9 Nisan 2025'te, Çin'in Siber Uzay İdaresi (CAC) bir Veri Sınır Ötesi Güvenlik Yönetimi Politikaları Üzerine SSS (bundan sonra, “sınır ötesi veri transferi SSS” olarak anılacaktır), şirketlerin Çin'in gelişen çerçevesine nasıl uyum sağlayabileceğine dair pratik yorumlar sunar sınır ötesi veri transferi. sınır ötesi veri transferi SSS ana sistemler için uygulama detaylarını netleştirir, veri ihracatı dahil güvenlik değerlendirmeleri, standart sözleşmeler kişisel bilgi ihracatları için ve sertifikasyon mekanizmaları.
Belge herhangi bir yeni yasa getirmemekle veya geniş bir düzenleyici gevşeme sinyali vermemekle birlikte, özellikle çok uluslu şirketler için zorluklar yaratan birkaç alanda önemli açıklamalar sunmaktadır. "Genel verilerin" sınırlar ötesinde serbestçe nasıl akabileceğine, şirketlerin kişisel bilgi ihracatının gerekliliğini nasıl değerlendirmesi gerektiğine ve "önemli veri" olarak neyin nitelendirildiğine ışık tutmaktadır.
Özellikle, sınır ötesi veri transferi SSS şirketlerin gereksiz uyum prosedürlerini tekrarlamaktan kaçınmalarına yardımcı olacak önlemler getirir. Bunlar arasında grup şirketlerinin veri ihracat uyumu için konsolide başvurular yapmasına izin verilmesi, güvenlik değerlendirmesi geçerliliğinin uzatılabileceği koşulların belirlenmesi ve sertifikalı çok uluslu şirketlerin her sınır ötesi veri akışı için tekrar tekrar yeni sözleşmeler imzalamalarına gerek olmadığının teyit edilmesi yer alır.
“Genel verilerin” sınırlar ötesinde serbest akışı
sınır ötesi veri transferi SSS "kişisel bilgi veya önemli veri içermeyen genel verilerin sınırlar ötesinde serbestçe akabileceğini" belirtir.
Genel verilerin işlenmesine ilişkin düzenlemeler, Çin'in ana veri yasalarından herhangi birinde açıkça belirtilmemiştir – Siber Güvenlik Kanunu, Veri Güvenliği Kanunu, veya Kişisel Bilgilerin Korunması Kanunu – ne de sınır ötesi veri transferine ilişkin düzenlemelerde belirtilmiştir.
Veri güvenliği ve ihracatına ilişkin bazı sektör spesifik düzenlemelerde belirtilmiştir, örneğin Sanayi ve Bilgi Teknolojisi Alanında Veri Güvenliği Yönetimi Önlemleri (Deneme Uygulaması). Bu önlemler, sanayi ve telekomünikasyon şirketlerinin verileri veri güvenliği amacıyla üç kategoriye ayırmasını gerektirir: önemli, çekirdek ve genel veri. Çekirdek ve önemli veriler, Çin içinde zorunlu yerel depolama ve ihracat öncesi gerekli güvenlik değerlendirmesi dahil olmak üzere daha sıkı düzenlemelere tabidir.
Bu düzenlemeler, genel verilerin aynı sıkı gerekliliklere tabi olmadığı anlamına geldiği şeklinde yorumlanmıştır, ancak metinler bunu açıkça doğrulamaz. CAC'nin açıklaması – genel verilerin sınırlar ötesinde serbestçe aktarılabileceği – bu nedenle önemlidir, çünkü bu yorumun geçerliliği konusundaki belirsizliği ortadan kaldırır.
Bununla birlikte, genel verinin neyi kapsadığı tanımlamak kolay olmayabilir, çünkü hükümet hangi veri türlerinin nitelikli olduğunu belirten kesin bir liste yayımlamamıştır. En yakın tanım, Veri Sınıflandırma Standartları [GB/T 43697-2024] 2024 yılında yayımlanan, genel verinin "önemli ve çekirdek veri hariç herhangi bir veri" olarak tanımlandığı.
Bu standartlarda özetlenen "çekirdek", "önemli" ve diğer veri türlerinin tanımları aşağıdaki tabloda özetlenmiştir.
