TL;DR: Entre 2020 e 2025, a China implementou leis cruciais como a PIPL (proteção de dados pessoais) e a DSL (segurança de dados), além de regular algoritmos de IA e deepfakes. Estas normas buscam equilibrar a proteção da privacidade, a segurança nacional e o controle estatal sobre o ambiente digital. A conformidade, especialmente na transferência de dados, representa um desafio significativo para empresas, apesar de recentes flexibilizações.

Takeaways:

• A Lei de Proteção de Informações Pessoais (PIPL) estabelece regras abrangentes para o tratamento de dados pessoais na China, com forte ênfase no consentimento explícito e alcance extraterritorial.
• A Lei de Segurança de Dados (DSL) foca na segurança de todos os tipos de dados sob a ótica da segurança nacional e do interesse público, regulando todo o ciclo de vida dos dados.
• A China regulamentou especificamente algoritmos de recomendação e tecnologias de síntese profunda (deepfake) para garantir alinhamento com valores estatais e aumentar a transparência.
• Embora inspirada em modelos como o GDPR, a PIPL difere ao não reconhecer “interesse legítimo” como base legal primária e ao permitir maior acesso estatal aos dados.
• Empresas estrangeiras enfrentam desafios de conformidade, principalmente com as regras de transferência de dados transfronteiriças, embora flexibilizações em 2024 tenham aliviado parte do fardo regulatório.

Análise Jurídica da Governança Digital na China (2020-2025): Privacidade de Dados e Regulação da Inteligência Artificial

Introdução

No período de 2020 a 2025, a China implementou mudanças significativas em seu regime de governança digital, com destaque para os avanços na proteção de dados pessoais e na regulação da inteligência artificial. Este contexto revela a preocupação tanto com a segurança nacional quanto com a proteção da privacidade dos cidadãos, em meio à transformação digital acelerada.

Este artigo propõe uma análise jurídica aprofundada das principais normas que moldaram esse cenário, destacando a promulgação da Lei de Proteção de Informações Pessoais (PIPL) e da Lei de Segurança de Dados (DSL), além das medidas específicas de regulação dos algoritmos e das tecnologias de síntese profunda. A abordagem técnica e didática busca proporcionar uma compreensão clara dos fundamentos, do escopo e dos desafios inerentes a essas legislações.

Ao apresentar a evolução normativa e as comparações com modelos internacionais – como o GDPR europeu – o texto evidencia os esforços chineses em equilibrar inovação tecnológica com controles estatais rigorosos. Dessa forma, leitores sem conhecimento prévio poderão compreender as nuances e implicações desse quadro regulatório complexo.

Lei de Proteção de Informações Pessoais (PIPL – 2021): Contexto e Propósito

A Lei de Proteção de Informações Pessoais (PIPL) representa um marco histórico na legislação de dados na China, tendo surgido em resposta à crescente preocupação com o uso indevido de informações pessoais por empresas privadas e estatais. Inspirada em modelos internacionais, como o GDPR da União Europeia, a PIPL veio estabelecer regras abrangentes que assegurem a proteção dos dados dos cidadãos. Essa iniciativa legislativa reflete a necessidade de modernizar o arcabouço jurídico diante das inovações tecnológicas e da expansão digital.

Ao integrar características internacionais e, ao mesmo tempo, preservar especificidades locais, a PIPL busca alinhar a China com as tendências globais na proteção de dados, sem abandonar seu contexto regulatório particular. A lei procura garantir não só a segurança dos dados pessoais, mas também a soberania e os interesses do Estado, evidenciando a importância de um controle centralizado em questões de privacidade. Assim, o legislador procurou conciliar os direitos dos titulares com os imperativos de desenvolvimento econômico e inovação.

Entrando em vigor em 1 de novembro de 2021, a PIPL encapsula um processo evolutivo que substituiu normas fragmentadas por um sistema unificado e moderno. Seus principais objetivos incluem a proteção dos direitos dos indivíduos, a regulação das atividades de processamento de dados e a promoção de um uso ético e racional das informações pessoais. Dessa forma, a lei estabelece um equilíbrio entre a promoção da economia digital e a necessidade de controle e transparência no tratamento dos dados.

Lei de Proteção de Informações Pessoais (PIPL – 2021): Escopo de Aplicação e Definições Chave

A aplicação da PIPL abrange o processamento de informações pessoais de pessoas naturais dentro da China continental, estendendo-se, inclusive, a entidades localizadas no exterior que processam dados de indivíduos chineses. Essa amplitude visa assegurar que, independentemente da localização da empresa, as proteções oferecidas pela lei sejam respeitadas sempre que houver conexão com o território chinês. Dessa forma, o legislador reforça a ideia de que a proteção da privacidade não deve ser limitada por fronteiras geográficas.

Entre as definições centrais da lei, destaca-se a conceituação de “informações pessoais”, entendida como qualquer dado que possa identificar direta ou indiretamente uma pessoa natural. Além disso, a PIPL distingue uma categoria específica de “informações pessoais sensíveis”, que inclui dados biométricos, informações sobre saúde, crenças religiosas e dados relativos a menores, entre outros. Essa diferenciação busca adotar medidas de proteção reforçada para os dados que, por sua natureza, implicam riscos maiores em caso de uso indevido.

