Q&A della CAC sul trasferimento transfrontaliero dei dati

Il 2025 ha visto il quadro normativo cinese in materia di data protection arricchirsi ulteriormente a seguito della pubblicazione da parte della Cyberspace Administration of China (CAC) di un nuovo Q&A contenenti varie novità e chiarimenti sul regime del trasferimento transfrontaliero dei dati.

Si tratta di disposizioni che possono fornire un prezioso ausilio nel procedimento di valutazione richiesto alle imprese nel momento in cui si apprestano a traferire i dati personali al di fuori del territorio cinese, ad esempio al fine di comunicare informazioni operative dalla propria branch cinese all’headquarter posto in Italia o in Europa.

Il quesito che questo articolo si impegna ad affrontare è quali novità, quali chiarimenti e quali invece dubbi permangono irrisolti da queste Q&A rilasciate dalla CAC in tema di cross-border data transfer.

Similmente ad altri paesi, anche la Repubblica Popolare Cinese negli ultimi anni si è dotata di un quadro normativo specifico disciplinante le attività di trasferimento transfrontaliero di dati. In Cina il tripode su cui si base la disciplina in tema di data protection è composto dalla Cybersecurity Law (网络安全法 Wǎngluò ānquán fǎ), dalla Data Security Law (数据安全法Shùjù ānquán fǎ) e dalla Personal Information Protection Law (个人信息保护法Gèrén xìnxī bǎohù fǎ). A livello legislativo, tali leggi prevedono e delineano anche la struttura generale per il trasferimento transfrontaliero dei dati.

Al fine di specificare queste disposizioni legislative, la CAC ha progressivamente adottato e implementato vari normative di dettaglio tra cui le Measures for Security Assessment of Cross-border Data Transfer (数据出境安全评估办法), le Measures for Standard Contracts for Cross-border Transfer of Personal Information (个人信息出境标准合同办法), le Provisions on Promoting and Regulating Cross-border Data Flows (促进和规范数据跨境流动规定), ed infine l’Announcement on the Implementation of Personal Information Protection Certification (关于实施个人信息保护认证的公告).

Nel solco di queste iniziative tese a venire incontro ai quesiti interpretativi e pratici dei titolari del trattamento coinvolti, si pongono le Q&A pubblicate dalla CAC lo scorso aprile 2025 per il trasferimento transfrontaliero dei dati di cui riportiamo di seguito una sintesi dei punti più significativi.

Le varie autorità governative locali hanno creato le proprie “Negative list for cross-border data transfer” con il fine di identificare quali speciali categorie di dati sottrarre al generale regime di trasferimento dei dati. Le Q&A chiariscono come per garantire la coerenza degli standard tra le diverse “negative list” delle Free Trade Zones (FTZ) cinesi, è previsto un processo coordinato e multilivello di approvazione e archiviazione. In particolare, ogni FTZ deve sottoporre la propria bozza di “negative list” al comitato provinciale per la cybersicurezza e l’informatizzazione, il quale, una volta approvata, provvede a trasmetterla alla Cyberspace Administration of China (CAC) e alla National Data Administration (NDA) per l’archiviazione ufficiale. Fatto ciò, la CAC e la NDA procederanno alla loro pubblicazione sulle piattaforme di riferimento, dove potranno essere consultate dagli operatori del mercato, oppure, divenire fonte di ispirazione per i vari governi locali, incentivando così la convergenza normativa. Tuttavia, la CAC chiarisce come sia facoltà di ogni FTZ disegnare la propria negative list in armonia con le normative primarie.

Premessa la comunicazione che saranno in futuro pubblicate più precise linee guida su tale tema, la CAC, sulla base agli articoli 6 e 19 della PIPL, definisce quattro criteri tramite i quali verificare la conformità di un trasferimento transfrontaliero di dati: (1) Il trasferimento deve essere direttamente collegato allo scopo del trattamento; (2) Il trasferimento deve avere un impatto minimo sui diritti dell’individuo; (3) Il trasferimento deve essere limitato al minimo ambito necessario per raggiungere lo scopo del trattamento; (4) Il trasferimento deve avere la durata più breve possibile e strettamente necessaria per il raggiungimento dello scopo del trattamento.

