中国 国家サイバースペース管理局 「データ越境セキュリティ評価弁法」を公表 (2022.07.07)
こんにちは、丸山満彦です。
中国の国家サイバースペース管理局(国家互联网信息办公室)がデータ越境セキュリティ評価弁法(数据出境安全评估办法)を公表していますね。。。
・重要情報インフラ事業者、
・100万人以上の個人情報を取り扱うデータ処理業者による個人情報の国外提供
・前年の1月1日以降に累計10万人分の個人情報または1万人分の機密個人情報を提供したデータ処理業者による個人情報の国外提供
をした事業者についてデータ越境セキュリティ評価を求めるもののようです。。。
● 中央网络安全和信息化委员会办公室 (Cyberspace Administration of China: CAC)
・2022.07.07 国家互联网信息办公室公布《数据出境安全评估办法》
国家互联网信息办公室公布《数据出境安全评估办法》 | 国家サイバースペース管理局、「データ越境セキュリティ評価弁法」を公表 |
7月7日,国家互联网信息办公室公布《数据出境安全评估办法》(以下简称《办法》),自2022年9月1日起施行。国家互联网信息办公室有关负责人表示,出台《办法》旨在落实《网络安全法》、《数据安全法》、《个人信息保护法》的规定,规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,切实以安全保发展、以发展促安全。 | 7月7日、国家サイバースペース管理局は、2022年9月1日から施行される「データ越境セキュリティ評価弁法」(以下、「本弁法」)を発表した。 国家サイバースペース管理局の関係責任者は、本弁法の導入は、「ネットワークセキュリティ法」、「データセキュリティ法」、「個人情報保護法」の規定を実施し、データ越境活動を規制し、個人情報の権益を保護し、国家の安全と社会公共利益を守り、国境を越えたデータの安全かつ自由な流れを促進し、安全とともに発展を確保し、発展とともに安全を推進することを目的としていると述べた。 |
近年来,随着数字经济的蓬勃发展,数据跨境活动日益频繁,数据处理者的数据出境需求快速增长。明确数据出境安全评估的具体规定,是促进数字经济健康发展、防范化解数据跨境安全风险的需要,是维护国家安全和社会公共利益的需要,是保护个人信息权益的需要。《办法》规定了数据出境安全评估的范围、条件和程序,为数据出境安全评估工作提供了具体指引。 | 近年、デジタル経済の活況に伴い、データの越境活動が頻繁に行われるようになり、データ処理者のデータ越境のニーズが急速に高まっている。 データ越境のセキュリティ評価に関する具体的な規定を明確にすることは、デジタル経済の健全な発展を促進し、データ越境安全リスクを防止・解決し、国家安全保障と社会公共の利益を保護し、個人情報の権益を保護するために必要なことである。 本弁法は、データ越境セキュリティ評価の範囲、条件および手順を規定し、データ越境セキュリティ評価の作業に関する具体的なガイドラインを提供するものである。 |
《办法》明确,数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估适用本办法。提出数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合等原则。 | 本弁法では、データ処理者が中華人民共和国において業務上収集・生成する重要データおよび個人情報のセキュリティ評価が適用されることを明確にしている。 データ越境のセキュリティ評価は、事前評価と継続的な監督を組み合わせ、リスク自己評価とセキュリティ評価を組み合わせるという原則に従うことを提案する。 |
《办法》规定了应当申报数据出境安全评估的情形,包括数据处理者向境外提供重要数据、关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息、自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息以及国家网信部门规定的其他需要申报数据出境安全评估的情形。 | 本弁法では、データ処理業者による重要データの国外提供、重要情報インフラ事業者及び100万人以上の個人情報を取り扱うデータ処理業者による個人情報の国外提供、前年の1月1日以降に累計10万人分の個人情報または1万人分の機密個人情報を提供したデータ処理業者による個人情報の国外提供など、データ越境セキュリティ評価を申告すべき状況、および国家インターネット情報化委員会が規定するデータ越境セキュリティ評価の宣言を必要とするその他の状況が規定されている |
《办法》提出了数据出境安全评估的具体要求,规定数据处理者在申报数据出境安全评估前应当开展数据出境风险自评估并明确了重点评估事项。规定数据处理者在与境外接收方订立的法律文件中明确约定数据安全保护责任义务,在数据出境安全评估有效期内发生影响数据出境安全的情形应当重新申报评估。此外,还明确了数据出境安全评估程序、监督管理制度、法律责任以及合规整改要求等。 | 本弁法は、データ越境セキュリティ評価の具体的な要求を定め、データ処理者がデータ越境セキュリティ評価を宣言する前に、データ越境リスクの自己評価を行うことを規定し、主要な評価事項を明記している。 データ処理者は、海外の受信者と締結した法的文書において、データセキュリティ保護の責任と義務について明確に合意し、データ越境セキュリティ評価の有効期間中にデータ越境セキュリティに影響を与える状況が発生した場合、評価を再宣言しなければならないと定めている。 さらに、データ越境のセキュリティ評価手順、監督管理体制、法的責任、コンプライアンスと是正の要件も明確にされている。 |
・2022.07.07 数据出境安全评估办法
数据出境安全评估办法 | データ越境セキュリティ評価弁法 |
国家互联网信息办公室令 | 国家サイバースペース管理局令 |
第11号 | 第11号 |
《数据出境安全评估办法》已经2022年5月19日国家互联网信息办公室2022年第10次室务会议审议通过,现予公布,自2022年9月1日起施行。 | 「データ越境セキュリティ評価弁法」は、2022年5月19日の国家サイバースペース管理局第10回会議で審議・採択され、ここに公布され、2022年9月1日から施行される。 |
国家互联网信息办公室主任 庄荣文 | 国家サイバースペース管理局局長 庄荣文 |
2022年7月7日 | 2022年7月7日 |
数据出境安全评估办法 | データ越境セキュリティ評価弁法 |
第一条 为了规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规,制定本办法。 | 第1条 本弁法は、中華人民共和国ネットワークセキュリティ法、中華人民共和国データセキュリティ法、中華人民共和国個人情報保護法及びその他の法令に基づき、データ越境活動を規制し、個人情報の権利利益を保護し、国家安全及び社会公共の利益を保護し、国境を越えたデータの安全かつ自由な流れを促進するために制定されたものである。 |
第二条 数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估,适用本办法。法律、行政法规另有规定的,依照其规定。 | 第2条 本弁法は、情報処理者が中華人民共和国において業務上収集・生成した重要データ及び個人情報を外国に提供する際のセキュリティ評価に適用されるものとする。 法令または行政法規に別段の定めがある場合は、その定めに従うものとする。 |
第三条 数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动。 | 第3条 データ越境のセキュリティ評価は、事前評価と継続的な監督の組み合わせ、およびリスク自己評価とセキュリティ評価の組み合わせを重視し、データ越境のセキュリティリスクを防止し、法律に従って秩序あるデータの自由な流れを確保する。 |
第四条 数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估: | 第4条 情報処理事業者が中国国外でデータを提供する場合、次のいずれかに該当する場合は、その事業者が所在する省のネットワーク情報部門を通じて、国のネットワーク情報部門にデータ越境セキュリティ評価を申告しなければならない。 |
(一)数据处理者向境外提供重要数据; | (1) データ処理者が重要なデータを国外で提供する場合。 |
(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息; | (2) 100万人以上の個人情報を取り扱う重要情報インフラ事業者及び情報処理事業者が、中国国外に個人情報を提供する場合。 |
(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息; | (3) 前年の1月1日以降、合計で10万人分の個人情報または1万人分の機微な個人情報を外国に提供しているデータ処理事業者が、外国に個人情報を提供している場合。 |
(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。 | (4) その他、国家サイバースペース管理局が規定するデータ越境セキュリティ評価の宣言を必要とする状況。 |
第五条 数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估,重点评估以下事项: | 第5条 データ処理者は、データ越境セキュリティ評価を宣言する前に、以下の事項に着目し、データ越境リスクの自己評価を行うものとする。 |
(一)数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性; | (1) データ越境の合法性、適法性、必要性、および海外の受取人によるデータ処理の目的、範囲、方法。 |
(二)出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险; | (2) 越境されるデータの規模、範囲、種類、機密性、およびデータの越境によって生じる国家安全保障、公共の利益、個人または組織の正当な権利と利益に対する起こりうるリスク。 |
(三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全; | (3) 海外の受取人が引き受ける責任及び義務、並びに責任及び義務を履行するための管理及び技術的措置並びに能力が、越境データの安全性を保証することができるかどうか。 |
(四)数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等; | (4) 越境時または越境後にデータの改ざん、破壊、漏えい、紛失、転送、不正取得・不正利用されるおそれがあり、個人情報の権利利益を保護するための経路が円滑かどうか、など。 |
(五)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等(以下统称法律文件)是否充分约定了数据安全保护责任义务; | (5) 海外の受取人との間で作成されたデータ越境関連契約その他の法的拘束力のある文書(以下、総称して法的文書という)において、データセキュリティ保護責任及び義務が適切に合意されているかどうか。 |
(六)其他可能影响数据出境安全的事项。 | (6) その他、データ越境の安全性に影響を及ぼす可能性のある事項。 |
第六条 申报数据出境安全评估,应当提交以下材料: | 第6条 データ越境セキュリティ評価宣言には、次の資料を提出するものとする。 |
(一)申报书; | (1) 申告書。 |
(二)数据出境风险自评估报告; | (2) データ流出リスクに関する自己評価報告書 |
(三)数据处理者与境外接收方拟订立的法律文件; | (3) データ処理業者と海外の受領者が作成した法的文書 |
(四)安全评估工作需要的其他材料。 | (4) その他、セキュリティアセスメントに必要な資料。 |
第七条 省级网信部门应当自收到申报材料之日起5个工作日内完成完备性查验。申报材料齐全的,将申报材料报送国家网信部门;申报材料不齐全的,应当退回数据处理者并一次性告知需要补充的材料。 | 第7条 省のネットワーク情報部門は、申告資料を受領した日から5営業日以内に、完全性チェックを完了させなければならない。 申告した資料に不備がなければ、申告した資料を国のネットワーク情報部門に提出し、申告した資料に不備があれば、データ処理者に返却し、必要な追加資料を一度通知しなければならない。 |
国家网信部门应当自收到申报材料之日起7个工作日内,确定是否受理并书面通知数据处理者。 | 国家サイバースペース管理局は、申告資料を受領した日から7営業日以内に、受理するかどうかを決定し、データ処理業者に書面で通知しなければならない。 |
