中国 意見募集 データ域外移転のセキュリティ評価に関する弁法
こんにちは、丸山満彦です。
中国のサイバースペース管理局が、「データ域外移転セキュリティ評価に関する弁法(意見募集稿)」についての意見募集をしていますね。。。
● 中央网络安全和信息化委员会办公室 (Cyberspace Administration of China: CAC)
| 2021.10.29 | 国家互联网信息办公室关于《数据出境安全评估办法(征求意见稿)》公开征求意见的通知 |
国家サイバースペース情報管理局「データ域外移転のセキュリティ評価に関する弁法(意見募集稿)」についての意見募集の通知 |
| 为了规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规,我办起草了《数据出境安全评估办法(征求意见稿)》,现向社会公开征求意见。... | データ域外移転活動を規制し、個人情報の権益を保護し、国家安全と社会公共の利益を守り、国境を越えたデータの安全で自由な流れを促進するために、中華人民共和国ネットワークセキュリティ法、中華人民共和国データセキュリティ法、中華人民共和国個人情報保護法およびその他の法令に基づき、事務局は「データ域外移転セキュリティ評価に関する弁法」(意見募集稿)を作成し、以下の通り公開します。 ... |
| 数据出境安全评估办法 | データ域外移転のセキュリティ評価に関する弁法 |
| (征求意见稿) | (意見募集稿) |
| 第一条 为了规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规,制定本办法。 | 第1条 本弁法は、データ域外移転活動を規制し、個人情報の権利と利益を保護し、国家安全保障と社会公共の利益を守り、国境を越えたデータの安全かつ自由な流れを促進するために、中華人民共和国ネットワークセキュリティ法、中華人民共和国データセキュリティ法、中華人民共和国個人情報保護法、およびその他の法令に基づいて制定される。 |
| 第二条 数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和依法应当进行安全评估的个人信息,应当按照本办法的规定进行安全评估;法律、行政法规另有规定的,依照其规定。 | 第2条 中華人民共和国の領域内で業務を遂行する過程で収集・生成された重要なデータおよび個人情報で、法律に基づいてセキュリティ評価を行うべきものを外国に提供する情報処理者は、本弁法の規定に従ってセキュリティ評価を行わなければならず、法律または行政法規に別段の定めがある場合は、その規定に従ってセキュリティ評価を行わなければならない。 |
| 第三条 数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动。 | 第3条 データ域外移転のセキュリティ評価は、事前評価と継続的な監督の組み合わせ、およびリスクの自己評価とセキュリティ評価の組み合わせを重視し、データ域外移転のセキュリティリスクを防止し、法律に基づいてデータの秩序ある自由な流れを確保しなければならない。 |
| 第四条 数据处理者向境外提供数据,符合以下情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。 | 第4条 データ処理者は、次のいずれかの状況で国外にデータを提供する場合、その所在地の省のネットワーク情報部門を通じて、国のネットワーク情報部門にデータ域外移転のセキュリティ評価を申告しなければならない。 |
| (一)关键信息基础设施的运营者收集和产生的个人信息和重要数据; | (1) 重要な情報インフラの運用者が収集・生成する個人情報や重要なデータ。 |
| (二)出境数据中包含重要数据; | (2) 送信データには重要なデータが含まれている。 |
| (三)处理个人信息达到一百万人的个人信息处理者向境外提供个人信息; | (3) 中国国外で個人情報を提供する100万人に達する個人情報を取り扱う個人情報処理業者。 |
| (四)累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息; | (4) 外国への個人情報の累計提供数が10万人以上、または1万人以上の機微な個人情報の提供 |
| (五)国家网信部门规定的其他需要申报数据出境安全评估的情形。 | (5) その他、国家インターネット情報局が規定するデータ域外移転セキュリティ評価の申告が必要な場合。 |
