作者:Sting Gao
目标
该指南的目标是基于 企业的全球IT战略、中国IT战略和中国安全与合规框架,定义符合中国标准的 IT 和数字架构标准和实践。
范围
本指南旨在分析当前中国安全与合规相关的法律和政策,结合企业的长期技术战略,从以下几个方面提供合规框架和程序。 本指南适用于向中国用户提供的所有的IT系统、应用、解决方案和服务。
三项基本的中国 IT 合规相关法律:
中国合规相关技术和架构设计:
- 应用和解决方案
- 数据和流程
- 基础架构设施
合规要求
1.1. 遵守中国的主要法律法规
近年来,中国政府加强了对网络安全、数据安全和个人信息保护的监管。 2017年6月,中国实施网络安全法。该法最初于 2016 年获得批准,旨在为维护网络安全、保护个人和组织的权益以及促进技术的安全发展提供指导。国家网络管理局(CAC)是监督和管理网络安全法的主要政府机构。
2021 年,中国继续在原有的《中国网络安全法》(CSL)的基础上,引入数据保护立法,包括《数据安全法》(DSL)和《个人信息保护法》(PIPL),以解决对个人信息和隐私的担忧。
无论是中国本地企业还是与在中国经营的跨国公司,都需要遵守中国已经颁布实施的三大网络安全和数据监管法律。
| 颁布日期 | 2017/06/01 | 2021/09/01 | 2021/11/01 |
| 法律 | 中华人民共和国网络安全法 (CSL) | 中华人民共和国数据安全法 (DSL) | 中华人民共和国个人信息保护法 (PIPL) |
1.1.1. 中华人民共和国网络安全法 (CSL)
《网络安全法》由七章七十九条组成,范围非常广泛,涵盖了互联网安全监管、隐私和敏感信息保护、国家网络空间主权和安全保障等总体框架。
《网络安全法》明确适用于网络运营商和关键信息基础设施(CII)运营商,因为这些实体的条款在法律中反复提及。 《网络安全法》附录中定义的“网络运营者”可适用于中国所有拥有或管理其网络的企业。因此,任何在中国运营其网络(包括网站以及内部和外部网络)以开展业务、提供服务或收集数据的公司(无论规模大小和国内或跨国范围)都极有可能在范围内。
《网络安全法》七章中有四章概述了其主要要求:
| 网络安全 | 信息安全 | 监控和响应 | 监管处罚 |
| 政策和程序、网络产品和服务、安全评估和信息存储 | 保护私人信息以及信息的收集、使用和分发 | 实时监控、综合事件响应、事件演练和风险评估 | 相关的法律责任和处罚,涉及企业和负责人的罚款和处分 |
根据《网络安全法》第 3 章,企业必须履行多级保护计划 (MLPS) 下的义务,包括 MLPS 级别确定和 MLPS 评估。 《网络安全法》规定,关键信息基础设施(CII)系统运营者应当将其运行过程中收集和产生的个人信息和重要数据存储在中国境内。上述数据需要跨境传输的,需事先获得批准。
根据《网络安全法》第四章,《网络安全法》要求中国关键信息基础设施运营商收集和生成的个人信息和重要数据必须存储在境内。因业务需要向境外传输的信息和数据,按照中国网信部门会同国务院有关部门确定的办法进行安全评估。 CSL还定义“个人信息”是指可以单独使用或与其他信息结合使用以识别自然人的信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物特征信息、地址、电话号码等。
中国还于 2020 年 3 月发布了新的个人信息国家标准《GB/T35273-2020 信息安全技术——个人信息安全规范》(简称《标准》),全面的标准规定了详细的数据保护要求,于 10 月 1 日生效 , 2020。除了声称它拥有与欧洲通用数据保护条例 (GDPR) 类似的原则外,该标准还对个人信息进行了更广泛的定义。 例如,更广泛的信息被视为敏感的个人信息,需要加强保护,如财务信息、银行账户信息、交易和消费记录等。 用户在网站上找到相关的隐私相关设置时,允许点击多少次鼠标,隐私声明界面的格式和布局等。
