中国「データ越境移転安全評価規則(意見募集稿)」の公表とその概要
2021/11/05   海外法務, 情報セキュリティ, 中国法

GBL研究所理事・CIPP/E　浅井敏雄^[1]

 

中国では, サイバーセキュリティ法(CSL)およびデータセキュリティ法(DSL)に続き, 本年11月1日から個人情報保護法(PIPL)が施行されました[2]が, 10月29日, 中国サイバースペース管理局(CAC)は, CSL/DSL/PIPL(以下「三法」)に基づく行政規則(日本の内閣の政令相当)案である「データ越境移転安全評価規則(意見募集稿)」(原文：「数据出境安全评估办法(征求意见稿)」(以下「本規則案」)[3]を公表しました(意見募集期限：11月28日)。

本規則案の内容は, 日本企業またはその中国関連会社による中国からのデータ(個人情報を含む)越境移転に重大な影響を及ぼし得るもので, 本稿では本規則案の内容不明点を含め解説します。

なお, 以下において, (  )内の数字は条文番号, [  ]内の内容は筆者による補足・追記です。

 

【目　　次】 (各箇所をクリックすると該当箇所にジャンプします) I. 現行法上のデータ越境移転規制 II. データ処理者の安全評価申請義務 III. データ処理者の自己評価義務 VI. データ処理者のデータ国外提供安全評価申請義務 V. データ国外提供安全評価およびその結果通知 VI. 安全評価の評価要素および関連部門の関与 VII. データ処理者・国外受領者間の契約 VIII. 安全評価の完了期限と結果通知 IX. 安全評価結果の有効期限とデータ処理者の再申請義務 X. データ処理者の提出評価資料に関する義務 XI. 評価結果の取消し XII. データ国外提供安全評価のプロセスのまとめ XIII. おわりに

 

I.  現行法上のデータ越境移転規制

最初に, 現在施行されている三法および「自動車データ安全管理若干規定(試行)」^[4](以下「自動車規定」)に基づく中国からのデータ越境移転規制の全体を整理した表を以下に示します。

なお,

個人情報の国外提供については, いずれの場合も, 更に, 事前に, 本人の個別同意と個人情報保護影響評価[自己評価]が必要です(PIPL 39, 55)。

下表および本稿においては, PIPL 40条に定める「処理する個人情報が国家ネットワーク情報部門[CAC]が定める数量に達した個人情報処理者」を「大量個人情報処理者」としています。

また、重要情報インフラ運営者, 大量個人情報処理者, 自動車データ処理者いずれにも該当しない者を「一般事業者」としています。

	個人情報	重要データ	左記以外のデータ
重要情報インフラ運営者	原則中国国内で保存。国外提供は安全評価合格要(CSL 37, DSL 31, PIPL 40).		特別の制限はない (但し, 国家機密保護法, 輸出管理法等の他法による規制はあり得る)
大量個人情報処理者	原則中国国内で保存。国外提供は安全評価合格要(PIPL 40)。	CACが国務院関連部門と別途共同制定する行政規則遵守要(DSL 31)。
一般事業者	国外提供は以下のいずれかが必要。 - 個人情報保護認証取得/標準契約書締結/その他法令等で定める国外提供の条件(PIPL 38(1))。
自動車データ安全管理若干規定上の「自動車データ処理者」	以下のデータ・個人情報を「重要データ」として原則国内保存要。国外提供は安全評価合格要(規定11(1)前段)： - 軍事管理区域等の地理的情報・交通・通行量／交通量・物流データ／充電ネットワーク運用データ／顔データ／ナンバープレートデータ／10万人超の個人(自動車の所有者, 運転者, 同乗者, 通行人等)の個人情報, 等。		国外提供の安全管理には, 法律・行政法規の関連規定適用(規定11(1)後段)

(注) 表中の『自動車データ安全管理規定上の「自動車データ処理者」』とは, 「自動車データ」(自動車の設計・製造・販売・利用・運行・保守の過程において収集・利用される, 個人情報を含むデータおよび重要データ)を処理する自動車メーカー, 部品・ソフトウェア供給者, 販売業者, 保守修理業者, 配車サービス企業等を意味する(規定3)。

しかしながら,

(a)何者が「重要情報インフラ運営者」かについては, 「重要情報インフラ安全保護条例」(本年9月1日施行)に従い, 関係産業・分野の主管部門・監督管理部門が認定ルールを定め, これによる認定結果を運営者に通知することになっています(8-11)。