| 第五条 数据处理者在向境外提供数据前,应事先开展数据出境风险自评估,重点评估以下事项: | 第5条 データ処理者は、中国国外にデータを提供する前に、以下の事項に着目してデータの域外移転リスクの自己評価を行わなければならない。 |
| (一)数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性; | (1) データ域外移転の合法性、正当性および必要性、ならびに海外の受取人によるデータ処理の目的、範囲および方法。 |
| (二)出境数据的数量、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险; | (2) 域外移転されるデータの量、範囲、種類、および感度、およびデータの輸出が国家安全保障、公共の利益、および個人または組織の合法的な権利と利益に及ぼすリスク |
| (三)数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险; | (3) データ転送プロセスにおける情報処理者の管理上および技術上の対策と能力が、データの漏洩や破壊などのリスクを防止できるかどうか。 |
| (四)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全; | (4) 海外の受取人が負う責任と義務、およびその責任と義務を果たすための管理・技術的手段と能力が、国外に出るデータのセキュリティを保証できるかどうか。 |
| (五)数据出境和再转移后泄露、毁损、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等; | (5) 輸出・再輸出後のデータの漏洩、破壊、改ざん、誤用等のリスクと、個人が個人情報の権利・利益を保護するためのルートが明確になっているかどうか、等。 |
| (六)与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务。 | (6) 海外の受取人との間で締結されたデータ域外移転関連契約において、データのセキュリティ保護に関する責任と義務が適切に合意されているかどうか。 |
| 第六条 申报数据出境安全评估,应当提交以下材料: | 第6条 データ域外移転セキュリティ評価の申告には、以下の資料を提出するものとする。 |
| (一)申报书; | (1) 宣言書 |
| (二)数据出境风险自评估报告; | (2) データ流出のリスクに関する自己評価報告書 |
| (三)数据处理者与境外接收方拟订立的合同或者其他具有法律效力的文件等(以下统称合同); | (3) 情報処理者と海外の受取人との間で締結された契約書その他の法的拘束力のある文書等(以下、総称して「契約書」という。) |
| (四)安全评估工作需要的其他材料。 | (4) その他、セキュリティ評価に必要な資料 |
| 第七条 国家网信部门自收到申报材料之日起七个工作日内,确定是否受理评估并以书面通知形式反馈受理结果。 | 第7条 国のネットワーク情報部門は、申告資料を受領した日から7営業日以内に、評価を受け入れるかどうかを決定し、書面による通知の形で受け入れ結果をフィードバックするものとする。 |
| 第八条 数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,主要包括以下事项: | 第8条 データ域外移転セキュリティ評価は、データ域外移転活動が国家安全保障、公共の利益、および個人または組織の合法的な権利と利益に及ぼす可能性のあるリスクを評価することに重点を置き、主に以下の事項を含む。 |
| (一)数据出境的目的、范围、方式等的合法性、正当性、必要性; | (1) データ輸出の目的、範囲および方法の合法性、正当性および必要性 |
| (二)境外接收方所在国家或者地区的数据安全保护政策法规及网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规规定和强制性国家标准的要求; | (2) 海外の受取人が所在する国・地域のデータセキュリティ保護政策・規制およびネットワークセキュリティ環境が輸出データのセキュリティに与える影響、海外の受取人のデータ保護レベルが中華人民共和国の法律、行政法規および強制的な国家基準の要件を満たしているかどうか。 |
