2024年為中國(guó)數(shù)據(jù)出境安全評(píng)估做準(zhǔn)備報(bào)告-Gartner

AnsonChen概述要重新申請(qǐng)政府主導(dǎo)的安全評(píng)估。這就將安全評(píng)估從一個(gè)這一辦法的實(shí)行，對(duì)于在中國(guó)經(jīng)營(yíng)的跨國(guó)公司意味著大量的合規(guī)風(fēng)險(xiǎn)，對(duì)其正在進(jìn)行的或即將要進(jìn)行的數(shù)據(jù)傳輸活動(dòng)具有重要影響。因?yàn)槠髽I(yè)只有最終通過(guò)政府主導(dǎo)的安全評(píng)估，如今，在中國(guó)從事國(guó)際貿(mào)易的公司無(wú)論行業(yè)和規(guī)模如何，其日常運(yùn)營(yíng)都或多或少地依賴數(shù)據(jù)跨境流動(dòng)。數(shù)據(jù)跨境傳輸能力已經(jīng)成為生產(chǎn)力、創(chuàng)新和業(yè)務(wù)增長(zhǎng)的重要組成部分和關(guān)鍵推動(dòng)力。限制或喪失數(shù)據(jù)出境傳輸會(huì)導(dǎo)致管理和運(yùn)營(yíng)成本的增加；削弱產(chǎn)品創(chuàng)新，使產(chǎn)品■同步出境：在中國(guó)境內(nèi)收集或產(chǎn)生的數(shù)據(jù)首先會(huì)在本地存儲(chǔ)，然后同步到境外部署的這三種情況都受《辦法》的制約，但并非所有數(shù)據(jù)出境活動(dòng)都合規(guī)要求。該《規(guī)定》規(guī)定了在滿足具體條件的情況下，數(shù)據(jù)出境的報(bào)數(shù)據(jù)出境安全評(píng)估、訂立個(gè)人信息出境標(biāo)準(zhǔn)合同，或獲得個(gè)人信息對(duì)于處理少量個(gè)人信息或僅以訂立或履行合同為目的而收集個(gè)人信合規(guī)要求調(diào)整如果得以實(shí)施，將會(huì)極大減輕他們的合規(guī)負(fù)擔(dān)。然而如果企業(yè)機(jī)構(gòu)數(shù)據(jù)的敏感程度或規(guī)模未達(dá)到上述標(biāo)準(zhǔn)，全評(píng)估。對(duì)于處理個(gè)人數(shù)據(jù)的企業(yè)機(jī)構(gòu)來(lái)說(shuō)，數(shù)據(jù)出境安全評(píng)估規(guī)如果政府主導(dǎo)的安全評(píng)估確為必要，相關(guān)企業(yè)機(jī)構(gòu)必須視為違反了《中國(guó)網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》規(guī)定（請(qǐng)參閱《目標(biāo)仍在變化中--如何應(yīng)對(duì)中國(guó)數(shù)據(jù)安全法》）。這可能建議:根據(jù)網(wǎng)信辦發(fā)布的信息，完成安全評(píng)估大約需要三個(gè)月。企業(yè)機(jī)據(jù)新要求進(jìn)行調(diào)整，以防數(shù)據(jù)傳輸中斷或新項(xiàng)目上線延遲。網(wǎng)信辦2.在政府主導(dǎo)的安全評(píng)估開(kāi)始前，對(duì)數(shù)據(jù)出境活動(dòng)進(jìn)行隱私影響評(píng)估(PIA)和風(fēng)險(xiǎn)自評(píng)3.通過(guò)合同、技術(shù)或組織層面等措施，填補(bǔ)上一步中發(fā)現(xiàn)的差距(詳細(xì)的實(shí)施指南請(qǐng)參業(yè)務(wù)部門(mén)的關(guān)鍵利益相關(guān)者溝通，準(zhǔn)備必要的材料。材料不全或信建議:■與內(nèi)部法務(wù)和合規(guī)團(tuán)隊(duì)合作，根據(jù)數(shù)據(jù)傳輸目的和背景，制定與境外數(shù)據(jù)接收方簽訂作為跨國(guó)公司，如果其快速增長(zhǎng)的新業(yè)務(wù)依賴數(shù)據(jù)跨境流動(dòng)，則應(yīng)預(yù)見(jiàn)到對(duì)安全評(píng)估的準(zhǔn)技術(shù)能力ITRM解決方案的核心能力包括工作流管數(shù)據(jù)集成和第三方。ITRM解決方案提供了隱私管理工具幫助企業(yè)機(jī)構(gòu)獲取合規(guī)洞察如果跨國(guó)公司需要在一個(gè)地區(qū)集中存儲(chǔ)和處理從不同司法轄區(qū)（如中國(guó)、歐洲和美國(guó)）收集的客戶數(shù)據(jù)，則其需要具備對(duì)數(shù)據(jù)進(jìn)行差異化處理的能力。