La Cina chiarisce le regole sul trasferimento transfrontaliero dei dati: i punti chiave
La Cina ha pubblicato nuovi chiarimenti sulle regole di trasferimento transfrontaliero dei dati in una sessione ufficiale di Q&A, offrendo alle aziende straniere una guida pratica sulle valutazioni di sicurezza, l’esportazione di informazioni personali, l’identificazione di dati importanti e l’allentamento della conformità attraverso la certificazione e le politiche delle zone di libero scambio (FTZ).
Il 9 aprile 2025, la Cyberspace Administration (CAC) cinese ha pubblicato una sessione di domande e risposte (Q&A) sulle politiche di gestione della sicurezza transfrontaliera dei dati (di seguito, “domande e risposte sul trasferimento transfrontaliero dei dati”), offrendo interpretazioni pratiche su come le aziende possono conformarsi al quadro in evoluzione della Cina per il trasferimento transfrontaliero dei dati. Le domande e risposte sul trasferimento transfrontaliero dei dati chiariscono i dettagli relativi all’implementazione dei principali sistemi, tra cui le valutazioni della sicurezza per l’esportazione dei dati, i contratti standard per l’esportazione di informazioni personali e i meccanismi di certificazione.
Pur non introducendo nuove leggi né segnalando un ampio allentamento normativo, il documento fornisce chiarimenti importanti su diverse aree che hanno rappresentato sfide per le imprese, in particolare le multinazionali. Fa luce su come i “dati generali” possano circolare liberamente oltre confine, su come le aziende debbano valutare la necessità di esportare informazioni personali e su cosa si intenda per “dati importanti”.
In particolare, le domande e risposte sul trasferimento transfrontaliero dei dati introducono misure per aiutare le imprese a evitare inutili ripetizioni delle procedure di conformità. Tra queste, la possibilità per le società di gruppo di presentare domande cumulative per la conformità all’esportazione dei dati, la definizione delle condizioni in base alle quali la validità della valutazione di sicurezza può essere estesa e la conferma che le multinazionali certificate non debbano firmare ripetutamente nuovi contratti per ogni flusso di dati transfrontaliero.
Inizia a leggere
Libera circolazione transfrontaliera di “dati generali”
Le Domande e risposte sul trasferimento transfrontaliero dei dati riportano che “i dati generali che non riguardano informazioni personali o dati importanti possono fluire liberamente attraverso i confini”.
Le norme sul trattamento dei dati generali non sono state esplicitamente trattate in nessuna delle principali leggi cinesi sui dati (tra cui la legge sulla sicurezza informatica, la legge sulla sicurezza dei dati o la legge sulla protezione delle informazioni personali), né sono menzionate nelle normative specifiche sul trasferimento transfrontaliero dei dati.
Sono invece menzionate in alcune normative specifiche del settore in materia di sicurezza ed esportazione dei dati, come le Misure per la gestione della sicurezza dei dati nel campo dell’industria e della tecnologia dell’informazione (Trial Implementation). Le misure richiedono alle aziende dei settori industriale e delle telecomunicazioni di suddividere i dati in tre categorie – dati importanti, dati principali e generali – per garantire la sicurezza dei dati. I dati principali e importanti sono soggetti a normative più severe, che includono l’obbligo di archiviazione nazionale in Cina e la necessità di una valutazione di sicurezza prima dell’esportazione.
Queste norme sono state interpretate come se i dati generali non fossero soggetti agli stessi requisiti rigorosi, anche se i testi non lo confermano esplicitamente. Il chiarimento fornito dalla CAC, secondo cui i dati generali possono essere trasferiti liberamente oltre confine, è quindi rilevante, poiché elimina ogni incertezza sulla validità di tale interpretazione.
Tuttavia, definire ciò che costituisce un dato generale potrebbe non essere semplice, poiché il Governo non ha emanato un elenco definitivo dei tipi di dati che si qualificano. La definizione più specifica si trova negli standard di classificazione dei dati [GB/T 43697-2024] pubblicati nel 2024, in cui i dati generali sono definiti come “qualsiasi dato, ad eccezione dei dati importanti e fondamentali”.
Le definizioni di ‘fondamentali’, ‘importanti’ e degli altri tipi di dati elencati in questi standard sono riassunte nella tabella sottostante.
