中国数据安全相关法规的白皮书

中国的数据合规策略 2024 年 9 月 Contents 执行摘要01中国数据法规概述02规划建议04管理机会和风险05识别受隐私和数据安全法规影响的数据06制定本地化战略08关键收益14附录一15附录二16附录三19 执行摘要 数据安全法, and the 2021 年个人信息保护法这些法律法规显著改变了在中国开展业务的本质。监管趋势正以越来越快的速度变得更加严格和复杂，包括中国国家互联网信息办公室每半年进行一次的审查。 在中国的监管环境下 —— 与当地监管部门沟通 —— 获取软件许可 ——建立本地团队以确保满足当地的合规要求 —— 设置新服务并配置相关应用程序 —— 规划、测试并执行数据和代码迁移 —— 上线用户 本白皮书的目标受众这篇论文适合在中国大陆有较大业务 或计划扩展中国大陆业务的中大型企业。 公司与中国市场 中国大陆为跨国公司提供了巨大的商业机会。按名义GDP计算，它是世界第二大经济体；按购买力平价计算，则位居世界第一。中国的GDP超过其前四大竞争对手的总和。2023 年中国 GDP 增长 5.2%——远远快于其他同等规模的经济体。通常的商业案例往往是基于总的可address市场或市场增长，而中国在这两方面都是领导者。 •对所有数据进行分类 ， 即使是不属于中国的数据 ， 包括这些数据的敏感性水平multinational公司面临及时遵守这些规定所带来的挑战。企业IT项目的时间周期往往远长于半年一次的监管更新周期。在此期间，公司需要：1. 持续监控和跟踪最新的监管要求；2. 评估现有系统和流程以确定合规性缺口；3. 制定并实施合规计划，包括必要的技术改造和管理措施；4. 定期审查和更新合规策略以应对新的监管变化；5. 加强内部培训和意识提升，确保员工了解并遵循相关法规。•接受中国网络安全管理局的安全评估(这取决于运营规模) 企业需要选择能够应对监管变化、促进中国市场增长，并确保其中国大陆运营与全球其他地区业务保持一致的战略。企业现在就可以采取一些措施和策略，在保护客户数据的同时，解决监管和法律问题，开展在中国的业务。 然而 ， 也存在与中国市场相关的商业风险 - 其中包括最近的数据法律法规。《网络安全法》于 2017 年通过 ，随后 •在许多技术和资源项目上建立并获得批准 ， 包括 ： - 寻找法律方法来遵守 中国数据法规概述 在中国大陆，有多项重叠的法律法规涉及客户数据的处理和管理。!"#$%&'()&"*+,-+. /()(+01&2('3+(*4+!3561+!"#$%&(*'6网络安全法（CSL）于2017年出台，数据安全法（DSL）于2021年出台，个人信息保护法（PIPL）于202 2020 年法律。香港和澳门也有类似的法律法规。 1年出台，以及密码法 • 行业法规• Regional regulations 法律不仅适用于中国内地的企业，也适用于向中国内地个人提供商品或服务或监控其行为（如营销和市场分析）的境外实体。 基础设施安全的管理、个人或敏感数据的处理、个人数据的收集、使用移动设备进行数据收集等。根据数据传输的规模和分类，数据传输需要事先获得监管机构的批准。 全国人民代表大会通过适用于全国的法律，这些法律的效力高于其他法律法规。随后，由国务院及其各部门制定的法规将对国家法律进行详细补充，接着是行业监管部门起草的行业规定，最后是地方监管部门的规定。 所有这些法规的解释和实施都需要经常检查和完善。 These法规是复杂的 ， 但有几个关键点 ： •在中国大陆开展业务过程中处理的个人信息，在达到一定阈值时需要存储在中国境内。 解读监管层级 例如 ， 作为汽车 中国的数据监管框架存在重叠矩阵，许多公司发现难以确定哪些法律法规适用于他们。 位于深圳的制造商，不仅受《网络安全法》的影响，还需考虑进一步定义国家法律的全国性规定、特定行业法规以及所在业务地区的相关规定。