1.1.2. 中华人民共和国数据安全法 (DSL)
《数据安全法》(DSL)建立了一个框架,根据数据对中国国家安全的潜在影响对在中国收集和存储的数据进行分类,并根据数据的分类级别对其存储和传输进行规范。数据安全法适用于企业在中国进行的所有数据处理活动。
数据分类分级制度要求有关部门根据数据的重要性和泄露或非法使用造成的危害程度对数据进行分类分级。 2021年11月,网信办发布《网络数据安全管理条例草案(征求意见稿)》(以下简称《管理条例》)征求意见,将数据分为三类,即(一)普通数据、(二)重要数据、 (iii) 核心数据。 2021年12月,发布《网络安全标准实施指南——网络数据分类分级指南》(《数据分类分级指南》),将数据分为三类四级:
| 基本级别 | 一般数据, 重要数据, 核心数据 | |
| 安全等级 | 1级数据 | 泄露或滥用,不会对个人和组织的合法权益造成损害。 |
| 2级数据 | 泄露或者滥用,对个人和组织的合法权益造成轻微损害的。 | |
| 3级数据 | 泄露或者滥用,对个人和组织的合法权益造成一般损害的。 | |
| 4级数据 | 泄露或者滥用,严重损害个人和组织合法权益的。 | |
DSL下的“核心数据”——广义上是指涉及中国国家和经济安全、中国公民福利和重大公共利益的任何数据——受到最高程度的保护和监管。虽然可能会有进一步的规则和法规详细说明国家核心数据的范围和保护指南,但违反国家核心数据管理系统可能会被处以最高 1000 万元人民币(约 156 万美元)的罚款,撤销营业执照、暂停营业或可能受到刑事处罚。该法还对未能配合中国当局就执法或国家安全事务提出的数据请求的实体实施处罚。
《数据安全法》要求中国中央政府根据数据分类分级制度制定“重要数据”目录,并要求各地区、各行业有关部门识别重要数据,制定详细的实施目录。各自的地区和行业。中国国家信息安全标准化技术委员会发布的非强制性国家标准《管理条例》和《信息安全技术重要数据识别指南(征求意见稿)》均规定了重要数据的识别规则。虽然《重要数据识别指引》明确将个人信息排除在重要数据范围之外,但《管理条例》要求100万人以上的个人信息处理者采取与重要数据处理者同等的安全措施。
对于“重要数据”的跨境传输,DSL 为关键信息基础设施运营商 (CIIO) 和非 CIIO 建立了单独的框架。 CIIO 必须遵守 CSL 下的规则,该规则要求本地存储在中国收集的重要数据。如果CIIO出于必要的业务目的必须将数据转移出中国,则需要按照中国国家互联网信息办公室(CAC)的程序进行安全评估。网信办等监管机构尚未制定非CIIO跨境转移规则。
对于诉讼和国际法律程序而言,DSL 规定,未经中国当局批准,中国境内的任何组织或个人不得将存储在中国境内的数据转移给任何外国司法或执法机构。 DSL 中没有具体说明具体的主管部门和审批流程的细节,但违反此要求的实体将面临最高 100 万元人民币(约合 156,000 美元)的罚款,并对责任人处以额外罚款。违规行为导致“严重后果”的实体可能面临最高 1000 万元人民币的罚款,并可能被暂停营业并吊销营业执照。
1.1.3. 中华人民共和国个人信息保护法 (PIPL)
中国已批准最终的个人信息保护法(PIPL),并于 2021 年 11 月 1 日起实施。在 PIPL 下,“个人信息”是指以电子和非电子形式存储的与已识别或可识别自然人相关的各类信息。
