,极大重塑了欧盟的安全格局。同时,该会议就欧盟仍需应对的网络安全挑战进行了深刻探讨,并展望了欧盟未来的网络安全政策重点。(2)24 年 5 月:联合国网络安全高级别会议 日内瓦会议吸引了 89 国代表参与,审议通过了网络空间负责任行为框架 三年行动计划。中国代表团介绍了其完善的网络安全法律体系,分享了技术成果并推动国际合作,尤其在亚太地区加强数据安全与互联互通。同时,中国强调网络安全人才培养,支持国际网络安全教育项目,致力于提升全球网络安全能力。(3)24 年 6 月:世界经济论坛夏季达沃斯论坛 夏季达沃斯论坛发布了2024 十大新兴技术报告,介绍了未来三至五年影响各国社会和经济的突破性技术。报告中提到的“隐私增强技术”是一项关键的新兴技术,旨在保护个人数据和隐私,同时又能提供新的全球数据共享和合作机会。此外,人工智能在驱动科学发现中的应用可能间接影响网络安全领域,例如,AI 可以用于检测和防御网络威胁,但同时也可能被恶意利用来生成攻击代码。(4)24 年 9 月:RCEP 第三次部长会议 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 17 本次会议重申积极推动 RCEP 协定的承诺,以便本地区企业能够有效利用该协定,为进一步深化区域经济一体化作出贡献。RCEP 参与国承诺不采取任何与 RCEP 协定义务不符的措施,保持市场开放、自由和基于规则,消除不必要的贸易壁垒,加强各方贸易和投资便利化。本次会议的成果将进一步推动 RCEP 成员国在网络基础设施和数据安全保护方面的合作,并促进在尊重成员国数据主权的前提下的数据自由跨境流动。2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 18 2.倡议与框架(1)全球数据安全倡议 全球数据安全倡议是中国于2020 年 9 月 8 日在“抓住数字机遇,共谋合作发展”国际研讨会上提出的重要国际倡议,旨在应对全球数字治理中的安全挑战,推动构建开放、合作、安全的网络空间命运共同体。倡议提出八项核心原则,包括维护全球供应链安全、反对技术滥用、尊重数据主权与司法管辖权、规范企业行为以及推动国际合作等。具体而言,倡议呼吁各国以事实为基础看待数据安全,保障信息技术产品和服务供应链的开放与稳定,反对政治化操弄;明确反对利用信息技术破坏他国关键基础设施或窃取重要数据,禁止非法监控和采集他国公民个人信息;强调各国应要求企业遵守所在国法律,不得强制本国企业将境外数据存储于境内,跨境调取数据需通过司法协助渠道,尊重他国数据管理权;同时,倡议还规范企业行为,禁止在产品和服务中设置后门或非法获取用户数据,禁止利用用户依赖性强迫升级或谋取不正当利益,并要求企业及时披露安全漏洞并提出补救措施。此外,倡议倡导通过多边协商制定全球规则,支持以双边或地区协议形式落实承诺,鼓励国际组织、企业、技术社群等多方参与。该倡议回应了数字治理碎片化问题,特别是针对欧盟 通用数据保护条例(GDPR)等区域性法规的局限性,试图通过多边框架弥合各国在数据安全标准上的差异,减少贸易壁垒。同时,倡议提出正值全球数字化转型加速期,旨在为跨境数据流动和数字贸易提供安全基础,助力后疫情时代经济复苏。全球数据安全倡议是中国在全球 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 19 数字治理领域的重要贡献,其核心是通过多边合作平衡安全与发展,构建互信、开放的国际规则体系。尽管实施仍面临挑战,但该倡议为应对数据安全风险、推动数字全球化提供了关键思路,也为中国参与全球治理开辟了新路径。(2)全球数据跨境流动合作倡议 全球数据跨境流动合作倡议 是中国政府于 2024 年 11 月 20 日在世界互联网大会乌镇峰会上发布的重要文件,旨在推动全球数据跨境流动合作,构建高效、便利、安全的数据流动机制。该倡议强调,数据作为数字经济的关键要素,在创新发展和公共治理中发挥着越来越重要的作用。倡议提出了具体措施,包括:鼓励因正常商业和社会活动需要而通过电子方式跨境传输数据,以促进全球电子商务和数字贸易。尊重不同国家、地区之间数据跨境流动相关制度的差异性,支持不涉及国家安全、公共利益和个人隐私的数据自由流动。尊重各国依法对涉及国家安全、公共利益的非个人数据采取必要的安全保护措施,保障相关非个人数据跨境安全有序流动。鼓励探索建立数据跨境流动管理负面清单,促进数据跨境高效便利安全流动。合力构建开放、包容、安全、合作、非歧视的数据流通使用环境,共同维护公平公正的市场秩序,促进数字经济规范健康发展。提高各类数据跨境流动管理措施的透明度、可预见性和非歧视性,以及政策框架的互操作性。2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 20 积极开展数据跨境流动领域的国际合作,支持发展中国家和最不发达国家有效参与和利用数据跨境流动以促进数字经济增长。鼓励利用数字技术促进数据跨境流动创新应用,提高保障数据跨境高效便利安全流动的技术能力,推动数据跨境流动相关的技术与安全保障能力评价标准的国际互认。反对将数据问题泛安全化,反对在缺乏事实证据的情况下针对特定国家、特定企业差别化制定数据跨境流动限制性政策,实施歧视性的限制、禁止或者其他类似措施。禁止通过在数字产品和服务中设置后门、利用数字技术基础设施中的漏洞等手段非法获取数据,共同打击数据领域跨境违法犯罪活动,共同保障各国公民和企业的合法权益。该倡议的发布,体现了中国在全球数据治理领域的积极态度和建设性贡献,为国际社会建立全球数据跨境流动框架奠定了坚实的基础。外交部发言人林剑表示,中方愿在 全球数据跨境流动合作倡议基础上与各方开展和深化数据跨境流动领域的交流合作,欢迎各方支持这一倡议。2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 21(3)区域全面经济伙伴关系协定 Regional Comprehensive Economic Partnership(RCEP)区域全面经济伙伴关系协定,是亚太地区规模最大、影响最深远的自由贸易协定。该协议旨在创造合作机制,简化成员国间贸易壁垒,促进区域自由贸易流动。在数字经济高度发展的今天,促进成员国间的数据流动是促进贸易自由的主要方式之一,因此,RCEP 对于一般贸易数据持较为宽松的状态,旨在促进成员国间的数据流动和无差异的数据跨境。在这一主要原则的指导下,第十二章电子商务针对各成员国提出了个人信息保护和数据安全的具体规定,在保障数据所有者的基本权利的前提下,要求各国法律和政策的公开性和透明性要求。同时,RCEP 也给与成员国一定的自主权,特别是基于“公共政策”“基本安全利益”原因的数据流动,成员国可自行规定。RCEP的立法原意在于促进区域间成员国的贸易自由流动,因此“数据自由流动”是数据合规的主要原则。图 2-第三次 RCEP 部长级会议,图源:ASEAN 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 22 第十条也重申了促进跨境电子电商的发展,保障各成员国之间的数据流动和贸易流动,避免“不必要的监管的负担”的原则。第十二条要求,成员国对于促进区域内的贸易流动的相关措施进行公布。保证交易的政策透明性,对有可能影响区域内电子商务发展的措施,应当给予合理、及时的解释。第十五条强调了各缔约国之间不得设施阻碍数据传输的行为。RCEP 也意识到基于地方保护主义和地缘政治的影响,部分国家会利用数据本地化的要求限制数据的流通,从而影响区域间贸易流动。因此,第十四条规定,成员国不得以数据本地化存储为条件对其他缔约方进入本领域将开展商业活动涉限。同时,RCEP 也充分考虑到各国经济、技术、政治、法律发展的不平衡性和差异性,将“公共政策”、“基本安全利益”作为数据本地化的特殊例外情况。在促进数据流动,保障公平贸易,反歧视合作的总体原则下,保留一定的空间,以确保各缔约国平衡经济发展和国家安全之间的冲突。有效的数据安全部署是数据自由流动的前提和手段。RCEP 第十三条要求各国增强应对网络安全突发事件的能力和网络安全团队建设,以应对可能发生的网络安全事件,并且通过各种形式的合作,达到网络安全的共同治理,最大程度的进行合作共赢。(4)欧盟-美国数据隐私框架 欧盟-美国数据隐私框架(EU-U.S.Data Privacy Framework,DPF)是一个旨在确保从欧盟传输到美国的个人数据得到充分保护的协议,以应对先前“隐私盾”协议被推翻后的法律挑战。该框架引入了多项新措施,包括限制美国情报机构对欧盟公民数据的访问,并确保此类访问仅限于必要 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 23 和相称的情况下。此外,它设立了“数据保护审查法院”(Data Protection Review Court,DPRC),为认为其数据被不当处理的欧盟公民提供有效的补救途径。美国公司可以通过承诺遵守一系列详细的隐私义务加入该框架,如在数据不再需要时删除、与第三方共享时确保持续保护等。2023 年 7 月 10 日,欧盟与美国宣布达成这一框架协议,并经过了欧盟委员会的评估和欧洲议会的批准,标志着欧美双方在解决跨境数据流动中的隐私问题上迈出了重要一步,有助于跨国企业在符合严格数据保护标准的前提下进行业务活动。这一框架不仅强化了企业层面的透明度和问责制,还强调了美国政府必须公开披露其访问欧盟公民个人数据的具体规则、程序和实践。(5)APEC 隐私框架 APEC 隐私框架是亚太经济合作组织(APEC)为了促进区域内个人信息保护和数据自由流动而制定的一套指导原则,旨在通过统一的隐私保护标准支持数字经济的发展,同时保障消费者的隐私权。该框架不仅为各成员国提供了一个共同的隐私保护基准,还促进了跨境数据的安全流通,从而推动了全球贸易的发展。该框架包含预防伤害、注意义务、透明度、安全防护、使用限制、选择/同意、完整性收集、问责制等核心隐私原则。除了上述原则,APEC隐私框架还包括详细的实施指南,帮助经济体将这些原则转化为具体的法律、政策和技术措施。这些指南特别关注如何应对跨境数据流带来的挑战,以及如何在不同的法律和文化背景下实现一致性。此外,基于APEC 隐私框架,2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 24 建立了跨境隐私规则(CBPR)体系,这是一个自愿性的认证系统,旨在帮助企业遵循共同的隐私保护标准,简化跨区域的数据传输过程,它通过独立的第三方评估,确保参与的企业符合共同的隐私保护标准。获得认证后,企业可以更方便地进行跨国数据传输,同时也增强了消费者对数据保护的信心。随着技术进步和社会变化,APEC隐私框架 也在不断更新和完善。例如,在 2015 年的修订中,增加了对新兴技术的关注和适应性调整,以确保其持续的相关性和有效性。这些更新反映了 APEC 对于快速变化的技术环境的高度敏感性,以及对新出现的隐私保护需求的响应能力。(6)非洲联盟数据保护框架政策概述 2023年12月7日,非洲联盟(AU)发布了非洲联盟数据保护框架政策概述。这一框架旨在为成员国提供关于个人数据保护的指导,并促进区域内的一致性和协调性,特别是在跨国界的个人数据流方面。该政策鼓励建立或维持独立、资源充足的监管机构,并加强与各成员国的合作,以确保在整个非洲范围内能够实现对个人数据的有效保护。2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 25(二)法律法规更新 1.中国(大陆、港澳台)我国相关法律法规涉及法律、行政法规、部门规章、地方性法规及规范性文件等多个层次,围绕数据安全广泛适用行业及场景,制定综合性立法符合我国现实的立法需求。在民法、行政法、刑法的立法框架上,我国形成了由三部单行法中华人民共和国网络安全法(以下简称 网络安全法)中华人民共和国数据安全法(以下简称数据安全法)与中华人民共和国个人信息保护法(以下简称个人信息保护法)组成的数据安全立法体系,分别适用于境内所有网络运营者的包含处理个人信息及数据在内的行为、所有主体处理网络数据和非网络数据的行为、个人信息保护。在三部单行法律框架下,我国近年陆续出台相关法规、规章、部门文件及重要标准,针对特定领域、特定场景下的数据合规要求和落地指引制定了详细规定。在行政法规方面,关键信息基础设施保护条例对关键基础设施的认定保护及其运营者责任义务进行了明确规定,而 网络数据安全管理条例 则在三部法律基础上,细化了数据处理者相应的数据安全保护责任和义务并对核心数据、重要数据的定义进行了阐释,对数据处理者落地数据安全合规给予了更加清晰细化的标准。在部门规章方面,由于不同行业、场景及对象数据安全保护侧重点存在差异,我国相关部门针对各自主管领域出台了一系列规章,指导数据处理者等相关主体进行安全合规工作,例如在出境场景中颁布个人信息出境标准合同办法 数据出境安全评估办法等规章明确数据出境合规路径具体操作 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 26 要点,而 2024 年出台的 促进和规范数据跨境流动规定则豁免了部分重要级别较低数据的跨境合规要求,减轻了企业不必要的合规负担。数据本地化趋势在全球范围内尤其是发展中国家愈发凸显。关键信息基础设施的运营者、大型跨国企业或开展海外业务的企业需要重点关注围绕“跨境数据传输”、“数据本地化存储”、“数据隐私保护”的当地法律规定。目前跨境数据流动治理及监管暂未形成全球性规制体系,但包含中国在内的部分国家已经出台相应法律法规。我国网络安全法、数据安全法中已经对数据出境行为进行了初步规定,在 2021 年 11 月生效的个人信息保护法中,更是开辟专章细化了个人信息跨境提供的规则,并在第三十八条规定了个人信息处理者向境外提供个人信息的三种路径:(一)通过国家网信部门组织的安全评估;(二)经专业机构进行个人信息保护认证;(三)与境外接收方订立合同。在上位法的宏观要求下,目前对应三种路径的实施规范也已相继出炉。2022 年 7 月 7 日,国家互联网信息办公室发布的数据出境安全评估办法,明确了数据处理者向境外提供数据时需要向国家网信部门申报安全评估的情形、内容、流程等。2023 年国家互联网信息办公室发布个人信息出境标准合同办法 及 个人信息标准合同备案指南对于与数据出境签订标准合同及标准合同备案管理、个人信息保护影响评估等相关规定进行了细化规定。2024 年 3 月 22 日,国家互联网信息办公室又发布促进和规范数据跨境流动规定 数据出境安全评估申报指南(第二版)和个人信息出境标准合同备案指南对数据 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 27 出境安全评估和个人信息出境标准合同的适用范围进行了调整,并提出了一些豁免场景,对数据的跨境流通提供更加明确的指导,降低企业合规成本,平衡数据跨境效率与安全。此外,地方层面,上海、天津于近期发布数据跨境负面清单和一般数据清单,为企业数据跨境数据识别提供了更加明确的参考。在子领域方面,我国有汽车数据安全管理若干规定(试行)、生成式人工智能服务管理暂行办法、电信和互联网用户个人信息保护规定等规章,就各不同行业领域数据合规问题制定个性化制度。此外在部门文件方面,互联网信息服务深度合成管理规定、个人信息合规审计管理办法等文件则是对于法律法规的要求进行了进一步可落地化。在国家标准方面,数据合规重要领域金融行业已有 个人金融信息保护技术规范、金融数据安全数据生命周期安全规范等标准对金融行业数据保护进行特别规制,在数据体量庞大的重点监管领域互联网行业则出台了电信和互联网数据安全评估规范就互联网领域数据安全评估工作设置体系化的流程方案,移动互联网应用程序(App)收集个人信息基本要求和移动互联网应用程序(App)个人信息安全测评规范则明确了 app 中必要收集信息和非必要收集信息的界限和最小必要收集原则以及相关测评流程要求。在汽车领域也出台了 汽车采集数据处理安全指南 等标准,规定了汽车制造商对汽车采集数据的传输、存储和出境等处理活动的安全要求,为汽车制造商开展汽车的设计、生产、销售、使用、运维提供数据保护实施规范,同时也为主管监管部门、第三方评 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 28 估机构等对汽车采集数据处理活动进行监督、管理和评估提供依据。此外,近年我国对于三部单行法中细节性的要求也进行了再规范,消除法律专业名词歧义,帮助企业顺利落地相关规定,就个人信息保护脱敏、告知同意等细节问题发布新标,个人信息去标识化效果评估指南明确了个人信息去标识化效果评定流程,并在附录给出了可参考的计算方法和阈值推荐,为去标识化技术的落地发展提供了更明确的指引;个人信息处理中告知和同意的实施指南则详述了告知同意的适用情形、基本原则、实施方式等内容。在地方立法方面,各省市基于地方情况出台了地方性数据保护法规及综合性数据立法。当前,贵州、天津、海南、山西、吉林、安徽、山东、辽宁、黑龙江、陕西、宁夏等地区面向公共数据领域,已出台大数据保护条例(包括草案)。上海、深圳、厦门等地则分别出台发布上海市数据条例、深圳经济特区数据条例、厦门经济特区数据条例,不仅涉及公共数据,还涵盖了个人数据等相关规定。而港澳台地区在数据安全与隐私保护方面各自拥有独立的法律框架。香港主要依据个人资料(隐私)条例(PDPO)来保护个人资料隐私;澳门则通过 个人资料保护法(Law No.8/2005)设定个人资料处理的规范;台湾实施个人资料保护法(PIPA),规定了个人资料收集、处理和利用的具体条件及保护措施。随着我国自上到下逐步建立层次分明、重点突出的数据安全法规监管体系,针对侵害个人信息行为的相关监管也逐步呈现出多部门监管、执法常态化、监管措施多样等特点。当前,网信办、工信部、公安部、市场监督总 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 29 局、各行业监管部门等多部门释放出强监管信号,并在执法方面呈现常态化趋势:具体体现在应用强化关键责任链监管,落实分发商城的责任;提升技术检测能力,开展针对 App(包括各类终端、应用商店、软件开发工具SDK)的细化检测;组织对重点问题开展“回头看”,对违规行为持续保持高压震慑。伴随执法常态化发展,监管措施开始呈现多样性,这对相关企业起到不同程度的警示作用。当前,我国监管措施涵盖公开通报、应用下架、罚款到实施网络安全审查、过渡性指导措施等。此外,监管处罚对象也不再局限于企业,已覆盖到高管及相关责任人,相关主要处罚方式主要体现为警告与罚款。2.欧盟 欧盟在数据安全和个人信息保护方面设立了一套在全球范围内容较为全面且严格的保障措施,形成了成熟而完备的数据保护体系框架,且作为经济共同体,为了实现国家及区域间积极的数据共享与自由流动,欧盟数据立法也体现出数据安全与流通并重的特点。欧盟理事会和欧洲议会于2016年4 月通过了通用数据保护条例(简称“GDPR”),该条例自 2018 年 5月 25 日生效,GDPR 作为欧盟数据安全法律体系的核心,使得欧盟个人数据保护及监管达到新高峰,被称为史上最严格的个人数据保护法案。该法规旨在为所有处理欧盟公民个人数据的企业提供一个统一的数据保护框架,无论这些企业位于何处,它确立了合法性、公正性和透明性、目的限制、数据最小化、准确性、存储限制和完整性和保密性等主要原则,并赋予了数据主体访问权、更正权、删除权(被遗忘 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 30 权)、限制处理权和数据携带权等一系列广泛的权利,同时规定了组织需承担的责任与义务,如进行数据保护影响评估、指定数据保护官以及在数据泄露事件发生时的通知义务。违反GDPR 罚款高达企业全年营业收入的4%或者 2000 万欧元,以较高者为准。此后,欧盟以 GDPR 为基础,建立了统一的数据安全治理框架。2018年11月欧盟颁布非个人数据自由流动条例统一非个人数据的自由流动,与GDPR 共同构成了数据安全领域的关键立法体系,实现数据安全与数据流通的平衡;同时 2020 年 11 月欧盟委员会发布了数据治理法案草案,进一步平衡公共数据的安全与流通;而电子证据条例侧重科技企业向政府部门提供数据协助,并保障数据安全;2023 年 1 月,欧盟就电子证据的相关法规和指令草案达成协议,有关当局可直接向其他成员国的服务提供者发送获取电子证据的司法令,形成国际跨境司法协助和数据治理的新机制;为保持欧盟个人数据保护级别而采用的数据跨境转移工具为数据跨境流动中的数据保护问题提供进一步指导;而为了进一步促进生成数据的重复利用,提高欧盟行业通过联网产品和关联服务产生的数据的价值,2023 年 11 月 27 日欧盟理事会正式通过了关于公平访问和使用数据的统一规则的条例(简称 数据法),于 2024 年 1 月 11 日正式生效,相关义务将于 2025 年 9 月 12 日起适用,该条例旨在确保企业与个人能够更公平地访问和使用数据,特别是那些由物联网(IoT)设备生成的数据,包括数据可移植性、数据共享协议的具体条款和条件、合同条款中的具体要求以及对数据隐私和安全的重视,并于 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 31 2024 年 4 月发布数据法指南,进一步明确了 数据法 实施过程中的各种细节。2024 年 8 月,欧盟发布了全球首部全面监管人工智能的法规人工智能法案(Artificial Intelligence Act,AIA),旨在规范人工智能技术的应用,确保其发展符合伦理、安全和透明原则。该法案为其他国家和地区的AI 监管提供了参考。法案的实施将推动全球 AI 产业的规范化发展,并可能成为未来国际 AI 治理的标准。3.美洲(1)美国 早在 19 世纪末,美国最高法院就在一系列案件中提出了隐私权的概念,奠定了隐私保护的法律基础。进入 20世纪,随着大众传媒和信息技术的发展,隐私权的保护逐渐成为公众关注的焦点,美国作为全球第一个出台信息保护法律的国家,于 1967 年 7 月 6日开始实施 信息自由法案。近年来,美国各州及联邦逐步通过一系列法律、规章和指导原则,构建了一个多层次的隐私保护体系,整体体现出分散式的立法特征,而随着近年联邦级的隐私保护文件出台,尤其是 美国隐私权法案(草案)的发布,美国隐私保护立法开始逐渐趋向统一。美国立法体系分为联邦立法和州立法,呈现多级多行业监管特征。1974 年,美国实施的隐私法案对政府机构应当如何收集个人信息、收集到的个人信息如何向公众开放及信息主体的权利等做出了详细规定。此后,美国采取分行业的分散立法模式,在金融、健康、教育、消费等行业领域制定数据保护规范,包括 健康保险流通与责任法案(HIPAA)、金融服务现代化法(GLBA)、儿童在线隐私保护法(COPPA)等。