中国数据安全相关法规的白皮书-英文版

中国的数据合规策略 2024 年 9 月 Contents 执行摘要01中国数据法规概述02规划建议04管理机会和风险05识别受隐私和数据安全法规影响的数据06制定本地化战略08关键收益14附录一15附录二16附录三19 执行摘要 数据安全法, and the 2021 年个人信息保护法这些法律法规显著改变了在中国开展业务的本质。监管趋势正以越来越快的速度变得更加严格和复杂，包括中国国家互联网信息办公室每半年进行一次的审查。 在中国的监管环境下——与当地监管机构沟通——采购软件——组建本地团队以确保符合当地的合规规定——设立新服务并配置相关应用程序——规划、测试和执行数据和代码迁移——上线用户 本白皮书的目标受众这篇论文适合在中国大陆有较大业务 或计划扩展业务的中大型企业参考。 公司与中国市场 中国大陆为跨国公司提供了巨大的商业机会。按名义GDP计算，它是世界第二大经济体；按购买力平价计算，则位居世界第一。中国的GDP超过其前四大竞争对手的总和。2023 年中国 GDP 增长 5.2%—远快于大多数同等规模的经济体。通常，商业案例是基于总可-addressable市场或市场增长来构建的，而中国在这两方面都是领导者。 multinational 公司面临按时遵守这些规定所带来的挑战。企业IT项目的时间周期往往远长于半年一次的监管更新周期。在此期间，公司需要： 企业需要选择能够在监管变化中保持韧性的策略，促进中国市场增长，并确保其中国大陆运营与全球其他地区业务的协同一致。企业现在就可以采取一些步骤和策略，在保护客户数据、解决监管和法律问题的同时开展在中国的业务。 •对所有数据进行分类 ， 即使是不属于中国的数据 ， 包括这些数据的敏感性水平 •接受中国网络安全管理局的安全评估(这取决于运营规模) 然而 ， 也存在与中国市场相关的商业风险 - 其中包括最近的数据法律法规。《网络安全法》于 2017 年通过 ，随后 •在许多技术和资源项目上建立并获得批准 ， 包括 ： - 寻找法律方法来遵守 中国数据法规概述 在中国大陆，有多项相互重叠的法律法规涉及客户数据的处理和管理。!"#$%&'()&"*+,-+. /()(+01&2('3+(*4+!3561+!"#$%&(*'6网络安全法（CSL）在2017年颁布，数据安全法（DSL）在2021年颁布，个人信息保护法（PIPL）在202 2020 年法律。香港和澳门也有类似的法律法规。 • 行业法规• Regional regulations 法律法规不仅适用于中国内地的企业，也适用于向中国内地个人提供商品或服务或监测其行为（如营销和市场分析）的境外实体。 基础设施安全的管理、个人或敏感数据的处理、个人数据的收集、使用移动设备收集数据，以及其他相关活动。根据数据传输的规模和分类，数据传输需要事先获得监管机构的批准。 全国人民代表大会制定的法律在全国范围内适用，并优先于其他法律法规。随后，由国务院及其各部门起草的法规将对国家法律进行更详细的补充，接着是各行业监管机构起草的行业规定，最后是地方监管部门的规章制度。 所有这些法规的解释和实施都需要经常检查和完善。 These法规是复杂的 ， 但有几个关键点 ： •在中国大陆开展业务过程中处理的个人信息，在达到一定阈值时需要存储在中国境内。 解读监管层级 例如 ， 作为汽车 中国的数据监管框架存在重叠矩阵，许多公司难以确定哪些法律法规适用于他们。 位于深圳的制造商，您的公司不仅受网络安全法的影响，还受到进一步定义国家法律的全国性规定、特定行业的相关规定以及您公司在业务开展地区的地区性规定的影响。所有这些都需要在制定数据策略时予以考虑。 •处理个人数据需要同意 •将个人数据传输到中国境外需要法律依据 目前 ， 中国大陆的数据和网络法规可以分为四类 ： 有各种各样的措施规范跨境数据传输 (CBDT)个人数据 ， 在线保护未成年人 ， •国家法律•国家法规 规划建议 团队如果计划继续推进，需要仔细考虑时间、投入、资源和预算。