5G产业报告-PDF版

亚马逊云科技&普华永道：2025年合规及跨境数据传输联合白皮书（30页）.pdf

本 合规及跨境数据传输联合白皮书 由普华永道商务咨询（上海）有限公司（以下简称“普华永道”）和 Amazon Web Services,Inc.或其关联方（“亚马逊云科技”）分别撰写，双方就各自撰写的内容分别、独立享有相关知识产权。其中普华永道负责撰写“第一部分全球数据跨境流动趋势分析”，“第二部分美国敏感个人数据行政命令要点解读”，“第三部分美国数据跨境新政对企业的影响，第四部分美国数据跨境新政下企业的应对策略”及“附录：普华永道隐私保护合规解决方案-Privacy Ready、普华永道下一代安全运营服务 MSS（Managed Security Service、普华永道云评估和迁移服务、普华永道数据安全和跨境合规解决方案、普华永道 DevSecOps As A Service）”，单独享有该部分的知识产权；亚马逊云科技负责撰写“附录：亚马逊云科技敏感数据保护方案”，单独享有该部分的知识产权。本报告中所有文字、数据、图片、表格，均受中华人民共和国著作权法及其它法律法规保护。未经普华永道和/或亚马逊云科技书面许可，任何机构和个人不得基于任何商业目的使用本报告中普华永道部分和/或亚马逊云科技部分的信息（包含报告全部或部分内容），不得摘录、复制、储存在检索系统中，或以任何形式或通过任何手段（包括电子、机械、影印、录制或扫描）进行传播。如果任何机构和个人因非商业、非盈利、非广告的目的需要引用本报告中内容，需要注明“转载自普华永道商务咨询（上海）有限公司和 Amazon Web Services,Inc.或其关联方（亚马逊云科技）联合发布的 合规及跨境数据传输联合白皮书”。本报告仅作为一般性指导，并不构成提供任何形式的法律咨询、会计服务、投资建议或专业咨询。本报告所提供的信息不能取代专业税收、会计、法律咨询或其他相关专业咨询建议。在作出任何决定或采取任何行动之前，您应该咨询专业顾问，并向其提供与您特定情况相关的所有事实。本报告的信息来源于本次调研所收集的数据以及公开的资料，我们对信息的完整性、准确性或及时性概不作出任何保证或担保，也不提供任何明示或暗示的担保，包括但不限于对业绩、适销性和适用于特定用途的担保，在不同时期可能会得出与本报告不一致的观点。本报告仅供一般参考使用，不构成具体事项和咨询意见，普华永道不对本报告内容承担审慎责任，并且未就本报告内容做出任何明示或暗示保证。普华永道不就本报告内容向任何人士承担任何责任或义务，也不向任何人士承担因本报告所引起的或与本报告有关的任何责任或义务。读者不应依赖本报告内容做出投资或其他商业决定。如需具体意见，请咨询专业顾问。关于普华永道部分的声明：本报告中由亚马逊云科技负责撰写的内容陈述了亚马逊云科技在封面页所示日期的有关服务产品及实践，该等信息可能变化且我们不会另行通知。客户对于本部分的信息以及亚马逊云科技的产品或服务应自己做出独立的判断，该等内容都是“依现状”提供，不包含任何明示或者暗示的保证。本部分内容并没有创设来自亚马逊云科技或其关联方、供应商或许可方的任何保证、陈述、合同性承诺、条件或者担保。亚马逊云科技对其客户的义务和责任均由适用的客户协议管辖。本部分内容不是亚马逊云科技和其客户之间任何协议的组成部分，也不构成对任何协议的修改。关于亚马逊云科技部分的声明：声明目 录1 全球数据跨境流动趋势分析2 美国敏感个人数据行政命令要点解读1)行政命令发布背景2)行政命令要点解析3)美国数据跨境监管趋势分析3 美国数据跨境新政对企业的影响4 美国数据跨境新政下企业的应对策略1)排查数据跨境场景，初判受美国新政管辖范围2)开展影响评估，推动数据合规化布局3)持续追踪立法动态，建立应对策略与计划附录：亚马逊云科技敏感数据保护方案普华永道隐私保护合规解决方案-Privacy Ready普华永道下一代安全运营服务 MSS(Managed Security Service)普华永道云评估和迁移服务普华永道数据安全和跨境合规解决方案普华永道 DevSecOps As A Service0103040406071011121214151722232420全球数据跨境流动趋势分析全球数据跨境流动趋势分析0101在全球范围内，各国政府正不断加强对数据跨境流动的合规监管力度，以保护敏感信息并防止外国对手滥用数据，中国、印度和欧盟等国家和地区都在不断完善自身的数据保护体系。在全球地缘政治紧张局势不断升级的背景下，美国政府出台了一系列相关规定，以应对数据跨境流动带来的潜在风险。2024 年 2 月 28 日，美国总统拜登签署了第 14117 号总统行政令 防止受关注国家访问美国敏感个人数据和政府相关数据。2024 年 12 月 27 日，美国司法部正式发布该行政令的最终实施规则，该规则于 2025 年 1 月8 日在 联邦公报 发布，并宣布 2025 年 4 月 8 日为正式生效日。2025 年 4 月 11 日，美国司法部国家安全司（NSD）发布了 数据安全计划 及配套的指南及常见问题解答以推进 14117 最终规则 实施。