9月1日施行の中国「データ越境移転安全評価弁法」の解説
2022/08/22   情報セキュリティ, 個人情報保護法, 中国法

GBL研究所理事・CIPP/E　浅井敏雄^[1]

本稿のPDF

・本年7月7日, 中国の「データ越境移転安全評価弁法」(数据出境安全评估办法)(以下「本弁法」)が公布され本年9月1日から施行されます。本弁法は, 中国サイバーセキュリティ法(CSL), 中国データ安全法(DSL), 中国個人情報保護法(PIPL)等に基づき, 個人情報および重要データを含むデータ(数据)の越境移転(出境：中国本土外への提供)に関し, 中国政府による安全評価を要する場合と同評価の申請・審査等を定めたものです。例えば, 前年1月1日以降の累計で10万人分以上の個人情報(または1万人分の機微個人情報を越境移転)を中国本土外に越境移転した者は, 個人情報・重要データ等を越境移転するには, 9月1日以降, 中国政府による安全評価を申請し合格しなければなりません。

以前, 企業法務ナビでは, 本弁法の意見募集稿の段階でその概要を紹介しました(こちら)が, 本稿では, 正式に成立した本弁法の内容を解説します。

・なお, 以下において, (  )内の数字は条文番号, [  ]内の内容は筆者による補足・追記です。

【目　　次】 (各箇所をクリックすると該当箇所にジャンプします) I. 現行法上のデータ越境移転規制 II. 法目的・適用範囲 III. 安全評価が要求される場合 IV. 自己評価の事前実施 V. 安全評価の申請手続 VI. 省級CACによる形式審査と国家CACによる受理 VII. CACによるデータ越境移転安全評価 VIII. 境外受領者との契約等締結義務 IX. CACによる安全評価の手続 X. 安全評価合格の有効期間・評価の再申請 XI. 関係機関の守秘義務 XII. 違反通報制度 XIII. 越境移転の停止命令・安全評価の再申請 XIV. 違反に対する制裁 XV. 過去の越境移転の是正 XVI. データ越境移転安全評価のプロセスのまとめ

 

I.  現行法上のデータ越境移転規制

・個人情報および重要データを含むデータの越境移転については, サイバーセキュリティ法(CSL), データセキュリティ法(DSL)および個人情報保護法(PIPL), 「自動車データ安全管理若干規定(試行)」^[2](以下「自動車規定」)等により規制されており, その全体を整理すると下表のようになります。

なお,下表においては,

・PIPL 40条により安全評価合格を要する「処理する個人情報が国家ネットワーク情報部門[CAC]が定める数量に達した個人情報処理者」を「大量個人情報処理者」としています。

・重要情報インフラ運営者, 大量個人情報処理者, 自動車データ処理者いずれにも該当しない者を「一般事業者」としています。

・個人情報の越境移転は, 中国政府による安全評価合格/個人情報保護認証取得/標準契約締結のいずれかによる必要がありますが, いずれの場合も, 事前に個人情報主体(本人)の個別同意と個人情報保護影響評価[自己評価]が必要です(PIPL 39, 55)。

	個人情報	重要データ	左記以外のデータ
重要情報インフラ運営者	原則中国境内で保存。越境移転は安全評価合格要(CSL 37, DSL 31, PIPL 40).		特別の制限はない (但し, 国家機密保護法, 輸出管理法等の他法による規制はあり得る)
大量個人情報処理者	原則中国境内で保存。越境移転は安全評価合格要(PIPL 40)。	CACが国務院関連部門と別途共同制定する行政規則遵守要(DSL 31)。
一般事業者	越境移転は以下のいずれかが必要。 - 個人情報保護認証取得/標準契約書締結/その他法令等で定める越境移転の条件(PIPL 38(1))。
自動車データ安全管理若干規定上の「自動車データ処理者」	以下のデータ・個人情報を「重要データ」として原則境内保存要。越境移転は安全評価合格要(規定11(1)前段)： - 軍事管理区域等の地理的情報・交通・通行量／交通量・物流データ／充電ネットワーク運用データ／顔データ／ナンバープレートデータ／10万人超の個人(自動車の所有者, 運転者, 同乗者, 通行人等)の個人情報, 等。		越境移転の安全管理には, 法律・行政法規の関連規定適用(規定11(1)後段)

