美国公司如何接近中国的数据、隐私和网络安全制度

美国公司如何接近中国的数据、隐私和网络安全制度 安东尼奥·道格拉斯和汉娜Feldshuh2022年4月 执行概要 在过去五年中，中国建立了庞大的数据、隐私和网络安全制度，希望保护个人数据和加强国家安全。虽然许多国家也开始更严格地监管数据，但中国的环境具有独特的限制性。对于在中国经营的跨国公司来说，新的法律、法规和标准尤其具有挑战性，因为它们的运营、产品和服务依赖于快速、流畅的跨境数据流。美中贸易全国委员会（USCBC）已与30多家美国公司进行了交谈，以更好地了解他们的数据、隐私和网络安全合规挑战，以及他们应对这一重要市场政策不确定性的计划。 核心的挑战 数据本地化、规范性网络安全规则和跨境数据流限制：数据本地化规则、规范性网络安全要求和跨境数据传输安全的组合审查要求使中国成为数据和网络安全治理方面限制最严格的主要经济体之一。政策草案将进一步推动这一趋势，大大增加在中国开展业务的成本，扰乱全球体系，并限制外国公司可以带到中国的商品和服务类型。 监管模糊性：一些最重要的法律法规的实际细节不明确或未定义，包括关键术语的定义、管辖机构、规则是强制 性还是自愿性，以及数据本地化和跨境数据传输审查的范围和门槛。虽然USCBC预计这些规则将在未来发布，但公司已经遇到了相关的执法挑战。 监管执法不一致：尽管缺乏实际步骤，但公司越来越多地报告遵守法规的压力。执法的水平和类型因地区和 行业而异，使公司不确定如何遵守。 公司对这种不断变化的立法和监管环境的反应因行业和他们在中国收集的数据类型而异。至少，所有受访公司都表示，他们正在绘制其数据流并评估其业务结构以进行任何必要的调整。 中国数据、隐私和网络安全制度的长期后果仍有待观察。如果严格实施这些政策，一个可能的结果是创建数据孤岛，迫使公司本地化技术、人员和流程，使其与全球运营脱节。这可能会迫使公司在中国和全球市场单独提供产品或进行单独的研发。这一系列影响可能会损害中国商业环境的竞争力，损害中国消费者、企业在中国的竞争力以及中国与全球经济的融合。 表的内容 3介绍 4数据和隐私法律环境 6关键数据和隐私问题 6跨境数据传输的限制 7数据本地化导致的系统和人员配备重复 7数据本地化对网络安全的影响 8将个人信息与重要数据混为一谈 9模棱两可的立法和监管执法 9与标准用于其他市场冲突 10行业的挑战 11公司对关键数据和隐私问题的回应 13网络安全的监管环境：多层次保护计划 15关键问题与mlp2.0 16MLPS2.0和网络安全执法趋势和关注点 17前方的道路 18附录:目录的关键政策 介绍 在数据是必不可少的商业资源的时代，所有国家都在寻求平衡对合法数据、隐私和网络安全保障的需求与鼓励经济活力和增长的必要性。中国也不例外。在那里，政策制定者在短时间内付出了巨大的努力来解决这一复杂的平衡行为。自中国《网络安全法》（CSL）于2017年生效以来，各部门的监管机构一直在密切关注数据、隐私和网络安全方面的需求，从而阐明了政府、企业和个人的标准。 Cyber-Related担忧的问题 中国法规中对跨境数据流的限制合规要求和条款的模糊性 数据本地化需求无法在中国使用全球IT解决方案或非中国基于云的应用程序 中国境内的互联网服务来自政府监管机构的 侵入性网络安全检查 窃取知识产权 因收集和管理个人身份信息而产生的法律责任 由于国家安全/保护主义导致在中国的销售损失 中国使用加密算法的压力 其他 24% 15% 8% 29% 29% 38% 44% 49% 58% 56%6% 54%13% 非常关心 有点担心不担心 不确定或NA 50% 31% 参与国内网络相关标准机构7% 随着时间的推移，美国公司越来越关注中国数据、隐私和网络安全制度正在向独特关的注限中制国方的向信发息展流动。和自技20术1安5年全以政来策，在USCBC的年度会员调查中，平均超过80%的受访者对中国在隐私，数据，网络安全和信息流方面的政策和法规表示担忧。