この日本語試訳は中国語文献理解の補助とするために無償で公開しているものです。厳密な解釈・理解は、必ず中国語原文を確認願います。
国家インターネット情報弁公室
国家市場監督管理総局
令
第20号
「個人情報の海外移転認証方法」は、2025年7月21日に国家インターネット情報弁公室の第17回執務会議で審議・可決され、国家市場監督管理総局の承認を得て、ここに公布し、2026年1月1日から施行する。
国家インターネット情報弁公室主任 庄栄文
国家市場監督管理総局局長 羅 文
2025年10月14日
個人情報の海外移転認証弁法
第一条 個人情報の権益保護、個人情報の国外移転認証活動の規範化、並びに個人情報の効率的で安全な跨境流通の促進のため、「中華人民共和国個人情報保護法」、「ネットワークデータ安全管理条例」、「中華人民共和国認証認可条例」その他の法令に基づき、本弁法を制定する。
第二条 個人情報取扱者が個人情報保護認証の方法により中華人民共和国国外に個人情報を提供する場合、本弁法が適用される。
第三条 本弁法において「個人情報輸出認証」とは、「中華人民共和国個人情報保護法」第三十八条第一項第二号の規定に基づき、個人情報保護認証資格を法的に取得した専門認証機関が、個人情報処理者が中華人民共和国国外に個人情報を提供する等の個人情報処理活動が関連する法律、行政法規、部門規則、基準、技術規範に適合することを証明する適格評定活動を指す。
第四条 国家インターネット情報部門は、国家データ管理部門及びその他の関係部門と共同で、個人情報の国外送信認証に関する基準及び技術規範を制定する。国家市場監督管理部門は、国家インターネット情報部門と共同で、個人情報保護認証規則、統一認証証明書及びマークを制定する。
第五条 個人情報処理者は、個人情報の海外提供において個人情報輸出認証の方式を採用する場合、以下の条件を同時に満たす必要がある:
(一)重要な情報インフラ運営者でないこと
(二)当年1月1日以降、累計で海外に10万人以上、100万人未満の個人情報(センシティブな個人情報を除く)または1万人未満のセンシティブな個人情報を提供すること。
前項に規定する「海外への提供」とは、重要なデータを除く。
法律、行政法規または国家ネットワーク情報部門の別段の規定がある場合は、その規定に従う。
個人情報取扱者は、数量分割等の手段を用いて、法的に出国安全評価を経るべき個人情報を個人情報出国認証の方式により海外に提供してはならない。
第六条 個人情報取扱者は、認証を申請して海外に個人情報を提供する前に、法律及び行政法規の規定に従って告知、個人の個別同意取得、個人情報保護影響評価等の義務を履行しなければならない。個人情報保護影響評価では、以下の内容を重点的に評価する。
(一)個人情報取扱者と海外受領者の個人情報取扱目的、範囲、方法等の合法性、正当性、必要性
(二)個人情報の輸出規模、範囲、種類、センシティブ度、および個人情報の輸出が国家安全保障、公共利益、個人情報権益に及ぼすリスク
(三)海外受領者が引き受ける義務、および義務履行のための管理・技術的措置や能力等が、個人情報の輸出時の安全性を確保できるかどうか
(四)個人情報が国外に流出した後、改ざん、破壊、漏洩、紛失、不法利用等のリスク、個人情報権益保護のルートが円滑であるかどうか等
(五)国外の受信者が所在する国又は地域の個人情報保護政策及び法規が出国個人情報の安全及び個人情報の権益に与える影響
(六)その他の個人情報の出国安全に影響を与える可能性のある事項。
第七条 個人情報処理者が認証方式を通じて海外に個人情報を提供する場合、専門認証機関に個人情報出国認証を申請しなければならない。
中華人民共和国国外の個人情報処理者が個人情報の出国認証を申請する場合は、国内に設立された専門機関または代表を指定して申請に協力しなければならない。
第八条 専門認証機構は認証基本規範、個人情報保護認証規則に従って個人情報の出国認証活動を展開しなければならない。認証要件に合致する場合、専門認証機関は速やかに認証証明書を発行しなければならない。
認証証明書の有効期間は3年である。証明書の期限が切れても使用を継続する必要がある場合、個人情報処理者は有効期限が切れる6ヶ月前に認証申請を提出しなければならない。
