中国データ域外移転セキュリティ評価規則(数据出境安全评估办法)2022/09/01施行
中国サイバースペース管理局が2022/07/07、以前このブログでパブコメ稿をとり上げた「数据出境安全评估办法(データ域外移転セキュリティ評価規則)」を2022/09/01から施行すると発表した。
データ域外移転セキュリティ評価規則のパブコメ開始 - ぬるきゅー(ぬるめのセキュリティ日記)
なお、この規則の日本語訳はGoogleで検索すると複数あってまぎらわしい。 「データ域外移転安全評価弁法」 「データ域外移転安全評価規則」 「データ越境安全評価規則」 「データ出国安全評価弁法」 「データ域外移転安全評価弁法」
「出境」についてはこのブログでも日本語訳が安定していなかったので、この際「域外移転」に統一し、この規則は一応「データ域外移転セキュリティ評価規則」と訳しておく。
2022/07/07に公表された同規則の正式な条文はこちら。
サイバースペース管理局が同時に公開した、同規則についての記者との一問一答はこちら。
一問一答の方が分かりやすいので、以下試訳する。
例によって、筆者は法律の専門家ではないのでこの試訳をゆめゆめ実務に利用されぬようお願いいたします。
記者質疑の試訳
規則にいう「データ域外移転活動」とは何を指すのか?
一、データ処理者が国内での運営中に収集、産出したデータを域外に伝送、保存すること。
二、データ処理者が収集、産出して国内に保存しているデータを、域外の機構、組織あるいは個人がアクセスあるいは移動すること。
データ域外移転セキュリティ評価が必要な場合は?
一、データ処理者が域外に重要データを提供する場合。
二、重要インフラ施設運営者と100万人以上の個人情報を処理するデータ処理者が域外に個人情報を提供する場合。
三、毎年1月1日から累計10万人の個人情報、あるいは、1万人の機微な個人情報を域外に提供する個人情報処理者が域外に個人情報を提供する場合。
四、国家通信情報部門が規定するその他データ域外移転セキュリティ評価の申請が必要な場合。
データ域外移転セキュリティ評価の主な内容は?
一、データ域外移転の目的、範囲、方法などの合法性、正当性、必要性。
二、域外受領者の所在国家あるいは地区のデータセキュリティ保護政策法規とサイバーセキュリティ環境が、域外移転データのセキュリティにおよぼす影響。
受領者のデータ保護レベルが中華人民共和国の法律、行政法規の規定と強制性のある国家標準の要求のレベルに達しているか否か。
三、域外移転データの規模、範囲、種類、機微の程度、域外移転中と域外移転後に遭う改ざん、破壊、漏えい、紛失、転送あるいは不法な取得、不法な利用などのリスク。
四、データセキュリティと個人情報権益が十分有効な保障を得られるかどうか。
五、データ処理者と域外受領者が締結した法的に有効な文書の中でデータセキュリティ保護責任義務が十分規定されているか。
六、中国の法律、行政法規、部門規定の順守状況。
七、国家通信情報部門が評価が必要と認めるその他の事項。
域外移転セキュリティ評価活動の具体的なプロセスは?
一、事前評価:データ処理者はデータを域外提供する前に、まずデータ域外移転リスク自己評価を実施。
二、評価申請:データ域外移転セキュリティ評価状況を申請すべき状況に符合する場合、データ処理者はその所在地の省級の通信情報部門にデータ域外移転セキュリティ評価を申請。
三、評価の実施:国家通信情報部門は申請資料の受領後7営業日以内に評価を受理するか否かを決定。受理通知書の発行後45営業日内にデータ域外移転セキュリティ評価を完了。状況が複雑な場合、あるいは、必要に応じ、資料を補足、更新し、適切な延長ならびにデータ処理者に延長予定期間を告知する。
(訳注:自己評価と、国家通信情報部門による評価の二つがあることに注意)
四、再評価と移転停止:評価結果の有効期間が満了、あるいは有効期間内に本規則内に定める再評価すべき状況が発生した場合、データ処理者は再評価を申請しなければならない。
すでに評価を通過したデータ域外移転活動の実際の処理過程がセキュリティ管理要求に符合しなくなった場合、国家通信情報部門の通知書を受領後、データ処理者はデータ域外移転活動を停止しなければならない。
データ処理者が継続してデータ域外移転活動が必要な場合、要求に基づき改善しなければならず、改善完了後に評価の再申請を行うこと。
評価の過程でデータ処理者の商業機密など合法的な権益はどのように保障されるか?
セキュリティ評価に参与する関連機関の人員は職務中に知り得た国家秘密、個人のプライバシー、個人情報、商業機密、機密業務情報などのデータは法に基づいて保護しなければならず、漏えい、あるいは、不法に他者に提供、不法に使用してはならない。
他に規定されていることは?
