中国数据安全相关法规的白皮书-英文版

中国的数据合规策略 2024年9月 手册/报告标题在这里|节标题在这里 Contents 执行摘要01 中国数据法规概述02 规划建议04 管理机会和风险05 识别受隐私和数据安全法规影响的数据06 制定本地化战略08 关键收益14 附录一15 附录二16 附录三19 中国数据合规战略|执行摘要 执行摘要 本白皮书的目标受众 这篇论文适合在中国大陆有较大业务或计划扩展业务的中大型企业参考。 数据安全法,andthe2021年个人信 息保护法这些法律法规显著改变了在中国开展业务的本质。监管趋势正以越来越快的速度变得更加严格和复杂 ，包括中国国家互联网信息办公室每半年进行一次的审查。 在中国的监管环境下——与当地监管机构沟通——采购软件——组建本地团队以确保符合当地的合规规定——设立新服务并配置相关应用程序——规划、测试和执行数据和代码迁移— —上线用户 公司与中国市场 中国大陆为跨国公司提供了巨大的商业机会。按名义GDP计算，它是世界第二大经济体；按购买力平价计算，则位居世界第一。中国的GDP超过其前四大竞争对手的总和。2023年中国GDP增长5.2%—远快于大多数同等规模的经济体。通常，商业案例是基于总可-addressable市场或市场增长来构建的，而中国在这两方面都是领导者。 然而，也存在与中国市场相关的商业风险-其中包括最近的数据法律法规 。《网络安全法》于2017年通过， multinational公司面临按时遵守这些规定所带来的挑战。企业IT项目的时间周期往往远长于半年一次的监管更新周期。在此期间，公司需要： •对所有数据进行分类，即使是不属于中国的数据，包括这些数据的敏感性水平 •接受中国网络安全管理局的安全评估(这取决于运营规模) 企业需要选择能够在监管变化中保持韧性的策略，促进中国市场增长，并确保其中国大陆运营与全球其他地区业务的协同一致。企业现在就可以采取一些步骤和策略，在保护客户数据 、解决监管和法律问题的同时开展在中国的业务。 01 随后•在许多技术和资源项目上建立并获得批准，包括：-寻找法律方法来遵守 中国数据法规概述 在中国大陆，有多项相互重叠的法律法规涉网及络客安户全数法据（的C处S理L）和在管2理0。17年!"颁布 布，个人信息保护法（PIPL）在202 #$%&'()&"*+,-+./()(+01&2('3+(*，4数+!据3安56全1法+（!"D#S$L%）&在(2*0'621年颁 *r+&&#r#dra:+dr#2:on2#210;<62 ~13个月 ~7个月 选择性 个人信息保护法(PIPL) CBDT安全评估的措施 13thOct,2020 PIPL的初稿是！提交给国家 人民代表大会中华人民共和国 用于审查 21stOct,2020 19thNov,2020 30thApr,2021 第二稿！PIPL被释放征询公众意见 20th 全国人民封闭的公众！！ 国会对PIPL发表了PIPL评论 （草案)和邀请的公开草案注释 1sAtNugo,v2.,0220121 生效由发布！！ 常设委员会国家的 人民代表大会 中华人民共和国 7thJul.,2022 •!ThemeasureofCBDTsecurity 评估“标准”由CAC "and 1stSep.2022 ！交叉的尺度-！边界数据传输 安全评估“生效 28thFeb.2023 完成跨境 数据传输材料提交工作由2023年2月底 10 11 12 4567891011 1479 39 3 2015年中期 CSL(草案)发布！并向公众开放 评论 CLS更进一步！基于修改 来自公众的评论 Nov,2016 CSL路过!国家 人民的 国会 Jun,2017 CSL颁布的！站立 委员会 全国人民 国会和去生效 Jul2nd,2020 站立！ 委员会全国人民 中国国会 （“NPC”)发布了 《数据安全法》草案 （“法律草案”)注释 Apr29th,2021 释放了！ 