数据管理不当可能导致严重的后果和高昂的成本。中国关于数据合规性的法律和规定存在重叠，并且可能随时修订和有多重解释。在规划或执行策略时，请密切关注这些限制，因为它们可能会发生变化。 根据内部情况和目标 ， 公司应考虑以下建议的步骤 ： • 确定机会和风险的范围:了解风险策略 ， 并确定您的企业将使用哪种策略。 • 确定需要保护的数据和系统 ：根据数据和系统的敏感度对数据和系统进行分类。还计划数据修复和数据传输。 • 制定本地化策略 ：根据需求和规模调整战略 ， 并使其与合规趋势保持一致 管理机会和风险 公司通常在评估可-addressable市场大小、制定商业计划并进行尽职调查后进入市场。这份文件的目标受众已经确定并筛选出了机会，并且已经考虑了许多成本和风险。 竞争对手。对于绝大多数跨国公司而言，中国市场规模和市场机遇太大，使得这种策略变得不切实际。 全球CEO还被个人罚款，公司在整改期间被禁止添加新用户，其移动应用也被暂时从中国移动应用商店下架。 缓解意味着主要通过实施一项长期战略来确保遵守法律法规，并且该战略足够 robust 以应对这些法规的持续演变。技术和运营流程在降低风险方面发挥着重要作用——包括保持数据本地化、控制对受监管数据的访问以及获得同意。通常情况下，缓解策略是最优策略。 验收在风险缓解后仍保留一定的风险作为常见策略，但全部罚金可能会非常严厉。被问责的个人可能会被处以大额罚款，此外还会向组织追加收费。 在本节中，我们将假设市场机会显著，并分享降低风险的方法。如前所述，这些风险包括民事处罚如罚款、市场排斥以及刑事处罚。 任何与违规行为相关的收入均可被没收。对负有责任的个人可判处最高七年有期徒刑，并可能在中国境内被禁止从事相关业务活动。同时，还存在民事赔偿责任。 风险战略 企业在考虑在中国开展业务时应对商业风险有多重策略。组织在管理对中国市场的限制时采用的三种主要策略是规避、接受和缓解。 如果您的公司选择降低风险 ， 下一步将是识别和评估哪些数据受到影响。 在2022年7月，中国网络安全管理局（CAC）对一家公司处以12亿元人民币的罚款，这几乎占该公司总收入的5%。 避免是当一家企业离开中国市场为他们的 识别受隐私和数据安全法规影响的数据 理解中国境内的受监管数据可能会令人困惑，因为存在不同的定义。在《个人信息保护法》（PIPL）、《网络安全法》、《数据安全法》以及之前的法律法规和相关条例中，受保护的数据被定义为多种不同方式。《个人信息保护法》涵盖了“个人信息”和“敏感个人信息”。《网络安全法》和《数据安全法》则涵盖了“重要数据”。 所以在某些情况下，数据可能被归类为个人数据、敏感数据或重要数据；在其他情况下，它可能根据MLPS级别和影响级别来定义。在规划时，这两种分类方案都是有用的。 数据 ， 以及对跨境传输数据的更多限制。 其他敏感信息包括宗教信仰或隶属关系、财务数据和位置跟踪。这些数据通常存储在业务系统中——例如，供应商管理、人力资源、账户管理、调度和零售执行等领域可能包含各种形式的敏感信息。一些示例可能包括： 商业数据可以归入多种类别。在一个方案中，姓名、电话号码及其他可识别个人身份的字段将被视为“个人数据”，并可能符合MLPS级别1的要求。个人健康信息（PHI）根据PIPL的规定会被视为“敏感”数据，并需要更高的保护级别。这种更高的保护级别体现在访问控制方面，以及对处理这些数据需要更强的正当理由和同意要求。 此外，还有一套多级保护方案（MLPS2.0），该方案定义了五个级别的影响范围——从最低监管级别对组织和个人的影响，到最高监管级别的国家安全影响。 对数据分类的指导可以由具有影响级别的不同对象得出 ，由定义MLPS 2.0. 以及最新 GB / T 43697 - 2024, 等级如下: 核心数据比重要数据更加敏感（风险更高），而重要数据又比一般数据更加敏感。