中华人民共和国国家互联网信息办公室(以下简称“网信办”)颁布的《数据出境安全评估办法》(以下简称《办法》)于2022年9月1日生效。该办法为数据出境传输的安全评估和审批提供了框架,不仅适用于个人信息,也适用于比个人数据范围更广的重要数据。
这一办法的实行,对于在中国经营的跨国公司意味着大量的合规风险,对其正在进行的或即将要进行的数据传输活动具有重要影响。因为对适用于数据出境安全评估的跨国企业而言,只有最终通过政府主导的安全评估,才可以继续数据传输活动。
在中国有业务往来的企业机构可能需要开展当地政府主导的业务数据和个人数据出境安全评估。跨国公司的安全和风险管理(SRM)领导者必须提前计划,避免数据传输或业务运营的中断(见图1)。
图1:数据出境安全评估办法的基本框架
政府主导的安全评估,只有在数据达到一定敏感程度或规模时才会触发
如今,在中国从事国际贸易的公司无论行业和规模如何,其日常运营或多或少地以来数据跨境流动。数据跨境传输能力已经成为生产力、创新和业务增长的重要组成部分和关键推动力。限制或丧失数据出境传输会导致管理和运营成本的增加;削弱产品创新,使产品无法及时进入市场;或使产品价格缺乏吸引力。
然而,并非所有受《办法》监管的数据出境传输活动都需要申请政府主导的安全评估。只有当中国的数据处理者满足一定条件时,才需要申请政府主导的安全评估。
图2:触发政府主导安全评估的决策树
2024年3月,网信办发布的《促进和规范数据跨境流动规定》提出放宽数据跨境传输的合规要求。该《规定》规定了在满足具体条件的情况下,数据出境的企业机构可以免于申报数据出境安全评估、订立个人信息出境标准合同,或获得个人信息保护认证,从而促进中国大陆以外的数据流通。
长时间的申请和评估流程可能会使计划中的项目延期
根据网信办发布的信息以及收到的客户反馈,完成安全评估大约需要三个月。企业机构需要提前计划,尽早根据新要求进行调整,以防数据传输中断或新项目上线延迟。
向当地网信部门申报评估需要提供必要材料。SRM领导者应与安全、隐私、法务、合规和业务部门地关键利益相关者沟通,准备必要的材料。材料不全或信息不准确,可能会导致安全评估取消或失败。
安全评估从周期性的行动变为持续性合规工作
通过数据出境安全评估的结果有效期为3年。数据处理者应当在有效期届满60个工作日前申请延长评估结果或重新申报评估。
作为跨国公司,如果其快速增长的新业务依赖数据跨境流动,则应预见到对安全评估的准备和申报将成为一项持续性运营工作。这会增加管理合规成本,对于大型企业来说也许可以忽略不计,但对于中小型企业来说仍是一个重要问题。
如果跨国公司需要在一个地区集中存储和处理从不同司法辖区(如中国、欧洲和美国)收集的客户数据,则其需要具备对数据进行差异化处理的能力。
安全评估结果促使企业机构重新审视本地化策略
Gartner的客户询问表明,中国大多数受《办法》监管的跨国公司已经开始准备申报或正在进行安全评估,但正式通过审批的申报数量有限。由于网信办可能要求整改以及由此可能产生额外的管理和运营成本,企业机构应重新审视在中国的数据本地化和IT隔离的战略。
好文章,需要你的鼓励
施耐德电气以“新质服务+产业向‘新’行”为主题,第六次参会,展示全新升级的“新质服务体系”,围绕创新驱动、生态协同和行业赋能三大核心领域,以全新升级的“新质服务体系”,助力中国产业向高端化、智能化、绿色化迈进。
香港中文大学联合上海AI实验室推出Dispider系统,首次实现AI视频"边看边聊"能力。通过创新的三分式架构设计,将感知、决策、反应功能独立分离,让AI能像人类一样在观看视频过程中进行实时交流,在StreamingBench测试中显著超越现有系统,为教育、娱乐、医疗、安防等领域的视频AI应用开启新可能。
甲骨文正在成为大规模基础设施供应商的可靠选择。该公司通过AI技术推动应用开发,构建GenAI模型并将智能代理集成到应用套件中。CEO萨弗拉·卡茨透露,公司剩余履约义务达4553亿美元,同比增长4.6倍,并预测OCI收入将从2026财年的180亿美元增长至2030财年的1440亿美元。甲骨文正积极布局AI推理市场,凭借其作为全球最大企业私有数据托管方的优势地位,有望在云计算领域实现重大突破。
Atla公司发布Selene Mini,这是一个仅有80亿参数的AI评估模型,却在11个基准测试中全面超越GPT-4o-mini。通过精心的数据筛选和创新训练策略,该模型不仅能准确评判文本质量,还能在医疗、金融等专业领域表现出色。研究团队将模型完全开源,为AI评估技术的普及和发展做出贡献。