2025 @
@ŽËd^2025@5@
声明
本《合规及跨境数据传输联合白皮书》由普华永道商务咨询(上海)有限公司(以下简称“普华永道”)和 Amazon Web
Services, Inc. 或其关联方(“亚马逊云科技”)分别撰写,双方就各自撰写的内容分别、独立享有相关知识产权。其中普华
永道负责撰写“第一部分全球数据跨境流动趋势分析”,“第二部分美国敏感个人数据行政命令要点解读”,“第三部分美国数
据跨境新政对企业的影响,第四部分美国数据跨境新政下企业的应对策略”及“附录:普华永道隐私保护合规解决方案---
Privacy Ready、普华永道下一代安全运营服务 MSS(Managed Security Service、普华永道云评估和迁移服务、普华永道
数据安全和跨境合规解决方案、普华永道 DevSecOps As A Service)”,单独享有该部分的知识产权;亚马逊云科技负责
撰写“附录:亚马逊云科技敏感数据保护方案”,单独享有该部分的知识产权。本报告中所有文字、数据、图片、表格,均
受中华人民共和国著作权法及其它法律法规保护。未经普华永道和/ 或亚马逊云科技书面许可,任何机构和个人不得基于任
何商业目的使用本报告中普华永道部分和/或亚马逊云科技部分的信息(包含报告全部或部分内容),不得摘录、复制、
储存在检索系统中,或以任何形式或通过任何手段(包括电子、机械、影印、录制或扫描)进行传播。如果任何机构和个人
因非商业、非盈利、非广告的目的需要引用本报告中内容,需要注明“转载自普华永道商务咨询(上海)有限公司和
Amazon Web Services, Inc. 或其关联方(亚马逊云科技)联合发布的《合规及跨境数据传输联合白皮书》”。
关于普华永道部分的声明:
本报告仅作为一般性指导,并不构成提供任何形式的法律咨询、会计服务、投资建议或专业咨询。本报告所提供的信
息不能取代专业税收、会计、法律咨询或其他相关专业咨询建议。在作出任何决定或采取任何行动之前,您应该咨询
专业顾问,并向其提供与您特定情况相关的所有事实。
本报告的信息来源于本次调研所收集的数据以及公开的资料,我们对信息的完整性、准确性或及时性概不作出任何
保证或担保,也不提供任何明示或暗示的担保,包括但不限于对业绩、适销性和适用于特定用途的担保,在不同时期
可能会得出与本报告不一致的观点。
本报告仅供一般参考使用,不构成具体事项和咨询意见,普华永道不对本报告内容承担审慎责任,并且未就本报告内
容做出任何明示或暗示保证。普华永道不就本报告内容向任何人士承担任何责任或义务,也不向任何人士承担因本
报告所引起的或与本报告有关的任何责任或义务。读者不应依赖本报告内容做出投资或其他商业决定。如需具体
意见,请咨询专业顾问。
关于亚马逊云科技部分的声明:
本报告中由亚马逊云科技负责撰写的内容陈述了亚马逊云科技在封面页所示日期的有关服务产品及实践,该等信
息可能变化且我们不会另行通知。客户对于本部分的信息以及亚马逊云科技的产品或服务应自己做出独立的判断,
该等内容都是“依现状”提供,不包含任何明示或者暗示的保证。本部分内容并没有创设来自亚马逊云科技或其关联
方、供应商或许可方的任何保证、陈述、合同性承诺、条件或者担保。亚马逊云科技对其客户的义务和责任均由适用的
客户协议管辖。本部分内容不是亚马逊云科技和其客户之间任何协议的组成部分,也不构成对任何协议的修改。
1 全球数据跨境流动趋势分析 01
2 美国敏感个人数据行政命令要点解读 03
1) 行政命令发布背景 04
2) 行政命令要点解析 04
3) 美国数据跨境监管趋势分析 06
3 美国数据跨境新政对企业的影响 07
4 美国数据跨境新政下企业的应对策略 10
1) 排查数据跨境场景,初判受美国新政管辖范围 11
2) 开展影响评估,推动数据合规化布局 12
3) 持续追踪立法动态,建立应对策略与计划 12
附录: 14
• 亚马逊云科技敏感数据保护方案 15
• 普华永道隐私保护合规解决方案--Privacy Ready 17
• 普华永道下一代安全运营服务 MSS (Managed Security Service) 20
• 普华永道云评估和迁移服务 22
• 普华永道数据安全和跨境合规解决方案 23
• 普华永道 DevSecOps As A Service 24
目 录
全球数据跨境流动0趋势分1析
01
中国政府制定了强调国家安全的网络安全和数据保护法律框架,其中包括《中华人民共和国网络安全法》
