Conformidade com PIPL da China: Guia de transferência de dados transfronteiriça

A Lei de Proteção de Informações Pessoais da China (PIPL — 个人信息保护法), em vigor a partir de 1º de novembro de 2021, é a lei nacional abrangente de privacidade de dados da China e uma das estruturas de proteção de dados mais exigentes do mundo. Juntamente com a Lei de Segurança de Dados (DSL, em vigor em Setembro de 2021) e a Lei de Segurança Cibernética (CSL, em vigor em Junho de 2017), a PIPL forma uma trilogia de regulamentos que remodelam fundamentalmente a forma como as empresas recolhem, processam, armazenam e transferem dados dentro e fora da China.

Para empresas multinacionais que operam na China ou que servem consumidores chineses, a conformidade com o PIPL não é opcional – as violações podem resultar em multas de até 5% do volume de negócios anual, suspensão de operações comerciais e responsabilidade criminal pessoal para executivos responsáveis. A Administração do Ciberespaço da China (CAC) demonstrou uma aplicação agressiva, incluindo ações de alto nível contra Didi Global (multa de US$ 1,19 bilhão), Full Truck Alliance e Boss Zhipin.

Principais conclusões

• O PIPL se aplica ao processamento de informações pessoais de indivíduos na China — o escopo extraterritorial abrange entidades estrangeiras que visam ou analisam indivíduos chineses
• É necessário consentimento separado para cada finalidade de processamento — o consentimento agrupado é inválido
• "Informações pessoais sensíveis" (biometria, finanças, saúde, localização precisa, dados de menores) requerem consentimento separado e explícito
• As transferências transfronteiriças requerem um de três mecanismos: avaliação de segurança CAC, contratos padrão ou certificação — todos são operacionalmente significativos
• Os requisitos de localização de dados se aplicam a Operadores de Infraestrutura de Informação Crítica (CIIOs)
• A avaliação de segurança CAC é obrigatória para transferências transfronteiriças em grande escala (mais de 100.000 dados de indivíduos anualmente)
• Informações pessoais importantes de menores (menores de 14 anos) requerem consentimento parental separado e proteção reforçada
• As multas chegam a até 5% do faturamento anual para infrações graves; a suspensão de negócios também está disponível como sanção

---

Estrutura e escopo do PIPL

Base Legislativa

O PIPL foi adotado pelo Comité Permanente da Assembleia Popular Nacional em 20 de agosto de 2021. Baseia-se nas melhores práticas globais de proteção de dados (particularmente o GDPR), ao mesmo tempo que reflete o contexto regulatório único da China, incluindo considerações de segurança nacional incorporadas em toda a legislação.

Princípios-chave (Artigo 5–9):

• Legalidade, legitimidade, necessidade e boa-fé
• Objetivo claro e razoável
• Minimização de dados
• Garantia de qualidade (precisão e integridade)
• Segurança e responsabilidade
• Processamento limitado ao escopo mínimo necessário

Escopo Territorial

O Artigo 3 dá aplicação extraterritorial ao PIPL. Aplica-se a:

1. Processamento de informações pessoais de indivíduos dentro do território da China por entidades dentro da China
2. Processamento de informações pessoais de indivíduos dentro do território da China por entidades fora da China onde:

• O objetivo é fornecer produtos ou serviços a indivíduos na China
• O objetivo é analisar ou avaliar o comportamento dos indivíduos na China
• Outras circunstâncias especificadas pelo CAC

Isso significa que uma empresa estrangeira que administra um site em chinês, atende consumidores chineses ou usa ferramentas analíticas que traçam o perfil do comportamento do usuário chinês deve estar em conformidade com o PIPL.

