この日本語試訳は中国語文献理解の補助とするために無償で公開しているものです。厳密な解釈・理解は、必ず中国語原文を確認願います。
データ越境セキュリティ評価弁法
国家インターネット情報弁公室令第11号
「データ越境セキュリティ評価弁法」は2022年5月19日に国家インターネット情報弁公室の2022年第10回室務会議で審議・採択され、ここに公布され、2022年9月1日から施行する。
国家インターネット情報弁公室主任 庄栄文
2022年7月7日
データ越境セキュリティ評価弁法
第一条 データの越境活動を規範化し、個人情報の権益を保護し、国家安全と社会公共の利益を維持し、国境を越えたデータの安全、自由な流通を促進するため、「中華人民共和国サイバ―セキュリティ法」、「中華人民共和国データセキュリティ法」、「中華人民共和国個人情報保護法」等の法律法規に基づいて、本弁法を制定する。
第二条 データ処理者は、中華人民共和国国内での運営において収集及び生成された重要なデータ及び個人情報を国外に提供する場合のセキュリティ評価において、本弁法が適用される。法律、行政法規に別段の規定がある場合は、その規定に従う。
第三条 データ越境セキュリティ評価は事前評価と持続的な監督の結合、リスク自己評価とセキュリティ評価の結合を堅持し、データ越境セキュリティリスクを防止し、データが法律に基づいて秩序正しく自由に流通することを保障する。
第四条 データ処理者が国外にデータを提供する場合で、以下のいずれかの状況に該当する場合、所在地の省級サイバーセキュリティ及び情報化部門を通じて国家サイバーセキュリティ及び情報化部門にデータ越境セキュリティ評価を申告しなければならない。
(一)データ処理者が国外に重要なデータを提供する場合。
(二)重要な情報インフラ運営者と100万人以上の個人情報を処理するデータ処理者が国外に個人情報を提供する場合。
(三)前年の1月1日から累計10万人分の個人情報又は1万人分の機密個人情報を国外に提供したデータ処理者が、国外に個人情報を提供する場合。
(四)国家サイバーセキュリティ及び情報化部門が規定したその他のデータ越境セキュリティ評価を申告する必要がある場合。
第五条 データ処理者はデータ越境セキュリティ評価を申告する前に、データ越境リスクの自己評価を実施し、以下の事項を重点的に評価しなければならない。
(一)データの越境と国外の受信者がデータを処理する目的、範囲、方式等の合法性、正当性、必要性。
(二)越境データの規模、範囲、種類、機密程度、データ越境が国家安全、公共利益、個人または組織の合法的権益にもたらすリスク。
(三)国外の受信者が承諾した責任義務、及び責任義務を履行するための管理と技術措置、能力等が越境データの安全を保障できるか否か。
(四)データの越境中と越境後における改ざん、破壊、漏洩、紛失、移転または不正取得、不正利用等のリスク、個人情報権益を保護するためのルートが円滑であるか否か等。
(五)国外の受信者と締結しようとするデータ越境関連契約又はその他の法的効力を有する文書等(以下法律文書と総称する)がデータセキュリティ保護の責任義務を十分に約定しているか否か。
(六)データの越境セキュリティに影響を与える可能性のあるその他の事項。
第六条 データ越境セキュリティ評価の申告には、以下の資料を提出しなければならない。
(一)申告書。
(二)データ越境リスク自己評価報告書。
(三)データ処理者が国外の受信者と締結しようとする法律文書。
(四)セキュリティ評価業務に必要なその他の資料。
第七条 省級サイバーセキュリティ及び情報化部門は、申告資料を受け取った日から5営業日以内に完全性検査を完了しなければならない。申告資料がそろっている場合は、申告資料を国家サイバーセキュリティ及び情報化部門に提出する。申告資料に不備がある場合は、データ処理者に返却し、補足する必要がある資料を一括して通知しなければならない。
国家サイバーセキュリティ及び情報化部門は申告資料を受け取った日から7営業日以内に、データ処理者に受理するか否かを確定し、書面で通知しなければならない。
第八条 データ越境セキュリティ評価は、データ越境活動が国家安全、公共利益、個人または組織の合法的権益にもたらす可能性があるリスクを重点的に評価する。主に以下の事項を含む。
(一)データ越境の目的、範囲、方法等の合法性、正当性、必要性。
(二)国外の受信者が所在する国又は地域のデータセキュリティ保護政策法規とサイバーセキュリティ環境が越境データセキュリティに与える影響。国外の受信者のデータ保護レベルが中華人民共和国の法律、行政法規の規定と強制的な国家基準の要求に満たしているか否か。
(三)越境データの規模、範囲、種類、機密程度、越境中と越境後における改ざん、破壊、漏洩、紛失、移転または不正取得、不正利用等のリスク。
(四)データセキュリティと個人情報の権益が十分かつ効果的に保障されるか否か。
(五)データ処理者と国外の受信者が締結しようとする法律文書にデータセキュリティ保護の責任義務が十分に約定されているか否か。
(六)中国の法律、行政法規、部門規則の遵守状況。
(七)国家サイバーセキュリティ及び情報化部門が評価する必要があると認めるその他の事項。
第九条 データ処理者は、国外の受信者と締結した法律文書においてデータセキュリティ保護の責任義務を明確に約定しなければならない。少なくとも以下の内容を含む。