个人敏感信息在 PIPL 中被定义为“一旦泄露或被非法使用,可能容易侵犯自然人尊严或对人身安全和财产安全造成损害的个人信息,如生物识别信息、宗教信仰、特别是- 指定身份、医疗健康信息、财务账户、个人行踪信息以及未满14周岁未成年人的个人信息”(第28条)。
请注意,匿名信息不被视为 PIPL 下的个人信息,“匿名化”是指个人信息无法用于识别特定自然人身份且处理后无法恢复个人信息的过程(第 4 条和第 73 条)。
PIPL使用“个人信息处理主体”一词来指“独立确定处理个人信息的目的和方式的组织或个人”(第73条)。这似乎与 GDPR 下的“数据控制者”概念在中国法律上相当。此外,PIPL 使用“受托方”来指代 GDPR 中定义的“数据处理者”。在处理个人信息之前,PIPL要求控制者以清晰易懂的语言如实、准确、充分地告知个人以下事项:
- 控制者的姓名和联系方式;
- 处理个人信息的目的和方式、涉及的个人信息类型、保留期限;
- 个人根据 PIPL 行使权利的方式和程序;
- 法律、行政法规规定应当沟通的其他事项。
如果上述事项发生变化,PIPL 要求控制者将此类变化通知个人。 更一般地说,如果控制者通过处理个人信息的规则提供所需信息,则此类规则必须保持公开且易于访问。
虽然 PIPL 在个人信息权方面大多与 GDPR 保持一致,但它缺乏更精确的 GDPR 语言来处理此类权利,包括可能适用某些限制或豁免的情况。 此外,PIPL 只要求处理实体“及时”响应请求,而不是提供具体的响应时间线。 下表比较了 GDPR 和 PIPL 下的主要个人信息权利类型。
| GDPR下的权利 | PIPL下的权限 |
| 知情权 | √ |
| 访问权 | √ |
| 更正、修正权 | √ |
| 删除权 | √ |
| 反对和限制处理个人数据的权利 | √ |
| 数据可移植性的权利 | √ (但需满足国家网信办规定的条件) |
| 不受自动决策约束的权利 | √ |
| 撤回同意的权利 | √ |
| 向监管机构投诉的权利 | √ |
对于个人信息的跨境转移,一般而言,计划将个人信息转移到中国境外的处理实体需要(i)向个人提供有关转移的某些特定信息并获得单独的同意(第39条), (ii) 采取必要措施确保海外接收者能够提供与 PIPL 规定的相同水平的保护(第 38 条),以及 (iii) 进行个人信息保护影响评估(第 55 条)。
此外,对于处理大量个人信息的CII运营者或实体,需要将个人信息存储在本地。确需将个人信息转移至境外的,应当通过网信办管理的安全评估(第四十条)。
PIPL 非常需要同意,包括对许多处理活动(例如敏感数据和将数据移动到离岸)的单独、具体的同意。除了 GDPR 风格的更正、删除和查看(或可移植性)权利外,同意也是完全可撤销的。
PIPL 还对敏感数据有广泛和开放式的定义,包括有关 14 岁以下儿童的所有数据,这些数据也需要父母批准才能处理。这将对任何针对儿童或为儿童管理数据的系统产生明显的影响。
此外,使用个人数据的自动处理属于 PIPL,包括选择退出的能力。此外,除非获得同意,否则公共面部识别仅限于公共安全,这应该大大限制其在公共场所的使用。
请注意,2021 年 10 月 29 日,国家互联网信息办公室(以下简称“网信办”)发布了《数据出境安全评估办法(征求意见稿)》征求意见。征求意见稿依据《网络安全法》、《数据安全法》、《个人信息保护法》及相关法规制定。如果最终确定,《办法草案》将适用于特定情况下在中国境内收集和产生的个人信息和“重要数据”的跨境转移。在以下情况下,数据处理者将接受 CAC 的强制性安全评估:
- 传输关键信息基础设施(“CII”)运营商(根据中国网络安全法的定义)收集和生成的个人信息和重要数据;
- 重要数据的传输;
