中国のサイバーセキュリティー法は話題になることが多いのですが、それほど特殊な問題は生じないようです。
GDPR対応をきっかけにデータ・プライバシーへの取組みを定式化できていれば追加で必要な作業はあまりないでしょう。

最近はむしろ、AIやIoTとデータ・プライバシーとの関係が大きな関心を呼んでいます。
今読んでいる透明性のガイドラインはこの分野について理解する上でも大切な概念を提供してくれています。

法律はいつも遅れて登場します。法律を待っていては開発もままならない状態となるでしょう。指針がない中で良心に従って開発を進めることが求められる。それが新技術の醍醐味です。データ・プライバシーの専門家は、グローバルに展開するビジネスに指針を与える存在でなければなりません。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
＜追加の処理に関する情報＞
【45】
GDPR第13条もGDPR第14条も、取得された目的以外に追加で個人データを処理する意図があるかについてデータ主体に知らせるよう義務付けています。

The controller shall provide the data subject prior to that further processing with information on that other purposes and with any relevant further information as referred to in paragraph 2.
「管理者は当初の目的以外の追加の処理を行う前に、データ主体に対してパラグラフ２で言及された追加の情報を提供しなければならない」

これは処理の原則のうちGDPR第5条(1)(b)に対応しています。
すなわち、個人データは、特定され、明確で、合法な目的のために取得されなければならず、それらの目的に合致しない追加の処理は禁止される、という原則を遵守する上で上記の対応を行うことが重要です。

ただし、GDPR第5条(1)(b)の後半部分では、公共の利益のため、科学的調査または歴史的調査、統計目的については、GDPR第89条(1)に準拠する場合、初期の目的に対して合致しないとは考えないとされています。

当初の目的に合致する目的のもと追加で個人データが処理される場合はGDPR第13条(4)、GDPR第14条(4)が適用されます。(GDPR第6条(4)でこの問題が取り上げられています。)
個人データを取得時、または個人データの取得文脈で、そのような処理が行われることをデータ主体が合理的に予測することができるかどうかが大切だというのがGDPRの立場です。
還元すれば、データ主体が自身の個人データの処理の目的について驚かないことが大切だ、ということです。