更新的草案公众意见 Jun10th,2021Sep1 由来者发布生效！！站立 委员会 全国人民 国会PRC st,2021 Sep,2023 要澄清哪些业务场景！ 不需要CBDT安全评估和政府授权 该法规已公开发布！评论 中国网络安全法(CSL) ~24个月 数据安全法(DSL) ~14个月 关于CBDT的规定*标准化和 便利 6个月 Mar,2024 生效了！ RegulationsonPromotingand 调节 十字架-边界数据 Flow 6个月 1年颁布，以及密码法 2020年法律。香港和澳门也有类似的法律法规。 2024 2023 2022 2021 2020 法律法规不仅适用于中国内地的企业，也适用于向中国内地个人提供商品或服务或监测其行为（如营销和市场分析）的境外实体。 These法规是复杂的，但有几个关键点： •在中国大陆开展业务过程中处理的个 人信息，在达到一定阈值时需要存储在 基础设施安全的管理、个人或敏感数据的处理、个人数据的收集、使用移动设备收集数据，以及其他相关活动。根据数据传输的规模和分类，数据传输需要事先获得监管机构的批准。 所有这些法规的解释和实施都需要经常检查和完善。 •行业法规 •Regionalregulations 全国人民代表大会制定的法律在全国范围内适用，并优先于其他法律法规 。随后，由国务院及其各部门起草的法规将对国家法律进行更详细的补充 ，接着是各行业监管机构起草的行业规定，最后是地方监管部门的规章制度。 中国境内。 解读监管层级 例如，作为汽车 •处理个人数据需要同意 •将个人数据传输到中国境外需要法律依据 有各种各样的措施规范跨境数据传输(CBDT)个人数据，在线保护未成年人， 中国的数据监管框架存在重叠矩阵，许多公司难以确定哪些法律法规适用于他们。 目前，中国大陆的数据和网络法规可以分为四类： •国家法律 •国家法规 位于深圳的制造商，您的公司不仅受网络安全法的影响，还受到进一步定义国家法律的全国性规定、特定行业的相关规定以及您公司在业务开展地区的地区性规定的影响。所有这些都需要在制定数据策略时予以考虑。 !"#$%&'()('*#+%&'(,#-".#"'(/0-"#('#%#(#"'($12&*(*&34.#%-5" 制定并起草了中国大陆数据和网络法规 1a&/0na-2a3s 1a&/0na-*+g$-a&/0n In#$s&r(*+g$-a&/0n *+g/0na-*+g$-a&/0n !!;:(.$D"C):9)-D")X'-.%&'()!"%A("Y$)!!;:(.$D"C):9)-D")?-'-")8%;&/.()%+)8D.&')!!;:(.$D"C):9)-D").&C;$-.'()#"S;('-%#!$!;):(.$D"C):9)-D")#"S.%&'()#"S;('-%#$)$;/D 8%&S#"$$)?-'&C.&S)8%,,.--"" !TAA(./':(")-%)'(()"&-.-."$).&)8D.&' '&C).-$)$;:%#C.&'-")C"A'#-,"&-$ !TAA(./':(")-%)'(()"&-.-."$).&)8D.&' $;/D)'$)R.&.$-#9)%+)*&C;$-#9)'&C) *&+%#,'-.%&)F"/D&%(%S9) '$)A#%Q.&/.'()S%Q"#&,"&- !TAA(./':(")-%)"&-.-."$)C"+.&"C):9)$A"/.+./) !TAA(./':(")-%)"&-.-"$)C"+.&"C)&)$A"/#."+S.;(/)'-.%&#"S;('-.%& 89:er$ec;rit90a12245<64=6457 V“S;('-.%&$)%&)!#%,%-.&S)'&C)V“S;8("'-#.&-'.&S)!#%Q.$.%&$)%&)-D")R'&'S","&-)%+) ?A"/.