企业尤其关注数据本地化、网络安全要求和跨境数据传输审查方面挥之不去的模糊性。虽然中国监管机构投入了大量时间和精力来回答问题，但关键定义和流程仍未确定。在这种背景下，美国企业在应对这些仍在演变的制度时面临着越来越多的运营挑战。 方法 本报告来自对USCBC成员公司的大约30次采访，涉及信息通信技术（ICT）、酒店、医疗保健、能源、服装、制造、运输、金融服务和汽车行业。各行各业的广度表明，这些关切在ICT领域之外得到了广泛的关注。公司代表被问及标准化问题，包括网络安全、隐私、数据本地化和跨境数据流。 数据和隐私法律环境 2017年中国《网络安全法》的颁布引发了许多人的担忧，即中国在数据、隐私和网络安全方面的政策将如何影响外国企业。随着随后几年各种规则和标准的发布，许多关于CSL可能走向中国政策环境的担忧已经出现。 2021年颁布的《数据安全法》（DSL）和《个人信息保护法》（PIPL）加剧了这些担忧。这些法律扩大了限制的范围，但没有为公司提供履行其义务所需的明确性。它们共同为中国的数据和隐私制度以及网络安全分级系统奠定了基础，本报告稍后将对此进行讨论。中国国家互联网信息办公室（CAC）、工业和信息化部（MIIT）和公安部（MPS）是这三部法律的主要监管机构。 网络安全法律 有效的2017年6月以来 《网络安全法》是中国所有网络安全相关立法的开创性法律。该法律规定了国家和公司在内容控制、 隐私、IT安全和数据方面的责任。 适用范围：本法适用于网络运营者，即在中国建设、运营、维护或使用网络的实体。 数据本地化和跨境流动：在中国，关键信息基础设施（CII运营商）的关键网络的运营商必须在本地存储个人信息和重要数据，并在这些数据转移到国外之前接受安全审查。 多级保护方案：所有网络运营商都必须根据称为网络安全多级保护方案（MLPS2.0）的五级方案对其系统进行评级。评级较高的系统需要遵守更严格的合规性要求和外部审查。 网络安全审查：关键网络在购买可能影响国家安全的产品或服务之前必须经过政府安全审查。 个人信息限制：网络运营者不得超出其服务范围收集信息，必须征得被收集个人信息的个人同意。 立法环境包括许多未最终确定的法规和实施措施，以及数百个为公司数据管理提供信息的其他标准。附录中提供了主要立法和法规的目录。 重要数据：DSL授权中央和地方各级行业监管机构根据这些数据受到损害对国家安全、经济安全和民生构成的风险，创建特定行业的重要数据目录。尽管发布了一些特定行业的法规，但目前尚不清楚哪些数据最终将构成重要的分类。 扩大跨境限制：根据CSL的要求，DSL将跨境数据传输限制扩展到CII运营商之外，以包括“一般运营商”，表面上包括处理重要数据的任何公司或组织。 数据安全审查：该法对可能影响国家安全的跨境传输建立了数据安全审查制度。 数据分类：建立综合数据分类体系，根据数据被篡改、破坏、泄露等可能造成的危害对数据进行分类。 地理范围：虽然《个人数据法》主要适用于中国境内的组织和个人，但它也包括一个域外部分，当发现中国大陆境外的人从事损害国家安全利益的数据活动时，授予他们有限的权力来惩罚他们。 个人信息保护法 2021年11月以来有效的 个保法规定了用户、监管机构和数据处理者的隐私权和义务。在三大主要网络法律中，PIPL可以说是最充 实的，这可能是由于受到欧盟《通用数据保护条例》（GDPR）的启发。 基于数量的阈值：个保法引入了低容量阈值，触发了数据本地化和跨境传输安全审查要求。 数据跨境流动：个保法还扩大了对个人信息跨境传输的有条件限制，如果运营商满足以下三种情况之一，则允许传输：1）与数据接收方签订符合政府规定的标准合同，2）接受合格机构的认证，或3）接受政府机构的跨境安全审查。它进一步扩大了CAC主导的跨境数据传输安全评估的范围，从仅涵盖关键网络扩展到具有一定数量个人信息的公司。 