这一些列措施标志着美国政府对数据主权和国家安全的高度重视，在这样的趋势下，相关企业，尤其是出海美国的中国企业和对外投资或研发的中国企业，将面临较大的合规压力和经营风险。中国政府制定了强调国家安全的网络安全和数据保护法律框架，其中包括 中华人民共和国网络安全法中华人民共和国数据安全法 和 中华人民共和国个人信息保护法，且在此基础上对数据跨境流动施加了额外的限制条件以作管控。2024 年 3 月 22 日，中国国家互联网信息办公室（CAC）发布了 促进和规范跨境数据流动的规定，监管部门持续扩大相关法律的范围和执行力度，包括其域外影响。印度政府于 2023 年 8 月批准了 数字个人数据保护法（Digital Personal Data Protection Act），于 2025 年 1 月发布了 数字个人数据保护规则草案（Draft Digital Personal Data Protection Rules），并征集公众意见至 2025 年 2 月 18 日。该法适用于在印度境外处理与向印度居民提供商品或服务有关的个人信息。欧盟于 2018 年实施了 通用数据保护条例（General Data Protection Regulation，即 GDPR）。GDPR 限制了企业对个人信息的处理，并赋予欧盟公民对其数据使用的控制权，包括限制未经个人同意对数据的处理或传输。此外，GDPR 还对欧盟以外的跨境数据传输进行了规范。02美国敏感个人数据行政命令要点解读0203042024 年 2 月 28 日美国总统拜登签发了名为 关于防止受关注国家访问美国人大量敏感个人数据和美国政府相关数据的行政命令（Executive Order on Preventing Access to Americans Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern）的行政命令，该行政命令指示美国司法部与其他机构协商发布法规以禁止或限制与“受关注国家”或“受管制对象”进行的涉及美国人大量敏感个人数据或美国政府相关数据的特定类型的交易。在该行政命令发布同日，美国司法部发布了关于该行政命令的非正式的拟议规则制定预通知（Advance Notice of Proposed Rulemaking，下文简称“ANPRM”）的情况说明 1，概述了实施该命令的规则。ANPRM 于 3 月 5 日正式发布2，旨在提供拟定规则的更多细节，并在生效前征求公众意见。美国司法部又在 2024 年 10 月 21 日发布关于该行政命令的拟议规则草案通知（NPRM），旨在提供拟定规则的更多细节，并进一步征求意见3。在 2024 年 12 月 27 日,美国司法部发布了 关于防止受关注国家获取美国人大量敏感个人数据和美国政府相关数据的行政命令 的最终实施规则(以下简称“最终规则”)4。经过十个月的起草和多轮公众意见征集与调整，最终规则形成，并将在其发布之日起 90 天后生效，关于尽职调查、报告和审计要求将在发布之日起 270 天内生效。2025 年 4 月 11 日，美国司法部国家安全司（NSD）发布了 数据安全计划 及配套的指南及常见问题解答以推进最终规则的实施。根据数据安全计划，自 2025 年 4 月 8 日最终规则正式生效起，将有为期 90 天的执法宽限期。在此期间，只要美国人或实体积极开展自我评估与调整，展现出“合规诚信勤勉”的行为，就不会被列为优先执法对象。敏感个人数据行政命令和相关规则与说明从数据类型、数据交易的参与方、数据交易的类型、数据交易规模阈值等多方面提供了监管框架，对与包括中国在内的相关国家或相关人员进行数据交易的行为作出了禁止或限制。禁止交易，包括数据经纪交易和涉及转移大量人类基因数据或可从中提取此类数据生物样本的基因数据交易。最终规则将人类基因组数据定义为人类基因组、人类表观基因组、人类蛋白质组和人类转录组数据。1.https:/www.justice.gov/opa/pr/justice-department-implement-groundbreaking-executive-order-addressing-national-security2.https:/www.federalregister.gov/documents/2024/03/05/2024-04594/national-security-division-provisions-regarding-access-to-americans-bulk-sensitive-personal-data-and3.https:/www.justice.gov/archives/opa/pr/justice-department-issues-comprehensive-proposed-rule-addressing-national-security-risks4.https:/www.justice.gov/archives/opa/pr/justice-department-issues-final-rule-addressing-threat-posed-foreign-adversaries-access5.