(注) 表中の『自動車データ安全管理規定上の「自動車データ処理者」』とは, 「自動車データ」(自動車の設計・製造・販売・利用・運行・保守の過程において収集・利用される, 個人情報を含むデータおよび重要データ)を処理する自動車メーカー, 部品・ソフトウェア供給者, 販売業者, 保守修理業者, 配車サービス企業等を意味する(自動車規定3)。

・上記の内,

(a)個人情報保護認証については, 「サイバーセキュリティ標準実務ガイドライン-個人情報越境処理セキュリティ認証規範」(网络安全标准实践指南—个人信息跨境处理活动安全认证规范)(v1.0-202206)(以下「認証規範」)が本年6月に策定・公表されています。

(b)個人情報の越境移転に関する標準契約については, 本年6月30日に「個人情報越境移転標準契約規定(意見募集稿)」(个人信息出境标准合同规定(征求意见稿))が公表されその別紙として個人情報越境移転標準契約のひな型が添付されています。

page top

 II. 法目的・適用範囲

・本弁法[中国[国家]サイバースペース管理局(国家互联网信息办公室)：Cyberspace Administration of China(CAC)の部門規則]は, CSL, DSL, PIPLその他の法律法規に基づき, データ(数据)の越境移転(出境)行為を規範化し, 個人情報に関する権利利益を保護し, 国家の安全[保障]および社会公共の利益を保護し, 国境を越えたデータの安全かつ自由な移動を促進するために制定される。(1)

・本弁法は, データ処理者(据处理者)が中国における業務上収集・生成した重要データまたは個人情報を境外に提供する場合における安全評価に適用される。法律または行政法規に別段の定めがある場合は, その定めに従う。(2)

【解　説】

— 「データ(数据)の越境移転(出境)」には, 中国境内(中国本土外)に保存されたデータを中国境外の機関・組織・個人がアクセスまたは利用する場合を含みます(2022年7月7日「《数据出境安全评估办法》答记者问」:CAC担当者と記者の質疑(以下「質疑」))。

— 「データ処理者(据处理者)」は, その定義はCSL/DSL/PIPL三法にも本弁法にもありません。脚注[3]の通り, GDPR上の管理者に相当する者に限られると解する余地もありますが, 処理者(処理の委託を受けた者)に相当する者も含むと解すべきと思われます。

—　上記より, 重要データにも個人情報にも該当しない一般のデータの越境移転には本弁法上の安全評価は要求されないことになります。

page top

III. 安全評価が要求される場合

・データ処理者は, データを[中国]境外に提供する場合であって以下のいずれかのときは, その所在地の省級ネットワーク情報部門(省級CAC)を通じ, 国家ネットワーク情報部門[CAC]にデータ越境移転安全評価を申請しなければならない。(4)

(1)データ処理者が重要データを中国境外に提供する場合;

(2)重要情報インフラ運営者または100万分人以上の個人情報を処理するデータ処理者が中国境外に個人情報を提供する場合;

(3)前年1月1日以降の累計で10万人分以上の個人情報または1万人分以上の機微個人情報を境外に提供したデータ処理者が個人情報を境外に提供する場合;

(4)その他, 国家ネットワーク情報部門が定めるデータ越境移転安全評価申請を必要とする場合。

【解　説】

—　上記より安全評価申請を義務付けられる場合には, 個人情報保護認証取得/標準契約書締結等, 他の方法により個人データまたは重要データの越境移転をすることはできないことになります。