《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》,且在此基础上对数据跨境流动施加了额
外的限制条件以作管控。2024 年 3 月 22 日,中国国家互联网信息办公室(CAC)发布了《促进和规范跨境数
据流动的规定》,监管部门持续扩大相关法律的范围和执行力度,包括其域外影响。
印度政府于 2023 年 8 月批准了《数字个人数据保护法》(Digital Personal Data Protection Act),于2025
年 1 月发布了《数字个人数据保护规则草案》(Draft Digital Personal Data Protection Rules), 并征集
公众意见至 2025 年 2 月 18 日。该法适用于在印度境外处理与向印度居民提供商品或服务有关的个人信
息。
欧盟于 2018 年实施了《通用数据保护条例》(General Data Protection Regulation,即 GDPR)。GDPR
限制了企业对个人信息的处理,并赋予欧盟公民对其数据使用的控制权,包括限制未经个人同意对数据的处
理或传输。此外,GDPR 还对欧盟以外的跨境数据传输进行了规范。
在全球范围内,各国政府正不断加强对数据跨境流动的合规监管力度,以保护敏感信息并防止外国对手滥用数据,
中国、印度和欧盟等国家和地区都在不断完善自身的数据保护体系。
在全球地缘政治紧张局势不断升级的背景下,美国政府出台了一系列相关规定,以应对数据跨境流动带来的潜在风险。
2024 年 2 月 28 日,美国总统拜登签署了第 14117 号总统行政令《防止受关注国家访问美国敏感个人数
据和政府相关数据》。2024 年 12 月 27 日,美国司法部正式发布该行政令的最终实施规则,该规则于 2025 年 1 月8
日在《联邦公报》发布,并宣布 2025 年 4 月 8 日为正式生效日。2025 年 4 月 11 日,美国司法部国家安全司
(NSD)发布了《数据安全计划》及配套的指南及常见问题解答以推进《14117 最终规则》实施。
这一些列措施标志着美国政府对数据主权和国家安全的高度重视,在这样的趋势下,相关企业,尤其是出海美国的中
国企业和对外投资或研发的中国企业,将面临较大的合规压力和经营风险。
政
国敏
命
感
要
个人
点
数
解
据
读02
03
2) 行政命令要点解析
2024 年 2 月 28 日美国总统拜登签发了名为《关于防止受关注国家访问美国人大量敏感个人数据和美国政府相关数据的 行
政 命 令 》(Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-
Related Data by Countries of Concern)的行政命令,该行政命令指示美国司法部与其他机构协商发布法规以禁止或限
制与“受关注国家”或“受管制对象”进行的涉及美国人大量敏感个人数据或美国政府相关数据的特定类型的交易。
在该行政命令发布同日,美国司法部发布了关于该行政命令的非正式的拟议规则制定预通知(Advance Notice of Proposed
Rulemaking,下文简称“ANPRM”)的情况说明1,概述了实施该命令的规则。ANPRM 于 3 月 5 日正式发布2,旨在提
供拟定规则的更多细节,并在生效前征求公众意见。
美国司法部又在 2024 年 10 月 21 日发布关于该行政命令的拟议规则草案通知(NPRM),旨在提供拟定规则的更多细
节,并进一步征求意见3。
在 2024 年 12 月 27 日, 美国司法部发布了《关于防止受关注国家获取美国人大量敏感个人数据和美国政府相关数据的行
政命令》的最终实施规则(以下简称“最终规则”)4。经过十个月的起草和多轮公众意见征集与调整,最终规则形成,并
将在其发布之日起90 天后生效,关于尽职调查、报告和审计要求将在发布之日起 270 天内生效。
2025 年 4 月 11 日,美国司法部国家安全司(NSD)发布了《数据安全计划》及配套的指南及常见问题解答以推进最终规
则的实施。根据数据安全计划,自 2025 年 4 月 8 日最终规则正式生效起,将有为期 90 天的执法宽限期。在此期间,
只要美国人或实体积极开展自我评估与调整,展现出“合规诚信勤勉”的行为,就不会被列为优先执法对象。
敏感个人数据行政命令和相关规则与说明从数据类型、数据交易的参与方、数据交易的类型、数据交易规模阈值等多