上述の評価内容、具体的なプロセス、機密保持要求などの管理措置以外に、本規則は国家通信情報部門が以下の決定を明確にしている。セキュリティ評価を受理するか否か、ならびに、申請の状況に基づいて国務院の関連部門、省級の通信情報部門、専門機関などを組織してセキュリティ評価を実施するか否かの決定。
省級の通信情報部門は評価の申請資料の受領、ならびに検査の完全性を完成する。
いかなる組織、個人もデータ処理者が本規則に違反してデータを域外提供したのを発見した場合、省級以上の通信情報部門に通報することができる。
データ処理者はいつ評価の申請をするのか?
データ域外移転活動が発生する前に申請し、かつ評価を通過しなければならない。
実務上は、データ処理者が域外受領者とデータ域外移転に関する契約あるいはその他法的効力をもつ文書(以下法律文書と総称)に署名する前に、データ域外移転セキュリティ評価を申請すること。
法律文書への署名の後に評価を申請した場合、法律文書内に当文書はデータ域外移転セキュリティ評価の通過後に発効することを明記し、評価未通過による損失が発生するのを避けること。
企業がデータ域外移転セキュリティ評価を申請した後の結果にはどのような種類があるか?
一、申請を受理しない:セキュリティ評価範囲に該当しない場合、データ処理者は国家通信情報部門からの不受理通知を受領した後、法律が規定するその他合法的な方法によりデータ域外移転活動を実施してよい。
二、セキュリティ評価の通過:データ処理者は評価通過通知を受領後、申請事項に厳格に従ってデータ域外移転活動を実施してよい。
三、セキュリティ評価未通過:評価未通過の場合、データ処理者は申請したデータ域外移転活動を実施してはならない。
評価結果に異議がある場合はどう処理すればよいか?
データ処理者が評価結果に異議がある場合は、評価結果受領後15営業日以内に国家通信情報部門に再評価を申請し、再評価の結果を最終結論とする。
データ越境移転セキュリティ評価通過の結果が有効な期間はどれくらいか?
評価結果が提示された日から2年間有効で、自己評価の結果が出た日から計算する。有効期間満了後、継続してデータ域外移転活動を実施する必要がある場合、データ処理者は有効期間満了の60営業日前に評価を再申請しなければならない。
規則に違反した場合、どのように法的責任が追及されるか?
データ処理者が本規則に違反した場合、『サイバーセキュリティ法』『データセキュリティ法』『個人情報保護法』等の法律法規の規定によって処分されることを明確にしている。犯罪を構成する場合は、法に基づいて刑事責任を追及される。
個人情報の域外提供について、セキュリティ評価と標準契約(SCC)、個人情報保護認証の間の関係はどうなるのか?
本規則の適用範囲はすでに明確で、セキュリティ評価が適用される個人情報処理者のデータ域外移転の状況についてセキュリティ評価を申請しなければならない。
本規則の適用範囲外の個人情報処理者のデータ域外移転の状況については、個人情報保護認証、あるいは、国家通信情報部門の制定する標準契約の締結により個人情報域外提供の条件を満たすことで、個人情報処理者は法に基づくデータ域外移転活動の実施が容易になる。
以上、試訳おわり。
適用範囲と「重要データ」の定義
最後の適用範囲のところが分かりづらいが、この「データ域外移転セキュリティ評価規則」が適用されるのは、「重要データ」を域外移転するデータ処理者か、重要インフラ施設運営者か、大量の個人情報を域外移転するデータ処理者に限られる。
それ以外、つまり「重要データ」を域外移転せず、かつ、重要インフラ施設運営者でもなく、かつ、少量の個人情報しか域外移転しないデータ処理者の場合は、この規則に基づくセキュリティ評価は不要で、先日試訳した中国版SCCの締結だけで個人情報の域外移転ができる。
もっと言えば、あなたの会社が重要インフラ施設運営者でなければ、「重要データ」でも個人情報でもないデータの域外移転を規制する法律はない、ということになる。まあそれはそうだろう。単なる業務情報の域外移転まで規制されると業務が成り立たないので。
「重要データ」のもっとも詳細な定義は、2022/01/13~03/13にパブコメ募集されていた国家標準「情報セキュリティ技術 重要データ識別ガイドライン」に書かれている。
この記事を書いている時点でパブコメ期間が終了して4か月になるが、正式版はまだリリースされていないようだ。
「重要データ」なる概念について『サイバーセキュリティ法』の施行後、各種法律、規則でどのように定義されてきたのかの経緯は、こちらのページによくまとまっている。
*)2022/07/15 通信情報部門への評価「報告」を、本規則のパブコメをご紹介した当ブログ記事の記述に合わせて評価「申請」に変更した。
以上