第八条 数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,主要包括以下事项: | 第8条 データ越境セキュリティ評価は、データ越境活動が国家の安全、公共の利益及び個人又は組織の正当な権益に及ぼす可能性のあるリスクの評価に重点を置き、主に次の事項を含む。 |
(一)数据出境的目的、范围、方式等的合法性、正当性、必要性; | (1) データ抽出の目的、範囲及び方法の合法性、適法性及び必要性 |
(二)境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求; | (2) 海外の受取人がいる国や地域のデータセキュリティ保護政策や規制、ネットワークセキュリティ環境が越境データのセキュリティに与える影響、海外受取人のデータ保護レベルが中華人民共和国の法律や行政法規、強制的な国家規格の要求を満たしているかどうか。 |
(三)出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险; | (3) 送信データの規模、範囲、種類及び機密性、並びに送信期間中及び送信後の送信データへの改ざん、破壊、漏洩、損失、転送又は不正アクセス若しくは不正使用の危険性。 |
(四)数据安全和个人信息权益是否能够得到充分有效保障; | (4) データの安全性及び個人情報の権利と利益を十分かつ効果的に保護することができるかどうか。 |
(五)数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务; | (5) データ処理者と海外の受領者との間で作成された法的文書が、データセキュリティ保護に関する責任と義務について適切に合意されているかどうか。 |
(六)遵守中国法律、行政法规、部门规章情况; | (6) 中国の法律、行政法規、部内規の遵守状況 |
(七)国家网信部门认为需要评估的其他事项。 | (7) その他、国家サイバースペース管理局が評価する必要があると判断した事項。 |
第九条 数据处理者应当在与境外接收方订立的法律文件中明确约定数据安全保护责任义务,至少包括以下内容: | 第9条 情報処理事業者は、海外の受領者との間で締結する法的文書において、少なくとも次の内容を含む、情報セキュリティ保護に関する責任と義務について明確に合意するものとする。 |
(一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等; | (1) データを越境させる目的、方法及び範囲、並びに海外の受取人によるデータ処理の利用及び方法 |
(二)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施; | (2) 国外でのデータの保管場所、保管期間、保管期間に達した後、合意した目的が達成された後、または法的文書が終了した後に国外に出るデータを取り扱うための措置。 |
(三)对于境外接收方将出境数据再转移给其他组织、个人的约束性要求; | (3) 海外の受取人が、越境されたデータを他の組織または個人に再転送するための拘束力のある要件。 |
(四)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施; | (4) 海外の受取人の実質的支配力や業務範囲に大きな変化が生じた場合、または受取人の所在する国・地域のデータセキュリティ保護方針・規制やサイバーセキュリティ環境の変化、その他データセキュリティの確保が困難な不可抗力的状況が生じた場合に、当該受取人がとるべきセキュリティ対策について。 |
(五)违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式; | (5) 法的文書で合意されたデータセキュリティ保護義務違反に対する救済措置、契約違反に対する責任、および紛争解決。 |
(六)出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。 | (6) 送信データの改ざん、破損、漏えい、紛失、転送、不正アクセス・不正利用等のリスクに対して、適切な緊急処理の要件と、個人情報の保護に関する個人の権利・利益を守るための方法・手段を示する。 |
第十条 国家网信部门受理申报后,根据申报情况组织国务院有关部门、省级网信部门、专门机构等进行安全评估。 | 第10条 国のネットワーク情報部門は、申告を受けた後、国務院の関連部門、省のネットワーク情報部門および専門機関を組織し、申告に基づくセキュリティ評価を実施するものとする。 |
第十一条 安全评估过程中,发现数据处理者提交的申报材料不符合要求的,国家网信部门可以要求其补充或者更正。数据处理者无正当理由不补充或者更正的,国家网信部门可以终止安全评估。 | 第11条 セキュリティ評価の過程で、情報処理者が提出した申告資料が要求を満たしていないことが判明した場合、国のネットワーク情報部門は、情報処理者に対して補足または訂正を要求することができる。 データ処理者が正当な理由なく追加や修正を行わない場合、国のネットワーク情報部門はセキュリティ評価を終了することができる。 |
数据处理者对所提交材料的真实性负责,故意提交虚假材料的,按照评估不通过处理,并依法追究相应法律责任。 | 情報処理者は、提出された資料の真偽について責任を負うものとし、意図的に虚偽の資料を提出した場合は、審査の不合格に基づき処理され、法令に基づき対応する法的責任について調査されるものとする。 |
第十二条 国家网信部门应当自向数据处理者发出书面受理通知书之日起45个工作日内完成数据出境安全评估;情况复杂或者需要补充、更正材料的,可以适当延长并告知数据处理者预计延长的时间。 | 第12条 国のネットワーク情報部門は、情報処理者に受入通知書を発行した日から45営業日以内に、データ越境セキュリティ評価を完了しなければならない。状況が複雑で、追加資料または修正資料を必要とする場合、適切に延長し、情報処理者に延長予定期間を通知することができる。 |
评估结果应当书面通知数据处理者。 | データ処理者は、評価結果を文書で通知されるものとする。 |
第十三条 数据处理者对评估结果有异议的,可以在收到评估结果15个工作日内向国家网信部门申请复评,复评结果为最终结论。 | 第13条 情報処理事業者が評価結果に不服がある場合、評価結果の受領後15営業日以内に国のネットワーク情報部門に再審査を申請することができ、再審査結果を最終結論とする。 |
第十四条 通过数据出境安全评估的结果有效期为2年,自评估结果出具之日起计算。在有效期内出现以下情形之一的,数据处理者应当重新申报评估: | 第 14 条 データ越境セキュリティ評価合格の結果は、評価結果の発行日から 2 年間有効であるものとする。 データ処理者は、有効期間中に以下のいずれかの状況が発生した場合、評価を再申告するものとする。 |
(一)向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的,或者延长个人信息和重要数据境外保存期限的; | (1) 国外で提供されるデータの目的、方法、範囲および種類、海外の受取人のデータ処理の用途および方法の変更が、国外へのデータの安全性に影響を与え、または個人情報および重要なデータを国外に保管する期間を延長する場合。 |
(二)境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的; | (2) 海外の受信者が所在する国または地域におけるデータセキュリティ保護方針・規制およびネットワークセキュリティ環境の変化、その他不可抗力的な状況、データ処理者および海外受信者の実際の管理状況の変化、データ処理者および海外受信者間の法的文書の変更等により、送信データのセキュリティに影響が生じた場合。 |
(三)出现影响出境数据安全的其他情形。 | (3) その他、送信データのセキュリティに影響を与える事態が発生した場合。 |
有效期届满,需要继续开展数据出境活动的,数据处理者应当在有效期届满60个工作日前重新申报评估。 | 有効期間が満了し、データ越境活動を継続する必要がある場合、データ処理者は有効期間満了の60営業日前に評価を再申告するものとする。 |
第十五条 参与安全评估工作的相关机构和人员对在履行职责中知悉的国家秘密、个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供、非法使用。 | 第15条 関係機関及びセキュリティ評価業務に携わる者は、職務遂行上知り得た国家機密、個人のプライバシー、個人情報、商業機密、業務上の秘密情報等のデータを法律に従って機密保持し、他人に開示、不法提供、不法使用しないものとする。 |
第十六条 任何组织和个人发现数据处理者违反本办法向境外提供数据的,可以向省级以上网信部门举报。 | 第16条 情報処理業者が本弁法に違反してデータを国外に提供していることを発見した組織または個人は、省レベル以上のネットワーク情報部門に通報することができる。 |
第十七条 国家网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境セキュリティ管理要求的,应当书面通知数据处理者终止数据出境活动。数据处理者需要继续开展数据出境活动的,应当按照要求整改,整改完成后重新申报评估。 | 第17条 国のネットワーク情報部門は、審査に合格したデータ越境活動が、実際の処理過程でデータ越境セキュリティ管理の要求を満たさなくなったと判断した場合、データ処理業者に書面で通知し、データ越境活動を終了させなければならない。 データ処理業者がデータ越境活動を継続する必要がある場合、要求事項に従って状況を是正し、是正完了後に評価を再告知するものとする。 |
第十八条 违反本办法规定的,依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规处理;构成犯罪的,依法追究刑事责任。 | 第18条 本弁法の規定に違反した場合、中華人民共和国ネットワークセキュリティ法、中華人民共和国データセキュリティ法、中華人民共和国個人情報保護法およびその他の法令に基づき処理され、犯罪となる場合は、法律に従い刑事責任を追及される。 |
第十九条 本办法所称重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。 | 第19条 本弁法にいう重要データとは、改ざん、破損、漏えい、不正取得、不正利用等により、国の安全、経済運営、社会の安定、公衆衛生に危害を及ぼすおそれのあるデータをいう。 |
第二十条 本办法自2022年9月1日起施行。本办法施行前已经开展的数据出境活动,不符合本办法规定的,应当自本办法施行之日起6个月内完成整改。 | 第 20 条 本弁法は、2022 年 9 月 1 日から施行する。 本弁法の実施前に既に実施されたデータ越境活動で、本弁法の規定に準拠していないものは、本弁法の実施日から6ヶ月以内に是正されるものとする。 |
・2022.07.07 《数据出境安全评估办法》答记者问
《数据出境安全评估办法》答记者问 | データ越境セキュリティ評価弁法への質問と回答 |
7月7日,国家互联网信息办公室公布《数据出境安全评估办法》(以下简称《办法》)。国家互联网信息办公室有关负责人就《办法》相关问题回答了记者提问。 | 7月7日、国家サイバースペース管理局は「データ越境セキュリティ評価弁法」(以下、「弁法」)を発表した。 国家サイバースペース管理局の担当者は、記者の「弁法」に関する質問に答えた。 |
问:请简要介绍《办法》出台的背景? | Q: 本弁法導入の背景を簡単に紹介してください。 |
答:近年来,随着数字经济的蓬勃发展,数据跨境活动日益频繁,数据处理者的数据出境需求快速增长。同时,由于不同国家和地区法律制度、保护水平等的差异,数据出境安全风险也相应凸显。数据跨境活动既影响个人信息权益,又关系国家安全和社会公共利益。世界上许多国家和地区相继从本国、本地区实际出发,对数据跨境セキュリティ管理作了制度探索。制定出台《办法》是落实《网络安全法》、《数据安全法》、《个人信息保护法》有关数据出境规定的重要举措,目的是进一步规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动。 | A: 近年、デジタル経済の活況な発展に伴い、データの越境活動がますます頻繁に行われるようになり、データ処理業者からのデータ越境の要求が急速に高まってきている。 同時に、国や地域によって法制度や保護水準が異なるため、データ越境のセキュリティリスクもそれに応じて強調されている。 データの国境を越えた活動は、個人情報の権利や利益に影響を与えるだけでなく、国家の安全や社会的な公益にも関わるものである。 世界の多くの国や地域では、国境を越えてデータを安全に管理するためのシステムを、それぞれの国や地域の実情に合わせて検討している。 本弁法の公布は、ネットワークセキュリティ法、データセキュリティ法、個人情報保護法のデータ越境に関する規定を実施するための重要なステップであり、データ越境活動をさらに規制し、個人情報の権利利益を保護し、国家の安全および社会公共利益を守り、国境を越えた安全かつ自由なデータ流通を促進することを目的としている。 |