—　上記(1)の「重要データ」(重要数据)とは, 本弁法において, その改ざん・破壊・漏えい・不正取得・不正利用等により, 国家の安全, 経済運営, 社会の安定, 公衆衛生・安全に危害を及ぼすおそれのあるデータを意味する(19)と定義されています。DSL(21)上, 国家データセキュリティ調整機構が, 重要データの目録を作成・制定するとされています。しかし, 現時点で重要データの目録は制定されていません。重要データの越境移転については数量基準がないので, 1件でも事前の安全評価合格が必要なことになります。また, 上記(1)は主語(主体)が単に「データ処理者」なので, CSL 37条[4]で重要データの越境移転について安全評価合格が要求されている「重要情報インフラ運営者」に限らず, 「一般事業者」に該当する者も含む全ての者が重要データを越境移転する場合は安全評価申請・合格が必要ということになります。

—　上記(2)の「重要情報インフラ運営者」については, 2021年9月1日施行の「重要情報インフラ安全保護条例」(关键信息基础设施安全保护条例)に従い, 関係産業・分野の主管部門・監督管理部門(「保護業務部門」)が認定ルールを定め, これによる認定結果を運営者に通知することになっています(条例8-11)。上記(2)の「個人情報」は, Cookieデータを含み得る概念です^[5]。

—　上記(3)については, 本弁法の案にはなかった「前年1月1日以降の累計」であることが明確化されました。「機微個人情報」には生体識別／宗教・信仰／特定身分／医療・健康／金融口座／位置追跡・居場所(行踪轨迹)等の情報, および, 14歳未満の未成年者の個人情報が含まれます^[6]。

—　上記(3)の「累計で10万人分以上(1万人分以上)」の計算においては, 前記の通り, 「データ(数据)の越境移転(出境)」には中国境内に保存されたデータを中国境外の機関・組織・個人がアクセスまたは利用する場合が含まれるので, この境外からのアクセス・利用分をカウントしなければなりません。

—　上記(3)より, 前年1月1日以降最大当年12月31日までの期間に越境移転された個人情報が累計で10万人分(機微個人情報については1万人分)の基準値に達した場合, 以後の越境移転は, 事前に安全評価に合格しない限り, 行うことができません。

—　上記より, 重要情報インフラ運営者に該当する者の他, 例えば, ①中国境内に100万人以上のユーザがありその個人情報を保有する企業, ②前年1月1日以降累計で中国境内の従業員・ユーザ合わせて10万人以上分の個人情報を中国境外(例：日本の親会社)に提供した企業, ③前年1月1日以降累計で中国境内の従業員・ユーザ合わせて1万人以上分の機微個人情報(健康情報・口座情報・位置データ等)を中国境外に提供した企業等は, 安全評価に合格しなければ個人情報の越境移転を行うことはできないこととなります。

— 従って, 個人情報またはデータを中国境外に提供しようとする場合, 予め, その中に重要データが含まれている可能性, 自社が重要情報インフラ事業者に該当する可能性, 自社保有個人情報の数量および過去の個人情報・機微個人情報の越境移転の数量(その計算方法は必ずしも明確でないが)が上記基準値以上または未満なのかを把握しておく必要があります。

— 上記(4)は, 必ずしも法律または行政規則による定めを要求していません。従って, 法律または行政規則に定める場合以外でもCACは安全評価が申請な場合を随時指定できるものと解されます。

—　上記Iで触れたPIPL 40条により安全評価合格を要する「処理する個人情報が国家ネットワーク情報部門[CAC]が定める数量に達した個人情報処理者」(=本稿での「大量個人情報処理者」)は, PIPL 52条1項でも「処理する個人情報が国家ネットワーク情報部門[CAC]が定める数量に達した個人情報処理者は, 個人情報の処理および講じられた保護措置の監督に責任を負う個人情報保護責任者を任命しなければならない」として全く同じ表現で登場します。従って, 「処理する個人情報が国家ネットワーク情報部門[CAC]が定める数量に達した個人情報処理者」(=上表の「大量個人情報処理者」)＝本弁法上安全評価を申請すべき者だとすれば, 本弁法上安全評価を申請すべき者は, 前提として個人情報保護責任者を任命していなければならないという解釈が成り立ち得るように思われ, また, 同責任者の有無は安全評価上考慮されるでしょうから, 実際にも個人情報保護責任者を任命しかつ次のIVの自己評価はその者を責任者として実施しておいた方が賢明と思われます。

page top

IV. 自己評価の事前実施

・データ処理者は, データ越境移転安全評価を申請する場合, 事前に, 以下の事項を重点として, データ越境移転リスクに関し自己評価を行わなければならない。(5)