Processadores estrangeiros de informações pessoais (OPIPs): As entidades estrangeiras no âmbito extraterritorial do PIPL devem (artigo 53):

• Estabelecer uma entidade dedicada ou nomear um representante dentro da China
• Envie o nome e os dados de contato do representante da China ao departamento competente relevante

---

Bases Legais para Processamento

O artigo 13.º do PIPL estabelece seis bases jurídicas para o tratamento de informações pessoais. Ao contrário do GDPR, onde múltiplas bases são igualmente ponderadas, o PIPL trata o consentimento individual como a base principal, com outras bases como exceções:

Requisitos críticos de consentimento (artigos 14 a 17):

• O consentimento deve ser dado voluntária e explicitamente
• O consentimento deve ser informado — os indivíduos devem entender o que estão consentindo antes de decidir
• O consentimento não pode ser agrupado — você deve obter consentimento separado para cada finalidade de processamento
• Retirar o consentimento deve ser tão fácil quanto fornecê-lo
• A retirada não afeta o processamento legal anterior
• A recusa de fornecer informações pessoais ou a retirada do consentimento não deve afetar o fornecimento do produto/serviço principal (exceto quando os dados forem necessários para o serviço)

---

Informações pessoais confidenciais

O Artigo 28 define informações pessoais sensíveis (敏感个人信息) como informações pessoais que, uma vez vazadas ou utilizadas ilegalmente, podem causar danos à dignidade das pessoas físicas ou danos graves à sua segurança pessoal ou patrimonial. Categorias específicas incluem:

• Informações biométricas (impressões digitais, impressões de voz, reconhecimento facial, íris ocular, dados genéticos)
• Crença religiosa
• Identidades específicas (partido político, etnia)
• Informações médicas de saúde
• Contas financeiras
• Informações de localização precisas (GPS em tempo real, rastreamento preciso de movimento)
• Informações pessoais de menores de 14 anos

Requisitos aumentados para PI sensíveis:

• Consentimento separado e explícito (adicional a qualquer consentimento para processamento não confidencial)
• Justificativa de necessidade - deve ter finalidades específicas e necessidade adequada
• Medidas de segurança aprimoradas
• Notificação aos indivíduos sobre o impacto específico do processamento

Informações pessoais de crianças (menores de 14 anos): Deve obter consentimento dos pais ou responsáveis. O CAC emitiu Regras específicas sobre a Proteção de Informações Pessoais de Crianças Online (2019, alteradas em 2022) com requisitos adicionais para provedores de serviços online.

---

Direitos do titular dos dados

O PIPL concede aos indivíduos (Capítulo IV, Artigos 44-50) os seguintes direitos:

Direito de saber e direito de decidir: Os indivíduos têm o direito de saber e decidir sobre o processamento de suas informações pessoais e de restringir ou recusar o processamento por terceiros.

Direito de acesso e cópia: Os indivíduos podem solicitar cópias de suas informações pessoais. Os processadores devem fornecê-lo dentro de um prazo razoável.

Direito de transferência: Sempre que for tecnicamente viável, os indivíduos podem solicitar a transferência das suas informações pessoais para outro processador designado.

Direito à correção: Os indivíduos podem corrigir informações pessoais imprecisas ou incompletas.

Direito à exclusão: A exclusão é necessária quando: (1) a finalidade do processamento foi alcançada ou é impossível; (2) o processador decide parar de fornecer produtos/serviços; (3) o período de retenção expirou; (4) consentimento retirado; (5) o processamento viola leis/regulamentos ou acordos.

Direito de retirar o consentimento: Para o processamento baseado no consentimento, os indivíduos podem retirar o consentimento a qualquer momento. A retirada não afeta o processamento legal anterior.

Direito à explicação: Os indivíduos podem solicitar explicações sobre as regras de processamento de informações pessoais.

Direito de recusar a tomada de decisão automatizada: quando as PI são utilizadas para recomendações personalizadas ou decisões automatizadas, os indivíduos têm o direito de recusar e solicitar a revisão humana de decisões com efeitos significativos.

---

Transferência de dados transfronteiriça: o desafio crítico

O Capítulo III (artigos 38 a 43) do PIPL impõe a estrutura de transferência transfronteiriça mais rigorosa de qualquer lei de privacidade importante, tornando esta a área de conformidade mais desafiadora operacionalmente para empresas multinacionais.