- 处理超过 100 万人个人信息的数据处理者传输个人信息;
- 累计传输超过100,000个人的个人信息。 或超过 10,000 人的“敏感”个人信息;
- 食典委规定的其他条件。
1.1.4. 其他合规标准和法规
中国国家互联网信息办公室(“CAC”)等政府部门已经发布了各种法规来实施这三部法律(CSL/DSL/PIPL)。 此外,其他政府,如中国国家信息安全标准化技术委员会,也发布了许多国家标准进行更详细的指导。 以下列出了更多已发布和制定的IT架构适用的国家标准。
| 标准名称 | 发布机构 | 生效日期 |
| 网络安全标准实践指南 移动互联网应用基本业务功能必要信息规范 TC260-PG-20191A | 全国信息安全标准化技术委员会 | 6/1/19 |
| 信息安全技术 网络安全等级保护基本要求 GB/T 22239-2019 | 国家市场监督管理总局
国家标准化管理委员会 |
12/1/19 |
| 信息安全技术 网络安全等级保护安全设计技术要求 GB/T 25070-2019 | 国家市场监督管理总局
国家标准化管理委员会 |
12/1/19 |
| 信息安全技术 网络安全等级保护测评要求 GB/T 28448-2019 | 国家市场监督管理总局
国家标准化管理委员会 |
12/1/19 |
| 信息安全技术 网络安全等级保护实施指南 GB/T 25058-2019 | 国家市场监督管理总局
国家标准化管理委员会 |
3/1/20 |
| 信息安全技术 个人信息去标识化指南 GB/T 37964-2019 | 国家市场监督管理总局
国家标准化管理委员会 |
3/1/20 |
| 网络安全标准实践指南 移动互联网应用程序(App)收集使用个人信息自评估指南 TC260-PG-20202A | 全国信息安全标准化技术委员会 | 7/22/20 |
| 网络安全标准实践指南 移动互联网应用程序(App)个人信息保护常见问题及处置指南 TC260-PG-20203A | 全国信息安全标准化技术委员会 | 9/18/20 |
| 网络安全标准实践指南 移动互联网应用程序(App)系统权限申请使用指南 TC260-PG-20204A | 全国信息安全标准化技术委员会 | 9/18/20 |
| 信息安全技术 个人信息安全规范 GB/T 35273-2020 | 国家市场监督管理总局
国家标准化管理委员会 |
10/1/20 |
| 信息安全技术 网络安全等级保护定级指南 GB/T 22240-2020 | 国家市场监督管理总局
国家标准化管理委员会 |
11/1/20 |
| 信息安全技术 网络安全事件应急演练指南 GB/T 38545-2020 | 国家市场监督管理总局
国家标准化管理委员会 |
11/1/20 |
| 网络安全标准实践指南 移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引 TC260-PG-20205A | 全国信息安全标准化技术委员会 | 11/27/20 |
| 信息安全技术 网络安全等级保护测评高风险判定指引 T/ISEAA 001-2020 | 中关村信息安全评估联盟 | 12/1/20 |
| 信息安全技术 信息系统密码应用测评要求 GB/T | 国家密码管理局 | 12/8/20 |
| 信息系统密码应用高风险判定指引 | 国家密码管理局 | 12/8/20 |
| 信息安全技术 网络安全等级保护大数据基本要求 | 全国信息安全标准化技术委员会 | 5/30/21 |
| 信息安全技术 个人信息安全影响评估指南 GB/T 39335-2020 | 国家市场监督管理总局
国家标准化管理委员会 |
6/1/21 |
