Op 9 april 2025 heeft de Cyberspace Administration van China (CAC) een Q&A over Beheerbeleid voor Grensoverschrijdende Gegevensbeveiliging (hierna, “Q&A grensoverschrijdende gegevensoverdracht”), het aanbieden van praktische interpretaties van hoe bedrijven kunnen voldoen aan China’s evoluerende kader voor grensoverschrijdende gegevensoverdracht. De Q&A grensoverschrijdende gegevensoverdracht verduidelijkt implementatiedetails voor belangrijke systemen, inclusief gegevensexport veiligheidsbeoordelingen, standaardcontracten voor de export van persoonlijke informatie, en certificeringsmechanismen.
Hoewel het document geen nieuwe wetten introduceert of een brede versoepeling van de regelgeving signaleert, biedt het belangrijke verduidelijkingen op verschillende gebieden die uitdagingen hebben opgeleverd voor bedrijven, vooral multinationale ondernemingen. Het werpt licht op hoe “algemene gegevens” vrij over grenzen kunnen stromen, hoe bedrijven de noodzaak van de export van persoonlijke informatie moeten beoordelen, en wat kwalificeert als “belangrijke gegevens.”
Opmerkelijk is dat de Q&A grensoverschrijdende gegevensoverdracht introduceert maatregelen om bedrijven te helpen onnodige herhaling van nalevingsprocedures te vermijden. Deze omvatten het toestaan dat groepsbedrijven geconsolideerde aanvragen indienen voor naleving van gegevensexport, het schetsen van voorwaarden waaronder de geldigheid van veiligheidsbeoordelingen kan worden verlengd, en het bevestigen dat gecertificeerde multinationals niet herhaaldelijk nieuwe contracten hoeven te ondertekenen voor elke grensoverschrijdende gegevensstroom.
Vrije stroom van “algemene gegevens” over grenzen
De Q&A grensoverschrijdende gegevensoverdracht stelt dat “algemene gegevens die geen persoonlijke informatie of belangrijke gegevens betreffen, vrij over grenzen kunnen stromen”.
Regelgeving met betrekking tot de omgang met algemene gegevens is niet expliciet vastgelegd in een van China’s belangrijkste gegevenswetten – inclusief de Cybersecuritywet, de Gegevensbeveiligingswet, of de Wet Bescherming Persoonlijke Informatie – noch wordt het genoemd in regelgeving specifiek over grensoverschrijdende gegevensoverdracht.
Het wordt genoemd in enkele sectorspecifieke regelgeving over gegevensbeveiliging en export, zoals de Maatregelen voor Gegevensbeveiligingsbeheer op het Gebied van Industrie en Informatietechnologie (Proefimplementatie). Deze maatregelen vereisen dat industriële en telecombedrijven gegevens indelen in drie categorieën – belangrijke, kern- en algemene gegevens – voor gegevensbeveiligingsdoeleinden. Kern- en belangrijke gegevens zijn onderworpen aan strengere regelgeving, waaronder verplichte binnenlandse opslag binnen China en een verplichte veiligheidsbeoordeling voorafgaand aan export.
Deze regelgeving is geïnterpreteerd als dat algemene gegevens niet onderworpen zijn aan dezelfde strenge vereisten, hoewel de teksten dit niet expliciet bevestigen. De verduidelijking van de CAC—dat algemene gegevens vrij over grenzen kunnen worden overgedragen—is daarom significant, omdat het elke onzekerheid over de geldigheid van deze interpretatie wegneemt.
Desalniettemin kan het definiëren van wat algemene gegevens zijn niet eenvoudig zijn, aangezien de overheid geen definitieve lijst van gegevenstypen heeft vrijgegeven die in aanmerking komen. Het dichtstbijzijnde dat op een specifieke definitie lijkt, is te vinden in de Gegevensclassificatiestandaarden [GB/T 43697-2024] uitgebracht in 2024, waarin algemene gegevens worden gedefinieerd als “alle gegevens met uitzondering van belangrijke en kerngegevens”.
De definities van “kern”, “belangrijke” en andere gegevenstypen zoals uiteengezet in deze standaarden zijn samengevat in de onderstaande tabel.