方面提供了监管框架,对与包括中国在内的相关国家或相关人员进行数据交易的行为作出了禁止或限制。
://
://
:// ://
department-issues-final-rule-addressing-threat-posed-foreign-adversaries-access
5. “供应商协议”是指一方当事人向另一方提供商品或服务以换取付款或其他对价的协议或安排,包括云计算服务但不包括雇佣协议。
6. “雇佣协议”是指个人直接为美国主体工作或履行工作职能以换取报酬或其他对价的任何协议或安排,包括在董事会或委员会中的雇佣、行政级别的安排或服务以及业务级别的雇佣服务,但不 包括独立
承包商。
7. “投资协议”是指任何主体以付款或其他对价的为交换条件,获得位于美国的房地产或美国法律实体的直接或间接所有权利益或相关权利的任何协议或安排。
1) 行政命令发布背景
美国司法部和美国国土安全部负责发布针对两种数据交易类型的规则:
禁止交易,包括数据经纪交易和涉及转移大量人类基因数据或可从中提取此类数据生物样本的基因数据
交易。最终规则将人类基因组数据定义为人类基因组、人类表观基因组、人类蛋白质组和人类转录组数
据。
受限制交易,包括1.涉及提供商品和服务(包括云服务协议)的供应商协议5;2.雇佣协议6和3.投资协议7。
如果此类交易符合将由国土安全部网络安全和基础设施。
数据交易的参与方:列举了六个“受关注国家”与四个类型的“受管制对象”。
数据类型及数据交易规模阈值:“美国人大量敏感个人数据”或“美国政府相关数据”。
局制定的安全要求(可能包括基本的组织网络安全生态要求、物理和逻辑访问控制、数据掩码及最小化,以及使
用隐私保护技术的网络安全措施),以减少有关国家对敏感数据的访问,则可继续进行。
同时,敏感个人数据行政命令和相关规则与说明对监管适用的数据交易的参与方、数据类型、数据交易规模阈值作
出定义:
a) 敏感个人数据
分为六类:特定个人标识符、地理位
置及相关传感器数据、生物识别标识
符、人类基因数据、个人健康数据和
个人财务数据。美国司法部当前尚未
对“大量”作出具体定义,而是针对六
类敏感个人数据的交易在一定期间内
超过规定的阈值数量的特定类别的
交易进行管制。最终规则中对于各类
敏感个人数据的阈值定义如下(包含
多类数据的以阈值最低的数据类型
为准):
b) 美国政府相关数据相关数据
美国司法部认定的会对美国国家安全造成威胁的数据,如能关联到联邦政府及军队的雇员或地址的相关数据。
无论此类数据的数量如何,均将受到监管。
此外,美国司法部还确定了某些类别数据交易免受监管的例外情况,如通常属于跨国美国公司内部附属业务操作
(如工资支付或人力资源)的一部分的交易。
就此项行政命令从数据跨境涉及的数据类型、数据交易的参与方、数据交易的类型等方面作出的定义来看,赴美出
海的中国企业、对外投资或研发的中国企业等企业均有可能在跨境获取美国人敏感个人数据时受到限制或禁止。
)
阈值
人类基因组数据 100 个美国人(表观基因组、蛋白质
组或转录组数据为 1,000 个美国人
生物识别标识符 1,000 个美国人
地理位置及相关传感器数据 1,000 个美国设备
个人健康数据、个人财务数据 10,000 个美国人
特定个人标识 100,000 个美国人
3) 美国数据跨境监管趋势分析
此项行政命令与最终规则很可能意味着白宫将继续推进数据安全政策。敏感数据的安全已经成为华盛顿的优先事
项之一,例如,美国外国投资委员会(Committee on Foreign Investment in the US)对外国公司访问某些美国数
据的入境交易进行了格外严格的审查。在此背景下,在美运营或服务美国用户的中国企业及业务倚赖美国数据的中
国企业等企业可能会受到一定程度上的实质性影响。
06
01
01
全球数据跨境流动趋势分析
01
01
全球数据跨境流动趋势分析
01
01
全球数据跨境流动趋势分析
01
01
全球数据跨境流动趋势分析
07
美国
企
数
业的
据
影
跨
响
境新政03
企业
出海
中国
企业
跨国
在华
在美国限制数据跨境流通的背景下,我们预计会对中国赴美出海企业、在华跨国企业、业务依赖海外数据的特定行业
企业的业务经营与合规工作的开展带来不容小觑的挑战。下表汇总分析了美国数据跨境新政对上述各类企业可能造
成的影响,以供企业在进行影响分析并制定相应应对计划时进行参考:
预计影响 影响分析
业务范围及
模式受限
以产品及服务出海情形下,出海企业在交易过程中可能接触到美国相
