2022年7月7日、中国の国家インターネット情報弁公室は、データ越境安全評価弁法を公布しました。

中国では、個人情報及び重要データの処理取扱いを規制するものとして、個人情報保護法、サイバーセキュリティ法（ネットワーク安全法）、データセキュリティ法の3法（以下「データ3法」）が制定されており、データ3法は、一定の要件を満たすデータ処理者が国外に重要データ又は個人情報を移転する際に、弁法に基づく安全評価を経る必要がある旨を規定していました。本弁法は、当該安全評価について規定したもので、本年9月1日に施行される予定です。

本弁法によれば、データ処理者が国外にデータを提供するときで、以下のいずれかに該当する場合、所在地の省級のインターネット情報部門を通じて、国家インターネット情報部門にデータ越境安全評価を申告する必要があります（同4条）。

1. データ処理者が重要データを国外に提供する場合。
2. 重要情報インフラ運営者及び100万人以上の個人情報を取り扱う情報処理者が国外に個人情報を提供する場合。
3. 前年1月1日から累計で10万人の個人情報または1万人の機微個人情報を国外に提供するデータ処理者が国外に個人情報を提供する場合。
4. 国家インターネット情報部門が規定するデータ越境安全評価の申告を必要とするその他の状況。

上記のいずれかに該当するデータ処理者は、事前にデータ越境リスクの自己評価を行ったうえで（同5条）、省級のインターネット情報部門に申告書類を提出し（同6条）、省級のインターネット情報部門が申告書類に不備がないと判断すると、申告書類が国家インターネット情報部門に送られ（同7条）、申告書類が受理された後安全評価が行われます（同11条）。安全評価を通過した場合、その有効期間は2年間であり、データ処理者において有効期間満了後もデータ越境活動を継続する必要がある場合、有効期間満了の60営業日前に安全評価の再申告を行う必要があります（同14条）。

本弁法が公布されるまでに、数度のパブリックコメントが行われてきました。

• 2017年4月11日：個人情報及び重要データ越境安全評価弁法（个人信息和重要数据出境安全评估办法）案
  第2条　ネットワーク運営者は、中華人民共和国国内における運営中に収集し及び発生する個人情報及び重要データを国内に保存しなければならない。業務の必要により国外に提供する必要が確かにある場合には本弁法に従い安全評価をしなければならない。
• 2019年6月13日：個人情報越境安全評価弁法（个人信息出境安全评估办法）案
  第2条　ネットワーク運営者は、中華人民共和国国内における運営中に収集した個人情報を国外に提供する（以下「個人情報越境」という。）場合には、本弁法に従い安全評価をしなければならない。安全評価の結果、個人情報の漏えいが国家の安全に影響を与え、公益を損なう可能性がある、または個人情報の安全を効果的に保護することが困難であると判断された場合には、越境してはならない。
• 2021年10月29日：データ越境安全評価弁法（数据出境安全评估办法）案
  第2条 中華人民共和国国内における運営中に収集及び発生する、重要データ及び法に基づき安全評価を行うべき個人情報を国外に提供するデータ処理者は、本弁法の規定に従って安全評価をしなければならない。法律または行政法規に別段の定めがある場合は、その規定に従うものとする。

これらのパブコメ案と比較すると、本弁法は、データ越境安全評価を行わなければならない要件を上記1～4まで明確に定めている、国内保存義務については定められていない（国内保存義務は、サイバーセキュリティ法などの他の法令によって義務づけられている。）といった特徴があります。

前述のとおり、本弁法は、2022年9月1日から施行されますが、本弁法の施行前に既に実施されたデータ越境活動で、本弁法の規定に適合しないものは、本弁法の施行日から6ヶ月以内に是正を完了する必要があるため、注意が必要です（同20条）。

なお、中国からの個人情報・重要データの越境移転の実務については、特集記事「中国の個人情報保護法（データ3法）の下での国外移転の実務」をご参照下さい。

ニューズレターのメール配信はこちら

特集「中国の個人情報保護法（データ3法）の下での国外移転の実務（前編：制度概要）」
特集「中国の個人情報保護法（データ3法）の下での国外移転の実務（後編：実務対応）」
特集「『重要データ』の中国からの越境移転」
ニューズレター「中国で個人情報越境標準契約（中国版SCC）弁法が公布」

データ越境安全評価弁法（仮訳）

[PDF][仮訳]データ越境安全評価弁法

第一条　データ越境活動を規制し、個人情報の権利及び利益を保護し、国家の安全と社会の公共利益を守り、国境を越えたデータの安全かつ自由な流動を促進するため、『中華人民共和国サイバーセキュリティ法』、『中華人民共和国データセキュリティ法』、『中華人民共和国個人情報保護法』等の法律法規に基づき、本弁法を制定する。