“供应商协议”是指一方当事人向另一方提供商品或服务以换取付款或其他对价的协议或安排，包括云计算服务但不包括雇佣协议。6.“雇佣协议”是指个人直接为美国主体工作或履行工作职能以换取报酬或其他对价的任何协议或安排，包括在董事会或委员会中的雇佣、行政级别的安排或服务以及业务级别的雇佣服务，但不包括独立承包商。7.“投资协议”是指任何主体以付款或其他对价的为交换条件，获得位于美国的房地产或美国法律实体的直接或间接所有权利益或相关权利的任何协议或安排。受限制交易，包括1.涉及提供商品和服务（包括云服务协议）的供应商协议5；2.雇佣协议6和3.投资协议7。如果此类交易符合将由国土安全部网络安全和基础设施。美国司法部和美国国土安全部负责发布针对两种数据交易类型的规则：1)行政命令发布背景2)行政命令要点解析05数据交易的参与方：列举了六个“受关注国家”与四个类型的“受管制对象”。数据类型及数据交易规模阈值：“美国人大量敏感个人数据”或“美国政府相关数据”。局制定的安全要求（可能包括基本的组织网络安全生态要求、物理和逻辑访问控制、数据掩码及最小化，以及使用隐私保护技术的网络安全措施），以减少有关国家对敏感数据的访问，则可继续进行。同时，敏感个人数据行政命令和相关规则与说明对监管适用的数据交易的参与方、数据类型、数据交易规模阈值作出定义：分为六类：特定个人标识符、地理位置及相关传感器数据、生物识别标识符、人类基因数据、个人健康数据和个人财务数据。美国司法部当前尚未对“大量”作出具体定义，而是针对六类敏感个人数据的交易在一定期间内超过规定的阈值数量的特定类别的交易进行管制。最终规则中对于各类敏感个人数据的阈值定义如下（包含多类数据的以阈值最低的数据类型为准）：此外，美国司法部还确定了某些类别数据交易免受监管的例外情况，如通常属于跨国美国公司内部附属业务操作（如工资支付或人力资源）的一部分的交易。就此项行政命令从数据跨境涉及的数据类型、数据交易的参与方、数据交易的类型等方面作出的定义来看，赴美出海的中国企业、对外投资或研发的中国企业等企业均有可能在跨境获取美国人敏感个人数据时受到限制或禁止。美国司法部认定的会对美国国家安全造成威胁的数据，如能关联到联邦政府及军队的雇员或地址的相关数据。无论此类数据的数量如何，均将受到监管。b)美国政府相关数据相关数据a)敏感个人数据人类基因组数据100 个美国人（表观基因组、蛋白质组或转录组数据为 1,000 个美国人）生物识别标识符地理位置及相关传感器数据个人健康数据、个人财务数据特定个人标识1,000 个美国人1,000 个美国设备10,000 个美国人100,000 个美国人阈值06此项行政命令与最终规则很可能意味着白宫将继续推进数据安全政策。敏感数据的安全已经成为华盛顿的优先事项之一，例如，美国外国投资委员会（Committee on Foreign Investment in the US）对外国公司访问某些美国数据的入境交易进行了格外严格的审查。在此背景下，在美运营或服务美国用户的中国企业及业务倚赖美国数据的中国企业等企业可能会受到一定程度上的实质性影响。3)美国数据跨境监管趋势分析 0101全球数据跨境流动趋势分析0101全球数据跨境流动趋势分析0101全球数据跨境流动趋势分析0101全球数据跨境流动趋势分析0703美国数据跨境新政对企业的影响08在美国限制数据跨境流通的背景下，我们预计会对中国赴美出海企业、在华跨国企业、业务依赖海外数据的特定行业企业的业务经营与合规工作的开展带来不容小觑的挑战。下表汇总分析了美国数据跨境新政对上述各类企业可能造成的影响，以供企业在进行影响分析并制定相应应对计划时进行参考：中国出海企业预计影响影响分析业务范围及模式受限管理策略调整难以产品及服务出海情形下，出海企业在交易过程中可能接触到美国相关管制数据，进而可能构成“供应商协议”类受限交易，导致业务范围及商业拓展空间的发展受阻。在美国开设公司的出海企业，在美实体与境内实体股权关系可能使其成为“受管制对象”，另外，雇佣“受管制对象”人员进而可能构成“雇佣协议”类受限交易，均可能触发行政命令管辖，对运营模式带来合规风险。最终规则将云计算服务（包括 IaaS、PaaS、SaaS）作为“供应商协议”中的相关重点列举对象，即云计算相关出海企业的业务范围可能遭受重创。针对以租用位于美国的服务器并由位于中国的团队提供技术支持的管理策略，如业务数据中包含一定数量的敏感个人数据，则可能触发美国数据跨境监管，为出海企业在调整管理策略层面引入必要性，同时给其业务运营、研发能力、及数据可视性带来新的挑战。在华跨国企业预计影响影响分析跨国经营受阻IT 治理体系或需重构在华跨国企业与跨国企业客户间的合作在美国数据跨境监管的外在阻力可能会加大跨国经营难度。跨国企业出于集团集中管理之目的，通常使用统一的信息系统存储及管理相关数据，而其中不乏采用了中国的技术解决方案或由在华实体负责运维与支持的管理模式。在华实体在集团开展日常业务的过程中可能接触到受美国管制的数据，进而受到行政命令的管辖，影响在华跨国企业及集团的 IT 系统与管理架构体系建设策略，企业或需重构IT 治理体系以实现全球范围内相关业务的开展。