《Gartner:2024為中國數據出境安全評估做準備報告(17頁).pdf》由會員分享,可在線閱讀,更多相關《Gartner:2024為中國數據出境安全評估做準備報告(17頁).pdf(17頁珍藏版)》請在三個皮匠報告上搜索。
1、 Gartner 研究研究 為中國數據出境安全評估做準備 Anson Chen 2024 年 6 月 4 日 Gartner,Inc.|G00783641 第 1 頁,共 13 頁 為中國數據出境安全評估做準備 發布日期:2024 年 6 月 4 日-ID G00783641-閱讀全文約需 2 分鐘 分析師:Anson Chen 主題:中國 CIO 的數字技術領導力 在中國有業務往來的企業機構可能需要開展當地政府主導的業務數據和個人數據出境安全評估??鐕镜陌踩惋L險管理(SRM)領導者必須提前計劃,避免數據傳輸和業務運營的中斷。概述概述 影響影響 并非所有數據出境都會觸發政府主導的安全評估
2、。然而,一旦觸發評估,企業機構就需要在進行數據傳輸之前向相關部門報批。政府主導的安全評估可能需要幾個月才能完成,若不能及時響應,可能會中斷現行的數據傳輸或影響新項目的上線。如果傳輸數據的處理流程發生變化,或者接收國的監管環境有所改變,企業機構將需要重新申請政府主導的安全評估。這就將安全評估從一個周期性的行動變成了一系列持續的運營工作。政府主導的安全評估結果和中國監管部門提供的指導意見,將促使企業機構重新審視其中國數據本地化和 IT 隔離戰略。建議建議 在中國經營或業務與中國有關的跨國公司的安全和風險管理(SRM)領導者應:根據出境數據的敏感程度和規模,確認企業機構的出境數據傳輸是否符合申請政府
3、主導的安全評估的條件。Gartner,Inc.|G00783641 第 2 頁,共 13 頁 為正在進行的數據出境傳輸準備并申請政府主導的安全評估,或在將要進行的數據傳輸開始前至少三個月做此準備。利用技術(如流程自動化、工作流管理、數據發現和映射、數據活動監測,以及審計和風險評估)簡化安全評估的重后流程,并為流程的完整性設立正式的審查程序。在規劃未來在中國的 IT 布局和運營時,將期中的風險分析發現和政府主導的安全評估結果納入考量。這一辦法的實行,對于在中國經營的跨國公司意味著大量的合規風險,對其正在進行的或即將要進行的數據傳輸活動具有重要影響。因為企業只有最終通過政府主導的安全評估,才可以繼
4、續數據傳輸活動。對于 2022 年 9 月之前已經開展的數據出境活動,辦法 提供了 6 個月的過渡期(截至 2023年 3 月 1 日),用于整改不符合該辦法規定的數據傳輸。2022 年 9 月之后的數據出境傳輸(如符合適用標準)則必須完成安全評估,經國家網信部門審批后方可進行傳輸活動。企業機構必須提前做好計劃,以防數據傳輸或業務運營的中斷(見圖 1)。圖 1:數據出境安全評估辦法的基本框架 數據出境安全評估辦法的基本框架 Gartner,Inc.|G00783641 第 3 頁,共 13 頁 導語導語 中華人民共和國國家互聯網信息辦公室-中國的最高網絡安全機構,頒布了 數據出境安全評估辦法(
5、以下簡稱辦法)1,于 2022 年 9 月 1 日生效。該辦法為數據出境傳輸的安全評估和審批提供了框架,不僅適用于個人信息,2也適用于比個人數據范圍更廣的重要數據。3 政府主導的安全評估,只有在數據達到一定敏感程度或規模時才會觸發政府主導的安全評估,只有在數據達到一定敏感程度或規模時才會觸發 如今,在中國從事國際貿易的公司無論行業和規模如何,其日常運營都或多或少地依賴數據跨境流動。數據跨境傳輸能力已經成為生產力、創新和業務增長的重要組成部分和關鍵推動力。限制或喪失數據出境傳輸會導致管理和運營成本的增加;削弱產品創新,使產品無法及時進入市場;或使產品價格缺乏吸引力。受辦法監管的數據出境傳輸活動,
