「データ越境移転に関わるセキュリティ評価弁法」は2022年9月1日より実施

『データ越境移転に関わるセキュリティ評価弁法』(以下『弁法』という)は2022年5月19日に公布されており、2022年9月1 日より施行される。外資企業の場合、海外の関連企業とデータに関わるやり取りを行うことが多いため、規定違反を避けるには、特に『弁法』の関連規定に注意を払わなければならない。以下は『弁法』のポイントを説明する。

1.評価の対象

『弁法』第2条によれば、データ処理者が中国域内にて業務上収集?作成した重要データ及び個人情報を域外に提供する場合、法律、行政法規に別途定めのある場合を除き、本弁法の規定に従い、セキュリティー評価を実施しなければならない。 

よって、個人情報と重要データに限り、越境移転する前に自社または当局でセキュリティ評価を実施すれば越境移転は可能となる。また、「域外に提供する」を如何に理解するかについて、実務において、以下の何れかの状況に該当する場合、「域外に提供する」と見なされる。係るデータを中国の域外に移転し保存する。→ネットによる転送又は持ち出し。中国域内にあるデータベースのアクセス情報又はポートを域外の主体に提供する。→検索機能又はダウンロード機能。

2.越境移転に先立つ自己セキュリティー評価

「弁法」第5条によれば、データ処理者が域外へのデータ提供を申告する前に、越境リスクを自ら評価しなければならないとされており、重点的に評価しなければならないのは以下の項目とされている。

①データの越境及び域外の受領者がデータを処理する目的、範囲、方式等の合法性、正当性、必要性

②越境データの規模、範囲、種類、センシティブの=程度、越境データが国家安全、公共利益、個人あるいは組織の合法権益にもたらす可能性のあるリスク

③域外の受領者が負担する責任義務を承諾し、責任義務を履行する管理及び技術措置、能力等が、データ越境のセキュリティーを保障できるかどうか

④データ越境中及び越境後の漏洩、既存、改ざん、濫用等のリスク、個人が個人情報権益を保護する方法が整っているかどうか

⑤域外の受領者と締結したデータ越境に関する契約又はその他の法的効力を有する文書(以下、「法的文書」と総称する)がデータセキュリティー保護責任義務を十分に約定しているかどうか

⑥その他データ越境のセキュリティーに影響を与え得る事項

本条にいう「データ処理者」は特に限定がないことから、重要データや個人情報を越境移転させようとするすべてのデータ処理者を指すものと思われる。よって、顧客やユーザーの個人情報は扱っておらず社員の個人情報を日本の本社に送るだけであったとしても、セキュリティ評価を実施しなければならない。

3.当局が行うセキュリティ評価

「弁法」第4条によれば、データ処理者が域外にデータを提供するにあたり、以下のいずれかの事情に該当する場合には、所在地の省レベルのインターネット情報部門を通じてCACにデータ越境セキュリティー評価を申請しなければならない。

①重要データを域外に提供する場合

②重要情報インフラ運営者又は処理する個人情報が100万人に達する情報処理者が域外に個人情報を提供する場合

③前年度1月1日より、域外に提供した個人情報が累計10万人以上である場合又はセンシティブ個人情報が累計1万人以上であるデータ処理者が域外に個人情報を提供する場合

④CACが規定するその他申請を必要とするデータ越境セキュリティー評価の情況

よって、特定の条件に該当する場合に限り、自社でセキュリティ評価を実施した上で、さらにインターネット情報部門によるセキュリティ評価を受けなければならない。CACによるセキュリティ評価は、現地法人等が所在する地域の省レベルのインターネット情報部門を通じて申請する。

4.当局によるセキュリティー評価の申請手続き

「弁法」第6条によれば、セキュリティー評価申請の場合には、以下の材料を提出しなければならない。①申請書。②データ越境リスクの自己評価報告、③データ処理者が域外受領者と締結した契約或いはその他の法律効力を有する文書等。セキュリティー評価に必要なその他の材料