A exclusão de informações devidamente anonimizadas reforça o foco da lei sobre dados que possam identificar indivíduos, garantindo a eficácia das medidas protetivas. Assim, a PIPL estabelece um escopo claro para o tratamento das informações, delimitando as situações em que o processamento de dados é considerado vulnerável a abusos. Essa definição ampliada é essencial para a implementação de controles e para a conformidade das atividades de coleta e processamento de dados no ambiente digital.

Lei de Proteção de Informações Pessoais (PIPL – 2021): Princípios Fundamentais e Bases Legais para Processamento

O processamento de informações pessoais sob a PIPL deve observar rigorosos princípios, dentre os quais se destacam a legalidade, a legitimidade, a necessidade e a boa-fé. Essa abordagem tem como objetivo evitar a coleta excessiva de dados e garantir que cada operação de processamento possua uma finalidade clara e específica. O princípio da minimização enfatiza a necessidade de coletar apenas os dados estritamente requeridos para atingir o objetivo proposto.

A obtenção de consentimento por parte dos indivíduos é considerada a base legal primordial para o tratamento dos dados, devendo ser realizado de forma voluntária, explícita e informada. Em situações de maior risco – como no processamento de informações pessoais sensíveis –, a lei exige a obtenção de um “consentimento separado”, reforçando a proteção dos titulares. Essa medida assegura que os indivíduos tenham conhecimento pleno sobre as atividades de tratamento dos seus dados e sobre as possíveis consequências envolvidas.

Diferentemente de outros regimes, como o GDPR, a PIPL não reconhece de forma autônoma o conceito de “interesse legítimo” como base legal para o processamento de dados. Essa distinção evidencia a prioridade dada à obtenção do consentimento e à transparência nas operações de tratamento. Assim, a legislação chinesa reforça o compromisso com a proteção dos direitos dos titulares, estabelecendo limites mais rígidos para o uso dos dados pessoais pelas entidades envolvidas.

Lei de Segurança de Dados (DSL – 2021): Propósito e Escopo

A Lei de Segurança de Dados (DSL) complementa a PIPL ao adotar uma abordagem mais ampla, concentrando-se na proteção de todos os tipos de dados sob a perspectiva da segurança nacional e do interesse público. Seu propósito central é criar um ambiente seguro para o gerenciamento, a transferência e o armazenamento dos dados, prevenindo riscos que possam comprometer a estabilidade e a soberania do Estado. Essa finalidade reflete a preocupação com a integridade e a confiabilidade do ecossistema digital.

Abrangendo todo o ciclo de vida dos dados – desde a coleta até a divulgação – a DSL impõe obrigações de segurança que se estendem a cada etapa do processamento. A lei regula não somente as atividades internas das organizações, mas também a transferência de dados para fora do território chinês, especialmente quando tais operações possam afetar a segurança nacional ou os interesses coletivos. Essa abrangência garante que as medidas de proteção sejam aplicadas de forma integral e consistente.

Em vigor a partir de 1 de setembro de 2021, a DSL reafirma o compromisso do governo chinês com a proteção dos dados por meio de medidas estruturais e operacionais robustas. Ao estabelecer um sistema de classificação e proteção dos dados, a lei enfatiza a necessidade de salvaguardar a infraestrutura digital e garantir a segurança das informações. Dessa forma, a DSL atua como pilar para a construção de um ambiente digital mais resiliente e alinhado com os imperativos de segurança e desenvolvimento nacional.

Regulamentação da Inteligência Artificial: Governança de Algoritmos – Recomendações (2022) e Síntese Profunda (2023)

A regulação da inteligência artificial na China tem como objetivo padronizar as atividades relacionadas à utilização de algoritmos, promovendo um ambiente em que a inovação tecnológica caminhe lado a lado com a segurança e os valores nacionais. Com a rápida evolução das tecnologias de IA, houve a necessidade de estabelecer diretrizes específicas para áreas críticas, como os algoritmos de recomendação e as técnicas de síntese profunda. Essa iniciativa busca prevenir abusos e assegurar que a tecnologia contribua de forma positiva para a sociedade.

No caso dos algoritmos de recomendação, as disposições entraram em vigor em 1 de março de 2022, impondo regras que orientam a forma como os conteúdos são sugeridos aos usuários na internet. Os provedores devem garantir que os resultados recomendados estejam em conformidade com as orientações de valor estabelecidas pelo Estado, implementando mecanismos de supervisão e intervenção manual para evitar práticas que possam prejudicar a ordem social ou a segurança nacional. Essa regulamentação visa, portanto, mitigar os riscos de manipulação e de discriminação algorítmica.