+./'-.%&)%+)B&-"#A#.$")>'-') -D")8#%$$K:%#C"#)>'-')E(%1)2343H6+4U4566373678i20>'-')?"/;#.-9)2F#.'(71) 224256546457 8('$$.+./'-.%&)?-'&C'#C$)+%#)8!TDi$.&n'&)in' !.(%-)E#")F#'C")G%&")2343H64364<7 >ataSec;rit90a12242564@6457 R"'$;#"$)+%#)-D")?"/;#.-9)T$$"$$,"&-)%+)I;.C"(.&"$)+%#)>'-')8('$$.+./'-.%&)'&C) 8D.&')2F.'&Z.&7)!.(%-)E#“”)F#“C”)G%&“) 8#%$$K:%#C"#)>'-')F#'&$+"#)2343HI#6'C4U.&6S3)3.&7)-D*")0$2591$30*&C;$-#9)2F#.'(7 B[A%#-)R'&'S'，“&-)0。$-)2X“S'-.Q”)0。 Per$%&a(*&+%rmati%&Pr%tecti%&0a1224256556457 R"'$;#"$)%&)-D")?-'&C'#C)8%&-#'/-)+%#)8#%$$K:%#C"#)F#'&$+"#)%+)!"#$%&'() *&+%#,'-.%&)2343H64U6337 R"'$;#"$)+%#)-D")R'&'S","&-)%+)>'-') Sec;rit9%+:$n;ing$n<=n>43$n10 *&$tit;ti%&$2>ra+t+%rc%mme&t$ 343H6U63U7 2343H64O64@7 R"'$;#"$)+%#)8('$$+./'-.%&)'&C)I#'C&S) R'&'S","&-)%+)8#%$$K:%#C"#)>'-') F#'&$+"#).)&*)+Lin-g$ng)/01i$2+30$ 2F#.'(7)2343H64364\7P V;("$)+%#)>'-')8('$$.+./'-.%&)'&C)2A；：（.$D“CW)1.(（)“&‘/-)+% Colo$Co&e()ollo*$e)e$e+ceLege+&!/+0c1e& I"&"#'()C'-')(.$-)%+)$/"&'#.%.J'-.%&8#%$$K L%#C"#)>'-')F#'&$+"#)).*&+)Lin-g$ng )/01i$2+30$28%&“/-”C)8‘#M)！；：（./)E；0?N8)KF#.'(7)2343H64O65<7P 规划建议 团队如果计划继续推进，需要仔细考虑时间、投入、资源和预算。数据管理不当可能导致严重的后果和高昂的成本。中国关于数据合规性的法律和规定存在重叠，并且可能随时修订和有多重解释。在规划或执行策略时，请密切关注这些限制，因为它们可能会发生变化。 根据内部情况和目标，公司应考虑以下建议的步骤： •确定机会和风险的范围:了解风险策略，并确定您的企业将使用哪种策略。 •确定需要保护的数据和系统：根据数据和系统的敏感度对数据和系统进行分类。还计划数据修复和数据传输 。 •制定本地化策略： 根据需求和规模调整战略，并使其与合规趋势保持一致 管理机会和风险 公司通常在评估可-addressable市场大小、制定商业计划并进行尽职调查后进入市场。这份文件的目标受众已经确定并筛选出了机会，并且已经考虑了许多成本和风险。 在本节中，我们将假设市场机会显著，并分享降低风险的方法。如前所述，这些风险包括民事处罚如罚款、市场排斥以及刑事处罚。 竞争对手。对于绝大多数跨国公司而言 ，中国市场规模和市场机遇太大，使得这种策略变得不切实际。 验收在风险缓解后仍保留一定的风险作为常见策略，但全部罚金可能会非常严厉。被问责的个人可能会被处以大额罚款，此外还会向组织追加收费 。 全球CEO还被个人罚款，公司在整改期间被禁止添加新