例如維護(hù)多個(gè)版本的應(yīng)用——在部署于中國(guó)境內(nèi)的舊版本上運(yùn)行中國(guó)的個(gè)人建議:■針對(duì)重新申報(bào)政府主導(dǎo)的安全評(píng)估的情況，制定內(nèi)部規(guī)則和流程，并且為確保流程的■確保其制定的流程獲得了業(yè)務(wù)負(fù)責(zé)人、法務(wù)、合規(guī)、數(shù)據(jù)與分析，以及隱私部門(mén)的認(rèn)經(jīng)開(kāi)始準(zhǔn)備申報(bào)或正在進(jìn)行安全評(píng)估，但正式通過(guò)審批的申報(bào)數(shù)量有限。申報(bào)未通過(guò)的原由于網(wǎng)信辦可能要求整改以及由此可能產(chǎn)生額外的管理和運(yùn)營(yíng)成本，企業(yè)機(jī)構(gòu)應(yīng)重新審視）：數(shù)據(jù)本地化路線有三種——絕對(duì)本地化、有條件的本地化和鏡像本地化，各自有不同的實(shí)施解釋?zhuān)狭忻織l對(duì)數(shù)據(jù)本地化做出要求的法律法規(guī)都符合其中一種，對(duì)運(yùn)營(yíng)和業(yè)務(wù)產(chǎn)企業(yè)機(jī)構(gòu)需要明確哪些法律和監(jiān)管要求適用于其在中國(guó)的現(xiàn)有業(yè)務(wù)和未來(lái)擴(kuò)張計(jì)劃，并且在選擇本地化路線時(shí)，需要同時(shí)考慮企業(yè)機(jī)構(gòu)的風(fēng)險(xiǎn)偏好和中國(guó)市場(chǎng)產(chǎn)生的業(yè)務(wù)價(jià)值。一旦決定進(jìn)行數(shù)據(jù)本地化，則需要采取積極措施來(lái)評(píng)估并遏制數(shù)據(jù)本地化項(xiàng)目帶來(lái)的安全風(fēng)險(xiǎn)（請(qǐng)參閱《調(diào)整網(wǎng)絡(luò)安全工作，支持應(yīng)用和系統(tǒng)和系統(tǒng)運(yùn)營(yíng)職能集中在全球總部或區(qū)域總部以實(shí)現(xiàn)規(guī)模經(jīng)濟(jì)，而部分對(duì)于支持當(dāng)?shù)貥I(yè)在考慮是否有必要專(zhuān)門(mén)為中國(guó)市場(chǎng)搭建一個(gè)獨(dú)立的IT環(huán)境時(shí)，除了法律和合規(guī)性的考量建議:影響和建議證據(jù)財(cái)產(chǎn)安全受到危害的個(gè)人信息，包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬按照國(guó)家網(wǎng)信部門(mén)的規(guī)定經(jīng)專(zhuān)業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證三）按照國(guó)家網(wǎng)信部門(mén)制11《數(shù)據(jù)出境安全評(píng)估申報(bào)指南(第二版)》和《個(gè)人信息作者推薦技術(shù)能力DevOps安全性的3個(gè)基礎(chǔ)步驟》）并且在不影響運(yùn)營(yíng)靈活性的前提據(jù)處理活動(dòng)。它們能夠梳理隱私流程和工作流成熟度的了解，并提供審計(jì)能力，以體現(xiàn)合規(guī)據(jù)活動(dòng)或開(kāi)展數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估，以實(shí)現(xiàn)數(shù)據(jù)安全路線圖《為貴企業(yè)制定富有韌性的路線圖《為貴企業(yè)制定富有韌性的網(wǎng)絡(luò)安全路線圖》制定有韌性、可拓展、敏捷的網(wǎng)絡(luò)安全戰(zhàn)《使用信息安全項(xiàng)目成熟路線圖保護(hù)企業(yè)商業(yè)資產(chǎn)》升級(jí)信息安全項(xiàng)目，應(yīng)對(duì)新一代威脅。網(wǎng)絡(luò)研討會(huì)《保障數(shù)據(jù)安全領(lǐng)先，解讀網(wǎng)絡(luò)研討會(huì)《保障數(shù)據(jù)安全領(lǐng)先，解讀2024年5大安全挑戰(zhàn)》探討五大數(shù)據(jù)