Em 9 de abril de 2025, a Administração do Ciberespaço da China (CAC) lançou um Perguntas e Respostas sobre Políticas de Gestão de Segurança de Transferência de Dados Transfronteiriça (doravante, “perguntas e respostas sobre transferência de dados transfronteiriça”), oferecendo interpretações práticas de como as empresas podem cumprir o quadro em evolução da China para transferência de dados transfronteiriça. O perguntas e respostas sobre transferência de dados transfronteiriça esclarece detalhes de implementação para sistemas-chave, incluindo exportação de dados avaliações de segurança, contratos padrão para exportações de informações pessoais, e mecanismos de certificação.
Embora o documento não introduza novas leis ou sinalize um relaxamento regulatório amplo, ele fornece esclarecimentos importantes sobre várias áreas que têm representado desafios para as empresas, especialmente empresas multinacionais. Ele esclarece como “dados gerais” podem fluir livremente através das fronteiras, como as empresas devem avaliar a necessidade de exportações de informações pessoais e o que qualifica como “dados importantes”.
Notavelmente, o perguntas e respostas sobre transferência de dados transfronteiriça introduz medidas para ajudar as empresas a evitar a repetição desnecessária de procedimentos de conformidade. Estas incluem permitir que empresas do mesmo grupo apresentem pedidos consolidados para conformidade de exportação de dados, delineando condições sob as quais a validade da avaliação de segurança pode ser estendida, e confirmando que multinacionais certificadas não precisam assinar repetidamente novos contratos para cada fluxo de dados transfronteiriço.
Fluxo livre de “dados gerais” através das fronteiras
O perguntas e respostas sobre transferência de dados transfronteiriça afirma que “dados gerais que não envolvem informações pessoais ou dados importantes podem fluir livremente através das fronteiras”.
Regulamentos sobre o tratamento de dados gerais não foram explicitamente estipulados em nenhuma das principais leis de dados da China – incluindo a Lei de Cibersegurança, o Lei de Segurança de Dados, ou o Lei de Proteção de Informações Pessoais – nem é mencionado em regulamentos especificamente sobre transferência de dados transfronteiriça.
É mencionado em alguns regulamentos específicos da indústria sobre segurança e exportação de dados, como o Medidas para Gestão de Segurança de Dados no Campo da Indústria e Tecnologia da Informação (Implementação Experimental). Essas medidas exigem que empresas industriais e de telecomunicações organizem dados em três categorias – dados importantes, dados centrais e dados gerais – para fins de segurança de dados. Dados centrais e importantes estão sujeitos a regulamentos mais rigorosos, incluindo armazenamento doméstico obrigatório dentro da China e uma avaliação de segurança necessária antes da exportação.
Esses regulamentos foram interpretados como significando que dados gerais não estão sujeitos aos mesmos requisitos rigorosos, embora os textos não confirmem explicitamente isso. A clarificação da CAC – de que dados gerais podem ser transferidos livremente através das fronteiras – é, portanto, significativa, pois elimina qualquer incerteza em torno da validade dessa interpretação.
No entanto, definir o que constitui dados gerais pode não ser simples, já que o governo não divulgou uma lista definitiva de tipos de dados que se qualificam. A coisa mais próxima de uma definição específica é encontrada no Normas de Classificação de Dados [GB/T 43697-2024] lançado em 2024, no qual dados gerais são definidos como “quaisquer dados excluindo dados importantes e dados centrais”.
As definições de tipos de dados “centrais”, “importantes” e outros delineados nessas normas são resumidas na tabela abaixo.
Definições de Termos de Dados nas Normas de Classificação de Dados da China | |
|---|---|
| Dados | Qualquer registro de informações em formas eletrônicas ou outras. |
| Dados importantes | Dados específicos de certos campos, grupos e regiões, ou que atingem um certo nível de precisão e escala que, uma vez vazados, adulterados ou destruídos, podem comprometer diretamente a segurança nacional, operação econômica, estabilidade social, saúde pública e segurança. Nota: Dados que afetam apenas a própria organização ou cidadãos individuais geralmente não são considerados dados importantes. |
| Dados centrais | Dados com um alto grau de cobertura, que atingem um alto nível de precisão, são grandes em escala e atingem uma certa profundidade em um domínio, grupo ou região que, uma vez usados ou compartilhados ilegalmente, podem afetar diretamente a segurança política. Nota: Dados centrais incluem principalmente dados relacionados a áreas-chave de segurança nacional, linhas econômicas vitais nacionais, meios de subsistência das pessoas e grandes interesses públicos, conforme avaliado e determinado pelos departamentos estatais relevantes. |
| Dados gerais | Outros dados, excluindo dados importantes e dados centrais. |
| Informações pessoais | Vários tipos de informações relacionadas a pessoas naturais identificadas ou identificáveis registradas em formas eletrônicas ou outras. Informações pessoais também são definidas na Lei de Proteção de Informações Pessoais e outros regulamentos. |
Um desenvolvimento importante na definição de dados gerais veio com o lançamento do Regulamentos para Promover e Padronizar Fluxos de Dados Transfronteiriços, um conjunto de regulamentos destinados a facilitar a transferência de dados transfronteiriça, que entrou em vigor em 22 de março de 2024. Esses regulamentos estipulavam que as zonas de livre comércio (FTZs) da China poderiam formular catálogos de dados gerais que as empresas podem exportar livremente da zona.