数据应根据影响规模、数据规模和精度来分级和评估潜在影响。 • 核心数据:直接影响国家安全、政治安全、民生和重大公共利益。 • General Data:不属于核心数据或重要数据类别。 • 个人数据 ：个人身份信息。 • 重要数据 ：可能影响国家安全、经济运行、社会稳定性、健康或安全。仅影响单个组织或个人的数据通常不归入此类别。 • 敏感个人数据 ：个人信息 ， 如果泄露或销毁 ， 可能会影响个人的健康、安全或财产。 • 生命科学:一家制药公司正在进行一种新型癌症治疗的临床试验。他们收集了大量患者数据，包括遗传标记、治疗反应以及生活质量指标。这些信息不仅具有医学敏感性，还可能揭示个体的长期健康前景，并且如果披露这些信息，可能会对其保险资格或就业产生影响。 此外，根据不同行业或地区，还可能有额外的限制措施。例如，在物联网领域，数据跨境传输受到限制；在医疗保健领域，治疗信息受到限制。其他示例包括： 这些信息虽然对于个性化营销非常有价值，但如果泄露，则可能会暴露客户的财务状况、个人关系以及生活方式选择等敏感信息。 公司可以选择使用多个参数对数据进行分类 ： • 汽车制造 ：一家豪华汽车制造商开发了一款个性化的驾驶辅助系统，该系统能够学习个人的驾驶习惯。该系统收集并处理加速度模式、刹车行为和路线偏好等方面的数据。虽然这些信息对于优化驾驶体验至关重要，但它们也非常敏感，因为一旦被篡改，可能会泄露个人的生活习惯和位置信息。 •按敏感度级别对数据进行分类。这通常可以基于数据模式来完成。 •按敏感程度分类跨境数据传输。跨境数据传输比数据处理受到更为严格的对待；某些数据在中国境内可以进行处理，但不允许转移到中国境外。 • 奢侈品零售:高端珠宝品牌提供定制服务，客户可以设计专属珠宝。该公司维护客户的偏好数据库、购买历史和个人事件记录（例如，周年纪念日、生日）。 制定本地化战略 +";+?"'(%&@64+:"%A)&"*BE@'&$),7$:R8:)+3%$,F,I.+2/+"2/2&@,=$%$''2&@FD ")., A% ## - '& /") %+) $-': (") A +%##, '& /")' & C) ("Q" () %+) VF ') c) V!') ; & C "#). & / #" '$.& S) -#' & $'/ -.%&) Q% (; ",)' & C):; $.&" $) /%, A ("[.- 9) -%)! @, &% / 9" 6% 9, C% + ", & / - + 1% + *: 'D / EF! / 6" # $%&, * - / 6 "& -, A,'.&-'.&)/%&$.$-"&-);$"#)"[A"#."&/"A,00*1*&+/0%6+"1-/,&-"/1*:79%+,"&/1*9%+*A/"&*- 08 I-,"E$F$3-4A"./1* 鉴于企业客户关系管理（CRM）系统的潜在广泛性，系统内的数据应本地存储以满足本地化要求，并采取适当的安全措施来控制访问和遵守当地法律法规，同时仍需具备实用性以满足业务需求。 需要。受影响的数据和技术规划 (ERP) 软件、分析 平台、数据平台以及更多系统进一步影响哪些数据需要被保护和合规。由于这些系统中存储和共享了敏感数据，所有系统都在不同程度上受到影响，并且需域可以是广泛的 ， 包括员工数据、客户数据、业务合作伙伴数据和身份等。 要合规。 连接到他们的营销系统 ， 集成也需要是安全的=63+>16(+";+?"'(%&@64+:"%A)&"*B公司的 CRM 通常是B "/ A * 6, A * /! @, &% / 9" 6% 9, C% + ", & / - + 1% + *: 'D / EF! / 6" # $%&, * - / 6 "& -, A * 1 / &" + / "& 9' /社交