AMT 数据出境合规框架
中国数据出境有三条合规路径,AMT 已在其中两条完成落地、并具备第三条的能力。
- CAC 安全评估
面向大规模 / 重要数据出境的最高强度路径,AMT 已具备相应合规能力(非主要路径)。
- CAC 数据出境标准合同备案 ★
已完成备案——AMT 主要出境路径,配套个人信息保护影响评估(PIPIA)。
- 上海自贸区负面清单试点 ★
已对接——清单外数据可便利出境,显著降低合规摩擦。
- 个人信息保护认证
按需补充的认证路径,用于特定场景的个人信息跨境。
出海客户数据流路径示例
- 1通过标准合同出境
中国境内采集 → AMT 上海数据中心 → 境外接收方(依 CAC 标准合同 + PIPIA)。
- 2通过负面清单出境
中国境内采集 → AMT 上海数据中心 → 境外接收方(清单外数据便利出境)。
数据出境分级管理
不同类型的数据走不同的处理流程,确保各级数据匹配合适的出境路径与控制。
| 数据类型 | 出境路径 | 附加控制 |
|---|---|---|
| 一般数据 | 负面清单 / 标准合同 | 加密传输 + 审计日志 |
| 重要数据 | CAC 安全评估(按需) | 数据分类 + 出境必要性论证 |
| 个人信息 | 标准合同 + PIPIA | 单独同意 + 最小化 |
| 敏感个人信息 | 标准合同 / 认证 + PIPIA | 强化同意 + 额外加密 |
客户责任与 AMT 责任划分
客户(数据控制者)
拥有数据所有权,负责数据分类、确定出境目的与合法性基础,并向其数据主体取得必要同意。
AMT(数据处理者)
提供合规出境路径、加密传输与审计日志,按客户指示处理数据并协助履行出境义务。