(b)何者が「大量個人情報処理者」であるかはCACが定める(PIPL 40)とされています。

(c)何が「重要データ」であるかについては, 定義はなく, 国家データセキュリティ調整機構が, 重要データの目録を作成・制定するとされています(DSL 21)(但し自動車データ安全管理規定上の「重要データ」は上記表中の記載の通り)。

(d)「安全評価」の内容については, CACが国務院関連部門と共同で行うことだけが定まっています。

(e)個人情報保護認証/標準契約書等の内容・利用可能時期等は未定です。

 

本規則案では, 上記(b)の「大量個人情報処理者」, (d)の「安全評価」の内容等が規定されています。

page top

II.  データ処理者の安全評価申請義務

【本規則案の規定内容】

データを処理する者(数据处理者)[以下「データ処理者」]は, データ(数据)を国外[中国本土外]に提供(境外提供)しかつ以下のいずれかに該当する場合, その所在する省のネットワーク情報部門を通じ, 国家ネットワーク情報部門[CACのことであり以下「CAC」とする]にデータ国外提供安全評価の審査を申請しなければならない(4)。

(1) 重要情報インフラの運営者が収集・生成した個人情報または重要データ[を国外提供する場合]。

(2) 国外提供データに重要データが含まれる場合。

(3) 100万人分以上の個人情報を処理する個人情報処理者が個人情報を国外に提供する場合。

(4) 累計で, 10万人分以上の個人情報または1万人分以上の機微個人情報(敏感个人信息)を国外提供する場合

(5) その他, CACがデータ国外提供安全評価申請が必要と定める場合。

【解　説】

上記の(2)は主語(主体)を限定していないので, 「一般事業者」も重要データを中国国外に提供する場合は安全評価申請が必要ということになります。

上記の(3)および(4)に該当する個人情報の国外提供を行う者が, 実質的に, PIPL(40)上の「処理する個人情報が国家インターネット情報部門の規定する数量に達した個人情報処理者」(「大量個人情報処理者」)に当たると思われます。

上記(4)の「累計して」は「10万人分以上の個人情報」と「1万人分以上の機微個人情報」の両方にかかると思われます。しかし, 「累計して」の意味は, 例えば, 本規則施行の後(またはその前)からずっと累計するのか, 暦年ごとに累計するのか等, 明らかではありません。

上記(1)～(3)については, これらに該当すれば, ただ1人分の個人情報またはただ1件の重要データの国外提供であっても安全評価が必要であるように解されます。しかし, 本当にそれが意図されているのか不明です。

上記(5)は, 必ずしも法律または行政規則による定めを要求していません。従って, 法律または行政規則に定める場合以外でもCACは安全評価が申請な場合を随時指定できるものと解されます。

page top

III. データ処理者の自己評価義務

【本規則案の規定内容】

データ処理者は, データの国外提供を行う場合, 事前に, 以下の事項を重点として, データ国外提供リスクに関し自己評価を行わなければならない(5)。

(1) そのデータ国外提供および国外の受領者(境外接收方)[以下「国外受領者」]によるデータ処理の目的, 範囲, 方法等の合法性, 正当性および必要性。

(2) 国外提供データの量, 範囲, 種類および機微度(敏感程度), 並びに, データ国外提供が国家安全[保障], 公共の利益または個人・組織の合法的権益に及ぼすおそれがあるリスク。

(3) データ提供過程におけるデータ処理者の管理上および技術上の措置・能力が, データの漏洩・毀損等のリスクを防止できるものであるか否か。

(4) 国外受領者が負うことを合意した責任・義務および当該責任・義務を履行するための管理的・技術的手段・能力が, 国外提供データの安全を保証できるものか否か。

(5) 国外提供または国外再提供[国外での他者への提供]後のデータの漏洩, 毀損, 改ざん, 不正利用等のリスク, 並びに, 個人[本人]が個人情報権益を保護するための手段が利用可能か否か等。

(6) 国外受領者との間で締結されたデータ国外提供関連契約において, データ安全保護責任・義務が十分に定められているか否か。

【解　説】

次のVI以下で分かるように, 本規則案上の安全評価制度は, ①データ処理者による自己評価⇒②CACによる安全評価⇒③CAC安全評価に合格ならデータ国外提供可というものです。

なお, 本規則案上「データ」の定義はなく, これを全ての情報・データ(DSL(3(1))と解すると, 重要データでも個人情報でもないデータの国外提供にも本規定で定める自己評価が必要であるかのように読めます。しかし, 本規則案第1条では重要データまたは個人情報を国外に提供するデータ処理者に対し本規則案に従い安全評価を行わなければならない旨規定しています。従って, おそらく, 重要データでも個人情報でもないデータの国外提供には本規定で定める自己評価は不要ではないかと思われます。