问:《办法》所称数据出境活动是指什么? | Q: 本弁法で言及されているデータ越境活動とは何ですか? |
答:《办法》所称数据出境活动主要包括:一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。二是数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。 | A: 本弁法で言及されているデータ越境活動は主に以下の通りである。まず、データ処理業者は、国内業務で収集・生成したデータを中国国外に転送・保管する。 第二に、データ処理業者が収集・生成したデータは領域内に保存され、領域外の機関、組織、個人がアクセスしたり呼び出したりすることである。 |
问:哪些情形需要申报数据出境安全评估? | Q: データ越境のセキュリティ評価を宣言する必要があるのは、どのような状況ですか? |
答:《办法》明确了4种应当申报数据出境安全评估的情形:一是数据处理者向境外提供重要数据。二是关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息。三是自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息。四是国家网信部门规定的其他需要申报数据出境安全评估的情形。 | A: 本弁法では、データ越境のセキュリティ評価を申告すべき4つの状況を規定している。まず、データ処理者が重要なデータを外国に提供する場合である。 第二に、100万人以上の個人情報を取り扱う重要情報インフラ事業者や情報処理事業者が、外国に個人情報を提供していることである。 第三に、前年の1月1日以降、累計で10万人分の個人情報または1万人分の機微な個人情報を外国に提供したデータ処理事業者である。 第四に、国家サイバースペース管理局が規定するその他のケースで、データ越境のセキュリティ評価の申告が必要なもの。 |
问:数据出境安全评估主要评估哪些内容? | Q: データ越境のセキュリティ評価の主な内容は何ですか? |
答:数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,主要包括以下事项:一是数据出境的目的、范围、方式等的合法性、正当性、必要性。二是境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求。三是出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险。四是数据安全和个人信息权益是否能够得到充分有效保障。五是数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务。六是遵守中国法律、行政法规、部门规章情况。七是国家网信部门认为需要评估的其他事项。 | A: データ越境のセキュリティ評価は、データ越境活動が国家安全保障、公共の利益、個人または組織の正当な権利と利益にもたらす可能性のあるリスクに焦点を当て、主に以下の事項を含みます。第一に、データ越境の目的、範囲、方法の合法性、正当性、必要性である。 第二に、海外受取人の所在する国や地域のデータセキュリティ保護政策や規制、ネットワークセキュリティ環境が越境データのセキュリティに与える影響、海外受取人のデータ保護水準が中華人民共和国の法律や行政法規、強制国家規格の要求を満たしているかどうかである。 第三に、越境データの規模、範囲、種類及び機密性、並びに越境中及び越境後のデータの改ざん、破壊、漏洩、損失、移転又は不正アクセス若しくは不正使用の危険性である。 第四に、データの安全性、個人情報の権利・利益が十分かつ効果的に保護されるかどうかである。 第五に、データ処理者と海外の受領者との間で作成された法的文書が、データセキュリティ保護に関する責任と義務について適切に合意しているかどうかということである。 第六は、中国の法律、行政法規、部門規則の遵守である。 第七は、その他国家インターネット情報管理局が評価する必要があると考える事項である。 |
问:为了规范数据出境安全评估活动,《办法》明确了哪些具体流程? | Q: データ越境のセキュリティ評価活動を規制するために、本弁法では具体的にどのようなプロセスを明確化するのでしょうか。 |
答:《办法》明确了数据出境的具体流程。一是事前评估,数据处理者在向境外提供数据前,应首先开展数据出境风险自评估。二是申报评估,符合申报数据出境安全评估情形的,数据处理者应通过所在地省级网信部门向国家网信部门申报数据出境安全评估。三是开展评估,国家网信部门自收到申报材料之日起7个工作日内确定是否受理评估;自出具书面受理通知书之日起45个工作日内完成数据出境安全评估;情况复杂或者需要补充、更正材料的,可以适当延长并告知数据处理者预计延长的时间。四是重新评估和终止出境,评估结果有效期届满或者在有效期内出现本办法中规定重新评估情形的,数据处理者应当重新申报数据出境安全评估。已经通过评估的数据出境活动在实际处理过程中不再符合数据出境セキュリティ管理要求的,在收到国家网信部门书面通知后,数据处理者应终止数据出境活动。数据处理者需要继续开展数据出境活动的,应当按照要求整改,整改完成后重新申报评估。 | A: 本弁法は、データ終了の具体的なプロセスを明確にするものである。 第一は、事前評価である。データ処理者は、海外にデータを提供する前に、まずデータ越境のリスクについて自己評価を行う必要がある。 第二は、評価の申告である。 データ処理者がデータ越境セキュリティ評価を申告する資格を有する場合、データ処理者は、所在地の地方ネットワーク情報部門を通じて、国のネットワーク情報部門にデータ越境セキュリティ評価を申告しなければならない。 第三に、評価を実施するために、国のネットワーク情報部門は、申告資料を受け取った日から7営業日以内に評価を受理するかどうかを決定し、受理通知書の発行日から45営業日以内にデータ越境セキュリティ評価を完了し、状況が複雑で、追加または修正資料を要する場合、適切に延長し、データ処理者に延長予定時間を通知することができる。 第四に、再査定及び終了。 査定結果が期限切れになった場合、または有効期間中に本弁法に規定する再査定の状況が発生した場合、情報処理者はデータ終了セキュリティ査定を再宣言するものとする。 評価に合格したデータ越境活動が、実際の処理の過程でデータ越境セキュリティ管理要件を満たさなくなった場合、データ処理者は国家サイバースペース管理局から書面による通知を受けた後、データ越境活動を終了させるものとする。 データ処理者がデータ越境活動を継続する必要がある場合、要求事項に従って状況を是正し、是正完了後に評価を再告知するものとする。 |
问:评估过程中如何保障数据处理者的商业秘密等合法权益? | Q: 評価の過程で、商業機密などデータ処理者の正当な権利や利益をどのように保護するのでしょうか? |
答:《办法》规定了参与安全评估工作的相关机构和人员对在履行职责中知悉的国家秘密、个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供、非法使用。 | A: 本弁法は、関連機関およびセキュリティ評価業務に携わる人員は、職務を遂行する過程で知り得た国家機密、個人のプライバシー、個人情報、商業機密、業務機密などのデータを法律に基づいて機密保持し、他人に開示、違法提供、違法使用しないことを規定している。 |
问:《办法》还明确了哪些规定? | Q: この他に、どのような条項が明確化されましたか? |
答:除了上述评估内容、具体流程、保密要求等管理措施以外,《办法》还明确了国家网信部门负责决定是否受理安全评估,并根据申报情况组织国务院有关部门、省级网信部门、专门机构等开展安全评估。省级网信部门负责接收数据出境安全评估申请材料,并完成完备性查验。任何组织和个人发现数据处理者违反本办法向境外提供数据的,可以向省级以上网信部门举报。 | A: 本弁法は、上記の評価内容、具体的なプロセス、守秘義務などの管理措置のほか、国のネットワーク情報部門がセキュリティ評価を受け入れるかどうかを決定し、国務院の関連部門、省のネットワーク情報部門および専門機関を組織して、宣言に基づいてセキュリティ評価を実施する責任があることを明確にしている。 地方のネットワーク情報部門は、データ越境のセキュリティ評価申請資料を受け取り、完成度をチェックする役割を担っている。 データ処理業者が本弁法に違反して中国国外にデータを提供していることを発見した組織または個人は、省クラス以上のネットワーク情報部門に報告することができる。 |
问:数据处理者何时申报数据出境安全评估? | Q: データ処理業者は、いつデータ越境のセキュリティ評価を宣言すべきですか? |
答:数据处理者应当在数据出境活动发生前申报并通过数据出境安全评估。实践中,数据处理者宜在与境外接收方签订数据出境相关合同或者其他具有法律效力的文件(以下统称法律文件)前,申报数据出境安全评估。如果在签订法律文件后申报评估,建议在法律文件中注明此文件须在通过数据出境安全评估后生效,以避免可能因未通过评估而造成损失。 | A: データ処理者は、データ終了活動が行われる前に、データ終了セキュリティアセスメントを宣言し、合格する必要がある。 実務的には、データ処理者は、海外の受領者とデータ越境関連の契約やその他の法的拘束力のある文書(以下、総称して法的文書という)を締結する前に、データ越境セキュリティ評価を申告することが望ましいと思われます。 法的文書に署名した後に評価を申請する場合、評価に合格しなかったことによる損失の可能性を避けるため、法的文書に、データ越境のセキュリティ評価に合格した後に文書を検証する必要があることを記載することが推奨される。 |
问:企业申报数据出境安全评估的结果可能有哪几类? | Q: 企業がデータ越境のセキュリティ評価を宣言した場合、どのような結果が考えられますか? |
答:一是申报不予受理。对于不属于安全评估范围的,数据处理者接到国家网信部门不予受理的书面通知后,可以通过法律规定的其他合法途径开展数据出境活动。二是通过安全评估。数据处理者可以在收到通过评估的书面通知后,严格按照申报事项开展数据出境活动。三是未通过安全评估。未通过数据出境安全评估的,数据处理者不得开展所申报的数据出境活动。 | A: 第一に、不受理。 セキュリティ評価の範囲に入らないものについては、情報処理者が国家インターネット情報サービスから不許可の書面による通知を受けた後、法律に規定された他の合法的なルートでデータ越境活動を行うことができる。 第二は、セキュリティ評価の合格。 データ処理業者は、審査に合格した旨の書面を受領した後、宣言した事項に厳格に従い、データ越境活動を行うことができる。 第三は、セキュリティ評価の不合格。 データ処理業者がデータ越境のセキュリティ評価に合格しない場合、データ処理業者は宣言されたデータ越境活動を行うことができない。 |
问:对评估结果有异议如何处理? | Q: 評価結果に同意できない場合はどうしたらよいですか? |
答:数据处理者对评估结果有异议的,可以在收到评估结果15个工作日内向国家网信部门申请复评,复评结果为最终结论。 | A: データ処理業者が評価結果に同意できない場合、評価結果を受け取ってから15営業日以内に国内のネットワーク情報部門に再審査を申請することができ、これが最終的な評価結果となる。 |
问:通过数据出境安全评估的结果有效期是多久? | Q: データ越境セキュリティアセスメント合格の結果は、いつまで有効ですか? |
答:通过数据出境安全评估的结果有效期为2年,自评估结果出具之日起计算。有效期届满,需要继续开展数据出境活动的,数据处理者应当在有效期届满60个工作日前重新申报评估。 | A: データエクスチェンジセキュリティアセスメントの合格結果は、アセスメント結果発行日から2年間有効である。 有効期間が満了し、データ処理業者がデータ越境活動を継続する必要がある場合、 データ処理業者は有効期間満了の 60 営業日前に評価を再申告する必要がある。 |
问:违反《办法》如何追究法律责任? | Q: 対策に違反した場合、どのように法的責任を問われるのでしょうか? |
答:《办法》明确数据处理者违反本办法规定的,依照《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规的规定处理;构成犯罪的,依法追究刑事责任。 | A: 本弁法の規定に違反したデータ処理者は、ネットワークセキュリティ法、データセキュリティ法、個人情報保護法などの法令の規定に従って処理され、犯罪を構成する場合は、法律に従って刑事責任を負うことが明確にされている。 |