Definities van sleutelgegevensbegrippen in China’s gegevensclassificatiestandaarden | |
|---|---|
| Gegevens | Elk record van informatie in elektronische of andere vormen. |
| Belangrijke gegevens | Gegevens die specifiek zijn voor bepaalde velden, groepen en regio’s, of een bepaald niveau van precisie en schaal bereiken dat, eenmaal gelekt, gemanipuleerd of vernietigd, direct de nationale veiligheid, economische werking, sociale stabiliteit, volksgezondheid en veiligheid in gevaar kan brengen. Opmerking: Gegevens die alleen de organisatie zelf of individuele burgers beïnvloeden, worden over het algemeen niet als belangrijke gegevens beschouwd. |
| Kerngegevens | Gegevens met een hoge mate van dekking, die een hoog niveau van precisie bereiken, groot van schaal zijn, en een bepaalde diepte bereiken in een domein, groep of regio die, eenmaal illegaal gebruikt of gedeeld, direct de politieke veiligheid kan beïnvloeden. Opmerking: Kerngegevens omvatten voornamelijk gegevens met betrekking tot nationale veiligheid sleutelgebieden, nationale economische levenslijnen, het levensonderhoud van mensen en grote publieke belangen, zoals geëvalueerd en bepaald door relevante staatsdepartementen. |
| Algemene gegevens | Andere gegevens, met uitzondering van belangrijke en kerngegevens. |
| Persoonlijke informatie | Verschillende soorten informatie met betrekking tot geïdentificeerde of identificeerbare natuurlijke personen die zijn vastgelegd in elektronische of andere vormen. Persoonlijke informatie wordt ook gedefinieerd in de Wet Bescherming Persoonlijke Informatie en andere regelgeving. |
Een belangrijke ontwikkeling in het definiëren van algemene gegevens kwam met de release van de Regelgeving om grensoverschrijdende gegevensstromen te bevorderen en te standaardiseren, een reeks regels gericht op het vergemakkelijken van grensoverschrijdende gegevensoverdracht, die op 22 maart 2024 in werking is getreden. Deze regels bepaalden dat China's vrijhandelszones (FTZ's) catalogi van algemene gegevens konden opstellen die bedrijven vrij uit de zone kunnen exporteren.
In mei 2024 was de Shanghai FTZ de eerste zone die algemene gegevenslijsten, waarbij de eerste batch van toepassing is op bedrijven in de auto-, biofarmaceutische en beleggingsfondsen sectoren. Onder dit systeem kunnen bedrijven die zijn gevestigd in de Shanghai FTZ en die gegevens uit China moeten exporteren voor een van de doeleinden die in de algemene gegevenslijsten zijn vermeld, dit doen zonder aanvullende nalevingsprocedures te ondergaan.
Voor het grootste deel hebben de FTZ's die maatregelen hebben genomen om grensoverschrijdende gegevensoverdracht te vergemakkelijken echter een iets andere benadering gevolgd. Tot dusver heeft de Tianjin, Peking, Shanghai, en Zhejiang FTZ's, evenals de Hainan Vrijhandelsport (FTP), hebben negatieve lijsten met gegevens uitgegeven die in totaal 17 industrieën bestrijken, waaronder auto's, farmaceutica, detailhandel, burgerluchtvaart, herverzekering, de diepzee-industrie en de zadenindustrie. Onder dit systeem worden de soorten gegevens en hoeveelheden persoonlijke informatie die niet vrij kunnen worden geëxporteerd vermeld in industriespecifieke gegevenslijsten, en alle gegevens die niet in de lijsten zijn opgenomen, kunnen vrij uit de zone worden geëxporteerd.
De cross-border data transfer Q&A herhaalt ook dat alle gegevens die niet in de negatieve lijsten zijn opgenomen, vrij uit het land kunnen worden geëxporteerd vanuit de betreffende FTZ. In de toekomst is het mogelijk dat meer FTZ's ervoor kiezen om gegevens negatieve lijsten voor verschillende industrieën te implementeren, in plaats van algemene gegevens te definiëren.
Consistentie waarborgen tussen de negatieve lijsten van de FTZ en het uitbreiden van industriespecifieke lijsten
De cross-border data transfer Q&A herhaalt dat de FTZ's hun eigen negatieve lijsten voor gegevensexport mogen opstellen, maar dat deze lijsten moeten worden opgesteld onder het kader van het nationale gegevensclassificatie- en beschermingssysteem. Bovendien ondergaan de lijsten een robuust goedkeuringsproces om consistentie en naleving van China's gegevenswetten, normen en regelgeving te waarborgen. Dit omvat goedkeuring door het provinciale comité voor cyberveiligheid en informatisering, indiening bij het nationale departement voor cyberveiligheid en informatietechnologie en het nationale gegevensbeheer, en een laatste beoordeling door de CAC en de Nationale Gegevensadministratie. Daarnaast worden de meningen van relevante bevoegde afdelingen ingewonnen tijdens het proces van het opstellen van de negatieve lijsten.
