从合规“破局”到安全“智胜”：跨国企业合规的“攻守道”_胡钢伟 conv.docxVIP

从合规“破局”到安全“智胜”跨国企业合规的“攻守道”

网宿科技-安全事业部高级总监 胡钢伟

目录

1 为什么必须重视中国的合规战场

3 未来3年趋势与行动建议

2 破局3步法，合规的三重进阶

4 结语

中国监管环境态势

监管体系日趋严格，执法力度持续升级

1.网安，数安，个保等法规密集出台2.执法行动高频化

3.合规成本上升

数据安全与跨境流动成合规核心挑战

1.数据本地化强制要求2.个人信息保护严控

3.跨境流动双重合规压力

AI及大模型的创新与监管博弈加剧

1.生成式AI专项监管2.技术应用红线明确

3.全球监管协同挑战

跨国企业的合规挑战

文化冲突

全球统一策略vs中国本土化的取舍

技术困境

从重云到重本地的架构以及数据存储的技术差异

成本压力

合规投入如何平衡业务效率？

破局3步法，合规的三重进阶

3 合规创新拥抱AI与自动化，开启智能合规新时代

合规赋能

2 从防御到驱动，释放合规价值

1 合规生存规避风险，立足稳固根基

合规生存——从等级保护到个人信息保护

网宿定级，一次整改

测评申请???? ????

测评机构介入

制定测评方案展开测评工作

无需整改 需整改测评中心

出具整改报告

企业 网宿

接收报告

整改完毕申请二次测评

网宿二次整改

测评结束

测评机构 公安机关备案

??杸??? ?凰??? ?????榋?? ??????

自主审计委托第三方机构

自主审计

委托第三方机构审

计

国家网信办发布《个人信息保护合规审计管理办法》，2025年5月1日起施行。合规审计作为个人信息保护的关键环节，不仅具有法律强制性，而且是实现风险控制和合规体系建设的有效工具。

《个人信息保护法》

?居??攱刂??峧?柍敨漓??????

惒嚎???〞??(惐嚌尥?)漓

旿???媠

IPO/ESG???∕?壃漓??????????

～????〞??(????

伄??),旿???媠

?第五十四条：个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。主动定期审计

?第六十四条：监管部门在发现较大风险或安全事件时，可要求个人信息处者委托专业机构进行合规审计，以行使监管权力。监管检查审计

要求

来数据加密：采用先进的加密技源术，确保数据在传输和存储过

程中的机密性和完整性。

政策与标准：建立健全个人信息保护政策和标准，确保所有员工都清楚自己的职责和义务。

《个人信息保护合规审计管理办法》

主体 类别 审计频率 审计组织

处理超过1000万人以上个人信息 每2年至少1内部部门或委托第的企业 次 三方机构审计

被监管部门发现个人信息处理活

动存在较大风险，或发生个人信强制审计实时息安全事件的企业

落实办法

访问控制：实施严格的访问控制策略，确保只有授权人员才能访问敏感信息。

安全审计：建立全面的日志记录和审计机制，及时发现并响应潜在的安全威胁。

员工培训：定期开展个人信息保护意识培训，提升员工的个人信息保护意识。

外部合作：与第三方安全机构合作，进行定期的安全评估和漏洞扫描，确保系统的安全性。

背景及挑战

客户是一家通过云平台为企业提供基于数据的见解和建议。外企入华业务面临挑1、网络安全法中对关键信息基础设施（CII）认定模糊性，客户存在是否被定义为关键信息基础设施运营商（CIIO）的困惑；2、数据本地化与跨境传输限制，需明确个人信息和重要数据的存储位置与流向，以满足《数据安全法》《个人信息保护法》的本地化要求；

3、等级保护制度合规复杂，需根据业务系统安全等级，满足中国国家标准。

解决方案

1、网宿协助客户梳理业务类型、面向客户人群、数据资产、数据存储和流向等，帮助客户确认是否被定义CIIO；2、网宿帮助梳理数据资产，识别个人信息与重要数据的存储、处理及传输路径，实现数据分级分类，跨境数据传输前完成安全评估；3、网宿提供一体化入华合规咨询，结合客户AWS环境提供一站式咨询服务，帮助客户完成合规测评，入华合规基准达标；安全服务团队协助客户进行等保测评，给

予定级备案、差距分析、整改实施、测评全周期闭环支持。

1、落地一体化入华合规咨询，帮助客户完成数据本地化、跨境传输限制以及等保合规落地；2、等级保护测评分数连续三年上涨，2024年度测评达到了“良好”级别；3、整体风险项连续三年下降，安全水位不断提高。

合规赋能——从防御到驱动，释放合规价值

合规赋能供应链