问:对于个人信息向境外提供,安全评估与标准合同、个人信息保护认证之间的关系,三种方式如何衔接? | Q: 国外で提供される個人情報について、セキュリティ評価と標準契約の関係、個人情報保護認証、この3つのアプローチをどのように収束させるのですか。 |
答:《办法》适用范围已经明确,对于适用安全评估的个人信息处理者的数据出境情形应当申报安全评估;《办法》适用范围外的个人信息处理者的数据出境情形,可以通过个人信息保护认证或者签订国家网信部门制定的标准合同来满足个人信息跨境提供条件,便利个人信息处理者依法开展数据出境活动。 | A: 本弁法の適用範囲を明確化し、セキュリティ評価が適用される個人情報取扱事業者のデータ越境の状況を申告する。本弁法の適用範囲外の個人情報取扱事業者のデータ越境状況については、個人情報保護認証または国家サイバー情報部門が制定した標準契約約款を締結することにより、個人情報の越境提供の条件を満たすことができ、個人情報取扱事業者が法令に基づきデータ越境活動を行うことを容易にする。 |
専門家のコメントについては、、、
↓↓↓
・2022.07.08 专家解读|中国为规范数据安全出境作出重要制度安排
专家解读|中国为规范数据安全出境作出重要制度安排 | 専門家の解釈|中国はデータの安全な越境を規制するために重要な制度的取り決めを行う |
2022年7月7日,国家互联网信息办公室出台《数据出境安全评估办法》(以下称《办法》),坚持安全和发展并重,明确了数据出境安全评估的流程和要求,对规范促进数据依法有序流动具有十分重要的制度价值和实践意义,标志着我国数据治理法治实践走出关键一步。 | 2022年7月7日、国家サイバースペース管理局(SIIO)は「データ越境セキュリティ評価弁法」(以下、本弁法)を公布し、セキュリティと発展を同等に重視することを主張し、データ越境セキュリティ評価のプロセスと要件を明確にし、法律に基づきデータの秩序ある流れを規制・促進するという非常に重要な制度価値と実際的意義を持ち、中国のデータ統治法規則の実践における重要な一歩となった。 |
《办法》是落实数字治理顶层设计的重要配套规章。当前,数字经济加快高质量发展,完善数字经济立法顶层设计及配套制度,是推动数字经济更好服务和融入新发展格局的必然要求。中国作为负责任的数据大国,积极开展数据相关立法,营造数字经济发展良好环境。自2016年起,陆续出台《网络安全法》《数据安全法》《个人信息保护法》等,基本构建了数据治理顶层法律制度,有效回应数字经济发展中各类问题。其中,数据出境作为国内外高度关注的数字经济发展议题,在有关顶层立法中均作出制度安排,明确了总体性要求。《办法》的出台,对数据出境管理中最为重要的“安全评估”手段予以明确,实现了规则性立法落地,是完善数字治理顶层制度设计的重要配套性规章。 | 本弁法は、デジタルガバナンスのトップレベル設計を実施するための重要な補助規定である。 現在、デジタル経済はその高品質な発展を加速しており、デジタル経済の法制と支援制度のトップレベル設計を改善することは、デジタル経済がより良いサービスを提供し、新しい発展パターンに融合することを促進するための必然的な要件となっている。 中国は、責任あるデータ大国として、デジタル経済の発展に有利な環境を整えるため、データ関連の法整備を積極的に行ってきました。 2016年以降、ネットワークセキュリティ法、データセキュリティ法、個人情報保護法などが相次いで導入され、基本的にデータガバナンスに関するトップレベルの法制度が構築され、デジタル経済の発展における様々な問題に効果的に対応している。 その中でも、データの越境は、国内外で大きな関心を集めているデジタル経済の発展問題として、関連するトップレベルの法律で、制度的な取り決めと明確な一般要件が規定されている。 本弁法の公布は、データ越境管理における最も重要な「セキュリティ評価」の手段を明確にし、ルールベースの立法を実現し、デジタルガバナンスのトップレベルの制度設計を改善する重要な支援規定となるものである。 |
《办法》是促进数字经济外循环的关键举措。习近平总书记指出,数字技术、数字经济可以推动各类资源要素快速流动、各类市场主体加速融合,帮助市场主体重构组织模式,实现跨界发展,打破时空限制,延伸产业链条,畅通国内外经济循环。发展以数据为关键要素的数字经济,需要以规范的跨境数据流动为基础,共建共享全球数字经济发展格局。《办法》以实现数据跨境安全、自由流动为重要立法目标之一,明确了安全评估的对象、程序、要求、期限等主要因素,通过法治途径提升产业预期,给予规范指引,有利于数据出境活动的依法有序进行,保障数据安全出境,推动形成数字经济外循环的重要模式和路径。 | 本弁法は、デジタル経済の対外循環を促進するための重要な取り組みである。 習近平総書記は、デジタル技術とデジタル経済は、各種資源要素の急速な流動と各種市場プレイヤーの統合を促進し、市場プレイヤーの組織モデルの再構成、国境を越えた発展の実現、時間・空間の制約の解消、産業チェーンの拡張、国内外の経済サイクルの円滑化を実現できると指摘した。 データを重要な要素とするデジタル経済の発展は、規制された国境を越えたデータの流れに基づき、グローバルなデジタル経済の発展パターンを共同で構築・共有する必要があるのである。 国境を越えた安全で自由なデータの流れを実現することを重要な立法目的の一つとして、本弁法は、セキュリティ評価の対象、手続き、要件、期限などの主要な要素を明確にし、法の支配を通じて産業界の期待を高め、規制の指針を与え、法に基づくデータ越境活動の秩序ある実施を促進し、データの安全な越境を保護し、デジタル経済の対外循環に重要なモデルと道のりの形成を促進する。 |
《办法》是保障国家安全和数据安全的必然要求。从全球来看,主要国家和地区均通过采取多种形式确保数据安全、有序出境。欧盟以“充分性保护认定”为核心,构建个人数据的出境管理制度,以实现保护个人数据的基本价值观;美国以越境管制、外资安全审查、受控非密数据管理等手段确保重要数据不出境;俄罗斯以数据本地化备份为主要措施,实现数据在境内的存储。中国依法对数据进行分类分级管理,通过顶层立法对重要数据、个人信息等出境需求,规定了丰富多样的跨境流动方案。其中,最具特色的就是建立了数据出境安全评估制度,重点解决对国家安全、数据安全具有重要影响的数据出境管理。《办法》以上位法为基础,确定了安全评估的规则要求,切实保障数据安全,规范数据跨境有序流动。 | この措置は、国家安全保障およびデータセキュリティを保護するための必然的な要件である。 グローバルな視点で見ると、主要な国や地域では、データの安全かつ秩序ある越境を確保するために、さまざまな形態が採用されている。 EUは個人情報保護の基本的価値を実現するため、「保護の妥当性判断」を核とした個人情報越境管理システムを構築し、米国は越境管理、外資安全審査、管理型非分類データ管理により、重要データが国外に出ないようにし、ロシアはデータバックアップを主要施策として、領土内でのデータ保管を実現している。 米国では、越境規制や外資系企業のセキュリティ審査、管理された非機密データ管理により、重要なデータが国外に流出しないように配慮している。 中国は、データ管理を法律に基づいて分類・等級分けし、トップレベルの法律を採用することで、重要データや個人情報などの越境ニーズに対して、豊富な越境・フローの選択肢を用意している。 最も特徴的なのは、国家安全保障やデータセキュリティに重要な影響を与えるデータ越境の管理に着目し、データ越境のセキュリティ評価システムを確立したことである。 同措置は、上位法に基づき、セキュリティ評価に関する規則要件を定め、効果的にデータセキュリティを保護し、国境を越えたデータの秩序ある流れを規制している。 |
《办法》促进全球人类命运共同体共享数字文明红利。数字文明是数字经济发展催生的人类发展新阶段,应由全人类共同享有其巨大福祉。中国始终坚持发展数字经济,致力于以开放、包容的姿态,持续积极参与构建全球性、区域性的发展机制,努力将自身数字发展变成与世界各国共享红利,主动为全球数据治理贡献经验和智慧。数字经济全球浪潮背景下,如何就数据跨境问题达成一致是各方关注的关键议题。近年来,中国通过一系列区域性贸易协定,深入与有关国家和地区探讨数据跨境自由流动议题。2020年11月,中国与东盟10国、日本、韩国、澳大利亚、新西兰等共同签署《区域全面经济伙伴关系协定》(RCEP);2021年9月,中国正式申请加入《全面与进步跨太平洋伙伴关系协定》(CPTPP);2021年10月,习近平主席在二十国集团领导人峰会讲话中表示,中国已决定申请加入《数字经济伙伴关系协定》(DEPA)。《办法》的出台,对安全评估的数据出境方式做出明确的制度性安排,将为进一步参与构建上述区域性机制提供重要制度方案。 | この措置は、人類の運命共同体であるグローバル・コミュニティによるデジタル文明の配当の共有を促進するものである。 デジタル文明は、デジタル経済の発展によって生み出された人類の新たな発展段階であり、その大きな恩恵は全人類が享受すべきものである。 中国は常にデジタル経済の発展を主張し、オープンで包括的なスタンスを約束し、グローバルおよび地域の発展メカニズムの構築に積極的に参加し続け、自国のデジタル発展を世界との共有配当とすることに努め、グローバルデータガバナンスに積極的にその経験と知恵を提供してきました。 デジタル経済の世界的な波が押し寄せる中、データ越境問題でいかに合意を得るかは、すべての関係者にとって重要なテーマとなっている。 近年、中国は一連の地域貿易協定を通じて、国境を越えたデータの自由な流れの問題を関連する国や地域と深く検討してきた。2020年11月、中国はASEAN10カ国、日本、韓国、オーストラリア、ニュージーランドと地域包括的経済連携協定(RCEP)に署名、2021年9月には包括的かつ進歩的環太平洋パートナーシップへの参加を正式に申し入れた。 協定(CPTPP)、そして2021年10月には習近平国家主席がG20首脳会議での演説で、中国がデジタル経済連携協定(DEPA)への参加を申請することを決定したと発言している。 安全保障評価のためのデータ越境のあり方について明確な制度的取り決めを行う本弁法の導入は、上記の地域メカニズム構築へのさらなる参画のための重要な制度的解決策となるだろう。 |
《办法》在评估对象、评估流程、管理机制等方面做出了明确规定。一是在评估对象方面,规定了动态化管理方式。《办法》明确以上年1月1日为起点,累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者,是需要进行数据出境安全评估的对象之一。这一方式避免将在较长期间内达到数量要求的数据处理者均纳入评估范围,为不同时期数据出境需求存在动态变化的中小企业设置了科学合理的条件。二是在评估流程方面,规定了双层评估的要求。《办法》以风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动。风险自评估是所有数据处理者向境外提供数据前的必经流程,未对数据的数量、范围、目的等进行限定。安全评估并非必经流程,只有符合一定条件的数据处理者向境外提供数据时,才需要向监管部门申报。三是在管理机制方面,规定了逐级分工的要求。《办法》明确,数据出境主体应当首先向省级网信部门报送安全评估的申报材料,省级网信部门进行材料完备性查验后,将申报材料齐全的报送国家网信部门。逐级分工的方式便利了数据出境主体提交材料,优化配置监管资源,提高了安全评估的效率。 | 本弁法は、評価対象、評価プロセス、管理メカニズムに関して明確な規定を設けている。 第一に、評価対象については、ダイナミックマネージメントアプローチを定めている。 本弁法では、前年1月1日から通算して10万人分の個人情報または1万人分の機微な個人情報を外国に提供したデータ処理者を、データ越境セキュリティ評価を受けるべき対象の一つとして定めている。 このアプローチでは、より長い期間にわたって定量的な要件を満たしてきたデータ処理業者をすべて評価に含めることを避け、データ出力のニーズが異なる期間にわたって動的に変化する中小企業に対して科学的に合理的な条件を設定する。 第二に、評価プロセスについてですが、2段階評価の要件が定められている。 この措置は、リスク自己評価とセキュリティ評価を組み合わせて、データ越境のセキュリティリスクを防止し、法律に従って秩序あるデータの自由な流れを保護するものである。 リスク自己評価は、すべてのデータ処理者がデータを国外に提供する前に行う必須のプロセスであり、データの量、範囲、目的には制限がない。 セキュリティ評価は強制ではなく、一定の条件を満たしたデータ処理業者のみが、海外にデータを提供する際に規制当局に申告することが義務付けられている。 第三に、マネジメントの仕組みとして、階層的な分業の要件が規定されていることである。 本弁法は、データ越境の主体は、まず省のネットワーク情報部門にセキュリティ評価のための申告資料を提出し、省のネットワーク情報部門がその資料の完全性を確認した後、完全であれば、国のネットワーク情報部門に申告資料を提出することを明確にしている。 レベルごとの役割分担により、データ越境の対象者による資料提出が容易になり、規制当局のリソース配分が最適化され、セキュリティ評価の効率化が図れる。 |