同时,美国多个州在其原 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 32 有的个人信息保护法律基础上作出修订,进一步扩展“个人信息”定义,补充数据安全法律法规细节。其中,田纳西州、蒙大拿州、爱荷华州、印第安那州、德克萨斯州、加利福尼亚州先后出台隐私法,以应对联邦法律未能覆盖的隐私保护需求,进一步完善消费者个人信息保护。值得注意的是,美国还通过数据安全立法为其执法机构的域外数据管辖提供依据。2018 年正式签署的澄清境外数据的合法使用法案意味着,美国执法机构在认为可能存在危害美国国家安全的情况下,可以要求跨国企业将存储在他国境内服务器中的与调查事件或者案件相关数据传输至美国执法机构。这意味着执法数据跨境获取需求日益增加的背景下,美国的执法效力将扩展至全球,同时出海企业需要进一步研判多国数据安全法律法规,规划部署数据存储地,减少合规冲突。2024 年,美国联邦层面由总统签发 敏感数据行政令 限制有关国家通过商业方式获取美国个人和政府的敏感信息,主要针对“数据承包商”等成批处理、出售或转让美国个人数据的公司。此外,为了在美国联邦层面建立一部综合性的隐私保护法案,统一全国的数据隐私标准,增强消费者对个人数据的控制权,美国国会于 2022 年 6 月 21 日提出了美国数据隐私和保护法案(ADPPA)。随后,2024 年 4 月 7 日,众议员凯茜罗杰斯和参议员玛丽亚坎特韦尔共同公布了2024 年美国隐私权法案(APRA),旨在进一步加强数据隐私保护,这两部法案的提出标志着美国在联邦层面推进统一隐私保护立法的努力。整体来看,美国的数据安全立法错综复杂仍缺乏统筹性的数据安全法案,但近一年来,美国已经开始启动联 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 33 邦层面的隐私保护建设,以期形成全国统一的隐私保护标准,结束各州隐私法规混杂的局面。(2)加拿大 加拿大的数据隐私立法在近年来经历了显著的进展,以确保个人数据的有效保护和合规使用。这尤其重要,因为随着信息技术的飞速发展,个人信息的收集、处理和利用方式变得更加复杂。加拿大关于数据隐私的主要法律框架是由个人信息保护和电子文件法(PIPEDA)所构成,该法案自2000 年起生效,并且在其实施后经历了多次修订以适应新的挑战和技术进步。PIPEDA旨在管理私营部门组织在商业活动中如何收集、使用和披露个人信息。这部法律的核心原则包括获得同意、限制信息收集、用途和披露、以及要求对个人信息的安全保障。为了增强 PIPEDA 的效力,数字隐私法案 于 2015 年通过并对其进行了修正,增加了对数据泄露事件的强制报告要求。具体而言,数据泄露强制报告条例自 2018 年 11 月起生效,作为PIPEDA 的一部分,规定当发生可能对个人造成重大损害的数据泄露事件时,企业必须立即通知受影响的个体以及加拿大隐私专员办公室,并采取补救措施。此外,加拿大反垃圾邮件法(CASL)是另一项重要法规,旨在减少垃圾邮件、网络钓鱼和其他形式的在线欺诈行为。CASL 要求发送商业电子邮件前需获得收件人的明确同意,并提供简便的方法让接收者能够取消订阅。值得注意的是,为应对日益复杂的数据安全挑战和不断增长的隐私保护需求,加拿大政府还提出了 消费者隐私保护法(CPPA)和加拿大网络 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 34 安全和个人隐私法案(C-11)。如果这些法案最终成为法律,它们将进一步加强现有的隐私保护框架,引入更加严格的数据保护义务,如赋予个人更多的控制权,包括数据访问、更正和删除权利,同时加大对违反规定的处罚力度。此外,加拿大还制定了其他相关法规来保障国家安全和个人隐私,例如国家安全和情报委员会法(NSIRA),该法案监督国家安全和情报机构的活动,确保其符合法律和道德标准,从而进一步增强整体数据安全和隐私保护体系的稳健性。此外,考虑到人工智能技术的发展及其对隐私的影响,加拿大也发布了指导方针,特别针对生成式 AI 的数据集使用提出了原则性建议。这些原则强调了知情同意的重要性,确保用户有权了解他们的数据如何被用于训练AI 模型,并赋予他们一定的控制权来决定自己的数据是否参与其中。值得一提的是,在具体实践中,加拿大已经开始采取实际行动来执行其数据隐私法律法规。例如,宜家因涉嫌未遵守相关数据保护规定而面临潜在的高额罚款,这一案例显示了加拿大监管机构在保护消费者权益方面的决心。(3)巴西 巴西的数据安全和隐私保护主要由通用数据保护法(LGPD,Lei Geral de Proteo de Dados)主导,这部法律自 2020 年 9 月生效,旨在规范个人数据的处理并全面保护数据主体的权利。LGPD 适用于在巴西境内进行的所有数据处理活动,无论数据控制者或处理者是否位于巴西境内,确保了对所有涉及巴西居民个人数据的操作都有明确的法律约束。LGPD 不仅涵盖了在巴西运营的企业,还包括任何处理巴西居民个人 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 35 数据的国际公司,这使得其具有广泛的适用性和全球影响力。LGPD 确立了若干数据处理的基本原则,包括合法性、透明度、目的限制、数据最小化、准确性、存储限制、安全性、问责制以及尊重数据主体的权利等。这些原则确保个人数据在整个生命周期内得到充分保护。根据 LGPD,数据主体享有广泛的权利,包括访问其个人数据、更正不准确的数据、删除个人数据、反对数据处理、限制数据处理、数据可携带性等。此外,数据主体有权了解其个人数据如何被使用,并有权撤回同意或请求删除数据。为了确保数据在国际间传输时也能得到充分保护,LGPD 第33 条规定了严格的跨境数据传输要求。只有当接收国能够提供适当级别的保护,或者采取了其他保障措施(如签订标准合同条款),才能进行跨境数据传输。为了有效实施 LGPD,巴西成立了专门的监管机构国家数据保护局(Autoridade Nacional de Proteo de Dados,ANPD)。ANPD负责监督数据保护政策的执行情况,指导企业合规,并对违反 LGPD 的行为进行处罚。ANPD 还可以发布指南和实施细则,帮助企业更好地理解和遵守 LGPD 的要求。数据保护官(DPO):根据 LGPD 的规定,企业需要指定一名数据保护官(DPO),负责协调内部数据保护策略,确保组织遵守相关法律法规,并作为与 ANPD沟通的主要联系人。DPO 的角色对于确保企业的数据处理活动符合法律规定至关重要。处罚机制:对于违反LGPD 的行为,ANPD 可以施加多种处罚措施,包括警告、罚款(最高可达公司上一年度总收入的 2%)、公开披露违规行为、暂停数据处理活动直至 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 36 完全禁止数据处理等。这些严厉的处罚机制旨在确保企业和组织严格遵守数据保护法规。同时,巴西联邦共和国宪法的第115 号修正案将个人数据保护作为一项基本权利纳入宪法中,进一步强调了个人数据保护的重要性。这一修正案为 LGPD 提供了坚实的法律基础,并强化了个人隐私权的法律地位。除了 LGPD 之外,巴西还有其他一些涉及特定行业或类型的个人数据保护的法规。例如,金融服务业有其自身的数据保护规则,以确保客户信息的安全性和保密性。这些补充性的法规进一步完善了巴西的数据保护框架,使其能够应对不同领域的具体需求。(4)墨西哥 墨西哥在数据安全和隐私保护方面的立法进展体现了全面而多层次的法律框架,旨在确保个人数据的安全与隐私。核心的 私有主体数据保护法和 私有主体数据保护条例 为企业和个人数据控制者设立了基本的数据保护原则和规则,包括合法性、通知义务、数据质量、目的限制、访问与纠正权利、保密性和跨境数据传输等,并赋予了数据主体如访问权、更正权、删除权及反对权等多项权利。此外,针对特定行业的详细规定进一步增强了数据保护力度。例如,金融实体通用条款(Circular 3/2011)由墨西哥银行(Banxico)发布,对金融机构提出了具体要求,涵盖从客户信息收集到存储直至销毁的整个过程,确保客户个人信息得到妥善管理和保护,并采取适当的安全措施防止未经授权的访问或数据泄露。同样,联邦电 信 法 (Ley Federal de Telecomunicacionesy Radiodifusin)也包含了保护用户通信内容和个人 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 37 信息的规定,确保用户的通信隐私不受非法监听或滥用。虽然 消费者保护法(Ley Federal del Consumidor)并不是专门针对数据保护的法律,但它通过要求企业在处理消费者个人信息时保持透明并获得消费者的明确同意,间接支持了数据隐私的保护,保障消费者有权了解其信息的使用情况。4.东盟国家(1)马来西亚 马来西亚在数据安全和隐私保护方面拥有较为完善的法律框架,核心立法个人数据保护法(PDPA)于2010 年颁布,该法是一部规范个人数据处理行为的综合性立法,主要规范个人数据的收集、处理以及披露等行为。该法通过个人数据保护七项原则(包括一般原则、通知和选择原则、披露原则、安全原则、保留原则、数据完整性原则、访问原则)的规定要求数据使用者遵守特定义务,并赋予数据主体与其个人数据相关的某些权利来保障个人数据。为促进 PDPA 的实施,马来西亚制定并通过了与 PDPA 配套的一系列附属条例,如 个人数据保护条例(以下简称“PDPR”)等。PDPR为 PDPA 中的数据主体同意的定义提供了指引,规定了隐私政策必须包含的内容、数据使用者应制定和实施安全政策以及个人数据保护专员可向数据使用者通知对其使用的个人数据系统进行检查等内容。个人信息数据保护机构方面,马来西亚设立了个人数据保护部(The Department of Personal Data Protection)和个人数据保护委员会(Personal Data Protection Commission)作为监管机关和执法机关,其在职责范围内发布数据保护法规、标准和相关文件。2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 38 马来西亚政府对跨境数据流动的监管历来颇为谨慎,其也是亚太地区实行个人数据出口管制国家之一,确立了关于数据输出的白名单制度。根据 PDPA 规定,对于属于白名单内的国家或地区,允许自由转移个人数据的,列入白名单的国家或地区相当于获得了一张数据跨境流动的“通行证”;而向非白名单国家或地区转移数据的行为是被严格禁止的,除非符合特定且有限的豁免情形。马来西亚个人数据保护委员曾在2017 年发布2017 年个人数据保护法令(向马来西亚以外的地方转移个人 数 据)(the Personal Data Protection(Transfer Of Personal Data To Places Outside Malaysia)Order 2017)的草案文件,以征询公众对于数据转移被允许的司法管辖区白名单的相关意见。该草案拟列入白名单的国家或地区包括欧盟、英国、美国、加拿大、澳大利亚、中国、中国香港等约 25 个国家或地区。然而至今马来西亚仍没有批准任何一家国家或地区列入白名单,随着技术进步和全球化的发展,马来西亚也在不断审视和完善其数据保护法规。2024 年 7 月 4 日,马来西亚数字部长Gobind Singh Deo 宣布内阁批准PDPA 2010 的拟议修正案,其中一个重要进展是关于取消数据跨境传输白名单机制的讨论。这意味着未来可能不再依赖固定的白名单来决定哪些地方可以接受从马来西亚转移出去的个人数据。取而代之的是,可能会引入更加灵活和全面的数据保护评估机制,或者强化其他合法依据的要求,例如获得数据主体的明确同意、确保合同义务需要或制定集团内部规则等。(2)新加坡 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 39 新加坡在数据安全和隐私保护方面已经建立了全面且多层次的法律框架,旨在为个人和企业提供强有力的保障。核心立法个人数据保护法(PDPA)自 2013 年起分阶段实施,确立了个人数据收集、使用和披露的基本原则,包括同意义务、目的限制、告知义务、访问与更正权、数据安全保障及存储限制等,并设立了专门的监管机构个人数据保护委员会(PDPC),负责执行该法案并处理违规行为。PDPA 承认个人有权保护其个人数据,而各组织则需要为一个合理的人在这种情况下认为适当的目的而收集、使用和披露个人数据。新加坡于2020 年 11 月 2 日通过了2020 年个人数据保护(修正)法案(PDPA 修正案”),PDPA 经历了自 2012 年颁布以来的首次全面修订,PDPA 修正案中的大部分条款于 2021 年 2 月 1 日开始生效。最突出的是其引入了一个强制性的数据泄露通知制度,要求遭受数据泄露的组织通知 PDPC 和受影响的个人,除非有规定的例外。除了 PDPA,新加坡还出台了其他重要法规以进一步强化数据安全。例如,网络安全法于 2018 年通过,强调对关键信息基础设施(CII)的安全防护,要求 CII 所有者采取必要措施确保其网络的安全,并规定了网络安全事件的报告义务。而修订后的 计算机滥用和网络安全法(CMCA)则明确了非法访问计算机材料、修改或干扰计算机功能以及未经授权拦截计算机服务等行为的法律责任,设定了严厉的处罚标准。针对特定行业领域,新加坡也有专门的数据保护指南和法规。例如,在金融行业,新加坡金融管理局(MAS)制定了一系列指导原则和条例,以确保金融机构妥善管理客户信 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 40 息,防止数据泄露。而在医疗保健领域,卫生部(MOH)发布了健康数据保护指引,特别关注病人敏感健康信息的安全性,确保这类信息得到充分保护。此外,新加坡还在不断更新和完善相关法律法规,以应对新兴技术和市场变化带来的挑战。例如,电子交易法确认了电子记录和签名的法律效力,促进了电子商务的发展;同时,电信法中也包含了有关电信运营商如何处理用户个人信息的规定,既保护用户隐私,又规范电信市场的竞争秩序。(3)越南 作为东盟国家中经济活力最强、发展最快的国家之一,越南已成为东盟最具投资吸引力的国家之一。同时,越南也是 RCEP 最早生效的国家之一,与中国之间的贸易往来日益密切。根据上海海关最新统计,2024 年前 11个月,上海口岸对越南进出口 3048 亿元,同比增长 0.6%,其中进口 1260亿元,出口 1788 亿元。在 2023 年 12月 13 日,中越两国共同发表了中华人民共和国和越南社会主义共和国关于进一步深化和提升全面战略合作伙伴关系、构建具有战略意义的中越命运共同体的联合声明。越南的数字经济也在近年来迅速发展,提前出台了实施第四次工业革命和发展数字经济、数字社会的战略。根据 2022 年东南亚数字经济报告乘风破浪,迈向机遇之海报告,2022 年越南数字经济规模达 230 亿美元,有望在 2025 年达到 490 亿美元。越南 数字经济和数字社会发展战略 明确指出,到 2025 年数字经济占越南GDP的20%、到2030年占30%。发展数字经济和数字社会被列为国家发展战略高度优先事项。2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 41 越南 个人数据保护法(Decree on Personal Data Protection,下称PDPD)于 2023 年 7 月 1 日起施行,是越南首部个人数据保护综合性立法。在此之前,越南网络安全法、网络信息安全法、关于网络安全法若干条款的详细规定法令、关于信息系统安全分类法令 电子商务管理法令 等法律法规也对数据本地化、网络安全等方面提出了诸多要求。这些法律法规共同构成了越南现行的网络安全与数据保护法律体系。越南数据保护的主要监管机构为公安部、信息和通信部等。其中公安部负责指导和实施个人数据保护工作,保护数据主体的权利免受侵害,提出出台数据保护标准、个人数据保护和适用建议,并开展依法检查、审查、处理投诉和控告等工作,是最主要的监管机构。(4)泰国 以数字化转型促进经济发展是泰国工业化 4.0 的长期国家经济计划,早在 2015 年就提出了“数字泰国”的理念。并且,泰国在东南部分别建立了数据产业集聚中心,完善数据经济的高速发展,鼓励企业的数字化转型。预计到 2025 年,泰国数字经济规模将达到 570 亿美元,占国内生产总值的30%。同时,泰国与欧盟进行自贸合作,其重要前提之一就是必须满足 GDPR的相关要求。在此内外双因的驱动下,2022 年 6 月 1 日,个人数据保护法(Personal Data Protection Act,下称“PDPA”)通过生效。该法试图与欧盟等国家的数据治理的法律规则对齐,个人数据保护委员会(PDPC)为该法的执行部门。在PDPA规定下,泰国又相继通过相关实施文件进一步细化 PDPA:个人数据控制者安全措 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 42 施、个人数据处理者个人数据处理活动记录的准备和保存标准和方法以及专家委员会发布行政罚款和命令的标准、中小企业豁免 ROPA 的规定。这些文件虽然尚在听证阶段,但是对于 PDPA 的具体实施提供细化要求,因此企业仍需将这些文件考虑在内。2019 年,泰国网络安全法针对关键信息基础设施运营者(CIIO)提出了具体的网络安全要求。根据该法规定,CIIO 包括银行、公共运输、公共医疗、能源、公共设施领域的运营者,CIIO 应当承担更多的网络安全保障义务。PDPA 依 据“属 地 原 则”和“目标市场原则”共同界定其适用范围。“属地原则”即该法适用于泰国注册的企业和个人以商业目的收集、使用、泄露、转移个人数据的数据处理活动;“目标市场原则”,即该协议适用于向泰国民众提供服务、出售商品或者针对泰国消费者进行监测的海外企业。根据这两大原则,PDPA 具有一定的域外适用性。因此,中国企业针对泰国市场开展跨境电商服务,若泰国的消费者信息被收集和处理,也会被认为是 PDPA 的适用范围之内。(5)印度尼西亚 印度尼西亚在数据安全和隐私保护方面已经建立了较为全面且不断发展的法律框架,旨在保护个人数据免受滥用,并确保企业在处理个人信息时遵循严格的合规要求。核心立法是个人数据保护法(PDP),该法于2022 年生效,标志着印尼首次全面制定个人数据保护的专门法律。这部法律规定了个人数据处理的基本原则、数据主体的权利以及对违规行为的严厉处罚措施,包括可能高达数年的监禁和高额罚款。2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 43 此外,信息和电子交易法(ITE)及其后续修订也为数据保护奠定了基础。ITE 不仅涵盖了在线交易的安全性,还规范了数字签名、电子文件的有效性等多方面内容,为个人数据的合法使用提供了法律保障。为了进一步细化这些规定,通信和信息技术部发布了多项条例,如关于个人数据保护的具体实施细节的第 20 号条例,以及其他相关的政府规章。值得注意的是,在特定行业中,如金融和医疗领域,有更加严格的数据保护要求。例如,金融服务管理局(OJK)针对金融机构制定了具体的数据保护标准,而医疗卫生领域的法律法规则特别强调患者数据的保密性和安全性。这表明,尽管存在一个覆盖全国范围的数据保护法律框架,但在一些高度敏感的行业领域内,仍需遵守额外的、更为严格的规定。5.日韩(1)日本 日本数据安全立法趋向于平衡数据驱动的创新需求与个人信息保护,采取较为中立而综合的立法监管策略,通过统一的综合立法框架结合针对特定领域的个别法规,既确保了个人信息使用的规范,又保障了数据的自由流动,以促进企业的创新和发展。日本的立法模式体现了对全球化趋势的适应和对本土实际情况的尊重,旨在建立既能有效保护个人信息,又能推动经济增长的数据安全法律体系。2003 年 5 月日本个人信息保护法正式通过并于 2005 年 4 月 1 日正式施行,该法在 行政机关计算机处理的个人信息保护法的基础上制定,对日本个人信息保护基本理念方针等总则性内容及与民间企业相关的一般法性内容进行了规定,系日本个人信 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 44 息保护法制体系的基石,日本的个人信息保护法对个人信息处理活动的规范相对较为宽松,注重个人信息保护与数据合理利用的平衡。为 个人信息保护法 更好落地,日本地方公共团体信息系统机构对应修订了个人信息保护基本方针,旨在“确保行政机关等的事务和业务正常、顺利地进行,并确保个人信息的正确、有效的使用。日本在对于网络安全的管控上出台了网络安全基本法,旨在加强日本政府与民间在网络安全领域的协调和运用,更好地应对网络攻击。除立法外,日本国家信息安全中心发布网络安全战略构建世界领先的坚强而充满活力的网络空间。这一战略明确提出 构 建“世 界 领 先 的”“坚 强的”“充满活力的”网络空间,确定了规划和实施有关网络安全措施的五项基本原则:确保信息的自由流通、法治、开放性、自主性和多方合作。(2)韩国 韩国的数据安全立法体现了该国对于个人信息保护的高度重视和对数据驱动经济的积极适应。韩国在数据保护方面的立法工作起步较早,通过一系列法律法规框架确立了数据安全的基础。2011 年 3 月 29 日韩国颁布了 个人信息保护法作为韩国在个人数据保护领域的基石,明确了韩国个人信息保护的统一性原则、要求及参考标准,并发布 个人信息保护法施行令,明确 个人信息保护法 授权的事项及实施所需的事项,帮助其进一步落地,2023 年 3 月 14 日韩国对个人信息保护法进行了部分修订以适应时代发展新变化。除统一性法律文件外,韩国在各行业不同场景下也制定了相应的数据保护法律法规,信息通信网络 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 45 利用促进和信息保护法对电信业个人信用信息的收集、使用与保护进行全面和具体的规范;信用信息使用和保护法则是韩国关于金融业商业交易中信用信息提供和使用的法规,致力于健全信用信息相关产业,促进信用信息的有效使用和系统管理,妥善保护个人生活机密,防止信用信息被滥用和误用;针对位置信息安全,韩国制定 位置信息保护和使用法 保护隐私权,防止位置信息的泄露、滥用和误用,提供安全的位置信息使用环境,激活位置信息的使用。总体来看,韩国的数据安全立法展现了对个人隐私权的尊重、对数据安全风险的前瞻性管理以及对技术发展的适应性,为其他国家在数据保护立法方面提供了有益的借鉴。6.其他国家和地区重要法规变动(1)非洲 非洲在数据安全和隐私保护方面的立法进展体现了该地区对数据保护和隐私权日益增长的重视。尽管各国之间的法律框架和发展速度有所不同,但总体趋势是朝着更加全面和严格的法规方向前进。首先,尼日利亚在非洲有举足轻重的地位,堪称西非地区的“领头羊”。尼日利亚地处西非东南部,自然资源丰富,土地肥沃,人口众多,市场潜力巨大。