Três mecanismos permitidos

1. Avaliação de segurança do CAC (artigo 38.º, n.º 1)

Obrigatório para:

• Operadores de infra-estruturas críticas de informação (CIIO) — qualquer transferência transfronteiriça
• Processadores não CIIO: se as transferências cumulativas para o exterior atingirem 100.000 dados de indivíduos no ano atual (ou 10.000 indivíduos de PI sensíveis)
• Informações pessoais geradas por dados importantes (dados críticos sob DSL)

A avaliação de segurança do CAC envolve o envio de uma solicitação com documentação detalhada da transferência, as práticas de proteção de dados do destinatário e as disposições contratuais. Os prazos de avaliação são de 60 dias úteis (prorrogáveis ​​até 90).

2. Contrato Padrão (Artigo 38(2))

Para processadores não CIIO que não atinjam o limite de 100.000, as transferências internacionais podem ser realizadas usando cláusulas contratuais padrão aprovadas pelo CAC publicadas em fevereiro de 2023. Requisitos principais:

• Use o modelo CAC SCC sem modificação
• Arquivar o SCC junto ao CAC de nível provincial no prazo de 10 dias úteis após a entrada em vigor do contrato
• Realizar uma Avaliação de Impacto na Proteção de Informações Pessoais (PIPIA) antes da transferência
• Manter PIPIA e registros de contrato por 3 anos

3. Certificação (Artigo 38(3))

As transferências intragrupo entre entidades afiliadas podem utilizar a certificação de uma organização profissional de proteção de informações pessoais credenciada pelo CAC. O esquema de certificação PIPIA foi desenvolvido em conjunto pelo Comitê Técnico Nacional de Padronização de Segurança da Informação (TC260) e pelo CAC.

Guia de seleção do mecanismo de transferência

Localização de dados para CIIOs

Os Operadores de Infraestruturas de Informação Crítica devem armazenar informações pessoais e “dados importantes” coletados e gerados na China dentro da China (Artigo 40). A transferência transfronteiriça de dados recolhidos na China pelos CIIOs requer a avaliação de segurança do CAC. Os CIIOs são amplamente definidos pela CSL e pelos regulamentos de identificação de CIIO específicos do setor, abrangendo energia, transporte, água, finanças, serviços públicos, governo eletrônico, defesa nacional e operadores de infraestrutura de Internet.

---

Obrigações para processadores de grande escala

O Artigo 58 impõe obrigações adicionais aos Processadores de Informações Pessoais cujos serviços alcançam um grande número de usuários (limite a ser determinado pelo CAC, mas geralmente entendido como sendo de mais de 10 milhões de usuários com base nas orientações do CAC):

• Formular programas e procedimentos de conformidade para proteção de informações pessoais **
• Estabelecer um mecanismo de supervisão externa com supervisão social
• Realizar auditorias regulares de conformidade de proteção de informações pessoais
• Realizar Avaliações de Impacto de Proteção de Informações Pessoais (PIPIAs) antes de processar atividades com riscos significativos
• Aceitar a supervisão das autoridades nacionais relevantes
• Designar um Oficial de Proteção de Informações Pessoais (PIPO) responsável pela supervisão

---

Avaliações de impacto na proteção de informações pessoais (PIPIAs)

O Artigo 55 exige PIPIAs antes:

• Processamento de informações pessoais confidenciais
• Usando PI para tomada de decisão automatizada
• Confiar o processamento a terceiros, compartilhar ou transferir PI
• Divulgar IP publicamente
• Transferências transfronteiriças (necessárias para o mecanismo SCC)
• Outras atividades de tratamento com impacto significativo nos indivíduos

A documentação PIPIA deve ser guardada por pelo menos 3 anos. Um PIPIA deve analisar:

• Se a finalidade, o método e o escopo do processamento estão em conformidade com as leis/regulamentos
• Impacto nos direitos individuais e no grau de risco de segurança
• Se as medidas de proteção são legais, eficazes e proporcionais ao risco

---

Notificação de violação

O Artigo 57 exige que, ao descobrirem um incidente (violação) de segurança de informações pessoais, os processadores tomem imediatamente medidas corretivas e notifiquem as autoridades competentes e os indivíduos. A notificação deve incluir:

• Tipo de informação pessoal vazada, adulterada ou perdida
• Causas e danos potenciais do incidente
• Medidas corretivas tomadas pelo processador
• Medidas que os indivíduos podem tomar para mitigar os danos
• Informações de contato do processador

Cronograma: A lei diz "imediatamente" — a orientação do CAC indica que isso significa assim que a violação for descoberta para notificação interna e regulatória. A notificação individual deve ocorrer sem demora injustificada, uma vez avaliado o âmbito.