《办法》的出台,是中国为全球数据治理再次做出的法治努力,必将为中国融入、促进全球数字经济发展奠定法治基础,提供有力法治保障。可以预见,随着数字经济的发展和法治中国建设的不断深入,中国未来将进一步完善数据出境セキュリティ管理制度,促进数据依法有序跨境流动。(作者:辛勇飞 中国信息通信研究院政策与经济研究所所长) | 本弁法の導入は、グローバルデータガバナンスに対する中国のもう一つの法治努力であり、中国のグローバルデジタル経済への統合と発展の促進に、確実に法治の基礎を築き、強力な法治の保障を提供するものである。 デジタル経済の発展と法治国家中国の建設に伴い、今後、中国はデータ越境のセキュリティ管理体制をさらに整備し、法律に基づき国境を越えたデータの秩序ある流通を促進することが予測される。 (筆者:中国情報通信研究院政策経済研究所所長 辛永飛)。 |
・2022.07.08 专家解读|防范数据出境安全风险 保护国家数据安全
专家解读|防范数据出境安全风险 保护国家数据安全 | 専門家の解釈|データ越境のセキュリティリスクを防ぎ、国のデータセキュリティを守るために |
随着数字经济快速发展,数据作为数字经济的核心要素,已经成为国家之间争夺的重要战略资源,“数据主权”、“数据隐私”、“数据跨境流通规则”等越来越受到国际的关注。欧美已经形成较为体系化的数据跨境管理制度,完善我国数据出境管理规则势在必行。2022年7月7日,国家互联网信息办公室正式公布《数据出境安全评估办法》(以下简称《评估办法》),就个人信息和重要数据的出境安全评估管理措施提供具体的法律解决方案,是我国破题数据跨境流动管理规则的重要实践。《评估办法》不仅是对《网络安全法》《数据安全法》《个人信息保护法》等法律法规中“出境数据安全评估”规定的细化落实,也是保护我国基础性战略资源和国家安全的关键措施。 | デジタル経済の急速な発展に伴い、デジタル経済の中核をなすデータは、国家間で争われる重要な戦略的資源となり、「データ主権」「データプライバシー」「データの国境を越えた流通ルール」など 「データ主権」、「データプライバシー」、「国境を越えたデータ流通のためのルール」などが国際的に注目されている。 欧米はより体系的なデータ越境管理システムを形成しており、中国のデータ越境管理規則の整備が急務となっている。2022年7月7日、国家サイバースペース管理局は正式に「データ越境セキュリティ評価弁法」(以下、評価弁法)を発表し、個人情報および重要データの越境セキュリティ評価管理措置について具体的に法的なソリューションを提供し、中国によるデータ越境を断行する。 国境を越えたデータの流れの管理に関するルールを破ることは、中国の重要な慣行である。 評価措置は、ネットワークセキュリティ法、データセキュリティ法、個人情報保護法などの「越境データセキュリティ評価」に関する法令の規定を詳細に実施するだけでなく、中国の基本戦略資源と国家安全保障を保護するための重要な措置でもあるのである。 |
一、加强数据跨境流动管理成为主要国家的共识 | 1. 越境データ流通の管理強化は、主要国のコンセンサスとなっている |
数字技术的蓬勃发展多层次地影响着世界经济格局,数据逐渐成为各国新一轮国际政治博弈中争夺的重要资源。当前,数据资源的全球竞争中,越来越多的国家或地区立足于发展利益,制定了相应的数据跨境管理规则。 | デジタル技術の急速な発展は、世界経済の情勢に多方面から影響を与え、データは次第に、国際政治ゲームの新ラウンドで各国が競い合う重要な資源となりました。 現在、データ資源をめぐるグローバルな競争の中で、多くの国や地域が、それぞれの開発利益に基づいて、データの越境管理に関する対応ルールを策定している。 |
(一)美国推动基于信任的数据跨境自由流动 | (1) 米国は信頼に基づく国境を越えた自由なデータ流通を推進する。 |
美国积极推进有利于自身的跨境数据流动规则,在倡导数据自由流动的同时,也对关键领域数据出境施加限制措施,EO 13556号行政令严格限定了关键基础设施、金融、税收等近20个门类数据的传播范围,《外国投资风险审查现代化法》《越境管制条例》等法律通过外商投资安全审查、越境管制等手段对人工智能关键技术、敏感个人数据等采取相关跨境限制措施。 | 米国は、自国に有利な越境データ流通ルールを積極的に推進し、データの自由な流れを提唱する一方で、重要な分野ではデータの越境に制限を加えている。 大統領令EO13556では、重要インフラ、金融、税務など20近いカテゴリーのデータの普及範囲を厳しく制限し、外国投資リスク審査近代化法、越境管理規則などの法律は、外国投資安全審査と越境管理を通じて、重要な人工知能技術と機微な個人データに関する関連越境制限を採用する。 |
(二)欧盟建立高水平保护的数据跨境流动规则 | (2) EUは、国境を越えたデータの流れについて、高い保護レベルのルールを確立している。 |
欧盟的跨境数据流动政策主要体现在对个人数据的保护和限制,其《通用数据保护条例》(GDPR)构建了一套高标准的数据保护机制,并为涉及个人数据出境业务的企业或机构提供了数据保护充分性认定、约束性公司规则(BCR)和标准合同条款(SCC)等多种合规渠道和工具,而充分性认定是通过建立“白名单”对其数据流入国进行严格限定。同时,为满足安全和执法诉求,欧盟也提出了数据的域外管辖要求。 | EUの国境を越えたデータ流通政策は主に個人データの保護と制限を反映しており、一般データ保護規則(GDPR)は一連の高水準のデータ保護メカニズムを確立し、個人データの越境に関わる企業または組織に対して、データ保護適切性判断、結合企業規則(BCR)や標準契約条項(SCC)などの様々な遵守ルートとツールを提供している。 適切性の判断は、データが流れる国の「ホワイトリスト」を設定することで行われる。 また、EUは、セキュリティと執行の要件を満たすために、データの域外適用要件を導入している。 |
(三)其他国家加紧完善数据跨境流动政策 | (3) 他の国々は、国境を越えたデータの流れに関する政策を改善するための努力を強化している。 |
除日本、韩国、澳大利亚等已经加入美国数据跨境规则阵营的国家外,其他国家普遍采纳谨慎的数据跨境流动政策。印度、巴西等国家参照欧盟GDPR建立了要求较为严格的数据跨境传输规定。俄罗斯将数据本地化作为跨境传输的前提,奉行较为严格数据跨境传输管控措施。根据有关数据,从2017年到2021年,要求数字信息存储在特定国家的法律、法规和政府政策的数量增加了一倍多,达到144个。 | すでに米国のデータ越境ルールの陣営に加わった日本、韓国、オーストラリアは別として、その他の国は概して慎重なデータ越境フロー政策をとっている。 インドやブラジルなどの国々では、EUのGDPRに合わせて、データの国境を越えた移転に関するより厳しい要件が定められている。 ロシアはデータのローカライズを越境転送の前提条件とし、より厳格なデータ越境転送管理を追求している。 関連データによると、デジタル情報の特定国への保管を義務付ける法律、規制、政府方針の数は、2017年から2021年にかけて144と2倍以上に増えている。 |
二、我国数据出境安全评估形成国家数据安全重要防线 | 2. 中国のデータ越境セキュリティ評価は、国家データセキュリティの重要な防衛線を形成している。 |
伴随数字经济蓬勃发展,融入全球数据跨境流动的趋势不可避免。我国作为世界数据资源大国之一,面临的数据安全风险相较于其他国家也更为严峻,亟需建立健全数据跨境管理规则。《评估办法》立足维护国家安全和社会公共利益、保护个人信息权益,构建了我国数据出境安全评估的制度,将事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动。 | デジタル経済の活況に伴い、国境を越えたデータの流れという世界的な潮流への統合は避けられない。 世界有数のデータ資源国である中国が直面するデータセキュリティリスクも他国と比較して深刻であり、健全なデータ越境管理ルールの確立が急務となっている。 評価措置は、国家安全保障と社会公益の保護、個人情報の権益保護に基づき、中国のデータ越境セキュリティ評価システムを構築し、事前評価と継続的監督、リスク自己評価とセキュリティ評価を組み合わせ、データ越境安全リスクを防止し、法律に基づきデータの秩序と自由な流通を確保する。 |
(一)《评估办法》落实上位法的数据出境安全评估要求 | (1) アセスメント対策は、上位法のデータ越境セキュリティ評価要件を実施するものである。 |
《网络安全法》第37条要求,关键信息基础设施运营者向境外提供个人信息和重要数据应当进行安全评估,首次从法律层面提出了数据出境安全评估要求。《数据安全法》第31条将重要数据出境管辖范围由关键信息基础设施运营者拓展至所有数据处理者,《个人信息保护法》第40条要求达到规定数量的个人信息处理者向境外提供个人信息需要进行安全评估,进一步完善了数据出境安全评估的范围和合规机制。本次出台的《评估办法》落实这三部法律的数据出境管理规定和要求,明确了数据出境安全评估的适用条件、评估流程、管理机制等,使数据出境安全评估制度具体落地。 | ネットワークセキュリティ法第37条では、重要情報インフラ事業者が個人情報や重要データを海外に提供する際にセキュリティ評価を行うことを義務付けており、データ越境のセキュリティ評価を法律レベルで義務付けることを初めて導入している。 データセキュリティ法第31条は、重要データ越境の管轄範囲を重要情報インフラ事業者からすべてのデータ処理者に拡大し、個人情報保護法第40条は、中国国外に個人情報を提供するために、個人情報が規定数に達した個人情報処理者をセキュリティ評価の対象とすることを義務付け、データ越境のセキュリティ評価とコンプライアンスの仕組みの範囲をさらに改善した。 今回導入した評価措置は、これら三法のデータ越境管理規定と要求を実施し、データ越境セキュリティ評価の適用条件、評価プロセス、管理メカニズムを明確にし、データ越境セキュリティ評価制度の具体的な実施を可能にするものである。 |
(二)《评估办法》划定可能影响国家安全的数据出境行为 | (2)アセスメント・メジャーは、国家安全保障に影響を与える可能性のあるデータ越境の行動を明確にするものである。 |
由于数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,因而《评估办法》对需要进行安全评估的适用情形进行了限定,框定出真正可能影响国家安全和公共利益等的情形,尽量减轻安全评估流程对数据处理者和数据出境业务的影响。 | データ越境のセキュリティ評価は、データ越境の活動が国家安全保障、公益、個人または組織の正当な権利と利益にもたらす可能性のあるリスクを評価することに重点を置いているため、評価措置では、セキュリティ評価を必要とする適用状況を限定し、国家安全保障や公益などに真に影響を与える可能性のある状況を概説し、セキュリティ評価プロセスがデータ処理者とデータ越境業務に及ぼす影響を最小限に抑えるようにしている。 |
从出境数据的类型看,若向境外提供重要数据,需要进行安全评估,这是由数据性质决定的安全评估情形。从数据处理者来看,关键信息基础设施运营者和处理个人信息达到特定数量的个人信息的数据处理者(处理100万人以上个人信息的数据处理者、自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者)向境外提供个人信息,也需要进行安全评估,这是由处理者本身的属性、个人信息规模等因素决定的安全评估情形。除上述情形外,《评估办法》设有兜底条款,不排除将来会根据工作需要提出其他的评估条件,亦可能根据评估实践作出例外的制度安排。 | 越境するデータの種類については、重要なデータを国外で提供する場合はセキュリティ評価が必要であり、データの性質によって決まるセキュリティ評価状況である。 また、データ処理業者については、重要な情報インフラの運営者や特定の量の個人情報を処理するデータ処理業者(100万人以上の個人情報を処理するデータ処理業者、前年の1月1日から累積で10万人分の個人情報または1万人分の機密個人情報を国外で提供したデータ処理業者)は、国外で個人情報を提供する際にセキュリティ評価を行う必要があり、次のように判断される。 セキュリティの評価状況は、処理装置自体の属性や個人情報の大きさなどによって決まります。 上記の事情に加え、本評価尺度にはボトムアップ条項があり、今後、作品のニーズに応じて他の評価条件が提案される可能性や、評価実務上、例外的な制度整備がなされる可能性も排除されないと考えられる。 |
