2022年8月31日、国家インターネット情報弁公室は「データ越境移転セキュリティ評価申請ガイド(第一版)」を公表した。
本ガイドは2022年9月1日に施行されたデータ越境移転セキュリティ評価弁法で規定されている国家インターネット情報弁公室によるセキュリティ評価の申請手順等の詳細を説明する内容となっている。
本稿では、本ガイドの要点を日本語訳をつけて抜粋整理し、最後に日系企業への影響についてまとめている。
適用範囲(一)
データ処理者が国外にデータを提供し、次のいずれかの事項に該当する場合は、所在地の省レベルのインターネット情報部門を通じて、国家インターネット情報部門にデータ越境移転セキュリティ評価を申請しなければならない。
- 重要データを国外に提供する。
- 重要情報インフラ施設運営者および100万人以上の個人情報を取り扱うデータ処理者が個人情報を国外に提供する。
- 前年の1月1日以降の累計で10万人の個人情報または1万人のセンシティブな個人情報を国外に提供しているデータ処理者が、国外に個人情報を提供する。
- 国家インターネット情報部門が規定するその他のデータ越境移転セキュリティ評価の申請が必要なケース。
次の情状は、データ越境移転行為とみなす。
- データ処理者が中国国内における業務の過程で収集・生成したデータを国外に転送して保管する場合。
- データ処理者が収集・生成したデータを中国国内に保存するが、国外の機関、組織または個人が当該データを照会、検索、ダウンロード、エクスポートできる場合。
- 国家インターネット情報弁公室が規定するその他のデータ越境移転行為。
申請方法とセキュリティ評価の流れ(二)
データ越境移転セキュリティ評価は、データ処理者の所在地の省レベルのインターネット情報部門に申請する。申請は書面で行い、電子版の資料を添付する。
省レベルのインターネット情報部門は、申請資料を受付した日から5営業日以内に資料の完全性を確認する。不備がある場合、データ処理者に受付拒否を通知する。
国家インターネット情報弁公室は、省レベルのインターネット情報部門より申請資料を受け取った日から7営業日以内に、受理するかどうかを決定し、データ処理者に書面で通知する。
データ処理者は、申請資料の補足あるいは訂正の連絡を受けた場合は速やかに対応しなければならず、正当な理由なく申請資料の補足、訂正を行わない場合は、セキュリティ評価を中止する。状況が複雑な場合、セキュリティ評価に時間がかかることが予想されることをデータ処理者に通知する。
セキュリティ評価の完了後、データ処理者に評価結果通知書を発行する。評価結果に異議がない場合、データ処理者はデータ越境移転のセキュリティ管理に関連する法律法規と評価結果通知書の要求に従ってデータ越境移転を行うことができる。評価結果に異議がある場合、データ処理者は評価結果通知書を受け取ってから15営業日以内に国家インターネット情報弁公室に再審査を申請できるが、再審査結果が最終結論となる。
申請資料(三)
データ越境移転セキュリティ評価の申請には、次の資料を提出しなければならない。全ての資料は書面とあわせて、CD-ROMを用いて電子版を提出しなければならない。
- 統一社会信用コード証書のコピー
- 法定代表人の身分証明書のコピー
- 申請担当者の身分証明書のコピー
- 申請担当者の授権委託書(※)
- データ越境移転セキュリティ評価申請書(※)
- 国外の受取者と合意したデータ越境移転に関する契約書またはその他の法的効力を有する文書のコピー
- データ越境移転リスク自社評価報告(※)
- その他の関連する証明資料
※印の書類は、本ガイドの中国語原文でそれぞれテンプレートが提供されている
本ガイドに対する見解
本ガイドに記されているセキュリティ評価が必要となる対象は、データ越境移転セキュリティ評価弁法4条の規定と同一である。ただし本ガイド(一)の第二項では、さらに越境移転に該当するケースを補足しており、従来通りの「中国国内における業務の過程で収集・生成したデータを国外に転送して保管するケース」に加えて、「中国国内に保存したデータに海外からアクセスするケース(データの照会、検索、ダウンロード、エクスポート等が含まれる)」についても、越境移転に該当するとの判断が示されたことに注意したい。
国家インターネット情報弁公室によるセキュリティ評価を必要とする事業者は、データ越境移転セキュリティ評価弁法の施行に伴い、セキュリティ評価に合格しなければデータの越境移転を行うことができない。無断での越境移転には罰則も定められていることから、該当する日系事業者は対応が急務となる。
また、本ガイドは第一版となっており、今後の運用を通じて提出資料が追加されたり、越境移転に該当するケースが増減したりすることも十分考えられる。当局の動向に注意すると共に、所在地のインターネット情報部門に随時最新情報を確認して対応することが望ましい。
なお国家インターネット情報弁公室は、本ガイドの中国語原文の中で、セキュリティ評価申請書やデータ越境移転リスク自社評価報告等の申請書類のテンプレートをPDFで提供している。
http://www.cac.gov.cn/2022-08/31/c_1663568169996202.htm (中国語)