1、 Gartner 研究研究 为中国数据出境安全评估做准备 Anson Chen 2024 年 6 月 4 日 Gartner,Inc.|G00783641 第 1 页，共 13 页 为中国数据出境安全评估做准备 发布日期：2024 年 6 月 4 日-ID G00783641-阅读全文约需 2 分钟 分析师：Anson Chen 主题：中国 CIO 的数字技术领导力 在中国有业务往来的企业机构可能需要开展当地政府主导的业务数据和个人数据出境安全评估。跨国公司的安全和风险管理（SRM）领导者必须提前计划，避免数据传输和业务运营的中断。概述概述 影响影响 并非所有数据出境都会触发政府主导的安全评估

2、。然而，一旦触发评估，企业机构就需要在进行数据传输之前向相关部门报批。政府主导的安全评估可能需要几个月才能完成，若不能及时响应，可能会中断现行的数据传输或影响新项目的上线。如果传输数据的处理流程发生变化，或者接收国的监管环境有所改变，企业机构将需要重新申请政府主导的安全评估。这就将安全评估从一个周期性的行动变成了一系列持续的运营工作。政府主导的安全评估结果和中国监管部门提供的指导意见，将促使企业机构重新审视其中国数据本地化和 IT 隔离战略。建议建议 在中国经营或业务与中国有关的跨国公司的安全和风险管理（SRM）领导者应：根据出境数据的敏感程度和规模，确认企业机构的出境数据传输是否符合申请政府

3、主导的安全评估的条件。Gartner,Inc.|G00783641 第 2 页，共 13 页 为正在进行的数据出境传输准备并申请政府主导的安全评估，或在将要进行的数据传输开始前至少三个月做此准备。利用技术(如流程自动化、工作流管理、数据发现和映射、数据活动监测，以及审计和风险评估)简化安全评估的重后流程，并为流程的完整性设立正式的审查程序。在规划未来在中国的 IT 布局和运营时，将期中的风险分析发现和政府主导的安全评估结果纳入考量。这一办法的实行，对于在中国经营的跨国公司意味着大量的合规风险，对其正在进行的或即将要进行的数据传输活动具有重要影响。因为企业只有最终通过政府主导的安全评估，才可以继

4、续数据传输活动。对于 2022 年 9 月之前已经开展的数据出境活动，办法 提供了 6 个月的过渡期(截至 2023年 3 月 1 日)，用于整改不符合该办法规定的数据传输。2022 年 9 月之后的数据出境传输(如符合适用标准)则必须完成安全评估，经国家网信部门审批后方可进行传输活动。企业机构必须提前做好计划，以防数据传输或业务运营的中断（见图 1）。图 1：数据出境安全评估办法的基本框架 数据出境安全评估办法的基本框架 Gartner,Inc.|G00783641 第 3 页，共 13 页 导语导语 中华人民共和国国家互联网信息办公室-中国的最高网络安全机构，颁布了 数据出境安全评估办法（

5、以下简称办法）1，于 2022 年 9 月 1 日生效。该办法为数据出境传输的安全评估和审批提供了框架，不仅适用于个人信息，2也适用于比个人数据范围更广的重要数据。3 政府主导的安全评估，只有在数据达到一定敏感程度或规模时才会触发政府主导的安全评估，只有在数据达到一定敏感程度或规模时才会触发 如今，在中国从事国际贸易的公司无论行业和规模如何，其日常运营都或多或少地依赖数据跨境流动。数据跨境传输能力已经成为生产力、创新和业务增长的重要组成部分和关键推动力。限制或丧失数据出境传输会导致管理和运营成本的增加；削弱产品创新，使产品无法及时进入市场；或使产品价格缺乏吸引力。受办法监管的数据出境传输活动，

6、主要分为三种情况（见图 2）：直接出境：使用部署在境外的应用系统处理在中国境内收集或产生的数据;或使用厂商提供的软件即服务（SaaS）服务(比如客户关系管理CRM、人力资本管理、企业资源规划ERP)，但该 SaaS 服务在中国境内没有部署本地系统设施。在这种情况下，数据没有在本地存储。同步出境：在中国境内收集或产生的数据首先会在本地存储，然后同步到境外部署的另一个数据存储库，用于不同的商业目的，比如数据整合或分析。境外访问：允许位于境外的用户(如数据分析师、IT 运维人员、托管安全服务厂商)远程访问存储在本地的数据。图 2：数据出境的三种情况 Gartner,Inc.|G00783641 第