(三)《评估办法》强化数据处理者的数据出境风险自评估义务 | (3) 評価弁法は、データ処理者のデータ越境リスクの自己評価実施義務を強化するものである。 |
《评估办法》除了规定必须向网信部门申请安全评估的数据出境情形外,还要求所有数据处理者需要在向境外提供数据之前开展数据安全风险的自评估,其主要目的在于要求数据处理者开展事先评估,将合规监管前置,预防数据出境安全风险。其要点包括:数据出境的合法、正当、必要性,数据出境中和出境后可能存在的安全风险,境外数据接收方承担数据保护义务的能力,所签署法律效力文件约定责任义务的充分性等,为数据处理者开展数据出境业务提供了详细参考。 | 本評価弁法の主な目的は、データ処理者に事前評価の実施を義務付け、コンプライアンス規制を先取りし、データ越境のセキュリティリスクを防止することに加え、データ越境がインターネット情報技術部門にセキュリティ評価を申請しなければならない状況を規定することである。 主なポイントは、データ越境の合法性、正当性、必要性、データ越境中および越境後に考えられるセキュリティリスク、海外のデータ受領者のデータ保護義務の履行能力、署名された法的文書の法的妥当性などであり、データ処理者がデータ越境業務を行う際の詳しい参考資料となっている。 |
三、我国数据跨境流动管理的展望 | 3. 中国における越境データ流通の管理に関する展望 |
《评估办法》的正式出台和实施,将为国家数据安全工作筑牢坚实“防线”。未来,随着标准合同条款、数据出境安全认证等其他数据跨境监管措施的落实,我国的数据跨境管理制度体系将更为完善,乃至形成全球数据跨境流动规则的中国方案。 | 本評価弁法の正式な導入と実施は、国のデータセキュリティ業務に確かな「防衛線」を提供することになる。 将来的には、標準契約条項やデータ越境安全認証などの他のデータ越境規制措置の実施により、中国のデータ越境管理システムはより完全なものとなり、さらには世界のデータ越境フロー規則の中国版ソリューションが形成されるだろう。 |
(一)加快完善数据跨境流动管理制度 | (1) 越境データ流通の管理体制の整備の加速 |
按照数据安全和个人信息保护的顶层立法,持续完善我国数据跨境管理的配套规范,设置标准合同、保护能力认证、例外事项等多元数据出境途径,兼顾数据安全与数据跨境流动应用。同时,针对出境国家地区政治环境、国际关系、数据保护水平等因素,划分数据出境风险等级,制定差异化的数据出境管理要求,保障我国数据出境安全。 | データセキュリティと個人情報保護に関するトップレベルの法律に従い、中国のデータ越境管理の支援規定を引き続き改善し、標準契約、保護能力認証、例外事項など複数のデータ越境ルートを設定し、データセキュリティとデータ越境フローアプリケーションのバランスを取っていく。 同時に、越境となる国や地域の政治環境、国際関係、データ保護レベルなどの要因を考慮し、データ越境のリスクレベルを分類し、差別化されたデータ越境管理要件を策定し、中国のデータ越境の安全性を確保する必要がある。 |
(二)建立数据跨境流动技术保障体系 | (2) 国境を越えたデータの流れに対する技術的な保証システムの構築 |
坚持管理制度与技术措施相结合,将制度要求转化为技术要求进行落实。建立数据全生命周期安全保护管理措施,加强出境数据全生命周期的备案、防护、检测评估和安全监管。针对企业数据跨境传输和应用需求,加强数据安全防护技术能力建设,保障数据跨境流动安全。 | マネジメントシステムと技術的対策の組み合わせを主張し、システム要件を技術要件に変換して実施する。 データのライフサイクル全体のセキュリティ保護に関する管理策を確立し、越境データのライフサイクル全体のファイリング、保護、テストと評価、セキュリティ監督を強化する。 企業の国境を越えたデータ伝送と応用のニーズに応え、データセキュリティ保護の技術能力構築を強化し、国境を越えたデータ流通の安全性を確保する。 |
(三)加强数据跨境流动管理国际合作 | (3) 越境データ流通の管理における国際協力の強化 |
依托G20、世界互联网大会等多边对话机制和国际性会议,宣传我国数据跨境流动的主张,吸引更多国家支持和参与《全球数据安全倡议》,促进达成数据合法、安全有序跨境流动相关共识。积极参与全球数据规则制定,在当前双边、多边贸易谈判中增加关于数据跨境流动条款,为我国数字企业“走出去”奠定基础。(作者:黄鹏 国家工业信息安全发展研究中心总工程师) | 多国間対話メカニズムやG20、世界インターネット会議などの国際会議を活用し、国境を越えたデータの流れに関する中国の提唱を周知し、グローバル・データ・セキュリティ・イニシアチブへの支持と参加を呼びかけるとともに、法的、安全かつ秩序ある国境を越えたデータの流れに関するコンセンサスを促進する。 グローバルデータ規則の制定に積極的に参加し、現在の二国間および多国間貿易交渉に国境を越えたデータの流れに関する規定を追加し、中国のデジタル企業が「グローバル化」するための基礎を築く。 (筆者:国家産業情報セキュリティ開発研究センター チーフエンジニア 黄鵬)。 |
・2022.07.08 专家解读|数据安全治理的中国智慧
专家解读|数据安全治理的中国智慧 | 専門家の解釈|データセキュリティガバナンスに関する中国人の知恵 |
大数据技术快速发展不断催生新业态,正成为经济社会发展的新动能。2022年第2期《求是》杂志刊发了习近平总书记的重要文章《不断做强做优做大我国数字经济》,指出数字经济正在成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量。与此同时,数据的无序流动、泄露等问题给个人和社会安全带来了潜在危害,数据安全风险日益成为影响产业发展、网络安全甚至国家安全的重要因素。因此,亟需以系统观同步探索数据治理体系,防范和化解风险挑战,有效实现数据安全与经济发展的统筹协调。近期,国家网信办出台的《数据出境安全评估办法》明确了出境数据的评估范围、评估机制以及各参与主体的责任,为有效保障数据出境安全提供坚实的屏障和有力抓手。 | ビッグデータ技術の急速な発展は、新しい産業を生み出し続け、経済と社会の発展の新たな原動力となっている。2022年『求真』第2号は、習近平総書記の「中国のデジタル経済を継続的に強化・拡大する」という重要記事を掲載し、デジタル経済が世界の要素資源の再編、世界の経済構造の再構築、世界の競争状況の変化において重要な力になっていることを指摘した。 一方、データの無秩序な流通や漏洩は、個人と社会の安全保障に潜在的な危険をもたらし、データセキュリティリスクは、産業の発展、ネットワークセキュリティ、さらには国家安全保障に影響を及ぼす重要な要因となってきている。 したがって、システム的な観点から同期的にデータガバナンスシステムを模索し、リスク課題を予防・解決し、データセキュリティと経済発展の協調を効果的に実現することが急務となっている。 最近、国家サイバースペース管理局が公布した「データ越境セキュリティ評価弁法」は、越境データの評価範囲、評価メカニズム、各参加主体の責任を明確にし、データ越境セキュリティを有効に保護するための強固な障壁と強い握力を提供するものである。 |
一、强调数据出境的长效评估,全方位筑牢数字安全长城 | 1. データ越境の長期的な評価を重視し、あらゆる面でデジタル・セキュリティの長城を築く |
(一)明晰需要申报评估的数据范围,提供出境评估长效动能 | (1) 評価のために申告が必要なデータの範囲を明確化し、越境評価のための長期的な運動エネルギーを提供する。 |
从数据安全的角度出发,数据最为敏感的当属关键信息基础设施数据。2021年7月发布的《关键信息基础设施安全保护条例》中明确指出,关键信息基础设施是指:“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等”。2022年2月15日开始施行的《网络安全审查办法》提出“掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”,这使得“100万用户的个人信息”成为了一道红线。纵观关于数据安全的各类法律法规可以看出,关键信息基础设施数据等重要数据不仅最为敏感,数据也最为广泛,涵盖了国计民生的方方面面。此类数据一旦处理不当特别是在出境过程中被非法获取、非法利用,将对国家安全带来严重威胁。因此,《数据出境安全评估办法》明确和界定需要申报评估的数据范围是非常重要的,这对数据处理者自觉遵守法律法规要求,主动申报出境评估工作具有重要意义。 | データセキュリティの観点から、最も機密性の高いデータは重要情報インフラデータであり、2021年7月に公布された「重要情報インフラのセキュリティ保護に関する規定」では、重要情報インフラとは、「公共通信と情報サービス、エネルギー、交通、水利、金融、公共サービス、電子政府、国防科学技術産業、その他の重要産業」と明示されている。 2022年2月15日に施行された「ネットワークセキュリティ見直し対策」では、「100万人以上のユーザーの個人情報を保有するネットワークプラットフォームの事業者を海外にリストアップする」ことが提案されている。 これにより、「100万人のユーザーの個人情報」はレッドラインとなる。 データセキュリティに関する各種法令を概観すると、重要情報インフラデータをはじめとする重要データは、最も機密性が高いだけでなく、国の生活全般をカバーする広範なデータであることがわかります。 こうしたデータが適切に取り扱われず、特に越境の際に不正に取得され、不正に使用された場合、国家の安全保障に重大な脅威を与えることになる。 したがって、データ越境セキュリティ評価弁法では、評価のために申告が必要なデータの範囲を明確にして定義することが非常に重要であり、データ処理者が意識的に法令の要件を遵守し、越境評価作業を率先して申告することに大きな意義がある。 |
(二)全面评估出境数据的安全风险,筑牢数字安全的制度屏障 | (2) 越境データのセキュリティリスクを包括的に評価し、デジタルセキュリティに対する強固な制度的障壁を構築する。 |
数据跨境流通蕴含潜在风险,不仅会影响到数据处理者的经济利益,还会对数据出境国家带来不可预估的安全隐患。因此,有必要从全面风险管理的角度来分析《数据出境安全评估办法》中关于风险的长效评估。首先,在数据出境之前,数据处理者要先对出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险做到全面和系统的风险自评估;其次,在数据出境过程中,明确规定了双方签订法律文件中必须含有数据安全保护责任义务的条款,以约束数据接收者保障数据安全。最后,规定数据出境评估结果有效期为二年,亦规定了需要重新评估的三种情形:(1)向境外提供数据的初次评估内容和境外接收方处理数据的初次评估内容发生变更;(2)境外接收方所在国家或者地区政策法规和网络安全环境发生变化、实际控制权发生变化、法律文件变更等可能影响出境数据安全的情形;以及(3)影响出境数据安全的其他情形等。简言之,只有做好事前、事中、事后的全流程、全方位风险评估部署,才能系统性做好风险防范与应对。 | 国境を越えたデータの流れは、データ処理者の経済的利益に影響を与えるだけでなく、データが流出する国にも予測できないセキュリティリスクをもたらす潜在的なリスクを含んでいる。 したがって、データ越境セキュリティ評価アプローチにおけるリスクの長期的な評価については、包括的なリスクマネジメントの観点から分析することが必要である。 第一に、データ処理者はデータ越境の前に、まず越境されるデータの規模、範囲、種類、機密性、およびデータ越境が国家の安全、公共の利益、および個人または組織の正当な権利と利益にもたらす可能性のあるリスクについて包括的かつ体系的にリスク自己評価を行う必要がある。第二に、データ越境プロセスにおいて、データ受領者をデータセキュリティ保護で拘束するために、両者が署名する法的文書にデータセキュリティ保護義務に関する条項が含まれていなければならないと明確に規定されている。 最後に、データの越境評価結果の有効期限は2年間と規定されているほか、再評価を必要とする状況として、(1) 海外の受信者に提供され処理されるデータの初期評価の変更 (2) 海外の受信者の国または地域における政策、規制、ネットワークセキュリティ環境の変更、実際の管理の変更、法的文書の変更など、送信データのセキュリティに影響を与える可能性のある状況 (3) その他送信データのセキュリティに影響を与える状況。つまり、事前・事中・事後の全プロセス、全方位的なリスクアセスメントの展開によってのみ、リスクの予防と対応を体系的に行うことができるのである。 |
二、识别数据出境的安全风险,抓牢织好数字安全防护网 | 2. データ流出時のセキュリティリスクを把握し、デジタルセキュリティ保護ネットワークを構築する |
(一)统筹规范数据相关各方,完善数据出境安全的顶层设计 | (1) データ関連者の調整と規制、およびデータ越境セキュリティのトップレベル設計の改善 |