Em maio de 2024, a FTZ de Shanghai foi a primeira zona a lançar listas gerais de dados, com o primeiro lote aplicando-se a empresas nos setores automotivo, biofarmacêutico e de fundos mútuos. Sob este sistema, empresas baseadas na FTZ de Shanghai que precisam exportar dados da China para qualquer um dos propósitos declarados nas listas gerais de dados podem fazê-lo sem passar por nenhum dos procedimentos adicionais de conformidade.
Na maioria das vezes, no entanto, as FTZs que implementaram medidas para facilitar a transferência de dados transfronteiriça adotaram uma abordagem ligeiramente diferente. Até agora, o Tianjin, Beijing, Shanghai, e FTZs de Zhejiang, bem como o Porto de Livre Comércio de Hainan (FTP), emitiram listas negativas de dados cobrindo um total de 17 indústrias, incluindo automóveis, produtos farmacêuticos, varejo, aviação civil, resseguros, a indústria de águas profundas e a indústria de sementes. Sob este sistema, os tipos de dados e volumes de informações pessoais que não podem ser livremente exportados são listados em listas de dados específicas da indústria, e quaisquer dados não incluídos nas listas podem ser livremente exportados da zona.
O Q&A sobre transferência de dados transfronteiriça também reitera que quaisquer dados não incluídos nas listas negativas podem ser livremente exportados do país a partir da respectiva FTZ. No futuro, é possível que mais FTZs optem por implementar listas negativas de dados para diferentes indústrias, em vez de definir dados gerais.
Garantindo consistência entre as listas negativas da FTZ e expandindo listas específicas da indústria
O Q&A sobre transferência de dados transfronteiriça reitera que as FTZs estão autorizadas a formular suas próprias listas negativas de dados para exportação de dados, mas que essas listas devem ser formuladas sob o quadro do sistema nacional de classificação e proteção de dados. Além disso, as listas passam por um processo de aprovação robusto para garantir consistência e conformidade com as leis, normas e regulamentos de dados da China. Isso inclui aprovação pelo comitê provincial de cibersegurança e informatização, arquivamento com o departamento nacional de cibersegurança e tecnologia da informação e o departamento nacional de gestão de dados, e uma revisão final pelo CAC e pela Administração Nacional de Dados. Além disso, as opiniões dos departamentos competentes relevantes são solicitadas durante o processo de formulação das listas negativas.
Para facilitar a implementação de listas negativas em diferentes FTZs, o Q&A sobre transferência de dados transfronteiriça afirma que se uma FTZ já emitiu uma lista negativa para uma determinada indústria ou campo, outras FTZs podem se referir a essa lista em vez de formular uma nova. Isso ajudará na continuidade entre diferentes FTZs e na conformidade com o sistema nacional de classificação e proteção de dados.
Isso também sugere que mais FTZs lançarão listas negativas de dados modeladas após aquelas introduzidas em Beijing, Shanghai, Tianjin, Hainan e Zhejiang. O Q&A sobre transferência de dados transfronteiriça destaca ainda que o CAC está ativamente orientando as FTZs a desenvolver tais listas em alinhamento com suas necessidades específicas de desenvolvimento industrial.
Determinando a necessidade de exportação de informações pessoais
Um dos passos na exportação de certos volumes de informações pessoais para fora da China é avaliar se a exportação é necessária para as operações comerciais da empresa. Por exemplo, empresas que buscam exportar um grande volume de informações pessoais, exigindo assim uma avaliação de segurança pelo CAC, serão obrigadas a realizar uma autoavaliação que envolve, entre outras coisas, avaliar "a legalidade, legitimidade e necessidade do propósito, escopo e método da transferência de dados transfronteiriça, e o processamento dos dados pelo destinatário no exterior." A própria avaliação de segurança do CAC também envolve avaliar "a legalidade, legitimidade e necessidade dos métodos, escopo e propósito da exportação de dados".