又、セキュリティ評価にかかる期間について、「弁法」第12条によれば、CACが書面による受理通知書をデータ処理者に発行した日から45営業日以内にデータ越境キュリティー評価を完成させるものとし、状況が複雑又は補充?校正材料が必要な場合は、延長することができるとされている。また、キュリティー評価結果は、書面による形式でデータ処理者に通知することとされている。

なお、「弁法」第13条によれば、データ処理者は、評価結果に対して異議がある場合、評価結果を受け取った日から15営業日以内にCACに対して再評価を申請することができ、再評価の結果は最終結論とするとされている。

5.当局によるセキュリティ評価のチェック項目

「弁法」第8条によれば、CACは、データ越境活動が国家安全、公共利益、個人あるいは組織の合法的な権益にリスクをもたらす可能性があるかどうかに焦点をあて、主として以下の事項を中心にセキュリティー評価を行う。

①データ越境の目的、範囲、方式等の合法性、正当性、必要性

②域外受領者が所在する国家又は地区のデータセキュリティー保護政策法規及びインターネットセキュリティー環境が越境データのセキュリティーに対する影響及び域外の受領者のデータ保護レベルが中国の法律、行政法規や強行的な国家標準の要求に達しているかどうか

③越境データの規模、範囲、種類、センシティブの程度、越境中及び越境後の改ざん、破壊、漏洩、紛失、移転又は違法に取得され違法に利用されるなどのリスク

④データセキュリティー及び個人情報権益が十分有効に保障されているかどうか

⑤データ処理者及び越境受領者が締結しようとしている契約において、データセキュリティー保護責任義務について十分な約定があるかどうか

⑥中国の法律、行政法規、部門規則の情況を遵守しているかどうか

⑦CACが評価に必要と認めるその他の事項

6.データ越境セキュリティー評価結果の有効期間

「弁法」第14条によれば、データ越境セキュリティー評価結果の有効期間は評価結果の発行日から起算し、2年とされ、有効期間内に以下のいずれかの状況が発生した場合、データ処理者は改めて評価を申請しなければならない。

①域外にデータを提供する目的、方式、範囲、種類及び域外受領者のデータ処理の用途、方式に変化が生じデータのセキュリティーに影響を与え、又は個人情報や重要データを域外で保存する期限が延長された場合

②域外受領者の所在する国家や地区のデータセキュリティー保護における法令政策及びインタネットセキュリティー環境に変化が発生し又はその他不可抗力が発生した場合、又はデータ処理者又は域外受領者の実際の支配権に変更が生じ、データ処理者が域外受領者との法的文書に変更等が生じ越境データのセキュリティーに影響を及ぼす可能性がある場合

③越境データのセキュリティーに影響を与えうるその他の状況

なお、有効期限が満了し、継続して元のデータ越境活動を行う必要がある場合、データ処理者は60営業日が満了前に改めて評価を申請しなければならない。

7. 域外受領者との間に締結される契約等法的文書

「弁法」第9条によれば、データ処理者が域外受領者と締結する法的文書には、データセキュリティー保護責任義務を十分に約定しているものであり、最低限以下の内容を含むものとされている。

①データ越境の目的、範囲、方式等、受領者のデータ処理の用途、方式等

②データの域外の保存場所、期限及び保存期限や合意目的が完成又は法的文書終了後に越境データの処理方法

③域外の受領者がその他組織、個人に再移転することを制限する合意条項

④域外受領者が実際の支配権又は経営範囲に実質的な変更が生じ、または所在する国家や地区のデータセキュリティー保護における法令政策及びインタネットセキュリティー環境に変化が発生し又はその他不可抗力が発生してデータセキュリティーを保障することが難しくなった場合、採るべき安全措置

⑤データセキュリティー保護義務に違反した場合の救済措置、違約責任及び争議解決条項

⑥越境データ改ざん、破壊、漏洩、紛失、移転又は違法に取得され違法に利用されるなどのリスクがある場合、応急処置を行う要求、個人による個人情報権益保護に障害のないルート及び方法を保障すること