关管制数据,进而可能构成“供应商协议”类受限交易,导致业务范围
及商业拓展空间的发展受阻。
最终规则将云计算服务(包括 IaaS、PaaS、SaaS)作为“供应商协
议”中的相关重点列举对象,即云计算相关出海企业的业务范围
可能遭受重创。
在美国开设公司的出海企业,在美实体与境内实体股权关系可能使其
成为“受管制对象”,另外,雇佣“受管制对象”人员进而可能构成“雇佣协议”
类受限交易,均可能触发行政命令管辖, 对运营模式带来合规风险。
管理策略调
整难
针对以租用位于美国的服务器并由位于中国的团队提供技术支持的管
理策略,如业务数据中包含一定数量的敏感个人数据,则可能触发美国数
据跨境监管,为出海企业在调整管理策略层面引入必要性,同时给其
业务运营、研发能力、及数据可视性带来新的挑战。
预计影响 影响分析
跨国经营
受阻
在华跨国企业与跨国企业客户间的合作在美国数据跨境监管的外在阻
力可能会加大跨国经营难度。
IT 治理体系
或需重构
跨国企业出于集团集中管理之目的,通常使用统一的信息系统存储及管
理相关数据,而其中不乏采用了中国的技术解决方案或由在华实体负责
运维与支持的管理模式。在华实体在集团开展日常业务的过程中可能接
触到受美国管制的数据,进而受到行政命令的管辖,影响在华跨国企
业及集团的 IT 系统与管理架构体系建设策略,企业或需重构IT 治理
体系以实现全球范围内相关业务的开展。
业
业企
定行
的特
数据
海外
依赖
业务
预
响
计
行
受
业
影
影响分析
生物医药
行业
随着生物医药企业从美国跨国实体、美国医疗机构或研究机构等实体
跨境获取数据的难度进一步增大,生物医药企业的临床试验、药物警
戒等主营业务的开展将受到一定程度的打击。
在美上市药品或开展多中心临床试验的生物医药企业,在临床实验
阶段通常会将收集的美国人受试者的临床症状、生物样本等数据,传
输至国内以作研究,进而证明药品的安全性及有效性。临床试验过程中
跨境获取的数据,极有可能受到监管。而随着临床试验期段的增加, 受
试者的人数亦会呈攀升的趋势,增加落入监管范围的可能性。
跨国生物医药企业通常会针对涉及境内外多地区上市的药品采取全
球药物警戒统一管理体系,并在各区域共享安全性信息。在涉美上市药
品相关药物警戒场景下,国内生物医药企业可能会获取不良反应者
(美国人)的不良反应数据、用药记录数据等数据,可能受到监管。
智能网联
汽车行业
智能网联汽车传感器多,为实现自动驾驶等基于机器学习算法的功
能,可能会持续收集大量数据。对于在海外设立研发中心的境内智能
网联车企,美国在数据跨境领域的监管极可能对其现有的数据跨境处
理活动进行禁止或限制,对企业的运营及管理策略等多方面带来不利
影响。
从智能网联车企向美出口的角度分析,企业为实现智能信息交换等目
的通常会涉及海量用户的敏感信息的收集和处理活动,例如指纹、声纹
等生物识别信息,亦可能获取落入美国数据跨境监管范围,为出口业务
的开展引入潜在限制条件。
人工智能
行业
人工智能企业倚赖海量数据进行大模型训练,而境内人工智能企业
从数据经纪商处购买数据可能被视为“ 数据经纪交易”类受禁止交易
进而遭到禁止,为企业人工智能及大数据研发活动带来新的阻碍。
于已完成部分预训练的大模型的境内人工智能企业而言,在美国趋
严监管下人工智能的涉美全球化商业应用的不确定性攀升。
应
国
对
数
策
据
略
跨境新政下企业4的
10
1) 排查数据跨境场景,初判受美国新政管辖范围
无论从何种角度审视,最终规则非传统意义上的典型数据保护法规。因此,企业若欲切实履行其规定的义务,需摒弃
既有思维模式,转而采用一种全新的、更具适应性的思维方式。在这一过程中,企业应如何在避免过度耗费资源、陷入
“大水漫灌”式合规困境的前提下,精准且高效地履行相关义务,是亟待深入探讨的关键问题。基于对敏感个人数据行政命
令和最终规则的解读,我们建议可能受到影响的赴美出海企业、在华跨国企业、业务依赖海外数据的特定行业企业采
取以下策略及时应对风险:
建议有中国业务的跨国企业或有赴美出海业务实体的境内企业首先根据自身业务特性及业务发展方向等方面, 对
当前业务开展过程中可能涉及的将美国人的数据或美国政府相关数据传输到中国境内处理或允许境内访问的场景
进行全面梳理。以数据字段为单位,调查数据类型、数量级、数据来源、存储位置、数据流转及跨境情况等,建立
完整的数据清单与全景映射图,为确定美国数据跨境规制的合规义务适用性打下基础。
在排查过程中,企业需考虑是否存在在美实体中雇佣主要位于境内的非美国人员等可能构成“受管制对象”的情形,并