它是非洲第一大经济体,同时也是人口第一大国、非洲第一大原油生产国和出口国、非洲最大的有效市场,是中国“一带一路”倡议与中非合作的重要组成部分。2022年10月4日,尼 日 利 亚 国 家 信 息 技 术 开 发 局(Nigerias National Information Technology Development Agency,NITDA)发布了 2022 年 尼日利亚数 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 46 据保护法(草案)(NIGERIA DATA PROTECTION BILL 2022-Draft,以下简称草案),概述了个人数据保护的法律框架。草案共包括十三个部分,规定将建立尼日利亚数据保护委员会,以规范个人数据处理,并概述处理个人信息的原则;包括进行数据保护影响评估和任命数据保护官;违规通知和跨境数据传输限制;以及包括调查和民事补救措施在内的执法能力。该法于 2023 年 6 月 12 日由尼日利亚总统正式签发生效,它为尼日利亚的个人数据保护实践提供了更加系统的法律框架。DPA 旨在提供法律框架保护个人数据以及建立尼日利亚数据保护委员会(NDPC)规定个人数据的处理方法及其他相关事项,DPA 明确了 NITDA所发布的规定在其废止日期前依旧有效,NDPC 负责监督数据隐私事务,管理和执行数据保护法的监管机构,确保数据保护义务的遵守,并对违规者进行处罚,其任务包括登记重要的数据控制者和数据处理者,提高对这些实体责任的认识。DPA 具有一定的域外适用性,不仅适用于在尼日利亚境内的公司或机构通过任何方式处理个人数据,还适用于境外实体对居住在尼日利亚的个人的数据的处理。个人和家庭用途的数据处理不受 DPA 管辖。其次,加纳于 2012 年通过了数据保护法,为个人数据的处理提供了法律基础。这部法律确立了数据保护机构的角色,并设定了数据控制者需遵循的基本原则,包括数据最小化、准确性、存储限制等。它还强调了对个人敏感信息的特殊保护要求。南非则实施了个人信息保护法(POPIA),这是一部综合性很强的法律,涵盖了从数据收集到销毁的所有 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 47 阶段。POPIA 明确规定了数据主体的权利,如访问权、纠正权和删除权,并对数据跨境传输设定了严格条件。(2)中东 自两千多年前西汉张骞出使西域起,横贯东西、连接欧亚非的古丝绸之路将中国与伊斯兰文明紧紧连接在了一起。来到现代,在中国推进“一带一路”倡议和沙特阿拉伯王国提出“2030 年愿景”的历史机遇下,两国的经贸往来与各界的合作愈加紧密。2022 年,中沙两国签署了全面战略伙伴关系协议,开启合作新时代。沙特正依靠资本和场景优势加速本国数字经济产业发展和数字化转型,打造中东新“硅谷”。2023 年 7 月 11 日,沙特数据与人工智能管理局(Saudi Data and Artificial Intelligence Authority,SDAIA)公布了两份草案,向公众征询 个人数据保护法(PDPL)意见。2023 年 9 月 14 日,PDPL 正式生效。同时,沙特还制定了一系列实施性细则、补充性规定,包括个人数据保护法实施条例、个人数据境外传输条例以及金融、电子商务、电信互联网等不同行业领域的个人数据保护要求和标准等。围绕着 PDPL,一系列法律法规、实施细则、行业规范共同支撑起了沙特的个人数据保护合规框架。PDPL 旨在保护个人数据,即可以直接或间接识别个人信息的任何形式的信息,包括个人姓名、身份证号、地址、联系电话、照片以及个人视频记录。PDPL 具有一定的域外适用性,不仅适用于在沙特阿拉伯境内的公司或机构通过任何方式处理个人数据,还适用于境外实体对居住在沙特的个人的数据的处理。个人和家庭用途的数据处理不受 PDPL 管辖。2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 48 同为“一带一路”倡议下的全面战略伙伴,阿联酋的数据保护法规主要集中在迪拜国际金融中心(DIFC)和阿布扎比全球市场(ADGM)这两个自由区内,这两个区域各自制定并实施了自己的数据保护法规,类似于欧盟的通用数据保护条例(GDPR),为区域内企业提供了高标准的数据保护框架。DIFC 的数据保护法律深受 GDPR的影响,强调透明度、合法性和数据准确性。它规定了数据处理的基本原则,并为数据主体提供了多项权利,如访问权、纠正权和删除权。DIFC 设立了数据保护专员办公室,负责监督执行情况,确保数据处理活动符合法律规定,并处理相关的投诉和纠纷。ADGM 也制定了一套全面的数据保护规则,涵盖了从数据收集到处理、存储和传输的所有环节。这些规则旨在确保个人信息得到有效保护,并规定了数据控制者和处理者的具体义务。类似于 DIFC 的规定,ADGM 的数据保护条例同样赋予了数据主体知情权、访问权和纠正权等多项权利,确保个人能够对其数据进行有效管理。此外,虽然阿联酋联邦层面尚未制定一部统一的综合性数据保护法,但各酋长国正在积极探索适合本地国情的数据保护立法路径。例如,阿联酋电信和数字政府监管局(TDRA)在其电信法中包含了某些数据保护条款,要求电信服务提供商遵守严格的数据保护标准。科威特和阿曼等国也在积极探索适合本国国情的数据保护立法路径。科威特计划制定新的电子交易和个人数据保护法,而阿曼在其电子商务法中增加了某些数据保护条款。这些努力表明,中东地区的其他国家也在逐 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 49 步加强对数据安全和隐私保护的关注,以应对数字化时代的挑战。(3)澳大利亚 作为南半球经济最发达的国家,澳大利亚被称作“坐在矿车上的国家”、“骑在羊背的国家”。中国一直以来是澳大利亚最大的贸易伙伴。澳洲有着中国工业发展所依赖的天然矿产资源,而中国则在农业、酒类、旅游、教育等领域与其形成互补关系。从 1996年到 2007 年,澳大利亚与中国的贸易增长了 526%。近年来,受国际形式影响,中澳关系经历了一段时间的冷淡期。如今,两国关系已明显回暖。在 2023 年,两国贸易额达到了历史新高的 2190 亿澳元。六月,国务院总理李强对澳大利亚进行正式访问,并举行第九轮中澳领导人年度会晤。在新的全球化形势与产业格局下,两国在更多领域有着新的贸易合作机会,如当下如火如荼的汽车行业。比亚迪、上汽、长城等国产汽车领军企业均在澳大利亚进行了布局,中国对澳大利亚的出口量占中国汽车总出口量的约 6%。再如 Shein、Temu 等电子商务平台,也开始在澳大利亚攻城略地,逐渐受到本土用户的接纳与喜爱。但在当下的国际关系和地缘政治影响下,两国经贸往来仍然可能会存在一些干扰因素。对于在澳大利亚布局的中国企业而言,合规是一条关键生命线。而提起数据合规,欧盟、英美等国家地区往往是企业最重视的地方,但澳大利亚同样有着极高的数据合规要求与监管力度。2022 年,谷歌因违法收集数据被处以 6000 万澳元的罚款。这是澳大利亚有史以来针对企业开出的最大罚单之一。因此,在面向澳大利亚的业务开展过程中,中国企业 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 50 需要严肃对待数据合规的挑战。澳大利亚在联邦和各州层面均有数据保护相关法律法规,同时,在电信、消费者保护等领域的法律法规中也对该领域的数据保护提出了专门的要求,包括:1988 年隐私保护法(Privacy Act 1988)2003 年反垃圾邮件法(Spam Act 2003)消费者数据权利法 澳大利亚竞争与消费者规则 2020 2018 年电信和其他法律修正(协助和访问)法 澳大利亚数据匹配法 2014 年维多利亚州隐私和数据保 护 法(Privacy and Data Protection Act 2014)2018 年维多利亚州儿童信息共享计划规程(Child Information Sharing Scheme Regulations 2018)2017 年维多利亚州数据共享法(Data Sharing Act 2017)。其中,1988 年隐私保护法(下称“隐私法”)和其中的澳大利亚隐私原则(Australia Privacy Principles,APPs),是主要的个人信息保护立法。根据 2022 年隐私法的修订案,对违反隐私法的处罚可高达 5000 万澳元、通过滥用信息获得的任何利益价值的三倍或相关期间(至少 12 个月)占公司国内营业额的 30%中的最高值。(三)重大数据安全合规事件 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 51 随着数据量的爆炸式增长和应用场景的日益复杂,数据安全问题也愈发凸显。近年来,全球范围内发生了多起重大数据安全事件,不仅对涉事企业和个人造成了巨大损失,还引发了广泛的社会关注和深刻的反思。1.影响广泛的泄露事件 (1)日本赛诺菲数据泄露事件 2024 年 8 月 28 日,赛诺菲(日本)宣布,外部有人未经授权访问其部分数据库,存储的个人信息可能已被泄露。被非法访问的信息包括日本医疗专业人员和公司员工的信息,包括733,820 名医疗专业人员的姓名、性别、出生日期、电子邮件地址、医疗机构名称和地址、职务。工作类型、医疗部门以及 1,390 名员工的姓名等信息均被泄露。事件起因是一名海外外包顾问违反规定将数据库ID保存在自己的个人电脑上,导致该电脑感染恶意软件。被非法访问的个人信息不包括信用卡或银行账户信息,且已确认不存在泄露或未经授权使用等二次损害。赛诺菲已经设立专门的呼叫中心答复医疗专业人员的询问。(2)丰田发生大规模数据泄露 2024 年 5 月 12 日,丰田汽车公司发布一则公告称,由于云平台系统配置错误,约 215 万日本车主的部分车辆数据在近十年间处于公开状态,允许任何人在没有密码的情况下对其进行访问。据报道,此次面临泄露危险的数据规模几乎涵盖了 2012 年以来在丰田公司云服务系统中拥有活跃账户的所 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 52 有车主,不仅涉及普通系列汽车,还影响了雷克萨斯等高端系列的用户。根据公告,丰田汽车车主的车载设备 ID、底盘号码、车辆位置信息和时间数据等在 2013 年 11 月 6 日至 2023 年 4月 17 日期间被公开,公开时间近十年;车辆“行车记录仪”拍摄的视频在2016 年 11 月 14 日至 2023 年 4 月 4日期间被公开,持续近七年。数据泄露被发现后,丰田公司已采取措施阻止来自外部的访问,称将引入一个系统来审核云平台,构建一个系统持续进行监控,同时对员工开展教育培训。(3)AT&T 客户敏感信息泄露 2024 年 7 月,AT&T 披露遭遇了一次重大的数据泄露事件,暴露了近乎 1.09 亿客户敏感信息,这一数据几乎覆盖所有其无线客户。该事件对这家电信巨头造成了广泛的影响。该泄露事件发生在 2024 年 4 月14 日至 4 月 25 日之间,涉及对托管在第三方云平台上的 AT&T 工作区的图 3-AT&T,来源于 Bleepingcomputer 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 53 未 经 授 权 访 问。黑 客 组 织ShinyHunters 利用云服务上不安全的存储账户窃取客户数据。此次泄露涉及约 1 亿 AT&T 无线客户的通话和短信记录,以及使用 AT&T 网络的移动虚拟网络运营商(MVNO)客户的数据。联邦通信委员会(FCC)在泄露事件后对 AT&T 的数据保护措施展开了调查。2024 年 9 月,AT&T 同意支付与该调查相关的 1300 万美元和解金。在泄露事件后,AT&T 面临多起来自受影响客户的集体诉讼,寻求对其数据暴露的问责。(4)美国 Change Healthcare 数据泄露 联合健康集团(UnitedHealth Group)宣布,2024 年 2 月发生的 Change Healthcare 数据泄露事件影响了 1 亿多人。2 月 21 日,一次网络攻击破坏了医疗机构的 IT 运行,超过 100 个 Change Healthcare 应用程序受到影响。该事件影响了数千家药店和医疗服务提供商。Change 医疗保健公司在 2 月 29 发布说明,其确认正在经历一个叫 ALPHV/Blackcat 的网络勒索团伙的网络安全事件,并正在与执法部门和第三方咨询公司合作,共同应对此次网络攻击。其中被泄露的数据包括姓名、地址、出生日期、电话号码、驾驶执照、身份证号码、社会安全号码、诊断和治疗信息、医疗记录号码、账单代码、保险成员 ID 以及其他类型的信息。据统计,第三季度因网络攻击为该公司造成的总成本达 11 亿美元。2.高额罚款案例 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 54(1)某国际互联网巨头因违法 GDPR被处罚 12 亿欧元 2023 年 5 月 22 日,爱尔兰数据保护委员会(DPC)对某国际互联网巨头处以创纪录的 12 亿欧元罚款,原因是其在未提供充分数据保护措施的情况下,将欧盟用户的个人数据传输至美国,违反了欧盟 通用数据保护条例(GDPR)。DPC 指出,该公司未能确保在数据传输过程中,欧盟用户的个人数据在美国得到与欧盟相当的保护水平,导致对用户基本权利和自由构成风险。此外,DPC 要求该公司在裁决发布后的五个月内停止向美国传输欧盟用户的个人数据,并在六个月内停止在美国非法处理(包括存储)这些数据。该公司对此裁决表示不满,认为其隐私实践未受影响,并计划提出上诉。值得注意的是,这是自 GDPR 生效以来,对企业开出的最高罚款,显示出欧盟对数据保护违规行为的严格态度。(2)某国内出行平台被处罚 80 亿人民币 2022 年 7 月,国家互联网信息办公室对某出行平台处以 80.26 亿元人民币罚款,对公司董事长、总裁各处人民币 100 万元人民币罚款。经调查,该公司存在多项违反 网络安全法、数据安全法 和 个人信息保护法的行为,此外,该公司还存在严重影响国家安全的数据处理活动,以及拒不履行监管部门明确要求、恶意逃避监管等违法违规问题。此次处罚凸显了中国政府对网络安全、数据安全和个人信息保护的高度重视,提醒互联网企业必须严格遵守相关法律法规,切实履行数据保护责任。该公司表示诚恳接受处罚,坚决服从,严格按照处罚决定和相关法律 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 55 法规要求,全面深入自查,积极配合监管,认真完成整改。3.企业应对措施与启示 通过上述案例可以看出,随着信息技术的发展,企业在享受数字化转型带来便利的同时,也面临着前所未有的数据安全合规挑战。为了更好地保护用户权益,避免类似悲剧再次发生,各行业应当高度重视数据安全工作,从组织架构、管理制度和技术手段等多个层面着手改进,努力构建一个更加安全可靠的数字生态环境。首先,跨境数据传输的合规性是关键问题。跨国公司在将用户数据从一个法律管辖区转移到另一个时,必须采取充分的技术和组织措施来确保数据的安全性。这包括使用标准合同条款(SCCs)、进行数据保护影响评估(DPIAs),并确保目标国家或地区具备与原管辖区同等水平的数据保护标准。否则,可能会面临巨额罚款和其他法律后果。其次,数据全生命周期管理至关重要。企业需要识别内部数据管理不善的风险,包括过度收集用户信息、存储不当和缺乏透明度等问题。企业需要建立严格的流程,确保在数据收集、存储、使用、共享和删除的每一个环节都严格遵循法律规定,以防止未经授权的数据访问和泄露。第三,强化内部信息安全管理体系。企业需提升其内部的信息安全管理能力,建立健全的安全防护体系,如加密技术、访问控制机制等。此外,企业应定期进行员工培训,提高全员对数据保护的认识,减少因人为疏忽导致的数据泄露风险。第四,增加透明度和用户信任。企业需要向用户清晰说明数据处理目的、方式及其法律依据的重要性。透明的 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 56 沟通不仅能增强用户的信任感,还能帮助企业更好地应对监管机构的审查。最后,积极与监管机构合作。企业应主动与相关监管机构保持开放和建设性的对话,及时获取最新的指导意见和支持,并积极整改发现的问题。这种合作不仅有助于降低合规风险,还能促进整个行业的健康发展。2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 57 03 第三章 CHAPTER 3 企业数据安全合规最佳实践 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 58 03 第三章 CHAPTER 3 企业数据安全合规最佳实践 (一)数据安全合规管理体系构建 1.内部政策与程序 数据合规是推动数据安全实践的驱动力,企业数据合规是指企业经营者管理行为要符合国家法律、行政法规、国际法律条约、行为准则、商业道德以及企业内部的管理制度。建设企业数据合规体系的构成要素包括:管理层承诺,风险评估,流程嵌入和记录保存。(1)管理层承诺 搭建数据安全合规管理的组织架构需要系统地从高层到执行层形成清晰的责任分工、协作机制和流程,以确保数据安全和合规管理能够有 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 59 效运行并持续改进。首先,企业应设立数据安全合规委员会,由高层领导如首席信息官(CIO)、首席合规官(CCO)等关键高层人员牵头,负责制定数据安全和合规的战略方向,确保资源的支持和跨部门的协调。该委员会应定期召开会议,审议数据安全管理政策、合规计划和重大风险,保证高层对数据安全合规的持续关注和支持。出海企业应根据出海目的地的法律法规要求及自身需求,指定合规负责人或首席数据保护官(DPO),负责全面推进当地数据安全和合规管理体系的实施与监督。DPO 或合规负责人需要拥有独立性和足够的决策权限,直接向高层汇报工作,确保合规管理不受其他部门的干扰。同时,合规负责人还应与外部法律顾问、行业监管机构等建立沟通联系,确保企业在各类法律法规上的及时更新与遵守。中层管理层需要设立负责数据安全合规的管理团队,负责具体的政策制定、风险评估、合规检查、审计和员工培训等工作。团队成员通常包括合规经理、数据保护专家、信息安全技术人员、法律顾问等角色。合规经理负责确保数据安全合规政策的有效执行,数据保护专家专注于数据加密、备份、恢复等技术细节,法律顾问确保所有数据处理活动符合最新的法律法规要求。此外,信息技术部门应提供支持,确保安全技术措施的有效落实,如防火墙、数据加密、身份验证等。每个业务部门都应承担起数据安全与合规的责任,落实本部门的数据安全和合规要求,与合规管理部门紧密合作,确保部门内的所有数据处理 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 60 活动符合公司规定的安全标准和合规要求。跨部门的协作非常重要,IT部门负责技术防护,法务部门负责合规审查,HR 部门负责员工培训和人员管理等。所有部门应形成数据安全合规管理的合力,共同保障企业的数据安全。为了确保数据安全管理的有效性和全员参与,企业需要建立全员教育和定期培训体系。员工培训不仅仅是针对合规管理人员,所有员工都应接受数据安全意识的培训,了解最新的法律法规要求、公司政策以及个人在数据保护中的责任和义务。对于合规管理部门的专职人员,还应定期进行深入的技术和管理培训,以提升其应对复杂问题的能力和解决方案的实施能力。(2)风险评估 为确保数据安全合规体系的动态完善,企业应当建立全面的风险管理机制,在风险评估层面,建议按季度开展系统化的数据安全成熟度评估,采用自动化扫描工具与人工渗透测试相结合的方式,重点检测 API 接口、云存储配置及第三方数据交互通道的脆弱性。例如,可通过部署智能化的用户行为分析系统,实时监测异常数据访问模式,结合隐私保护法规构建合规风险矩阵,量化评估数据泄露对客户隐私及企业商誉的影响程度。针对管理体系的持续改进,建议构建 PDCA(计划-执行-检查-改进)循环机制。每半年通过行业基准对标分析,结合监管部门的最新要求,重点优化数据分类分级规则和访问控制策略。根据新出台的数据保护法案要求,企业需及时升级数据加密算法并部署分布式存证系统。建议设立由法务、技术、运营部门组成的跨职能 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 61 工作组,定期跟踪技术标准更新动态,通过自动化合规监测平台实时预警配置偏差,同步开展全员数据素养培训计划,确保持续符合国际通行的隐私管理体系要求。(3)流程嵌入 企业在构建数据安全合规管理体系时,应根据管理层级和管理重点,采取分层次、分阶段的制度体系建设方式。这一体系应以组织管理策略为纲领,逐级制定各类制度、流程和操作办法,以确保从高层到基层的管理要求能够层层落实,确保数据安全合规目标的全面达成。高层管理团队需要制定整体的数据安全合规战略和框架,明确企业的合规目标和战略方向。这些战略和目标应涵盖企业所面临的所有合规风险,明确数据保护的关键任务和战略重点,如合规性审查、数据隐私保护、跨境数据流动的监管要求等。基于这些战略目标,企业可以为不同层级和部门提供详细的管理要求和执行指引。在此基础上,企业应根据各个管理层的职能,逐级建立详细的制度和管理办法。例如,数据安全合规委员会在高层层面负责制定全局性的政策与方向,而数据安全合规管理部门负责具体的政策落地和执行细节。各业务部门如 IT、法务、HR 等,则根据其具体职能,制定相关的实施细则,确保各部门之间的合作与配合。每个部门应根据自己的业务场景和数据处理流程,制定适合本部门的合规操作规范和技术措施,并且要确保与整体管理政策的协调一致。(4)记录保存 为了确保管理要求能够有效落实到日常工作中,企业还应结合表单、2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 62 工具和信息系统,简化和标准化管理流程。例如,设计数据处理的审核表单、风险评估表单、事件报告单等,将数据安全合规的管理任务和执行情况明确记录和追踪。这些表单和工具可以通过信息化平台进行自动化处理,使得合规管理不再依赖人工操作,提高工作效率和透明度。此外,数据安全合规的管理要求应纳入日常工作的常规流程中,如员工入职时必须进行数据安全和合规培训,项目启动时必须进行数据合规审核等,确保每个环节都不遗漏。同时,企业应通过建立清晰的工作流程和责任分工,将数据安全合规的任务落实到具体岗位和员工的日常工作中。例如,员工在处理个人数据时,需要通过合规系统进行权限申请、数据加密等操作,数据安全合规管理部门则需定期进行检查和审计,确保工作流程的严格执行。2.安全技术部署 随着数据泄露、信息滥用等安全问题也频发不断,给个人隐私、商业机密乃至国家安全带来了严峻挑战。