6、主要分為三種情況(見圖 2):直接出境:使用部署在境外的應用系統處理在中國境內收集或產生的數據;或使用廠商提供的軟件即服務(SaaS)服務(比如客戶關系管理CRM、人力資本管理、企業資源規劃ERP),但該 SaaS 服務在中國境內沒有部署本地系統設施。在這種情況下,數據沒有在本地存儲。同步出境:在中國境內收集或產生的數據首先會在本地存儲,然后同步到境外部署的另一個數據存儲庫,用于不同的商業目的,比如數據整合或分析。境外訪問:允許位于境外的用戶(如數據分析師、IT 運維人員、托管安全服務廠商)遠程訪問存儲在本地的數據。圖 2:數據出境的三種情況 Gartner,Inc.|G00783641 第
7、4 頁,共 13 頁 這三種情況都受辦法的制約,但并非所有數據出境活動都需要申請政府主導的安全評估。只有當中國的數據處理者滿足下列條件(見圖 3)時,才需要申請政府主導的安全評估。數據敏感程度:數據處理者 被定義為中國的關鍵信息基礎設施運營者(CIIO)4 向境外提供重要數據(重要數據的定義須遵循相關機構發布的指南,如 CAC 或行業監管機構)數據規模:數據處理者 自當年 1 月 1 日起累計向境外提供 100 萬人以上個人信息 自當年 1 月 1 日起累計向境外提供 1 萬人以上敏感個人信息5 Gartner,Inc.|G00783641 第 5 頁,共 13 頁 圖 3:觸發政府主導安全評
8、估的決策樹 2024 年 3 月,網信辦發布的促進和規范數據跨境流動規定9提出放寬數據跨境傳輸的合規要求。該規定規定了在滿足具體條件的情況下,數據出境的企業機構可以免于申報數據出境安全評估、訂立個人信息出境標準合同,或獲得個人信息保護認證,從而促進中國大陸以外的數據流通。對于處理少量個人信息或僅以訂立或履行合同為目的而收集個人信息的跨國公司而言,該合規要求調整如果得以實施,將會極大減輕他們的合規負擔。然而,規定并未免除數據出境企業機構在進行數據出境活動時獲取數據主體個人同意的義務。如果企業機構數據的敏感程度或規模未達到上述標準,則無需申請政府主導的數據出境安全評估。對于處理個人數據的企業機構來
9、說,數據出境安全評估規定并不是適用于境外傳輸的唯一條件。SRM 領導者應咨詢法務部門,明確適用的其他條件6,包括與境外數據接收者訂立標準合同7,或向授權機構申請認證8。Gartner,Inc.|G00783641 第 6 頁,共 13 頁 如果政府主導的安全評估確為必要,相關企業機構必須立即響應合規要求。如不合規,則視為違反了中國網絡安全法、數據安全法、個人信息保護法和/或相關刑法規定(請參閱目標仍在變化中-如何應對中國數據安全法)。這可能會導致企業數據傳輸中斷、吊銷營業執照或面臨高額罰款10。建議:如果企業機構的數據出境活動受到辦法的監管,安全和風險管理(SRM)領導者必須:對直接出境、同步
10、境外或境外訪問的數據類型(個人數據和重要數據)和數據規模進行梳理。根據數據的敏感程度和規模,確定企業機構的數據出境傳輸是否需要申報政府主導的安全評估。如政府主導的安全評估不適用于企業機構的個人數據傳輸,根據個人信息保護法的規定,申請其他合法的個人數據出境途徑。長時間的申請和評估流程可能會使計劃中的項目延期長時間的申請和評估流程可能會使計劃中的項目延期 根據網信辦發布的信息,完成安全評估大約需要三個月。企業機構需要提前計劃,盡早根據新要求進行調整,以防數據傳輸中斷或新項目上線延遲。網信辦的一系列規定指出,企業機構須至少采取以下四個步驟來準備和申請政府主導的安全評估:1.將數據出境傳輸事宜通知數據
