中華人民共和國國家互聯網信息辦公室(以下簡稱“網信辦”)頒布的《數據出境安全評估辦法》(以下簡稱《辦法》)于2022年9月1日生效。該辦法為數據出境傳輸的安全評估和審批提供了框架，不僅適用于個人信息­­­­，也適用于比個人數據范圍更廣的重要數據。

　　這一辦法的實行，對于在中國經營的跨國公司意味著大量的合規風險，對其正在進行的或即將要進行的數據傳輸活動具有重要影響。因為對適用于數據出境安全評估的跨國企業而言，只有最終通過政府主導的安全評估，才可以繼續數據傳輸活動。

　　在中國有業務往來的企業機構可能需要開展當地政府主導的業務數據和個人數據出境安全評估。跨國公司的安全和風險管理(SRM)領導者必須提前計劃，避免數據傳輸或業務運營的中斷(見圖1)。

　　圖1：數據出境安全評估辦法的基本框架

　　政府主導的安全評估，只有在數據達到一定敏感程度或規模時才會觸發

　　如今，在中國從事國際貿易的公司無論行業和規模如何，其日常運營或多或少地以來數據跨境流動。數據跨境傳輸能力已經成為生產力、創新和業務增長的重要組成部分和關鍵推動力。限制或喪失數據出境傳輸會導致管理和運營成本的增加;削弱產品創新，使產品無法及時進入市場;或使產品價格缺乏吸引力。

　　然而，并非所有受《辦法》監管的數據出境傳輸活動都需要申請政府主導的安全評估。只有當中國的數據處理者滿足一定條件時，才需要申請政府主導的安全評估。

　　圖2：觸發政府主導安全評估的決策樹

　　2024年3月，網信辦發布的《促進和規范數據跨境流動規定》提出放寬數據跨境傳輸的合規要求。該《規定》規定了在滿足具體條件的情況下，數據出境的企業機構可以免于申報數據出境安全評估、訂立個人信息出境標準合同，或獲得個人信息保護認證，從而促進中國大陸以外的數據流通。

　　長時間的申請和評估流程可能會使計劃中的項目延期

　　根據網信辦發布的信息以及收到的客戶反饋，完成安全評估大約需要三個月。企業機構需要提前計劃，盡早根據新要求進行調整，以防數據傳輸中斷或新項目上線延遲。

　　向當地網信部門申報評估需要提供必要材料。SRM領導者應與安全、隱私、法務、合規和業務部門地關鍵利益相關者溝通，準備必要的材料。材料不全或信息不準確，可能會導致安全評估取消或失敗。

　　安全評估從周期性的行動變為持續性合規工作

　　通過數據出境安全評估的結果有效期為3年。數據處理者應當在有效期屆滿60個工作日前申請延長評估結果或重新申報評估。

　　作為跨國公司，如果其快速增長的新業務依賴數據跨境流動，則應預見到對安全評估的準備和申報將成為一項持續性運營工作。這會增加管理合規成本，對于大型企業來說也許可以忽略不計，但對于中小型企業來說仍是一個重要問題。

　　如果跨國公司需要在一個地區集中存儲和處理從不同司法轄區(如中國、歐洲和美國)收集的客戶數據，則其需要具備對數據進行差異化處理的能力。

　　安全評估結果促使企業機構重新審視本地化策略

　　Gartner的客戶詢問表明，中國大多數受《辦法》監管的跨國公司已經開始準備申報或正在進行安全評估，但正式通過審批的申報數量有限。由于網信辦可能要求整改以及由此可能產生額外的管理和運營成本，企業機構應重新審視在中國的數據本地化和IT隔離的戰略。

　　數據本地化：企業機構需要明確哪些法律和監管要求適用于于其在中國的現有業務和未來擴張計劃，并且在選擇本地化路線時，需要同時考慮企業機構的風險偏好和中國市場產生的業務價值。

　　中國的IT隔離：在考慮是否有必要專門為中國市場搭建一個獨立的IT環境時，除了法律和合規性的考量(例如數據本地化、等保2.0)，還要考慮到其他業務和技術層面，比如業務生態系統和協同作用、服務和技術提供商的可用性。