09业务依赖海外数据的特定行业企业预计受影响行业影响分析生物医药行业智能网联汽车行业人工智能行业随着生物医药企业从美国跨国实体、美国医疗机构或研究机构等实体跨境获取数据的难度进一步增大，生物医药企业的临床试验、药物警戒等主营业务的开展将受到一定程度的打击。在美上市药品或开展多中心临床试验的生物医药企业，在临床实验阶段通常会将收集的美国人受试者的临床症状、生物样本等数据，传输至国内以作研究，进而证明药品的安全性及有效性。临床试验过程中跨境获取的数据，极有可能受到监管。而随着临床试验期段的增加，受试者的人数亦会呈攀升的趋势，增加落入监管范围的可能性。智能网联汽车传感器多，为实现自动驾驶等基于机器学习算法的功能，可能会持续收集大量数据。对于在海外设立研发中心的境内智能网联车企，美国在数据跨境领域的监管极可能对其现有的数据跨境处理活动进行禁止或限制，对企业的运营及管理策略等多方面带来不利影响。从智能网联车企向美出口的角度分析，企业为实现智能信息交换等目的通常会涉及海量用户的敏感信息的收集和处理活动，例如指纹、声纹等生物识别信息，亦可能获取落入美国数据跨境监管范围，为出口业务的开展引入潜在限制条件。人工智能企业倚赖海量数据进行大模型训练，而境内人工智能企业从数据经纪商处购买数据可能被视为“数据经纪交易”类受禁止交易进而遭到禁止，为企业人工智能及大数据研发活动带来新的阻碍。于已完成部分预训练的大模型的境内人工智能企业而言，在美国趋严监管下人工智能的涉美全球化商业应用的不确定性攀升。跨国生物医药企业通常会针对涉及境内外多地区上市的药品采取全球药物警戒统一管理体系，并在各区域共享安全性信息。在涉美上市药品相关药物警戒场景下，国内生物医药企业可能会获取不良反应者（美国人）的不良反应数据、用药记录数据等数据，可能受到监管。美国数据跨境新政下企业的应对策略041011无论从何种角度审视，最终规则非传统意义上的典型数据保护法规。因此，企业若欲切实履行其规定的义务，需摒弃既有思维模式，转而采用一种全新的、更具适应性的思维方式。在这一过程中，企业应如何在避免过度耗费资源、陷入“大水漫灌”式合规困境的前提下，精准且高效地履行相关义务，是亟待深入探讨的关键问题。基于对敏感个人数据行政命令和最终规则的解读，我们建议可能受到影响的赴美出海企业、在华跨国企业、业务依赖海外数据的特定行业企业采取以下策略及时应对风险：建议有中国业务的跨国企业或有赴美出海业务实体的境内企业首先根据自身业务特性及业务发展方向等方面，对当前业务开展过程中可能涉及的将美国人的数据或美国政府相关数据传输到中国境内处理或允许境内访问的场景进行全面梳理。以数据字段为单位，调查数据类型、数量级、数据来源、存储位置、数据流转及跨境情况等，建立完整的数据清单与全景映射图，为确定美国数据跨境规制的合规义务适用性打下基础。在排查过程中，企业需考虑是否存在在美实体中雇佣主要位于境内的非美国人员等可能构成“受管制对象”的情形，并根据敏感个人数据行政命令和最终规则等相关文件判断是否涉及敏感个人数据（如个人健康数据）、确定相关敏感个人数据的量级是否达到美国司法部规定的受规制阈值，而后通过分析业务中的各类交易场景是否可落入豁免情形以进一步鉴别是否存在属于或可能属于被禁止或受限制的交易活动，初判受到敏感个人数据行政命令管辖的可能性及范围。1)排查数据跨境场景，初判受美国新政管辖范围12基于数据排查及受管辖情况初判结果，建议企业从整体和数据跨境场景两个维度全面开展影响评估，及时制定风险应对策略。从企业整体角度出发，围绕数据跨境传输机制的合规性、有效性和完整性开展评估，审查制度流程的制定情况和执行情况，综合评估数据出境管控流程、数据安全事件响应程序等体系建设情况。从特定数据跨境场景出发，围绕场景相关业务从法律、政治、商业等多个角度全面开展风险及影响评估，关注数据的收集、存储和传输等过程及采取的用于保障已采集的或有权访问的数据安全技术措施，审查现有数据跨境场景中处理美国人的敏感个人数据或美国政府相关数据的必要性。此外，企业还应重点评估如该场景相关数据无法跨境进行获取将对业务造成的影响及影响程度，进而推动合规应对策略与计划的建立。企业应当尽早着手调整业务布局，建立合规应对策略与计划，以灵活应对监管要求。首先，针对现有业务中涉及的可能受到规制的数据跨境场景基于风险及影响评估分析结果建立应对策略与计划，如采取数据本地化、数据脱敏等策略以降低合规风险，并对美国客户或在美实体后续可能就相关数据传输活动合规性的问询做好应对准备：如相关业务的数据处理属于被禁止的交易，建议企业基于影响评估结果优先判断是否可在不影响业务或影响程度可控的情况下停止该数据交易，如通过在美国境内进行本地化数据存储的方式避免数据跨境。如不可行，则进一步考虑将出境数据字段及数量最小化的方案以探寻不再达到受监管的类别及规模的门槛的可能性，尽可能减少美国监管政策对企业业务的影响。如相关业务的数据处理属于受限制的交易，则需满足美国相关政府部门发布的相关安全要求。