11、主體,并且獲得數據主體的個人同意。2.在政府主導的安全評估開始前,對數據出境活動進行隱私影響評估(PIA)和風險自評(參考網信辦提供的風險自評模板8)。3.通過合同、技術或組織層面等措施,填補上一步中發現的差距(詳細的實施指南請參閱“作者推薦閱讀”部分)。4.向當地網信部門申請政府主導的安全評估。向當地網信部門申報評估需提供必要材料。SRM 領導者應與安全、隱私、法務、合規和業務部門的關鍵利益相關者溝通,準備必要的材料。材料不全或信息不準確,可能會導致安全評估取消或失敗。SRM 領導者應準備:Gartner,Inc.|G00783641 第 7 頁,共 13 頁 完整的申報表-使用網信辦提供的
12、申報表模板11。請注意,申報表中須指明企業機構數據安全負責人(請參閱快問快答:企業機構在中國如何有效地設立數據安全負責人角色?)。數據出境風險自評估報告-使用網信辦提供的自評估報告模板8 數據提供者與中國境外數據接收方之間的合同或法律文件-申報表模板11中列出了相關條款。對于個人數據出境,個人信息出境標準合同條款7可作為制定相關合同或法律文件的參考依據。其他材料網信辦要求的其他材料。建議:鑒于準備所需申報材料和完成安全評估所需的時間很長,SRM 領導者應:開展 PIA 和風險自評并定期復核,以發現差距并及早計劃整改。與 IT 安全團隊和隱私辦公室合作,結合技術措施和組織層面措施,制定并實施整改
13、辦法。整改措施和整改結果都必須記錄在風險自評估報告中。與內部法務和合規團隊合作,根據數據傳輸目的和背景,制定與境外數據接收方簽訂的合同和法律文件。安全評估從周期性的行動變為持續性合規工作安全評估從周期性的行動變為持續性合規工作 通過數據出境安全評估的結果有效期為 2 年。數據處理者應當在有效期屆滿 60 個工作日前重新申報評估。在有效期內出現以下情形之一的,數據處理者應當重新申報評估:向境外提供數據的目的、方式、范圍、種類發生變化 境外接收方處理數據的用途、方式發生變化 境外接收方所在國家或者地區數據安全保護政策法規和網絡安全環境發生變化 數據處理者或者境外接收方實際控制權發生變化 數據處理者
14、與境外接收方法律文件變更,影響了出境數據安全 作為跨國公司,如果其快速增長的新業務依賴數據跨境流動,則應預見到對安全評估的準備和申報將成為一項持續性運營工作。這會增加管理合規成本,例如監測不同的法律變化、與境外數據接收方洽談合同,以及生成風險評估和合規報告。Gartner,Inc.|G00783641 第 8 頁,共 13 頁 由此產生的合規成本,對于大型企業來說也許可以忽略不計,但對于中小型企業(SME)來說仍是一個重要問題。表 1 列出的技術,可以幫助企業機構實現合規管理工作和流程的標準化、自動化。表 1:促進合規管理標準化和自動化的技術 技術技術 能力能力 IT 風險管理(ITRM)解決
15、方案 ITRM 解決方案的核心能力包括工作流管理、風險分析、報表生成、數字資產發現、數據集成和第三方。ITRM 解決方案提供了取代數字環境中協調風險治理所需的人工介入操作,切實地節約成本。持續合規自動化(CCA)CCA 將合規和安全政策整合到 DevOps 交付通道(請參閱 實現 DevOps 安全性的 3 個基礎步驟),使企業能夠在交付的各個階段納入合規策略,并且在不影響運營靈活性的前提下持續執行合規策略。隱私管理工具 隱私管理工具幫助企業機構獲取合規洞察力,并根據監管要求檢查數據處理活動。它們能夠梳理隱私流程和工作流,提升對數據流和治理成熟度的了解,并提供審計能力,以體現合規性,特別是在跨