Çin'in Veri Sınıflandırma Standartlarındaki Anahtar Veri Terimlerinin Tanımları | |
|---|---|
| Veri | Elektronik veya diğer biçimlerdeki herhangi bir bilgi kaydı. |
| Önemli veri | Belirli alanlara, gruplara ve bölgelere özgü veya belirli bir hassasiyet ve ölçeğe ulaşan, sızdırıldığında, tahrif edildiğinde veya yok edildiğinde doğrudan ulusal güvenliği, ekonomik işleyişi, sosyal istikrarı, halk sağlığını ve güvenliğini tehlikeye atabilecek veri. Not: Sadece organizasyonu veya bireysel vatandaşları etkileyen veriler genellikle önemli veri olarak kabul edilmez. |
| Çekirdek veri | Yüksek kapsama derecesine sahip, yüksek hassasiyet seviyesine ulaşan, büyük ölçekli ve bir alan, grup veya bölgede belirli bir derinliğe ulaşan, yasadışı kullanıldığında veya paylaşıldığında doğrudan siyasi güvenliği etkileyebilecek veri. Not: Çekirdek veri, esas olarak ulusal güvenlik anahtar alanları, ulusal ekonomik yaşam hatları, halkın geçim kaynakları ve ilgili devlet daireleri tarafından değerlendirilen ve belirlenen büyük kamu çıkarları ile ilgili verileri içerir. |
| Genel veri | Önemli ve çekirdek veri hariç diğer veriler. |
| Kişisel bilgi | Elektronik veya diğer biçimlerde kaydedilmiş, tanımlanmış veya tanımlanabilir doğal kişilere ilişkin çeşitli bilgi türleri. Kişisel bilgi ayrıca Kişisel Bilgilerin Korunması Kanunu ve diğer düzenlemeler. |
Genel verileri tanımlamada önemli bir gelişme, Sınır Ötesi Veri Akışlarını Teşvik Etme ve Standartlaştırma Yönetmelikleri, sınır ötesi veri transferini kolaylaştırmayı amaçlayan bir dizi düzenleme, 22 Mart 2024'te yürürlüğe girdi. Bu düzenlemeler, Çin'in serbest ticaret bölgelerinin (FTZ'ler) bölgeden serbestçe ihraç edilebilecek genel veri katalogları oluşturabileceğini belirtti.
Mayıs 2024'te, Şanghay FTZ, genel veri listeleri, ilk parti otomotiv, biyofarmasötikler ve yatırım fonu sektörlerindeki şirketlere uygulanmaktadır. Bu sistem altında, Şanghay FTZ'de yerleşik şirketler, genel veri listelerinde belirtilen amaçlardan herhangi biri için Çin'den veri ihraç etmeleri gerektiğinde, ek uyum prosedürlerinden geçmeden bunu yapabilirler.
Bununla birlikte, FTZ'lerin sınır ötesi veri transferini kolaylaştırmak için uyguladıkları önlemler, biraz farklı bir yaklaşım benimsemiştir. Şu ana kadar, Tianjin, Pekin, Şanghay, ve Zhejiang FTZ'leri, ayrıca Hainan Serbest Ticaret Limanı (FTP), toplam 17 sektörü kapsayan veri negatif listeleri yayınladı; bunlar arasında otomobiller, ilaçlar, perakende, sivil havacılık, reasürans, derin deniz endüstrisi ve tohum endüstrisi bulunmaktadır. Bu sistem altında, serbestçe ihraç edilemeyen veri türleri ve kişisel bilgi hacimleri sektör bazlı veri listelerinde listelenmiştir ve listelere dahil olmayan herhangi bir veri bölgeden serbestçe ihraç edilebilir.
Sınır ötesi veri transferi SSS'si ayrıca, negatif listelere dahil olmayan herhangi bir verinin ilgili FTZ'den ülke dışına serbestçe ihraç edilebileceğini yineler. İleriye dönük olarak, daha fazla FTZ'nin genel verileri tanımlamak yerine farklı endüstriler için veri negatif listeleri uygulamayı tercih etmesi mümkündür.
FTZ negatif listeleri arasında tutarlılığı sağlamak ve sektör bazlı listeleri genişletmek
The sınır ötesi veri transferi SSS FTZ'lerin veri ihracatı için kendi veri negatif listelerini oluşturmasına izin verildiğini, ancak bu listelerin ulusal veri sınıflandırma ve derecelendirme koruma sistemi çerçevesi altında oluşturulması gerektiğini yineler. Ayrıca, bu listeler, Çin'in veri yasaları, standartları ve düzenlemeleriyle uyum ve tutarlılığı sağlamak için sağlam bir onay sürecinden geçer. Bu, il siber güvenlik ve enformasyon komitesi tarafından onaylanmayı, ulusal siber güvenlik ve bilgi teknolojisi departmanı ve ulusal veri yönetim departmanına dosyalanmayı ve CAC ve Ulusal Veri İdaresi tarafından nihai bir incelemeyi içerir. Ayrıca, negatif listelerin oluşturulması sürecinde ilgili yetkili departmanların görüşleri alınır.