| 信息安全技术 信息系统密码应用基本要求 GB/T 39786-2021 | 全国信息安全标准化技术委员会 | 10/1/21 |
1.2. 应用程序的架构合规
1.2.1. 应用开发及解决方案
企业应用程序(网站、手机应用程序、小程序)开发必须遵循三大基本法律和相关法规,并定期进行主动检查和新法规更新。
未经同意,可公开访问的网站不得通过 cookie 标识符收集和使用访问者的个人信息。
对于 SDK,应更新隐私声明中的 SDK 列表,按数据类型创建敏感个人数据列表,仅在用户同意初始化复选框后进行初始化。
移动应用权限授予除非需要,否则不应要求用户授予权限,对于初始化时弹出的应用程序,隐私声明,条款和条件,跨境数据传输列表,不应收集个人数据或SDK初始化在用户同意之前完成。
对于 API,企业的内部数据访问必须通过中国的 Enterprise API 网关。第三方API,应遵守第三方的法律协议,遵守数据安全法律,并通过跨境数据传输审核(如有)。
应用程序中的国家/地区命名必须确保正确的国家/地区名称。中国大陆安卓应用在中国境内的应用商店发布,海外及港澳台地区采用Google Play 的全球版本。
基于第三方SaaS的解决方案应推荐具有本地服务能力且符合中国境内基于地理分区的数据存储的SaaS供应商。中国跨境网络的监管,进出中国的网络不如其他国家顺畅,因此这也有助于显着提高性能。
1.2.2. ICP、PSB备案
企业运营的所有面向中国公众用户访问的网站、移动应用程序或服务都需要互联网内容提供商 (ICP) 备案 ,并部署在中国大陆的本地服务器或云服务器上,供内部或外部使用。 如果没有适当的 ICP 备案,互联网服务提供商 (ISP) 将阻止对系统或网站的访问。 ICP备案的建议行动是:
- 通过工信部授权域名注册商购买域名并获得域名证书。
- 与云服务提供商 (CSP) 合作并构建网站(如果选择与本地服务器选项相比更常见的云选项)。
- 使用提供给 CSP(或 ISP,如果使用自己的本地服务器)的信息开始 ICP 备案流程。
- 获得工信部批准后,在首页底部添加ICP备案号作为凭证。
在ICP备案过程中,主管部门会要求申请人提供IP地址、ISP名称、域名证书等信息,这些信息只有在相关网站建成并投入运营后才能获得。 同时,在ICP备案批准前,监管机构将访问该网站并对其内容进行审核。 ICP备案由工业和信息化部(MIIT)监管,实际备案过程通常由ISP或云服务提供商(CSP)管理。完成整个过程大约需要一个月的时间。
除了 ICP 备案外,公安部 (MPS) 还要求公司向当地公安局 (PSB) 进行备案程序。 这通常必须在 ICP 备案后 30 天内完成。 如果没有及时提交,PSB 可能会再次要求 ISP 关闭对系统或网站的访问,此外还会对监督系统的公司和/或技术人员进行处罚。 要求和备案过程就像 ICP 备案。 整个过程大约需要一到两周的时间。
1.2.3. MLPS等保认证
信息安全等级保护 (MLPS) 适用于中国的所有组织,是在中国运营的国内外公司的重要网络安全合规要求之一。 MPLS 2.0 具有五级规范安全性。 1 级是最不敏感的,而 5 级是最敏感的。
对于企业拥有的系统,项目或系统所有者应咨询安全和法律团队以验证系统,以了解应属于哪一层以及应遵守哪些适当的安全控制措施。 对于二级或以上的安全控制,必须由政府指定的“安全审计”公司进行现场评估。
对于在中国的第三方系统或解决方案,企业也应要求符合条件的合作伙伴提供相关的MLPS认证。
1.3. 数据的架构合规
1.3.1. 个人数据处理
处理个人数据时,应遵守国家个人信息保护法及相关数据隐私政策中的数据隐私要求。 所有个人信息数据的收集和处理都应提供足够的通知并获得单独的明确同意,并且已经进行了个人信息影响评估。