16、多個司法轄區的情況下(請參閱隱私現狀:開啟數據財富新時代的隱私技術)。數據安全平臺(DSP)DSP 匯總了不同數據類型、存儲孤島和生態系統的數據保護要求,大大增加了數據及其使用的可見性和控制力。成熟的 DSP 可以監測數據活動或開展數據風險評估,以實現數據安全和隱私相關的合規目標(請參閱 數據安全平臺市場指南)。來源:Gartner(2022 年 11 月)關于表 1 所列的實施指南和代表性廠商的更多信息,請參閱2023 年網絡風險管理技術成熟度曲線、2023 年隱私保護技術成熟度曲線和2023 年中國安全技術成熟度曲線。Gartner,Inc.|G00783641 第 9 頁,共 13 頁
17、如果跨國公司需要在一個地區集中存儲和處理從不同司法轄區(如中國、歐洲和美國)收集的客戶數據,則其需要具備對數據進行差異化處理的能力。例如維護多個版本的應用在部署于中國境內的舊版本上運行中國的個人數據,以避免經常觸發重新申報程序;同時在部署于中國境外的后期版本上運行歐洲和美國的個人數據。建議:面對反復出現的合規任務和不斷增加的管理成本,SRM 領導者應 針對重新申報政府主導的安全評估的情況,制定內部規則和流程,并且為確保流程的完整性設立正式的審查程序。確保其制定的流程獲得了業務負責人、法務、合規、數據與分析,以及隱私部門的認可,并且已事先和這些部門充分溝通。采用符合企業機構需求和 IT 成熟度的
18、技術(例如流程自動化、工作流管理、數據發現和映射、數據活動監測和審計,或風險評估),簡化和實施安全評估重新申報的流程。安全評估結果促使企業機構重新審視本地化策略安全評估結果促使企業機構重新審視本地化策略 在撰寫本報告的同時,Gartner 的客戶詢問表明,中國大多數受辦法監管的跨國公司已經開始準備申報或正在進行安全評估,但正式通過審批的申報數量有限。申報未通過的原因和對未通過申報的指導意見尚未公布。不過,對于不符合辦法要求的情況,一般的整改方向包括(但不限于):對于數據流和數據存儲,采用以數據為中心的技術性控制(例如數據脫敏、合牌化、加密和訪問控制)對于境外數據處理和傳輸,補全用戶同意書 強化
19、數據處理者和數據接收方的應用和 IT 基礎設施安全態勢 提高數據安全和隱私管理能力 修改與境外數據接收方的合同或法律文件 在本地存儲和處理數據(通常涉及云服務的設計和獲?。┯捎诰W信辦可能要求整改以及由此可能產生額外的管理和運營成本,企業機構應重新審視在中國的數據本地化和 IT 隔離的戰略。Gartner,Inc.|G00783641 第 10 頁,共 13 頁 數據本地化數據本地化 中國相關部門已經根據相關法律和行業法規頒布了數據本地化要求(下列法規并非全部):人民銀行關于銀行業金融機構做好個人金融信息保護工作的通知2011 年 人口健康信息管理辦法(試行)2014 年 地圖管理條例2015
20、年 中華人民共和國網絡安全法2017 年 中華人民共和國數據安全法2021 年 中華人民共和國個人信息保護法2021 年 汽車數據安全管理若干規定(試行)2021 年 數據本地化路線有三種絕對本地化、有條件的本地化和鏡像本地化,各自有不同的實施解釋,而上列每條對數據本地化做出要求的法律法規都符合其中一種,對運營和業務產生影響(請參閱2024 年推動業務發展的主要隱私趨勢)。企業機構需要明確哪些法律和監管要求適用于其在中國的現有業務和未來擴張計劃,并且在選擇本地化路線時,需要同時考慮企業機構的風險偏好和中國市場產生的業務價值。一旦決定進行數據本地化,則需要采取積極措施來評估并遏制數據本地化項目帶
21、來的安全風險(請參閱調整網絡安全工作,支持應用和數據本地化戰略)。中國的中國的 IT 隔離隔離 在中國開展業務的跨國公司,傳統上會采用聯邦模式來運營在中國的 IT。IT 部門會將應用系統和系統運營職能集中在全球總部或區域總部以實現規模經濟,而部分對于支持當地業務運營必不可少的應用系統和系統運營職能則在中國進行本地化。在考慮是否有必要專門為中國市場搭建一個獨立的 IT 環境時,除了法律和合規性的考量(例如數據本地化、等保 2.0),還要考慮到其他業務和技術層面,比如業務生態系統和協同作用、服務和技術提供商的可用性(請參閱中國市場解耦全球應用的三種方案和快問快答:跨國企業 CIO 在何種情況下需要