根据敏感个人数据行政命令和最终规则等相关文件判断是否涉及敏感个人数据(如个人健康数据)、确定相关敏感
个人数据的量级是否达到美国司法部规定的受规制阈值,而后通过分析业务中的各类交易场景是否可落入豁免情
形以进一步鉴别是否存在属于或可能属于被禁止或受限制的交易活动,初判受到敏感个人数据行政命令管辖的可能
性及范围。
3) 持续追踪立法动态,建立应对策略与计划
如相关业务的数据处理属于被禁止的交易,
建议企业基于影响评估结果优先判断是否可
在不影响业务或影响程度可控的情况下停止
该数据交易,如通过在美国境内进行本地化
数据存储的方式避免数据跨境。如不可行,
则进一步考虑将出境数据字段及数量最小化
的方案以探寻不再达到受监管的类别及规模
的门槛的可能性,尽可能减少美国监管政策
对企业业务的影响。
如相关业务的数据处理属于受限制的交易,
则需满足美国相关政府部门发布的相关安全
要求。由于相关实施细则目前还未有定论,
建议企业仍旧优先考虑是否存在可免于数据
跨境规制的业务替代性解决方案,与此同时
基于已发布的安全基线类要求加强安全基础
建设,如主动采取数据脱敏等技术手段保护
跨境数据的安全。
基于数据排查及受管辖情况初判结果,建议企业从整体和数据跨境场景两个维度全面开展影响评估,及时制定风险
应对策略。从企业整体角度出发,围绕数据跨境传输机制的合规性、有效性和完整性开展评估,审查制度流程的制定
情况和执行情况,综合评估数据出境管控流程、数据安全事件响应程序等体系建设情况。从特定数据跨境场景出发,
围绕场景相关业务从法律、政治、商业等多个角度全面开展风险及影响评估,关注数据的收集、存储和传输等过程及采
取的用于保障已采集的或有权访问的数据安全技术措施,审查现有数据跨境场景中处理美国人的敏感个人数据或
美国政府相关数据的必要性。此外,企业还应重点评估如该场景相关数据无法跨境进行获取将对业务造成的影响及
影响程度,进而推动合规应对策略与计划的建立。
企业应当尽早着手调整业务布局,建立合规应对策略与计划,以灵活应对监管要求。首先,针对现有业务中涉及的
可能受到规制的数据跨境场景基于风险及影响评估分析结果建立应对策略与计划,如采取数据本地化、数据
脱敏等策略以降低合规风险,并对美国客户或在美实体后续可能就相关数据传输活动合规性的问询做好应对准备:
2) 开展影响评估,推动数据合规化布局
优化数据合规管理制度体系
将司法影响范围纳入企业管理制度体系建设范围以建立专有的数据合规评估管理全流程,如
根据该法域特有的数据分类监管逻辑匹配相应的数据分级分类制度、调整访问控制等策略,
根据美国数据限制针对受限活动需满足相应安全要求的规定制定适用的技术保障相关制度,
全方位完善数据保护合规管理体系,降低在美数据合规风险。
重新探索数据安全组织架构
重新探索当前组织内部负责数据保护相关的机构与人员架构的完整性。根据司法影响程度与
调整后的管理制度体系考虑对当前数据保护组织架构进行责任重分配或新设角色的必要性,
为推动管理制度的执行与各方职责的落实奠定基础。
调整信息系统与管理架构策略
面对美国的数据限令,企业或需综合当前业务情况与监管动态重新审视当前的 IT 系统及管理
架构策略,考虑通过业务重心转移、IT 系统与管理权限本地化或部分本地化(如建立区域
化管理中心)等方式缓解外部合规压力。
在针对现有数据跨境场景制定应对策略后,建议企业全面重新探索管理及组织等数据安全相关体系,重构业务计划,
搭建长效数据合规机制:
在完成针对目前可能受美国规制的活动的影响评估和应对
策略与计划建设后,建议企业根据组织重构的数据合规体系
稳步推进日常评估及管理活动。在计划开展的涉及美国相关
数据处理的项目前充分进行调研并关注数据处理必要性、
数据类型及从美跨境流动的风险,事前评估和识别安全风险
以采取相应的控制措施。在相关业务开展过程中,密切关注
并评估业务所涉数据相关变化情况以便及时识别是否触发
新的受规制的情形,积极落实企业内部的数据合规管理要
求。同时,鉴于当前美国政府对于数据跨境流动规制相关具
体规定尚有不确定之处,企业应当密切追踪后续立法执法
动态,根据监管环境的变化动态调整企业涉美数据合规策略。
附录
14
集中式的管理界面
支持接入同一区域内多个亚马
逊云科技的账号,可以自动发
现各个账号下的数据资产, 并
自动生成数据目录。方案支持
亚马逊云上多种数据源,也支
持其他云上及离线数据库
的扫描。
全面的数据发现
利用机器学习、模式匹配等