同意：个保法规定，同意是收集个人信息的主要法律依据，法律缺乏其他司法管辖区存在的“合法利益”的例外情况。 地理范围：个保法主要适用于个人信息主体处理中国境内的活动，但也包括域外部分，允许中国当局在有限的情况下惩罚国外违反隐私规则的人。 关键数据和隐私问题 信息技术与创新基金会2021年的一份报告指出，中国拥有世界上最严格的数据限制制度，目前有29项政策推动事实上或强制的数据本地化。 此外，世界银行的《2021年世界发展报告》发现，中国是仅有的11个对跨境数据流采取有限转移方式的国家之一。 对USCBC成员公司的采访呼应了这些发现。在与数据、隐私和网络安全相关的问题中，各行各业的公司都对中国要求本地化数据并接受安全评估以将数据传输到国外的要求表示了最高程度的关注。成员们报告说，由此对正常全球运营造成的干扰通常只能通过将重复的技术、人员和流程放在中国，并进行昂贵的调整，使公司相对于中国国内竞争对手的竞争力降低来解决。在某些情况下，这阻碍了公司将先进或新一代产品推向中国市场。 对于跨国公司而言，无缝的跨境数据流对于日常业务运营、网络安全风险管理、中国和第三方市场的合规、产品安全和服务、研发以及尽职调查（如金融领域的反洗钱和反恐融资）至关重要。 跨境数据传输的限制 在USCBC的2021年会员调查中，跨境数据流限制在网络相关问题中排名最高，58%的公司表示担忧。对跨境数据流的限制不成比例地损害了外国企业在中国的运营和竞争力，这些企业利用全球基础设施和一致的全公司实践。随着中国企业在海外的不断发展和扩张，对数据流的限制将 同样伤害他们的发展。 现行法规以各种方式限制从中国到其他市场的跨境数据流，包括要求政府授权的安全审查才能传输，直接禁止某些数据类型的传输，以及要求用户获得无关和单独的同意。政府对公司运营的这种程度的监督在中国并不常见。如何实施这些审查的不确定性给各行业的公司带来了合规性的模糊性。 案例研究：数据传输问题阻碍企业将尖端技术引入中国 一家领先的医疗设备制造商表示，它希望开发一个远程程序来管理其在中国的产品，允许通过5G技术进行远程调整。远程调整的过程需要中国和国外工程师之间持续、自由地流动数据。最终，该公司总部确定，关键跨境数据流中断的可能性使得提供该产品过于复杂、昂贵且可能无利可图。这一不幸的现实限制了外国公司将创新产品推向市场的能力，并剥夺了中国患者领先的医疗保健技术。 在USCBC接受采访时，尚未有受访者按照《网络安全法》、《DSL》和《个保法》的法律要求，对其跨境传输个人信息和重要数据进行政府主导的安全评估，因为定义规则仍处于草案形式。 此外，大多数企业表示，他们正在等待有关如何在其行业中定义“重要数据”的进一步信息。从理论上讲，政府安全审查为向国外转移提供了次优途径，尽管成员报告说，审查的理由、范围、频率和要求仍然不清楚，审查可能会引起对专有数据的隐私担忧。随着监管机构试图在缺乏透明和可预测的流程的情况下承担这一新责任，企业担心他们可能会因不可预测的违规行为而受到任意和突然的终止，以及罚款、删除通知和公开谴责，类似于2021年对顶级科技公司的点名和羞辱 。 数据本地化导致的系统和人员配备重复 USCBC的2021年会员调查发现，54%的公司担心数据本地化要求。全球公司将其数据基础架构视为集成资源，使用全球数据网络进行创新并提供最优质的服务。数据本地化要求扰乱了这一过程，并且通常需要重复这些系统，从而显着增加了在中国的运营成本，同时使公司的中国业务与其全球IT基础设施断开连接。A2021年 国会研究服务研究发现，市场中的计算成本 跨境数据传输限制了产品故障排除，这使外国公司处于不利地位 根据USCBC的2021年会员调查，49%的受访者担心无法利用全球 IT解决方案或 中国非中文的基于云的应用程序。拥有全球化系统的公司在更新操作系统或直接与客户对接时，可能会因跨境数据传输要求而面临延迟或限制。相比之下，不关心跨境限制的国内公司能够主动响应本地化的故障排