22、實施中國 IT 的隔離?)。建議:面對政府主導的安全評估各種可能的結果和后續整改要求,SRM 領導者應:Gartner,Inc.|G00783641 第 11 頁,共 13 頁 做好應對規劃,評估未來可能采取的整改措施的實施效果和時間。根據中國業務現狀以及未來擴張計劃,評估企業機構是否需要遵循已經頒布的數據本地化要求。建立決策樹,幫助企業機構平衡風險偏好和業務價值,就中國的數據本地化和 IT 隔離的路線做出可復用的決策。影響和建議影響和建議 證據證據 1 數據出境安全評估辦法,2022 年 7 月 7 日,國家互聯網信息辦公室。2“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有
23、關的各種信息,不包括匿名化處理后的信息?!敝腥A人民共和國個人信息保護法第四條,2021 年 8 月20 日,全國人民代表大會常務委員會。3“本辦法所稱重要數據,是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等,可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據”數據出境安全評估辦法第十九條,2022 年 7 月 7 日,國家互聯網信息辦公室。4“本條例所稱關鍵信息基礎設施,是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等
24、?!标P鍵信息基礎設施安全保護條例第二條,2021 年 8 月 17 日,中華人民共和國國務院。5“敏感個人信息是一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息?!敝腥A人民共和國個人信息保護法第二十八條,2021 年 8 月 20 日,全國人民代表大會常務委員會。6“個人信息處理者因業務等需要,確需向中華人民共和國境外提供個人信息的,應當具備下列條件之一(一)依照本法第四十條的規定通過國家網信部門組織的安全評估;(二)按照國家網信部門的規定經專業機
25、構進行個人信息保護認證;(三)按照國家網信部門制定的標準合同與境外接收方訂立合同,約定雙方的權利和義務;(四)法律、行政法規或者國家網信部門規定的其他條件?!敝腥A人民共和國個人信息保護法第三十八條,2021年 8 月 20 日,全國人民代表大會常務委員會。7 個人信息出境標準合同辦法,2023 年 2 月 22 日,國家互聯網信息辦公室。Gartner,Inc.|G00783641 第 12 頁,共 13 頁 8 個人信息跨境處理活動安全認證規范,2022 年 6 月 24 日,全國信息安全標準化技術委員會(TC260)。9 促進和規范數據跨境流動規定,2024 年 3 月 22 日,國家互聯
26、網信息辦公室。10 中國因滴滴全球違反數據安全法向其罰款 12 億美元,2022 年 7 月 21 日,經濟時報。11 數據出境安全評估申報指南(第二版)和個人信息出境標準合同備案指南(第二,2024 年 3 月 22 日,國家互聯網信息辦公室近)12 助力數字經濟高質量發展北京率先實現數據跨境安全便捷流動,2024 年 1 月 9 日,中國政府網。作者推薦作者推薦 視當前的訂閱情況而定,部分文件可能無法查看。目標仍在變化中-如何應對中國數據安全法 隱私現狀-中國 安全和風險管理領導者指南:中國的數據安全 開展隱私影響評估,確?;鶞孰[私標準 2024 年推動業務發展的主要隱私趨勢 跨國運營可以