(1)データ越境移転および境外受領者(境外接收方)によるデータ処理の目的・範囲・方法の適法性・正当性および必要性。

(2)越境移転されるデータの規模, 範囲, 種類および機微度(敏感程度), 並びに, データ越境移転が国家安全[保障], 公共の利益または個人・組織の正当な権利利益に及ぼすおそれのあるリスク。

(3)境外受領者が負う責任・義務および当該責任・義務を履行するための管理的・技術的措置・能力が, 越境移転データに係る安全を保障できるものであるか否か。

(4)データの越境移転中または越境移転後の当該データの改ざん・破壊・漏えい・紛失・提供・不正取得・不正利用のリスク, 並びに, 個人情報に関する権利利益の保護手段(渠道：方法・ルート)を容易に利用できるか否か。

(5)境外受領者との間のデータ越境移転契約その他法的拘束力ある文書(以下総称して「法的文書」という)においてデータ安全保護に関する責任・義務が十分に合意されているか否か。

(6)その他, データ越境移転の安全性に影響を及ぼす可能性のある事項。

【解　説】

—　次のV以下で分かるように, 本弁法上の安全評価制度は, (個人情報主体の個別同意取得)⇒①データ処理者による自己評価⇒②CACによる安全評価⇒③CAC安全評価に合格ならデータ越境移転可というものです。

— 個人情報の越境移転についてはPIPL(55)に事前に個人情報保護影響評価を行うべきことが規定されています。個人情報保護影響評価の評価項目(56(1))は上記のデータ越境移転リスクに関する自己評価の項目の(1)～(3)でカバーできるので, 本弁法に基づくデータ越境移転リスクに関する自己評価を, PIPL上の個人情報保護影響評価を兼ねるものとして行えば, 別途個人情報保護影響評価を行う必要はないと思われます。

— 上記の自己評価の項目を, 後記VIIのCACによるデータ越境移転安全評価の項目と比べると, 前者には後者の以下の項目が特掲されていませんが, 安全評価を受ける時点では以下の項目も評価されるので, 自己評価でも以下項目も評価項目に加えることが合理的と思われます(「以下の事項を重点として」であるから評価項目を加えることは問題ないはず)。

(2)境外受領者が所在する国・地域のデータ安全保護政策・法規およびサイバーセキュリティ環境が越境移転データの安全に与える影響。境外受領者のデータ保護水準が中国の法律・行政法規, 強制的国家標準の要件を満たしているか否か。

(4)データの安全および個人情報に関する権利利益を十分かつ有効に保障できるか否か。

(6)中国の法律, 行政法規, 部門規定の遵守

page top

V. 安全評価の申請手続

・データ越境移転安全評価申請に当たり, 以下の資料を提出しなければならない。(6)

(1)申請書;

(2)データ越境移転リスク自己評価報告書;

(3)データ処理者・境外受領者間で作成した法的文書[契約書等];

(4)その他安全評価に必要な資料。

【解　説】

・安全評価申請者が提出すべき資料は, 上記(1)～(3)だけでも, 申請企業および境外受領者の情報セキュリティ, 越境移転に係るビジネス・業務等の企業の秘密情報に及ぶ可能性があり, 更に, 上記(4)により, CACはその裁量で他の情報も要求することができるので, 企業の内部情報の中国政府への強制提出およびその秘密保持が懸念されます(一応, 後記XIの通り関係機関の守秘義務規定はありますが)。

