中国数据安全相关法规的白皮书（英）

中国的数据合规策略 2024年9月 手册/报告标题在这里|节标题在这里 Contents 执行摘要01 中国数据法规概述02 规划建议04 管理机会和风险05 识别受隐私和数据安全法规影响的数据06 制定本地化战略08 关键收益14 附录一15 附录二16 附录三19 中国数据合规战略|执行摘要 执行摘要 本白皮书的目标受众 这篇论文适合在中国大陆有较大业务或计划扩展中国大陆业务的中大型企业。 数据安全法,andthe2021年个人信 息保护法这些法律法规显著改变了在中国开展业务的本质。监管趋势正以越来越快的速度变得更加严格和复杂 ，包括中国国家互联网信息办公室每半年进行一次的审查。 在中国的监管环境下——与当地监管部门沟通——获取软件许可——建立本地团队以确保满足当地的合规要求——设置新服务并配置相关应用程序——规划、测试并执行数据和代码迁移——上线用户 公司与中国市场 中国大陆为跨国公司提供了巨大的商业机会。按名义GDP计算，它是世界第二大经济体；按购买力平价计算，则位居世界第一。中国的GDP超过其前四大竞争对手的总和。2023年中国GDP增长5.2%——远远快于其他同等规模的经济体。通常的商业案例往往是基于总的可address市场或市场增长，而中国在这两方面都是领导者。 然而，也存在与中国市场相关的商业风险-其中包括最近的数据法律法规 。《网络安全法》于2017年通过， multinational公司面临及时遵守这些规定所带来的挑战。企业IT项目的时间周期往往远长于半年一次的监管更新周期。在此期间，公司需要： 1.持续监控和跟踪最新的监管要求； 2.评估现有系统和流程以确定合规性缺口； 3.制定并实施合规计划，包括必要的技术改造和管理措施； 4•.对定所期有审数查据和进更行新分合类规策，略即以使应是对不新属 的于监中管国变的化数；据，包括这些数据的敏感5性.水加平强内部培训和意识提升，确保员工了解并遵循相关法规。 •接受中国网络安全管理局的安全评估(这取决于运营规模) 企业需要选择能够应对监管变化、促进中国市场增长，并确保其中国大陆运营与全球其他地区业务保持一致的战略。企业现在就可以采取一些措施和策略，在保护客户数据的同时，解决监管和法律问题，开展在中国的业务。 01 随后•在许多技术和资源项目上建立并获得批准，包括：-寻找法律方法来遵守 中国数据法规概述 在中国大陆，有多项重叠的法律法规涉及客网户络数安据全的法处（理C和S管L）理于。20!"1#7年$出台 台，个人信息保护法（PIPL）于202 %&'()&"*+,-+./()(+01&2('3+(*4+，!3数5据6安1+全!"法#（$D%S&L）(*于'62021年出 *r+&&#r#dra:+dr#2:on2#210;<62 ~13个月 ~7个月 选择性 个人信息保护法(PIPL) CBDT安全评估的措施 13thOct,2020 PIPL的初稿是！提交给国家 人民代表大会中华人民共和国 用于审查 21stOct,2020 19thNov,2020 30thApr,2021 第二稿！PIPL被释放征询公众意见 20th 全国人民封闭的公众！！ 国会对PIPL发表了PIPL评论 （草案)和邀请的公开草案注释 1sAtNugo,v2.,0220121 生效由发布！！ 常设委员会国家的 人民代表大会 中华人民共和国 7thJul.,2022 •!ThemeasureofCBDTsecurity 评估“标准”由CAC "and 1stSep.2022 ！交叉的尺度-！边界数据传输 安全评估“生效 28thFeb.2023 完成跨境 数据传输材料提交工作由2023年2月底 10 11 12 4567891011 1479 39 3 2015年中期 CSL(草案)发布！并向公众开放 评论 CLS更进一步！基于修改 来自公众的评论 Nov,2016 CSL路过!