Por sua vez, as medidas referentes à síntese profunda, vigentes desde 10 de janeiro de 2023, concentram-se na regulação da criação e edição de conteúdos de forma automatizada. Os provedores de tecnologia são obrigados a adotar práticas que possibilitem a identificação e a sinalização clara de conteúdos gerados ou alterados por meio dessas tecnologias, aumentando a transparência e a confiança dos usuários. Com isso, a regulação da IA fortalece os mecanismos de controle sobre o uso de tecnologias emergentes e protege os direitos dos cidadãos frente à disseminação de informações potencialmente enganosas.

Análise Comparativa: PIPL da China vs. GDPR da UE

A comparação entre a PIPL e o GDPR revela que ambos os regimes compartilham a preocupação com a proteção dos dados e o alcance extraterritorial, embora apresentem diferenças marcantes em suas abordagens regulatórias. Enquanto o GDPR se fundamenta fortemente na proteção dos direitos individuais e na limitação do processamento de dados por parte dos Estados, a PIPL privilegia o consentimento explícito e o controle estatal sobre a informação. Essa divergência reflete contextos culturais e políticos distintos, nos quais a proteção da privacidade é interpretada de maneira diferente.

Uma diferença crucial reside, por exemplo, no tratamento das bases legais para o processamento de dados. O GDPR reconhece o “interesse legítimo” como um fundamento que permite o tratamento de informações sem o consentimento explícito em certos cenários, enquanto a PIPL não o adota, exigindo em sua maioria consentimento separado para atividades de maior risco. Essa exigência mais rigorosa na China reforça a proteção das informações pessoais, mas também impõe desafios adicionais para as empresas que operam internacionalmente.

Outro aspecto comparativo importante é o papel do Estado na governança dos dados. O GDPR impõe restrições que limitam a intervenção estatal na coleta e no processamento de dados, assegurando a proteção dos direitos dos indivíduos mesmo contra o poder público. Em contrapartida, a PIPL demonstra uma abertura maior para o acesso e o uso dos dados por parte do Estado chinês, refletindo uma prioridade pela segurança nacional e pelo controle das informações. Essa diferença fundamental evidencia as distintas prioridades e os modelos de governança adotados por cada jurisdição.

Impacto sobre Empresas Estrangeiras: Desafios e Flexibilizações na Transferência de Dados

A implementação do novo paradigma regulatório na China impõe desafios notáveis para empresas estrangeiras, sobretudo para aquelas que operam com dados de cidadãos chineses. A necessidade de adequação às exigências da PIPL, da DSL e das regulamentações específicas de inteligência artificial demanda alterações significativas nas políticas internas, na infraestrutura de TI e nos procedimentos operacionais. Tais adaptações convencem as empresas a repensarem estratégias de coleta, armazenamento e transferência de dados em um ambiente cada vez mais rigoroso.

Um dos pontos de maior complexidade consiste na transferência transfronteiriça de dados, regulada pelas chamadas regras de CBDT. Originalmente, essas exigências representavam um obstáculo significativo para multinacionais, pois envolviam processos detalhados e criteriosos para a liberação de dados para fora da China. Em 2024, no entanto, a introdução das flexibilizações por meio das provisões específicas reduziu o fardo regulatório, permitindo isenções e aplicando limiares mais relaxados para determinadas transferências.

Mesmo com as flexibilizações, o cenário para empresas estrangeiras permanece desafiador, exigindo uma abordagem proativa em relação à conformidade e à gestão de riscos. A necessidade de ajustar contratos, implementar novos sistemas de segurança e, em alguns casos, estabelecer operações locais para o processamento de dados ilustra o impacto prático dessas normas. Portanto, as organizações devem estar preparadas para um ambiente regulatório em constante evolução, que demanda investimentos contínuos e adaptações estratégicas para garantir a compatibilidade com as exigências chinesas.

Conclusão

A análise apresentada evidencia que o período de 2020 a 2025 foi decisivo para a consolidação de um regime de governança digital robusto na China, marcado pela integração das legislações de proteção de dados e segurança cibernética. As normas, como a PIPL e a DSL, mostraram-se instrumentos essenciais para proteger a privacidade dos cidadãos e fortalecer a segurança nacional, mesmo diante de desafios impostos pela inovação tecnológica.

A articulação entre os dispositivos legais referentes à proteção de dados e à regulação da inteligência artificial evidencia a adoção de uma estratégia interligada, onde cada norma complementa e reforça as demais. Essa interconexão permite que o Estado chinês controle, de forma mais incisiva, o fluxo de informações e a aplicação das tecnologias, ao mesmo tempo que estabelece salvaguardas para os direitos dos indivíduos, ainda que com características específicas que diferem dos modelos ocidentais.

As perspectivas futuras apontam para uma maior consolidação e harmonização do quadro regulatório, com possíveis ajustes e novas leis, especialmente no campo da inteligência artificial. A tensão entre a promoção da economia digital, a proteção da privacidade e a segurança nacional continuará a ser um ponto central, exigindo das empresas e dos reguladores uma adaptação constante aos desafios e às oportunidades de um ambiente digital em rápida transformação.

Referências

Fonte: Briefing fornecido. “Análise Jurídica da Governança Digital na China (2020-2025): Privacidade de Dados e Regulação da Inteligência Artificial”. Disponível em: [dados do briefing].