因此,确保数据的安全性、完整性和可用性,实现数据安全合规,已经成为各行业共同关注的焦点。为了有效应对这些挑战,一系列先进的安全技术应运而生。从加密算法到访问控制,从匿名化处理到安全审计,每一种技术都在保护数据安全方面发挥着不可替代的作用。(1)数据自动化发现、分级分类与标识 数据分级分类是数据保护的基础工作。随着企业海量数据的积累,不可能靠人工去实现数据清册、数据分 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 63 级分类及标识工作,而是应当通过自动化的数据扫描和策略识别的方式来定位数据、分类数据,以进一步实现分级保护。参考传统数据防泄漏工具的思路,在数据发现过程中应用搜索算法,实现对所需敏感信息的自动检索,并基于正则表达式、关键字、UDF 等模式,以及有部分产品也集成了机器智能学习模式,自动将库、表中的数据进行识别和分级分类,并可视化分级分类结果。基于分级分类结果根据企业定义的规则对库或表进行拆分、合并、字段或表级别打标签等工作。(2)数据流动监控 数据的核心价值在于流动过程中参与处理、运算等所带来的价值,数据的流动不可避免,而因流动所带来的安全风险和合规风险也难以规避。数据流动监控是指通过技术来实现对数据真实流转情况的可视化,以保证数据资产分布及访问行为态势的清晰度、透明度和可控性,并通过对数据流转路径和敏感数据访问行为的分析,预测数据资产可能面临的泄露风险、丢失和滥用。企业使用数据流动监控的场景主要包括排摸数据流转情况、识别数据泄露风险、管控数据外发尤其是跨境数据传输的场景等。(3)个人信息主体同意授权管理 个人信息主体同意授权管理是企业为了能够保护用户个人信息主体权利以符合法律合规要求的解决方案。企业可以通过个人信息主体同意授权管理平台,解决在收集、使用或共享过程处理用户数据的合法记录和管理用户同意授权问题,保证数据在不同阶段的处理活动均给予“告知-同意”的原则。2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 64(4)数据去标识化、匿名化技术 数据去标识化是建立在个体基础上,保留了个体的颗粒度并采取技术手段如假名、哈希、加密等替代对个人信息的标识,使其个人无法轻易被识别;而匿名化技术的应用必须是数据无法被复原,无法识别或关联到特定个人。去标识化后的个人信息仍属于个人信息,而匿名化后的个人信息则不再属于个人信息的范畴。无论是数据去标识化还是匿名化,均是目前重要的数据安全保障措施,并且市场上也具备了较为成熟的解决方案。数据去标识化常见的应用场景如大数据平台中个人信息进行去标识化处理,降低数据建模、数据分析时的泄露风险;学术研究机构处于统计或研究目的对比提供报告时对个人信息进行去标识化处理;通过界面展示的个人信息采取去标识化处理措施降低数据使用环境的泄露风险等。数据匿名化常见的应用场景如个人信息主体注销账号后对信息进行匿名化处理;数据超过存储期限后进行匿名化处理;将生产环境数据用于测试使用时对数据进行匿名化处理等。(5)数据合规与隐私保护管理平台 在传统的信息安全管理中,“三分靠技术,七分靠管理”,虽说在当前的安全与合规环境下已发生了很大的变化,技术已成为嵌入式的管控,但管理流程依然不可或缺。无论是数据安全法,还是个人信息保护法,均对企业应尽的保护义务提出了要求,包括建立健全企业内部的数据安全管理制度和操作规程,制定组织实施个人信息安全事件应急预案,在必要情形下进行个人信息保护影响评估等。传统基于 Excel 的评估、基于邮件的工作流已难以满足当前 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 65 的管理需求,而数据合规与隐私保护管理平台可以在一定程度上协助企业合规人员标准化管理流程,准确设置管控卡点,提升管控效率,增强管理的透明度,进而达到将管控流程嵌入业务的效果。当前大部分隐私管理平台可以支撑数据清册管理、第三方安全管理、个人信息安全影响评估、数据主体权利管理、应急响应管理、意识培训等。(6)隐私计算平台 隐私计算是在保护数据本身不对外泄露的前提下,实现数据分析计算的一系列技术路线的统称,可达到“数据可用不可见”的目的,在充分保护数据和隐私安全的前提下,实现数据价值的转化和释放。隐私计算是众多领域交叉融合的技术体系,是指在确保数据隐私的前提下,安全地共享、汇集和分析数据的技术。Gartner指出预计到 2025 年 60%的大型企业机构将使用一种或多种隐私增强计算技术。与传统的安全技术相比,隐私计算既能够提高数据的实用性,也能对数据进行加密保护,实现数据的共享、交换、流通和使用。2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 66 图表 4 数据安全合规管理体系 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 67(二)数据合规培训与意识提升 1.了解数据安全的重要性:首先,管理者需要向员工解释数据安全的重要性,包括保护公司的商业机密、客户的个人信息、员工的个人信息等;强调数据泄露可能带来的负面影响,如损害公司声誉、法律责任等。2.制定数据安全员工守则:制定一份明确的数据安全员工守则,规范员工在处理数据时的行为准则和责任。该政策应包括数据访问权限、数据备份策略、数据传输安全、密码管理等方面的规定。确保员工明白自己在数据安全方面的责任和义务。3.提供培训课程:开展数据安全培训课程,包括数据安全意识教育、数据加密技术、网络安全知识等。可以邀请专业机构或专家进行培训,也可以利用在线学习平台提供培训材料。培训内容应根据员工的实际工作需求进行定制,强调实际案例和操作技巧。4.定期更新培训内容:数据安全技术和威胁日新月异,因此需要定期更新培训内容,以跟上最新的数据安全趋势和最佳实践。可以定期组织内部培训或请专业机构定期进行培训。5.模拟演练和案例分享:定期组织数据安全演练和案例分享会,让员工通过实际操作和案例学习如何应对数据安全威胁。可以模拟网络攻击、数据泄露等情景,让员工亲身体验并学习应对措施。6.奖励机制:建立数据安全奖励机制,鼓励员工积极参与数据安全工作。可以设立数据安全意识竞赛、奖金、2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 68 荣誉证书等激励措施,激发员工的积极性和主动性。(三)应急响应与恢复 为确保数据安全合规,制定有效的应急预案并进行演练评估至关重要。以下是制定应急预案和开展演练评估的关键步骤:1.制定应急预案(1)明确组织架构和职责:建立专门的数据安全管理团队,明确各成员的职责和权限,确保在发生数据安全事件时能够迅速响应。(2)分类和分级数据安全事件:根据事件的严重程度,对数据安全事件进行分类和分级,以便采取相应的应急措施。(3)制定应急处置流程:明确从事件发现、报告、评估、响应到恢复的全过程,确保各环节衔接顺畅。(4)建立报告和沟通机制:确保在事件发生时,相关人员能够及时报告,并与内部和外部相关方进行有效沟通。2.开展应急演练(1)制定演练计划:根据可能发生的数据安全事件,制定详细的演练计划,明确演练的目的、范围、方式和时间安排。(2)组织演练活动:定期组织桌面推演、实战演练等形式的演练,检验应急预案的有效性和团队的响应能力。3.进行演练评估(1)评估演练效果:通过对演练过程的观察和记录,在演练后,评估应急预案的有效性和团队的响应能力。(2)识别改进点:总结演练中发现的问题,提出改进措施,完善应急预案 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 69 和响应流程。(3)持续改进:根据评估结果,定期修订应急预案,确保其与时俱进,适应新的数据安全挑战。2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 70 04 第四章 CHAPTER 4 未来展望 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 71 04 第四章 CHAPTER 4 未来展望 在数字文明加速重构商业与社会形态的今天,数据安全与合规正在经历从技术工具到战略基础设施的本质转变。加密技术从静态保护向动态协同演进,区块链应用从单一账本向生态级信任网络升级,这些变革既为企业打开了数据价值释放的新通道,也对其技术敏锐度与风险驾驭能力提出了更高要求。当数据主权意识觉醒与监管复杂度提升形成双重驱动力,组织不仅需要关注技术迭代的节奏,更要重新审视战略资源配置的逻辑如何在技术选型中平衡创新与稳健,如何将合规要求转化为治理效能,又如何构建适应持续演变的组织学习能力。2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 72(一)技术发展趋势 1.加密技术进步 加密技术是信息安全领域的核心,旨在保护数据的机密性、完整性和可用性。随着信息技术的迅猛发展,加密技术也在不断演进。常见加密技术包括同态加密、差分隐私、多方安全计算等。(1)同态加密 同态加密是一种特殊的密码学技术,它可以通过对加密的数据进行计算得到密文计算结果,后对其进行解密得到与原数据计算结果相同的结果。同态加密能够真正做到数据的“可算不可见”,在得到正确结果的同时保证了数据安全和隐私保护。在实践中,同态加密根据加密方式可以分为部分同态加密和全同态加密。部分同态加密是指仅支持对密文进行部分的计算,全同态加密是指对密文进行任意的计算。近几年,同态加密的应用场景较广泛,在云计算、区块链和物联网中都存在同态加密的运用。如在云计算场景下,通过同态加密实现数据的流通,保证数据在流通的全过程中是密文的形式,确保数据安全。又如在区块链场景下,同态加密帮助实现了链上数据的保密性。同态加密的运用为数据的流通提供了安全保障,因此它已逐渐渗透到了医疗、金融、法律业等高度监管的行业。(2)差分隐私 差分隐私是密码学中的一种手段,当从统计数据库进行查询时,提供了一种最大化数据查询的准确性,同时 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 73 最大限度减少识别其记录的机会。它可以通过对数据引入随机性,添加噪声,从而防止数据被推测。差分隐私能够做到在利用数据来满足业务需求的同时,抵抗外部攻击和实现隐私保护。在差分隐私技术的实践中,实现差分隐私保护的机制通常包括拉普拉斯机制和指数机制。拉普拉斯机制实现了对数值型结果的保护,指数机制则是实现对离散型结果的保护。如今,差分隐私已经应用到各行各业的业务场景中,比如医疗行业用于患者电子健康档案的保护、医疗传感器如可穿戴设备的地理位置信息的保护等。(3)多方安全计算 多方安全计算是指,各参与方在互不信任的场景下,共同计算一个联合函数,并保证参与方仅能获得自己的计算结果,不泄露其他任何信息。它既能够确保数据的保密性,还能够确保各参与方都收到原有计算函数的正确结果。多方安全计算主要可以分为混淆电路和秘密分享。混淆电路能够在保证不泄露参与方数据的情况下进行计算,并且指定计算结果的所属者。秘密分享是通过拆分秘密信息,来实现数据安全,防止信息被丢失、破坏和篡改。近几年,多方安全计算陆续开始应用到各类行业,其中混淆电路通常用于各类计算,而秘密分享在身份认证、密钥管理等方面有重要的作用。2.区块链技术应用 区块链技术在数据安全和合规性方面的应用正日益受到关注,主要体现在以下几个方面:(1)数据溯源与权益保护:区块链的不可篡改性和透明性使其成为数据溯源的理想工具。通过在区块链上记录数据的生成、修改和使用历史,可以明确数据的来源和去向,为数 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 74 据权益的认定提供有力依据。(2)数据共享与隐私保护:在需要共享敏感数据的场景中,区块链技术能够确保数据的隐私性和安全性。结合加密技术和智能合约,区块链可以实现对数据访问的精细控制,确保只有授权方才能访问特定数据,同时记录所有访问行为,增强数据共享的透明度和可追溯性。(3)合规性管理:区块链技术有助于企业在数据处理和存储过程中满足合规要求。例如,在欧洲通用数据保护条例(GDPR)下,区块链可以提供数据处理活动的透明记录,确保数据主体的权利得到尊重,并为合规性审计提供可靠的证据。(4)智能合约与自动化合规:智能合约可以在区块链上自动执行预定的规则和协议,确保数据处理活动符合既定的合规标准。一旦满足特定条件,智能合约会自动触发相应的操作,减少人为干预,提升合规性管理的效率和准确性。(二)企业准备建议 1.适应性策略(1)引入自动化和智能化安全工具 随着网络攻击日益复杂化,企业面临着前所未有的安全挑战。通过采用AI 和机器学习技术,可以实现对网络安全威胁的自动检测与响应。这些先进的工具能够实时监控网络流量,分析异常行为,并自动实施相应的防护措施。例如,基于机器学习的入侵检测系统(IDS)可以通过学习正常网络行 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 75 为模式来识别潜在威胁,并立即采取行动以减少风险。此外,这些智能工具不仅能显著缩短响应时间,还能极大地降低人工干预的需求,确保企业的网络安全防护更加高效和可靠。(2)数据加密和隐私增强技术的应用 数据安全的一个关键方面是保护数据在传输和存储过程中的完整性和保密性。为此,企业应广泛采用数据加密技术,确保即使发生数据泄露事件,未授权方也无法读取敏感信息。除了传统的加密方法外,同态加密和差分隐私等新兴技术为处理和分析数据时提供了额外的隐私保护层。同态加密允许在不解密的情况下执行计算操作,而差分隐私则通过添加噪声来保护个体数据点的隐私,从而在保障数据价值的同时最大程度地减少隐私泄露的风险。(3)加强跨部门协作与信息共享机制 网络安全不应被视为 IT 部门的单一责任,而是需要整个组织共同参与的过程。为了有效应对复杂的网络威胁,企业应该强化法务、合规和风险管理等部门之间的合作,共同制定全面的数据安全策略。同时,积极参与行业信息共享平台也是提升整体安全性的重要途径之一。通过与其他公司分享安全情报,企业可以更快速地了解最新的威胁动态,并联合采取预防措施。这种合作不仅有助于提高自身的防御能力,也促进了整个行业的安全水平。(4)技术人才的培养与引进策略 面对不断变化的安全挑战,拥有专业的技术团队是至关重要的。企业应当注重内部员工的技术培训,鼓励他们获取相关的专业认证(如 CISSP、CISA等),以此提升团队的专业素养。与此同时,吸引外部高级安全专家加盟也是提升企业安全防护能力的有效 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 76 手段。通过建立一个既有深厚理论基础又具备实战经验的安全团队,企业可以更好地应对未来可能出现的各种新型安全威胁。此外,持续关注行业最新趋势和技术发展,保持团队的知识更新和技能提升,对于构建坚固的安全防线同样至关重要。2.投资与资源分配 在当前监管环境日益严格和技术迅猛发展的背景下,企业在数据安全合规上的投资显得尤为重要且不可或缺。企业在数据安全合规上的投入不仅是为了遵守相关法律规范,避免可能的罚款和法律责任,更是为了保护自身的核心资产数据,确保企业的可持续发展。通过建立全面的数据安全管理框架,企业不仅能有效防范外部威胁,还能提升内部管理效率,增强客户信任,从而在激烈的市场竞争中占据有利位置。一是避免不合规的成本支出,即避免支付因违规带来的高额罚款。截至 2024 年 12 月,通用数据保护条例(简称“GDPR”)执法总数 2265 起,GDPR 罚款总额超 50 亿欧元,最高的一笔罚款为针对某国际互联网巨头开出的 12 亿欧元罚款。不仅 GDPR 的执法强度大、频次高,其他国家的监管处罚也不容小觑。以我国为例,伴随执法常态化发展,监管措施涵盖公开通报、应用下架、罚款到实施网络安全审查、过渡性指导措施等多种手段。监管处罚对象不仅包括企业,还覆盖到高管及相关责任人,处罚方式主要体现为警告与罚款。譬如,国家互联网信息办公室对某出行平台 80.26 亿元人民币罚款;2023 年 9 月,对某学术平台处 5000 万人民币罚款。二是提升安全合规能力和商业竞争力。企业通过技术、工具和组织架构 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 77 的调整提升整体合规能力,具体包括组建数据安全团队,设置 CDO(首席数据官)制度,配备专职隐私保护人员及合规法务人员,应用隐私计算等技术,采购第三方合规风险评估服务等。其中,在人才需求方面,由于国内法律法规对于开展相关业务的企业提出数据安全管理相关要求,个人信息保护法更是明确指出处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人。同时,客户也越来越重视个人数据的安全性和隐私保护。一个具备强大数据安全保障体系的企业更能赢得客户的信任,增强市场竞争力。此外,合作伙伴和供应商也会优先考虑那些能够证明自己有能力保护敏感信息的企业作为合作对象。三是良好的长期效益。虽然初期的数据安全合规预算的增加一定程度上给企业带来了额外的成本,尤其是对于初创企业或中小企业来说。然而,根据 IBV 发布的网络经济中的繁荣研究显示,网络安全成熟度最高的组织在五年内的收入增长率比最不成熟的组织高出 43%,从长远来看,它可以为企业节省大量因数据泄露或违规所造成的直接和间接损失,包括但不限于罚款、诉讼费用、收入损失以及品牌价值下降等,数据安全在一定程度上也可以被视为企业经济和价值增长的措施。因此,对于现代企业而言,在数据安全合规上进行适当的投资不仅是遵循法律法规的要求,也是保障企业长期健康发展的重要措施。这不仅有助于避免潜在的法律风险,还能增强企业的核心竞争力和市场地位。2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 78 结语 CONCLUSION 在全球数字化进程不断加速的背景下,数据安全与合规已成为各国政府、企业和公众共同关注的重要议题。通过本次对国内外数据安全立法情况、重大数据安全事件的回顾与分析,我们不难发现,随着技术的进步和应用场景的扩展,数据安全面临的挑战日益复杂多变。企业必须紧跟法律法规的变化,强化内部管理机制,采取切实可行的数据保护措施,才能有效防范潜在风险。那些将数据安全与合规视为企业发展战略重要组成部分的企业,不仅能够更好地保护用户信息与数据,赢得市场信任,还在竞争中占据有利地位。未来,随着人工智能、区块链等新兴技术的进一步发展,数据安全领域将迎来更多创新与变革的机会,企业应持续提升自身的数据安全管理能力,积极探索适应新技术环境下的安全解决方案,共同营造一个更加安全、透明的网络空间。同时,我们也期待国际间能加强合作,构建更加完善的数据保护法律框架,促进全球数字经济发展。2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 79 附录 APPENDIX 术语表 1)联邦学习 联邦学习是隐私计算中最常见的一项技术,它本质上是一种分布式机器学习技术,通过中央服务器来实现对加密数据的流通与处理,最后完成多方分布的机器学习框架。联邦学习能够在确保数据合规与隐私保护的前提下,多方共同参与完成联合建模。在整个过程中,既保证了数据安全,又实现共同学习的目标,协助企业解决数据孤岛、数据不可用、数据泄露等问题。实践中主要运用在企业风控评定、安全防控检测、医疗诊断等方面。联邦学习在使用过程中,根据参与方之间的样本分布,分为横向联邦学习、纵向联邦学习和联邦迁移学习,不同的分类在实践中对应解决了不同类型的问题。横向联邦学习适用于参与方特征相同,但是样本重叠较少的情景。横向联邦学习主要通过增加样本数量,达到了提升模型的准确性和泛化能力的目的。纵向联邦学习则适用于参与方样本相同,但是特征重叠较少的情景。纵向联邦学习主要通过丰富样本来优化学习模型。联邦迁移学习适用于参与方特征和样本重叠度都较低的情景,2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 80 是对横向联邦学习和纵向联邦学习的补充。2)同态加密 同态加密是一种特殊的密码学技术,它可以通过对加密的数据进行计算得到密文计算结果,后对其进行解密得到与原数据计算结果相同的结果。同态加密能够真正做到数据的“可算不可见”,在得到正确结果的同时保证了数据安全和隐私保护。在实践中,同态加密根据加密方式可以分为部分同态加密和全同态加密。部分同态加密是指仅支持对密文进行部分的计算,全同态加密是指对密文进行任意的计算。3)差分隐私 差分隐私是密码学中的一种手段,当从统计数据库进行查询时,提供了一种最大化数据查询的准确性,同时最大限度减少识别其记录的机会。它可以通过对数据引入随机性,添加噪声,从而防止数据被推测。差分隐私能够做到在利用数据来满足业务需求的同时,抵抗外部攻击和实现隐私保护。在差分隐私技术的实践中,实现差分隐私保护的机制通常包括拉普拉斯机制和指数机制。拉普拉斯机制实现了对数值型结果的保护,指数机制则是实现对 离散型结果的保护。如今,差分隐私已经应用到各行各业的业务场景中,比如医疗行业用于患者电子健康档案的保护、医疗传感器如可穿戴设备的地理 位置信息的保护等。4)多方安全计算 多方安全计算是指,各参与方在互不信任的场景下,共同计算一 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 81 个联合函数,并保证参与方仅能获得自己的计算结果,不泄露其他任何信息。它既能够确保数据的保密性,还能够确保各参与方都收到原有计算函数的正确结果。多方安全计算主要可以分为混淆电路和秘密分享。混淆电路能够在保证不泄露参与方数据的情况下进行计算,并且指定计算结果的所属者。秘密分享是通过拆分秘密信息,来实现数据安全,防止信息被丢失、破坏和篡改。近几年,多方安全计算也开始陆续应用到各类行业,其中混淆电路通常用于各类计算,而秘密分享在身份认证、密钥管理等方面有重要的作用。5)可信执行环境 可信执行环境,即在中央处理器内预制特定、隔离的安全区域,有着独立的硬件资源和软件程序,在该区域内加载的程序和指令均以既定的形式运行,除授 权信道外,可信执行环境中的信息无法被外部访问,且在可信执行环境内部中的可信应用也是相互隔离的。通过这种机制,有效地保护了可信执行环境中数据及可信应用的机密性和完整性。除了保护交易、内容保护等安全使用场景外,可信执行环境在联邦学习中也有其用武之地。在联邦学习中,为了保护聚合各方模型数据的参数服务器的数据安全,通常会采用同态加密等密码学手段进行保护,但同时也带来了极高的运算成本,降低了联邦学习的效率,而在可信执行环境中进行参数聚合,则可以较好地平衡安全与效率。6)智能合约 智能合约有助于保障提供方 2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 82 的数据控制权。