| (三)出境数据的数量、范围、种类、敏感程度,出境中和出境后泄露、篡改、丢失、破坏、转移或者被非法获取、非法利用等风险; | (3) 送出データの量、範囲、種類および感度、送出中および送出後のデータの漏洩、改ざん、紛失、破壊、転送または不正アクセス、不正使用のリスク |
| (四)数据安全和个人信息权益是否能够得到充分有效保障; | (4) データセキュリティおよび個人情報の権利と利益が完全かつ効果的に保護されるかどうか |
| (五)数据处理者与境外接收方订立的合同中是否充分约定了数据安全保护责任义务; | (5) データ処理者と海外の受取人との間で締結された契約において、データのセキュリティ保護に関する責任と義務が適切に合意されているかどうか。 |
| (六)遵守中国法律、行政法规、部门规章情况; | (6) 中国の法律、行政規則、部門規則の遵守 |
| (七)国家网信部门认为需要评估的其他事项。 | (7) その他、国のネットワーク情報部門が評価するために必要と考える事項。 |
| 第九条 数据处理者与境外接收方订立的合同充分约定数据安全保护责任义务,应当包括但不限于以下内容: | 第9条 データ処理者と海外の受取人がデータセキュリティ保護の責任と義務について適切に合意するために締結する契約には、以下の内容が含まれるが、これに限定されるものではない。 |
| (一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等; | (1) データの出国の目的、方法、範囲、および海外の受取人によるデータ処理の用途と方法 |
| (二)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者合同终止后出境数据的处理措施; | (2) 国外でデータを保管する場所、その期間、および保管期間に達した後、合意された目的が完了した後、または契約が終了した後に国外に出たデータを処理するための手段 |
| (三)限制境外接收方将出境数据再转移给其他组织、个人的约束条款; | (3) 海外の受取人が輸出されたデータを他の組織または個人に再譲渡することを制限する拘束条項 |
| (四)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区法律环境发生变化导致难以保障数据安全时,应当采取的安全措施; | (4) 実質的な支配力や事業範囲に重大な変化が生じた場合や、海外の受取人が所在する国や地域の法的環境が変化してデータの安全性を確保することが困難になった場合に、海外の受取人が講ずべきセキュリティ対策。 |
| (五)违反数据安全保护义务的违约责任和具有约束力且可执行的争议解决条款; | (5) データセキュリティ保護義務の違反に対する責任および拘束力と執行力のある紛争解決条項 |
| (六)发生数据泄露等风险时,妥善开展应急处置,并保障个人维护个人信息权益的通畅渠道。 | (6) データの漏洩などのリスクが発生した場合、緊急時の対応を適切に行い、個人情報の権利・利益を保護するために、円滑な経路を確保すること。 |
| 第十条 国家网信部门受理申报后,组织行业主管部门、国务院有关部门、省级网信部门、专门机构等进行安全评估。 | 第10条 国のネットワーク情報部門は、申告を受けた後、管轄の業界部門、国務院の関連部門、省のネットワーク情報部門、専門機関を組織して、セキュリティ評価を行う。 |
| 涉及重要数据出境的,国家网信部门征求相关行业主管部门意见。 | 国外の重要なデータに関わるため、国のネットワーク情報部門が担当の関連業界部門の意見を求める。 |
| 第十一条 国家网信部门自出具书面受理通知书之日起四十五个工作日内完成数据出境安全评估;情况复杂或者需要补充材料的,可以适当延长,但一般不超过六十个工作日。 | 第11条 国のネットワーク情報部門は、受理通知書の発行日から45営業日以内にデータ域外移転のセキュリティ評価を完了しなければならない。状況が複雑な場合や追加資料が必要な場合は、適切に延長することができるが、通常は60営業日を超えないものとする。 |
| 评估结果以书面形式通知数据处理者。 | データ処理者には、評価結果を書面で通知するものとします。 |
| 第十二条 数据出境评估结果有效期二年。在有效期内出现以下情形之一的,数据处理者应当重新申报评估: | 第12条 データ域外移転評価の結果は、2年間有効とする。 有効期間中に以下のいずれかの状況が発生した場合、情報処理者は評価を再宣言するものとする。 |