数据出境涉及主体包括国内数据处理者和国外数据接收者。在跨境数据流动中,通常数据竞争力较弱的国家是数据的主要提供者,数据竞争力较强的国家则是数据的主要接收者。因此,《数据出境安全评估办法》不仅明确指出了数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性,也明确了出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险。这两项规定是对数据出境安全的顶层设计,不仅保障了我国涉及数据出境相关方利益,也对境外数据接收方提出了安全要求。只有明确数据相关各方的风险点位、风险等级,才能做好出境安全评估,从而确保每个阶段的工作都有理可循、有法可依。 | データ越境に関わる主体は、国内のデータ処理者と海外のデータ受信者である。 国境を越えたデータの流れでは、通常、データ競争力の弱い国がデータの主な提供者となり、データ競争力の強い国がデータの主な受信者となる。 したがって、「データ越境セキュリティ評価措置」は、データ越境の目的、範囲、方法及び外国受取人のデータ処理の合法性、正当性及び必要性を明確に指摘するだけでなく、データ越境の規模、範囲、種類及び機密性、並びに越境中及び越境後の改ざん、破壊、漏洩、損失、移転又は不正アクセス若しくは不正使用の危険性も指摘する。 この2つの規制は、データ越境のセキュリティに関するトップレベルの設計であり、中国国内のデータ越境の関係者の利益を保護するだけでなく、中国国外のデータ受信者にもセキュリティ要件を課している。 データ関係者のリスクポイントやリスクレベルを明確にしてこそ、越境セキュリティアセスメントが適切に行われるため、各段階の作業が正当化され、法律に則ったものとなるのである。 |
(二)兼顾数据出境各方责任与义务,动态评估与防范化解外部风险 | (2) データの越境、動的評価、外部リスクの予防と解決に関わるすべての関係者の責任と義務のバランス。 |
对于数据出境,不仅仅对数据处理者,还要对数据接收者进行评估。面对复杂的国际形势,我国出于维护自身数据安全需要,对数据接收者进行严格的评估是极其必要的。特别是,境外接收方所在国家或者地区的数据安全保护政策法规及网络安全环境对出境数据安全的影响,以及境外接收方的数据保护水平是否达到我国法律、行政法规规定和强制性国家标准的要求,应是评估重点。此外,针对法律文件的签订,明确要求境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化导致难以保障数据安全时,应当采取安全措施。这两项规定,能够更好避免出境数据被恶意利用而产生各类风险。 | データの越境については、データ処理者だけでなく、データ受領者も評価する必要がある。 複雑な国際情勢を前に、中国が自国のデータセキュリティを維持するために、データ受信者の厳格な評価を行うことは極めて必要なことである。 特に、国外受信者の所在する国や地域のデータセキュリティ保護政策や規制、ネットワークセキュリティ環境が国外送信データのセキュリティに与える影響、国外受信者のデータ保護レベルが中国の法律、行政法規、強制国家規格の要求を満たしているかどうかが評価の焦点になるはずである。 また、法的文書への署名については、オフショア受信者が実際の支配や業務範囲に大幅な変更があった場合、あるいはデータセキュリティ保護方針や規制、所在国・地域のネットワークセキュリティ環境などに変更があり、データセキュリティの保証が困難な場合には、セキュリティ対策を行うことが明確に求められている。 この2つの規定によって、越境データが悪用されることで発生するさまざまなリスクをより効果的に回避することができる。 |
三、小结 | 3. まとめ |
数据安全是国家安全的重要组成部分。从国内来看,《数据出境安全评估办法》完善了数据出境安全评估的具体制度,在数据治理领域践行了总体国家安全观。从全球来看,中国作为一个负责任的大国,《数据出境安全评估办法》为全球数据治理提供了中国智慧与中国方案,是助力构建网络空间命运共同体浓墨重彩的一笔。(作者:孙晓蕾 中国科学院科技战略咨询研究院系统分析与管理研究所副所长、研究员) | データセキュリティは国家安全保障の重要な一部分である。 国内から見ると、「データ越境セキュリティ評価弁法」は、データ越境セキュリティ評価の具体的な制度を改善し、データガバナンスの分野で国家安全保障の全体構想を実践している。 グローバルな視点から、責任ある大国として、中国の「データ越境セキュリティ評価措置」は、グローバルなデータガバナンスに中国の知恵と中国のソリューションを提供し、サイバースペースにおける運命共同体の構築に大きく貢献するものである。 (著者:中国科学院科学技術戦略コンサルティング研究所システム分析・管理研究所副所長兼研究員 孫小蕾) |
・2022.07.08 专家解读|数据出境安全制度的新探索
专家解读|数据出境安全制度的新探索 | 専門家の解釈|データ越境セキュリティシステムの新展開 |
数据跨境流动在当今数字经济中扮演重要角色,各国都将其监管上升到数据主权的高度,我国对此也高度重视,通过《网络安全法》《个人信息保护法》《数据安全法》对重要数据、个人信息的跨境流动建立起符合我国实际和国际大环境的基本监管制度。根据上述法律规定,国家互联网信息办公室制定《数据出境安全评估办法》(下称《办法》),明确了数据出境安全评估的目的、原则、范围、程序和监督机制等具体规定,对保护我国国家安全、公共利益、个人合法利益和促进数字经济发展具有重要的里程碑意义。 | 国境を越えたデータの流れは、今日のデジタル経済において重要な役割を果たしており、各国はその規制を、中国も重視しているデータ主権のレベルにまで高めており、中国の実態と国際環境に即して、ネットワークセキュリティ法、個人情報保護法、データセキュリティ法を通じて、重要データおよび個人情報の国境を越えた流れに対する基本規制体系を確立している。 国家サイバースペース管理局は、上記の法律に従い、「データ越境セキュリティ評価弁法」(以下、本弁法)を制定し、データ越境セキュリティ評価の目的、原則、範囲、手続き及び監督メカニズムに関する具体的な規定を明確にし、中国の国家安全、公共の利益、個人の合法的利益を守り、デジタル経済の発展を促進する上で極めて重大な節目の意義を有する。 |
一、坚决贯彻习近平法治思想,依法监管数据向境外流动 | 1. 習近平の法治思想を断固として実行し、法に従って中国外へのデータ流出を規制する。 |
习近平总书记提出要坚持建设中国特色社会主义法治体系,积极推进国家安全、涉外法治等重要领域立法;同时要坚持统筹推进国内法治和涉外法治,要加快涉外法治工作战略布局,协调推进国内治理和国际治理,更好维护国家主权、安全、发展利益,要推动全球治理体系变革,推动构建人类命运共同体。 | 習近平総書記は、中国の特色ある社会主義法治制度の構築を堅持し、国家安全保障や対外関係法治などの重要な分野での立法を積極的に推進し、同時に、国内法治と対外関係法治の一体的推進を堅持し、対外関係法治業務の戦略配置を加速し、国内と国際ガバナンスを調整し、国家の主権、安全、発展利益をよりよく保護するとともに、グローバルガバナンスシステムの変化を推進し、人間らしい法制度の構築を促すことを提案した。 グローバル・ガバナンス・システムの変革を推進し、人類運命共同体の構築を推進すべきである。 |
近年来,我国加快完善数据出境セキュリティ管理制度,2016年11月通过的《网络安全法》,其中第37条规定了对关键信息基础设施运营者的重要数据和个人信息需进行安全评估,但其他主体的重要数据和个人信息出境并未加以明确。2021年6月通过的《数据安全法》,其中第31条在重申关键信息基础设施运营者的重要数据出境的安全评估要求之外,还进一步规定“其他数据处理者”的重要数据出境也需进行安全评估。2021年8月通过的《个人信息保护法》,其中第38条第1款第1项和第40条,在重申关键信息基础设施运营者的个人信息出境安全评估要求之外,还进一步规定“达到国家网信部门规定数量的个人信息处理者”的个人信息出境也需进行安全评估。由此,上述三大立法全面建立起数据出境的基础性制度——安全评估制度。 | 近年、中国ではデータの越境セキュリティ管理体制の整備が加速しており、2016年11月に採択された「サイバーセキュリティ法」第37条では、重要情報インフラ事業者の重要データおよび個人情報をセキュリティ評価の対象とすると規定したが、その他の対象者の重要データおよび個人情報の越境は明確になっていない。 2021年6月に採択された「データセキュリティ法」第31条では、再確認のため、次のように述べた。 2021年8月に成立した個人情報保護法第38条第1項第1号、同第40条では、重要情報インフラ事業者の重要データの越境に関するセキュリティ評価要件が改めて示され、さらに「その他のデータ処理者」の重要データの越境もセキュリティ評価の対象となると規定されている。 同法は、重要情報インフラ事業者が越境する個人情報のセキュリティ評価を改めて義務付けるとともに、「国家サイバースペース管理局が定める数に達した個人情報処理事業者」の個人情報の越境もセキュリティ評価の対象とすることを規定している。 このように、これら3つの法律により、データ越境制度の基盤となる包括的なセキュリティ評価制度が確立された。 |
目前,欧美都高度关注数据出境的监管。其中,欧盟GDPR对个人数据出境的监管已经相对成型,包括了充分性认定、集团有效规则、标准合同条款、认证等机制,每一个机制都有配套的实施细则。在非个人数据向外流动监管上,欧盟《非个人数据自由流动条例》对内要求成员国之间自由流动,但向境外流动方面则正拟通过《数据治理法》和《数据市场法》加以明确。美国则通过《外国投资风险审查现代化法》《越境管制条例》《受控非密信息行政令》等法律法规限制数据向外流动。 | 現在、欧米では国外に出るデータの規制について高い関心が持たれている。 その中でも、EUのGDPRによる個人データの越境規制は、妥当性判断、グループ有効性ルール、標準契約条項、認証などの仕組みが比較的確立されており、それぞれ実施内容の裏付けがある。 非個人データの越境フローの規制については、EUのFree Movement of Non-Personal Data Regulationでは、内部的には加盟国間の自由な移動を求めているが、オフショアではデータガバナンス法とデータ市場法により明確化されつつある。 米国では、外国投資リスク審査近代化法、越境管理規則、規制対象外情報に関する大統領令などの法規制により、データの流れが制限されている。 |
因此,为贯彻习近平法治思想,国家互联网信息办公室根据我国上述三部法律规定,统筹数据出境监管的国内法治和涉及境外接收方数据处理要求的涉外法治,制定了本《办法》,有力维护国家在数据领域的主权、安全和发展利益。 | そこで、国家サイバースペース管理局は、習近平の法治思想を実現するため、中国国内の前述の3つの法律の規定に基づき、データ越境規制に関する国内法規範と海外の受信者のデータ処理要件に関する国外法規範を調整し、データ分野における国の主権、安全および発展利益を強力に保護するために本弁法を制定した。 |
二、合理设计数据出境安全评估规则,做到监管有度 | 2. 測定された規制のレベルを達成するためのデータ越境セキュリティ評価ルールの合理的な設計 |
数据跨境流动在数字时代是一种常态,但由于跨境流动的数据在规模、范围、种类等方面容易给国家安全、公共利益和个人权益带来风险,因此各国对数据跨境流动的监管也会成为一种常态。《办法》明确数据出境安全评估的目的、原则、门槛、程序、评估决定的有效期、出境的终止和重新申报评估等内容,体现出监管有度、规则合理透明。 | デジタル時代には、国境を越えたデータの流れが当たり前になっていますが、国境を越えたデータの流れは、その規模、範囲、種類において、国家の安全、公共の利益、個人の権利・利益に対するリスクをもたらしやすいため、国境を越えたデータの流れに対する各国の規制も当たり前になっていくだろう。 本弁法は、データの越境セキュリティ評価の目的、原則、基準値、手順、評価決定の有効性、越境の終了、評価の再宣言などを明確にし、慎重な規制と合理的で透明なルールを反映している。 |