Mais amplamente, as empresas são obrigadas a demonstrar a necessidade do processamento de informações pessoais para qualquer atividade de processamento, não apenas para exportação de dados. Especificamente, o Artigo 6 da PIPL estipula que "o processamento de informações pessoais deve ter um propósito claro e razoável, estar diretamente relacionado ao propósito do processamento de dados e ser conduzido de forma a ter o menor impacto sobre os direitos e interesses individuais. A coleta de informações pessoais deve ser limitada ao escopo mínimo necessário para atingir o propósito do processamento de dados, e a coleta excessiva de informações pessoais não é permitida."
Além disso, o Artigo 19 estipula que "salvo disposição em contrário por leis e regulamentos administrativos, o período de retenção de informações pessoais deve ser o menor tempo necessário para alcançar o propósito do processamento de dados."
O Q&A sobre transferência de dados transfronteiriça explica que, com base nas disposições legais, quatro fatores-chave determinam se uma exportação de informações pessoais é "necessária":
- Se está diretamente relacionado ao propósito do processamento de dados.
- Se minimiza o impacto sobre os direitos e interesses individuais.
- Se está limitado ao escopo mínimo necessário para esse propósito.
- Se o período de retenção de dados é tão curto quanto necessário para cumprir esse propósito.
O Q&A sobre transferência de dados transfronteiriça observa ainda que, durante as avaliações de segurança de exportação de dados, o CAC avaliará a necessidade da exportação com base no contexto específico de negócios da empresa e nas necessidades de processamento. Isso inclui avaliar a necessidade da própria exportação, o número de indivíduos envolvidos e o volume de dados pessoais sendo transferidos.
Finalmente, afirma que o CAC, juntamente com os reguladores da indústria, continuará refinando e esclarecendo cenários de exportação e requisitos de escopo de dados para indústrias específicas, a fim de oferecer orientações políticas mais direcionadas sobre transferências de dados transfronteiriças.
Esclarecimento sobre a identificação de dados importantes e regulamentos sobre a exportação de dados importantes
Uma das áreas mais complicadas para as empresas estrangeiras navegarem quando se trata de transferência de dados transfronteiriça é avaliar quais dados que possuem são considerados dados "importantes".
De acordo com as leis de segurança de dados da China, qualquer dado classificado como "importante" deve passar por uma avaliação de segurança pelo CAC antes de poder ser exportado.
No entanto, como o governo não divulgou uma lista definitiva do que é considerado dados importantes, é difícil determinar exatamente quais dados se qualificarão.
O Regulamentos de Gestão de Segurança de Dados de Rede, que entrou em vigor em 1º de janeiro de 2025, fornece uma definição geral de dados importantes como "dados em um campo específico, grupo específico, região específica ou atingindo certa precisão e escala, que podem diretamente ameaçar a segurança nacional, operação econômica, estabilidade social, saúde pública e segurança uma vez que sejam adulterados, destruídos, vazados, obtidos ilegalmente ou usados ilegalmente."
Enquanto isso, os Padrões de Classificação de Dados mencionados acima também delineiam métodos extensivos para as empresas identificarem dados importantes.
Embora os dados importantes sejam geralmente restritos de serem exportados, o Q&A sobre transferência de dados transfronteiriça esclarece que existem certos cenários em que os dados importantes podem ser exportados. Especificamente, se uma avaliação de segurança de exportação de dados determinar que a transferência dos dados não põe em perigo a segurança nacional ou os interesses públicos, eles podem ser exportados.
De acordo com o Q&A sobre transferência de dados transfronteiriça, em março de 2025, o CAC havia revisado 298 avaliações de segurança de exportação de dados. Entre elas, 44 envolveram dados importantes, e 7 foram rejeitadas – uma taxa de rejeição de 15,9 por cento. Essas 44 aplicações incluíram 509 itens de dados importantes, dos quais 325 foram aprovados para exportação, ou 63,9 por cento do total.
Além disso, o Q&A sobre transferência de dados transfronteiriça enfatiza que o Regulamentos sobre Promoção e Padronização de Fluxos de Dados Transfronteiriços afirma claramente que, se uma empresa declarar seus dados importantes com antecedência, em conformidade com os regulamentos relevantes, e os dados não tiverem sido identificados ou designados publicamente como importantes pelas autoridades ou regiões relevantes, a empresa não é obrigada a passar por uma avaliação de segurança de exportação de dados.
Participação de empresas estrangeiras na formulação de padrões técnicos
O Q&A sobre transferência de dados transfronteiriça destaca duas principais vias pelas quais as empresas estrangeiras podem participar do desenvolvimento de padrões industriais e técnicos.