它是内置于代码中、在满足某些触发条件时自动执行 某些功能的程序,具有预防违约、保证业务逻辑自动强制执行的特点。在数据流通场景下,智能合约可以自动拦截非经许可的数据传输行为,实现数据要素价值变现的自动分配机制,在交易完成后自动删除特定数据库内的数据。7)数据发现、分级分类与标识 通过自动化的数据扫描和策略识别的方式定位数据、分级分类数据,以进一步实现分级保护。在数据发现过程中基于正则表达式、关键字、UDF 等模式或者机器智能学习模式,自动将库、表中的数据进行识别和分级分类,并可视化分级分类结果、基于分级分类结果对字段或表级别打标签。8)数据流动监控 通过技术来实现对数据真实流转情况的可视以保证数据资产分布及访问行为态势的清晰度、透明度和可控性,并通过对数据流转路径和敏感数据访 问行为的分析,预测数据资产可能面临的泄露风险、丢失和滥用。9)个人信息主体同意授权管理 帮助企业收集、跟踪、展示和管理用户的个人信息授权同意,保证数据在不同阶段的处理活动均给予“告知-同意”的原则。10)数据去标识化、匿名化工具 数据去标识化工具在个体基础上,采用技术手段如假名、哈希、加密等替代对个人信息的标识,保留了个体的颗粒度,使其在不借助额外信息的情况下,无法识别或者关联个人信息主体。数据匿名 化工具通过对数据进行随机映射、2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 83 统一泛化等操作,使其发布的数据无法关联到任何具体个体。11)数据合规与隐私保护管理平台 帮助企业基于线上流程和评估模板开展隐私影响评估、数据出境安全评估、第三方合规评估、风 险隐患定位等评估工作,高效规模化完成需要电子表格、数据输入和报告的任务,为企业提供合规性证明的平台。12)隐私计算平台 基于一种或多种隐私计算技术,如联邦学习、多方安全计算、隐私求交、可信执行环境、差分隐私等技术,在保证数据提供方不泄露原始数据的前提下,对数据进行分析计算,实现数据在流通与融合过程中“可用不可见”的数据处理平台。2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 84 附录 APPENDIX 参考文献 1 欧盟网络安全局,2nd ENISA Cybersecurity Policy Conference 2 中华人民共和国常驻联合国代表团,中国代表团在全球网络安全能力建设高级别圆桌会议上的发言 3 世界经济论坛,Top 10 Emerging Technologies of 2024 4 ASEAN,Joint Media Statement of the 3rd RCEP Ministers Meeting 5 新华社,全球数据安全倡议(全文)6 中国网信网,全球数据跨境流动合作倡议 7 中华人民共和国商务部,区域全面经济伙伴关系协定(RCEP)8 欧盟委员会,Adequacy decision for the EU-US Data Privacy Framework 9 APAC,APEC Privacy Framework 10 清华大学智能法治研究院,非洲联盟数据保护框架政策概述 11 安永(中国)企业咨询有限公司,上海赛博网络安全产业创新研究院,2024 企业出海数据合规年报 Annual Report on Data Compliance in Corporate Overseas Expansion 85 2023-2024 全球数据流通与隐私科技发展报告 12 工业和信息化部,工业和信息化领域数据安全事件应急预案(试行)13 中国通信学会,工业和信息化领域数据安全合规指引 14 数据猿,数字化时代,医疗数据安全的隐私迷雾与守护 15 Dark Reading,Toyota Discloses Decade-Long Data Leak Exposing 2.15M Customers Data 16 Bleepingcomputer,Massive AT&T data breach exposes call logs of 109 million customers 17 Bleepingcomputer,UnitedHealth says data of 100 million stolen in Change Healthcare breach 本刊由上海市国际贸易促进委员会发布,未经授权不得复制、转载、修改、摘编或使用。本刊仅为提供一般性信息之目的,不应用于替代专业咨询者提供的咨询意见。刊内图片来源于网络。
2025-07-31
85页
5星级
i 20242024年 联合国采购年度统计报告年 联合国采购年度统计报告 ii 2024年 联合国采购年度统计报告2024年 联合国采购年度统计报告 UNOPS 2025Marmorvej 51,2100 Copenhagen,Denmark版 权 所 有。未 经UNOPS 事 先 许 可,不 得 以 任 何形式或任何方式(电子、影印、录制或其他方式)复制、存储于检索系统中或传播本出版物的任何部分。封面图片:Pakistan UNOPS联合国采购年度统计报告(ASR)(以下简称“报告”)概述了联合国系统为支持其运营、项目和方案开展所进行的采购情况。本报告(第41版)对联合国采购的主要趋势进行分析,并同步在线发布完整版统计数据。报告按照联合国机构、采购商品和服务类别及供应国对采购数据进行了细分。报告还提供在联合国持续关注可持续发展的背景下,联合国系统内部的协作信息,以及各组织将可持续性发展考量纳入采购流程所做出的努力。目录目录2024年联合国采购了什么?2024年联合国采购了什么?2024年联合国采购情况 2 1 1 按行业领域划分的采购情况 3 国际移民组织(IOM):供应商管理库存,优化紧急救援供应链 5按商品和服务类别划分的采购情况 72024年,联合国的供应方有哪些?102024年,联合国的供应方有哪些?10按供应商区域划分的采购情况 11主要供应国 13 联合国开发计划署(UNDP):图瓦卢的海岸适应项目通过可持续采购增强韧性 16从最不发达国家、内陆发展中国家和小岛屿发展中国家的采购情况 17联合国系统内部如何开展采购工作?20联合国系统内部如何开展采购工作?20联合国系统各机构的采购情况 21 国际劳工组织(ILO):将包容残疾人的实践做法纳入采购 27可持续采购 28 世界粮食计划署(WFP):将营养包装升级改造为建筑材料 33了解更多 34附录 36了解更多 34附录 36方法论 37 2024年联合国采购年度统计报告 1 1 2024年联合国采购了什么?2024年联合国采购了什么?Ukraine UNOPS/Olha lvashchenko 17,237 18,623 17,57518,785 17,713 19,893 22,338 29,5958,713 9,826 8,955 9,730 9,004 10,440 10,600 12,145 8,525 8,7968,620 9,055 8,709 9,453 11,738 17,45029,58713,493 16,09424,929 25,662 13,104 14,030 11,824 11,632 20142023201720152016202220242626273030303031323232322018 2019 2020 2021报告机构报告机构商品商品服务服务 有关联合国各机构采购的更多信息,请参阅“联合国系统内部如何开展采购工作?”部分。2024年联合国采购年度统计报告 2图 1 2014-2024年商品类和服务类采购总额及报告机构数量图 1 2014-2024年商品类和服务类采购总额及报告机构数量单位:百万美元2024年联合国采购情况2024年联合国采购情况2024 年,联合国 购额达到257亿美元,是有记录以来第三高的年度采购额,较2023年增加7.33亿美元,增幅为2.9%。服务类采购的增长是主要驱动力。2024年服务类采购额增长至140亿美元,较2023年增长了7.1%,并继续保持上升趋势。相比于2020年的106亿美元,服务类采购额增长超过32%。相比之下,商品类采购额则略有下降,减少了1.6%,降至116亿美元。这反映出联合国采购活动正在进行重新调整。2024 年,联合国协作采购占比持续上升,报告显示采购额从2023年的11亿美元 增 至14 亿 美 元,占 全 年 采 购 总 额 的5.8%。这既包括联合国机构之间的采购(即一个机构向另一个机构采购商品或服务),也包括通过共享采购机制提升协调性和效率的更广泛的协作采购活动。与往年一样,参与2024年报告的联合国机构保持不变,确保了对不断变化的采购模式进行持续、一致的跟踪。3 5,318.1 4,823.9 494.2 10.2%3,630.6 3,520.5 110.0 3.1%2,932.2 2,731.6 200.6 7.3%2,593.5 2,562.7 30.8 1.2%2,362.1 2,744.8 382.7 13.9%1,943.0 2,045.9 102.9 5.0%1,823.2 1,594.0 229.2 14.4%1,241.3 1,196.3 45.0 3.8%1,138.8 1,218.3 79.4 6.55.2 749.7 165.5 22.1p4.2 602.3 101.9 16.9b9.8 682.8 52.9 7.8B9.7 455.7 26.0 5.7%,661.824,928.5 733.3 2.9%表 1 表 1 2024年按行业划分的采购情况2024年按行业划分的采购情况健康卫生建筑、工程和科学行政和运营运输和仓储食品和农业媒体、信息技术和通讯差旅和食宿金融、保险和不动产机动车、工业机械和重型设备公共事业人道主义援助、和平、安全与安保其他商品和服务教育、培训和娱乐行业行业2024年总额(百万美元)2023年总额(百万美元)2023-2024年总额变化(百万美元)2024年总额(百万美元)2023年总额(百万美元)2023-2024年总额变化(百万美元)联合国总计联合国总计2024 年联合国采购年度统计报告按行业划分的采购情况按行业划分的采购情况2024年,联合国采购仍然集中在五个关键行业,合计占采购总额的65.6%。各行业的分布与往年基本一致,但人道主义援助、和平、安全与安保人道主义援助、和平、安全与安保行业的相对增长幅度最大,反映出对人道主义和安全紧急情况的响应力度加大。2024年,健康卫生健康卫生行业仍然是联合国采购中最大的行业,达53亿美元,与2023年相比增长4.94亿美元,增幅10.2%。这一增长主要源于药品、避孕药具和疫苗以及医疗保健服务采购的增加。该行业的采购活动用于支持正在进行的公共卫生方案和有针对性的应急响应,包括疫苗接种运动和加强卫生系统的举措。健康卫生行业占联合国采购总额的五分之一,大部分支出用于药品、避孕药具和疫苗以及医疗设备和用品。联合国儿童基 金会(UNICEF)依然为该行业的主要采 购方,采购额为32亿美元,其次是泛美卫生 组 织(PAHO),采 购 额 为8.32 亿 美 元,联 合 国 人 口 基 金(UNFPA),采 购额为3.15亿美元。2023-2024年总额变化率(%)2023-2024年总额变化率(%)建筑、工程与科学建筑、工程与科学行业仍是联合国采购的第二大行业,2024年该行业采购额增长1.1亿美元,增幅3.1%,达到36亿美元。该行业采购仍由UNICEF、UNDP和联合国项目事务署(UNOPS)主导,三者合计总采购额为19亿美元,占该行业采购总额的一半以上。世界卫生组织(WHO)、联合国秘书处(UN Secretariat)和IOM在该行业也保持着显著的采购规模,每个机构的采购额均超过3亿美元。行政和运营行政和运营行业的采购额创29亿美元新高(增幅7.3%,增长2.01亿美元),按采购额排名升至第三位。该行业的持续增长凸显了联合国各机构不断扩大的业务需求,特别是为应对不断增加的实地活动和方案规模扩大而产生的需求。管理和行政服务仍是该行业内最大的细分领域,采购总额达24亿美元,与2023年相比增长3.06亿美元,增幅14.3%。运输与仓储运输与仓储行业的采购额稳定在26亿美元,小 幅 增 长 3100 万 美 元,增幅 为1.2%。该行业继续为联合国在全球范围内的人道主义和发展运营提供关键的物流支持,其中运输、仓储和邮政服务仍是最大的细分领域。在主要采购行业中,食品与农业食品与农业的采购额 降 幅 最 为 显 著,降 至 24 亿 美 元,较2023 年减少了3.83 亿美元,降幅为13.9%。这一下降主要源于WFP大 规模 缩减 紧 急 粮 食 分 发 项目,导致相关采购活动减少。采购减少主要集中在粮食物资的分发环节,而其他人道主义援助活动则通过其他行业继续进行。相比之下,人道主义援助、和平、安全与安保人道主义援助、和平、安全与安保行业成为2024年增长最快的行业,采 购 总 额 达 9.15 亿 美 元,较2023年增长 1.66 亿 美 元,增 幅 为22.1%。这一激增反映出联合国对多地复杂紧急状况、维和需求以及不断扩展的人道行动的响应力度加大。WFP在该行业的采购中位居首位,其次是联合国难民事务高级专员公署(UNHCR)和UNOPS。关键数据关键数据257亿美元亿美元采购总额54.7%服务45.3%商品7.33亿美元,亿美元,2.9%增长32机构数量(与去年相同)Niger UNOPS/Juyoung Lee 2024年联合国采购年度统计报告 4 5 IOM 亮点故事供应商管理库存,优化紧急救援供应链供应商管理库存,优化紧急救援供应链2024年联合国采购年度统计报告 供应商管理库存(VMI)仓库中预先放置的厨房用具IndiaIndia IOM 作为IOM加强全球紧急响应能力的更大倡议的一部分,供应商管理库存(VMIs)旨在增加全球预置库存。关键救援物资的生产已于2023年末在全球多个工厂启动,以确保在危机发生时能够更快速地做出响应。采购是建立供应商管理库存的核心环节,其中包括对长期协议(LTA)持有方在承载大规模库存方面的能力和意愿进行全面评估。为满足需求,每家供应商的库存管理能力和可靠性都经过了详尽审查。应急避难所、水、环境卫生和个人卫生(WASH)以及非食品类物资的生产已在印度、巴基斯坦、中国、肯尼亚、阿联酋和英国启动。这些物资在调度前需在工厂内通过质量检验。在不到一年的时间里,这个以采购为驱动的系统为IOM在全球的15项任务提供了支持,包括在孟加拉国、刚果 民 主 共 和 国、乌克兰和加 沙的应急响应。2024年,IOM通过VMI完成了66 次货物运送,货物总量达26,646立方米。最常运送的物资包括:自立式测地线家庭帐篷、防水油布、厨房用具、蚊帐、毯子和睡垫。VMIs 的 使 用 显 著 提 高 了 运 营 效 率。通 过 VMIs 进 行 的 批量采购,有效实现了规模经济,优化了资源利用。一个关键成果是交付周期大幅缩短,预计减少了50%,这是通过提前完成生产和质量控制流程实现的。供应链流程的加速,直 接 转 化 为对 实 地 紧 急 情 况 更 迅 速、更 有 效 的响应。此外,通过已建立的IOM/联合国(UN)全球长期协议(LTAs)实现了成本效益,供应商管理库存网络中全球技术规格的标准化确保了救援物资质量的一致性和互通性。VMIs 的成功应用,凸显了私营部门最佳实践在大规模加强人道主义行动方面的潜力。2024年,VMIs 项目获得“采购与供应链创新”类联合国采购奖的提名。6 UNHCRUNOPS020406080100 20.7.1%7.6%7.1%4.8%4.4%9.2%UNICEF020406080100UNDP 1.09亿美元 0.87亿美元PAHOUNFPA020406080100UNICEF 3.15亿美元UNICEFUNDPUNOPS020406080100其他020406080100 10.87 亿美元UNHCR 1.84亿美元020406080100WFPUN SecretariatIOM020406080100UN SecretariatUNICEFUNDP020406080100UNICEFUNOPS 0.44亿美元UNICEFWHO020406080100UNDPFAO020406080100WFPUN SecretariatWFPUNDP其他020406080100UN SecretariatUN SecretariatIOMUNDP其他020406080100UNICEF UNOPSUNDP020406080100 2.77 亿美元 1.01亿美元 1.96亿美元WFP 0.56亿美元11.4%图 2 图 2 公共事业公共事业联合国采购行业及类别概览联合国采购行业及类别概览人道主义援助、和平、安全与安保人道主义援助、和平、安全与安保(3.6%)公共秩序和安全服务 1.3%政治和公民事务服务 1.3%安全和防护设备 0.4%其他 0.6%媒体、信息技术和通讯媒体、信息技术和通讯工程和研究服务 3.4%信息技术和通讯设备 2.1%编辑、设计和制图服务 1.4%其他 0.8%运输和仓储运输和仓储9.4%运输、仓储和邮政服务0.4%材料处理机机械0.1%机动车辆和配件0.1%其他行政和运营行政和运营9.5%管理和行政服务0.6%办公设备0.5%工业清洁服务0.8%其他10.1%教育、培训和娱乐 教育、培训和娱乐(1.7%)1.2%教育和培训服务0.4%乐器及艺术和工艺品机动车、工业机械和重型设备 机动车、工业机械和重型设备 (2.5%)2.1%机动车辆和配件0.2%工业生产设备0.2%材料处理机械 健康卫生健康卫生15.5%药品、避孕药具和疫苗4.3%医疗设备和用品0.6%医疗保健服务0.3%其他2024 年联合国采购年度统计报告3.91亿美元WFP1.82亿美元 1.72亿美元 1.70亿美元其他 其他1.26亿美元6.41 亿美元 5.15 亿美元5.42 亿美元其他 金融、保险和不动产 金融、保险和不动产管理和行政服务 2.4%金融和保险服务 2.3%金融工具及产品 0.1%3.91 亿美元 1.82亿美元 1.72亿美元 4.97亿美元燃料和润滑油等 2.3%发电用机械 0.9%公共领域相关服务 0.7%其他 0.5%3.27 亿美元 1.90亿美元 1.88亿美元 4.33亿美元3.81亿美元UNSecretariat2.91亿美元UNDP15.01亿美元3.00亿美元2.85亿美元2.77亿美元其他13.63 亿美元3.01亿美元UNICEF2.25亿美元7.06亿美元其他5.70亿美元4.56亿美元 4.32 亿美元 14.75亿美元其他 1.90亿美元其他其他其他其他其他商品与服务 其他商品与服务(2.7%)0.8%服装、箱包和个人护理0.5%工具和通用机械0.5%配电设备1.0%其他2.09亿美元 1.22亿美元 1.04亿美元 2.68亿美元建筑、工程和科学建筑、工程和科学7.2%建筑和维护服务3.6%工程和研究服务1.5%实验室和测试设备1.9%其他6.85亿美元 6.54亿美元 5.18亿美元 17.73 亿美元 总采购额 总采购额 256.62 亿美元亿美元32.25亿美元 8.32亿美元 9.47亿美元 差旅和食宿 差旅和食宿运输、仓储和邮政服务 4.0%旅游、食品和住宿服务 3.1%食品和农业食品和农业食品和饮料产品 6.8%活体植物及动物材料 1.4%农业、渔业、林业服务 0.4%其他 0.6%7 3,987.7 13.8%0.5%0.6%3,449.5 10.8(.5%4.1%3,059.3 14.2.1.8%1,864.0 11.2.8%7.7%1,838.0 1.91.3%1.8%1,740.9 14.8.8%0.0%1,116.7 0.0%6.4%3.2y5.9 8.0.2%9.3Y8.0 7.2F.5%5.0X2.0 9.02.1%3.5,031.9 25,661.8 表 2表 2 2024年采购额前十大采购类别(联合国标准产品和服务编码领域层级)2024年采购额前十大采购类别(联合国标准产品和服务编码领域层级)药品、避孕药具和疫苗运输、仓储和邮政服务管理和行政服务工程和研究服务建筑和维护服务食品和饮料产品医疗设备和用品金融和保险服务燃料和润滑油等前十大采购类别总计前十大采购类别总计联合国总计2024年在最不发达国家的采购占比(%)联合国总计2024年在最不发达国家的采购占比(%)2024 年联合国采购年度统计报告旅游、食品和住宿服务2024年协作采购份额(%)2024年协作采购份额(%)按商品和服务类别划分的采购情况按商品和服务类别划分的采购情况 报 告 采 用 联 合 国 标 准 产 品 和服 务 编 码(UNSPSC)对 联 合 国 系统 采 购 的商 品 和 服 务 进 行 分 类 和报 告。UNSPSC 分 类 基 于 商 品 领域、品 类、类 别 和 商品 的 层 次 结构(详 见“方 法 论”部 分 有 关UNSPSC 分 类 的更多信息)。表 2展示 了 2024 年 按 采 购 类 别 划 分 采 购额最大的10个品类。2024 年,药品、避孕药具和疫苗仍 然 是 最 大 的 采 购 领 域,采 购 额达 40 亿 美 元。这 比 2023 年 增 长 了4.84 亿 美元,增 幅 为 13.8%,显示出在 2023 年 疫 情后采 购 下滑后的回升趋 势。UNICEF 在 该 领中 继续保持最大采购 地 位,采购 额 达26 亿 美 元,占联合国在该领 域 采购 总 额 的 66.3%,其 中,25 亿 美元 用 于 采 购 免 疫 调 节 药 物。PAHO以 7.86 亿 美 元 位 列 第 二,与 2023年 相 比 增 长 1.21 亿 美 元,这 主 要是由于疫苗采购的增加。UNFPA 仍然是该领域的第三 大采 购 方,采购额较 2023 年小幅增长610万美元,增幅为2.9%。类别类别2023-2024年2024年总额(百万美元)总额变化率(%)2023-2024年2024年总额(百万美元)总额变化率(%)12426731217199942114714314288755045353329743819152424805635211124 管理和行政服务管理和行政服务2024 年联合国采购年度统计报告 8政治和公民事务服务工程和研究服务运输、仓储和邮政服务信息技术和通信设备旅游、食品和住宿服务机动车辆和配件公共秩序和安全服务医疗设备和用品建筑和维护服务政治和公民事务服务工程和研究服务运输、仓储和邮政服务信息技术和通信设备旅游、食品和住宿服务机动车辆和配件公共秩序和安全服务医疗设备和用品建筑和维护服务联合国机构间的采购已报告的协作采购联合国机构间的采购已报告的协作采购图 3 按类别划分的协作采购(联合国标准产品和服务编码前十大类别)图 3 按类别划分的协作采购(联合国标准产品和服务编码前十大类别)单位:百万美元 虽然美国仍然是该领域的最大供应国,但新加坡的增长显著,其采购额与2023 年相比增长了1.64 亿美元,达到2.99亿美元。运输、仓储和邮政服务是第二大领域,采购额达34亿美元,与2023 年相比增长10.8%。