所有这些都需要在制定数据策略时予以考虑。 •处理个人数据需要同意 •将个人数据传输到中国境外需要法律依据 •国家法律•国家法规 规划建议 团队若计划继续推进项目，需仔细考虑时间、投入、资源和预算。数据管理不当可能导致严重且昂贵的后果。中国关于数据合规性的法律法规存在重叠，且可能随时修订并有多种解释方式。在规划或执行策略期间，请密切关注相关限制，因为它们可能会发生变化。 根据内部情况和目标 ， 公司应考虑以下建议的步骤 ： • 确定机会和风险的范围:了解风险策略 ， 并确定您的企业将使用哪种策略。 • 确定需要保护的数据和系统 ：根据数据和系统的敏感度对数据和系统进行分类。还计划数据修复和数据传输。 • 制定本地化策略 ：根据需求和规模调整战略 ， 并使其与合规趋势保持一致 管理机会和风险 公司通常在确定可-addressable市场大小、制定商业计划并进行尽职调查后进入市场。这份文件的目标受众已经确定并筛选了机会，并且已经考虑了许多成本和风险。 竞争对手。对于绝大多数跨国公司而言，进入中国市场所带来的市场规模和市场机会太大，使得这一策略变得不切实际。 全球CEO还被个人罚款，公司在整改期间被禁止新增用户，其移动应用也被暂时从中国移动应用商店下架。 缓解意味着主要在于实施一项长期战略，该战略能够确保遵守法律法规，并且足够 robust 以应对这些法规的持续演变。技术和运营流程在降低风险方面发挥着重要作用——包括保持数据驻留、控制受监管数据的访问权限以及获得许可。通常，缓解策略是最佳选择。 验收在风险缓解后仍保留一定的风险作为常见策略，但完全承担的处罚可能是严厉的。个人可能面临巨额的个人罚款，此外还会被追加组织费用。 在本节中，我们将假设市场机会显著，并分享减少风险的方法。如前所述，这些风险包括民事处罚，如罚款、市场排斥，以及刑事处罚。 任何与违规行为相关的收入均可被没收。对负有责任的个人可判处最高七年有期徒刑，并可能在中国境内被禁止从事相关业务活动。同时存在民事赔偿责任。 风险战略 企业在考虑在中国开展业务时应对商业风险，可以采用多种策略。组织在管理中国市场限制时常用的关键策略包括规避、接受和缓解。 如果您的公司选择降低风险 ， 下一步将是识别和评估哪些数据受到影响。 在2022年7月，中国网络安全管理局（CAC）对一家公司处以12亿元人民币的罚款，这几乎占该公司总收入的5%。 避免是当一家企业离开中国市场为他们的 识别受隐私和数据安全法规影响的数据 理解中国境内的受监管数据可能会令人困惑，因为定义各不相同。在《个人信息保护法》（PIPL）、《网络安全法》、《数据安全法》以及之前的法律法规和相关条例中，受保护的数据被定义为多种不同的类型。《个人信息保护法》涵盖了“个人信息”和“敏感个人信息”。《网络安全法》和《数据安全法》则涵盖了“重要数据”。 所以在某些情况下，数据可能被归类为个人数据、敏感数据或重要数据；而在其他情况下，它可能根据MLPS级别和影响级别来定义。在规划时，这两种分类方案都是有用的。 数据 ， 以及对跨境传输数据的更多限制。 其他敏感信息还包括宗教信仰或隶属关系、财务数据和位置跟踪。这些数据通常存储在业务系统中——例如，供应商管理、人力资源、账户管理、调度和零售执行等领域都可能包含各种形式的敏感信息。一些示例可能包括： 商业数据可以归入多种类别。在一个方案中，姓名、电话号码及其他可识别个人身份的字段会被视为“个人数据”，并可能符合MLPS级别1的标准。个人健康信息（PHI）根据PIPL的规定会被视为“敏感”信息，并需要更高的保护级别。这种更高的保护级别体现在访问控制方面，以及对处理这些信息进行更强有力的正当理由和同意要求。 此外，还有一种多级保护方案（MLPS2.0），该方案定义了五个级别的影响范围——从最少监管级别的组织和个人影响，到最严格的国家安全影响。 对数据分类的指导可以由具有影响级别的不同对象得出 ，由定义MLPS 2.0. 