Primeiro, as empresas estrangeiras podem se tornar membros de grupos de trabalho sob o Comitê Técnico de Padronização de Segurança da Informação Nacional. Como membros, elas têm direitos e responsabilidades iguais aos das empresas domésticas, permitindo-lhes participar de todo o processo de definição de padrões – desde a elaboração inicial até a revisão final – e contribuir ativamente com ideias e feedback em cada etapa.
Em segundo lugar, as empresas estrangeiras podem participar revisando e enviando comentários sobre padrões de rascunho publicados para consulta pública, garantindo que suas perspectivas sejam consideradas durante o refinamento dos padrões propostos.
Métodos para simplificar a exportação de informações pessoais
O Q&A sobre transferência de dados transfronteiriça introduz várias medidas destinadas a facilitar o processo de exportação de informações pessoais para empresas.
Primeiro, se uma empresa tiver várias subsidiárias com propósitos comerciais semelhantes e cenários de exportação de dados, a empresa-mãe pode enviar uma aplicação consolidada para uma avaliação de segurança de exportação de dados ou completar outros procedimentos de conformidade aplicáveis, como assinar um contrato padrão, em nome de todas as subsidiárias. Isso reduz significativamente o ônus de conformidade e a carga administrativa para cada subsidiária individual.
No entanto, essa abordagem só é benéfica quando as subsidiárias já estão sujeitas a requisitos de conformidade. Se uma única subsidiária processar informações pessoais abaixo do limite regulatório, ela pode exportar dados sem acionar uma avaliação de segurança ou outros procedimentos. Nesses casos, consolidar dados de várias subsidiárias poderia, involuntariamente, elevar o volume total acima do limite, criando obrigações de conformidade adicionais.
Além disso, o CAC está trabalhando para implementar um sistema de certificação para exportações de informações pessoais, capacitando instituições profissionais terceirizadas para certificar atividades de transferência de dados transfronteiriças. Uma vez certificada, tanto a empresa doméstica quanto o destinatário no exterior podem realizar exportações de dados dentro do escopo da certificação.
Finalmente, grupos multinacionais certificados poderão transferir informações pessoais internamente através das fronteiras sem a necessidade de assinar contratos padrão separados com cada subsidiária estrangeira.
Esses métodos poderiam facilitar significativamente os fluxos de dados transfronteiriços para grandes multinacionais. Em particular, a capacidade das multinacionais de confiar em uma certificação em todo o grupo, em vez de assinar um novo contrato padrão para cada novo cenário de exportação ou tipo de dado, irá simplificar muito as operações. Isso reduz a complexidade legal, acelera os processos de negócios e permite uma colaboração mais eficiente entre empresas baseadas na China e suas afiliadas no exterior.
Estendendo o período de validade de um resultado de avaliação de segurança de exportação de dados
O Q&A sobre transferência de dados transfronteiriços esclarece que sob o Regulamentos sobre Promoção e Padronização de Fluxos de Dados Transfronteiriços, o período de validade de um resultado de avaliação de segurança de exportação de dados foi estendido de 2 anos para 3 anos. Isso significa que, uma vez que uma empresa passe na avaliação de segurança, ela pode continuar exportando informações pessoais por até três anos sem precisar reaplicar.
Se, ao final dos três anos, a empresa desejar continuar exportando dados e não ocorreram mudanças materiais que exigiriam uma nova aplicação (como mudanças significativas no tipo de dados, propósitos de processamento ou destinatários), a empresa pode solicitar a extensão da validade do resultado original da avaliação. Esta aplicação de extensão deve ser submetida através do escritório local (nível provincial) do CAC da empresa pelo menos 60 dias úteis antes da data de expiração original. Após a aprovação pelo CAC, o período de validade pode ser estendido por mais três anos.
Atualmente, o CAC está no processo de refinar os procedimentos de extensão e está reunindo feedback de partes interessadas. Planeja esclarecer e formalizar o processo por meio de documentos de política atualizados, facilitando para as empresas a gestão de atividades de exportação de dados a longo prazo.
As avaliações de segurança são o mecanismo de conformidade mais rigoroso para transferências transfronteiriças de informações pessoais. Reduzir a frequência com que as empresas devem reaplicar, permitindo extensões de vários anos, alivia significativamente o ônus de conformidade. Isso ajuda as empresas a economizar tempo, reduzir custos administrativos e manter a continuidade nas operações transfronteiriças, especialmente para aquelas que lidam com grandes volumes de informações pessoais ou dados importantes.
