ABeam |《中国个人信息保护和网络安全相关法律的趋势与应对》（1）——全球趋势下的合规

在数字化浪潮席卷全球的今天，网络安全与个人信息保护已成为社会关注的重点领域。随着互联网技术的广泛应用，线上活动日益频繁，个人信息的流转规模持续扩大。在此背景下，全球网络安全威胁升级与数据泄露风险加剧，各国正通过立法手段加强风险防控。

一场围绕数据主权、隐私权利与技术创新的博弈正在重塑全球商业规则。对于深耕中国市场的跨国企业而言，如何在复杂多变的监管环境中平衡合规成本与商业机遇，既是挑战更是机遇。

立法动态一览

随着网络攻击风险的增加和数据保护意识的增强，主要国家 · 组织正积极推进相关法律法规制度的制定与修订，相关商业主体须即使采取合规措施。

立法动态详解

在欧盟，通用数据保护条例 ( GDPR ) 自 2018 年实施以来已成为全球数据保护标准之一；

在美国，各州的隐私保护法不尽相同。《加州消费者隐私法》 ( CCPA ) 及其修订版《加州隐私权法》 ( CPRA ) 创建了与 GDPR 类似的法律法规，并为消费者提供了更大的数据透明度和控制权；

在亚洲地区，个人信息保护相关的法律法规监管也在不断加强。日本于 2022 年修订了《个人信息保护法》，新规强化了数据泄露时的报告义务，并进一步保障个人权利；中国，从 2017 年《网络安全法》施行以来，《数据安全法》、《个人信息保护法》等相关法律法规和指南相继出台。

■欧盟相关法律法规概要

个人信息保护

欧盟出台了多项旨在保护个人信息并加强数字时代网络安全的法律法规，特别重要的是 2018 年正式生效的《通用数据保护条例》 ( General Data Protection Regulation，简称 GDPR ) 。

除了加强个人权利外，它还为企业明确了广泛的适用范围和对违法行为的严厉处罚规定。

网络安全

欧盟也注重加强网络安全，2016 年欧盟发布了《网络与信息系统安全指令》 ( The Directive on Security of Network and Information Systems ，简称 NIS 指令 ) ，旨在加强关键基础设施的安全，提高其抵御网络攻击的能力。

尽管 NIS 指令为加强欧盟国家的安全做出了贡献，但数字化的快速发展以及各国之间对策水平的差异，会使一些成员国更容易受到网络威胁，从而使整个欧盟面临风险。

为了规避这些风险，修订后的 NIS2 指令于 2023 年生效，欧盟成员国需要在 2024 年 10 月之前将该指令纳入其国内相关法律法规体系。企业也须遵照该指令采取高度安全措施，发生违规行为将被处以高额罚款。

■美国相关法律法规概要

个人信息保护

《加州消费者隐私法》 ( California Consumer Privacy Act，简称 CCPA ) 于 2018 年经加州议会通过，成为美国首部综合性州级个人信息保护立法。

2020 年，《加州隐私权法案》 ( California Privacy Rights Act，简称 CPRA ) 通过，作为 CCPA 的修正和补充版本，于 2023 年正式生效。

其他州也陆续制定符合各自特点的隐私相关法律法规，纳入 CCPA 和欧盟 GDPR 的要素。

在联邦政府层面，《美国数据隐私保护法》 ( American Data Privacy and Protection Act，简称 ADPPA ) 在 2022 年首次通过了众议院能源和商业委员会的表决，国民们都很期待该法能够正式立法通过。

网络安全

在网络安全方面，《关键基础设施网络事件报告法》 ( Cyber Incident Reporting for Critical Infrastructure Act of 2022，简称 CIRCIA ) 于 2022 年经美国总统签署生效。

该法案通过建立强制报告机制，强化政府与私营部门在网络威胁情报共享和协同防御方面的合作。

随后，2024 年，美国网络安全和基础设施安全局 ( Cybersecurity and Infrastructure Security Agency，简称 CISA ) 公布了 CIRCIA 相关的实施草案 ( 征求意见稿 ) 。

如果获得通过，该草案将要求 16 个关键基础设施领域的众多企业采取应对措施，包括化学工业、通信、金融服务、食品与农业、能源、信息技术和医疗等。目前，该草案最终版仍在制定中。

■日本相关法律法规概要

个人信息保护

日本《个人信息保护法》 ( Act on the Protection of Personal Information，简称 APPI ) 旨在确保个人信息得到妥善处理，同时保护个人权益。

该法于 2003 年制定，2005 年全面实施。此后，为了应对数字技术和全球化的进步，进行了多次修订。目前，每 3 年对实施情况进行一次审查，必要时进行修订。

网络安全

为应对日益频繁且复杂化的网络攻击，日本于 2015 年实施了《网络安全基本法》。

该法规定设立政府网络安全战略本部并制定网络安全战略，要求中央政府、地方政府及关键基础设施运营商等主体切实强化网络安全防护措施。

然而，与欧盟和美国相比，日本在关键基础设施运营商的具体安全义务规定及违规处罚机制尚存完善空间，相关法律法规体系的强化仍处于持续研讨阶段。

下期预告 / Next

在全球化与本地化交织的监管图景中，中国企业既需知悉外部监管要求，更要深耕中国特色的法律土壤。下一期连载，我们将深入解析中国在个人信息保护及网络安全领域的核心法律法规框架。

业务垂询敬请联系

ABeam 中国已发布完整版《中国个人信息保护和网络安全相关法律的趋势与应对》白皮书，覆盖中国、欧盟、美国、日本等核心市场立法动态，为企业提供前瞻性合规指引。

如您对白皮书内容感兴趣，或希望探讨各行业业务挑战的解决方案，敬请随时垂询。

关注 ABeam 公众号可下载完整报告。

ABeam 中国

官网 : https://cn.abeam.com/cn/zh

地址：上海市浦东新区银城中路 501 号上海中心大厦 71 层

宙世代