Definizione dei termini chiave sui dati negli standard di classificazione dei dati cinesi | |
Dati | Ogni registrazione di informazioni in forma elettronica o di altro tipo. |
Dati importanti | Dati specifici per determinati campi, gruppi e regioni, o che raggiungono un certo livello di precisione e scala che, una volta trapelati, manomessi o distrutti, possano mettere direttamente a repentaglio la sicurezza nazionale, il funzionamento economico, la stabilità sociale, la salute pubblica e la sicurezza.
Nota: i dati che riguardano solo l’organizzazione stessa o i singoli cittadini non sono generalmente considerati dati importanti. |
Dati principali | Dati con un alto grado di copertura, che raggiungono un elevato livello di precisione, sono di grande scala e raggiungono una certa profondità in un dominio, gruppo o regione, che, se utilizzati o condivisi illegalmente, potrebbero influire direttamente sulla sicurezza politica. Nota: I dati fondamentali comprendono principalmente i dati relativi alle aree chiave della sicurezza nazionale, alle linee vitali dell’economia nazionale, al benessere della popolazione e agli interessi pubblici principali, come valutato e determinato dagli enti statali competenti. |
Dati generali | Altri dati, esclusi i dati importanti e fondamentali. |
Informazioni personali | Vari tipi di informazioni relative a persone fisiche identificate o identificabili registrate in forma elettronica o di altro tipo.
Le informazioni personali sono definite anche nella Legge sulla Protezione delle Informazioni Personali e in altre normative. |
Un importante sviluppo nella definizione dei dati generali è avvenuto con la pubblicazione delle Norme per Promuovere e Standardizzare i Flussi di Dati Transfrontalieri, un insieme di regolamenti finalizzati a facilitare il trasferimento transfrontaliero dei dati, entrato in vigore il 22 marzo 2024. Questi regolamenti stabilivano che le zone di libero scambio (FTZ) della Cina potessero elaborare cataloghi di dati generali che le aziende possono esportare liberamente dalla zona.
Nel maggio 2024, la ZLS di Shanghai è stata la prima zona a pubblicare elenchi di dati generali, con il primo elenco che riguarda le aziende dei settori automobilistico, biofarmaceutico e dei fondi comuni di investimento. In base a questo sistema, le aziende con sede nella ZLS di Shanghai che devono esportare dati al di fuori della Cina per uno qualsiasi degli scopi indicati negli elenchi generali dei dati possono farlo senza sottoporsi ad alcuna delle procedure di conformità aggiuntive.
Per la maggior parte, tuttavia, le FTZ che hanno implementato misure per facilitare il trasferimento transfrontaliero dei dati hanno adottato un approccio leggermente diverso. Fino ad oggi, le FTZ di Tianjin, Pechino, Shanghai e Zhejiang, così come il Porto di Libero Scambio di Hainan (FTP), hanno emesso liste negative dei dati che coprono un totale di 17 settori, tra cui automobili, farmaceutico, retail, aviazione civile, riassicurazione, industria della pesca profonda e industria dei semi. In base a questo sistema, i tipi di dati e i volumi di informazioni personali che non possono essere esportati liberamente sono elencati in liste specifiche per settore, e qualsiasi dato non incluso nelle liste può essere liberamente esportato fuori dalla zona.
La sezione di domande e risposte sul trasferimento di dati transfrontalieri ribadisce anche che qualsiasi dato non incluso nelle liste negative può essere esportato liberamente dal paese dalla relativa FTZ. In futuro, è possibile che più FTZ scelgano di implementare liste negative dei dati per diversi settori, piuttosto che definire i dati generali.
Coerenza tra elenchi negativi FTZ ed espansione delle liste specifiche per settore
Le domande e risposte sul trasferimento transfrontaliero dei dati ribadiscono che le ZLS sono autorizzate a formulare i propri elenchi negativi per l’esportazione dei dati, ma che tali elenchi devono essere formulati nell’ambito del quadro del sistema nazionale di classificazione dei dati. Inoltre, gli elenchi sono sottoposti a una rigida procedura di approvazione per garantire la coerenza e la conformità con le leggi, gli standard e i regolamenti cinesi sui dati. Ciò include l’approvazione da parte del Comitato Provinciale per la Sicurezza Informatica e l’Informatizzazione, il deposito presso il Dipartimento Nazionale per la Sicurezza Informatica e la Tecnologia dell’Informazione e il Dipartimento Nazionale per la Gestione dei Dati e una revisione finale da parte del CAC e della National Data Administration. Inoltre, durante il processo di formulazione delle liste negative vengono sollecitati i pareri dei relativi servizi competenti.