27、通過邊緣計算緩解市場退出風險 Gartner,Inc.|G00783641 第 13 頁,共 13 頁 2024 Gartner,Inc.及/或其關聯公司。保留所有權利。Gartner 是 Gartner,Inc 及其關聯公司的注冊商標。如無 Gartner 事前書面許可,不得以任何形式復制或傳播本出版物。本出版物中包含 Gartner 研究部門的觀點,不應被理解為事實陳述。本出版物中所含信息取自可靠來源,但 Gartner 不對此類信息的準確性、完整性和適當性做任何保證。Gartner研究中可能涉及法律及財務問題,但 Gartner 并不提供法律建議或投資服務,亦不可將Gartner 研究成
28、果作此用途。訪問和使用本出版物時應遵守Gartner 使用條款之規定。Gartner 以獨立客觀而蜚聲業界,所有研究項目均由公司研究部門獨立完成,不受任何第三方影響。如需更多信息,敬請參閱獨立性和客觀性指導原則。Gartner 研究不得用作生成式人工智能、機器學習、算法、軟件或相關技術的培訓或開發知識。Gartner,Inc.|G00783641 第 1A 頁,共 1A 頁 表 1:促進合規管理標準化和自動化的技術 技術技術 能力能力 IT 風險管理(風險管理(ITRM)解決方案)解決方案 ITRM 解決方案的核心能力包括工作流管理、風險分析、報表生成、數字資產發現、數據集成和第三方。ITRM
29、 解決方案提供了取代數字環境中協調風險治理所需的人工介入操作,切實地節約成本。持續合規自動化(持續合規自動化(CCA)CCA 將合規和安全政策整合到 DevOps 交付通道(請參閱實現DevOps 安全性的 3 個基礎步驟)并且在不影響運營靈活性的前提下持續執行合規策略。隱私管理工具隱私管理工具 隱私管理工具幫助企業機構獲取合規洞察力,并根據監管要求檢查數據處理活動。它們能夠梳理隱私流程和工作流,提升對數據流和治理成熟度的了解,并提供審計能力,以體現合規性,特別是在跨多個司法轄區的情況下(請參閱隱私現狀:開啟數據財富新時代的隱私技術)。數據安全平臺(數據安全平臺(DSP)DSP 匯總了不同數據
30、類型、存儲孤島和生態系統的數據保護要求,大大增加了數據及其使用的可見性和控制力。成熟的 DSP 可以監測數據活動或開展數據風險評估,以實現數據安全和隱私相關的合規目標(請參閱數據安全平臺市場指南)。來源:Gartner(2022 年 11 月)可行的客觀洞察可行的客觀洞察 為您的部門獲得成功做好準備。探尋為高科技領導者提供的其他免費資源和工具:報告報告 使用信息安全項目成熟路線圖保護企業商業資產 升級信息安全項目,應對新一代威脅。路線圖路線圖 為貴企業制定富有韌性的網絡安全路線圖 制定有韌性、可拓展、敏捷的網絡安全戰略。即刻下載即刻下載 即刻下載即刻下載 電子書電子書 2024 年安全與風險管
31、理領導者領導力前瞻 明確安全與風險管理領導者的重要優先事項。網絡研討會網絡研討會 保障數據安全領先,解讀2024 年 5 大安全挑戰 探討五大數據安全挑戰,幫助企業加強數據安全態勢。即刻下載即刻下載 立即觀看立即觀看 您已經是 Gartner 客戶?您可在客戶門戶網站上獲得更多的資源。登錄 聯系我們聯系我們 獲得可行、客觀的洞察,做出明智的決策,履行您關鍵任務的優先事項。聯系我們成為客戶:點擊了解更多關于點擊了解更多關于 Gartner 網絡安全領導者的相關信息網絡安全領導者的相關信息 持續獲得最新洞察持續獲得最新洞察 2024 Gartner,Inc.及/或其關聯公司。保留所有權利。CM_GTS_3192082 加入我們加入我們