インサイト,

データ域外移転の安全評価に対する新たな規制

2022/09/13

弁護士等紹介
中国 | 日本
Current site :    中国   |   日本
オーストラリア
EN |
中国
日本 | ZH | EN |
中国香港特別行政区
ZH | EN |
日本
日本 | ZH | EN |
シンガポール
ZH | EN |
米国
EN |
グローバル
ZH | EN |

1.はじめに

2022年9月1日から正式に施行される「データ域外移転安全評価弁法」(中国語:「数据出境安全評価弁法」。以下、「弁法」という)が意見募集を経たうえで国家インターネット情報弁公室(以下、「国家網信弁」という)によって2022年7月7日に公布された。「サイバーセキュリティ法」(中国語:網絡安全法)の2016年の施行以来、データの域外移転(中国語:出境)に関する安全管理と評価関連規則に対しては、中国国内外から関心が寄せられており、同法は、その後に施行された「データ安全法」(中国語:数据安全法)及び「個人情報保護法」と共に中国のデータ域外移転に関する基本的な法体系を構築し、基本的な規制方針を確立したといえる。しかし、これらの法律は、データ域外移転に関する安全評価の適用状況と評価事項、具体的な手続などについては詳細に定めていない。今回、データ域外移転に関する安全評価を規制する専門の部門規則として「弁法」が制定され、その施行に伴い、中国のデータ域外移転に関する安全評価制度が正式に実施されることとなり、データ安全分野において重要な意義がある。本稿では、「弁法」の要点を解説しながら、外資系企業を含む中国国内企業が外国企業の親会社へのデータ域外移転の際に留意すべき点を提示するものとしたい。

2.「弁法」の適用範囲

「弁法」の適用範囲について、「弁法」2条は、基本的に昨年の意見募集稿と同じ趣旨で、「データ取扱者が中華人民共和国域内での運営において収集し及び生成した重要データ及び個人情報を域外に提供する際の安全評価に、本弁法を適用する。法律、行政法規に別段の定めがあるときは、その規定に従う」と定めている。

まず、ここでいう「域外に提供する」ということについて、国家網信弁の記者会見での説明によると、データ取扱者が中国域内のデータを中国域外に移転し、域外で保存することのみならず、中国域内で保存されているデータベースへのアクセス権限情報などを域外の機構、個人に開示し、域外からこれらデータにアクセスさせ、取扱わせることも含まれる[1]。

また、安全評価義務が生じうる域外移転データの範囲について、「弁法」2条によれば、中国域内での運営において収集し及び生成した重要データ及び個人情報に限るとされている。つまり、重要データ又は個人情報に該当しない一般的データに関して、データ取扱者はデータ域外移転安全評価を行う法的義務を負わないと解される。

さらに、「域外」について、中国国内の法令(代表的なものとして「出入国管理法(中国語:出境入境管理法)」)及び規範文書の通常の解釈では「法域外」を意味することから、特別な説明がない限り、「域外」とは一般に、中国の法域外及び香港・マカオ・台湾地区の法域を含むと解される。それゆえ、その他の国又は地域、中国の香港・マカオ・台湾地区に重要データ及び個人情報を提供するデータ取扱者は、「弁法」に定める条件を満たす場合、主管部門にデータ域外移転安全評価の申請をしなければならない。

3.データ域外移転安全評価制度下の評価主体

データ域外移転安全評価を実施する主体(以下、「評価主体」という)について、「弁法」2条によれば、中国域内の重要データ及び個人情報を域外に提供する「データ取扱者」とされている。

この評価主体に関する立法経緯を振り返ると、データ域外移転安全評価制度を初めて規定した「サイバーセキュリティ法」37条は、その評価主体を重要情報インフラ運営者のみと定めた。その後、「データ安全法」31条において評価主体の範囲が拡張され、重要情報インフラ運営者以外のデータ取扱者も該当することとなった。これに続き、「個人情報保護法」38条及び40条でも、「個人情報の取扱いが国家インターネット情報部門の定める数量に達した個人情報取扱者」が個人情報の域外提供を行う場合には、国家インターネット情報部門の安全評価に合格しなければならないとの法定義務が定められた。今回の「弁法」は、これら3つの上位法の規定を踏襲し、より広い視点から、「データ取扱者」を評価主体と定めている。

