국회도서관 국가전략정보포털

LIST OF FIGURES 4
LIST OF TABLES 4
EXECUTIVE SUMMARY 7
    EU firms operating in China face many challenges 8
    Risks in an increasingly fraught geopolitical environment 9
    Recommendations 11
1. INTRODUCTION: CHINA’S CYBERSECURITY AND PRIVACY REGIMES IN THE CONTEXT OF GLOBAL GEOECONOMIC RIVALRY 13
1.1. Scope of this Analysis 14
1.2. Structure of this Analysis 15
2. AN OVERVIEW OF CHINESE CYBERSECURITY AND DATA PROTECTION LAWS 16
2.1. The Chinese Legal Framework for Cybersecurity and Privacy 17
    2.1.1. The Chinese National Security Law (2015) 18
    2.1.2. The Chinese Cybersecurity Law (2016) 18
    2.1.3. The Chinese Data Security Law and Personal Information Protection Law (2021) 19
2.2. The implementation and consequences of Chinese law for cross-border data transfers 26
    2.2.1. The definition of cross-border data transfer 26
    2.2.2. Use of cross-border data transfer by EU firms operating in China 27
    2.2.3. Costs and burdens of cross-border data transfer to EU firms operating in China 28
    2.2.4. Room for further improvement in PRC cross-border data transfer rules 30
2.3. The implementation and consequences of Chinese cybersecurity law 31
2.4. Specificity of the Chinese data regulation framework: Cooperation between Chinese tech firms and China’s government based on data collection and processing 32
2.5. Existing cooperation initiatives between the EU and China 32
3. SECTORAL AND REGIONAL VARIATION WITHIN CHINA 33
4. PRIVACY AND CROSS-BORDER DATA TRANSFERS AMONG THE PRC, HONG KONG AND MACAO 39
4.1. One country – two systems 39
4.2. Cross-border personal data transfers between the PRC and Hong Kong 40
5. ECONOMIC COERCION OR NOT? ILLUSTRATIVE CASE STUDIES 44
5.1. Cybersecurity Law 44
5.2. Data Security Law and PIPL 45
6. LESSONS LEARNED: A COMPARISON OF ASIAN CYBERSECURITY REGIMES 48
6.1. South Korea 49
6.2. Taiwan 51
6.3. Singapore 53
7. POLICY RECOMMENDATIONS 55
REFERENCES 58
ANNEX: INTERVIEWEE LIST AND INTERVIEW QUESTIONS 64

LIST OF FIGURES
Figure 1: The Chinese legal framework for cybersecurity and privacy 18
Figure 2: Types of data being transferred across borders 27
Figure 3: To whom do you transfer data across borders? 27
Figure 4: Internal and external factors that complicate compliance by German firms 28
Figure 5: The financial cost of compliance 29
Figure 6: The labour cost of compliance 29
Figure 7: Impact of compliance costs on how firms do business in China 29
Figure 8: Which aspects of the current regulatory requirements would still benefit from further clarification/improvement beyond the State Council Opinions and CAC draft rules in order to facilitate cross-border data flows? 30

LIST OF TABLES
Table 1: Similarities between the Chinese PIPL and the EU's GDPR 20
Table 2: Maximum fines for violating data privacy 22
Table 3: Comparison of privacy law in Hong Kong (PPDO) and the PRC (PIPL) 42