この自己評価と, PIPL(55)において個人情報処理者が個人情報の国外提供について事前に行うことが義務付けられている個人情報保護影響評価との関係は不明です。

page top

VI.   データ処理者のデータ国外提供安全評価申請義務

【本規則案の規定内容】

[データ処理者は, ]データ国外提供安全評価の申請に当たり, 以下の資料を提出しなければならない(6)。

(1) 申請書

(2) データ国外提供リスクに関する自己評価報告書

(3) データ処理者・国外受領者間で締結された契約書その他法的拘束力ある文書等(以下「契約書」と総称)

(4) その他, 安全評価に必要な資料

【解　説】

安全評価申請者がCACに提出すべき資料は, 上記(1)～(3)だけでも, 申請企業および国外受領者(親企業)の情報セキュリティ, 国外提供に係るビジネス・業務等の企業の秘密情報に及ぶ可能性があり, 更に, 上記(4)により, CACはその裁量で他の情報も要求することができる(後記XIの通りその担保もある)ので, 企業の内部情報の中国政府への強制提出およびその秘密保持が懸念されます(一応職務上の秘密保持義務規定(14)はありますが)。

上記規定だけでは安全評価申請をどのような単位で行うべきかは明らかではありません。(例)申請企業の実施しているまたは将来実施予定のデータ国外提供全部について一括申請できるのか, 国外受領者ごと(にリスクが異なり得るので)なのか, 単発でなく継続的な国外提供の扱いはどうなるのか等。

page top

V.  データ国外提供安全評価およびその結果通知

【本規則案の規定内容】

CACは, 申請資料受領日から7営業日以内に, データ処理者による自己評価を受理するか否かを決定し, 書面による通知によりその結果を通知する(7)。

【解　説】

上記の「受理」は, データ処理者による自己評価の内容を評価し, それが適切かつ十分と認定した上での「受理」と解されます。

page top

VI.  安全評価の評価要素および関連部門の関与

【本規則案の規定内容】

[CACによる]データ国外提供安全評価は, データ国外提供が国家安全, 公共の利益および個人・組織の合法的権益に及ぼす可能性あるリスクを評価することに重点を置き, 主に以下の事項を含めなければならない(8)。

(1) データ国外提供の目的, 範囲および方法の合法性, 正当性および必要性。

(2) 国外受領者が所在する国・地域のデータ安全保護政策・法令およびネットワーク安全環境が国外提供データの安全に与える影響。国外受領者のデータ保護水準が中国の法律, 行政法規および強制的国家標準の要件を満たすか否か。

(3) 国外提供データの量, 範囲, 種類および機微度, 国外提供中および国外提供後のデータの漏洩, 改ざん, 紛失, 毀損, 提供, 不正アクセスまたは不正使用のリスク。

(4) データの安全および個人情報に関する権益が十分かつ効果的に保護されるか否か。

(5) データ処理者・国外受領者間の契約上, データの安全保護に関する責任・義務が十分に規定されているか否か。

(6) 中国の法律, 行政規則, 部門規則の遵守状況

(7) その他, CACが評価が必要と認める事項。

CACは, [データ国外提供安全評価の審査]申請受領後, 業界管轄部門[官庁], 国務院の関連部門, 省のネットワーク情報部門, 専門機関等を組織して安全評価を行う(10(1))。

CACは, 重要データの国外提供に関しては, 関連業界管轄部門の意見を求めなければならない(10(2))。

【解　説】

データ国外提供に安全評価が義務付けられている場合, その安全評価に合格しない限りその国外提供はできません。ところが, その合否を決定するための評価要素は, 上記の通り抽象的, 客観的基準設定不能かつ時・所により変わり得るもので(例：国家安全リスク), 上記(7)の通り「その他, CACが評価が必要と認める事項」まで含みます。そして, 最終的に合否を決定するのは中国政府(CAC)です。

従って, 安全評価の合否については, 中国政府が, その時々における国際関係(例：米中・日中間の緊張関係), 評価申請企業の所属企業グループまたは国外受領者の親中度または反中度, 重要データについては中国にとっての重要度等を考慮して自由裁量で決定できる可能性があると思われます。

page top

VII. データ処理者・国外受領者間の契約

【本規則案の規定内容】

データ処理者と国外受領者間の契約には, 以下の内容(但しこれに限らない)を含め, データ安全保護の責任・義務が十分に規定されなければならない(9)。

(1) データ国外提供の目的, 方法および範囲, 並びに, 国外受領者によるデータ処理の目的および方法

(2) 国外でデータが保存される場所・期間, 当該保存期限経過後, 合意した目的達成後または契約終了後における国外提供データの処理の扱い

(3) 国外受領者が国外提供データを他の組織・個人に再提供することを制限する拘束力ある条項

(4) 国外受領者の実質的支配者または事業範囲に重大な変化が生じた場合, または, 国外受領者が所在する国・地域の法的環境が変化し当該データの安全確保が困難となった場合において講ずべき安全措置