由于相关实施细则目前还未有定论，建议企业仍旧优先考虑是否存在可免于数据跨境规制的业务替代性解决方案，与此同时基于已发布的安全基线类要求加强安全基础建设，如主动采取数据脱敏等技术手段保护跨境数据的安全。2)开展影响评估，推动数据合规化布局3)持续追踪立法动态，建立应对策略与计划13在针对现有数据跨境场景制定应对策略后，建议企业全面重新探索管理及组织等数据安全相关体系，重构业务计划，搭建长效数据合规机制：在完成针对目前可能受美国规制的活动的影响评估和应对策略与计划建设后，建议企业根据组织重构的数据合规体系稳步推进日常评估及管理活动。在计划开展的涉及美国相关数据处理的项目前充分进行调研并关注数据处理必要性、数据类型及从美跨境流动的风险，事前评估和识别安全风险以采取相应的控制措施。在相关业务开展过程中，密切关注并评估业务所涉数据相关变化情况以便及时识别是否触发新的受规制的情形，积极落实企业内部的数据合规管理要求。同时，鉴于当前美国政府对于数据跨境流动规制相关具体规定尚有不确定之处，企业应当密切追踪后续立法执法动态，根据监管环境的变化动态调整企业涉美数据合规策略。将司法影响范围纳入企业管理制度体系建设范围以建立专有的数据合规评估管理全流程，如根据该法域特有的数据分类监管逻辑匹配相应的数据分级分类制度、调整访问控制等策略，根据美国数据限制针对受限活动需满足相应安全要求的规定制定适用的技术保障相关制度，全方位完善数据保护合规管理体系，降低在美数据合规风险。优化数据合规管理制度体系重新探索当前组织内部负责数据保护相关的机构与人员架构的完整性。根据司法影响程度与调整后的管理制度体系考虑对当前数据保护组织架构进行责任重分配或新设角色的必要性，为推动管理制度的执行与各方职责的落实奠定基础。重新探索数据安全组织架构面对美国的数据限令，企业或需综合当前业务情况与监管动态重新审视当前的 IT 系统及管理架构策略，考虑通过业务重心转移、IT 系统与管理权限本地化或部分本地化（如建立区域化管理中心）等方式缓解外部合规压力。调整信息系统与管理架构策略14附录15亚马逊云科技敏感数据保护方案功能特色敏感数据保护解决方案(Sensitive Data Protection Solution)为客户提供了一个云原生的、开箱即用的企业数据资产管理平台，帮助客户持续监测敏感数据的分布与动态变化，从技术层面为安全合规提供精准依据。该方案支持中国及海外地区的灵活部署与使用。该方案支持企业添加多个亚马逊云科技账号，并自动发现各账号下的数据源(如 Amazon S3、Amazon RDS 等)；提供 200 多种覆盖 50 多个国家和地区的敏感数据类型，也支持客户自定义敏感数据类型；支持配置数据分级分类模版，快速开启敏感数据扫描任务；基于 Amazon Glue 构建企业内部数据目录(有些场合也称为数据字典、元数据管理、数据资产地图等)，提供可视化面板和任务报告；使用机器学习和模式匹配等技术高效地发现多种数据源中的敏感数据，以便于后续分类分级，以及通知相关的业务团队采取相应的保护措施。此外，方案还提供数据脱敏、全流程数据传输与监控能力。该方案是云原生亚马逊云科技解决方案，采用无服务器架构，可无缝地与其它亚马逊云科技的服务集成，支持在全球区域与中国区域部署；该方案的功能主要有以下特点：集中式的管理界面支持接入同一区域内多个亚马逊云科技的账号，可以自动发现各个账号下的数据资产，并自动生成数据目录。方案支持亚马逊云上多种数据源，也支持其他云上及离线数据库的扫描。可视化的结果呈现提供直观的 Web 控制台，内置数据目录和敏感数据状态概览的仪表板，清晰展示数据位置、数据源、对象类型等信息，并为发现任务提供下载报告，为客户实现持续合规提供技术依据。全面的数据发现利用机器学习、模式匹配等技术自动发现和标记多个账户、多种数据源中的敏感数据，并且支持客户轻松设置和运行敏感数据发现作业，提供定期扫描的能力。灵活的数据脱敏方案内置脱敏规则，可以帮助客户以 API 调用的方式实现基于规则的脱敏和反脱敏。丰富的数据分类基于全球主要国家和地区的法律法规设置匹配规则，支持 200 多种内置数据类型，提供多种检测隐私数据的分类模板，并允许客户自定义敏感数据类型。全流程的数据传输与监控方案内置传输网关，客户可以采用此网关进行数据 传输，该方案还可以对此网关传 输 的 数 据 实 现审 计。此外，还支持跨越不同云环境实现数据传输。16亚马逊云科技敏感数据保护方案示意图亚马逊云科技账户信息亚马逊云科技解决方案亚马逊云科技账户总数亚马逊云科技区域在此平台上跟踪的亚马逊云科技账户。加入亚马逊云科技在亚马逊云科技账户中发现的数据源。账户并为数据源（例如S3、RDS）创建数据目录。17Privacy Ready 为企业提供了一个线上协作的个保法合规评估门户，帮助企业实现自动化风险隐私合规管理。