第二条　本弁法は、データ処理者が中華人民共和国において業務上収集及び生成する重要データ及び個人情報を国外に提供する際の安全評価に適用するものとする。 法律又は行政法規に別段の定めがある場合は、その定めに従うものとする。

第三条　データ越境安全評価は、事前評価と継続的な監督の組合せ、およびリスク自己評価と安全評価の組合せを堅持し、データ越境の安全リスクを防止し、法に基づく秩序だったデータの自由な流動を保障するものとする。

第四条　データ処理者は、国外にデータを提供するとき、以下のいずれかに該当する場合、所在地の省級のインターネット情報部門を通じて、国家インターネット情報部門にデータ越境安全評価を申告しなければならない。
(一)データ処理者が重要データを国外に提供する場合。
(二)重要情報インフラ運営者及び100万人以上の個人情報を取り扱う情報処理者が国外に個人情報を提供する場合。
(三)前年1月1日から累計で10万人の個人情報または1万人の機微個人情報を国外に提供するデータ処理者が国外に個人情報を提供する場合。
(四)国家インターネット情報部門が規定するデータ越境安全評価の申告を必要とするその他の状況。

第五条　データ処理者は、データ越境安全評価を申告する前に、以下の事項を重点的に評価して、データ越境リスクの自己評価を行うものとする。
(一)データ越境及び国外受領者による個人情報処理の目的、範囲、方法等の適法性、正当性、必要性
(二)越境データの規模、範囲、種類、機微の度合、データ越境が国家の安全、公共の利益、個人または組織の正当な権利及び利益にもたらす可能性のあるリスク
(三)国外受領者が負う責任義務、責任義務を履行する管理的及び技術的措置、越境データの安全を保障する能力
(四)データ越境時及び越境後の改ざん、破壊、漏えい、紛失、移転や不正取得、不正利用等のリスク、個人情報の権利及び利益を保護する方法がスムーズであるか等。個人情報の域外移転後の漏えい、毀損。改ざん、濫用等のリスク、個人が個人情報の権利利益を保護する方法がスムーズであるか等
(五)国外受領者との間で締結されたデータ越境関連契約又はその他の法的拘束力のある文書（以下総称して「法的文書」という。）において、データセキュリティ保護の責任義務が十分に取り決められているか
(六)データ越境の安全性に影響を及ぼす可能性のあるその他の事項

第六条　データ越境安全評価の申告に際しては、以下の資料を提出しなければならない。
(一)申告書
(二)データ越境リスクに関する自己評価報告書
(三)データ処理業者と国外受領者が締結した法的文書
(四)安全評価業務に必要なその他の資料

第七条　省級のインターネット情報部門は、申告資料を受領した日から5営業日以内に、完全性検査を完了させなければならない。申告した資料に不備がない場合、申告資料を国家インターネット情報部門に送付し、申告した資料に不備があり場合、データ処理者に返却し、必要な補充資料を一回告知しなければならない。
　国家インターネット情報部門は、申告資料を受領した日から7営業日以内に、受理するかどうかを決定し、データ処理業者に書面で通知しなければならない。

第八条　データ越境安全評価は、データ越境活動が国家の安全、公共の利益及び個人又は組織の正当な権利及び利益にもたらす可能性のあるリスクを重点的に評価し、主に以下の事項を含むものとする。
(一)データ越境の目的、範囲及び方法等の適法性、正当性、必要性
(二)国外受領者の所在国又は地域のデータセキュリティ保護政策及び法規並びにネットワークセキュリティ環境が越境データの安全に及ぼす影響、国外受領者のデータ保護水準が中華人民共和国の法律、行政法規の規定及び強制的な国家標準の要求を満たしているか。
(三)越境データの規模、範囲、種類、機微の度合、越境時及び越境後の改ざん、破壊、漏えい、紛失、移転や不正取得、不正利用等のリスク
(四)データセキュリティ並びに個人情報の権利及び利益を十分かつ効果的に保障できるか
(五)データ処理者と国外受領者との間で締結された法的文書において、データセキュリティ保護に関する責任義務について十分に取り決められているか
(六)中国の法律、行政法規、部門規則の遵守
(七)国家インターネット情報部門が評価する必要があると判断したその他の事項