(5) データの安全保護義務違反に対する責任および拘束力および執行力ある紛争解決条項

(6) データ漏洩等のリスクが生じた場合, これに対する緊急対応を十分に行うこと, および, 本人がその個人情報権益を保護するための手段

【解　説】

上記規定からすると, 本規則案上, データ処理者は, 重要データか個人情報かを問わず, それらを国外提供する場合には, 上記要件を満たす契約を締結しなければなりません。

しかし, PIPL上は, 一般事業者が個人情報の国外提供を行う条件の1つとして, 国外受領者との間でCACの定める標準契約書を締結することが挙げられています(38(1)(三))。

上記を矛盾なく解釈しようとすると, 以下の通りになると思われますが, 本規則起草者の意図もそうなのかは明らかではありません。

(a) 一般事業者が, (i)重要データを国外提供する場合には本規則に従い上記要件を満たす契約を締結し, (ii)個人情報を国外提供する場合にはPIPLに従いCACの定める標準契約を締結する。

(b) 重要情報インフラ運営者, 大量個人情報処理者または自動車データ処理者が, 重要データまたは個人情報を国外提供する場合は, 本規則に従い上記要件を満たす契約を締結する。

上記要件を満たす契約の内容は, CACが安全評価で適切と認めるものでなければなりません。これは, 実質的に, CACがデータ処理者・国外受領者間で締結すべき契約の内容を指示し得る結果になると思われるところ, 例えば, 中国の裁判所(人民法院)または仲裁による紛争解決条項や, 国外受領者(例：日本の親会社)も当該契約の遵守に関しCACの監督を受ける旨の規定等を強制されないか懸念されます。

上記要件を満たす契約は上記(VI)の通り安全評価申請の際添付しなければならないので, 中国語で作成するか, または少なくとも中国語の訳文提出が要求されると思われます。

page top

VIII. 安全評価の完了期限と結果通知

【本規則案の規定内容】

CACは, 受理通知書[データ処理者による自己評価に対する受理通知書と思われる]発行日から45営業日以内にデータ国外提供安全評価を完了しなければならない。但し, 複雑な申請事案の場合または追加資料が必要な場合には当該期間を延長できる。但し, 一般に60営業日を超えてはならない。(11(1))

[CACは, ]データ処理者に評価結果を書面で通知しなければならない(11(2))。

【解　説】

上記の通り, データ国外提供の安全評価申請から合格通知まで最大7+45=52営業日(複雑な案件等では7+60=76営業日+α)かかることになります。しかし, 以下のような理由から, 実際には申請後評価完了待ちの案件が大量滞留することも予想されます。

(a) 申請受付開始時には多数の申請が集中するであろうこと。

(b) 一般事業者による重要データの国外提供の安全評価まで義務付けるのであれば申請件数が大幅に増加するであろうこと。

(c) CACの審査能力・キャパシティー。

(d) 前記VIの通りCAC以外の部門も審査に関与させ意見調整することに要する期間。

ここで, 申請受付開始前, および, 申請受付開始後の申請から合格通知受領までの期間, データの国外提供は禁止されるのか？　三法(CSL 37, DSL 31, PIPL 40)および自動車規定(11)の条文上, あくまで国外提供前に安全評価に合格することが要求されていると読めます。従って, 少なくとも条文上は, 安全評価合格までは対象のデータ国外提供は禁止されることになります。しかし, このようなことが現実的・合理的なのか疑問であり, 中国政府がこれに対しどのように対応するのか注視が必要です。

page top

IX. 安全評価結果の有効期限とデータ処理者の再申請義務

【本規則案の規定内容】

データ国外提供評価の結果の有効期間は2年間とする。当該有効期間中に以下のいずれかの事由が生じた場合, データ処理者は再度評価を申請しなければならない。(12(1))

(1) 国外提供データの提供の目的, 方法, 範囲もしくは種類または国外受領者によるデータ処理の目的もしくは方法に変更があった場合, または, 個人情報もしくは重要データの国外保存期間が延長される場合。

(2) 国外受領者の所在国・地域の法的環境の変化, データ処理者または国外受領者の実質的支配者の変化, データ処理者・国外受領者と間の契約の変更等により, 提供データの安全に影響を与える可能性が生じた場合