La CAC con la pubblicazione di queste Q&A fornisce un nuovo strumento interpretativo per la definizione dei “dati importanti” indicando come riferimento l’Appendice G  delle Guidelines for Identifying Important Data(重要数据识别指南) contenuto nella Data Security Technology—Data Classification and Grading Rules (GB/T 43697-2024).

No, il trasferimento all’estero di dati importanti ai sensi delle normative cinesi non è vietato. Tuttavia tali dati possono essere trasferiti solo dopo aver superato adeguate procedure di risk assessment e “valutazioni di impatto” in conformità al giudizio della CAC. In base alle ultime notizie datate marzo 2025, la CAC ha completato finora 298 progetti di valutazione della sicurezza per trasferimenti transfrontalieri di dati. Quarantaquattro di queste valutazioni hanno riguardato dati importanti, di cui solo sette non hanno superato la valutazione (tasso di rigetto del 15,9%). Nelle quarantaquattro domande esaminate, 509 elementi sono stati classificati come dati importanti, 325 dei quali (pari al 63,9%) sono stati approvati per il trasferimento transfrontaliero. Ciò mostra che il filtro della CAC può anche non essere stringente.

Attualmente, i gruppi societari possono presentarsi come soggetto unico per i propri security assessments o per i contratti standard (le standard contractual clauses – SCC) relativi al trasferimento di dati personali all’estero. La CAC conferma che è al lavoro per la creazione di un meccanismo di certificazione che consentirà ai gruppi multinazionali di facilitare il trasferimento al loro interno.

Ai sensi delle Provisions on Promoting and Regulating Cross-border Data Flows il periodo di validità dei risultati della “valutazione d’impatto” relativa al trasferimento è stato esteso da 2 a 3 anni. Le imprese ora possono richiedere un’estensione di 3 anni entro 60 giorni lavorativi prima della scadenza, tramite gli uffici provinciali della CAC. La CAC sta perfezionando le procedure per semplificare questo processo.

La pubblicazione della Q&A offre agli operatori del settore – tanto cinesi quanto stranieri – indicazioni utili su aspetti pratici e interpretativi fondamentali per garantire la compliance con il sistema normativo vigente.

Da sottolineare in particolare come l'intervento della CAC evidenzi una duplice tendenza: da un lato, la volontà di promuovere un ambiente regolatorio più trasparente e prevedibile, anche attraverso strumenti come l'estensione del periodo di validità delle valutazioni d’impatto e la semplificazione delle procedure per i gruppi societari; dall'altro, la persistente incertezza che ancora circonda nozioni chiave come quella di "dati importanti", nonostante l'indicazione formale di standard tecnici nazionali come riferimento.

È evidente come le imprese debbano dotarsi di adeguate risorse giuridiche e operative per navigare un contesto ancora parzialmente incerto dotandosi dei necessari ausili per effettuare l’assesment dei propri sistemi interni e adottare le azioni richieste per adeguarsi alla normativa.

2025年，中华人民共和国国家互联网信息办公室（以下简称“国家互联网信息办公室”）发布了一份关于跨境数据传输制度的新问答，进一步丰富了中国的数据保护监管框架。

这些规定可以在企业准备将个人数据转移到中国境外的评估过程中提供宝贵的帮助，例如从其中国分支机构向意大利或欧洲的总部传达运营信息。

本文致力于解决的问题是，国家互联网信息办公室发布的关于跨境数据传输的这些问答中有哪些新增功能，有哪些澄清以及哪些疑问尚未解决。

与其他国家一样，近年来，中国也建立了规范跨境数据传输活动的具体监管框架。在中国，数据保护法的基础是《网络安全法》，《数据安全法》和《个人信息保护法》。在立法层面，这些法律还规定并概述了跨境数据传输的总体结构。