第九条 専門認証機関は、認証証明書を発行するか、認証証明書の状態が変化した後の5営業日以内に、認証証明書番号、取得個人情報処理者名、認証範囲及び証明書の状態変化情報等を含む個人情報出国認証証明書関連情報を全国認証認可情報公共サービスプラットフォームに報告しなければならない。
国家市場監督管理部門と国家網信部門は認証情報共有メカニズムを構築する。
第十条 専門認証機関は、証明書を取得した個人情報処理者に個人情報の出国状況と認証範囲が一致しない等の状況が存在し、認証要求に合致しないことを発見した場合、関連認証証明書を取り消すまで使用を一時停止しなければならない。
国家網信部門と関係部門が個人情報保護監督管理業務中に証明書を取得した個人情報処理者に前項の状況が存在することを発見した場合、専門認証機関は関連認証証明書を取り消すまで使用を一時停止するよう協力しなければならない。
前二項の規定の場合は、全国認証認可情報公共サービスプラットフォームを通じて公表しなければならない。
第十一条 専門認証機関が認証活動を展開する中で、個人情報の出国活動が法律、行政法規と国の関連規定に違反していることを発見した場合、速やかに国家網信部門と関連部門に報告しなければならない。
第十二条 個人情報の出国認証を展開する専門認証機関は、国家市場監督管理部門が個人情報保護認証資格の取得を許可した日から10営業日以内に国家網信部門に届出手続きを行わなければならない。届出を行う際には、次の書類を提出しなければならない。
(一)取得した個人情報保護分野の認証資格状況
(二)ここ3年間、データセキュリティ、個人情報保護分野の専門的な仕事に従事している状況
(三)専門認証機関人員の安全背景審査資料
(四)個人情報保護認証実施細則及び作業計画
(五)個人情報セキュリティリスク防止メカニズム、
(六)証明書を取得した個人情報処理者に対する個人情報の出国活動が認証基準に合致する状況の持続的な監督メカニズム
(七)苦情受付と紛争解決メカニズム
(八)他に提出する必要がある資料
専門認証機関は、登録された資料の真実性に責任を負わなければならない。
国家網信部門は専門認証機関から提出された届出資料を受け取った後、国家データ管理部門とともに届出資料を審査する。資料がそろっている場合は、30営業日以内に届出をして公示しなければならない。資料がそろっていない場合は、届出をせず、30営業日以内に専門認証機関に通知し、理由を説明しなければならない。
第十三条 国家市場監督管理部門と国家網信部門は個人情報の出国認証活動を監督し、定期的または不定期の検査を展開し、認証過程と認証結果を抽出検査し、専門認証機関に対して抽出検査と評価を行う。
第十四条 国家機関、専門認証機関等の認証活動に従事する機関及びその従業員は、職責履行中に知ったプライバシー、個人情報、商業秘密、秘密ビジネス情報等を法に基づいて秘密にしなければならず、他人に漏らしたり、不法に提供したり、不法に使用したりしてはならない。
第十五条 いかなる組織及び個人が証明書を取得した個人情報処理者が本弁法の規定に違反して海外に個人情報を提供していることを発見した場合、専門認証機関、ネット情報部門及び関係部門に苦情、通報することができる。
第十六条 省級以上のネット情報部門と関係部門は、証明書を取得した個人情報処理者の個人情報の出国活動に大きなリスクがあることを発見した場合、または個人情報セキュリティ事件が発生した場合、法に基づいて証明書を取得した個人情報処理者に対して約束を行うことができる。証明書を取得した個人情報処理者は要求に応じて改善し、隠れた危険性を取り除かなければならない。
第十七条 本弁法の規定に違反した場合、「中華人民共和国個人情報保護法」、「ネットワークデータ安全管理条例」、「中華人民共和国認証認可条例」等の法律法規に基づいて処理する。犯罪を構成する場合は、法に基づいて刑事責任を追及する。
第十八条 本弁法の施行前に制定された個人情報の出国認証に関する規定が本弁法と一致しない場合は、本弁法に従って実行する。
第十九条 本弁法は2026年1月1日から施行する。
(中国語原文)
https://www.cac.gov.cn/2025-10/17/c_1762449728720008.htm