我们对Schrems II的回应

更新：2023年8月8日

无论我们在哪里开展业务，世邦魏理仕都致力于维护全球客户、员工和利益相关者的数据保护和隐私权。 世邦魏理仕积极应对近期跨境数据传输的变化，包括欧盟和中国的变化。

欧盟

自 2020 年欧盟法院做出“Schrems II”裁决以来，我们已经并将继续采取协调一致的措施，以满足不断变化的 欧洲的隐私法下的数据传输要求，包括：

• 进行一系列传输影响评估，将数据传输到世邦魏理仕所在地，包括世邦魏理仕公司及其美国子公司（“世邦魏理仕美国”）。 世邦魏理仕美国转移影响评估得出的结论是：（i） 此类转移可以合法地继续，因为它们不受美国外国情报监视法第 702 条（50 U.S.C. §1881a）（“FISA 702”）或行政命令 12333 的约束而向美国情报当局披露。
• 行政命令14086，经欧盟委员会评估欧盟-美国数据隐私框架的充分性决定，为美国情报活动建立明确和精确的规则以及必要性和相称性原则，以及新的两级补救机制，大大增加了对非美国个人的数据保护和隐私保障 。即使世邦魏理仕美国（尚未）根据新的欧盟-美国数据隐私框架进行认证。
• 实施一个框架，对欧盟/欧洲经济区以外的数据传输进行转移影响评估。
• 继续依赖欧盟标准合同条款（最新版本）将个人数据从欧盟/欧洲经济区转移到非欧盟/欧洲经济区国家，并在相关传输影响评估指出的情况下，实施欧洲数据保护委员会（EDPB）和其他欧盟监管机构建议的补充措施。
• 对施加转让要求的其他欧洲国家实施适当的保障措施，例如采用英国附录并反映瑞士法律要求的变更。
• 补充世邦魏理仕的全球数据隐私政策，包括“不充分的管辖权命令披露标准”，根据该标准，世邦魏理仕将采取一切合理的法律行动，质疑和暂停来自不充分的第三国的披露令，并仅提供合法合规所需的最低限度数据。
• 增加欧盟/欧洲经济区数据本地化。

中国

为确保遵守网络安全和个人信息保护法律，包括将中国数据合法传输到中国境外，世邦魏理仕获得了相关的等级保护认证，并实施《个人信息出境标准合同办法》要求，采用中国国家互联网信息办公室 （CAC） 发布的标准合同，进行跨境数据传输隐私影响评估。

密码学

世邦魏理仕采用强大的加密技术，根据国际公认的标准机构，与最新的最佳实践安全标准保持一致，避免已知存在弱点或漏洞的加密算法。我们制定了由数据分类标准和加密标准支持的全球信息安全策略，涵盖数据分类加密算法和加密使用。

• 传输中： 世邦魏理仕对提供传输加密的发送和接收系统实施主动和被动攻击的保护措施，例如足够的防火墙、双向 TLS 加密、API 身份验证和加密，以保护数据传输的网关和管道，以及测试软件漏洞和可能的后门。我们在不受信任的网络上使用有效的加密算法和参数化，传输层安全性 （TLS） 协议 1.2 或更高版本、SSH 2（安全外壳）、IPsec （IP 安全）。
• 静态： 世邦魏理仕还通过采用有效的加密算法和参数化，包括对称密钥算法 - 高级加密标准 （AES） 和三重数据加密标准或非对称密钥算法 - Rivest、Shamir & Adelman （RSA） 和椭圆曲线数字签名算法 （ECDSA），对适合数据分类的静态数据进行加密。世邦魏理仕通常不允许将数据写入可移动介质。如果需要此类设备，则会在其整个持续时间内引发和管理临时异常。为此，为有合法需要使用 USB 存储的用户提供了加密的 USB 驱动器。

哈希函数：使用的哈希函数包括 SHA-2 和 SHA-3，但不是过时的函数，如 MD5 和 SHA-1。

有关世邦魏理仕跨境数据传输方法的更多信息，请联系世邦魏理仕全球数据隐私办公室。