第九条　データ処理者は、国外受領者と締結する法的文書において、少なくとも以下の内容を含む、データセキュリティ保護に関する責任義務について明確に取り決めるものとする。
(一)データ越境の目的、方法及びデータ範囲、国外受領者の処理データの用途、方法等
(二)国外におけるデータの保存場所、期間、保存期限に達した後、取決めの目的が達成された後、又は法的文書が終了した後の越境データの処理措置
(三)国外受領者が越境データを他の組織または個人に再移転するための拘束力のある要件
(四)国外受領者の実質的支配権や業務範囲に実質的な変化が生じた場合、国外受領者の所在国若しくは地域のデータセキュリティ保護政策及び法規並びにネットワークセキュリティ環境に変化が生じた場合、その他データセキュリティの保障が困難となる不可抗力的状況が生じた場合に、採るべき安全措置
(五)法的文書で取り決めたデータセキュリティ保護義務違反に対する救済措置、違約責任、及び紛争解決方法
(六)越境データについて改ざん、破損、漏えい、紛失、移転や不正アクセス、不正利用等のリスクが生じた時の、適切な緊急処置の要件及び個人情報の権利及び利益の保護を保障する方法及び手段

第十条　国家インターネット情報部門は、申告の受理後、申告状況に基づき、国務院の関連部門、省級のインターネット情報部門、専門機関等を組織し、安全評価を行うものとする。

第十一条　安全評価の過程でデータ処理者が提出した申告資料が要求を満たしていないことを発見した場合、国家インターネット情報部門は、その補充又は訂正を要求することができる。 データ処理者が正当な理由なく補充又は訂正を行わない場合、国家インターネット情報部門は安全評価を終了させることができるものとする。
　データ処理者は、提出した資料の真実性について責任を負うものとし、故意に虚偽の資料を提出した場合、評価不通過として処理され、法に基づき相応の法的責任を追及されるものとする。

第十二条　国家インターネット情報部門は、情報処理者に受理通知書を発した日から45営業日以内に、データ越境安全評価を完了しなければならない。状況が複雑である場合又は追加の資料若しくは訂正を必要とする場合、適切に延長し、データ処理者に延長予定期間を告知することができる。
　評価結果は、データ処理者に対して書面で通知されるものとする。

第十三条　データ処理者が評価結果について異議がある場合、評価結果の受領後15営業日以内に国家インターネット情報部門に再評価を申請することができ、再審査結果を最終結論とする。

第十四条　データ越境安全評価の通過結果の有効期間は、評価結果発行の日から 2 年間である。 データ処理者は、有効期間中に以下のいずれかが発生した場合、データ処理者は評価の再申告を行うものとする。
(一)国外提供するデータの目的、方法、範囲、種類、及び国外受領者のデータ処理の用途、方法に変化が生じ、越境データの安全性に影響を与え、又は個人情報及び重要データの国外保存期間が延長されたとき。
(二)国外受領者の所在国又は地域のデータセキュリティ保護政策及び法規並びにネットワークセキュリティ環境に変化が生じ、その他不可抗力的な状況が生じたとき、データ処理者または国外受領者の実質的支配権に変化が生じたとき、又は、データ処理者と国外受領者との間の法的文書の変更等が越境データの安全性に影響を与えるとき。
(三)越境データの安全性に影響を与えるその他の状況が生じたとき。
　有効期間が満了し、データ越境活動を継続する必要がある場合、データ処理者は有効期間満了の60営業日前に評価の再申告を行うものとする。

第十五条　安全評価に関わる関連機構及び人員は、職責の履行において知った個人のプライバシー、個人情報、商業秘密、営業秘密情報等のデータについて、法により秘密保持しなければならず、漏えい、他人への不法な提供、不法な使用を行ってはならない。

第十六条　いかなる組織及び個人も、データ処理者が本弁法に違反してデータを国外に提供したことを発見した場合、省級以上のインターネット情報部門に通報することができる。

第十七条　国家インターネット情報部門は、既に評価に通過したデータ越境活動が実際の処理過程においてデータ越境安全管理の要求を満たさなくなったことを発見した場合、データ処理者に対して、データ越境活動を終了するよう書面で通知しなければならない。データ処理者がデータ越境活動を継続する必要がある場合、要求に従って是正し、是正完了後に再度評価申告を行うものとする。

第十八条　本弁法の規定に違反した場合、『中華人民共和国サイバーセキュリティ法』、『中華人民共和国データセキュリティ法』、『中華人民共和国個人情報保護法』等の法律法規に基づき処理する。犯罪を構成する場合、法により刑事責任を追及する。

第十九条　本弁法にいう重要データとは、ひとたび改ざん、破損、漏えい又は不正取得、不正利用等が生じた場合に国家の安全、経済運営、社会の安定、公衆衛生及び安全に危害を及ぼすおそれのあるデータをいう。

第二十条　本弁法は、2022年9月1日から施行する。本弁法の施行前に既に実施されたデータ越境活動で、本弁法の規定に適合しないものは、本弁法の施行日から6ヶ月以内に是正を完了するものとする。