联合国机构将这一增长主要归因于受危机影 响地 区 实地行动 的扩大 以及全球货运成本的上升。WFP 在该领 域 的采购活动中处于领 先 地 位,占其采购总额的39.6%。其次是UN Secretariat,采购额为5.63 亿美元,IOM 以 4.55 亿美元位列第三。IOM 采购额大幅增长 3.53 亿 美 元,主要原因是首次将为提供直接迁徙援助而购买 的 移 民 机票纳入统计。该领域在乌克兰(增长 5400万美元,增幅31.1%)、巴勒斯坦国(增长4500 万美元,增幅140%)和苏丹(增长3200万美元,增幅49.3%)采购增长尤为强劲,与这些 地区的行动需求相契合。2024 年,联合国各机构在运输、仓储和邮政 服 务领域 的协作采购也有所增长。协作采购总额增长了6000 万美元,达1.42亿 美 元。此类合作主要包括联合国各机构利用共享的长 期协议采购车辆、货运服务和物流作业等。9 2024 年联合国采购年度统计报告 关键数据关键数据前十大类别中有五类采购额实现增长,总增幅达14亿美元亿美元其余五类则出现下降,总降幅达4.75亿美元药品、避孕药具与疫苗亿美元药品、避孕药具与疫苗是采购金额最高的类别40亿美元亿美元(增幅13.8%,增长4.84亿美元)管理和行政服务管理和行政服务是协作采购最大的领域4.21 亿美元亿美元是协作采购在前十名之外,政治与公民事务服务的采购额增加了9700万美元,达到4.41亿美元。这一增长主要由UNOPS在阿富汗发展项目中的采购增加所推动。该领域三分之一的采购属于协作 采购,使其成为联合国机构协作采购额第二高的领域,仅次于管理和行政服务。管 理 和 行 政 服 务 的 采 购 额 在 2024 年 达 到历史新高,为31亿美元,较2023年增 长14.2%。这 一 持 续 上 升 趋 势(2023 年 增长 7.2%)反 映 出 联 合 国 系 统 在 全 球 范 围内 不 断 扩 大 的 运 营 和 行 政 支 持 需 求。UNHCR 和 UNDP 是 这 一 增 长 的 主 要 贡 献者,采 购 额 分 别 增 长 了 1.09 亿 美 元 和1.03 亿 美 元,增 长 主 要 集中在商业管 理和人力资源服务方面。该 领 域 仍 然 是 联 合 国 机 构 间 合 作 的 重 要领 域。2024 年,管 理 和 行 政 服 务 领 域 的协作 采 购 总 额 为 4.21 亿 美 元,其 中 通 过联 合 国 机 构 间(UN-to-UN)采 购 实 现 的金 额 为 2.97 亿 美 元,这 是 所 有 采 购 类 别中协作采购金额最高的一项。工 程 与 研 究 服 务 首 次 进 入 采 购 额 前 五 的领 域,创 下19 亿 美 元 的 纪 录。该 领域较2023年增长了1.87亿美元,增幅11.2%,反映出整个联合国系统对技术和工 程 支持方面的投入加大。UNDP 在 该 领 域 尤为活 跃,采 购 总 额 达 4.8 亿 美 元(增 长1.45 亿 美 元),主 要 用 于 专 业 工 程 服务。UN Secretariat、UNICEF 和WHO在该板块的采购额也相当可观,均超过2亿美元。该领域的协作采购额增至1.43亿美元,其中近一半来自联合国机构间采购。建筑和维护服务的采购额在2024年达18亿美元,与 2023年相比小幅增长了3500万美元。尽管采购额较2023年下降4500万美元,UNICEF仍是该领域最大的采购方,采购总额为3.63亿美元。UN Secretariat(2.6亿美元),IOM(2.51亿美元)和UNOPS(2.48亿美元)紧随其后。该领域的采购活动仍重点聚焦于基础设施修复与重建,尤其是在脆弱和受冲突影响地区。食品和饮料产品在2024年的采购额为17亿美元。该领域的采购额持续下降(减少 3.01亿美元,降幅14.8%),但与2023年44.1%相比降幅有所放缓,这表明粮食援 助 需 求 趋 于 稳 定。WFP仍然是该领域最大的采购方,占采购总额的 73.4%。金融与保险服务和燃料与润滑油重新进入 采 购 额 前 十 的 领 域,采 购 额 分 别 为5.98亿美元和5.82亿美元。尽管这两 个领 域 的 采 购 额 相 比 2023 年 有 所 下 降,但降幅小于被挤出前十的机动车辆及配件和 信 息 技 术 与 通 信 设 备 领 域 的 下 降 幅度。2024年2024年 联合国采购的供应方有哪些?联合国采购的供应方有哪些?Sierra Leone UNOPS/Derrick Cummings 2024年联合国采购年度统计报告 10 2024年联合国采购年度统计报告11 2024202320222021202020219,329 9,068 4,573 3,941 2,501 174 202210,204 9,528 5,244 2,574 1,853 184 20237,861 7,821 5,076 2,403 1,610 157 20248,244 8,075 5,079 2,287 1,808 169 20207,500 6,879 4,270 2,110 1,453 122 按供应商区域划分的采购情况按供应商区域划分的采购情况2024年,联合国采购的区域分布保持相对稳定,反映出联合国运营活动在全球范围内的持续开展。尽管各区域的采购额略有波动,但与往年相比,总体占比未出现重大变化。亚洲仍是满足联合国采购需求最多的地区,采购额达82亿美元,占联合国采购总额的近三分之一。该地区供应商的商品和服务采购额与2023年相比增长了3.83亿美元,增幅为4.9%。值得注意的是,有三个供应国的采购额增长超过1亿美元:新加坡(增长1.74亿美元)、巴勒斯坦国(增长1.32亿美元)和中国(增长1.08亿美元)。该地区仍是药品、避孕药具和疫苗的主要供应中心,自2021年以来,该类别的采购额连续四年超过10亿美元。欧洲紧随其后,2024年的采购额达81亿美元。来自欧洲供应商的采购额与2023年相比增长2.54亿美元,增幅为3.2%。增长主要源于瑞士采购额的增长(增长2.53亿美元),主要集中在运输、仓储和邮政服务领域,以及来自英国的采购额增长(增长1.59亿美元),尤其体现在药品、避孕药具和疫苗领域。亚洲亚洲欧洲欧洲 非洲非洲 北美洲拉丁美洲和加勒比地区大洋洲北美洲拉丁美洲和加勒比地区大洋洲 图 图 4 4 2020-2024年世界各地区的采购额2020-2024年世界各地区的采购额单位:百万美元 2024年联合国采购年度统计报告 Lebanon UNOPS 非洲仍是第三大供应地区,2024年的采购总额达51亿美元,较2023年小幅增长280万美元。非洲在全球联合国采购中的占比保持稳定,约为总额的五分之一。来自北美洲供应商的采购总额达23亿美元,与2023年相比减少1.16亿美元。此次下降主要源于美国供应商的采购额减少(下降9400万美元),且主要集中在信息技术与通信设备领域。尽管整体采购额有所下降,但来自该地区供应商的药 品、避 孕 药 具 和 疫 苗 采 购 额 增 加 了9900万美元。拉丁美洲和加勒比地区的采购额显著增长,增长1.98亿美元,达到18亿美元。危地马拉和哥伦比亚的供应商均实现超过5000万美元的增长。哥伦比亚的采购额创下2.34亿美元的历史新高,成为该地区最大的供应国,这主要得益于旅游、食品和住宿服务以及管理和行政服务领域的增长。来自厄瓜多尔的采购额也大幅增长,达6800万美元,与2023年相比增幅超过150%。大洋洲地区的采购额小幅增长1100万美元,总额达1.69亿美元。其中,来自马绍尔群岛供应商的采购额增长了740万美元,增幅为35.5%,达2800万美元,而澳大利亚供应商的采购额增长550万美元,总额达到4800万美元。12 2024年联合国采购年度统计报告13 1,178.1952.92,131.08.38.5992.01,160.44.5.8e2.3348.11,000.43.9%7.949.3604.3953.63.7%8.4F2.6389.0851.63.3#.0T6.9233.1780.03.0.4T9.1205.6754.72.9.81.4477.6698.92.7%2.1b0.068.3688.42.7!.03.5437.2620.72.4%0.1%4,931.64,708.19,639.737.6%1.4,631.914,030.025,661.8 2.9%表 3 2024年采购量排名前十的供应国家表 3 2024年采购量排名前十的供应国家2024年商品类(百万美元)2024年服务类(百万美元)2024年商品类(百万美元)2024年服务类(百万美元)4.2%美国瑞士阿联酋丹麦印度法国英国乌克兰比利时阿富汗前十供应国总计联合国总计联合国总计供应国供应国2024年联合国采购总额占比(%)2024年总额(百万美元)2024年联合国采购总额占比(%)2024年总额(百万美元)主要供应国主要供应国2024年,联合国从222个国家和地区采购商品和服务,体现了其采购活动的全球性特征。前十大供应国的采购总额达96亿美元,占联合国全球采购总额的37.6%。美国仍是联合国最大的供应国,采购总额为21亿美元,尽管较2023年下降了4.2%。UNICEF占美国供应商采购总额的相当大比例,达7.71亿美元,主要用于采购药品、避孕药具和疫苗。2024年,UNICEF在美国的采购额增长5800万美元,增幅为8.1%,反映出美国供应商在卫生健康领域持续占据重要地位。UN Se c r e t a r i a t 和PAHO从美国供应商处的采购额也相当可观,均超过3亿美元。然而,UN Se c r e t a r i a t 的采购额较2023年减少了1.26亿美元,下降主要集中在三个关键领域:信息技术和通信设备,运输、仓储和邮政服务以及工程和研究服务,每个类别的采购额均减少约3000万美元。尽管从美国采购的总量有所下降,但美国供应商在药品、避孕药具和疫苗领域仍保持领先地位,占联合国该领域总采购额的近四分之一,并且在工程和研究服务方面仍是重要供应商。2023-2024年总额变化率(%)2023-2024年总额变化率(%)2024年联合国采购年度统计报告14 联合国各机构在这三个枢纽国家的主要互采类别包括管理和行政服务(1.74亿美元)、工程和研究服务(6400万美元)以及政治和公民事务服务(4700万美元)。英国从2023年的第七位跃升至2024年的第五位,采购额达8.52亿美元,较上一年增加了1.59亿美元,增幅为23.0%。这一增长主要来自药品、避孕药具和疫苗领域(增长2.36亿美元),其中UNICEF是主要采购方,这也使英国成为2024年该领域全球第二大供应国。UN Secretariat在运输、仓储和邮政服务领域增加3600万美元采购,也对这一增长有所贡献。印度在供应国中仍排名第六,采购总额达7.8亿美元。印度供应商的供应中约有一半集中在药品、避孕药具和疫苗领域,使印度成为该类别的第三大供应国。UNDP在印度的采购较2023年增加6800万美元,增幅为79.8%,主要集中在与健康卫生相关的商品和服务。法国的采购额为7.55亿美元,比2023年增加8600万美元。直接用于该组织在加沙持续开展的人道主义援助工作。阿联酋因此成为2024年联合国系统中食品和饮料产品的主要供应国,供应额达2.6亿美元。丹麦以9.54亿美元的采购额降至第四位,较2023年下降8.4%。下降主要是由于UNOPS和UNDP对信息技术和通信设备的采购减少(减少8100万美元)。但药品、避孕药具和疫苗的采购增加了1100万美元,部分抵消了这一下降。尽管UNICEF较2023年的采购额减少2500万美元,但仍以2.46亿美元的采购额保持丹麦最大采购方地位。UNHCR和UNDP紧随其后,采购额分别为1.58亿美元和1.56亿美元。丹麦仍然是联合国系统内部协作采购活动的重要枢纽。该国总采购额中,2.87亿美元为协作采购,其中包括1.76亿美元的“联合国机构间采购”(即联合国机构之间的商品或服务采购),以及1.1亿美元的其他协作采购交易。向其他联合国机构供应商品和服务的最大渠道包括UNOPS(1.41亿美元)与UNICEF(2300万美元),显示出两家机构在丹麦设立采购枢纽的重要性。其他联合国机构间采购额较大的国家还包括瑞士(1.25亿美元)和美国(9800万美元)。瑞士以12亿美元的采购额成为联合国系统第二大供应国,较2023年增长27.8%。这一增长主要由IOM的大幅采购,该机构从瑞士供应商处的采购额增加了1.63亿美元,主要集中在客运航空运输服务领域,部分原因是该类别的数据报告有所改进。IOM也因此成为瑞士最大的采购方。UN Secretariat从瑞士的采购也增加了3200万美元,主要集中在工程和研究服务领域。WHO是从该国采购的第三大机构,采购额达1.62亿美元,较2023年增长1700万美元,主要用于建筑和维护服务。阿联酋以10亿美元的采购额保持第三大供应国地位,较2023年增长7300万美元。尽管UN Secretariat 2024年的采购额减少了1100万美元,但其仍是该国最大的采购组织,占总额的近一半,主要集中在燃料和润滑油以及食品和饮料产品领域。WFP和UNICEF分别从该国采购了1.43亿美元和9300万美元。联合国近东巴勒斯坦难民救济和工程处(UNRWA)自该国的采购出现大幅增长,从2023年的1300万美元增至2024年的6100万美元,增长近五倍。这一大幅增长主要体现在食品和饮料领域的采购上,增加了4400万美元,2024年联合国采购年度统计报告15 法国仍是实验室和检测设备的重要供应国,该供应商在该类产品采购中占四分之一。UNICEF和PAHO仍然是在法国采购最多的组织,2024年各自的采购额增加均超过5000万美元。乌克兰保持全球十大供应国地位,采购额达6.99亿美元,主要集中在重建工作和人道主义物流。UN Secretariat 是从乌克兰采购最多的机构,采购额达1.79亿美元,其次是WFP,为1.12亿美元。比利时的采购额为6.88亿美元,疫情后呈现持续缓慢下降趋势,疫苗相关采购减少尤为明显。阿富汗的采购额保持相对稳定,为6.21亿美元,反映出为支持该国人道主义援助需求而正在进行的采购活动。在前十大供应国外,联合国机构在多个国家的采购额也显著增长,分布于多个区域:新加坡的采购额比2023年增加1.74亿美元,采购总额达4.06亿美元。这一增长主要得益于药品、避孕药具和疫苗采购量的增加。联合国组织对来自巴勒斯坦国供应商 的采购激增116%,2024年采购总额达2.46亿美元,创联合国在该国采购的新高。这一增长主要得益于运输、仓储和邮政服务采购的增加(增长4500万美元)。WFP、WHO和UNICEF的采购额均增加超过2500万美元。同样,联合国对约旦供应商的采购显著增长,增加9900万美元,达3.94亿美元。增长主要体现在服装、箱包和个人护理用品领域的商品采购以及运输、仓储和邮政服务领域。对苏丹供应商的采购在2023年增长的基础上继续增加,达3.37亿美元(增加1.08亿美元)。这一增长主要由食品和饮料产品的采购带动。对来自中国供应商的采购也显著增加,总计增长1.08亿美元,主要由药品、避孕药具和疫苗采购量的增加所推动。相 比 之 下,荷 兰 和 土 耳 其 的 采 购 额别 下 降 了 8800 万 美 元 和 8600 万 美元。荷 兰 降 幅 最 大 的 领 域 是 医 疗 设备 和用品(下 降 4900 万 美 元),土耳 其 则是活 体 植 物 及动 物 材 料 领 域(下 降 2000万 美 元)。肯 尼 亚、以色列 和 尼 日亚 的 采 购 额 也 分 别 下 降超过 7000 万美元。关键数据关键数据2024年,222个国家和地区个国家和地区向联合国提供商品和服务前十大供应国的采购额96 亿美元亿美元占联合国总采购额37.6%最大的供应国是美国美国提供的商品和服务总额21 亿美元丹麦亿美元丹麦是协作采购的最大供应国报告的协作采购额达2.87 亿美元亿美元 2024年联合国采购年度统计报告16 纳努默阿环礁正在建设的海岸防御系统。Tuvalu TCAPUNDP 亮点故事图瓦卢的海岸适应项目通过可持续采购增强韧性图瓦卢的海岸适应项目通过可持续采购增强韧性图瓦卢是一个由低洼环礁组成的太平洋岛国,由于气候变化,面临着海平面上升和风暴加剧的生存威胁。首都富纳富提尤为脆弱,图瓦卢1.1万名居民中的一半以上居住在此。据预测,到2100年,富纳富提高达90%的地区可能会面临常态化的洪水侵袭。为应对这一挑战,图瓦卢海岸适应项目(TCAP)应运而生。该项目由绿色气候基金资助,UNDP与图瓦卢政府合作实施,重点提升富纳富提、纳努梅阿和纳努马加各岛关键区域的海岸防护能力。采购是实现TACP目标的关键推动因素。在UNDP的管理下,采购活动确保了海洋建筑工程的按时高质量交付,并符合气候韧性、可持续性和技术先进性方面的高标准要求。主要成果包括在富纳富提填海造地7.4公顷(设计标准为2100年以后仍可保持无洪水侵扰),以及在外岛建造护堤顶部屏障。在供应商遴选过程中优先考虑环境可持续性和基础设施的长期韧性,有力支持了项目的战略目标。TACP增强了图瓦卢应对气候变化的物理韧性,保障了土地安全并降低了沿海灾害风险。该项目直接促进了可持续发展目标9(产业、创新和基础设施)和目标13(气候行动),为低洼岛国的适应方案树立典范。2024年,TACP荣获联合国采购奖“可持续采购与供应”类别奖项。2024年联合国采购年度统计报告17 从最不发达国家、内陆发展中国家和小岛屿发展中国家的采购情况从最不发达国家、内陆发展中国家和小岛屿发展中国家的采购情况联合国于1971年设立最不发达国家(LDCs)类别,以识别那些因面临特殊发展挑战而需要额外国际支持的国家。截至2024年底,随着圣多美和普林西比脱离该行列,该类别国家总数已减少至44个。迄今为止,已有8个国家成功脱离最不发达国家行列:博茨瓦纳(1994年)、佛得角(2007年)、马尔代夫(2011年)、萨摩亚(2014年)、赤道几内亚(2017年)、瓦努阿图(2020年)、不丹(2023年)以及圣多美和普林西比(2024年)。2024年,联合国从最不发达国家供应商的采购总额达50亿美元,与2023年基本持平,小幅减少约3700万美元,降幅为0.7%。尽管总额略有下滑,但最不发达国家在联合国总采购中的占比持续提升,从2022年的15.7%持续攀升至2024年的19.4%。这表明联合国持续致力于通过采购活动加强与这些国家的供应商的合作并推动当地经济发展。2024年,阿富汗成为最不发达国家中最大的供应国,采购额达6.21亿美元。联合国在阿富汗的行动继续优先聚焦人道主义救援、韧性建设和基本服务提供。活体植物及动物材料以及建筑和维护服务仍是主要采购类别。尽管相较于2023年略有下降,但金额仍分别达9200万美元和8700万美元。值得注意的是,政治和公民事务服务的采购额出现显著增长,从2023年的1100万美元增至2024年的6200万美元,增幅超五倍。这一增长主要源于UNOPS主导的本地基础设施修复项目和“以工代赈”的生计援助计划。也门以5.95亿美元采购额紧随其后,相较于2023年减少5000万美元,降幅7.8%。金融和保险服务仍是联合国在该国采购的最大类别,达1.97亿美元,增幅35.3%,采购需求主要来自UNICEF。尽管第二大采购类别建筑与维护服务的采购额因多个重大重建项目完工而减少4600万美元,但由UNOPS和联合国粮食及农业组织(FAO)推动的农业、渔业、林业服务以及食品和饮料产品的采购额激增,分别增长1500万美元和1200万美元。来自埃塞俄比亚的采购额减少了1500万美元,降至3.91亿美元。该国继续受益于联合国在受冲突影响地区的恢复工作和韧性建设项目。建筑和维护服务的采购额出现显著增长,从2023年的1500万美元增至2024年的4800万美元,这主要源于UNICEF和UNOPS采购量的增加。尽管运输、仓储和邮政服务采购额增加了2300万美元,但特定食品饮料和卫生用品供应链采购的减少,导致总体采购额小幅下降。苏丹是2024年最不发达国家供应国中增长最为强劲的,采购额达3.37亿美元,较2023年增加1.08亿美元,增幅47.2%。食品和饮料产品以及运输、仓储和邮政服务领域的采购额显著增长,这反映出联合国在当地为分发食品、帐篷和医疗物资而扩大物流运作规模。采购额增长主要与WFP在该国开展主导的项目相关。2024年,WFP从苏丹供应商的采购额达1.8亿美元,较2023年增长76.0%,占联合国自该国采购总额的一半以上。坦桑尼亚联合共和国在最不发达国家供应国中实现了最大的相对增长,采购额从9500万美元增至1.59亿美元。采购增长主要集中在食品和饮料产品以及运输、仓储和邮政服务两大类,这反映出 2024年联合国采购年度统计报告18 维护服务两类采购量的增加。在所有内陆发展中国家中,蒙古的采购额相对增幅最大,为220%,采购总额达5100万美元,这主要是由于WFP增加了对运输、仓储和邮政服务的采购。从采购类别看,运输、仓储和邮政服务、建筑和维护服务以及食品和饮料产品仍是联合国在内陆发展中国家采购的主要领域。由于这些国家的地理特性,与运输相关的采购尤为重要,这些采购往往与人道主义物流和发展项目密切相关。与最不发达国家供应商的采购情况类似,WFP仍是内陆发展中国家供应商的最大采购方,尽管采购额与2023年相比减少了1.55亿美元。UNICEF、UNDP和UNSecretariat也发挥了关键作用,三者从内陆发展中国家供应商采购的商品和服务总额略高于10亿美元。小岛屿发展中国家(SIDS)由于地理位置偏远及对气候变化和自然灾害的高度脆弱性,面临特殊的发展挑战。截至2024年,全球共有53个国家和地区被归为小岛屿发展中国家。2024年,联合国从小岛屿发展中国家供应商的采购额创下7.99亿美元的历史新高,与2023年相比大幅增长27.4%。新加坡仍是小岛屿发展中国家中最大的供应国,占该群体总采购额的一半以上,采购额达4.06亿美元,与2023年相比增长了75.0%。这一增长主要源于UNICEF对药品、避孕药具和疫苗采购的增加(增加1.65亿美元)。其他主要供应国还包括海地(9000万美元)、巴布亚新几内亚(3200万美元)、毛里求斯(3000万美元)和多米尼加共和国(2900万美元)。科摩罗、特立尼达和多巴哥的供应商采购额与2023年相比均实现超过50%的显著增长,分别达到1800万美元和1600万美元。这一增长主要得益于UNDP在这两个国家的采购活动扩大,特别是在工程和研究服务和建筑和维护服务两大领域。为支持区域人道主义供应链和食品配送网络而扩大的物流业务,主要由WFP推动。在联合国机构中,WFP、UNICEF和UNDP仍是最不发达国家供应商的最大采购方。就绝对金额而言,IOM从最不发达国家供应商处的采购额显著增加(增加1.07亿美元),这反映出其在多个国家扩大了项目实施活动,主要集中在物流和移民援助领域。鉴于内陆发展中国家(LLDCs)面临市场准入难、运输成本高等结构性挑战,联合国持续加强对这些国家的供应商提供采购支持。2024年,全球共有32个内陆发展中国家。2024年,联合国从内陆发展中国家供应商采购的总额达30亿美元,与2023年相比小幅上涨0.7%,占联合国采购总额的11.5%。