Om de implementatie van negatieve lijsten in verschillende FTZ's te vergemakkelijken, de cross-border data transfer Q&A stelt dat als een FTZ al een negatieve lijst heeft uitgegeven voor een bepaalde industrie of veld, andere FTZ's naar deze lijst kunnen verwijzen in plaats van een nieuwe te formuleren. Dit zal helpen met continuïteit tussen verschillende FTZ's en naleving van het nationale gegevensclassificatie- en beschermingssysteem.
Dit suggereert ook dat meer FTZ's gegevens negatieve lijsten zullen uitbrengen naar het model van die in Peking, Shanghai, Tianjin, Hainan en Zhejiang. De cross-border data transfer Q&A benadrukt verder dat de CAC FTZ's actief begeleidt bij het ontwikkelen van dergelijke lijsten in overeenstemming met hun specifieke industriële ontwikkelingsbehoeften.
cross-border data transfer Q&ADe noodzaak van persoonlijke informatie-export bepalen
Een van de stappen bij het exporteren van bepaalde hoeveelheden persoonlijke informatie uit China is om te beoordelen of de export noodzakelijk is voor de bedrijfsvoering van het bedrijf. Bijvoorbeeld, bedrijven die een groot volume aan persoonlijke informatie willen exporteren, en dus een veiligheidsbeoordeling door de CAC vereisen, zullen een zelfbeoordeling moeten uitvoeren die onder andere inhoudt dat ze "de wettigheid, legitimiteit en noodzaak van het doel, de reikwijdte en de methode van de grensoverschrijdende gegevensoverdracht, en de verwerking van de gegevens door de buitenlandse ontvanger" evalueren. De veiligheidsbeoordeling van de CAC zelf omvat ook het beoordelen van "de wettigheid, legitimiteit en noodzaak van de methoden, reikwijdte en het doel van de gegevensexport".
In bredere zin zijn bedrijven verplicht om de noodzaak van de verwerking van persoonlijke informatie aan te tonen voor elke verwerkingsactiviteit, niet alleen voor gegevensexport. Specifiek bepaalt artikel 6 van de PIPL dat "de verwerking van persoonlijke informatie een duidelijk en redelijk doel moet hebben, direct gerelateerd moet zijn aan het doel van de gegevensverwerking en moet worden uitgevoerd op een manier die de minste impact heeft op de rechten en belangen van individuen. De verzameling van persoonlijke informatie moet beperkt blijven tot de minimale reikwijdte die nodig is om het doel van de gegevensverwerking te bereiken, en overmatige verzameling van persoonlijke informatie is niet toegestaan."
Bovendien bepaalt artikel 19 dat "tenzij anders bepaald door wetten en administratieve voorschriften, de bewaartermijn van persoonlijke informatie de kortste tijd moet zijn die nodig is om het doel van de gegevensverwerking te bereiken."
De Q&A over grensoverschrijdende gegevensoverdracht legt uit dat, op basis van de wettelijke bepalingen, vier belangrijke factoren bepalen of een export van persoonlijke informatie "noodzakelijk" is:
- Of het direct gerelateerd is aan het doel van de gegevensverwerking.
- Of het de impact op individuele rechten en belangen minimaliseert.
- Of het beperkt is tot de minimale reikwijdte die nodig is voor dat doel.
- Of de bewaartermijn van de gegevens zo kort is als nodig om dat doel te vervullen.
De Q&A over grensoverschrijdende gegevensoverdracht verder merkt op dat, tijdens veiligheidsbeoordelingen van gegevensexport, de CAC de noodzaak van de export zal evalueren op basis van de specifieke bedrijfscontext en verwerkingsbehoeften van het bedrijf. Dit omvat het beoordelen van de noodzaak van de export zelf, het aantal betrokken individuen en het volume van persoonlijke gegevens dat wordt overgedragen.
Ten slotte stelt het dat de CAC, samen met branchetoezichthouders, zal blijven werken aan het verfijnen en verduidelijken van exportscenario's en gegevensomvangvereisten voor specifieke industrieën om meer gerichte beleidsrichtlijnen te bieden over grensoverschrijdende gegevensoverdrachten.