一方で、「データ取扱者」の定義は、以上の3つの上位法、「弁法」のいずれにも定められていない。昨年公布された「インターネットデータ安全管理条例(意見募集稿)」では、データ取扱者とは、データの取扱活動において取扱目的、取扱方法を自主的に決定できる個人及び組織をいう、と定められており、これは「個人情報保護法」に定める「個人情報取扱者」の定義を参考して規定された模様で、相当な参考価値があるが、今後、立法と法執行を踏まえた、より明確な解釈が期待されている。

4.当局によるデータ域外移転安全評価の要点

(1)申請を要する状況

データ取扱者がデータを域外に提供するにあたり、すべての場合において国家インターネット情報部門によるデータ域外移転安全評価(以下、「当局による安全評価」という)に合格することが求められるわけではなく、一定の状況に該当する場合にのみ、当局による安全評価を申請する必要がある。これまでは、関連主管部門による域外移転安全評価を要する事由について定めた概括的な規定が「サイバーセキュリティ法」、「データ安全法」及び「個人情報保護法」に散在していたが、「弁法」4条の規定により統合・明確化されたほか、昨年の意見募集稿からの若干の文言調整も行われている。以下、それぞれの状況について具体的に検討する。

①データ取扱者による重要データの域外提供について

「サイバーセキュリティ法」、「データ安全法」の重要情報インフラ運営者が重要データを域外に移転する場合には、当局による安全評価を申請しなければならないという規定とは異なり、「弁法」4条1項1号によれば、重要情報インフラ運営者であるか否か、移転予定のデータの数量にかかわらず、データ取扱者が域外に重要データを提供する場合には、当局による安全評価を申請しなければならないとされている。

重要データへの該当性の判定については、「データ安全法」において、核心データ、重要データとそれ以外の一般データというデータの分類分級制度が定められており、また、重要データの定義について、「弁法」19条によると、重要データとは、改竄、破壊、漏洩、不法取得、不法利用等がなされた場合に国の安全、経済の運営、社会の安定、公共の健康及び安全等を害するおそれのあるデータをいうとされている。ただし、重要データの範囲と判定基準については、「データ安全法」に基づき、各地区、各部門が、その地区、部門及び関連する業種、分野における重要データの具体的な目録を確定することが待たれている。

現段階において、上記の重要データ目録は公布されておらず、重要データの判定基準も明確化されていないため、今後の立法動向に留意する必要がある一方、実務上、企業がデータの域外移転を実施する場合には、移転予定のデータに重要データが含まれるか否かを識別する作業を早めに実施しなければならない。重要データの識別については、国家情報安全標準化委員会が2022年1月13日に推薦的国家基準「情報安全技術 重要データ識別指針(意見募集稿)」を公布しており、ある程度参照できる。いずれにしても、重要データの識別は非常に重要、かつ複雑な作業であるため、セキュリティ技術、法務といった各部門及び外部専門家の協力を求めることが望まれる。

②「重要情報インフラ運営者」及び「100万人以上の個人情報を取扱うデータ取扱者」による個人情報の域外提供について

これは「サイバーセキュリティ法」37条及び「個人情報保護法」40条の規定を踏襲し、主に域外への移転を行う主体の特定の身分に着目する観点から定められた要件である。

「重要情報インフラ」の定義について、「重要情報インフラ保護条例」2条によると、公共通信及び情報サービス、エネルギー、交通、水利、金融、公共サービス、電子行政、国防科学技術工業等の重要な産業及び分野におけるもののほか、その破壊、機能喪失又はデータ漏洩が生ずると国の安全、国の経済及び人民の生活、公共の利益を著しく害するおそれがある重要なネットワーク施設、情報システム等をいう、と定められている。また、重要情報インフラの認定について、同条例9条、10条によると、重要な産業・分野の主管部門、監督管理部門は、その産業・分野の重要情報インフラ認定規則を制定して、その産業・分野の重要情報インフラの認定を行うとともに、認定結果の重要情報インフラ運営者への通知及び国務院公安部門への報告を適時に行うとされている。このように、「重要情報インフラ運営者」の認定は複雑であるが、実務上、関連する主管部門により「重要情報インフラ運営者」と認定され通知を受けたデータ取扱者は、「弁法」4条2号に基づき、個人情報の域外移転前に、当局に安全評価を申請する必要がある。