重点提供五大业务功能模块以满足企业实现多场景隐私合规需求：普华永道隐私保护合规解决方案-Privacy Ready场景化隐私管理评估:建立业务场景合规管理闭环，全方位展示状态与风险模块一企业总体隐私管理评估:助力企业完善个人信息保护管理制度与流程模块二资产清单:自动生成响应监管要求的资产清单模块三个人信息主体同意管理:多渠道推送隐私声明，一站式管理同意记录模块四个人信息主体权利响应管理:线上线下同步管理，协助企业快速响应行权需求模块五18此功能内嵌风险因子与规则引擎，一键自动生成评估结果，帮助企业实现简易清晰的合规评估方式、精准识别其合规风险，并审查追踪其合规活动。Privacy Ready 能够帮助企业实现自动化生成响应监管要求的资产清单，例如个人信息数据清单、个人信息处理系统清单、以及与第三方共享的个人信息清单。其能够根据场景评估中的数据实时更新各个清单中的内容，并且一键导出企业资产汇总表单与场景评估报告，帮助企业完成后续风险分析，处置与留档。Privacy Ready 产品亮点亮点一，自动精准：场景感知评估问卷及风险识别亮点二，专业可信：专业资产清单及评估报告19Privacy Ready 帮助企业实现多角色协同工作，其端到端的流程使不同的用户角色能够同步进行线上协作模式，促使评估过程更加高效化。在多变的监管环境和业务环境下，Privacy Ready 作为可定制的个人信息保护合规管理平台可以根据企业日常隐私合规管理与需求快速响应业务和法规变化，帮助企业有效应对个保法合规与风险处置。亮点三，高效便捷：预定义的工作流促进多方高效协作20Amazon CloudTrail：追踪用户活动和 API 使用，可以记录日志并持续监控,Amazon Config：评估、审核资源配置的正确性与合规性Amazon GuardDuty：通过智能威胁检测与响应，保护您的亚马逊云科技账户、工作负载和数据Amazon SecurityHub：可让您全面了解企业各个亚马逊云科技账户的安全警报和安全状况Amazon Key Management Service(KMS)：创建和控制用于对数据进行加密或数字签名的密钥亚马逊云科技在安全与合规层面，提供了各种功能：方案优势随着组织的数字化转型不断发展，导致攻击面增长，组织需要更加灵活、全面、高效、经济的安全运营方案来应对各种安全事件。不断出台的安全法规、政策，行业行规，及违规可能带来的处罚加重，使得组织需要在实现业务战略目标的同时保护业务及安全合规网络攻击不断地演变，组织在引入更高级安全功能方面需要更专业更有经验安全团队的帮助来规避潜在的风险越来越多的关键服务逐步迁移上亚马逊云，迁移过程中，组织需要统一可靠的安全运营平台及定制化方案来应对日益变化的业务环境。自新冠疫情发生后的远程办公普及，业务多依托于线上，因此网络环境安全重要性突显，很多企业希望拥有强大的安全运营服务但无力分配时间、空间来投资于自身的设备和员工，因此如何获得专业又多快好省的安全运营服务成为组织亟待解决的问题数字化时代背景下，企业客户的安全需求主要如下：普华永道下一代安全运营服务 MSS(Managed Security Service)传统安全运营的痛点客户需求其中主要包括：安全人才管理，运营合规，运营投资，工作效率，技术复杂性，技术成本等问题。21普华永道基于亚马逊云科技的这些先进的服务，实现全面的资源与安全的可观测性和可预测性，以及便捷的配置合规检查与审计，还能非常方便地实现服务数据采集。同时使用全球知名的 MITRE ATT&CK（网络安全攻击矩阵）框架的异常检测和关联规则，结合安全编排和自动化响应，持续监测并应对不断进化的网络攻击。安全运营中心所采用的技术工具，也均符合 网络安全法等相关规定的要求。拥有世界级的红队攻击经验，深度防御；可根据最新的威胁情报，及时更新和改进网络攻击用例。同时将您组织视为一个整体进行保护，实时监控以提供全天候保护。通过安全专家和人工智能引擎的帮助，您的团队将集中精力应对关键事件，而无需面对密集的告警。服务采用高度灵活的可扩展模块化交付模式，它将满足您企业不同阶段的特定需求。Amazon WAF：保护企业 Web 应用程序免受攻击Amazon CloudWatch：持续观察并监控亚马逊云科技上、本地和其他云中的资源和应用程序安全运营中心（SOC）&SIEM 平台22普华永道云评估和迁移服务，是针对企业客户提供的完整的上云服务，针对使用亚马逊云科技云服务的客户，为客户使用亚马逊云科技服务提供最佳的方案设计和咨询建议。包含企业上云前的咨询，云战略和规划，上云的安全评估，上云的路线图设计，云上的合规治理，云上的架构设计和风险控制等一系列的专业服务。根据企业的业务规划和业务需求，为企业量身定制适合的亚马逊云科技云架构。同时，普华永道也为客户提供一站式的云迁移服务，依托普华永道自身的云迁移框架和方法论，结合亚马逊云科技的云迁移工具和最佳实践，我们帮助企业客户完成从前期规划，到设计以及迁移实施和运维管理的完整的一站式的服务，帮助企业更好的使用亚马逊云科技的服务，我们使用亚马逊云科技 Amazon Landing Zone，Amazon EC2,Amazon VPC,Amazon ELB,Amazon RDS,Amazon S3,Amazon EBS,Amazon Redshift，Amazon DMS,Amazon KMS 等服务，为客户构建亚马逊云科技上安全的应用负载和数据保护。