חוק ההגנה על מידע אישי של משתמשים ברשת, שנחקק בחודש אוגוסט, נכנס לתוקף בתאריך ה-1.11.21. בכך, הצטרף לחוק אבטחת המידע, שנכנס לתוקף חודשיים קודם לכן. בין היתר, קובע חוק ההגנה על מידע אישי את תנאי הסף לאיסוף מידע אישי וכן הוראות לעניין אבטחת המידע בעת העברתו ליעדים מחוץ לסין.
במקביל לכניסת החוק לתוקף, פרסם הרגולטור הסיני טיוטת הנחיות משלימות לעניין העברת מידע אישי מחוץ למדינה. ההנחיות נועדו לחול על כל חברה שיש לה למעלה ממיליון משתמשים; על חברות שמשתמשות במידע שנאסף או נוצר על ידי מפעיל של "תשתית מידע קריטית"; על חברות שמעבירות מחוץ למדינה מידע "חשוב" (מונח שפורש בהנחיות ששר התעשייה הסיני פרסם בחודש שעבר); ועל חברות שהעבירו בעבר, או מתכננות להעביר, מידע אישי של יותר מ-100,000 משתמשים או מידע אישי רגיש של יותר מ-10,000 משתמשים, מחוץ למדינה.
ההנחיות קובעות כי כל חברה הכפופה להן נדרשת לבצע הערכה עצמית של אבטחת המידע, ובתוך כך לבחון, בין היתר, את החוקיות והנחיצות של העברת המידע, את היקף, סוג ורגישות המידע, ואת הסיכון לדליפת מידע. בנוסף, ההנחיות מחייבות את החברות להגיש חומרים מסוימים, לרבות תוצאות ההערכה העצמית שביצעו, לרגולטור – וזאת כדי לאפשר לו לבצע הליכי פיקוח לבחינת רמת אבטחת המידע בהן.
עוד קובעות ההנחיות, כי החברות נדרשות להיקשר בהסכמים להעברת מידע, שיכללו בין השאר מידע על מטרת ההעברה, האופן בו תתבצע, המיקום בו יאוחסן המידע מחוץ לסין, והתקופה שבה יישמר, וכן הוראות הנוגעות לאמצעי האבטחה שעל מקבל המידע ליישם, והגבלות על העברת המידע הלאה. מקורות: Hunton Andrews Kurth; רויטרס (מאת: ינגז'י יאנג, ברנדה גו ואדוארדו בפטיסטה).