技术自动发现和标记多个账
户、多种数据源中的敏感数
据,并且支持客户轻松设置
和运行敏感数据发现作业,
提供定期扫描的能力。
丰富的数据分类
基于全球主要国家和地区的法
律法规设置匹配规则,支持
200 多种内置数据类型,提供
多种检测隐私数据的分类模
板,并允许客户自定义敏感数
据类型。
可视化的结果呈现
提供直观的 Web 控制台,内置
数据目录和敏感数据状态概览
的仪表板,清晰展示数据位
置、数 据源、对 象类型等信
息,并为发现任务提供下载报
告,为客户实现持续合规提供
技术依据。
灵活的数据脱敏
方案内置脱敏规则,可以帮助
客户以 API 调用的方式实现基
于规则的脱敏和反脱敏。
全流程的数据传输与监控
方案内置传输网关,客户可
以采用此网关进行数据传
输,该方案还可以对此网关
传输的数据实现审计。此
外,还支持跨越不同云环境
实现数据传输。
敏感数据保护解决方案 (Sensitive Data Protection Solution) 为客户提供了一个云原生的、开箱即用的企业数
据资产管理平台,帮助客户持续监测敏感数据的分布与动态变化,从技术层面为安全合规提供精准依据。该方案支
持中国及海外地区的灵活部署与使用。
该方案支持企业添加多个亚马逊云科技账号,并自动发现各账号下的数据源 (如 Amazon S3、Amazon RDS 等);提供
200 多种覆盖 50 多个国家和地区的敏感数据类型,也支持客户自定义敏感数据类型;支持配置数据分级分类模版,快
速开启敏感数据扫描任务;基于 Amazon Glue 构建企业内部数据目录 (有些场合也称为数据字典、元数据管理、数据
资产地图等),提供可视化面板和任务报告;使用机器学习和模式匹配等技术高效地发现多种数据源中的敏感数据,以
便于后续分类分级,以及通知相关的业务团队采取相应的保护措施。此外,方案还提供数据脱敏、全流程数据传输与监控
能力。
功能特色
该方案是云原生亚马逊云科技解决方案,采用无服务器架构,可无缝地与其它亚马逊云科技的服务集成,支持在全
球区域与中国区域部署;该方案的功能主要有以下特点:
亚马逊云科技敏感数据保护方案
亚马逊云科技敏感数据保护方案示意图
亚马逊云科技区域
在亚马逊云科技账户中发现的数据源。
亚马逊云科技账户信息
在此平台上跟踪的亚马逊云科技账户。
亚马逊云科技账户总数
S3、RDS)创建数据
加入亚马逊云科技
账
目录
户
。
并为数据源(例如
亚马逊云科技解决方案
模块五 个人信息主体权利响应管理: 线上线下同步管理,协助企业快速响应行权需求
Privacy Ready 为企业提供了一个线上协作的个保法合规评估门户,帮助企业实现自动化风险隐私合规管理。重点提
供五大业务功能模块以满足企业实现多场景隐私合规需求:
模块一
模块二
模块三
模块四
场景化隐私管理评估: 建立业务场景合规管理闭环,全方位展示状态与风险
企业总体隐私管理评估: 助力企业完善个人信息保护管理制度与流程
资产清单: 自动生成响应监管要求的资产清单
个人信息主体同意管理: 多渠道推送隐私声明,一站式管理同意记录
普华永道隐私保护合规解决方案--Privacy Ready
Privacy Ready 产品亮点
亮点一,自动精准:场景感知评估问卷及风险识别
此功能内嵌风险因子与规则引擎,一键自动生成评估结果,帮助企业实现简易清晰的合规评估方式、精准识别其合
规风险,并审查追踪其合规活动。
亮点二,专业可信:专业资产清单及评估报告
Privacy Ready 能够帮助企业实现自动化生成响应监管要求的资产清单,例如个人信息数据清单、个人信息处理系统
清单、以及与第三方共享的个人信息清单。其能够根据场景评估中的数据实时更新各个清单中的内容,并且一键导出企
业资产汇总表单与场景评估报告,帮助企业完成后续风险分析,处置与留档。
亮点三,高效便捷:预定义的工作流促进多方高效协作
Privacy Ready 帮助企业实现多角色协同工作,其端到端的流程使不同的用户角色能够同步进行线上协作模式,
促使评估过程更加高效化。
在多变的监管环境和业务环境下,Privacy Ready 作为可定制的个人信息保护合规管理平台可以根据企业日常
隐私合规管理与需求快速响应业务和法规变化,帮助企业有效应对个保法合规与风险处置。
随着组织的数字化转型不断发展,导致攻击面增长,组织需要更加灵活、全面、高效、经济的安全运营方案来
应对各种安全事件。
不断出台的安全法规、政策,行业行规,及违规可能带来的处罚加重,使得组织需要在实现业务战略目标的同
