ぬるきゅー(ぬるめのセキュリティ日記)

気になったセキュリティ関連ニュースのぬるめのメモ

データ輸出セキュリティ評価法のパブコメ開始

中国サイバースペース管理局が「データ輸出セキュリティ評価規則(数据出境安全评估办法)」のパブリックコメントを2021/10/28開始した。「サイバーセキュリティ法(网络安全法)」「データセキュリティ法(数据安全法)」「個人情報保護法」にもとづく新しい規則とのこと。

www.cac.gov.cn

個人情報、データの輸出セキュリティ評価については、同局がすでに以下の規則(办法)のパブコメ稿を出しており、事実上施行されているのでややこしい。

2017/04/11「個人情報と重要データ輸出セキュリティ評価規則(个人信息和重要数据出境安全评估办法)」(根拠法「国家安全法」「サイバーセキュリティ法」)

国家互联网信息办公室关于《个人信息和重要数据出境安全评估办法(征求意见稿)》公开征求意见的通知-中共中央网络安全和信息化委员会办公室

2019/06/13 「個人情報輸出セキュリティ評価規則(个人信息出境安全评估办法)」(根拠法「サイバーセキュリティ法」)

国家互联网信息办公室关于《个人信息出境安全评估办法(征求意见稿)》公开征求意见的通知-中共中央网络安全和信息化委员会办公室

まず今回の「データ輸出セキュリティ評価規則」を要約してみる。

例によって筆者は法律の専門家ではないので、この要約をゆめゆめ実務に利用されぬよう。

「データ輸出セキュリティ評価規則」要約

適用対象
  • データ処理者が国内で運営中に収集、生成した重要データと、法に基づいてセキュリティ評価をする必要のある個人情報を、国外に提供する場合
評価が必要になる場合
  • 重要情報インフラ施設運営者が収集、生成した個人情報と重要データ
  • 輸出データに含まれる重要データ
  • 個人情報処理件数が100万人分以上である個人情報処理者が輸出する場合
  • 国外に提供する個人情報の累計が10万人分以上、または個人のセンシティブ情報の累計が1万人分以上の場合
  • 国家通信情報部門が規定するその他の場合
輸出前の自己評価項目
  • データ輸出と受領者のデータ処理の目的、範囲、方式などの合法性、正当性、必要性
  • 輸出するデータの数量、範囲、種類、機微の程度、データ輸出が国家安全、公共の利益、個人または組織の合法的権益にもたらすリスク
  • データ処理者がデータ移転する際の管理、技術措置、能力などによってデータ漏えい、毀損などのリスクを防止できるか
  • 国外の受領者が責任義務を承諾し、責任義務を履行する管理・技術措置、能力などによって輸出データのセキュリティを保障できるか
  • データ輸出と再移転後の漏えい、毀損、改ざん、濫用などのリスク、個人が個人情報の権益を維持するための連絡経路が円滑か
  • 国外の受領者と締結したデータ輸出に関する契約がデータセキュリティ保護の責任義務を十分規定しているか
自己評価の当局への申請時に提出が必要な資料
  • 申請書
  • データ輸出リスク自己評価報告
  • データ処理者と国外受領者が締結した契約またはその他法的効力を有する文書など
  • セキュリティ評価作業に必要なその他資料
当局が申請を受けて改めて評価する項目
  • データ輸出の目的、範囲、方法などの合法性、正当性、必要性
  • 国外受領者が存在する国家・地区のデータセキュリティ保護政策法規とサイバーセキュリティ環境が、輸出データのセキュリティに影響するか。国外受領者のデータ保護レベルが中国の法律、行政法規の規定と国家標準の強制力のある要求に達しているか
  • 輸出するデータの数量、範囲、種類、機微の程度、輸出中と輸出後の漏えい、改ざん、紛失、破壊、移転または不法な取得、不法な利用などのリスク
  • データセキュリティと個人情報の権益が十分有効な保障を得られるか
  • データ処理者と国外受領者の締結した契約がデータセキュリティ保護責任義務を十分に規定しているか
  • 中国の法律、行政法規、部門規章の遵守
  • 国家通信情報部門が評価が必要と認めるその他事項
データ処理者と受領者の契約が最低限含むべき内容
  • データ輸出の目的、方法とデータの範囲、国外受領者のデータ処理の用途、方法など
  • データの国外保存場所、期限、保存期間の到達、契約目的の完成、契約終了後の、輸出データ処理措置
  • 国外受領者が輸出データをその他組織、個人へ再移転することを制限する条項
  • 受領者の実際の管理権または経営範囲に実質的変化があり、または所在する国家、地区の法環境に変化があり、データセキュリティの保障が困難になった場合に、とるべき安全措置
  • データセキュリティ保護義務に違反した場合の違約責任と拘束力をもち執行可能な争議解決条項
  • データ漏えいなどリスク発生時の、妥当な応急処置の実施、個人が個人情報の権益を維持するための円滑な連絡経路
処罰
  • 「サイバーセキュリティ法」「データセキュリティ法」「個人情報保護法」などの法律に基づく
その他
  • 当局は申請書受理後7稼働日以内に、受理するかどうかを書面で通知
  • 当局は申請書受理通知後、45稼働日以内、最長でも60稼働日以内にセキュリティ評価を完了
  • データ輸出評価結果は状況に変化がない限り2年間有効
  • いかなる組織、個人も本法に基づかないデータ輸出活動を発見した場合は当局に通報できる

