1. セキュリティ評価の実施義務
ネットワーク運営者が中国国内の運営において収集した個人情報を国外に提供する場合、セキュリティ評価を行わなければならないとした。(2 条)
また個人情報を越境移転する前に、所在地の省レベルのインターネット情報部門にセキュリティ評価の申請を行わなければならないとしている。(3 条)
2. セキュリティ評価の内容
セキュリティ評価の申請には、申請書のほか、ネットワーク運営者と越境移転先との契約書、個人情報の越境移転セキュリティリスク・セキュリティ保障措置分析報告の提出を必要としている。セキュリティ評価は 15 営業日以内に完了するが、状況が複雑な場合は延長も可能である。(4 条、5 条)
セキュリティ評価では、個人情報主体の合法的権益を保障しているか、過去に重大なセキュリティインシデントを起こしていないか、個人情報の取得は合法的で正当か、といった点を重点評価する。(6 条)
3. ネットワーク運営者の義務
越境移転の記録を少なくとも 5 年保存し、さらに毎年 12 月 31 日までに当該年内の個人情報の越境移転情報、契約書の履行状況等を報告する必要がある。(8 条、9 条)
比較的大きなセキュリティインシデントが発生した場合には、当該企業の越境移転が一時停止あるいは禁止されることもあるとした。(11 条)
ネットワーク運営者と越境移転先が締結する契約書では、越境移転の目的や保存期間、個人情報主体の賠償請求権、契約終了後の責任と義務等について明確にしなければならないとし、特定の場合を除いて、移転先が受け取った個人情報をさらに第三者に提供してはならないとしている。(13 条、16 条)
4. 海外機構の取り扱い
海外機構の経営活動で、インターネットなどを通じて中国国内のユーザーの個人情報を収集している場合、国内で法定代表者または機構を通じて本弁法で定めるネットワーク運営者の責任と義務を履行しなければならないとした。(20 条)
●原文(中国語)