・上記規定だけでは安全評価申請をどのような単位で行うべきかは明らかではありません。(例)申請企業の実施しているまたは将来実施予定のデータ越境移転全部について一括申請できるのか, 境外受領者ごと(にリスクが異なり得るので)なのか, 単発でなく継続的な越境移転の扱いはどうなるのか等。

page top

VI. 省級CACによる形式審査と国家CACによる受理

・省級ネットワーク情報部門[省級CAC]は, 申請資料受領日から5業務日(工作日)以内に, 完備性(完备性)審査[提出書類が完備されているかの形式審査と思われる]を完了させなければならない。申請資料に不備がない場合には申請資料を国家ネットワーク情報部門に提出し, 申請資料に不備がある場合には申請資料をデータ処理者に返却し必要な追加資料を通知しなければならない。(7(1))

・国家ネットワーク情報部門[CAC]は, 当該申請資料受領日から7業務日以内に, これを受理するか否かを決定しデータ処理者に書面で通知しなければならない(7(2))。

【解　説】

—　「質疑」によれば, 不受理通知を受けた場合でも他の法定の合法的手段[個人情報保護認証/標準契約]によりデータ越境移転を行うことは可能です。従って, CACによる「不受理」は, 当該申請案件が安全評価の対象外であると認定されたことを, 「受理」は同対象であると認定され安全評価が開始されることを意味するものと思われます。

page top

VII. CACによるデータ越境移転安全評価

・[CACによる]データ越境移転安全評価は, 当該データ越境移転が国家安全[保障], 公共の利益または個人・組織の正当な権利利益に及ぼすおそれあるリスクの評価に重点を置き, 主に次の事項を含む。(8)

(1)データ越境移転の目的, 範囲および方法の適法性, 正当性および必要性

(2)境外受領者が所在する国・地域のデータ安全保護政策・法規およびサイバーセキュリティ環境が越境移転データの安全に与える影響。境外受領者のデータ保護水準が中国の法律・行政法規, 強制的国家標準の要件を満たしているか否か。

(3)越境移転データの規模, 範囲, 種類および機微度, 並びに越境移転中および越境移転後の越境移転データへの改ざん・破壊・, 漏えい・紛失・提供・不正取得・不正利用のリスク。

(4)データの安全および個人情報に関する権利利益を十分かつ有効に保障できるか否か。

(5)データ処理者と境外受領者間の法的文書においてデータ安全保護に関する責任・義務について十分に合意されているか否か。

(6)中国の法律, 行政法規, 部門規定の遵守

(7)その他, 国家ネットワーク情報部門[CAC]が評価に必要と判断した事項。

【解　説】

— 安全評価の重点として国家安全[保障]に及ぼすおそれあるリスクの評価等も挙げられていることから, 安全評価の合格・不合格は, その時々における国際関係(例：米中・日中間の緊張関係), 評価申請企業の所属企業グループまたは境外受領者の親中度または反中度, 重要データについては中国にとっての重要度等を考慮して中国政府(CAC)の裁量で左右される可能性があるものと思われます。

—　上記にはありませんがCSL(37)/PIPL(38(1))上, 安全評価の前提としてその「越境移転が業務上の必要性により真に・確かに必要がある」ことが前提とされていますので, これが大前提として審査されるものと思われます。

— また, 前記Iの通り, 安全評価を受ける場合も, 事前に個人情報主体(本人)の個別同意取得が必要なので(PIPL 39), 安全評価上, これも当然確認されるものと思われます。

—　データ処理者は, 安全評価合格のため, 自己評価の際に安全評価の評価項目を含め評価しておくのが賢明であり, その全項目に関し, 当局(CAC)を十分説得し得る説明・材料を用意しておく必要があります。

page top

VIII. 境外受領者との契約等締結義務

データ処理者は, 境外受領者と締結する法的文書[契約書・承諾書等]に以下の内容(但しこれに限らない)を含め, データ安全保護に関する責任・義務について明確に合意しなければならない(9)。

(1)データ越境移転の目的, 方法および範囲, 並びに, 境外受領者によるデータ処理の目的および方法;

(2)境外でデータが保存される場所・期間, 当該保存期間満了後, 合意した目的達成後または法的文書終了後における越境移転データの処理の取扱い;

(3)越境移転されたデータの境外受領者による他の組織・個人への再提供に関する拘束力ある条件;