2024年,阿富汗仍是内陆发展中国家中最大的供应国,其次是埃塞俄比亚和南苏丹。其他重要供应国包括乌干达和乍得,两国的采购额均超过1.7亿美元。来自乍得的采购额增长了16.6%,主要源于运输、仓储和邮政服务以及建筑和 2024年联合国采购年度统计报告19 LDC-LLDCLDCLDCLDCSIDSLDCLDC-LLDCLDC-LLDCLDC-LLDC LDCLLDCLDC-LLDCLDC-SIDSSIDS图 5 在最不发达国家、内陆发展中国家和小岛屿发展中国家的采购情况图 5 在最不发达国家、内陆发展中国家和小岛屿发展中国家的采购情况孟加拉国 1.94 亿美元刚果民主共和国刚果民主共和国 2.96亿美元埃塞俄比亚 埃塞俄比亚 3.91亿美元苏丹 苏丹 3.37亿美元乍得 乍得 1.84亿美元新加坡 新加坡 4.06亿美元索马里 1.91亿美元也门 也门 5.95亿美元LDC阿富汗 阿富汗 6.21亿美元南苏丹南苏丹 3.52亿美元 WFP 27.0%最不发达国家、内陆发展中国家和小岛屿发展中国家十大供应国最不发达国家、内陆发展中国家和小岛屿发展中国家十大供应国UN Secretariat 7.0%4.32亿美元 UNOPS 6.8%4.19亿美元 FAO 6.5%4.03亿美元 UNHCR 4.4%2.74亿美元 IOM 7.2%4.44亿美元 WHO 4.4%2.73亿美元 UNDP11.5%7.14 亿美元UNICEF 20.6.76亿美元16.69亿美元从最不发达国家、内陆发展中国家和小岛屿发展中国家采购的主要类别从最不发达国家、内陆发展中国家和小岛屿发展中国家采购的主要类别 运输、仓储和邮政服务管理和行政服务建筑和维护服务食品和饮料产品 其他 其他 4.6%2.84 亿美元药品、避孕药具和疫苗 3.20亿美元11.68亿美元6.64亿美元6.31亿美元4.29亿美元50亿美元亿美元2024年来自最不发达国家的采购总额30亿美元亿美元2024年来自内陆发展中国家的采购总额7.99亿美元亿美元2024年来自小岛屿发展中国家的采购总额从最不发达国家、内陆发展中国家和小岛屿发展中国家采购的主要机构从最不发达国家、内陆发展中国家和小岛屿发展中国家采购的主要机构Mozambique UNOPS/Bruno Pedro 2024年联合国采购年度统计报告 20联合国系统内部如何开展采购工作?联合国系统内部如何开展采购工作?2024年联合国采购年度统计报告 UNICEF5,610.3 7.0.7%WFP3,912.9 12.7B.6%2.6%UNDP2,890.0 13.5$.7.7%UN Secretariat2,785.0 5.2.5%4.2%UNOPS1,678.7 4.6%.0%7.8%IOM1,668.0 39.8&.6%1.3%WHO1,391.2 8.4.6.6%UNHCR1,314.5 0.4 .9.9%PAHO1,096.1 11.7%1.7%0.1O721.6 4.1U.8%3.8%UNFPA516.0 4.3.6.3%UNRWA460.3 86.7%0.1%3.5%ILO323.3 1.0.8%4.0%IAEA184.4 4.6%0.9%1.8%UN Women184.0 4.3%.2.5%WIPO180.1 6.3%1.2).4%UNESCO163.3 4.2!.0!2024年采购总额(百万美元)2024年采购总额(百万美元)2024年从最不发达国家/内陆发展中国家/小岛屿发展中国家的采购份额(%)2024年从最不发达国家/内陆发展中国家/小岛屿发展中国家的采购份额(%)17.6%接下页2024年协作采购份额(%)2024年协作采购份额(%)0.3%联合国机构联合国机构表 4 2024年联合国各机构的采购情况表 4 2024年联合国各机构的采购情况2023-2024年总额变化率(%)2023-2024年总额变化率(%)联合国系统各机构的采购情况联合国系统各机构的采购情况2024年,联合国各机构保持了较高的采购活跃度,反映出联合国系统的采购重心正持续从疫情驱动的紧急响应转向长期发展、人道主义援助和韧性建设。采购总量持续超过疫情前水平,凸显出联合国系统对全球复杂需求的持续响应。联合国在可持续发展方面也取得了进展,有27个组织已将环境、社会和经济因素纳入采购流程。在联合国系统内,与2023年相比,共有18个组织的采购额实现增长,14个组织的采购额则出现下降。实现增长的机构采购总额同比增长17亿美元。UNICEF继续保持最大采购机构的地位,2024年采购额达56亿美元,较2023年增加3.66亿美元,增幅7.0%。增长主要来自药品、避孕药具和疫苗(增长2.84亿美元)、工程和研究服务(增长0.58亿美元)以及管理和行政服务(增长0.47亿美元)领域。尽管美国仍是UNICEF的最大供应国,采购额达7.71亿美元;英国和新加坡则增幅显著,相比2023年采购额增长均超过1.6亿美元,这一显著增长主要源于对健康类物资采购的增加。2024年联合国采购年度统计报告 UNIDO159.8 15.7.4%3.3%ICAO95.0 3.2%0.3%7.6%IFAD66.8 10.8%9.0#.2%UNFCCC35.3 45.3%4.66.5%UNAIDS33.7 11.2).4.1%ITC31.8 15.4(.9).1%WTO29.9 16.5%0.0 .5%ITU27.9 20.4%3.6.8%WMO21.9 12.9%2.2I.2%UPU20.7 6.2%7.2%8.5%OPCW20.4 9.0%0.6%1.2%IMO14.4 18.9%0.1%4.7%UNU11.5 29.0%1.5.1%UNV9.1 2.0%0.5x.4%3.7 1.7%0.8%0.6%,661.8 2.9$.1%5.6表 4 续前页表 4 续前页2024年采购总额(百万美元)2024年从最不发达国家/内陆发展中国家/小岛屿发展中国家的采购份额(%)2024年采购总额(百万美元)2024年从最不发达国家/内陆发展中国家/小岛屿发展中国家的采购份额(%)注:来自最不发达国家、内陆发展中国家和小岛屿发展中国家的采购份额的计算不包括供应国未知的数据。UN Tourism联合国总计2024年协作采购份额(%)联合国总计2024年协作采购份额(%)WFP仍是第二大采购机构,2024年采购额为39亿美元,相比2023年减少5.7亿美元(降幅12.7%)。采购额下降的主要原因是食品和饮料产品采购量的缩减(减少了3.87亿美元)。这主要是由于在全球紧急状况高峰期过后,粮食分发规模有所缩减。尽管如此,WFP仍是运输、仓储和邮政服务领域的最大采购方,2024年该类别采购总额达14亿美元。土耳其和肯尼亚仍是WFP的最大供应国,采购额分别为2.11亿美元和1.9亿美元,但与2023年相比,这两个国家的采购额均明显下滑。相较之下,WFP自苏丹供应商的采购额激增7800万美元,总额达1.8亿美元,这反映出该机构在该地区因冲突与人口流离失所加剧的人道响应力度显著增强。WFP还报告称其在2024年开展了1亿美元的协作采购活动,其中9200万美元为联合国机构间采购,主要涉及政治和公民事务服务(6500万美元)。UNDP 2024年采购额为29亿美元,较2023年增长13.5%,从原来的第四大采购机构跃升为第三大。联合国机构2023-2024年总额变化率(%)联合国机构2023-2024年总额变化率(%)Costa Rica UNOPS 该 年 度 采 购 额 创 下 UNDP 有 史 以 来 最 高 纪录,较 其 2022 年 此 前 峰 值 高 出 5000 万 美元。增长最显著的领域为管理和行政服务与 工 程 和 研究服务,两大类均在2024年 实现 逾 1 亿 美 元 的 增 长。从 地 域 分 布 看,UNDP 扩 大 了 对 多 个 主要供应国的采购。其中,对黎巴嫩供应商的采购额增长 了 9600万美元,使得UNDP成为从黎巴嫩采购最多的 联 合 国 机 构,尤 其 是 在 金 融 和 保 险 服务、工 程 和 研 究 服 务 领 域。对 印 度 的 采购 额 也 大 幅 上 升,增 长 了6800 万 美元,这主要是由于健康领域卫生部门商品和服务 采 购 的 增 加。此 外,对 乌 克 兰 供 应 商的 采 购 额 从 2023 年 的 4900 万 美 元 增 至2024 年 的7600 万 美 元,支 持 UNDP 在 该 国 的恢复和重建计划的扩展。UNDP 在 联 合 国 系 统 各机构 中 的协作 采 购额最高,总计约3.1亿美元。其中,联合国机构 间采购占1.03亿美元,主要集 中 在工程 和 研 究 服 务 以 及 管 理 和 行 政 服 务 领域。UN Se c r e t a r i a t 2024年的采购总额为28亿美 元,与 2023 年 同 比 相 比 略 有 下 降,减 少 了1.54亿美元,降幅为5.2%。虽然采 购 总 额 下 降,但UN Se c r e t a r i a t 在燃料 和 润 滑 油 领 域 的 采 购 有 所 增 加(增 长2300万美元),在该类别中仍保持最大采购方的地位。2024年联合国采购年度统计报告 23 24 5,6103,91342.6%2,89024.7%2,78515.5%1,66826.6%1,39119.6%1,31520.9%2,59310.2%1,0961.7r255.8%.0%5,24419.8%4,48339.4%2,54729.2%2,93914.9%1,19327.7%1,52020.4%1,32020.5%2,34611.613.1u351.8.8%UNICEFWFPUNDPUN SecretariatUNOPSIOMWHOUNHCRPAHOFAO其他其他UNICEFWFPUNDPUN SecretariatUNOPSIOMWHOUNHCRPAHOFAO其他其他1,6791,60422.7 24年联合国采购年度统计报告图 6联合国机构从最不发达国家/内陆发展中国家/小岛屿发展中国家采购的情况,2023-2024年(采购总额排名前十的机构)采购总额(百万美元)占采购总额的比例(不含未指明国家)2024年采购总额2023年采购总额2024年从最不发达国家/内陆发展中国家/小岛屿发展中国家采购的占比2023年从最不发达国家/内陆发展中国家/小岛屿发展中国家采购的占比 相比之下,信息技术和通信设备(减少3600万 美 元)和 旅 游、餐 饮 和 住 宿 服 务(减 少3100万美元)等类别的采购量显著下降。尽管 如 此,这 两 个 类 别 仍 是 UN Secretariat最大的合作采购类别,总额为4600万美元,占其协作采购总额的近一半。2024 年UNOPS 排 名 第 五,采 购 额 为 17 亿 美元,较2023年相比增长了4.6%,创下该机构有 记 录 以 来 的 第 二 高 采 购 额,仅 次 于 2021年。UNOPS在建筑和维护服务方面保持了较高的采购水平,为多个地区的基础设施项目提 供 支 持,在 该 类 别 的 采 购 额 达 2.48 亿 美元。阿根廷、也门和阿富汗是UNOPS在该类别中的最大供应国,三个国家的采购额均超过3000万美元。机动车和零部件是UNOPS的第二大采购类别,采购额为2.18亿美元,与2023年相比增加了4000万美元。包括巴勒斯坦国人道主义援助物资运输,以及厄瓜多尔政府无轨电车的采购。政治和公民事务服务的采购也显著增长,同比增长6300万美元,采购额达到7800万美元,主要用于阿富汗社区韧性与生计项目。值得注意的是,该类别的采购中近四分之一是通过联合国机构间采购完成的。2024年IOM的采购额在联合国各机构中绝对增长值最大,其采购额增长了4.75亿美元,增幅39.8%,达到17亿美元,是其有记录以来的最高采购额。IOM的采购额仅比UNOPS 低1100万美元。56UNDP103813539383212171611311161005853362926120720598271049281915463UNHCRWHOUNOPSUN SecretariatWFPUNFPAWIPOUN WomenUNESCO 丹麦美国 瑞士意大利125984937UNOPSUNICEFUNDPWFPWHO 252024年联合国采购年度统计报告阿富汗其他供应机构图 7 图 7 联合国机构的协作采购情况(前10大采购机构)(单位:百万美元)310报告的协作采购额联合国机构间采购额177采购额的增长主要源于运输、仓储和邮政服务的增加,增长金额为3.53亿美元。这主要是由于客运航空运输的采购增加,IOM将移民机票纳入统计(用于提供直接流动援助)。WHO的采购总额为14亿美元,较2023年相比下降了8.4%,主要原因是应急高峰后健康物资供应回归常态水平。UNHCR的采购总额为13亿美元,略有下降,降幅为0.4%。FAO的采购总额为7.22亿美元,同比下降了4.1%。相比之下,PAHO的采购总额增加了1.15亿美元,达到11亿美元,主要受疫苗采购增加所推动。除排名前十的机构外,UNRWA的绝对增幅和百分比增幅均为最大,其采购总额增加了2.14亿美元,达到4.6亿美元,增幅为86.7%,反映出该机构人道主义响应活动的加强,尤其是在近东地区。联合国工业发展组织(UNIDO)的采购总额增加了2200万美元,达到1.6亿美元,这得益于其环保项目活动的增长。在百分比方面,联合国气候变化框架公约(UNFCCC)在整个联合国系统中增长幅度位居第二,其采购总额增加了45.3%,达到3500万美元。图 8 图 8 按供应国及供应联合国机构划分的联合国机构间采购情况(单位:百万美元)26 Philippines UNOPS 2024年联合国采购年度统计报告关键数据关键数据18 个联合国机构18 个联合国机构在2024年的采购额实现增长,总增长额达17亿美元UNICEF17亿美元UNICEF采购额位居各机构之首,采购额达56亿美元IOM56亿美元IOM创下4.75亿美元4.75亿美元的最大绝对增幅,采购额达17亿美元,17亿美元,创该机构历史新高。随着2024年协作采购规模持续扩大,联合国各机构不仅积极参与协作采购,同时充分发挥专业优势和采购平台作用,为其他机构提供供应服务。UNOPS仍是联合国系统内最大的供应机构,向其他联合国机构提供了1.89亿美元的商品和服务,较2023年1.57亿美元有所增长。其中管理及行政服务占很大一部分1.6亿美元,主要供应给UNHCR。UNDP 是 联 合 国 各 机 构 中 的 第 二 大 供 应方,向其他联合国机构提供采购的总额为 1.14 亿 美 元(同 比 增 长 2500 万 美元)。主要服务领域在政治和公民事务服务(3700万美元)以及管理和行政服务(2300万美元)。主要采购方为WFP和UN Se c r e t a r i a t,两家机构的的采购额均超过3000万美元。WFP 紧 随 其 位,向 其 他 联 合 国 机构提供 了7900 万 美 元 的 商 品 和 服 务,其中主 要 包括2200 万 美 元 的 运 输、仓 储和邮 政 服务 以及2400 万 美 元 的管理和行政服务。除了以采购为重点的合作外,部分联合国机构还参与到更广泛的供应链管理合作。根 据 管 理 高 级 别 委 员 会 采 购 网 络(HLCM-PN)的 定 义,供 应 链 合 作 包括技术要求的共享、质量保证活动、联合需求预测、物流仓储协调、制造商能力评估以及联合战略规划。2024年,UNICEF 是 唯 一 报 告 此 类供 应链 合 作 的 联 合 国 机构。通过这类 合 作,UNICEF 与 其 他 联 合 国 机 构及 发 展 伙 伴 开展 了 广 泛 协 作。2024年,UNICEF 采 购 总 额(总 计 30 亿 美元)中约79%是通过供应链管理合作实现的。27 ILO 亮点故事将助残实践融入采购环节2024年联合国采购年度统计报告ILO残疾问题倡导者网络会议,会上启动了ILO2024-2027年残障包容战略 Switzerland ILO/Jrgen Menze自2020年起,ILO就通过推动面向残障人士的商品和服务包容性采购,不断推进具有社会可持续性的采购实践。作 为 相 关 工 作 的 一 部 分,ILO 通 过 HLCM-PN 的 专 门 任 务组,为联合国残障包容战略(UNDIS)框 架 下 联合 国 采 购 指 标 8 实 施 指 南 的制定提供了关于采购与残障人士包容的技术专长支持。2024年,ILO依据联合国指南并基于风险评估,启动了一项关于便利化与辅导服务的采购工作。此次采购设定了偏好评估标准,重点关注具有残障人士包容性的便利化与辅导实践。评审小组成员在便利化、辅导及残障人士包容领域具备专业知识。投标人通过针对性问卷和访 谈 接 受 评 估,展 示 其 包 容 性 方 法 的 实 施 思 路。授 标后,ILO计划向签约供应商提供可选培训资源,加深其对该机构反歧视使命的理解。此次采购产生的长期协议正被多个联合国机构采用,有助于在整个联合国系统内更广泛地获取具有残障人士包容性的便利化与辅导服务。这一举措体现了ILO持续致力于将社会可持续性原则融入联合国采购实践的决心。28 20242023Measurable sustainability targets or objectives20242023Sustainable procurement strategy 2024202313 &%793 2320242023202374UWHG 242024 20242023Measurable sustainability targets or objectives20242023Sustainable procurement strategy 202420237%7&20 2320232024202377tshc 242024 2024年联合国采购年度统计报告 已实施计划明年实施未实施图 9 图 9 2023-2024年可持续采购政策、策略及目标的推行进展情况(提交报告的机构占比)政策 战略 目标图 10 图 10 2023-2024 年可持续采购原则在采购流程中整合方面的进展情况(提交报告的机构占比)需求定义 全生命周期成本 合同条款已实施计划明年实施未实施 务组开展合作,例如性别响应型采购任务组可持续采购可持续采购2024年报告展示了联合国各机构持续致力于可持续采购实践的承诺,这体现了他们在确保负责任采购、伦理供应商甄选以及致力在整个供应链中推动可持续增长方面发挥着至关重要的作用。1本报告基于联合国各机构的自愿披露报告,系统呈现了联合国各机构将可持续性纳入采购实践所取得的 进展。2024年,32个联合国机构中的31个都提供了有关其可持续采购工作的信息2,这表明一种日益增强的共识:可持续采购不仅是一种趋势,而且是塑造更可持续未来的根本驱动力。2024年的主要亮点包括:联合国各机构在采购流程中更广泛采纳并主流化环境、社会和经济标准,多个机构着重增加了使用联合国全 球 市 场(UNGM)可持续采购指标发布招标通知的频率。据报告,各机构通过HLCM-PN任(由UN-Wo m e n 主持)制定了性别响应型采购(GRP)示范政策框架,同时推进双边举措,以及UNOPS和ILO试点的“供应商尽责参与计划(DRi VE)”可持续性项目。1.自2009年HLCM-PN通过可持续采购声明以来,可 持续采购在联合国各机构中日益突出和重要。2.国际原子能机构(IAEA)此次未对此情况进行报告。29 Ecuador UNOPS/William Castellanos29 2024年联合国采购年度统计报告此外,包括IOM、UNOPS、UN Se c r e t a r i a t 和WFP在内的多个机构报告称,其采购系统和工具得到了优化,有效提升了跟踪能力、减少纸张使用,并加强了可持续性要求在合同和供应商管理中的整合。联合国机构日益关注气候行动与 环境保护等主题重点领域。相关实 践包括:UN Se c r e t a r i a t 与IOM推动 的可再生能源解决方案转型,多个 机构(如 UNHCR、UNOPS)启 动 的 碳 排放 监 测 及 行 动 规 划(包 括 UNICEF 和PAHO建立的范围三排放基准),WFP开发的监测工具,以及绿色技术 规范的采用等。联合国各机构的工作日益强化对 社会可持续性的关注,涵盖多个关 键领域。ILO聚焦供应链中的人权和 劳工 标 准,试 点 了 数 字 技 术 领 域 的 人 权 尽 职 调 查 指 南;同 时,UNICEF 开 发 资 源 用 于 预 防 性 剥 削 和性虐待领域合同中的保障与风险 管理。UN Wo m e n 和ILO报告称,已在 采购 流 程 中 推 广 并 融 入 性 别 响 应 要素。残障包容性采购由联合国志 愿人 员 组 织(UNV)和 ILO 推 动,通 过培训和指南支持,UNRWA亦设专职 人员协助推进。最后,对本地经济和社区福祉日益增强 的 重 视,在 WFP 报 告 的 大 量 本 地 及区域采购中得以体现,同时也反映在UN Secretariat对本地能力建设的关注上。尽管制定正式可持续采购政策的联合国机构数量较上一年略有减少,但仍有绝大多数机构(31个机构中有23个,超 过 70%)报 告 称 其 政 策 中 已整合可持续性考量。17个机构制定了专门的可持续采购策略,这与上一年持平。越来越多的机构开始设定可衡量的可持续性目标,到2024年已有15个机构制定了此类目标,包括提高在UNGM平台发布的带有可持续采购指标的招标比例;落实联合国残疾包容战 略(指 标 8);设 定 供 应 商 参 与的具体目标;以及将气候因素纳入商品和服务采购等方面。为 确 保 这 些 政 策 的 有 效 实 施,各 机构 强 调 了 内 部 能 力 建 设 的 重 要 性。2024 年,超 过 60%的 联 合 国 机 构 报 告在 过 去 三 年 内 对其 采 购 人 员 开 展 了可 持 续 采 购 相 关 培训,形 式 包 括:现 场 授 课、自 主 进 度 的在 线 学 习 课程、网 络 研 讨 会 和 虚 拟 培 训,部分 培 训 获 得 跨 机 构 支 持。30 FAOICAO11%-20%-20%IFADILOIMO-IOM-ITC11%-20%-20%ITU-OPCW-PAHO0%-5%N21%-50%NUN Secretariat-UN Tourism-UN Women76%-100%N76%-100%NUNAIDS51%-75v%-100%UNDP6%-10%6%-10!%-50!%-50%UNESCO 计划 2025 年实施是是计划 2025 年实施是是无数据不适用不适用无数据是否否是是否是是是是无数据无数据无数据2024年联合国采购年度统计报告2024年采购中纳入可持续性考量的情况表表 5 5采购中可持续性考量的维度 需求定义中纳入可持续性标准的采购估算占比行政领域采购(%)技术领域采购(%)环境层面社会层面经济层面与2023年相比:稳定在需求定义中纳入可持续性标准(环境、社会或经济层面)的情况此外,越来越多的机构正在进一步加大投资,以加强其内部的可持续采购能力,2024年有超过50%(31个机构中的17个)报告了此类举措。