Per facilitare l’attuazione di elenchi negativi tra diverse ZLS, la sezione di domande e risposte sul trasferimento transfrontaliero dei dati stabilisce che, se una ZLS ha già emesso un elenco negativo per un determinato settore, le altre ZLS possono fare riferimento a questo elenco invece di formularne uno nuovo. Ciò contribuirà alla continuità tra le diverse ZLS e al rispetto del sistema nazionale di classificazione dei dati.
Ciò suggerisce anche che più ZLS emetteranno liste negative di dati create sulla base di quelle introdotte a Pechino, Shanghai, Tianjin, Hainan e Zhejiang. Le domande e risposte sul trasferimento transfrontaliero dei dati evidenziano inoltre che il CAC sta guidando attivamente le ZLS nell’elaborazione di tali elenchi in linea con le loro specifiche esigenze di sviluppo industriale.
Determinazione della necessità di esportazione delle informazioni personali
Uno dei passaggi per esportare determinati volumi di informazioni personali al di fuori della Cina consiste nel valutare se l’esportazione è necessaria per le operazioni commerciali dell’azienda. Ad esempio, le aziende che cercano di esportare un grande volume di informazioni personali, richiedendo quindi una valutazione della sicurezza da parte del CAC, saranno tenute a effettuare un’autovalutazione che comporta, tra le altre cose, la valutazione “della legalità, della legittimità e della necessità dello scopo, dell’ambito e del metodo del trasferimento transfrontaliero dei dati e del trattamento dei dati da parte del destinatario estero”. La stessa valutazione della sicurezza del CAC comporta anche la valutazione “della legalità, della legittimità e della necessità dei metodi, della portata e dello scopo dell’esportazione dei dati”.
Più in generale, le aziende sono tenute a dimostrare la necessità del trattamento delle informazioni personali per qualsiasi attività di elaborazione, non solo per l’esportazione dei dati. In particolare, l’articolo 6 della PIPL stabilisce che “il trattamento delle informazioni personali deve avere una finalità chiara e ragionevole, essere direttamente correlato alla finalità del trattamento dei dati ed essere condotto in modo da avere il minor impatto possibile sui diritti e sugli interessi degli individui. La raccolta di informazioni personali deve essere limitata all’ambito minimo necessario per raggiungere lo scopo del trattamento dei dati e non è consentita una raccolta eccessiva di informazioni personali.”
Inoltre, l’articolo 19 stabilisce che “salvo diversa disposizione di leggi e regolamenti amministrativi, il periodo di conservazione delle informazioni personali è il tempo più breve necessario per raggiungere le finalità del trattamento dei dati”.
La sezione Q&A sul trasferimento transfrontaliero dei dati spiega che, in base alle disposizioni di legge, sono quattro i fattori chiave che determinano se un’esportazione di informazioni personali è “necessaria”:
- Se è direttamente correlata allo scopo del trattamento dei dati.
- Se minimizza l’impatto sui diritti e sugli interessi individuali.
- Se è limitata all’ambito di applicazione minimo necessario a tal fine.
- Se il periodo di conservazione dei dati è quello più breve, necessario per soddisfare tale scopo.
Le domande e risposte sul trasferimento transfrontaliero dei dati rilevano inoltre che, durante le valutazioni della sicurezza dell’esportazione dei dati, il CAC valuterà la necessità dell’esportazione in base al contesto aziendale specifico dell’azienda e alle esigenze di elaborazione. Ciò include la valutazione della necessità dell’esportazione stessa, del numero di persone coinvolte e del volume dei dati personali trasferiti.
Infine, afferma che il CAC, insieme alle autorità di regolamentazione del settore, continuerà a perfezionare e chiarire gli scenari di esportazione e i requisiti dell’ambito dei dati per settori specifici al fine di offrire orientamenti politici più mirati sui trasferimenti transfrontalieri di dati.
Chiarimenti su come identificare i dati importanti e le normative sull’esportazione dei dati importanti
Una delle aree più difficili da gestire per le aziende straniere quando si tratta di trasferimento transfrontaliero di dati è valutare quali dati in loro possesso sono considerati dati “importanti”.