以及最新 GB / T 43697 - 2024, 等级如下: 核心数据比重要数据更具敏感性（风险更高），而重要数据又比一般数据更具敏感性。数据应根据影响规模、数据规模和精度进行分级和评估。 • 核心数据:直接影响国家安全、政治安全、民生和重大公共利益。 • General Data:不属于核心数据或重要数据类别。 • 个人数据 ：个人身份信息。 • 重要数据 ：可能影响国家安全、经济运行、社会稳定性、健康或安全。仅影响单个组织或个人的数据通常不归类于此类别。 • 敏感个人数据 ：个人信息 ， 如果泄露或销毁 ， 可能会影响个人的健康、安全或财产。 • 生命科学:一家制药公司正在进行一种新型癌症治疗方法的临床试验。他们收集了大量患者的资料，包括遗传标记、治疗反应以及生活质量指标。这些信息不仅具有医学敏感性，还可能揭示个体的长期健康前景，并且如果披露这些信息，可能会对他们的可保险性或就业产生影响。 此外，根据不同行业或地区，还可能有额外的限制措施。例如，在物联网领域，数据跨境传输受到限制。在医疗保健领域，治疗信息受到限制。其他示例包括： 这些信息虽然对于个性化营销非常有价值，但如果泄露，则可能会暴露客户的财务状况、个人关系以及生活方式选择等敏感信息。 公司可以选择使用多个参数对数据进行分类 ： • 汽车制造 ：一家豪华汽车制造商开发了一款个性化驾驶辅助系统，该系统能够根据个人驾驶习惯进行学习。该系统收集并处理加速度模式、刹车行为和路线偏好的数据。尽管这些信息对于优化驾驶体验至关重要，但它们的高度敏感性不容忽视，因为一旦被篡改，可能会暴露个人的生活规律和位置。 •按敏感度级别对数据进行分类。这通常可以基于数据模式来完成。 •按敏感程度分类跨境数据传输。跨境数据传输比数据处理受到更为严格的对待；某些数据在中国境内可以进行处理但不允许传输到中国境外。 • 奢侈品零售:高端珠宝品牌提供定制服务，客户可以设计个性化饰品。该公司维护客户偏好、购买历史和个人事件（例如，纪念日、生日）的数据库。 制定本地化战略 +";+?"'(%&@64+:"%A)&"*BE@'&$),7$:R8:)+3%$,F,I.+2/+"2/2&@,=$%$''2&@FD ")., A% ## - '& /") %+) $-': (") A +%##, '& /")' & C) ("Q" () %+) VF ') c) V!') ; & C "#). & / #" '$.& S) -#' & $'/ -.%&) Q% (; ",)' & C):; $.&" $) /%, A ("[.- 9) -%)! @, &% / 9" 6% 9, C% + ", & / - + 1% + *: 'D / EF! / 6" # $%&, * - / 6 "& -, A,'.&-'.&)/%&$.$-"&-);$"#)"[A"#."&/"A,00*1*&+/0%6+"1-/,&-"/1*:79%+,"&/1*9%+*A/"&*- 08 I-,"E$F$3-4A"./1* 鉴于企业客户关系管理系统（CRM）系统的潜在广泛性，系统内的数据应本地存储以满足本地化需求，并部署适当的安全措施以控制访问并遵守当地法律法规，同时确保其可使用以满足业务需求。 需要。受影响的数据和技术规划 (ERP) 软件、分析 平台、数据平台以及更多系统进一步影响哪些数据需要被保护和合规。由于这些系统中存储和共享了敏感数据，所有系统都在一定程度上受到影响，并且需域可以是广泛的 ， 包括员工数据、客户数据、业务合作伙伴数据和身份等。 要合规。 连接到他们的营销系统 ， 集成也需要是安全的=63+>16(+";+?"'(%&@64+:"%A)&"*B公司的 CRM 通常是B "/ A * 6, A * /! @, &% / 9" 6% 9, C% + ", & / - + 1% + *: 'D / EF! /