Quando é pouco provável que a violação prejudique os indivíduos, o processador pode registar o incidente internamente em vez de notificar os indivíduos (sujeito a revisão regulamentar).

---

Execução e penalidades do CAC

A Administração do Ciberespaço da China é a principal autoridade de aplicação do PIPL, trabalhando em conjunto com os reguladores do sector (PBOC para dados financeiros, NHSA para dados de saúde, etc.).

Sanções administrativas (artigo 66):

• Aviso e ordem para corrigir
• Confisco de ganhos ilícitos
• Multas de até 1 milhão de RMB (US$ 140.000) por violações menores
• Multas de até 5% do faturamento anual do ano anterior por infrações graves
• Suspensão ou extinção de operações comerciais (opção nuclear)
• Responsabilidade pessoal dos executivos: multas de até 1 milhão de RMB, proibição de ser diretor/diretor de empresa

Encaminhamento criminal: As violações que envolvam a segurança nacional ou que constituam infrações penais são encaminhadas às autoridades de segurança pública.

Ações de fiscalização notáveis:

• Didi Global (2022): multa de US$ 1,19 bilhão por violações graves da segurança de dados de rede — a maior ação de fiscalização relacionada ao PIPL até o momento
• BOSS Zhipin e Full Truck Alliance (2021): Suspensões e investigações por violações de revisão de segurança cibernética relacionadas a listagens no exterior
• Investigações contínuas do CAC de empresas dos setores de fintech, saúde e internet

---

Lista de verificação de conformidade com PIPL

• Análise de aplicabilidade concluída (operações na China, usuários chineses, escopo extraterritorial)
• Representante/entidade da China designado se for entidade estrangeira dentro do escopo do PIPL
• [] Inventário de informações pessoais concluído, incluindo identificação de PI sensível
• [] Base jurídica documentada para cada atividade de processamento (consentimento para a maioria)
• Mecanismos de consentimento separados implementados para cada finalidade de processamento
• [] Consentimento confidencial de PI obtido separada e explicitamente
• Informações pessoais de crianças (menores de 14 anos) identificadas — mecanismo de consentimento dos pais implementado
• [] Aviso de privacidade preparado em mandarim com todas as divulgações exigidas
• [] Procedimentos de direitos do titular dos dados documentados (acesso, correção, exclusão, portabilidade, retirada)
• Avaliação de transferência transfronteiriça concluída — mecanismo determinado (avaliação CAC, SCC ou certificação)
• PIPIA realizado para todas as transferências transfronteiriças (obrigatório para mecanismo SCC)
• [] CAC SCC arquivado no CAC provincial dentro de 10 dias (se o mecanismo SCC for usado)
• [] determinação CIIO concluída — localização de dados implementada, se aplicável
• [] Obrigações do processador em grande escala avaliadas (limiar de mais de 10 milhões de usuários)
• PIPO designado se aplicável (processador de grande escala)
• [] Contratos de processadores de terceiros estão em conformidade com o PIPL Capítulo II
• Medidas de segurança implementadas: criptografia, controle de acesso, monitoramento
• [] Procedimento de notificação de violação documentado (resposta imediata)
• [] Transparência automatizada na tomada de decisões e mecanismos de opt-out implementados

---

Perguntas frequentes

O que torna os requisitos de transferência transfronteiriça do PIPL da China tão desafiadores?

Três fatores: (1) Avaliação de segurança obrigatória do CAC para transferências em grande escala — o processo de avaliação é demorado (mais de 60 dias úteis) e requer documentação extensa, incluindo avaliações de risco; (2) Mesmo para transferências menores utilizando contratos padrão, um PIPIA deve ser preenchido e o contrato arquivado no CAC no prazo de 10 dias após a assinatura; (3) Os volumes de dados que desencadeiam a avaliação obrigatória (100.000 indivíduos/ano) são facilmente excedidos pelas médias empresas. As multinacionais com operações na China devem efetivamente ter programas de conformidade PIPL dedicados para fluxos de dados transfronteiriços.