Farklı FTZ'lerde negatif listelerin uygulanmasını kolaylaştırmak için, sınır ötesi veri transferi SSS bir FTZ'nin belirli bir endüstri veya alan için zaten bir negatif liste yayınlamış olması durumunda, diğer FTZ'lerin bu listeye başvurabileceğini belirtir. Bu, farklı FTZ'ler arasında sürekliliğe ve ulusal veri sınıflandırma ve derecelendirme koruma sistemi ile uyuma yardımcı olacaktır.
Bu ayrıca, Pekin, Şanghay, Tianjin, Hainan ve Zhejiang'da tanıtılanlara benzer veri negatif listeleri yayınlayacak daha fazla FTZ'nin olacağını da önermektedir. The sınır ötesi veri transferi SSS daha da vurgular ki CAC, FTZ'lerin kendi özel endüstriyel gelişim ihtiyaçlarına uygun olarak bu tür listeler geliştirmelerini aktif olarak yönlendirmektedir.
Kişisel bilgi ihracatının gerekliliğini belirleme
Çin'den belirli hacimlerde kişisel bilgilerin ihraç edilmesinin adımlarından biri, ihracatın şirketin iş operasyonları için gerekli olup olmadığını değerlendirmektir. Örneğin, büyük hacimde kişisel bilgi ihraç etmek isteyen ve dolayısıyla CAC tarafından bir güvenlik değerlendirmesi gerektiren şirketler, diğer şeylerin yanı sıra, sınır ötesi veri transferinin amacı, kapsamı ve yönteminin yasallığını, meşruiyetini ve gerekliliğini ve verilerin denizaşırı alıcı tarafından işlenmesini değerlendirmeyi içeren bir öz değerlendirme yapmak zorunda kalacaklardır. CAC'nin güvenlik değerlendirmesi de veri ihracatının yöntemlerinin, kapsamının ve amacının yasallığını, meşruiyetini ve gerekliliğini değerlendirmeyi içerir.
Daha geniş anlamda, şirketlerin sadece veri ihracatı için değil, herhangi bir işleme faaliyeti için kişisel bilgi işlemenin gerekliliğini göstermeleri gerekmektedir. Özellikle, PIPL'nin 6. Maddesi, "kişisel bilgilerin işlenmesinin açık ve makul bir amaca sahip olması, veri işleme amacıyla doğrudan ilgili olması ve bireysel hak ve çıkarlar üzerinde en az etkiye sahip olacak şekilde gerçekleştirilmesi gerektiğini" belirtir. Kişisel bilgi toplama, veri işleme amacını gerçekleştirmek için gerekli olan minimum kapsamla sınırlı olmalı ve aşırı kişisel bilgi toplama izin verilmez.
Ayrıca, Madde 19, "kanunlar ve idari düzenlemelerle aksi belirtilmedikçe, kişisel bilgilerin saklama süresi, veri işleme amacını gerçekleştirmek için gerekli olan en kısa süre olmalıdır" hükmünü getirir.
Sınır ötesi veri transferi SSS'si, yasal hükümlere dayanarak, kişisel bilgi ihracatının "gerekli" olup olmadığını belirleyen dört ana faktörü açıklar:
- Veri işleme amacına doğrudan ilgili olup olmadığı.
- Bireysel haklar ve çıkarlar üzerindeki etkisini en aza indirip indirmediği.
- Bu amaç için gereken minimum kapsamla sınırlı olup olmadığı.
- Veri saklama süresinin, o amacı yerine getirmek için gerekli olan en kısa süre olup olmadığı.
The sınır ötesi veri transferi SSS'si daha fazla belirtir ki, veri ihracat güvenlik değerlendirmeleri sırasında, CAC, ihracatın gerekliliğini şirketin belirli iş bağlamı ve işleme ihtiyaçlarına göre değerlendirecektir. Bu, ihracatın kendisinin gerekliliğini, dahil olan bireylerin sayısını ve aktarılan kişisel veri hacmini değerlendirmeyi içerir.
