華誠法律事務所 呉月琴チーム
2022年7月7日、国家インターネット情報部門は『データ越境安全弁法』(以下、「評価弁法」)を公布し、2022年9月1日から施行することを決定した。『評価弁法』は、データ越境安全評価の申告を必要とする主体の範囲と条件を明確にし、安全評価に関わる手順、関係分野、内容等を規定する。この度、企業に『評価弁法』をよりよく理解・実践していただくため、弊所よりコンプライアンス提案を以下の通りまとめましたので、ご参考にしてください。
Q1: 『評価弁法』が適用されるのはどのような場合でしょうか?
A1: 『評価弁法』では、データ処理者が中国国内で業務上収集・生成した重要データおよび個人情報を中国国外で提供する場合の安全評価が対象であることを明示している。 このなか、重要データとは、改ざん、破壊、漏えい、不正アクセス、不正使用等により、 国家の安全、経済運営、社会の安定、公衆健康と衛生等に危害を及ぼすおそれのあるデータを指す。通常、国家機密や個人情報は含まれないが、大量の個人情報に基づいて形成される統計データや派生データは重要データになりうる。このほか、データ処理者が、中国国内での業務過程で収集・生成された重要データおよび個人情報を香港・マカオ・台湾に提供する際に、安全評価が必要な場合、「評価弁法」が適用される。
Q2:安全評価は、どの部門に申告すればよいのでしょうか?
A2:データ処理者が国外にデータを提供し、かつ『評価弁法』に規定された状況に該当する場合、データ処理者が所在の省レベルのインターネット情報部門を通じて、国家インターネット情報部門にデータ越境安全評価を申告しなければならない。
Q3:安全評価の申告が必要な企業とは?
A3:中国国外にデータを提供する場合、以下の4種の主体が安全評価を実施する必要がある。
(1)重要データを国外に提供する場合;
(2)提供者が重要情報インフラ事業者(CIIO)である場合;
(3)提供者が100万人を超える個人情報を取り扱っている場合;
(4)提供者が、前年の1月1日以降、通算して10万人分の個人情報または1万人分の敏感な個人情報の国外に提供した場合。
Q4: 安全評価の申告件数はどのように計算するのでしょうか?
A4:『評価弁法』では、データ処理者が一定量の個人情報を処理する場合に安全評価が必要と規定されており、個人情報の処理量はシステムや特定の処理行為ではなく、その主体を一つ単位として計算されることになっている。同じ主体については、そのシステムのすべてを含み、時間範囲の要件を満たすすべての処理行為に関わる個人情報に基づいて、その量が計算される。企業グループの場合、関連会社がそれぞれ収集した個人情報を独自に取り扱い、関連会社間で送信または共有することがなければ、通常、『評価弁法』で求められる個人情報の量を満たしているかどうかを計算する際に、他の関連会社が取り扱っている個人情報の量を含める必要はない。
Q5: 安全評価するにはどれくらいの時間がかかるでしょうか?
A5:申告資料が国家インターネット情報部門に届いた時点から計算し、延長事情がなければ52営業日(受理決定7営業日+評価完了45営業日)以内に当該手続きを完了する必要があり、延長する場合は、審査の複雑さや資料の修正状況に応じて、適切に延長する必要がある。また、再度の評価を申請する場合は、実際の状況に応じて時間を決定する必要がある。
Q6:安全評価は1回のみで良いでしょうか?
A6:安全評価は一度きりのものではなく、その有効期間は2年です。有効期限が切れた場合は再度の申告が必要です。また、越境の処理行為に変更があった場合、データ受領者の国家や地域の関連法規や政策に変更があった場合、ネットワークセキュリティー環境に変更があった場合、不可抗力、データ受領者の状況の変更、データ越境の安全性に影響を与える両者の法的文書に変更があった場合も評価の再申告が必要です。
Q7: 『評価方法』が発効後、すぐに評価を実施する必要があるのでしょうか?
A7: 『評価方法』の発効日以降、データ越境活動に安全評価が必要な場合は、越境活動の開始前に申告する必要がある。発効日前にすでにデータ越境活動を開始している場合は、データ越境活動を中断する必要はないが、発効日から6ヶ月以内に必要な調整を完了し、安全評価も速やかに実施される必要がある。
Q8: 『評価弁法』に違反した場合、どのような責任を負うのでしょうか?
A8: 『評価弁法』によると、企業の越境データ伝送が規定に適合しない場合、監督官庁が『中華人民共和国ネットワークセキュリティ法』、『中華人民共和国データセキュリティ法』、『中華人民共和国個人情報保護法』などの法律法規に基づいて対処し、犯罪となる場合、法律に基づいて刑事責任が追及される。
Q9:現段階で企業がやるべきことは何でしょうか?
A9: 『評価弁法』は今年9月に施行され、6ヶ月の「是正期間」が設けられているが、この期間中に規定に違反したデータ越境活動が規制当局に気づかれず、罰則を受けないという意味ではない。したがって、データ越境を行う企業は、自社が『評価弁法』の対象となるかどうか、安全評価の必要性の有無、その方法などを早急に明らかにする必要がある。
『評価弁法』に基づき、優先度の高低に応じて、企業はデータ越境のコンプライアンスに対処するために以下のステップを検討することを提案する。
1. データ越境行為があるかどうかを分析・整理する(国外の親会社又は関連会社が国内のサーバーにリモートアクセスすることもデータ越境行為にあたる)。
2. 1の対応は、個人情報主体への説明と個人の同意が得られているかを確認すること。
3. さらに分析を進め、企業が安全評価の条件に該当するかどうかを判断する。例えば、重要な情報インフラ(CIIO)とみなされる可能性があるか、国境を越えて重要なデータを伝送しているか、又は処理する個人情報が当該弁法で定めた基準を満たしているかどうか;
4.2の対応は、リスク自己評価を開始すること。リスク自己評価は、独自に、または外部の専門機関の支援を得て実施することができる。評価の範囲には、データ越境の目的、範囲、方法、必要性および合法性、データ越境の規模、種類および敏感程度、データ越境によってもたらされる可能性のあるリスク;国外の受領者が引き受ける責任と義務、責任と義務を果たすための管理および技術的措置、能力等が越境データを保護することができるかどうかを保証する、が含まれる。
5.起案、そしてデータ越境に関する法的文書(国外の受領者とのデータ越境契約等)を審査し、当該弁法に要求される必要な内容を含んでいるかどうかを確認;
6.自己評価で確認された様々な種類のコンプライアンスギャップについては、国外受領者のデータ安全技術と能力を評価し、国外受領者とのデータ移転契約の締結・完備、関連プラットフォーム(アプリやスタッフシステムを含む)等のプライバシー設計の最適化など、その後の安全評価合格率を高めるための内部改善を適時に実施すること。7、自己評価を完了した後、『評価弁法』の要求に従い、関連資料をインターネット情報部門に提出し、データ越境の安全評価を申告し、インターネット情報部門との連絡を維持し、安全評価を無事に通過させる。