Verduidelijking over het identificeren van belangrijke gegevens en regelgeving over de export van belangrijke gegevens
Een van de lastigste gebieden voor buitenlandse bedrijven om te navigeren als het gaat om grensoverschrijdende gegevensoverdracht is het beoordelen welke gegevens zij hebben die als "belangrijke" gegevens worden beschouwd.
Onder de Chinese gegevensbeveiligingswetten moet alle gegevens die als "belangrijk" zijn geclassificeerd, een veiligheidsbeoordeling door de CAC ondergaan voordat ze kunnen worden geëxporteerd.
Echter, aangezien de overheid nog geen definitieve lijst heeft vrijgegeven van wat als belangrijke gegevens wordt beschouwd, is het moeilijk om precies te bepalen welke gegevens in aanmerking komen.
De Netwerkgegevensbeveiligingsbeheerregelingen, die op 1 januari 2025 in werking is getreden, biedt een algemene definitie van belangrijke gegevens als "gegevens in een specifiek veld, specifieke groep, specifieke regio, of die een bepaalde nauwkeurigheid en schaal bereiken, die direct de nationale veiligheid, economische werking, sociale stabiliteit, volksgezondheid en veiligheid in gevaar kunnen brengen zodra ze worden gemanipuleerd, vernietigd, gelekt, illegaal verkregen of illegaal gebruikt."
Ondertussen schetsen de hierboven genoemde Gegevensclassificatiestandaarden ook uitgebreide methoden voor bedrijven om belangrijke gegevens te identificeren.
Hoewel belangrijke gegevens over het algemeen beperkt zijn van export, verduidelijkt de Q&A over grensoverschrijdende gegevensoverdracht dat er bepaalde scenario's zijn waarin belangrijke gegevens kunnen worden geëxporteerd. Specifiek, als een veiligheidsbeoordeling van de gegevensexport bepaalt dat de overdracht van de gegevens de nationale veiligheid of openbare belangen niet in gevaar brengt, kan het worden geëxporteerd.
Volgens de Q&A over grensoverschrijdende gegevensoverdracht had de CAC in maart 2025 298 veiligheidsbeoordelingen van gegevensexporten beoordeeld. Onder hen waren 44 betrokken bij belangrijke gegevens, en 7 werden afgewezen - een afwijzingspercentage van 15,9 procent. Deze 44 aanvragen omvatten 509 belangrijke gegevensitems, waarvan 325 werden goedgekeurd voor export, of 63,9 procent van het totaal.
Bovendien benadrukt de Q&A over grensoverschrijdende gegevensoverdracht dat de Regelgeving voor het Bevorderen en Standaardiseren van Grensoverschrijdende Gegevensstromen duidelijk stellen dat als een bedrijf zijn belangrijke gegevens vooraf verklaart, in overeenstemming met relevante voorschriften, en de gegevens niet zijn geïdentificeerd of publiekelijk aangewezen als belangrijk door de relevante autoriteiten of regio's, het bedrijf niet verplicht is om een veiligheidsbeoordeling van de gegevensexport te ondergaan.
Deelname van buitenlandse bedrijven aan het formuleren van technische normen
De Q&A over grensoverschrijdende gegevensoverdracht benadrukt twee belangrijke wegen waarlangs buitenlandse bedrijven kunnen deelnemen aan de ontwikkeling van industrie- en technische normen.
Ten eerste kunnen buitenlandse bedrijven lid worden van werkgroepen onder het Nationaal Informatiebeveiliging Standaardisatie Technisch Comité. Als leden hebben ze gelijke rechten en verantwoordelijkheden als binnenlandse ondernemingen, waardoor ze kunnen deelnemen aan het volledige standaardiseringsproces - van de eerste opstelling tot de definitieve beoordeling - en actief ideeën en feedback kunnen bijdragen in elke fase.
Ten tweede kunnen buitenlandse bedrijven deelnemen door het beoordelen en indienen van opmerkingen over conceptnormen die voor openbare raadpleging zijn gepubliceerd, zodat hun perspectieven worden overwogen tijdens de verfijning van voorgestelde normen.
Methoden voor het stroomlijnen van de export van persoonlijke informatie
De Q&A over grensoverschrijdende gegevensoverdracht introduceert verschillende maatregelen die gericht zijn op het vergemakkelijken van het exporteren van persoonlijke informatie voor bedrijven.