Son olarak, CAC'nin, endüstri düzenleyicileriyle birlikte, sınır ötesi veri transferleri konusunda daha hedefli politika rehberliği sunmak için belirli endüstriler için ihracat senaryolarını ve veri kapsamı gereksinimlerini rafine etmeye ve netleştirmeye devam edeceği belirtilmektedir.
Önemli verilerin tanımlanması ve önemli veri ihracatıyla ilgili düzenlemeler hakkında açıklama
Yabancı şirketler için sınır ötesi veri transferi konusunda en zorlayıcı alanlardan biri, sahip oldukları verilerin "önemli" veri olarak değerlendirilip değerlendirilmeyeceğini değerlendirmektir.
Çin'in veri güvenliği yasalarına göre, "önemli" olarak sınıflandırılan herhangi bir veri, ihraç edilmeden önce CAC tarafından bir güvenlik değerlendirmesine tabi tutulmalıdır.
Bununla birlikte, hükümetin önemli verilerin neler olduğunu belirten kesin bir liste yayınlamamış olması nedeniyle, hangi verilerin nitelikli olacağını belirlemek zordur.
The Ağ Veri Güvenliği Yönetim Yönetmelikleri, 1 Ocak 2025'te yürürlüğe giren, önemli verilerin genel bir tanımını sağlar: "belirli bir alanda, belirli bir grupta, belirli bir bölgede veya belirli bir doğruluk ve ölçeğe ulaşan, tahrif edildiğinde, yok edildiğinde, sızdırıldığında, yasa dışı olarak elde edildiğinde veya yasa dışı olarak kullanıldığında ulusal güvenliği, ekonomik işleyişi, sosyal istikrarı, halk sağlığını ve güvenliğini doğrudan tehlikeye atabilecek veriler."
Bu arada, yukarıda bahsedilen Veri Sınıflandırma Standartları da kapsamlı yöntemler şirketlerin önemli verileri tanımlaması için.
Önemli verilerin genellikle ihraç edilmesi kısıtlanmış olsa da, sınır ötesi veri transferi SSS'si, önemli verilerin ihraç edilebileceği belirli senaryolar olduğunu açıklığa kavuşturur. Özellikle, bir veri ihracat güvenlik değerlendirmesi, verilerin transferinin ulusal güvenliği veya kamu çıkarlarını tehlikeye atmadığını belirlerse, ihraç edilebilir.
Sınır ötesi veri transferi SSS'sine göre, Mart 2025 itibarıyla, CAC 298 veri ihracat güvenlik değerlendirmesini incelemiştir. Bunlardan 44'ü önemli verileri içeriyordu ve 7'si reddedildi - reddedilme oranı yüzde 15,9. Bu 44 başvuru, 509 önemli veri öğesini içeriyordu ve bunların 325'i ihraç için onaylandı, bu da toplamın yüzde 63,9'unu oluşturuyor.
Ayrıca, sınır ötesi veri transferi SSS'si vurguluyor ki Sınır Ötesi Veri Akışlarını Teşvik Etme ve Standartlaştırma Yönetmelikleri açıkça belirtir ki, bir şirket, ilgili düzenlemelere uygun olarak önemli verilerini önceden beyan ederse ve veriler ilgili makamlar veya bölgeler tarafından önemli olarak tanımlanmamış veya kamuya açık olarak belirlenmemişse, şirketin bir veri ihracat güvenlik değerlendirmesine tabi tutulması gerekmez.
Yabancı şirketlerin teknik standartların oluşturulmasına katılımı
Sınır ötesi veri transferi SSS'si, yabancı şirketlerin endüstri ve teknik standartların geliştirilmesine katılabileceği iki ana yolu vurgular.
İlk olarak, yabancı şirketler Ulusal Bilgi Güvenliği Standardizasyon Teknik Komitesi bünyesindeki çalışma gruplarına üye olabilirler. Üyeler olarak, yerli işletmelerle eşit hak ve sorumluluklara sahip olurlar, bu da onlara taslak hazırlamadan nihai incelemeye kadar tam standart belirleme sürecine katılma ve her aşamada fikir ve geri bildirimlerini aktif olarak sunma imkanı tanır.
İkinci olarak, yabancı şirketler, kamuoyu danışmanlığı için yayınlanan taslak standartları inceleyerek ve yorumlarını sunarak, önerilen standartların iyileştirilmesi sırasında perspektiflerinin dikkate alınmasını sağlayabilirler.
Kişisel bilgi ihracatını kolaylaştırma yöntemleri
Sınır ötesi veri transferi SSS'si, şirketler için kişisel bilgi ihracat sürecini kolaylaştırmayı amaçlayan çeşitli önlemler sunar.