国家 人民的 国会 Jun,2017 CSL颁布的！站立 委员会 全国人民 国会和去生效 Jul2nd,2020 站立！ 委员会全国人民 中国国会 （“NPC”)发布了 《数据安全法》草案 （“法律草案”)注释 Apr29th,2021 释放了！ 更新的草案公众意见 Jun10th,2021Sep1 由来者发布生效！！站立 委员会 全国人民 国会PRC st,2021 Sep,2023 要澄清哪些业务场景！ 不需要CBDT安全评估和政府授权 该法规已公开发布！评论 中国网络安全法(CSL) ~24个月 数据安全法(DSL) ~14个月 关于CBDT的规定*标准化和 便利 6个月 Mar,2024 生效了！ RegulationsonPromotingand 调节 十字架-边界数据 Flow 6个月 1年出台，以及密码法 2020年法律。香港和澳门也有类似的法律法规。 2024 2023 2022 2021 2020 法律不仅适用于中国内地的企业，也适用于向中国内地个人提供商品或服务或监控其行为（如营销和市场分析）的境外实体。 These法规是复杂的，但有几个关键点： •在中国大陆开展业务过程中处理的个 人信息，在达到一定阈值时需要存储在 基础设施安全的管理、个人或敏感数据的处理、个人数据的收集、使用移动设备进行数据收集等。根据数据传输的规模和分类，数据传输需要事先获得监管机构的批准。 所有这些法规的解释和实施都需要经常检查和完善。 •行业法规 •Regionalregulations 全国人民代表大会通过适用于全国的法律，这些法律的效力高于其他法律法规。随后，由国务院及其各部门制定的法规将对国家法律进行详细补充 ，接着是行业监管部门起草的行业规定，最后是地方监管部门的规定。 中国境内。 解读监管层级 例如，作为汽车 •处理个人数据需要同意 •将个人数据传输到中国境外需要法律依据 有各种各样的措施规范跨境数据传输(CBDT)个人数据，在线保护未成年人， 中国的数据监管框架存在重叠矩阵，许多公司发现难以确定哪些法律法规适用于他们。 目前，中国大陆的数据和网络法规可以分为四类： •国家法律 •国家法规 位于深圳的制造商，不仅受《网络安全法》的影响，还需考虑进一步定义国家法律的全国性规定、特定行业法规以及所在业务地区的相关规定。所有这些都需要在制定数据策略时予以考虑。 !"#$%&'()('*#+%&'(,#-".#"'(/0-"#('#%#(#"'($12&*(*&34.#%-5" 制定并起草了中国大陆数据和网络法规 1a&/0na-2a3s 1a&/0na-*+g$-a&/0n In#$s&r(*+g$-a&/0n *+g/0na-*+g$-a&/0n !!;:(.$D"C):9)-D")X'-.%&'()!"%A("Y$)!!;:(.$D"C):9)-D")?-'-")8%;&/.()%+)8D.&')!!;:(.$D"C):9)-D").&C;$-.'()#"S;('-%#!$!;):(.$D"C):9)-D")#"S.%&'()#"S;('-%#$)$;/D 8%&S#"$$)?-'&C.&S)8%,,.--"" !TAA(./':(")-%)'(()"&-.-."$).&)8D.&' '&C).-$)$;:%#C.&'-")C"A'#-,"&-$ !TAA(./':(")-%)'(()"&-.-."$).&)8D.&' $;/D)'$)R.&.$-#9)%+)*&C;$-#9)'&C) *&+%#,'-.%&)F"/D&%(%S9) '$)A#%Q.&/.'()S%Q"#&,"&- !TAA(./':(")-%)"&-.-."$)C"+.&"C):9)$A"/.+./) !TAA(./':(")-%)"&-.-"$)C"+.&"C)&)$A"/#."+S.;(/)'-.%&#"S;('-.%& 89:er$ec;rit90a12245<64=6457 V“S;('-.