Leis de Proteção de Dados e Privacidade da China: Atualização de 2025: O que as empresas globais precisam saber

O cenário de proteção de dados na China evolui mais rapidamente do que em quase qualquer outra jurisdição. Desde nossa última análise detalhada em 2023, Pequim reforçou os controles de transferência transfronteiriça, ampliou a definição de "dados importantes" e intensificou a fiscalização com multas multimilionárias em yuans. Abaixo, detalhamos todas as mudanças que as organizações globais precisam conhecer em 2025, com base nos textos regulatórios mais recentes, estatísticas de aplicação da lei e análises da Shufti.

1. Quadro de Proteção de Dados da China em 2025: Uma Breve Revisão

Antes de explorarmos as novidades, vamos recapitular brevemente os pilares do regime de governança de dados da China, que está em rápida evolução, e por que cada estatuto e seus aprimoramentos previstos para 2025 são importantes para as multinacionais que coletam, armazenam ou simplesmente processam dados. contacto Informações pessoais chinesas hoje.

• Lei de Segurança Cibernética (CSL) – Deveres básicos de segurança e de operador de rede.
• Lei de Segurança de Dados (DSL) – Classificação de dados “essenciais” versus dados “importantes”; obrigações de segurança baseadas em risco.
• Lei de Proteção de Informações Pessoais (PIPL) – Legislação chinesa sobre privacidade nos moldes do GDPR.
• Lei de Segredos de Estado Revisada (em vigor a partir de 1º de maio de 2024) – Escopo mais amplo e novos “segredos de trabalho”, aumentando as responsabilidades em relação à divulgação. https://www.reuters.com/legal/legalindustry/chinas-revised-more-stringent-state-secrets-law-takes-effect-2024-05-07/
• Regras setoriais – por exemplo, diretrizes de dados financeiros (PBOC, 17 de abril de 2025) com uma lista branca explícita para fluxos transfronteiriços. https://www.reuters.com/world/china/china-releases-guidelines-facilitate-cross-border-flows-financial-data-2025-04-17/

2. Principais desenvolvimentos regulatórios desde 2023

Desde nosso artigo de 2023, Pequim tem emitido uma série de perguntas e respostas, diretrizes específicas para cada setor e notificações de fiscalização em ritmo acelerado. A linha do tempo abaixo resume essas principais mudanças e destaca quem é mais afetado e por quê.

2.1 O que essas mudanças significam para você

• Limiares mais baixos, mas maior rigor na fiscalização. Mesmo empresas com menos de 1 milhão de registros devem apresentar Contratos Padrão ou obter Certificações.
• Exclusões específicas por setor são reais. As empresas de serviços financeiros podem aproveitar a lista branca de abril de 2025, mas somente se os controles de criptografia e localização estiverem implementados.
• Os períodos de carência estão diminuindo. Os órgãos reguladores agora esperam que a correção seja feita em dois meses, em vez de seis.

3. Fiscalização e Tendências do Setor

Os números brutos contam apenas parte da história. A combinação dos dados de multas regulatórias com as análises de integração da Shufti revela como as prioridades políticas estão remodelando o comportamento do mercado, as tipologias de fraude e os prazos de conformidade.

O monitoramento de riscos da Shufti para 2025 mostra:

• aumento de 43% em solicitações de clientes para módulos de triagem PIPL entre o terceiro trimestre de 2024 e o segundo trimestre de 2025.
• Tempo para aprovação integração digital na China continental caiu para 7.4 segundos (-12% em relação ao ano anterior) usando o mecanismo híbrido de OCR e biometria da Shufti.
• Taxa de tentativas de fraude em corretoras de criptomoedas chinesas caiu 28% Após a adoção da detecção de vivacidade Shufti, revela-se o foco dos reguladores em criptografia KYC.

Fonte: Shufti Global Identity Verification Benchmark H1 2025.

4. Lista de verificação de conformidade para 2025

Considere a lista de verificação abaixo como um roteiro prático: se todos os itens forem marcados, sua organização estará confortavelmente alinhada com as expectativas do CAC para 2025 e pronta para comprovar essa conformidade quando solicitado.

1. Fluxos de dados do mapa identificar importante vs core dados por DSL.
2. Realizar análise de lacunas em comparação com as sessões de perguntas e respostas do CAC de abril e junho de 2025.
3. Executar contratos padrão (ou Certificação) para qualquer PI de saída.
4. Localizar conjuntos de dados sensíveis Em território da RPC; utilize “nós aprovados” para recuperação de desastres.
5. Atualizar avisos de privacidade para refletir a exigência de consentimento explícito (maio de 2025).
6. Planos de resposta a incidentes de teste reportar violações dentro 8 horas À CAC e ao órgão regulador do setor.
7. Aproveite os fornecedores confiáveis. como o Shufti para verificações de identidade e vivacidade em tempo real, que já estão alinhadas com os princípios de minimização de dados do Artigo 40 da PIPL.

5. Perguntas frequentes (FAQ)

P1: O limite de 1 milhão de registros inclui dados de funcionários?
A: Sim. A seção de Perguntas e Respostas do CAC de abril de 2025 confirma que as contribuições pessoais dos funcionários são contabilizadas no limite. https://www.china-briefing.com/news/china-clarifies-cross-border-data-transfer-rules-official-qa/

Q2: As Cláusulas Contratuais Padrão (SCCs) ainda são válidas se assinadas antes de 2025?
A: Somente se os materiais de apresentação atenderem às diretrizes de junho de 2025; caso contrário, será necessário reenviar o documento. https://natlawreview.com/article/china-releases-updated-guidance-application-security-assessment-cross-border-data

P3: O consentimento é sempre necessário para transferências internacionais?
A: A PIPL permite certas exceções legais (por exemplo, interesses vitais), mas a maioria das transferências de negócios exige consentimento explícito após maio de 2025.

Q4: Como as PMEs devem abordar as avaliações de segurança?
A: As PMEs abaixo dos limites do CAC podem optar pela “Certificação” para simplificar a conformidade; a Shufti faz parceria com certificadoras terceirizadas para agilizar a aprovação.

Q5: Quais são as penalidades aplicáveis ​​em caso de descumprimento em 2025?
A: Multas de até ¥50 milhões ou 5% da receita anual, além de possíveis ordens de suspensão das atividades comerciais e responsabilidade pessoal para os DPOs (Oficiais de Proteção de Dados).

Conclusão

As rápidas atualizações regulatórias da China destacam um tema principal: A transferência de dados transfronteiriços é agora um privilégio, não um direito.Organizações que trataram a Proteção de Dados Pessoais como um exercício pontual em 2021 precisam aprimorar seus controles para sobreviver ao ciclo de fiscalização mais rigoroso de 2025. Isso pode ser feito incorporando a privacidade desde a concepção e estabelecendo parcerias com fornecedores com histórico comprovado de conformidade, como [nome da empresa]. ShuftiE, mantendo-se atentas às orientações do CAC, as empresas podem transformar o atrito regulatório em vantagem competitiva.

Precisa de ajuda para entender as diretrizes mais recentes do CAC? Entre em contato com a equipe de compliance da Shufti para uma avaliação de risco personalizada.