中國におけるデータ越境移転に関する安全評(píng)価と申告
中國のサイバーセキュリティ法(2017年6月1日施行)、データセキュリティ法(2021年9月1日施行)、個(gè)人情報(bào)保護(hù)法(2021年11月1日施行)は、個(gè)人情報(bào)取扱者が個(gè)人情報(bào)や重要データを國外移転しようとする場(chǎng)合、國家インターネット情報(bào)部門においてデータ移転の安全評(píng)価を行う必要がある旨を定めている。これを受けて、國家インターネット情報(bào)弁公室(以下「CAC」という)は、2022年7月7日に「データ越境安全評(píng)価弁法」(2022年9月1日施行。以下「評(píng)価弁法」という)を公布し、データ越境移転のための事前評(píng)価、評(píng)価の適用対象、評(píng)価の方法とプロセスなどを定めた※1。
また、CACは、データ越境移転に関する安全評(píng)価の申告手続をスムーズにするため、2022年8月31日に「データ越境安全評(píng)価申告指南(第1版)」(以下「指南」という)を公布した※2。指南は、越境移転の定義を「國外の機(jī)関?組織又は個(gè)人が、中國國內(nèi)で収集?生成、保存されたデータを、検索、取得、ダウンロードまたはエクスポートすること」と具體化し、安全評(píng)価申告に必要となる資料のリストや記入方法などを明らかにしている。
さらに、評(píng)価弁法第20條に、遡及適用の規(guī)定が存在する點(diǎn)に注意を要する。すなわち、中國のデータ取扱者が、評(píng)価弁法の施行(2022年9月1日)前に、既にデータの越境移転を行っており、當(dāng)該移転が評(píng)価弁法の規(guī)定に合致しない場(chǎng)合、施行日から6ヵ月以內(nèi)(2023年2月末日まで)に、改善措置を完了させる必要があるとされている。そのため、中國現(xiàn)地法人を有する日本企業(yè)などの場(chǎng)合、過去のデータ越境移転の內(nèi)容を確認(rèn)し、安全評(píng)価の適用対象に該當(dāng)するかどうかを判斷したり、データの取扱方法の変更や改善を行ったりすることを要する可能性もあるので、留意する必要がある。
※1 http://www.cac.gov.cn/2022-07/07/c_1658811536396503.htm
なお、評(píng)価弁法の內(nèi)容は、2021年10月29日に公表された意見募集稿とほぼ同一である。
※2 http://www.cac.gov.cn/2022-08/31/c_1663568169996202.htm