%&$)%&)!#%,%-.&S)'&C)V“S;8("'-#.&-'.&S)!#%Q.$.%&$)%&)-D")R'&'S","&-)%+) ?A"/.+./'-.%&)%+)B&-"#A#.$")>'-') -D")8#%$$K:%#C"#)>'-')E(%1)2343H6+4U4566373678i20>'-')?"/;#.-9)2F#.'(71) 224256546457 8('$$.+./'-.%&)?-'&C'#C$)+%#)8!TDi$.&n'&)in' !.(%-)E#")F#'C")G%&")2343H64364<7 >ataSec;rit90a12242564@6457 R"'$;#"$)+%#)-D")?"/;#.-9)T$$"$$,"&-)%+)I;.C"(.&"$)+%#)>'-')8('$$.+./'-.%&)'&C) 8D.&')2F.'&Z.&7)!.(%-)E#“”)F#“C”)G%&“) 8#%$$K:%#C"#)>'-')F#'&$+"#)2343HI#6'C4U.&6S3)3.&7)-D*")0$2591$30*&C;$-#9)2F#.'(7 B[A%#-)R'&'S'，“&-)0。$-)2X“S'-.Q”)0。 Per$%&a(*&+%rmati%&Pr%tecti%&0a1224256556457 R"'$;#"$)%&)-D")?-'&C'#C)8%&-#'/-)+%#)8#%$$K:%#C"#)F#'&$+"#)%+)!"#$%&'() *&+%#,'-.%&)2343H64U6337 R"'$;#"$)+%#)-D")R'&'S","&-)%+)>'-') Sec;rit9%+:$n;ing$n<=n>43$n10 *&$tit;ti%&$2>ra+t+%rc%mme&t$ 343H6U63U7 2343H64O64@7 R"'$;#"$)+%#)8('$$+./'-.%&)'&C)I#'C&S) R'&'S","&-)%+)8#%$$K:%#C"#)>'-') F#'&$+"#).)&*)+Lin-g$ng)/01i$2+30$ 2F#.'(7)2343H64364\7P V;("$)+%#)>'-')8('$$.+./'-.%&)'&C)2A；：（.$D“CW)1.(（)“&‘/-)+% Colo$Co&e()ollo*$e)e$e+ceLege+&!/+0c1e& I"&"#'()C'-')(.$-)%+)$/"&'#.%.J'-.%&8#%$$K L%#C"#)>'-')F#'&$+"#)).*&+)Lin-g$ng )/01i$2+30$28%&“/-”C)8‘#M)！；：（./)E；0?N8)KF#.'(7)2343H64O65<7P 规划建议 团队若计划继续推进项目，需仔细考虑时间、投入、资源和预算。数据管理不当可能导致严重且昂贵的后果。中国关于数据合规性的法律法规存在重叠，且可能随时修订并有多种解释方式。在规划或执行策略期间，请密切关注相关限制，因为它们可能会发生变化。 根据内部情况和目标，公司应考虑以下建议的步骤： •确定机会和风险的范围:了解风险策略，并确定您的企业将使用哪种策略。 •确定需要保护的数据和系统：根据数据和系统的敏感度对数据和系统进行分类。还计划数据修复和数据传输 。 •制定本地化策略： 根据需求和规模调整战略，并使其与合规趋势保持一致 管理机会和风险 公司通常在确定可-addressable市场大小、制定商业计划并进行尽职调查后进入市场。这份文件的目标受众已经确定并筛选了机会，并且已经考虑了许多成本和风险。 在本节中，我们将假设市场机会显著，并分享减少风险的方法。如前所述，这些风险包括民事处罚，如罚款、市场排斥，以及刑事处罚。 竞争对手。对于绝大多数跨国公司而言 ，进入中国市场所带来的市场规模和市场机会太大，使得这一策略变得不切实际。