(一)数据出境安全评估的目的应区分重要数据和个人信息两类数据的出境安全评估的目的。《办法》第1条规定数据出境安全评估的目的在于“保护个人信息权益,维护国家安全和社会公共利益”,但并不意味着重要数据和个人信息的出境安全评估的目的是完全一致的,相反二者评估目的是由其上位法决定的。其中,重要数据出境监管制度由《网络安全法》和《数据安全法》加以明确,其核心目的是维护网络空间主权和国家安全、社会公共利益。相比之下,《个人信息保护法》(第1条)明确个人信息出境监管的目的是保护个人信息权益。因此,作为授权立法,《办法》第1条是从统筹重要数据和个人信息出境监管的角度作出规定。 | (1) データ越境セキュリティ評価の目的は、重要データと個人データの2種類のデータの越境セキュリティ評価の目的を区別するものとする。 弁法第1条は、データの越境セキュリティ評価の目的を「個人情報の権益を保護し、国家の安全及び社会公共の利益を守るため」と規定しているが、重要データと個人情報の越境セキュリティ評価の目的が全く同じということではなく、むしろ両者の評価の目的はその上位法によって決定されるものである。 特に、重要なデータの越境に関する規制体制は、ネットワークセキュリティ法およびデータセキュリティ法によって明確化されており、その中核的な目的は、サイバー空間の主権と国家の安全および社会の公益を守ることである。 これに対し、個人情報保護法(第1条)では、個人情報の越境規制の目的が、個人情報の権利利益の保護であることを明確にしている。 したがって、重要データおよび個人情報の越境規制を調整する観点から、実現可能な法律として本弁法の第1条が規定されているのである。 |
(二)适用安全评估的范围最大程度凝聚了各方共识。《办法》第4条规定数据处理者在四种情形下向境外提供重要数据或者个人信息,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。其中,按照现有立法要求,所有主体的重要数据出境都要申报安全评估。个人信息出境进行安全评估的门槛主要在于执行《个人信息保护法》第40条的规定,明确累计向境外提供个人信息的特定规模设定为年度累计,充分反映了相关主体有关科学设定个人信息出境安全评估范围的诉求,便利其通过认证、标准合同等机制开展个人信息出境。 | (2) 適用されるセキュリティ評価の範囲が、全ての関係者のコンセンサスを最大限に集約するものであること。 本弁法第4条は、データ処理者が4つの状況下で重要データまたは個人情報を国外に提供する場合、データ処理者が所在する省のネットワーク情報部門を通じて、国のネットワーク情報部門にデータ越境セキュリティ評価を申告することを規定している。 とりわけ、既存の法律上の要件に従い、すべての対象者は、重要なデータを国外に持ち出す際のセキュリティ評価を申告することが義務付けられている。 個人情報保護法第40条は、個人情報の国外への累積提供の具体的規模を年間累積と規定しており、個人情報の国外へのセキュリティ評価範囲の科学的設定に関する関連主体の要求を十分に反映し、認証や標準契約などのメカニズムを通じて個人情報の国外への提供を容易にすることが、国外へのセキュリティ評価実施の主な閾値となっている。 |
(三)安全评估程序设置科学合理。具体而言,《办法》明确安全评估的程序包括:(1)数据处理者自评估;(2)数据处理者申报安全评估;(3)省级网信部门的申报接收和国家网信部门的申报受理;(4)国家网信部门组织安全评估,评估过程中可要求数据处理者进行材料补充或更正;(5)评估结果的告知与申请复评;(6)通过数据出境安全评估但在有效期内出现特定情形的重新申报评估;(7)通过数据出境安全评估后的终止数据出境。其中,《办法》第13条相对于征求意见稿专门新增了评估结果的复评,为数据处理者提供了异议机会,进一步增强了制度的科学性。 | (3) セキュリティ評価手順が科学的かつ合理的な方法で設定されていること。 具体的には、セキュリティ評価の手続きとして、(1)データ処理者による自己評価、(2)データ処理者によるセキュリティ評価の申告、(3)省ネットワーク情報部門による申告の受領および国のネットワーク情報部門による申告の受理、(4)国のネットワーク情報部門によるセキュリティ評価の編成(評価過程でデータ処理者に重要な追加または修正を要求できる)、(5)評価結果の通知および再評価の申請、を明確にしている。 (6) データ越境セキュリティ審査に合格しても、有効期間中に特定の状況が発生した場合の再申告 (7) データ越境セキュリティ審査合格後のデータ越境の終了 その中でも、本弁法の第13条では、特に公開協議のための草案に対する評価結果の再評価が追加され、データ処理者に異議を唱える機会を与え、制度の科学性をさらに高めている。 |
(四)安全评估的多元考虑因素设计,较为全面地应对数据出境的各种安全风险。《办法》第8条明确了数据出境安全评估重点关注数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,并列举了七大评估因素。其中,一是关注数据处理者开展数据出境的合法性、正当性和必要性;二是关注境外接收方保障数据安全的能力,以及所在国家和地区的技术和法律环境对该能力的影响;三是关注数据出境可能面临的安全风险;四是关注数据出境后数据安全和个人信息权益是否最终得到充分保障;五是关注数据处理者对境外接收方的约束能力;六是考虑数据处理者和境外接收方遵纪守法的信誉;七是其他事项,应对数据安全技术、商业模式和境外环境的发展和变化。正是因为这七大安全评估因素的统筹设计,《办法》能够较为全面地应对数据出境的各种安全风险。 | (4) セキュリティアセスメントの複数の考慮事項は、データ越境の様々なセキュリティリスクに、より包括的に対応するためのものである。 本弁法第8条では、データ越境のセキュリティ評価は、データ越境の活動が国家安全保障、公共の利益、個人または組織の正当な権利と利益にもたらすリスクに焦点を当てることを明記し、7つの主要評価要因を挙げている。 その中で、第一に、データ処理者がデータ越境を実行することの合法性、正当性及び必要性、第二に、海外の受信者がデータセキュリティを保護する能力及びその能力が所在する国又は地域の技術及び法的環境による影響、第三に、データ越境が直面しうるセキュリティリスク、第四に、データ越境後にデータセキュリティ及び個人情報の権利・利益が最終的に完全に保護されるかどうか、第五に、データ処理者がデータ越境を実行し、その能力が所在する国又は地域のデータセキュリティが完全に保護されるかどうかについて、それぞれ検討される。 第六に、データ処理者が海外の受信者を拘束する能力。データ処理者および海外の受信者の法令遵守に関する評判が検討される。第七に、データセキュリティ技術、ビジネスモデルおよび海外の環境における発展や変化に対応するためのその他の事項である。 この7つのセキュリティ評価要素が統合的に設計されているからこそ、「対策」はデータ越境の様々なセキュリティリスクに、より包括的に対応することができるのである。 |
三、规则细节体现数据治理的中国探索 | 3. 中国が模索するデータガバナンスを反映したルールの詳細 |
数据出境安全评估是我国对数据出境セキュリティ管理的重要措施,每一个规则细节不仅会对国家安全、公共利益、个人和组织合法权益带来重大影响,也会对数据跨境流动背后的全球数字经济带来重大影响。因此,要制定合理而巧妙的数据出境安全评估实施细则并非易事。《办法》除了设置合理的安全评估流程和评估考虑因素外,还在如下两个细节充分展现了有益探索。 | データ越境のセキュリティ評価は、中国のデータ越境のセキュリティ管理にとって重要な措置であり、規則の細部に至るまで、国家安全保障、公益、個人および組織の正当な権益のみならず、データの国境を越えた流れの背後にあるグローバルデジタル経済にも大きな影響を与えることになる。 したがって、データ越境のセキュリティ評価を実施するための合理的かつ巧妙なルールを策定することは容易なことではない。 合理的なセキュリティ評価プロセスや評価上の考慮事項を設定することに加え、本弁法では、次の2つの内容で有用な探索を十分に示している。 |
(一)提出数据安全评估的两大原则,既明确数据出境的主体责任,又实现监管闭环。相较于2017年和2019年有关数据出境安全评估的草案,《办法》第3条首次明确提出数据出境安全评估的两大原则,即事前评估和持续监督相结合原则、风险自评估与安全评估相结合原则。 | (1) データセキュリティ評価の2大原則を提案し、データ越境の主な責任を明確にするとともに、規制のクローズドループを実現する。 データ越境セキュリティ評価に関する2017年および2019年の草案と比べ、本弁法第3条は、データ越境セキュリティ評価の2大原則、すなわち事前評価と継続的な監督を組み合わせる原則、およびリスク自己評価とセキュリティ評価を組み合わせる原則を初めて明確に提示している。 |
其中,事前评估和持续监督相结合原则明确安全评估不仅关注数据出境前对出境后可能出现的风险的评估和所要采取的安全保障措施,还关注数据出境后风险发生的变化以及原有措施的有效性,因而该原则建立起数据出境风险全过程的动态评估要求。 | その中で、事前評価と継続的な監督を組み合わせた原則は、セキュリティ評価がデータ越境後に起こりうるリスクの評価とデータ越境前に講じるべきセキュリティ対策に焦点を当てるだけでなく、データ越境後のリスクの変化と当初の対策の有効性にも焦点を当てることを明確にし、したがってこの原則はデータ越境リスクのプロセス全体をダイナミックに評価する要件を確立している。 |
风险自评估和安全评估相结合原则明确数据处理者的主体责任,即通过自评估的形式对自己的数据出境行为负责,确保根据数据出境风险采取相适应且有效的安全保障措施。然而,数据出境关涉国家利益、公共利益和个人权益,而且数据处理者的自评估的结论倾向于通过评估,因此《网络安全法》《数据安全法》《个人信息保护法》都要求通过国家网信部门安全评估,确认数据处理者是否切实承担主体责任,以及评估数据出境风险和所采取措施的充分性、有效性。 | リスク自己評価とセキュリティ評価の組み合わせの原則は、データ処理者が自己評価の形で自らのデータ越境行動に責任を持ち、データ越境のリスクに応じた適切かつ効果的なセキュリティ対策を講じることを第一義的に明らかにするものである。 しかし、データ越境は国益、公益、個人の権利利益に関わるものであり、データ処理者の自己評価の結論が評価をパスする傾向にあることから、サイバーセキュリティ法、データセキュリティ法、個人情報保護法のいずれも国家サイバーセキュリティ部門によるセキュリティ評価を実施し、データ処理者が主責任を有効に負っているかを確認するとともに、データ越境に関する危険性や対策の妥当性・有効性を評価することを求めている。 |
(二)评估决定2年有效期的规定保障了企业参与全球数字经济建设的持续性和连贯性。《办法》第14条明确安全评估结果有效期为2年,意味着数据处理者可以申报2年内对特定境外接收方的数据出境计划,极大方便企业开展连续性数据出境业务,促进全球数字经济发展。这种设置带来了相对的制度优势。以个人信息出境为例,欧盟虽然设置了充分性认定、企业有效规则、标准合同条款等合法机制,但目前通过充分性认定的只有14个国家,企业有效规则难获审批(中国企业尚未有获批的案例),采用标准合同并不免除数据处理者根据数据出境个案的风险采取额外补充措施的义务。相比较而言,跨国企业在我国开展个人信息出境,如果符合安全评估的情形,那么其通过安全评估的确定性要显著增强,而且还可以提供2年有效期的稳定预期,极大方便了企业开展跨境业务。 | (2) 審査決定の有効期間が2年であることは、グローバルなデジタル経済への企業の参加の継続性と一貫性を保護するものである。 弁法第14条は、セキュリティ評価結果の有効期間を2年間と規定している。つまり、データ処理者は2年以内に特定のオフショア受信者のデータ越境計画を申告することができ、企業が継続的にデータ越境業務を行い、グローバルデジタル経済の発展を促進することが大いに促進される。 この仕組みは、制度的に比較的有利である。 例えば、個人データの越境に関して、EUは妥当性判断、企業有効性ルール、標準契約条項などの法的メカニズムを設けているが、妥当性判断はこれまでに14カ国しか通過しておらず、企業有効性ルールは承認が難しく(中国企業の承認事例はまだない)、標準契約条項を採用してもデータ処理者はデータ越境事例のリスクに応じて追加の補完措置を取る義務が免除されるわけでもない。 それに比べ、中国で個人データの越境を行う多国籍企業は、審査の状況を満たせば、セキュリティ審査に合格する確実性が格段に高く、また、2年間の有効期間を安定して期待できるため、国境を越えたビジネスの遂行を大いに促進することができるのである。 |
总体而言,经过多年酝酿和公开讨论的《办法》,在充分平衡各方利益的基础上对数据出境セキュリティ管理作出新探索,既着力于维护国家安全、公共利益和个人与组织合法权益,也为全球数字经济健康发展提供了中国方案。(作者:张金平 中央财经大学副教授) | 全体として、本弁法は、数年にわたる検討と公開討論を経て、すべての当事者の利益の完全なバランスに基づき、データ越境のセキュリティ管理について新たな検討を行うものであり、国家の安全、公共の利益、個人および組織の正当な権益を保護することに焦点を当てるだけでなく、世界のデジタル経済の健全な発展のための中国の解決策も提供するものである。 (筆者:中央財経大学副教授 張金平) |
« 米国 国土安全保障省検査局 米国税関・国境警備局は空港での国際線旅行者の識別のために顔認識のポリシーを遵守している (2022.07.07) | Main | IPA 暗号鍵設定ガイダンス~暗号鍵の鍵長選択方法と運用方法~ »
Comments