时保护业务及安全合规
网络攻击不断地演变,组织在引入更高级安全功能方面需要更专业更有经验安全团队的帮助来规避潜在的
风险
越来越多的关键服务逐步迁移上亚马逊云,迁移过程中,组织需要统一可靠的安全运营平台及定制化方案
来应对日益变化的业务环境。
自新冠疫情发生后的远程办公普及,业务多依托于线上,因此网络环境安全重要性突显,很多企业希望拥有
强大的安全运营服务但无力分配时间、空间来投资于自身的设备和员工,因此如何获得专业又多快好省的
安全运营服务成为组织亟待解决的问题
传统安全运营的痛点
其中主要包括:安全人才管理,运营合规,运营投资,工作效率,技术复杂性,技术成本等问题。
客户需求
数字化时代背景下,企业客户的安全需求主要如下:
方案优势
亚马逊云科技在安全与合规层面,提供了各种功能:
Amazon CloudTrail:追踪用户活动和 API 使用,可以记录日志并持续监控,
Amazon Config:评估、审核资源配置的正确性与合规性
Amazon GuardDuty:通过智能威胁检测与响应,保护您的亚马逊云科技账户、工作负载和数据
Amazon SecurityHub:可让您全面了解企业各个亚马逊云科技账户的安全警报和安全状况
Amazon Key Management Service (KMS):创建和控制用于对数据进行加密或数字签名的密钥
普华永道下一代安全运营服务 MSS (Managed Security Service)
Amazon WAF:保护企业 Web 应用程序免受攻击
Amazon CloudWatch:持续观察并监控亚马逊云科技上、本地和其他云中的资源和应用程序
普华永道基于亚马逊云科技的这些先进的服务,实现全面的资源与安全的可观测性和可预测性,以及便捷的配置
合规检查与审计,还能非常方便地实现服务数据采集。同时使用全球知名的 MITRE ATT&CK(网络安全攻击矩阵)
框架的异常检测和关联规则,结合安全编排和自动化响应,持续监测并应对不断进化的网络攻击。安全运营中心所采
用的技术工具,也均符合《网络安全法》等相关规定的要求。拥有世界级的红队攻击经验,深度防御;可根据最新的
威胁情报,及时更新和改进网络攻击用例。同时将您组织视为一个整体进行保护,实时监控以提供全天候保护。通过安
全专家和人工智能引擎的帮助,您的团队将集中精力应对关键事件,而无需面对密集的告警。服务采用高度灵活的
可扩展模块化交付模式,它将满足您企业不同阶段的特定需求。
安全运营中心(SOC)& SIEM 平台
服务描述
普华永道云评估和迁移服务,是针对企业客户提供的完整的上云服务,针对使用亚马逊云科技云服务的客户,为客户
使用亚马逊云科技服务提供最佳的方案设计和咨询建议。包含企业上云前的咨询,云战略和规划,上云的安全评估,
上云的路线图设计,云上的合规治理,云上的架构设计和风险控制等一系列的专业服务。根据企业的业务规划和业务需
求,为企业量身定制适合的亚马逊云科技云架构。同时,普华永道也为客户提供一站式的云迁移服务,依托普华永道
自身的云迁移框架和方法论,结合亚马逊云科技的云迁移工具和最佳实践,我们帮助企业客户完成从前期规划,到设
计以及迁移实施和运维管理的完整的一站式的服务,帮助企业更好的使用亚马逊云科技的服务,我们使用亚马逊云
科技 Amazon Landing Zone,Amazon EC2,Amazon VPC, Amazon ELB,Amazon RDS, Amazon S3,Amazon
EBS,Amazon Redshift,Amazon DMS,Amazon KMS 等服务,为客户构建亚马逊云科技上安全的应用负载和数
据保护。同时,可以帮助客户运营其亚马逊云科技环境,进行定期的安全和架构评估,给出持续优化的建议。
服务特色
丰富的实践经验:在长期的业务运营中积累了大量的实际操作案例和专业知识,为客户提供高质量、针对性强的解决
方案;全球化的资源和团队,我们全球化的框架体系和方法论,结合本地化的服务团队,可以更好的为客户提供符合
其实际业务需要的专业服务,并帮助客户在多个业务领域提效。
普华永道云评估和迁移服务
方案简述
该解决方案目标为协助客户完善内部数据合规管理体系,预防并降低数据安全风险发生的可能性,以符合相关海外站
点的数据合规要求,保障业务的稳定可持续发展。配合普华永道隐私保护合规解决方案 Privacy Ready,为企业提供
一个多部门线上协作的合规评估门户,帮助企业实现自动化风险隐私合规管理.