(4)境外受領者の実質的支配者または業務[経営]範囲に実質的変更が生じた場合または境外受領者の所在する国・地域のデータ安全保護政策・法規またはサイバーセキュリティ環境の変更, その他不可抗力事由によりデータの安全確保が困難となった場合に, 当該受領者が講ずべき安全措置;

(5)法的文書で合意されたデータ安全保護義務違反に対する是正措置, 契約違反に対する責任および紛争解決;

(6)越境移転データの改ざん・破壊・漏えい・紛失・移転・不正取得・不正利用等のリスクに対し講ずべき適切な緊急対応の条件, および, 個人情報の保護に関する個人の権利利益保護のための方法・手段。

【解　説】

—　このデータ処理者・境外受領者間の法的文書については, 個人情報の越境移転に関しては個人情報越境移転標準契約のひな型を同文書として使用しまたは同文書作成上参考とすることが可能と思われます。重要データの越境移転についても同ひな型を参考にできると思われますが, 内容としては境外受領者による重要データの処理に対する制限がより厳格でなければならないものと思われます。

— 上記要件を満たす契約は上記(V)の通り安全評価の申請の際添付しなければならないので, 中国語で作成するか, または少なくとも中国語の訳文提出が要求されると思われます。

— 「質疑」によれば, データ処理者は, 法的文書署名後に評価申請する場合には, 同文書に, 安全評価合格後に同文書が発効する旨規定することが推奨されるとされています。また, この場合, 安全評価の過程でCACから同文書の内容不備の指摘があり得ると思われので, 当該指摘に従い同文書の内容を変更できる旨規定しておくことが賢明と思われます。

page top

IX. CACによる安全評価の手続

・国家ネットワーク情報部門[CAC]は, 申請受理後, 国務院関連部門[公安部・国家安全部を含むと思われる], 省級ネットワーク情報部門[省級CAC]および専門機関を取りまとめ(组织)し, 申請に基づき安全評価を実施する。(10)

・国家ネットワーク情報部門は, 安全評価の過程において, データ処理者が提出した申請資料が条件に適合していないことが判明した場合, 当該データ処理者に補足または訂正を要求することができる。データ処理者が正当な理由なく当該補足・訂正を行わない場合, 国家ネットワーク情報部門は安全評価を中止することができる。(11(1))

・データ処理者は, 提出資料の真実性について責任を負うものとし, 故意に虚偽の資料を提出した場合, 審査不合格とし, 法律法規に基づきその法的責任を追及する。(11(2))

・国家ネットワーク情報部門[CAC]は, データ処理者に受理通知書を発行した日から45業務日以内に, データ越境移転安全評価を完了しなければならない。越境移転の事情が複雑な場合または資料の追加・修正を必要とする場合には当該期間を適宜延長することができ, 延長する場合にはデータ処理者に延長予定期間を通知する。(12(1))

・データ処理者は, 評価結果を文書で通知される。(12(2))

・データ処理者が評価結果に不服がある場合, 評価結果受領後15業務日以内に国家ネットワーク情報部門に再審査を申請することができるが, その再審査結果を最終とする[不服申立不可]。(13)

【解　説】

—　延長期間については本弁法の案の段階であった「通常60営業日を超えない範囲とする」の部分が削除されました。従って, 事案によっては審査評価期間が長期に及ぶ可能性があると思われます。特に, 本弁法施行(2022年9月1日)当初は多数の申請がCACに集中し評価待ちの案件が大量滞留することも予想されます。

— 安全評価に合格せず再審査でも合格しない場合, 該当のデータを中国境内で保存・処理する方策を検討しなければなりません。または, 越境移転の内容等を変更(例：対象データの量削減, 種類限定等)すれば, 異なる越境移転として再申請することは可能かもしれません。

page top

 X. 安全評価合格の有効期間・評価の再申請

・データ越境移転安全評価[合格]の結果は評価結果通知日から2年間有効とする。(14(1))

・データ処理者は, 当該有効期間中に以下のいずれかの事由が生じた場合には評価を再申請しなければならない。(14(2))