In base alle leggi cinesi sulla sicurezza dei dati, tutti i dati classificati come “importanti” devono essere sottoposti a una valutazione della sicurezza da parte del CAC prima di poter essere esportati.
Tuttavia, poiché il Governo non ha emesso un elenco definitivo di quelli che sono considerati dati importanti, è difficile determinare esattamente quali dati saranno idonei all’esportazione.
I regolamenti sulla gestione della sicurezza dei dati di rete, entrati in vigore il 1° gennaio 2025, forniscono una definizione generale di dati importanti come “dati in un campo specifico, un gruppo specifico, una regione specifica o che raggiungono una certa precisione e scala, che possano mettere direttamente in pericolo la sicurezza nazionale, il funzionamento economico, la stabilità sociale, la salute pubblica e la sicurezza una volta manomessi, distrutto, trapelato, ottenuto illegalmente o utilizzato illegalmente”.
Nel frattempo, gli standard di classificazione dei dati sopra menzionati delineano anche metodi estesi per le aziende per identificare i dati importanti.
Sebbene l’esportazione di dati importanti sia generalmente limitata, le domande e risposte sul trasferimento transfrontaliero dei dati chiariscono che esistono alcuni scenari in cui è possibile esportare dati importanti. In particolare, se una valutazione della sicurezza dell’esportazione dei dati determina che il trasferimento dei dati non mette in pericolo la sicurezza nazionale o gli interessi pubblici, l’esportazione può avere luogo.
Secondo le domande e risposte sul trasferimento transfrontaliero dei dati, a marzo 2025 il CAC aveva esaminato 298 valutazioni di sicurezza dell’esportazione di dati. Tra queste, 44 riguardavano dati importanti e 7 sono state respinte, con un tasso di rifiuto del 15,9%. Queste 44 domande includevano 509 dati importanti, di cui 325, ovvero il 63,9% del totale, sono stati approvati per l’esportazione.
Inoltre, la sezione Q&A sul trasferimento transfrontaliero dei dati sottolinea che i regolamenti sulla promozione e la standardizzazione dei flussi transfrontalieri di dati stabiliscono chiaramente che se un’azienda dichiara in anticipo i suoi dati importanti, in linea con le normative di riferimento, e i dati non sono stati identificati o designati pubblicamente come importanti dalle autorità o dalle regioni competenti, l’azienda non è tenuta a sottoporsi a una valutazione della sicurezza dell’esportazione dei dati.
Partecipazione di imprese estere alla formulazione delle norme tecniche
Le domande e risposte sul trasferimento transfrontaliero dei dati evidenziano due strade principali attraverso le quali le aziende straniere possono partecipare allo sviluppo di standard tecnici e di settore.
In primo luogo, le aziende straniere possono diventare membri di gruppi di lavoro nell’ambito del Comitato Tecnico Nazionale per la Standardizzazione della Sicurezza delle Informazioni. In qualità di membri, hanno gli stessi diritti e responsabilità delle imprese nazionali, il che consente loro di prendere parte all’intero processo di definizione degli standard, dalla stesura iniziale alla revisione finale, e di contribuire attivamente con idee e feedback in ogni fase.
In secondo luogo, le aziende straniere possono impegnarsi esaminando e presentando commenti sulle bozze di norme pubblicate per la consultazione pubblica, assicurandosi che le loro prospettive siano prese in considerazione durante il perfezionamento delle norme proposte.
Metodi per semplificare l’esportazione delle informazioni personali
Le Q&A sul trasferimento transfrontaliero dei dati introducono diverse misure volte a facilitare il processo di esportazione delle informazioni personali per le aziende.
In primo luogo, se un’azienda ha più filiali con simili scopi aziendali e scenari di esportazione dei dati, la società madre può presentare una domanda cumulativa per una valutazione della sicurezza dell’esportazione dei dati o completare altre procedure di conformità definite, come la firma di un contratto standard, per conto di tutte le filiali. Questo riduce significativamente l’onere di conformità e il carico di lavoro amministrativo per ogni singola filiale.
Tuttavia, questo approccio è vantaggioso solo quando le filiali sono già soggette a requisiti di conformità. Se una singola filiale elabora informazioni personali al di sotto della soglia normativa, può esportare i dati senza attivare una valutazione della sicurezza o altre procedure. In tali casi, il consolidamento dei dati provenienti da più società controllate potrebbe involontariamente aumentare il volume totale al di sopra della soglia, creando ulteriori obblighi di conformità.