以上が「データ輸出セキュリティ評価規則」の要約。

ついでに2017年「個人情報と重要データ輸出セキュリティ評価規則」、2019年「個人情報輸出セキュリティ評価規則」も要約してみる。

2017年規則は数量基準が今回2021年規則と明らかに異なるが、どこかで廃止されたのかどうかまで調べ切れていない。

2017年「個人情報と重要データ輸出セキュリティ評価法」

適用対象
  • ネットワーク運営者(インフラ事業者だけでなく一般企業も含む)
評価者
  • 定期評価:業界の主管組織または監督部門。輸出前評価:自己評価。
評価項目
  • 輸出の必要性
  • 個人情報:数量、範囲、類型、機微の程度、本人からの輸出同意有無
  • 重要データ:数量、範囲、類型、機微の程度
  • データ受領者の安全保護措置、能力、レベル、受領者の国家・地区のサイバーセキュリティ環境
  • データ輸出および再移転後の漏えい、毀損、改ざん、濫用などのリスク
  • データ輸出および輸出データの集約が国家安全、社会公共の利益、個人の合法的利益にもたらすリスク
  • その他評価の必要な重要事項
評価が必要な情報
  • 合計または累計50万人以上の個人情報
  • 1000GBを超えるデータ量
  • 核施設、化学生物、国防軍事工場、人口、健康などの領域のデータ、大型プロジェクト活動、海洋環境および機密地理情報データなど
  • 重要情報インフラ施設の脆弱性、セキュリティ保護などを含むサイバーセキュリティ情報
  • 重要情報インフラ施設運営者が国外に提供する個人情報と重要データ
  • その他国家安全、社会公共の利益に影響する可能性があり、業界の主管組織または監督部門が評価すべきと認めたもの
輸出禁止の場合
  • 個人情報を本人の同意を得ずに輸出する場合、個人の利益を侵害する可能性のある場合
  • データ輸出が国家の政治、経済、科学技術、国防などのセキュリティリスクとなる場合、国家安全に影響し、社会公共の利益を毀損する可能性がある場合
  • その他国家通信情報部門、公安部門、安全部門など関連部門が輸出してはならないと認めた場合
処罰
  • 関連する法律に基づいて処罰

2019年「個人情報輸出セキュリティ評価法」

適用対象
  • ネットワーク運営者(インフラ事業者だけでなく一般企業も含む)
評価者
  • 自己評価した上で所在地の省クラスの通信情報部門に報告。 (異なる提供先ごとに評価と報告が必要)
評価項目
  • 国家の関連する法規と政策規定に適合するか
  • 提供先との契約が個人情報主体の合法的権益を十分保障できるか
  • 契約が有効に執行されるか
  • ネットワーク運営者または受領者が個人情報主体の合法的権益を毀損した履歴がないか、重大なサイバーセキュリティ事故を起こしていないか
  • ネットワーク運営者が個人情報を合法、正当に取得したか
  • その他評価すべき内容
輸出禁止の場合
  • 個人情報を本人の同意を得ずに輸出する場合、個人の利益を侵害する可能性のある場合
  • データ輸出が国家の政治、経済、科学技術、国防などのセキュリティリスクとなる場合、国家安全に影響し、社会公共の利益を毀損する可能性がある場合
  • その他国家通信情報部門、公安部門、安全部門など関連部門が輸出してはならないと認めた場合
処罰
  • 関連する法律に基づいて処罰