(一)データ越境の目的、方法とデータ範囲、国外の受信者がデータを処理する用途、方法等。
(二)データが国外に保存される場所、期限、及び保存期間満了後、約定の目的を達成し、又は法律文書の終了後における越境データの処理措置。
(三)国外の受信者が越境データを他の組織、個人に再転送する際の拘束力のある要求。
(四)国外の受信者の実際の支配権または経営範囲に実質的な変化が発生し、または所在国、地域のデータセキュリティ保護政策法規とサイバーセキュリティ環境に変化が発生し、またはその他の不可抗力の状況によりデータセキュリティの保障が困難な場合に講じらなければならない場合のセキュリティ措置。
(五)法律文書に約定されたデータセキュリティ保護義務に違反した場合の救済措置、違約責任と紛争解決方法。
(六)越境データが改ざん、破壊、漏洩、紛失、移転または不正取得、不正利用等のリスクがある場合、応急処置の要求を適切に実施し、個人が個人情報権益を保護するルートと方法を適切に展開する。
第十条 国家サイバーセキュリティ及び情報化部門は申告を受理した後、申告状況に基づいて国務院の関係部門、省級サイバーセキュリティ及び情報化部門、専門機関等を組織してセキュリティ評価を行う。
第十一条 セキュリティ評価の過程において、データ処理者が提出した申告資料が要求を満たしていないことが発見された場合、国家サイバーセキュリティ及び情報化部門はその補足または訂正を要求することができる。データ処理者が正当な理由なしに補足または訂正しない場合、国家サイバーセキュリティ及び情報化部門はセキュリティ評価を終了することができる。
データ処理者は提出された資料の真実性に責任を負い、故意に虚偽の資料を提出した場合、評価に基づいて処理を通過せず、法律に基づいて相応の法律責任を追及する。
第十二条 国家サイバーセキュリティ及び情報化部門はデータ処理者に書面受理通知書を発行した日から45営業日以内にデータ越境セキュリティ評価を完了しなければならない。状況が複雑または資料を補足、訂正する必要がある場合は、データ処理者に延長予定時間を適切に延長し、通知することができる。
評価結果は書面でデータ処理者に通知しなければならない。
第十三条 データ処理者は評価結果に異議がある場合、評価結果を受け取ってから15営業日以内に国家サイバーセキュリティ及び情報化部門に再評価を申請することができ、再評価結果が最終的な結論となる。
第十四条 データ越境セキュリティ評価を通過した結果の有効期間は2年間であり、評価結果が発行された日から計算する。有効期間内に次のいずれかの状況が発生した場合、データ処理者は評価を再申告しなければならない。
(一)国外にデータを提供する目的、方法、範囲、種類と国外受信者のデータ処理の用途、方法に変化が発生して越境データの安全に影響を与えた場合、或いは個人情報と重要なデータの国外保存期間を延長した場合。
(二)国外の受信者が所在する国又は地域におけるデータセキュリティ保護政策法規とサイバーセキュリティ環境の変化、およびその他の不可抗力の状況が発生した場合、データ処理者又は国外の受信者の実際の支配権の変化、データ処理者と国外の受信者の法律文書の変更等が越境データのセキュリティに影響を与えた場合。
(三)越境データのセキュリティに影響を与えるその他の状況が発生する場合。
有効期間が満了し、データの越境活動を継続的に実施する必要がある場合、データ処理者は有効期間が満了する60営業日前に評価を再申告しなければならない。
第十五条 セキュリティ評価業務に参加する関係機関及び職員は、職責の履行において知り得た国家秘密、個人プライバシー、個人情報、商業秘密、秘密ビジネス情報等のデータを法律に基づいて秘密にし、他人に漏洩又は不正に提供し、不正に使用してはならない。
第十六条 いかなる組織及び個人もデータ処理者が本弁法に違反して国外にデータを提供していることを発見した場合、省級以上のサイバーセキュリティ及び情報化部門に通報することができる。
第十七条 国家サイバーセキュリティ及び情報化部門は、評価を通過したデータの越境活動が実際の処理過程においてデータの越境セキュリティ管理要求を満たしないことを発見した場合、書面でデータ処理者にデータの越境活動を終了するよう通知しなければならない。データ処理者がデータの越境活動を継続的に実施する必要がある場合は、要求に応じて是正し、是正完了後に評価を再申告しなければならない。
第十八条 本弁法の規定に違反した場合、「中華人民共和国サイバーセキュリティ法」、「中華人民共和国データセキュリティ法」、「中華人民共和国個人情報保護法」等の法律法規に基づいて処理する。犯罪を構成する場合は、法律に基づいて刑事責任を追及する。
第十九条 本弁法でいう重要なデータとは、いったん改ざん、破壊、漏洩または不正取得、不正利用等に遭うと、国家安全、経済運営、社会安定、公共健康と安全等に危害を及ぼす可能性のあるデータをいう。
第二十条 本弁法は2022年9月1日より施行する。本弁法の施行前にすでに実施されたデータ越境活動は、本弁法の規定を満たしていない場合、本弁法の実施日から6ヶ月以内に是正を完了しなければならない。
(中国語原文)
http://www.gov.cn/zhengce/zhengceku/2022-07/08/content_5699851.htm