データ新法「データ越境安全評価弁法」の公布について

　今月号は今月7日に発表されました、「データ越境安全評価弁法」の概要についてご紹介いたします。
　2022年7月7日、国家インターネット情報弁公室が「データ越境安全評価弁法」を公布しました。

　この弁法は、中華人民共和国サイバーセキュリティ法、中華人民共和国データセキュリティ法、中華人民共和国個人情報保護法等の法令に基づき、データの越境を規制し、個人情報の権利及び利益を保護し、国家の安全及び公共の利益を保護し、国境を越えたデータの安全及び自由な移動を促進するため策定され、9月1日より施行されます。

　今回はこの弁法全二十条のうち、第四条「データ越境時に申請が必要な条件」、第五条「申請前に行う自己評価」、第六条「申請時に必要な書類」についてピックアップします。

※「データ越境安全評価弁法」原文
http://www.cac.gov.cn/2022-07/07/c_1658811536396503.htm

◇データ越境安全評価の申請が必要な条件
　中国国内で収集されたデータを、データ処理者が国外に提供するにあたり、以下の状況のいずれかに該当する場合、所在地の省級インターネット通信部門を通じ、国家インターネット通信部門にデータ越境安全評価を申請する必要があります。
　●データ取扱者が重要データを国外に提供する場合
　●重要情報インフラ運営者または100万人分以上の個人情報を取り扱うデータ取扱者が個人情報を国外に提供する場合
　●前年1月1日から累計10万人分の個人情報または1万人分のセンシティブな個人情報を国外に提供したデータ取扱者が個人情報を域外に提供する場合
　●その他、国家インターネット情報部門が定めた必要事項に該当する場合

◇データ越境リスクの自己評価について
　またデータ取扱者は、データ越境安全評価を申請する前に、データ越境リスクの自己評価を行わなければなりません。自己評価は以下の事項について重点的に評価を行うものとします。
　●データの越境及び海外受領者によるデータ処理の目的、範囲、方法等の合法性、正当性、必要性。
　●越境データの規模、範囲、種類、機密性、およびデータの越境が国家安全保障、公共の利益、個人または組織の正当な権利と利益に及ぼすリスク。
　●海外受領者が約束する責任義務、および責任義務を履行する管理および技術的措置、能力、その他の能力が越境データのセキュリティを確保できるかどうか。
　●データの改ざん、破壊、漏えい、紛失、転用、不正取得、不正利用などのリスク、個人情報の権利と利益の保護のためのチャネルの円滑な流れなど。
　●外国の受領者とのデータ出国関連契約、またはその他の法的効力のある文書(法的文書)が、データセキュリティに対する責任義務を完全に合意したかどうか。
　●データ越境の安全性に影響を与える可能性のあるその他の事項。

◇データ越境安全評価申請に必要な書類
　まず、以下の書類を省級インターネット通信部門に提出します。審査は5営業日以内に行われ、申請書類が完全である場合、国家インターネット通信部門に提出されます。国家インターネット通信部門は書類の受領日から7営業日以内に審査が行われます。
　●申請書
　●データ越境リスクの自己評価レポート。
　●データ取扱者および海外の受領者が作成した法的文書。
　●安全評価に必要なその他の資料。

　データ越境安全評価の結果は、評価結果が公表された日から2年間有効となります。
　また、この弁法の施行前に行われたデータ越境移転についてですが、同弁法の規定にのっとっていない場合、施行日から6カ月以内に改めなければならないと規定されています。

上記の内容にご不明点等ございましたら、お気軽に福島県中国ビジネスサポートデスクまでお問い合わせください。

2022年7月22日　　福島県中国ビジネスサポートデスク