服务描述
随着全球数字经济规模的持续增长,数据作为重要生产要素,在生产生活各个环节的重要作用正日益显现,数据流动
的安全性受到越来越多的关注。全球范围内,对数据跨境活动的管控和监管正在逐步健全;目前,各国针对数据跨境
流动密集出台了相关的法律法规,主要国家和地区的监管执行力度增强,数据合规制度数量增长、管辖范围逐步扩大
的趋势明显,也让数据跨境传输合规成为了进行跨国商业活动的企业需要格外重视的课题。 普华永道借助亚马逊云
科技并结合双方优势,提出“合规及跨境数据传输”解决方案,建立数据全生命周期安全防护系统,安全防护体系,
在数据跨境合规评估,结果分析及长远合规规划及落地的全周期上,为企业保驾护航。配合普华永道隐私保护合规解
决方案 Privacy Ready,借助亚马逊云科技丰富的云资源与灵活部署方式,在多变的监管环境和业务环境下,迅速提
供可定制的个人信息保护合规管理平台。可以根据企业日常隐私合规管理与需求快速响应业务和法规变化,帮助企业
有效应对合规要求与风险处置。
服务特色
丰富的实践经验:在长期的业务运营中积累了大量的实际
操作案例和专业知识,为客户提供高质量、针对性强的解
决方案;
前沿的监管洞察能力:凭借专业团队、先进技术和广泛的
全球网络,及时、准确地捕捉和分析各行业不断变化的监
管动态,为客户提供前瞻性、定制化的监管应对策略,帮助客
户提前布局、有效应对监管挑战,从而降低合规风险并把握
发展机遇。
普华永道数据安全和跨境合规解决方案
服务概述
本服务是将安全实践深度融入 DevOps 流程的方法论,旨在通过自动化、文化变革和工具链整合,实现软件开发生命
周期(SDLC)的全流程安全防护。其核心理念包括安全左移(在开发早期介入安全)、全员共担安全责任以及持
续安全监控与响应。DevSecOps 服务通过平台支持、流程优化和专家赋能,帮助企业构建安全、高效、合规的软件
交付体系。
服务内容
普华永道的 DevSecOps 服务旨在将开发、运维与安全无缝集成,构建从代码提交到生产部署全流程的自动化安全
防护体系。该服务依托持续集成/持续交付(CI/CD)平台,在每个环节嵌入静态代码分析、动态扫描和漏洞评估等
多重安全措施,确保早期发现潜在风险并及时修复漏洞。
在开发阶段,我们提供代码质量与安全扫描工具,自动检查代码中的安全隐患;在构建和测试阶段,整合自动化测试
与安全验证,保证交付包符合安全标准;在部署阶段,通过基于云原生和容器技术的部署方案,实现环境隔离和实时
监控。与此同时,实时日志分析和威胁情报系统帮助快速识别异常行为,自动触发应急响应,降低潜在攻击风险。
此外,我们还提供定制化安全培训和咨询服务,帮助企业建立完善的安全管理体系和应急预案,提升整体安全意识
和防护能力。无论是传统应用还是现代微服务架构,我们的 DevSecOps 服务均能实现安全与效率的双重保障,助
力企业在快速迭代中实现高质量、高安全的持续交付。
实时威胁检测:结合普华永道安全运营中心实现开发环境的持续安全告警的监控。
普华永道 DevSecOps As A Service
服务特色
全周期服务覆盖,从 DevOps 平台部署到安全告警的监控和响应,提供一站式解决方案,涵盖工具
链集成、流程设计、人员培训及长期运维支持。
响应及时性,通过远程监控服务模式,实现 7×24 小时技术响应,确保问题快速闭环,保障业务连
续性。
深度安全自动化,基于普华永道实施方法,构建自动化安全管道,减少人工干预,提升检测效率。
合规与创新并重,结合 CARTA(持续自适应风险与信任评估)等先进理念,平衡风险与效率,支持
企业同时满足合规要求和敏捷创新。
25
编写指导
编写指导
普华永道
徐世达
普华永道中国内地及香港地区 风
险及控制服务市场主管合伙人
黄思维
普华永道中国网络安全和
隐私保护合伙人
黄财明
普华永道中国网络安全和
隐私保护合伙人
徐静
普华永道中国网络安全及
隐私保护经理
亚马逊云科技
陈晓建
亚马逊云科技
大中华区产品总经理
江学森
亚马逊云科技
安全布道师
朱翊
亚马逊云科技大中华区行业专业
事业部总经理
吴迦德
亚马逊云科技合作伙伴解决方案
架构师高级经理
王承华
亚马逊云科技大中华区专业
服务事业部总经理
苏璠
亚马逊云科技
解决方案中心高级产品经理
徐丽
亚马逊云科技
全球生态合作伙伴拓展高级经理
范恂毅
亚马逊云科技
云安全产品经理
邓力
亚马逊云科技
合作伙伴解决方案架构师
26
联合署名
主编人员
主编人员