Inoltre, il CAC sta lavorando all’implementazione di un sistema di certificazione per l’esportazione di informazioni personali, che consenta alle istituzioni professionali di terze parti di certificare le attività di trasferimento transfrontaliero dei dati. Una volta ottenuta la certificazione, l’azienda nazionale o il destinatario estero possono effettuare l’esportazione dei dati.
Infine, i gruppi multinazionali certificati saranno autorizzati a trasferire informazioni personali internamente oltre confine senza la necessità di firmare contratti standard separati con ciascuna filiale estera. Questi metodi potrebbero facilitare in modo significativo i flussi transfrontalieri di dati per le grandi multinazionali. In particolare, la possibilità per le multinazionali di fare affidamento sulla certificazione di gruppo, piuttosto che firmare un contratto standard per ogni nuovo scenario di esportazione o tipo di dati, semplificherà notevolmente le operazioni. Ciò riduce la complessità legale, accelera i processi aziendali e consente una collaborazione più efficiente tra le aziende con sede in Cina e le loro affiliate estere.
Estensione del periodo di validità del risultato della valutazione della sicurezza per l’esportazione dei dati
La sessione di domande e risposte sul trasferimento transfrontaliero dei dati chiarisce che, in base ai regolamenti sulla promozione e la standardizzazione dei flussi transfrontalieri di dati, il periodo di validità del risultato della valutazione della sicurezza dell’esportazione dei dati è stato esteso da 2 a 3 anni. Ciò significa che, una volta superata la valutazione di sicurezza, un’azienda può continuare a esportare le informazioni personali per un massimo di tre anni senza dover ripresentare la domanda.
Se, al termine dei tre anni, l’azienda desidera continuare a esportare i dati e non si sono verificate modifiche sostanziali che prevederebbero una nuova richiesta (ad esempio modifiche significative del tipo di dati, delle finalità di elaborazione o dei destinatari), l’azienda può richiedere di prorogare la validità del risultato della valutazione originale. La domanda di proroga deve essere presentata tramite l’ufficio CAC locale (a livello provinciale) dell’azienda almeno 60 giorni lavorativi prima della data di scadenza originaria. Dopo l’approvazione da parte del CAC, il periodo di validità può essere prorogato per altri tre anni.
Attualmente, il CAC sta perfezionando le procedure di estensione e sta raccogliendo feedback dalle parti interessate. Prevede di chiarire e formalizzare il processo attraverso documenti politici aggiornati, rendendo più facile per le aziende gestire le attività di esportazione dei dati a lungo termine.
Le valutazioni di sicurezza sono il meccanismo di conformità più rigoroso per i trasferimenti transfrontalieri di informazioni personali. Ridurre la frequenza con cui le aziende devono ripresentare la domanda, consentendo proroghe pluriennali, alleggerisce notevolmente l’onere della conformità. Ciò aiuta le aziende a risparmiare tempo, ridurre i costi amministrativi e mantenere la continuità nelle operazioni transfrontaliere, soprattutto per quelle che gestiscono volumi elevati di informazioni personali o dati importanti.
Chi siamo
China Briefing è una delle cinque pubblicazioni di Asia Briefing, casa editrice di Dezan Shira & Associates. Dal 1999, divulghiamo notizie pratiche su aspetti normativi, fiscali, contabili e di gestione all’internazionalizzazione in Asia. Per abbonarti gratuitamente clicca qui.
Dezan Shira & Associates assiste gli investitori stranieri in Cina dal 1992 attraverso gli uffici di Pechino, Tianjin, Dalian, Qingdao, Shanghai, Ningbo, Suzhou, Guangzhou, Haikou, Zhongshan, Shenzhen, Haikou e Hong Kong. Altri uffici diretti sono in Vietnam, Indonesia, Singapore, Stati Uniti, Germania, Italia, India, Dubai (Emirati Arabi Uniti), Malesia e Mongolia. Attraverso partner diretti offriamo supporto anche nelle Filippine, Tailandia, Bangladesh, Nepal e Oceania. Per assistenza in Cina, contatta l’indirizzo china@dezshira.com.
- Previous Article Mappa del rischio tariffario: Quali sono le città cinesi più esposte al commercio estero?
- Next Article