また、データ取扱者が取り扱う個人情報が100万人以上に達した場合は、その後に域外移転を予定する個人情報の数量を問わず、域外移転について当局による安全評価が必要となる。

➂前年の1月1日から累計して10万人の個人情報又は1万人の機微個人情報を域外に提供したデータ取扱者による域外提供について

実務において、個人情報を取扱う一部の企業においては、把握する個人情報のデータを域外へ移転する業務上のニーズが存在するため、この要件への該当性に十分注意する必要がある。現在のところ、前年度の1月1日以降に域外移転した個人情報の数量を統計しなければならず、統計の結果、この要件を満たした場合、その後の域外移転にあたって、当局への安全評価の申請が必須となる。

そのほか、「弁法」は「その他国家インターネット情報部門が定めるデータ域外移転安全評価の申請を要する事情」という包括条項も設けている。

(2)当局による安全評価における重点評価事項

「弁法」8条は、「データ域外移転活動が国の安全、公共の利益、個人又は組織の合法的な権利・利益にもたらすリスクを重点的に評価する」ことを表明し、7つの具体的な事項を定めている。

そのうち、第1号に定めるデータ域外移転の合法性、正当性及び必要性については、法令の明文による禁止命令に該当するか否か、中国政府が他の国・地域と締結したデータ域外移転に関する条約、協定に適合するか否かが評価され、個人情報の域外移転を行う場合については、情報主体の個別同意を取得したか否か、正常な業務活動に従事するため必要か否か(域外にデータを提供する確実な必要性の有無)が評価される。

また、第2号の規定によれば、域外のデータ受取人の所在国又は地域のデータ安全保護政策・法令及びネットワークア安全環境が域外移転データの安全に与える影響、域外の受取人のデータ保護水準が中国の法律、行政法規の規定及び強制的国家基準の要求に達しているか否かにも着目しなければならない。

(3)データ域外移転関連法的文書締結の必要性

「弁法」5条1項5号、6条1項3号及び9条によれば、データ取扱者は、データ域外移転前に域外の受取人とデータ域外移転関連契約又はその他の法的効力を有する文書(以下、「法的文書」という)を締結する必要がある。法的文書の形式としては、契約書のほか承諾書なども採用できると解される。

また、法的文書の内容について、「弁法」9条によると、法的文書においてデータ安全保護に関する責任・義務を明確に定め、少なくとも次に定める内容を含まなければならない。

(一)データ域外移転の目的、方法及びデータの範囲、域外の受取人がデータを取り扱う用途、方法等。

(二)データの域外における保存の地点、期限及び保存期限が到来し、定められた目的が達成され、又は法的文書が終了した後における域外移転データの取扱措置。

(三)域外の受取人が域外移転データを他の組織、個人に再移転することを制限する要求。

(四)域外の受取人が、実質的支配権若しくは経営範囲に実質的な変化が生じ、又は所在する国、地域のデータ安全保護政策・法令及びネットワーク安全環境に変化が生じたこと、その他不可抗力の事情が生じたことによりデータ安全の保障が困難となった場合において講じなければならない安全措置。

(五)法的文書に定めるデータ安全保護義務に違反した場合における救済措置、違約責任及び紛争解決の方法。

(六)域外移転データが改竄、破壊、漏洩、紛失、移転又は不法取得、不法利用等のリスクに遭遇した場合に、緊急措置を適切に講ずる要求並びに個人が自己の個人情報の権利・利益を守ることを保障する手段及び方法。

国家網信弁は2022年6月30日に「個人情報域外移転標準契約規定(意見募集稿)」を公布しており、同募集稿の付属文書である個人情報域外移転標準契約のテンプレートを参照しつつ、「弁法」の要求する上記の内容にも注意する必要がある。そのほか、国家網信弁の記者会見における説明によると、法的文書を締結した後に安全評価を申請する場合、評価に合格しなかったことによる損失を避けるために、法的文書において、同文書はデータ域外移転安全評価に合格した後に初めて発効する、と明記することで対応できる。

(4)当局による安全評価結果の有効期間

当局による安全評価に合格した場合における結果の有効期間について、「弁法」14条によると、これを2年間とし、評価結果が発せられた日から起算する。有効期間が満了し、データ域外移転活動を継続する必要があるときは、データ取扱者は、有効期間が満了する60営業日前までに評価の再申請をしなければならない。

