M4 — 风险评估评分引擎
满分100分 · ≥70分高危需阻断申报 · v2.0六维加权评分模型
✦ 数据主权合规 NEW✦ AI治理合规 NEW
综合风险评分
78/ 100
阈值: ≥70分触发阻断申报程序
上月评分: 76分 · 本月: 78分 ↑2
上月评分: 76分 · 本月: 78分 ↑2
v2.0 六维模型
+ 数据主权 (20%) · + AI治理 (5%)
六维风险分析 6D Risk Dimensions
数据敏感程度权重 25%
22/25字段类型(生物特征>位置>金融>一般) × 数量规模
出境合法性基础权重 25%
20/25网信办评估状态 + SCCs签署 + DPIA完成度
数据主权合规权重 20%NEW
14/20跨越主权边界数量 + 目标国主权风险评级 + 本地化合规率
安全技术措施权重 15%
11/15加密强度 + 联邦学习实施 + 边缘AI部署 + 访问控制
接收方合规风险权重 10%
7/10接收方国家主权立场 + 认证资质 + 历史违规
AI治理合规权重 5%NEW
4/5EU AI Act风险分级 + Model/Skill/Agent合规覆盖率
数据流风险矩阵 · 六维评分
| 流ID | 源 → 目标 | 主权边界 | 综合评分 | 数据敏感 /25 | 出境合法 /25 | 数据主权 /20 | 安全措施 /15 | 接收方 /10 | AI治理 /5 | 状态 |
|---|---|---|---|---|---|---|---|---|---|---|
F001 | ERP/SAP → ERP Cloud | CN→EU | 82 | 21 | 21 | 16 | 12 | 8 | 4 | 未申报立即整改 |
F002 | IoV Platform → Analytics | CN→HK | 76 | 19 | 19 | 15 | 11 | 8 | 4 | 已申报立即整改 |
F003 | HRO System → HR Cloud | CN→US | 91 | 23 | 23 | 18 | 14 | 9 | 5 | 未申报立即整改 |
F004 | CRM Platform → Salesforce | CN→US | 45 | 11 | 11 | 9 | 7 | 5 | 2 | 已申报限期整改 |
F005 | WMS System → SCM Portal | CN→EU | 58 | 15 | 15 | 12 | 9 | 6 | 3 | 已申报限期整改 |
F006 | TMS Platform → Logistics Cloud | CN→SG | 32 | 8 | 8 | 6 | 5 | 3 | 2 | 已申报监控 |
F007 | Azure ML → AI Training | EU→US | 74 | 19 | 19 | 15 | 11 | 7 | 4 | 未申报立即整改 |
F008 | CRM → HubSpot | GBA→US | 38 | 10 | 10 | 8 | 6 | 4 | 2 | 已申报监控 |
整改措施计划
紧急出境合法性
立即停止health_record字段境外传输,或完成PIPL Art.38强制评估申报
流: F003截止: 2026-04-30负责: CISO
紧急数据主权
数据主权冲突: CN→US跨境传输触发CLOUD Act主权冲突风险,评估数据最小化方案
流: F003截止: 2026-04-30负责: Legal
高出境合法性
完成ERP薪资/银行账号数据出境安全评估申报 (网信办)
流: F001截止: 2026-05-15负责: 法务合规团队
高AI治理合规
EU AI Act Art.10: AI训练数据集需完成数据治理评估,方可跨境传输至US
流: F007截止: 2026-05-20负责: AI Governance团队
高出境合法性
签署中国版SCCs并在10工作日内向省级网信办备案
流: F001截止: 2026-05-20负责: 法务合规团队
中数据主权
核实IoV gps_track数据匿名化处理是否满足汽车数据规定要求
流: F002截止: 2026-05-31负责: IT架构师