| (一)向境外提供数据的目的、方式、范围、类型和境外接收方处理数据的用途、方式发生变化,或者延长个人信息和重要数据境外保存期限的; | (1) 国外に提供されるデータの目的、方法、範囲、種類、および国外の受領者によるデータ処理の用途と方法に変更があり、または個人情報および重要なデータを国外に保管する期間が延長される場合。 |
| (二)境外接收方所在国家或者地区法律环境发生变化,数据处理者或者境外接收方实际控制权发生变化,数据处理者与境外接收方合同变更等可能影响出境数据安全的; | (2) 海外の受取人が所在する国または地域の法的環境の変化、情報処理者または海外の受取人の実質的な支配力の変化、情報処理者と海外の受取人との間の契約の変更など、送信データのセキュリティに影響を与える可能性のあるもの。 |
| (三)出现影响出境数据安全的其他情形。 | (3) その他、送信データのセキュリティに影響を与える状況が発生した場合。 |
| 有效期届满,需要继续开展原数据出境活动的,数据处理者应当在有效期届满六十个工作日前重新申报评估。 | 有効期間が満了し、当初のデータ輸出活動を継続する必要がある場合、データ処理者は有効期間満了の60営業日前に評価を再宣言するものとする。 |
| 未按本条规定重新申报评估的,应当停止数据出境活动。 | 本条の規定に従って評価が再申告されない場合は、データ輸出活動を停止する。 |
| 第十三条 数据处理者应当按照本办法的规定提交评估材料,材料不齐全或者不符合要求的,应当及时补充或者更正,拒不补充或者更正的,国家网信部门可以终止安全评估;数据处理者对所提交材料的真实性负责,故意提交虚假材料的,按照评估不通过处理。 | 第13条 データ処理者は、本弁法の規定に従って審査資料を提出しなければならない。資料が不完全であったり、要件を満たしていない場合は、適時に補足または修正しなければならず、補足または修正を拒否した場合、国のネットワーク情報部門はセキュリティ審査を終了することができる。データ処理者は、提出された資料の真正性に責任を負い、意図的に虚偽の資料を提出した場合は、審査不合格に準じて処理される。 |
| 第十四条 参与安全评估工作的相关机构和人员对在履行职责中知悉的国家秘密、个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。 | 第14条 セキュリティ評価業務に携わる関係機関および担当者は、職務遂行上知り得た国家機密、個人のプライバシー、個人情報、商業秘密、業務上の機密情報などのデータを、法律に基づいて秘密に保持し、他人に開示したり不正に提供したりしてはならない。 |
| 第十五条 任何组织和个人发现数据处理者未按照本办法规定进行评估向境外提供数据的,可以向省级以上网信部门投诉、举报。 | 第15条 データ処理者が本弁法の規定に従って国外にデータを提供するための審査を行っていないことを発見した組織または個人は、省レベル以上のネットワーク情報部門に苦情または報告を提出することができる。 |
| 第十六条 国家网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,应当撤销评估结果并书面通知数据处理者,数据处理者应当终止数据出境活动。需要继续开展数据出境活动的,数据处理者应当按照要求进行整改,并在整改完成后重新申报评估。 | 第16条 国のネットワーク情報部門は、評価に合格したデータ輸出活動が実際の処理の過程でデータ輸出セキュリティ管理の要件を満たさなくなったと判断した場合、評価結果を撤回し、データ処理者に書面で通知するものとし、データ処理者はデータ輸出活動を終了するものとする。 データ域外移転の活動を継続する必要がある場合、データ処理者は要求事項に従って修正を行い、修正の完了後に評価を再宣言する。 |
| 第十七条 违反本办法规定的,依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规的规定处理;构成犯罪的,依法追究刑事责任。 | 第17条 本弁法の規定に違反した場合は、中華人民共和国ネットワークセキュリティ法、中華人民共和国データセキュリティ法、中華人民共和国個人情報保護法およびその他の法令の規定に基づいて処理され、犯罪に該当する場合は、法令に基づいて刑事責任が追及される。 |
| 第十八条 本办法自 年 月 日起施行。 | 第18条 本弁法は、X年X月X日から施行する。 |
Comments