5.データ域外移転リスクの自己評価

「弁法」6条によると、データ取扱者は、当局に安全評価を申請するにあたって、その申請に必要な書類の一つとして「データ域外移転リスク自己評価報告」を提出しなければならないとされている。つまり、データ域外移転リスクの自己評価は、当局による安全評価の事前手続であるといえ、「弁法」4条に定める当局による安全評価の実施要件を満たした場合には、当局による安全評価が必要となり、さらに、データ取扱者自身が当局に申請する前にまず自己評価を行う法的義務が生じると解される。

「弁法」5条においては、データ域外移転リスクの自己評価において重点的に評価すべき事項が定められているが、8条に定められた当局による安全評価と比較して、次の事項に関する評価は不要とされる。

①域外の受取人の所在国又は地域のデータ安全保護政策・法令及びネットワーク安全環境が域外移転データの安全に与える影響、域外の受取人のデータ保護水準が中華人民共和国の法律、行政法規の規定及び強制的国家基準の要求に達しているか否か(8条2号)。

②データの安全及び個人情報の権利・利益が十分かつ有効に保障されうるか否か(8条4号)。

③中国の法律、行政法規、部門規則の遵守に関する状況(8条6号)。

もっとも、これらにかかわらず、企業としては、その後の当局による安全評価に順調に合格するために、自己評価の際に、これらの事項を満たすか否か評価することが望まれる。

6.おわりに

「弁法」の正式な施行に伴い、中国におけるデータの域外移転に関する監督管理法体系がより一層整備され、データの域外移転安全評価の実施のための明確な法的根拠が提供されたといえる。一方、「弁法」に定められた安全評価の申請を要する状況は達成されやすいため、企業においては、データを域外に移転する際、より安全評価義務に注意する必要がある。したがって、データの域外移転が必要となる企業においては、関連するコンプライアンスの強化を積極的に進め、データ取扱いにおける各段階のリスク防止に努めるとともに、技術の発展と監督管理によりもたらされる新たな要求にも注目する必要がある。そのほか、安全評価の手続自体にもコストや時間を要することから、長期的な観点からデータの現地化を検討する必要も生じると思われる。

http://politics.people.com.cn/n1/2022/0707/c1001-32469307.htmlを参照。
カテゴリ

参考資料

  • [1]

    http://politics.people.com.cn/n1/2022/0707/c1001-32469307.htmlを参照。

著者への問合せ

お知らせ
インサイト
「両用品目輸出管理条例」の要点解説
「両用品目輸出管理条例」(以下、「条例」という)が、国務院第41回常務委員会会議における可決(2024年9月18日)を経て2024年10月19日に公布され、同年12月1日から施行される予定である。この「条例」は、輸出管理法を更に徹底するものであり、発展と安全の総合的な均衡を図り、両用品目輸出管理における従来の実務の総括と国際的な経験に基づいて輸出管理の措置を整備し、国の安全と利益の維持のために制度的な支柱と法治による保障を与えることをその目的としている。本稿においては、全6章50条からなる「条例」の要点を解説し、企業の実務運用上の参考を提供するものとしたい。輸出管理・制裁,日本業務

2024/12/03

インサイト
中国事業における広告法コンプライアンス上の注意点
中国広告法は、1995年2月1日の施行以来、これまで計3回にわたり改正が行われた。公開情報によると、広告法違反による処罰件数は2022年及び2023年のいずれも約2.5万件に達し、日系企業が対象となった事例も見受けられる。処罰されると、過料の金銭的負担のみならず、大々的な報道によるレピュテーション(評判)への影響も懸念される。本稿では、中国における広告宣伝が持つ独特の注意点や、中国で事業展開する外資系企業が遭遇しやすい広告法上の問題や注意点について論ずるものとしたい。

2024/08/19

インサイト
企業における人員削減の方法と実施の要点
近年、コロナ禍とマクロ経済の影響を受けて中国経済の低迷が続く中、多くの企業が市場需要の縮小、コストの上昇、サプライチェーンの阻害という苦境と直面している。コーポレート・M&A-日本業務

2024/05/20

最新記事を読む
弁護士等紹介
アクセス
ニュース
採用情報
事務所紹介
取扱業務の検索
その他の記事を読む
インサイトを探す

Advertising and Targeting Cookies