通过 API 和 SDK 交换的所有数据应基于最低要求的数据收集和应用。 任何个人身份信息 (PII) 的暴露都必须经过隐私团队的审查和批准。
应用程序、网站和程序在开发过程中必须符合中国的 PIPL 和数据隐私合规标准。 任何严重和高级别的数据隐私泄露必须在每次发布之前修复。 在运行过程中收集和存储用户隐私数据的系统、应用程序和程序必须符合中国个人信息保护法和信息安全技术——个人信息安全规范(GB/T 35273-2020)。
1.3.2. 跨境数据传输
除了PIPL中提及的核心数据和重要数据的跨境传输规定之外,所有个人信息原则上要求保存在中国境内,除非系统能够通过国家网信办组织的安全评估。 并且数据必须存储在中国的 企业 IT 基础设施中,无论是基于云的还是本地的。
根据 PIPL,如果系统需要将个人信息转移到中国境外或需要在中国境外继续使用的IT 系统,系统所有者应与法律团队合作制定符合 PIPL 中所有相关要求的合同 。
请注意,如果向海外员工提供远程访问工具以访问保存在中国的数据,数据跨境传输仍然可能发生。 系统应仅提供概括性信息,例如摘要报告,而不应提供详细的个人信息。
1.4. IT基础架构的合规
1.4.1. 数据中心和云的本地化
中国不允许外国云服务提供商在中国独立运营,他们需要获得增值电信许可证,亚马逊网络服务(AWS)和微软(Azure)在中国云市场都有存在。但是,两者都是由当地服务提供商根据中国的监管和法律要求与中国公司合作运营的。
企业应当基于自身的云战略,选择在中国具有合规运营资质的合作伙伴作为本地IT系统或云服务提供商。注意,一些提供全球云服务的供应商,在中国境内提供的云服务内容和技术可能会与在其他国家或地区的服务有所不同,例如:AWS 中国有两个区域:北京和宁夏。这两个地区由两个独立的服务提供商运营。由于独立的基础设施,AWS中国的用户账户与AWS全球完全不同。 AWS 全球和 AWS 中国之间没有直接联系。 AWS 中国无法直接访问和连接中国以外的其他 AWS 区域。在设计解决方案时,我们需要了解AWS全球和AWS中国的所有差异。这是中国所有可用服务的列表。
1.4.2. 网络服务
对于位于中国境外的企业系统或网站,当使用 CDN 或其他“代理”服务器加速访问海外网站时,必须进行互联网内容提供商 (ICP) 备案。 如果没有适当的 ICP 备案,互联网服务提供商 (ISP) 可能会阻止对系统或网站的访问。 企业所选定的CDN服务商应当在中国拥有合法的经营许可。
根据 CSL 的说法,VPN/MPLS/SDWAN 服务在中国也需要获得许可,并且不能提供违规的或者未经审核的互联网内容,企业选择的 VPN/MPLS/SDWAN 服务提供商应在中国拥有合法的运营许可。
1.5. 企业合规的战略和流程
技术战略与合规一致
从战略角度看,企业在中国的技术战略应当充分考虑合规性,从基础架构(计算、存储和网络),到数据处理和分析,应用开发(Web/移动App/微服务/API/ESB),到系统和应用等都应该考虑遵守合规的要求,例如基于Geo-Partitioned的数据架构应该是全球化企业未来的目标,确保系统在中国境内运行,数据在境内存储等, 如果没有准备好基于Geo-Partitioned的解决方案,则可以使用本地化和Geo-Partitioned的组合策略等。
合规审核及流程
最后,企业应该建立合规审核的流程和机制,针对中国落地的IT系统在立项,实施和上线等阶段进行完善的合规标准与合规审查,同时,因为中国的法律和标准还在不断发展和变化和调整,合规的审核和审计应该具备持续性和相关的应急响应机制。