为了明确这些立法规定，国家互联网信息办公室先后出台了各种详细法规，包括《数据出境安全评估办法》、《个人信息出境标准合同办法》、《促进和规范数据跨境流动规定》、《关于实施个人信息保护认证的公告》。

在这些旨在解决相关数据控制者解释和实际问题的举措中，国家互联网信息办公室于2025年4月发布了关于跨境数据传输的问答，以下是最重要的要点。

如何确保中国各自贸试验区（FTZ）之间数据出境负面清单标准的一致性？

各个地方的政府机构已经建立了自己的制定数据出境负面清单，以确定哪些特殊类别的数据应从一般数据传输制度中豁免。问答解释了为了确保中国自贸试验区不同“负面清单”之间的标准一致性，需要一个协调和多层次的审批和存档过程。特别是，每个自贸试验区都必须向省级网络安全和信息化委员会提交其“负面清单”草案，该委员会一旦批准，就会将其提交给国家互联网信息办公室（CAC）和国家数据管理局（NDA）进行官方备案。在此之后，国家互联网信息办公室和国家数据局将在参考平台上发布，供市场参与者参考，亦成为地方政府及其他有关部门的参考，从而促进监管趋同。国家互联网信息办公室澄清了每个自由贸易区如何根据主要法规制定自己的负面清单。

鉴于国家互联网信息办公室已宣布将在未来发布更准确的指南，国家互联网信息办公室根据《个人信息保护法》第6条和第19条，确定了四项标准，以验证跨境数据传输的合规性：

（1）与处理目的直接相关；

（2）对个人权益影响最小；

（3）限于实现处理目的的最小范围；

（4）保存期限为实现处理目的所必要的最短时间。

国家互联网信息办公室通过发布这些问答为“重要数据”的定义提供了一个新的解释工具，参考《数据安全技术数据分类分级规则》（GB/T 43697-2024）中的附录G《重要数据识别指南》。

不，中国法律不禁止向国外传输重要数据。然而，这些数据只有在经过适当的风险评估和“影响评估”程序后，才能按照国家互联网信息办公室的判断进行传输。根据2025年3月的最新消息，国家互联网信息办公室已完成298个跨境数据传输安全评估项目。这些评估中有44项涉及重要数据，其中只有7项未通过评估（不通过率为15.9%）。44个申报项目涉及509个重要数据项，评估后准予出境的重要数据项为325个，占申报数据项总数的63.9%。这表明国家互联网信息办公室的审核尺度并非绝对严格。

公司集团内部是否有简化的数据传输渠道？

目前，公司集团可以作为其安全评估或标准合同条款（SCC）的单一主体出现，以便将个人数据传输到国外。国家互联网信息办公室确认，其正在努力建立一个认证机制，使跨国集团能够促进其内部转移。

根据《促进和规范数据跨境流动规定》，有关数据传输的“影响评估”结果的有效期从2年延长到3年。企业现在可以在截止日期前60个工作日内通过省级网信部门申请延期至3年。国家互联网信息办公室正在完善程序，以简化这一过程。

该问答的发布为中国和外国的行业运营商提供了关于确保遵守现行监管体系的关键实践和解释方面的有用指导。

特别值得强调的是，监管部门的干预表明了双重趋势：一方面，表达了促进更加透明和可预测的监管环境的意愿，包括延长影响评估有效期和简化集团公司数据出境程序；另一方面，尽管指定了国家技术标准作为参考，持续存在的不确定性仍然围绕着“重要数据”等关键概念。

显而易见的是，企业必须拥有适当的法律和运营资源，以应对仍然部分不确定的环境，并提供必要的辅助工具来评估其内部系统并采取必要的行动以适应监管。

声明