同时，可以帮助客户运营其亚马逊云科技环境，进行定期的安全和架构评估，给出持续优化的建议。普华永道云评估和迁移服务服务描述丰富的实践经验：在长期的业务运营中积累了大量的实际操作案例和专业知识，为客户提供高质量、针对性强的解决方案；全球化的资源和团队，我们全球化的框架体系和方法论，结合本地化的服务团队，可以更好的为客户提供符合其实际业务需要的专业服务，并帮助客户在多个业务领域提效。服务特色 23该解决方案目标为协助客户完善内部数据合规管理体系，预防并降低数据安全风险发生的可能性，以符合相关海外站点的数据合规要求，保障业务的稳定可持续发展。配合普华永道隐私保护合规解决方案 Privacy Ready，为企业提供一个多部门线上协作的合规评估门户，帮助企业实现自动化风险隐私合规管理.普华永道数据安全和跨境合规解决方案方案简述丰富的实践经验：在长期的业务运营中积累了大量的实际操作案例和专业知识，为客户提供高质量、针对性强的解决方案；前沿的监管洞察能力：凭借专业团队、先进技术和广泛的全球网络，及时、准确地捕捉和分析各行业不断变化的监管动态，为客户提供前瞻性、定制化的监管应对策略，帮助客户提前布局、有效应对监管挑战，从而降低合规风险并把握发展机遇。服务特色随着全球数字经济规模的持续增长，数据作为重要生产要素，在生产生活各个环节的重要作用正日益显现，数据流动的安全性受到越来越多的关注。全球范围内，对数据跨境活动的管控和监管正在逐步健全；目前，各国针对数据跨境流动密集出台了相关的法律法规，主要国家和地区的监管执行力度增强，数据合规制度数量增长、管辖范围逐步扩大的趋势明显，也让数据跨境传输合规成为了进行跨国商业活动的企业需要格外重视的课题。普华永道借助亚马逊云科技并结合双方优势，提出“合规及跨境数据传输”解决方案，建立数据全生命周期安全防护系统，安全防护体系，在数据跨境合规评估，结果分析及长远合规规划及落地的全周期上，为企业保驾护航。配合普华永道隐私保护合规解决方案 Privacy Ready，借助亚马逊云科技丰富的云资源与灵活部署方式，在多变的监管环境和业务环境下，迅速提供可定制的个人信息保护合规管理平台。可以根据企业日常隐私合规管理与需求快速响应业务和法规变化，帮助企业有效应对合规要求与风险处置。服务描述24本服务是将安全实践深度融入 DevOps 流程的方法论，旨在通过自动化、文化变革和工具链整合，实现软件开发生命周期（SDLC）的全流程安全防护。其核心理念包括安全左移（在开发早期介入安全）、全员共担安全责任以及持续安全监控与响应。DevSecOps 服务通过平台支持、流程优化和专家赋能，帮助企业构建安全、高效、合规的软件交付体系。实时威胁检测：结合普华永道安全运营中心实现开发环境的持续安全告警的监控。普华永道 DevSecOps As A Service服务概述普华永道的 DevSecOps 服务旨在将开发、运维与安全无缝集成，构建从代码提交到生产部署全流程的自动化安全防护体系。该服务依托持续集成/持续交付（CI/CD）平台，在每个环节嵌入静态代码分析、动态扫描和漏洞评估等多重安全措施，确保早期发现潜在风险并及时修复漏洞。在开发阶段，我们提供代码质量与安全扫描工具，自动检查代码中的安全隐患；在构建和测试阶段，整合自动化测试与安全验证，保证交付包符合安全标准；在部署阶段，通过基于云原生和容器技术的部署方案，实现环境隔离和实时监控。与此同时，实时日志分析和威胁情报系统帮助快速识别异常行为，自动触发应急响应，降低潜在攻击风险。此外，我们还提供定制化安全培训和咨询服务，帮助企业建立完善的安全管理体系和应急预案，提升整体安全意识和防护能力。无论是传统应用还是现代微服务架构，我们的 DevSecOps 服务均能实现安全与效率的双重保障，助力企业在快速迭代中实现高质量、高安全的持续交付。服务内容25全周期服务覆盖，从 DevOps 平台部署到安全告警的监控和响应，提供一站式解决方案，涵盖工具链集成、流程设计、人员培训及长期运维支持。响应及时性，通过远程监控服务模式，实现 724 小时技术响应，确保问题快速闭环，保障业务连续性。深度安全自动化，基于普华永道实施方法，构建自动化安全管道，减少人工干预，提升检测效率。合规与创新并重，结合 CARTA（持续自适应风险与信任评估）等先进理念，平衡风险与效率，支持企业同时满足合规要求和敏捷创新。服务特色26联合署名编写指导普华永道徐世达 普华永道中国内地及香港地区风险及控制服务市场主管合伙人主编人员徐静普华永道中国网络安全及隐私保护经理黄思维普华永道中国网络安全和隐私保护合伙人黄财明普华永道中国网络安全和隐私保护合伙人编写指导亚马逊云科技陈晓建亚马逊云科技大中华区产品总经理朱翊亚马逊云科技大中华区行业专业事业部总经理王承华亚马逊云科技大中华区专业服务事业部总经理主编人员苏璠亚马逊云科技解决方案中心高级产品经理徐丽亚马逊云科技全球生态合作伙伴拓展高级经理范恂毅亚马逊云科技云安全产品经理邓力亚马逊云科技合作伙伴解决方案架构师江学森亚马逊云科技安全布道师吴迦德亚马逊云科技合作伙伴解决方案架构师高级经理 扫码关注亚马逊云科技公众号扫码查阅亚马逊云科技合作伙伴资料中心