(1)越境移転データの提供の目的, 方法, 範囲または種類, 境外受領者のデータ処理の目的または方法の変更が, 越境移転データの安全性に影響を与える場合, または, 個人情報もしくは重要データを境外で保存する期間を延長する場合。

(2)境外受領者が所在する国・地域におけるデータ安全保護政策・法規およびサイバーセキュリティ環境の変更, その他不可抗力的事由, データ処理者または境外受領者の実質的支配者の変更またはデータ処理者と境外受領者との法的文書の変更等が, 越境移転データの安全に影響を与える場合。

(3)その他, 越境移転データの安全に影響を与える事由が生じた場合。

・データ処理者は, 当該有効期間満了後にデータ越境移転を継続する必要がある場合, 当該有効期間満了の60業務日前までに評価を再申請しなければならない。

【解　説】

—　有効期間中に評価を再申請しなければならない事由には, 上記(2)等, 判断が困難なものがあるので, 弁護士等の助言が必要になる可能性があると思われます。

—　当該有効期間満了後の再申請については, 十分余裕をもって自己評価等必要な準備を行う必要があります。

page top

XI.  関係機関の守秘義務

・関係機関および安全評価業務に従事する者は, 職務遂行上知り得た国家機密, 個人のプライバシー, 個人情報, 営業秘密および業務上の秘密情報等のデータを法律に従い守秘し, これを, 他に開示・違法提供・違法使用してはならない。(15)

【解　説】

—　上記規定にかかわらず, 中国国家情報法(中华人民共和国国家情报法)(国家諜報活動の基本法)(11他)等に基づき, 国家安全部等の国家機関は, 安全評価に関し知り得た情報を合法的に利用可能と思われます。

page top

XII. 違反通報制度

・データ処理者が本弁法に違反してデータを境外に提供したことを発見した組織・個人は, 省級以上のネットワーク情報部門に通報することができる。(16)

page top

XIII. 越境移転の停止命令・安全評価の再申請

・国家ネットワーク情報部門は, 審査に合格したデータ越境移転が, 実際の処理過程でデータ越境移転安全管理の条件を満たさなくなったと判断した場合, データ処理者に書面で通知し, 当該データ越境移転を停止させなければならない。

[この場合, ]データ処理者は, データ越境移転継続の必要がある場合, 要求に従い当該状況を是正し, 是正完了後に評価を再申請しなければならない。(17)

【解　説】

—　上記より, 一旦安全評価に合格したとしても, 国際的な緊張状態の悪化その他の事情により越境移転の停止が命じられる可能性はあると思われます。

page top

XIV. 違反に対する制裁

・本弁法の違反については, 中国サイバーセキュリティ法, 中国データ安全法, 中国個人情報保護法その他の法律法規に基づき処理し, 犯罪に該当する場合, 法律に従い刑事責任を追及する。(18)

page top

XV. 過去の越境移転の是正

・本弁法施行(2022年9月1日)前に行われたデータ越境移転であって, 本弁法に適合しないものは, 本弁法施行日から6ヶ月以内に是正を完了しなければならない。

【解　説】

— これは, 本弁法の案にはなく追加されたものです。しかし, 過去の越境移転を是正[整改]するとは, 如何なる意味なのか不明です。おそらく, 過去に越境移転されたデータについても, 本弁法施行後6ヶ月以内に, 自己評価・契約締結等をして安全評価を受け合格しなければならないという意味と思われますが, そのデータを中国境内に回収しなければならないという解釈の余地もあり得るように思われます。また, 過去に越境移転されたデータについて安全評価を申請した場合, 過去の越境移転がCSL/DSL/PIPL違反として責任追及されることはないのか, それとも上記規定は, 是正を行えばその責任を免責するという意味を含むのかも明らかではありません。

page top

XVI. データ越境移転安全評価のプロセスのまとめ

以上をまとめると, 以下のようなプロセスになると思われます。

①データ処理者による個人情報主体からの個別同意取得(PIPL 39[7])

②データ処理者による自己評価(5)。

③データ処理者からCACに安全評価申請(自己評価書, 境外受領者との契約書等の資料添付)(6)。提出資料が不完全・要件不備の場合適時補足・是正要／これをしない場合安全審査中止(11)。