Öncelikle, benzer iş amaçları ve veri ihracat senaryolarına sahip birden fazla iştiraki olan bir şirket, bir veri ihracat güvenlik değerlendirmesi için konsolide bir başvuru yapabilir veya bir standart sözleşme, tüm iştirakler adına. Bu, her bir iştirak için uyum yükünü ve idari iş yükünü önemli ölçüde azaltır.
Ancak, bu yaklaşım yalnızca iştiraklerin zaten uyum gerekliliklerine tabi olduğu durumlarda faydalıdır. Tek bir iştirak, düzenleyici eşik altında kişisel bilgileri işlerse, bir güvenlik değerlendirmesi veya diğer prosedürleri tetiklemeden veri ihraç edebilir. Bu gibi durumlarda, birden fazla iştirakden veri konsolidasyonu, toplam hacmi eşik değerin üzerine çıkararak ek uyum yükümlülükleri oluşturabilir.
Ayrıca, CAC, kişisel bilgi ihracatları için bir sertifikasyon sistemi uygulamaya koymak için çalışıyor, üçüncü taraf profesyonel kurumlar, sınır ötesi veri transferi faaliyetlerini sertifikalandırmak için. Sertifikalandırıldıktan sonra, ya yerli şirket ya da denizaşırı alıcı, sertifikasyon kapsamı dahilinde veri ihracatı yapabilir.
Son olarak, sertifikalı çok uluslu grupların, her yabancı iştirak ile ayrı standart sözleşmeler imzalamadan kişisel bilgileri dahili olarak sınır ötesi transfer etmelerine izin verilecektir.
Bu yöntemler, büyük çok uluslu şirketler için sınır ötesi veri akışlarını önemli ölçüde kolaylaştırabilir. Özellikle, çok uluslu şirketlerin her yeni ihracat senaryosu veya veri türü için yeni bir standart sözleşme imzalamak yerine grup genelinde sertifikasyona güvenebilme yeteneği, operasyonları büyük ölçüde hızlandıracaktır. Bu, hukuki karmaşıklığı azaltır, iş süreçlerini hızlandırır ve Çin'de bulunan şirketler ile denizaşırı iştirakleri arasında daha verimli işbirliğini mümkün kılar.
Bir veri ihracat güvenlik değerlendirmesi sonucunun geçerlilik süresinin uzatılması
Sınır ötesi veri transferi SSS'si, Sınır Ötesi Veri Akışlarını Teşvik Etme ve Standartlaştırma Yönetmelikleri, bir veri ihracat güvenlik değerlendirmesi sonucunun geçerlilik süresi 2 yıldan 3 yıla uzatılmıştır. Bu, bir şirket güvenlik değerlendirmesini geçtikten sonra, yeniden başvuru yapmadan üç yıla kadar kişisel bilgi ihraç etmeye devam edebileceği anlamına gelir.
Üç yılın sonunda, şirket veri ihracatına devam etmek isterse ve yeni bir başvuru gerektirecek önemli değişiklikler (veri türü, işleme amaçları veya alıcılar gibi) meydana gelmemişse, şirket orijinal değerlendirme sonucunun geçerliliğini uzatmak için başvuruda bulunabilir. Bu uzatma başvurusu, şirketin yerel (il düzeyinde) CAC ofisi aracılığıyla orijinal sona erme tarihinden en az 60 iş günü önce sunulmalıdır. CAC tarafından onaylanması durumunda, geçerlilik süresi üç yıl daha uzatılabilir.
Şu anda, CAC uzatma prosedürlerini iyileştirme sürecindedir ve paydaşlardan geri bildirim toplamaktadır. Uzun vadeli veri ihracat faaliyetlerini yönetmeyi kolaylaştırmak için süreci güncellenmiş politika belgeleri aracılığıyla netleştirmeyi ve resmileştirmeyi planlamaktadır.
Güvenlik değerlendirmeleri, sınır ötesi kişisel bilgi transferleri için en katı uyum mekanizmasıdır. Şirketlerin yeniden başvuru yapma sıklığını azaltmak, çok yıllı uzatmalara izin vererek, uyum yükünü önemli ölçüde hafifletir. Bu, şirketlerin zaman tasarrufu yapmasına, idari maliyetleri azaltmasına ve sınır ötesi operasyonlarda sürekliliği sağlamasına yardımcı olur, özellikle yüksek hacimli kişisel bilgi veya önemli veri işleyenler için.