(3) その他, 提供データの安全に影響を与える事由が生じた場合。

データ処理者は, [前項の]有効期間満了後に当初のデータ国外提供を継続しなければならない場合, 当該有効期間満了60営業日前までに再度評価申請しなければならない(12(2))。

[データ処理者は, ]本条に従い評価を再度申請しない場合, 当該データ国外提供はこれを停止しなければならない(12(3))。

【解　説】

上記の有効期間中の再申請が必要な事由は, 上記(3)の通り, 「その他, 提供データの安全に影響を与える事由が生じた場合」まであり, 非常に判定困難と思われます。従って, 実際上は, CACの判断により再申請を指示され, かつ, 安全評価不合格とされデータ国外提供を中止せざるを得ない事態が生じ得るように思われます。

page top

XI. データ処理者の提出評価資料に関する義務

【本規則案の規定内容】

データ処理者は, [安全評価を申請する場合]本規則に従った評価資料を提出しなければならない。データ処理者は, 評価資料が不完全な場合または要件を満たさない場合, 適時にこれを補足または是正しなければならない。データ処理者がかかる補足または是正を拒否した場合, CACは安全審査を中止(终止)できる。

データ処理者は, 提出資料の真正さに責任を負うものとし, 故意に虚偽の資料を提出した場合は評価の審査に合格しなかったものとみなす。(以上13)

page top

XI.  評価結果の取消し

【本規則案の規定内容】

CACは, 安全評価に合格したデータ国外提供が実際の処理過程でデータ国外提供安全要件を満たさなくなったと判断した場合, 当該評価結果を取消し, その旨データ処理者に書面で通知する。この場合データ処理者は当該データ国外提供を停止しなければならない。

データ処理者は, データ国外提供の継続が必要な場合, 当該要件を満たす措置を講じ, その完了後に評価再度申請しなければならない。(以上16)

【解　説】

上記規定により, データ処理者は, 一旦安全評価に合格し国外提供を開始したとしても, CACによりその評価を取消され提供を中断しなければならない可能性があります。

page top

XII. データ国外提供安全評価のプロセスのまとめ

以上をまとめると, 以下のようなプロセスになると思われます。

① データ処理者による自己評価(5)。

②データ処理者からCACに安全評価申請(自己評価書, 国外受領者との契約書等の資料添付)(6)。提出資料が不完全・要件不備の場合適時補足・是正要／これをしない場合安全審査中止(13)。

③CACによる, 上記自己評価を受理するか否かの決定およびデータ処理者への結果通知書発行(申請資料受領日から7営業日以内)(7)。

④CACによる安全評価(国家安全への影響, 国外受領者との契約内容等重点審査)(8,9)

⑤CACによる安全評価完了(上記③の受理通知書発行日から45営業日以内)／安全評価結果通知書発行(11)。

⑥安全評価結果通知書発行から2年間(同結果の有効期間)中に国外提供データの安全に影響を与える事由が生じた場合：データ処理者よりCACに再度評価申請。有効期間満了後に提供継続する場合もその満了60営業日前までに再度評価申請。(12)

page top

XIII. おわりに

上記の通り, 本規則案には不明点や必ずしも合理的と思われない点等もあります。影響を受ける日本企業等としては, 必要に応じ, 意見書を提出し前者の明確化, 後者の是正等を求めること, および, 今後の進展(本規則案の第2次案公表)等を注視することが必要と思われます。

以　上

page top

【注】

 

[1] 【本稿の筆者】 一般社団法人GBL研究所理事／IAPP CIPP/E (Certified Information Privacy Professional/Europe)／UniLaw企業法務研究所代表 浅井敏雄(Facebook)

[2] 【三法等の詳細】 (参考) 浅井敏雄 「中国データ・情報関連法」

[3] 【「データ国外提供安全評価規則(意見募集稿)」】　原文：「数据出境安全评估办法(征求意见稿)」。(英訳) (1) Stanford University DigiChina “Outbound Data Transfer Security Assessment Measures (Draft for Comment)”. (2) China Law Translate “Measures for Data Export Security Assessments (Draft for Solicitation of Comments)”.

[4] 【「自動車データ安全管理若干規定(試行)」】 原文「汽车数据安全管理若干规定(试行)」. (参考) (1) King & Wood Mallesons - Mark Schaub, Atticus Zhao and Fu Guangrui (Mark) "China Issues New Rules on Data Security in Auto Industry" September 2 2021, Lexology. (2) Jenny Sheng, Chunbin Xu, Esther Tao "China Publishes Regulation on Management of Automobile Data Security" September 2, 2021, JD Supra.