④CACによる, 上記自己評価を受理するか否かの決定およびデータ処理者への結果通知書発行(申請資料受領日から7営業日以内)(7)。

⑤CACによる安全評価(国家安全への影響, 境外受領者との契約内容等重点審査)(8)

⑥CACによる安全評価完了(上記④の受理通知書発行日から原則45業務日以内：但し延長可能性あり)／安全評価結果通知書発行(12)。

⑦安全評価結果通知書発行から2年間(同結果の有効期間)中に越境移転データの安全に影響を与える事由が生じた場合：データ処理者よりCACに再度評価申請。有効期間満了後に提供継続する場合もその満了60営業日前までに再度評価申請。(14)

以　上

page top

【注】

 

[1] 【本稿の筆者】 一般社団法人GBL研究所理事／IAPP CIPP/E (Certified Information Privacy Professional/Europe)／UniLaw企業法務研究所代表 浅井敏雄(Facebook)

[2] 【「自動車データ安全管理若干規定(試行)」】 原文「汽车数据安全管理若干规定(试行)」. (参考) (1) King & Wood Mallesons - Mark Schaub, Atticus Zhao and Fu Guangrui (Mark) "China Issues New Rules on Data Security in Auto Industry" September 2 2021, Lexology. (2) Jenny Sheng, Chunbin Xu, Esther Tao "China Publishes Regulation on Management of Automobile Data Security" September 2, 2021, JD Supra.

[3] 【本弁法上の「データ処理者」の意味】2021年11月14日にCACが公表した「ネットワークデータ安全管理条例(意見募集稿)」(网络数据安全管理条例(征求意见稿))(73(5))では, 「データ処理者」(数据处理者)とは, データ処理において, 処理の目的および方法を自ら決定する個人または組織をいう。」とされている。本弁法上の「データ処理者」も同じ意味だとすれば, GDPR上の管理者に相当する者に限定される。しかし, GDPR第45条以下の個人データの域外移転規制は, 管理者だけでなく処理者も対象である。また, 本弁法で要求される安全評価を受けるべき者を管理者に限定する合理的理由もない。従って, 本弁法においては管理者だけでなく処理者に相当する者も含まれると解すべきものと思われる。

[4] 【CSL 37後段】「重要情報インフラ運営者は, 中国境内での業務において収集または生成した個人情報または重要データを業務上の必要性により中国境外に移転することが真に必要な場合, 国家ネットワーク情報部門[CAC]が国務院の関係部門と共同で制定する「弁法」(行政法規)に従い安全評価を行わなければならない(但し法律または行政法規に別段の定めがある場合はそれに従う)。」

[5] 【「個人情報」】(PIPL 4(1)) 「個人情報」(个人信息)とは, 電子的またはその他の方法で記録される, 識別されたまたは識別可能な個人(自然人)に関する全ての種類の情報を意味し, 匿名化後の情報を含まない。(PIPL 73(4)) 「匿名化」とは, 個人情報を, 特定の個人を識別できずかつ復元できないよう処理するプロセスをいう。—この「個人情報」は, Cookieデータを含み得る概念である。

[6] 【「機微個人情報」】(PIPL 28(1)) 「機微個人情報」(敏感个人信息)とは, それが漏洩しまたは違法に利用された場合, 本人の人格的尊厳を侵害しまたはその人身・財産の安全を害するおそれのある個人情報であって, 生体識別／宗教・信仰／特定身分／医療・健康／金融口座／位置追跡・居場所(行踪轨迹)等の情報, および, 14歳未満の未成年者の個人情報を含む。

[7] 【PIPL 39】 個人情報処理者は, 個人情報を中国境外に提供する場合, 本人に対し, 以下の事項等を通知し, かつ, その個別(单独)の同意を得なければならない。(a)境外の提供先の名称・氏名・連絡先／(b)[提供先の]処理目的／(c)[提供先の]処理方法／(d)[提供する]個人情報の種類／(e)本人が本法に基づく権利を提供先に対し行使する方法・手続

page top