中华人民共和国国家互联网信息办公室(以下简称“网信办”)颁布的《数据出境安全评估办法》(以下简称《办法》)于2022年9月1日生效。该办法为数据出境传输的安全评估和审批提供了框架,不仅适用于个人信息,也适用于比个人数据范围更广的重要数据。
这一办法的实行,对于在中国经营的跨国公司意味着大量的合规风险,对其正在进行的或即将要进行的数据传输活动具有重要影响。因为对适用于数据出境安全评估的跨国企业而言,只有最终通过政府主导的安全评估,才可以继续数据传输活动。
在中国有业务往来的企业机构可能需要开展当地政府主导的业务数据和个人数据出境安全评估。跨国公司的安全和风险管理(SRM)领导者必须提前计划,避免数据传输或业务运营的中断(见图1)。
图1:数据出境安全评估办法的基本框架
政府主导的安全评估,只有在数据达到一定敏感程度或规模时才会触发
如今,在中国从事国际贸易的公司无论行业和规模如何,其日常运营或多或少地以来数据跨境流动。数据跨境传输能力已经成为生产力、创新和业务增长的重要组成部分和关键推动力。限制或丧失数据出境传输会导致管理和运营成本的增加;削弱产品创新,使产品无法及时进入市场;或使产品价格缺乏吸引力。
然而,并非所有受《办法》监管的数据出境传输活动都需要申请政府主导的安全评估。只有当中国的数据处理者满足一定条件时,才需要申请政府主导的安全评估。
图2:触发政府主导安全评估的决策树
2024年3月,网信办发布的《促进和规范数据跨境流动规定》提出放宽数据跨境传输的合规要求。该《规定》规定了在满足具体条件的情况下,数据出境的企业机构可以免于申报数据出境安全评估、订立个人信息出境标准合同,或获得个人信息保护认证,从而促进中国大陆以外的数据流通。
长时间的申请和评估流程可能会使计划中的项目延期
根据网信办发布的信息以及收到的客户反馈,完成安全评估大约需要三个月。企业机构需要提前计划,尽早根据新要求进行调整,以防数据传输中断或新项目上线延迟。
向当地网信部门申报评估需要提供必要材料。SRM领导者应与安全、隐私、法务、合规和业务部门地关键利益相关者沟通,准备必要的材料。材料不全或信息不准确,可能会导致安全评估取消或失败。
安全评估从周期性的行动变为持续性合规工作
通过数据出境安全评估的结果有效期为3年。数据处理者应当在有效期届满60个工作日前申请延长评估结果或重新申报评估。
作为跨国公司,如果其快速增长的新业务依赖数据跨境流动,则应预见到对安全评估的准备和申报将成为一项持续性运营工作。这会增加管理合规成本,对于大型企业来说也许可以忽略不计,但对于中小型企业来说仍是一个重要问题。
如果跨国公司需要在一个地区集中存储和处理从不同司法辖区(如中国、欧洲和美国)收集的客户数据,则其需要具备对数据进行差异化处理的能力。
安全评估结果促使企业机构重新审视本地化策略
Gartner的客户询问表明,中国大多数受《办法》监管的跨国公司已经开始准备申报或正在进行安全评估,但正式通过审批的申报数量有限。由于网信办可能要求整改以及由此可能产生额外的管理和运营成本,企业机构应重新审视在中国的数据本地化和IT隔离的战略。
-
数据本地化:企业机构需要明确哪些法律和监管要求适用于于其在中国的现有业务和未来扩张计划,并且在选择本地化路线时,需要同时考虑企业机构的风险偏好和中国市场产生的业务价值。
中国的IT隔离:在考虑是否有必要专门为中国市场搭建一个独立的IT环境时,除了法律和合规性的考量(例如数据本地化、等保2.0),还要考虑到其他业务和技术层面,比如业务生态系统和协同作用、服务和技术提供商的可用性。