Ten eerste, als een bedrijf meerdere dochterondernemingen heeft met vergelijkbare zakelijke doeleinden en gegevensexportsituaties, kan het moederbedrijf een geconsolideerde aanvraag indienen voor een beveiligingsbeoordeling van gegevensexport of andere toepasselijke nalevingsprocedures voltooien, zoals het ondertekenen van een standaardcontract, namens alle dochterondernemingen. Dit vermindert de nalevingslast en administratieve werkdruk voor elke individuele dochteronderneming aanzienlijk.
Echter, deze aanpak is alleen voordelig wanneer de dochterondernemingen al onderworpen zijn aan nalevingsvereisten. Als een enkele dochteronderneming persoonlijke informatie verwerkt onder de wettelijke drempel, kan het gegevens exporteren zonder een beveiligingsbeoordeling of andere procedures te activeren. In dergelijke gevallen kan het consolideren van gegevens van meerdere dochterondernemingen onbedoeld het totale volume boven de drempel verhogen, waardoor extra nalevingsverplichtingen ontstaan.
Bovendien werkt de CAC aan de implementatie van een certificeringssysteem voor de export van persoonlijke informatie, waarmee derde partij professionele instellingen om activiteiten voor grensoverschrijdende gegevensoverdracht te certificeren. Zodra gecertificeerd, kan hetzij het binnenlandse bedrijf, hetzij de buitenlandse ontvanger gegevens exporteren binnen de reikwijdte van de certificering.
Ten slotte mogen gecertificeerde multinationale groepen persoonlijke informatie intern over de grenzen heen overdragen zonder dat ze afzonderlijke standaardcontracten hoeven te ondertekenen met elke buitenlandse dochteronderneming.
Deze methoden kunnen de grensoverschrijdende gegevensstromen voor grote multinationals aanzienlijk vergemakkelijken. In het bijzonder zal het vermogen voor multinationals om te vertrouwen op groepsbrede certificering, in plaats van een nieuw standaardcontract te ondertekenen voor elk nieuw exportscenario of gegevenstype, de operaties aanzienlijk stroomlijnen. Dit vermindert juridische complexiteit, versnelt bedrijfsprocessen en maakt efficiëntere samenwerking mogelijk tussen bedrijven in China en hun buitenlandse filialen.
De geldigheidsduur van een beveiligingsbeoordelingsresultaat voor gegevensexport verlengen
De Q&A over grensoverschrijdende gegevensoverdracht verduidelijkt dat onder de Regelgeving voor het Bevorderen en Standaardiseren van Grensoverschrijdende Gegevensstromen, de geldigheidsduur van een beveiligingsbeoordelingsresultaat voor gegevensexport is verlengd van 2 jaar naar 3 jaar. Dit betekent dat zodra een bedrijf de beveiligingsbeoordeling doorstaat, het tot drie jaar lang persoonlijke informatie kan blijven exporteren zonder opnieuw te hoeven aanvragen.
Als het bedrijf aan het einde van de drie jaar de gegevensexport wil voortzetten en er geen materiële wijzigingen zijn opgetreden die een nieuwe aanvraag vereisen (zoals significante wijzigingen in gegevenstype, verwerkingsdoeleinden of ontvangers), kan het bedrijf een aanvraag indienen om de geldigheid van het oorspronkelijke beoordelingsresultaat te verlengen. Deze verlengingsaanvraag moet ten minste 60 werkdagen voor de oorspronkelijke vervaldatum worden ingediend via het lokale (provinciale) CAC-kantoor van het bedrijf. Na goedkeuring door de CAC kan de geldigheidsduur met nog eens drie jaar worden verlengd.
Momenteel is de CAC bezig met het verfijnen van de verlengingsprocedures en verzamelt het feedback van belanghebbenden. Het is van plan om het proces te verduidelijken en te formaliseren via bijgewerkte beleidsdocumenten, waardoor het voor bedrijven gemakkelijker wordt om langetermijnactiviteiten voor gegevensexport te beheren.
Beveiligingsbeoordelingen zijn het strengste nalevingsmechanisme voor grensoverschrijdende overdracht van persoonlijke informatie. Het verminderen van de frequentie waarmee bedrijven opnieuw moeten aanvragen, door meerjarige verlengingen toe te staan, vermindert de nalevingslast aanzienlijk. Dit helpt bedrijven tijd te besparen, administratieve kosten te verlagen en continuïteit in grensoverschrijdende operaties te behouden, vooral voor degenen die grote hoeveelheden persoonlijke informatie of belangrijke gegevens verwerken.