这些投资包括开发范围三排放追踪工具、使用包含可持续性指标的采购仪表板、在区域和总部层面招聘可持续采购能力建设人员,以及对企业资源规划和电子采购系统进行升级。将可持续性标准纳入需求定义是可持续采购的关键。这一举动确保了所采购的商品、服务和工程能够促进社会责任、减少环境影响、为受益方创造价值并带来长期成本节约。2024年,24个机构将这些标准纳入其需求定义中,与上一年的情况一致。环境、社会和经济这三个可持续性维度被纳入采购流程的趋势在持续增强。2024年,超过87%的机构(31个报告机构中的27个)实现了这一目标,另有2个机构至少纳入了其中2个维度。值得注意的是,2024年所有机构都纳入了社会维度的考量,而经济和环境维度的纳入比例与上一年相比也有显著进展。机构更高 更低 N:新增接下页 31 UNFCCC21%-50%UNFPAUNHCRUNICEF76%-100v%-100%UNIDOUNOPS51%-75Q%-75%UNRWA6%-10%-20%UNU0%-5%NUNV6%-10%6%-10%UPU-WFP11%-20%WHO11%-20%6%-10%WIPO76%-100Q%-75%WMO76%-100Q%-75%WTO社会层面环境层面 21%-50%无数据无数据无数据无数据无数据无数据不适用无数据是是是是是是是是是否是是是是否经济层面2024年联合国采购年度统计报告表 5表 5需求定义中纳入可持续性标准的采购估算占比行政领域采购(%)技术领域采购(%)在需求定义中纳入可持续性标准(环境、社会或经济层面)的情况采购中可持续性考量的维度-与2023年相比:-更高更低N:新 增 稳定在采购过程中对经济因素的持续关注得到充分体现:2024年,超过70%的报告机构(31家中的23家)继续采用总拥有成本法(TCO)进行财务评估。该方法不仅评估初始价格,还综合考量备件、维护、培训、运输及处置等全生命周期成本,以实现最佳价值和经济可持续性。除联合国供应商行为准则及标准合同条款外,报告机构越来越多地在合同中加入可持续性条款,作为确保供应商履行可持续性目标和标准承诺的关键机制。2024年,这一实践范围进一步扩大,31个机构中有21个报告了当前实施情况。各机构已认识到供应商参与对提升采购可持续性的关键作用通过提高供应商成熟度、降低风险及促进创新来实现。2024年,31个机构中有13个与供应商开展了供应链可持续性合作,另有2个机构计划启动此类合作。此外,积极推动供应商加入联合国全球契约的机构数量持续稳步增长,2024年达到31个中的22个。核查供应商是否遵守联合国供应商行为准则仍然是一个关键环节。尽管这一做法往年呈下降趋势,但2024年仍有超半数报告机构通过以下方式持续开展核查:供应商问卷调查、维护UNGM供应商名录,以及现场或远程评估。机构续前页 32 53RBgq 2420232024202333%7B)%6C%,以及开发专项策略与监测工具以持续提升可持续采购绩效。2024年联合国采购年度统计报告图 11 图 11 2023-2024年供应商合作状况 图 12 图 12 2023-2024年验证遵守联合国供应商行为准则的方法(提交报告的机构占比)(提交报告的机构占比)验证供应商对联合国供应商行为准则的遵守情况与供应商开展合作以强化供应链 使用供应商调查问卷鼓励供应商参与联合国全球契约利用外部或市场调研第三方公司实地考察供应商站点维护UNGM名册以下是2024年度趋势概要,更多详细信息请参阅报告官方网站。展望未来,联合国各机构致力于通过采购战略推进可持续发展目标(SDGs),重点采取以下举措:将采购流程与SDGs关键指标对齐,构建更具可持续性的供应链体系,深化供应商在可持续性议题上的参与度,将环境、社会与经济三维度纳入采购决策全流程,加强内外部可持续采购能力建设,以及开发专项策略与监测工具以持续提升可持续采购绩效。关键数据关键数据31个中有27个机构31个中有27个机构报告称其采购活动纳入环境、社会和经济综合考量。42%的机构42%的机构在2024年就供应链可持续性问题与供应商开展协作。联合国机构实地考察供应商站点远程访谈/评估 33 工作人员检查再生包装材料制成的建筑构件。Pakistan WFP/Rafay Qazi2024年联合国采购年度统计报告WFP 亮点故事将营养包装升级改造为建筑材料将营养包装升级改造为建筑材料 巴基斯坦长期面临母婴营养不良问题,约1000万儿童受发育迟缓 影 响。为 此,巴 基 斯 坦 政 府 启 动 贝 娜 齐 尔营 养 计 划(Benazir Nashonuma Programme),重点干预儿童生命最初1000天的营养不良问题。该计划向母婴分 发 脂 质 营 养 补 充 剂(LNS),但随之产生的包装废弃物带来了环境挑战,亟需可持续解决方案。世界粮食计划署巴基斯坦办事处创新推出一项循环经济方案,与当地回收商合作将LNS塑料包装袋升级再利用为 建 筑 材 料。该 方 案 以 回 收 工 艺 替 代 传 统 焚 烧 处 理(每 千 克 塑 料 焚 烧 产 生2.2千克二氧化碳当量排放),显 著 降 低 碳 排 放。具 体 流 程 包 括:WFP 收 集 废 弃 包 装袋,将其运至卡拉奇当地回收商加工为EcoGrete骨料,用于生产地砖、瓷砖及建筑砌块。WFP随后采购这些再生材料用于其仓库建设维护和营养食品分发点的卫生设施改造。这一回收和采购举措每年可减少约67公吨塑料垃圾进入垃圾填埋场和水体或被焚烧。与焚烧相比,该举措还减少了约80%至90%的碳排放。通过扶持当地绿色企业、推广使用低碳建材,该举措强化了WFP在负责任采购、可持续运营及供应链本地化方面的承诺。Ecuador UNOPS/William Castellanos 342024年联合国采购年度统计报告了解更多 35 2023 ANNUAL STATISTICAL REPORT ON UNITED NATIONS PROCUREMENT 40TH EDITIONHistorical reports back to 2000 Explore Detailed sustainability analysis Explore Procurement from developing countries ExploreProcurement by supplier country Explore Goods and services bought by the UN Explore Major suppliers to the UN Explore 2024年联合国采购年度统计报告了解更多了解更多本 报 告 仅 呈 现 报 告 中 的 部 分 核 心 数 据。您 可 通 过UNGM平台,获取2013-2024年全周期采购数据的交互式可视化仪表板。36Albania UNOPS/Andis Rado 36附录2024年联合国采购年度统计报告 37 Organizations participating in the ASRFAOIAEAICAOIFADILOIMOIOMITCITUOPCWPAHOUN SecretariatUN TourismUN WomenUNAIDSUNDPUNESCO 2024年联合国采购年度统计报告联合国粮食及农业组织国际原子能机构国际民用航空组织国际农业发展基金国际劳工组织国际海事组织国际移民组织国际贸易中心国际电信联盟禁止化学武器组织泛美卫生组织联合国秘书处联合国旅游组织联合国促进性别平等和增强妇女权能署联合国艾滋病规划署联合国开发计划署联合国教育、科学及文化组织表 6 表 6 2024 年参与机构接下页 方法论方法论参与方参与方共 有 32 个 联 合 国 机 构 参 与 了 编 制 报告。本 报 告 中 所 述“联 合 国 系 统”或“联合国各机构”的采购行为均指这32个机构的采购。报告中所列的本年度参与机构清单见表6。采购数据采购数据UNOPS 要 求 各 机 构 以 日 历 年 度 为 报 告 期,按采 购 订 单 形 式 提 交 业 务 活 动 所需 的商 品 与 服 务 采 购 统 计 数 据。根 据 联 合 国 采 购 从 业 人 员 手 册,采 购定义 为 通 过 购 买 或 租 赁 方 式 获 取 不 动产、商 品 或 其 他 产 品(包 括 知 识 产权)、工程或服务。商 品 包 括 所 有 形 态 和 类 别 的 物 品:原 材料、产品、设备以及固态、液态或气态物品,以及商品附带服务(当服务价值不超过商品本身价值时)。服务指承包商根据合同提供的工作、职责或劳务。若合同条款明确约定,可能涉及相关公用设施或场所的配套提供。典型服务类型包括:若合同条款中有规定,提供服务可能涉及相关公用设施或场地的配套供应。382024年联合国采购年度统计报告UNFCCCUNFPAUNHCRUNICEFUNIDOUNOPSUNRWAUNUUNVUPUWFPWHOWIPOWMOWTO联合国气候变化框架公约联合国人口基金联合国难民事务高级专员公署联合国儿童基金会(儿基会)联合国工业发展组织联合国项目事务厅联合国近东巴勒斯坦难民救济和工程处联合国大学联合国志愿人员组织万国邮政联盟世界粮食计划署世界卫生组织世界知识产权组织世界气象组织世界贸易组织表 6 表 6 续前页典 型 服 务 类 型 包 括 安 保、餐 饮、清 洁、差 旅 管 理、活 动 管 理、信 息 技 术 服务、培训、货运代理和咨询。尽 管 联 合 国 各机构在 记 录 和 报 告 采 购数据 方 面 可 能 采 用 不 同 的 系 统 和 方法,但为了符 合 报 告 的 要 求,所 有 数 据均 遵 循统 一 采 购 定 义 并 以 标 准化 格 式 收集。因 此,部 分 机 构 公 布 的 采 购 统 计数 据 可 能 与 报 告 数 据存 在 差 异。例 如,UNDP除 直 接 采 购 业务 外,其 自 行发 布 的 数 据 包 含 国 家 执 行 模 式(NIM)这 是 UNDP 特 有 的 实 施 方 式(详见UNDP官网说明),但NIM相关数据不计入该机构提交报告的统计范畴。各参与机构将采购数据提交至UNGM托管平台,该 系 统 会 对 数 据 进 行 初 步 验 证。随后,UNOPS进行严格的数据质量和统一性筛查,确保各机构、各年度的数据具有可比性。各机构对其提交数据的准确度和完整性承担最终责任。采购量与货币采购量与货币服 务 类 采 购 订 单 及 合 同 按 合 同 金 额(非 实 际 发 生 支 出)报 告。由 于 技 术限制 多 数 机构 无 法 提 供 实 际 支 出 数据。39 2024年联合国采购年度统计报告部分类别基于其产品特性及在联合国系统内的主要用途进行跨部门划分,具体包括:药品、避孕药具和疫苗领域、医疗设备和用品领域中涉及兽医产品的部分划归粮食和农业行业,其余部分则纳入卫生部门统计范畴。运输、仓储和邮政服务领域分为运输和仓储以及旅游、住宿和餐饮服务行业,以区分货物运输和人员运输。管理和行政服务领域分为行政和业务行业以及金融、保险和房地产行业。工程与研究服务领域细分为建筑、工程以及科学、媒体、信息技术与通信、行政与运营以及运输与仓储等类别。机动车和零部件领域分为机动车、工业机械和重型设备行业以及运输和仓储行业。服装、行李和个人护理领域分为健康部门以及其他商品和服务行业。有关本报告所用分类体系的更多详细信息,请访问UNGM网站查询。这些调整包括适当缩写类别名称,将避孕套统一归类 至“药 品、避孕 药 具 和疫 苗”类别。2024 年,报 告 机 构 在 UNSPSC 分 类 指 定能力 方面 持 续 提 升。在 少 数 特 定 情 况下,当无法提供具体分类信息时,相关数据将标记为未指定商品和未指定服务。此类未分类数据占报告总量的比例不足0.1%。在可识别类别的范围内,各机构报告的商品和服务分类精细度显著提高。最粗略(类 别 级)报 告 比 例 从 2021 年 的17.7%降 至 2024 年 的 14.6%。而 最 精 细(类目/商品级)报告比例从2021年的53.3%(118 亿 美 元)升 至 2024 年 的71.9%(184亿美元)。不同机构和商品类别的分类精细度存在差异,在进行细分数据分析时应审慎评估。因为这可能并不能真实反映该子类别内的总支出情况。作为对UNSPSC体系的补充,在报告中,这些类别被进一步归并为部门分类,以更精准体现联合国采购的重点领域。每个部门包含来自UNSPSC体系不同层级(编码架构中的最高级)的商品和服务类别。各机构可以选择以美元(USD)、欧元(EUR)或瑞士法郎(CHF)提交数据,本报告统一采用美元呈现。对于以欧元或瑞士法郎提交数据的机构,其数值已根据联合 国 财 政 部 公 布 的运 营 汇 率 换 算 为美 元。本 报告年度使用的汇率为:1.00 美元=0.923 欧元 1.00 美元=0.878 瑞士法郎大 多 数 参 与 机 构 在 多 个 地 区 开 展 业务,并以多种货币进行采购。每个机构自行决定如何将原始货币转换为用于报告所使用的货币。如无特别说明,所有采购量变化(绝对值或百分比)均指与上一报告年度的同比比较。因四舍五入处理,报告中 部 分 表 格 的分项数据总和可能与总计存在微小差异。分类分类为便于对联合国各机构统一报告各类商品和服务采购数据,各报告机构需按照UNSPSC的 标 准,提 供 尽 可 能详细 的 采 购 数 据。UNSPSC为公开的多行业分类标准,采用四级层级结构:类别、子类别、类目和商品。为优化年度报告呈现效果,已进行少量调整。402024年联合国采购年度统计报告 本报告所使用的名称不代表联合国对任何国家、领土、城市或地区及其当局的法律地位,或其边界及疆域划分发表任何意见。国家或地区归入特定组别仅为统计方便,不表示联合国 对 其 政 治 或 其 他 归 属 作 出 任 何 假设。部分联合国机构因采购系统 技 术限 制 无 法 提 供 供 应 商 国 别 数 据。当机构 无 法 提 供 供应商国别信息时,相关数据将归入未指定国家类别。2024年供应商国别报告覆盖率持续提升,达 到 联 合 国 采 购 总 额 的 99.96%,而2021年这一比例为 99.84%。其中,无法归因于具体国家的金额为390万美元,可归因于地区层级的金额为370万美元。在涉及供应国与总采购量的比较分析中(如发展中国家采购占比等),我们仅对明确标注供应商所在国数据的部 分 进 行 了 调 整。更 多 关 于 报 告 国 别 标 注 的 信息,请访问报告官方网站。供应商名称供应商名称供应商名称将在报告官方网站主要合同数据中予以披露。供应商所在国家供应商所在国家在 本 报 告 中,术 语 国 家 或 国 家/地 区 指 代 国 家 及 领 土 实体。除 非特 别 说 明,否 则 均 指 由报 告 机构 提 供 的 供 应 商 注册 国 家/地区。表格 和 图 表 仅 显示 联 合 国 成 员国 其 他 未 被 列 入 的 国 家 或 领 土实 体 则归类为其余国家/地区组别呈现。国家/地区名称采用统计用国家或地区代码(简称M49标准)的规范表述,该 标 准 由 UN Secretariat 统 计司 制 定。国家/地区的地理区域划分同样基于此标准。为 便 于 分 析,本报告采用“最不发达国家”、“内陆发展中国家”和“小岛屿发展中国家”这三类国家的划 分。这 些 分 类 同 样 遵 循 M49 标准,并 依 据 报 告 期 结 束 时 的 最 新 版本。对 于 内 陆 发 展 中 国 家 和 小 岛 屿发 展 中 国 家 的 界 定,目 前 尚 未 形 成统 一 的 国 际 标 准。当 前 采 用 的 内陆 发 展 中 国 家 和 小 岛 屿 发 展 中 国 家的国 家/地 区 组 成 名单,是 在 可 持续发 展 目 标 报 告 周 期 启 动 时,基 于 当时可获得的多方定义综合确定的。当机构无法提供供应商名称时,标注为未指定供应商。出于安全考虑需要保护供应商身份时,标注为基于安全原因隐去名称。若披露供应商名称可能违反保密协议时,标注为基于保密原因隐去名称。当供应商为个人时,标注为基于隐私原因隐去名称。基于供应商名称的分析仅包含明确披露名 称 的 数 据(不 包 括 未 指 定 或 基 于 安全、保 密、隐 私 原 因 隐 去 名 称 的 情况)。协作采购协作采购从 各 机 构 收 集 的 协 作 采 购 数 据 符 合HLCM-PN工作组2015年发布的联合国 采购协调:国家层面的联合国共同采购指南中对共同采购的定义。本文件考虑的共同采购类型包括:使用其他联合国机构现有的长期协议(LTA)或合同(搭便车方式)利用其他联合国机构的招标结果建立本机构的长期协议 通过牵头机构模式建立和使用联合长期协议及合同 41 2024年联合国采购年度统计报告可持续采购可持续采购与往年相同,为评估联合国各机构将可持续性因素纳入采购流程的程度,本年度在收集报告数据的同时,并行开展了自愿性在线调查。自 2022 年 起,除 汇 总 数 据 外,报告还新增公布了部分机构的具体实施成果。考 虑 到 当 前 可 持 续 采 购 数 据 采 集 的局 限性,本次调查针对以下关键领域的 可 持 续 采 购 设 置 了 定 性 与 定 量 指标:政策和战略 采购流程中的整合 内部能力建设 供应商参与 对联合国全球契约的响应本报告所呈现的可持续采购分析,并不对任何具体机构的进展作出评判;所有数据皆为汇总处理,旨在呈现联合国系统内的整体趋势。使用其他联合国机构的采购服务 向其他联合国机构进行采购使用联合采购单位对于多数机构而言,此类信息未在其系统中记录,需由报告机构进行估算和推测。在协作采购分析中,供应商名称为经认可的联合国实体,以及被报告机构明确标注为协作采购的数据,均被视为协作采购。2019年10月,HLCM-PN达成共识,将以下活动定义为供应链管理协作(与定义的协作采购不同):共享技术要求(规格、职权范围、工作说明)或制定统一的技术性能要标准 利用其他联合国机构和非联合国伙伴的技术专长,就产品和服务的质量保证进行协作 与联合国和非联合国伙伴共同进行需求预测、物流和仓储协作,开展市场塑造活动或联合评估制造商能力 与联合国和非联合国伙伴制定联合战略,例如促进产品研发和市场培育,确保产品可追溯性有关供应链管理合作的信息由报告机构单独提交。2024年未收到机构提交的供应链管理协作数据。本报告可在以下网站在线获取:www.ungm.org/asr 和 www.unops.org.2025 年 7 月出版
2025-07-31
45页
5星级
请务必仔细阅读正文之后的评级说明和重要声明请务必仔细阅读正文之后的评级说明和重要声明证券研究报告证券研究报告商贸零售商贸零售行业专题报告行业专题报告hyzqdatemark投资评级投资评级:看好看好(.
2025-07-31
21页
5星级
编印说明近年来,党中央、国务院高度重视优化营商环境工作,要求各地、各部门采取切实有效措施,持续改革创新,加快打造市场化、法治化、国际化营商环境。为更好服务市场主体需要,扩大政策知晓度,市政府口岸物流办.
2025-07-23
283页
5星级
2025年7月21日谁将赢下“最后一公里”?即时零售平台对比拆解深度行业评级:看好分析师宁浮洁研究助理张瑜晨邮箱邮箱电话15751860093电话18852005569证书编号S12305220600.
2025-07-23
26页
5星级
请务必阅读正文之后的免责声明及其项下所有内容20252025年年0707月月2222日日即时零售系列报告(一):即时零售系列报告(一):竞争格局、竞争格局、平台博弈与巨头利润影响平台博弈与巨头利润影响.
2025-07-23
41页
5星级
1企业增长新范式与组织进化路线图23核心洞察 AI 驱动的增长新范式:突破边际约束 战略选择:商业模式变革路径 商业模式进化矩阵实践案例:智能体如何重塑业务流程访谈|CEO 洞察:领导 AI 变革的三.
2025-07-22
20页
5星级
行业及产业 行业研究/行业深度 证券研究报告 商贸零售/互联网电商 2025 年 07 月 20 日 从红蓝黄三大平台竞速看即时零售重构万亿消费生态 看好即时零售行业研究专题 相关研究 京东(JD)点.
2025-07-21
35页
5星级
US-CHINA BUSINESS COUNCIL1中国商业环境调查美中贸易全国委员会2025US-CHINA BUSINESS COUNCIL1ABOUT THE US-CHINA BUSINESS.
2025-07-20
40页
5星级
罗兰贝格:预见2026:中国行业趋势报告(90页).pdf
智源研究院:2026十大AI技术趋势报告(34页).pdf
中国互联网协会:智能体应用发展报告(2025)(124页).pdf
三个皮匠报告:2025银发经济生态:中国与全球实践白皮书(150页).pdf
三个皮匠报告:2025中国商业航天市场洞察报告-中国商业航天新格局全景洞察(25页).pdf
国声智库:全球AI创造力发展报告2025(77页).pdf
中国电子技术标准化研究院:2025知识图谱与大模型融合实践案例集(354页).pdf
三个皮匠报告:2025中国情绪消费市场洞察报告(24页).pdf
中国银行:2026中国高净值人群财富管理白皮书(66页).pdf
亿欧智库:2025全球人工智能技术应用洞察报告(43页).pdf
0731-84720580
商务合作:really158d
友链申请 (QQ):1737380874
最新报告
中英对照
全文搜索
报告精选
PDF上传翻译
多格式文档互转
入驻&报告售卖
会员权益
机构报告
券商研报
财报库
专题合集
英文报告
数据图表
会议报告
其他资源
研报
新质生产力
DeepSeek
低空经济
大模型
AI Agent
AI Infra
具身智能
自动驾驶
宠物
银发经济
人形机器人
企业出海
算力
微短剧
薪酬
白皮书
创新药
行业分析
个股研究
年报财报
IPO招股书
会议纪要
宏观策略
政策法规
其他
人工智能
信息科技
互联网
消费经济
汽车交通
电商零售
传媒娱乐
医疗健康
投资金融
能源环境
地产建筑
传统产业
英文报告
其它
行业聚焦
芯片产业
热点概念
全球咨询智库
人工智能
500强
新质生产力
会议峰会
新能源汽车
企业年报
互联网
公司研究
行业综观
消费教育
科技通信
医药健康
人力资源
投资金融
汽车产业
物流地产
电子商务
传统产业
传媒营销
其它
十五五规划系列报告合集(共48套打包)
2026低空经济/低空产业报告合集(共47套打包)
AI、科技与通信
广告、传媒与营销
消费、零售与支付
HR、文化与旅游
金融、保险与投资
能源、环境与工业
医疗制药与大健康
物流、地产与建筑
其他行业
AI ▪ 科技 ▪ 通信
数字化
金融财经
智能制造
电商传媒
地产建筑
医疗医学
能源化工
其他行业
收藏
下载
2026-02-02
AI查数
行业数据
政策法规
商业模式
产业链
竞争格局
市场规模
产业概述
其它
2026年
AI读财报
年报
一季报
半年报
三季报
IPO招股书
社会责任报告
A股
IPO申报
港股
美股&全球
新三板
微信扫码登录
手机快捷登录
账号登录