2025-07-31 30页 5星级

郑州数据交易中心：2025时空大数据发展与数据应用报告（310页）.pdf

时空大数据发展与数据应用报告 主编/王家耀 执行主编/王凤肆 副主编/韩志刚 刘 春 潘新民河南省时空大数据产业技术研究院郑州数据交易中心时空大数据白皮书编委会主 编 王家耀执行主编 王凤肆副 主 编.

2025-07-27 310页 5星级

数世咨询：数据库审计选型指南报告（2025)（23页）.pdf

数据库审计选型指南 数据库审计选型指南（2025）3 4 前言.5 1.数据库审计产品定义.7 2.数据库审计应用价值.10 2.1 实现数据库风险可控.11 2.2 事件责任追溯.11 2.3 满.

2025-07-18 23页 5星级

专知数基：2025数据要素流通指数：理论框架与行业实践探索白皮书（122页）.pdf

数据要素流通指数：理论框架与行业实践探索（2025 版）专知智库数据场景实验室2025 年 7 月数据要素流通指数：理论框架与行业实践探索2025 版编写单位编写单位，（排名不分先后）（排名不分先后）.

2025-07-18 122页 5星级

福建大数据交易所：2025福建省企业数据资源普查登记报告（16页）.pdf

1 为深入贯彻落实国家数据局关于促进企业数据资源开发利用、培育壮大数据产业等工作要求，根据省委省政府工作部署，进一步挖掘我省企业数据资源潜力，摸清全省范围内企业持有数据资源现状，推动跨企业、跨行业、.

2025-07-18 16页 5星级

彭博：2025数据洞察报告：利用数据获取投资策略洞见（13页）.pdf

目录 04 通胀与定价压力 08 供应链动态 14 可持续投资 18 市场驱动事件 24 关于我们 引言 随着数据日益精细化和复杂化，其在构建投资策略方面的价值不断提升，市场对高质量数据的需求亦持续增.

2025-07-16 13页 5星级

大数据技术标准推进委员会：数据库发展研究报告（2025年）解读报告（24页）.pdf

何宝宏中国信息通信研究院云计算与大数据研究所所长数据库发展研究报告（2025年）暨中国数据库产业图谱（2025）发布目录 CONTENTS数据库产业发展情况综述01数据库关键技术发展趋势02数据库行业.

2025-07-16 24页 5星级

大数据技术标准推进委员会：数据库发展研究报告（2025年）（67页）.pdf

数据库发展研究报告（2025 年）CCSACCSA T TC601C601 大数据大数据技术技术标准推进标准推进委员会委员会2022025 5年年7 7月月版版权权声声明明本报告版权属于本报告版权属于.

2025-07-16 67页 5星级

中能传媒研究院：中国能源大数据报告（2025）（115页）.pdf

点击查看更多中能传媒研究院：中国能源大数据报告（2025）（115页）.pdf精彩内容。

2025-07-16 115页 5星级

LnData：2025数据大礼包-企业数据驱动转型指南（繁体版）（58页）.pdf

數據大禮包獻給擁抱數據的你保存期限：2025/12/2501 使用說明02 禮品清單與選物指南03 成功案例與精選內容04 特別加碼：數據實戰手冊05 附錄：心理測驗詳解Contents內容物使用說明.

2025-07-15 58页 5星级

天津市大数据协会：天津市企业数据资源价值化资产化实施指引（2025版）（16页）.pdf

天津市企业数据资源价值化资产化实施指引Tianjin Enterprise Data ValueCapitalization Implementation Guidelines2025天津市大数据协会.

2025-07-14 16页 5星级

大数据技术标准推进委员会：2025高质量数据集实践指南（1.0）（47页）.pdf

版版权权声声明明本报告本报告版权属于版权属于 CCSA TC601 大数据技术标准推进委大数据技术标准推进委员会员会，并受法律保护并受法律保护。转载转载、摘编或利用其它方式使用本报摘编或利用其它方式使.

2025-07-11 47页 5星级

厦门律协：2025厦门市数据资产合规报告指引（第一版）（14页）.pdf

点击查看更多厦门律协：2025厦门市数据资产合规报告指引（第一版）（14页）.pdf精彩内容。

2025-07-11 14页 5星级

威胁猎人：2025年上半年数据泄露风险态势报告（40页）.pdf

12关于威胁猎人威胁猎人 Threat Hunter（深圳永安在线科技有限公司）成立于 2017 年，以黑灰产情报能力和反欺诈技术为核心，专注于及时、精准、有效的业务欺诈风险的发现和响应。公司围绕不同.

2025-07-11 40页 5星级

火石创造：2025年科技型中小企业数据洞察报告（26页）.pdf

!#$!%&()*$+,-./0#$123!#$!%&()*$+,-./0#$123!#!#$%&()*+,-!$!#$!$!#%&(!$!$)*+,!%!.$%&()*+/012!%!-./0123.

2025-07-11 26页 5星级

数据要素社：国家数据局数据标注优秀案例集（2025年）（84页）.pdf

国家数据局数据标注优秀案例集NATIONAL DATA ADMINISTRATION COLLECTION OF OUTSTANDING DATA ANNOTATION CASE STUDIES202.

2025-07-10 84页 5星级

华为：2023政务数据安全建设指南（58页）.pdf

政务数据安全建设指南国家信息中心指导华为技术有限公司发布datadatadatadatadatadatadatadata编制委员会指导单位国家信息中心编制单位华为技术有限公司参与编制部门政务一网通军团.

2025-07-09 58页 5星级

veeam：2025企业出海构建数据韧性最佳实践白皮书（14页）.pdf

企业出海 构建数据韧性 最佳实践 2025 Veeam Software。机密信息。保留所有权利。所有商标均归其各自拥有者所有04292023企业出海构建数据韧性最佳实践一、背景：企业出海趋势与挑战“.

2025-07-09 14页 5星级

中国信通院：数字原生典型案例集2024-2025（41页）.pdf

FOREWORD前言数字经济时代，一批天生具备“数字基因”的企业和组织应运而生，它们将数字思维、数字技术融入生产经营的各个环节，通过“数字原生”理念，促进企业文化、组织形态、技术能力、应用架构和经营模.

2025-07-09 41页 5星级

华为：2025华为云数据安全白皮书（55页）.pdf

华为云数据安全白皮书华为云数据安全白皮书 文档版本文档版本 3.0 发布日期发布日期 2025-03-05 华为云计算技术有限公司华为云计算技术有限公司 华为云数据安全白皮书 目 录 文档版本 3.

2025-07-09 55页 5星级