Como o PIPL se aplica a empresas sem presença física na China?

O Artigo 3(2) aplica o PIPL a processadores estrangeiros que fornecem produtos ou serviços a indivíduos na China, ou que analisam o comportamento de indivíduos na China. O artigo 53.º exige que esses processadores designem uma entidade ou indivíduo representativo na China e comuniquem os dados de contacto às autoridades competentes. Praticamente, qualquer site estrangeiro com tráfego chinês substancial, qualquer aplicativo com usuários chineses ou qualquer plataforma analítica que processe dados de consumidores chineses deve cumprir o PIPL – incluindo o requisito de representante na China.

Como é o processo de avaliação de segurança do CAC na prática?

A avaliação de segurança do CAC envolve a apresentação de uma candidatura detalhada através do CAC a nível provincial (para a maioria das empresas) ou do CAC nacional (para CIIOs). Os documentos necessários incluem: o relatório de autoavaliação da avaliação da segurança da exportação de dados, o contrato de exportação de PI, o relatório PIPIA e outros materiais de apoio. A avaliação abrange: se a finalidade e o método de exportação de dados estão em conformidade com a lei; se o país do destinatário estrangeiro tem proteção adequada; riscos para os direitos individuais decorrentes da transferência; e adequação das proteções contratuais. A avaliação leva 60 dias úteis (prorrogáveis ​​até 90 para casos complexos). Muitas empresas multinacionais descobriram que este processo leva de 6 a 12 meses na prática.

Como o PIPL interage com a Lei de Segurança de Dados (DSL) da China?

PIPL e DSL funcionam em conjunto. O PIPL se concentra na proteção de informações pessoais. A DSL rege todos os dados (incluindo dados não pessoais) com base na segurança nacional e na importância económica, com um sistema de classificação escalonado desde “dados gerais” até “dados centrais do estado”. A DSL exige que todo o processamento de dados cumpra os requisitos de classificação de dados, restrições críticas de processamento de dados e regras de transferência transfronteiriça para "dados importantes". Os dados críticos (重要数据) têm seus próprios requisitos de avaliação de transferência transfronteiriça sob DSL. As empresas multinacionais na China devem avaliar a conformidade tanto ao abrigo do PIPL (para dados pessoais) como do DSL (para todos os dados, incluindo dados comerciais classificados como críticos).

Existem requisitos de PIPL específicos do setor?

Sim. Vários reguladores do setor emitiram regulamentos complementares ou alinhados com o PIPL: o Banco Popular da China (PBOC) tem requisitos de proteção e transmissão de dados financeiros; a Administração Nacional de Segurança Sanitária (NHSA) regula os dados de saúde; o Ministério da Indústria e Tecnologia da Informação (MIIT) regulamenta a coleta de dados de aplicativos móveis com listas específicas de práticas proibidas de coleta de dados. O TC260 (Comitê Técnico Nacional de Padronização de Segurança da Informação) emitiu o GB/T 35273 (Especificação de Segurança de Informações Pessoais) como um padrão técnico voluntário, mas amplamente referenciado. As entidades reguladas pelo sector devem cumprir tanto o PIPL como os seus requisitos específicos do sector.

---

Próximas etapas

O PIPL da China está entre as estruturas de proteção de dados mais exigentes do mundo, especialmente para operações de dados transfronteiriças. A combinação de processamento que prioriza o consentimento, mecanismos rígidos de transferência transfronteiriça, localização de dados para CIIOs e aplicação ativa de CAC torna a conformidade com PIPL um risco em nível de conselho para qualquer organização com exposição significativa à China.

A equipe da ECOSIRE pode ajudá-lo a projetar arquiteturas de dados compatíveis com PIPL, implementar gerenciamento de consentimento para usuários chineses, conduzir PIPIAs e navegar no processo de seleção de mecanismos de transferência transfronteiriça.

Começar: Serviços ECOSIRE

Isenção de responsabilidade: este guia é apenas para fins informativos e não constitui aconselhamento jurídico. O panorama regulamentar da proteção de dados na China está a evoluir rapidamente. Consulte um consultor jurídico qualificado licenciado na China para obter aconselhamento específico para sua organização e atividades.