为中国数据出境安全评估做准备

Gartner 研究 为中国数据出境安全评估做准备 Anson Chen 2024 年 6 月 4 日 Gartner, Inc. | G00783641 第 1 页，共 13 页 为中国数据出境安全评估做准备 发布日期：2024 年 6 月 4 日 - ID G00783641 - 阅读全文约需 2 分钟 分析师：Anson Chen 主题：中国 CIO 的数字技术领导力 在中国有业务往来的企业机构可能需要开展当地政府主导的业务数据和个人数据出境安全评估。跨国公司的安全和风险管理（SRM）领导者必须提前计划，避免数据传输和业务运营的中断。 概述 影响 ■ 并非所有数据出境都会触发政府主导的安全评估。然而，一旦触发评估，企业机构就需要在进行数据传输之前向相关部门报批。 ■ 政府主导的安全评估可能需要几个月才能完成，若不能及时响应，可能会中断现行的数据传输或影响新项目的上线。 ■ 如果传输数据的处理流程发生变化，或者接收国的监管环境有所改变，企业机构将需要重新申请政府主导的安全评估。这就将安全评估从一个周期性的行动变成了一系列持续的运营工作。 ■ 政府主导的安全评估结果和中国监管部门提供的指导意见，将促使企业机构重新审视其中国数据本地化和 IT 隔离战略。 建议 在中国经营或业务与中国有关的跨国公司的安全和风险管理（SRM）领导者应： ■ 根据出境数据的敏感程度和规模，确认企业机构的出境数据传输是否符合申请政府主导的安全评估的条件。 Gartner, Inc. | G00783641 第 2 页，共 13 页 ■ 为正在进行的数据出境传输准备并申请政府主导的安全评估，或在将要进行的数据传输开始前至少三个月做此准备。 ■ 利用技术(如流程自动化、工作流管理、数据发现和映射、数据活动监测，以及审计和风险评估)简化安全评估的重后流程，并为流程的完整性设立正式的审查程序。 ■ 在规划未来在中国的 IT 布局和运营时，将期中的风险分析发现和政府主导的安全评估结果纳入考量。 这一办法的实行，对于在中国经营的跨国公司意味着大量的合规风险，对其正在进行的或即将要进行的数据传输活动具有重要影响。因为企业只有最终通过政府主导的安全评估，才可以继续数据传输活动。 对于 2022 年 9 月之前已经开展的数据出境活动，《办法》提供了 6 个月的过渡期(截至 2023年 3 月 1 日)，用于整改不符合该办法规定的数据传输。 2022 年 9 月之后的数据出境传输(如符合适用标准)则必须完成安全评估，经国家网信部门审批后方可进行传输活动。企业机构必须提前做好计划，以防数据传输或业务运营的中断（见图 1）。 图 1：数据出境安全评估办法的基本框架 数据出境安全评估办法的基本框架 Gartner, Inc. | G00783641 第 3 页，共 13 页 导语 中华人民共和国国家互联网信息办公室--中国的最高网络安全机构，颁布了《数据出境安全评估办法》（以下简称《办法》）1，于 2022 年 9 月 1 日生效。该办法为数据出境传输的安全评估和审批提供了框架，不仅适用于个人信息，2也适用于比个人数据范围更广的重要数据。3 政府主导的安全评估，只有在数据达到一定敏感程度或规模时才会触发 如今，在中国从事国际贸易的公司无论行业和规模如何，其日常运营都或多或少地依赖数据跨境流动。数据跨境传输能力已经成为生产力、创新和业务增长的重要组成部分和关键推动力。限制或丧失数据出境传输会导致管理和运营成本的增加；削弱产品创新，使产品无法及时进入市场；或使产品价格缺乏吸引力。 受《办法》监管的数据出境传输活动，主要分为三种情况（见图 2）： ■ 直接出境：使用部署在境外的应用系统处理在中国境内收集或产生的数据;或使用厂商提供的软件即服务（SaaS）服务(比如客户关系管理[CRM]、人力资本管理、企业资源规划[ERP])，但该 SaaS 服务在中国境内没有部署本地系统设施。在这种情况下，数据没有在本地存储。 ■ 同步出境：在中国境内收集或产生的数据首先会在本地存储，然后同步到境外部署的另一个数据存储库，用于不同的商业目的，比如数据整合或分析。 ■ 境外访问：允许位于境外的用户(如数据分析师、IT 运维人员、托管安全服务厂商)远程访问存储在本地的数据。 图 2：数据出境的三种情况 Gartner, Inc. | G00783641 第 4 页，共 13 页 这三种情况都受《办法》的制约，但并非所有数据出境活动都需要申请政府主导的安全评估。只有当中国的数据处理者满足下列条件（见图 3）时，才需要申请政府主导的安全评估。 ■ 数据敏感程度:数据处理者 ■ 被定义为中国的关键信息基础设施运营者（CIIO）4 ■ 向境外提供重要数据(重要数据的定义须遵循相关机构发布的指南，如 CAC 或行业监管机构) ■ 数据规模:数据处理者 ■ 自当年 1 月 1 日起累计向境外提供 100 万人以上个人信息 ■ 自当年 1 月 1 日起累计向境外提供 1 万人以上敏感个人信息 5 Gartner, Inc. | G00783641 第 5 页，共 13 页 图 3：触发政府主导安全评估的决策树 2024 年 3 月，网信办发布的《促进和规范数据跨境流动规定》9提出放宽数据跨境传输的合规要求。该《规定》规定了在满足具体条件的情况下，数据出境的企业机构可以免于申报数据出境安全评估、订立个人信息出境标准合同，或获得个人信息保护认证，从而促进中国大陆以外的数据流通。 对于处理少量个人信息或仅以订立或履行合同为目的而收集个人信息的跨国公司而言，该合规要求调整如果得以实施，将会极大减轻他们的合规负担。然而，《规定》并未免除数据出境企业机构在进行数据出境活动时获取数据主体个人同意的义务。 如果企业机构数据的敏感程度或规模未达到上述标准，则无需申请政府主导的数据出境安全评估。对于处理个人数据的企业机构来说，数据出境安全评估规定并不是适用于境外传输的唯一条件。SRM 领导者应咨询法务部门，明确适用的其他条件 6，包括与境外数据接收者订立标准合同 7，或向授权机构申请认证 8。 Gartner, Inc. | G00783641 第 6 页，共 13 页 如果政府主导的安全评估确为必要，相关企业机构必须立即响应合规要求。如不合规，则视为违反了《中国网络安全法》、《数据安全法》、《个人信息保护法》和/或相关刑法规定（请参阅《目标仍在变化中--如何应对中国数据安全法》）。这可能会导致企业数据传输中断、吊销营业执照或面临高额罚款 10。 建议: 如果企业机构的数据出境活动受到《办法》的监管，安全和风险管理（SRM）领导者必须： ■ 对直接出境、同步境外或境外访问的数据类型(个人数据和重要数据)和数据规模进行梳理。 ■ 根据数据的敏感程度和规模，确定企业机构的数据出境传输是否需要申报政府主导的安全评估。 ■ 如政府主导的安全评估不适用于企业机构的个人数据传输，根据《个人信息保护法》的规定，申请其他合法的个人数据出境途径。 长时间的申请和评估流程可能会使计划中的项目延期 根据网信办发布的信息，完成安全评估大约需要三个月