« 米国CISA 英国NCSC 国境を越えた脅威にさらされる市民社会のサイバーセキュリティに関する戦略対話の初会合 (2023.09.29) | Main | EDPB 意見募集 法執行指令に基づく適切な保護措置の対象となるデータ移転に関するガイドライン (2023.09.27) »

2023.10.06

中国 国家サイバースペース管理局 データの越境流動に対する規制と促進に関する規定(意見募集案)

こんにちは、丸山満彦です。

データは紐付けすることにより、価値が増大することから、データの自由な流通により、経済が発展したり、社会の安全が保持されたりすることが想定される。一方、データが紐付けされることにより、人権が毀損されることもありうることから、そのバランスをどこにおけば、社会的によいのか?ということが重要となりますね。。。

中国の個人情報保護法性では、個人データの越境について、いささか厳しすぎるのではないのか?という話もあり、その適切な調整をどこにはかるべきか?ということから、このような意見募集がされているのでしょうかね。。。

 

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

・2023/09/29 国家互联网信息办公室关于《规范和促进数据跨境流动规定(征求意见稿)》公开征求意见的通知

 

国家互联网信息办公室关于《规范和促进数据跨境流动规定(征求意见稿)》公开征求意见的通知 データの越境流動に対する規制と促進に関する規定(意見募集案)」の公募に関する国家ネットワーク管理室からのお知らせ
为保障国家数据安全,保护个人信息权益,进一步规范和促进数据依法有序自由流动,依据有关法律,我办起草了《规范和促进数据跨境流动规定(征求意见稿)》,现向社会公开征求意见。公众可通过以下途径和方式提出反馈意见: 国家データ安全保障を保護し、個人情報の権益を保護し、法に基づきデータの自由な流通を秩序立てて規制・促進するため、関連法に基づき、「データの越境流動に対する規制と促進に関する規定(意見募集案)」を作成し、現在、公開協議を行っている。 国民は以下の方法・手段で意見を提出することができる:
1.登录中华人民共和国司法部 中国政府法制信息网,进入首页主菜单的“立法意见征集”栏目提出意见。 1.中華人民共和国司法部中国政府法律情報ネットワーク(にログインし、ホームページのメインメニューから「立法意見集」に入り、意見を提出する。
2.通过电子邮件将意见发送至 2.電子メールで意見を送る。
3.通过信函将意见寄至:北京市海淀区阜成路15号国家互联网信息办公室网络数据管理局,邮编:100048,并在信封上注明“规范和促进数据跨境流动规定征求意见”。 3.国家サイバースペース管理局ネットワークデータ管理質(〒100048 中国北京市海淀区福正路15号)宛に書簡で意見を送り、封筒に「データの越境流動に対する規制と促進に関する規定」と明記する。
意见反馈截止时间为2023年10月15日。 意見提出期限は2023年10月15日である。
附件:规范和促进数据跨境流动规定(征求意见稿) 附属書:国境を越えたデータの流れの規制および円滑化に関する規定(意見募集案)
国家互联网信息办公室 国内インターネット情報局
2023年9月28日 2023年9月28日
规范和促进数据跨境流动规定 データの越境流動に対する規制と促進に関する規定
(征求意见稿) (パブリックコメント案)
为保障国家数据安全,保护个人信息权益,进一步规范和促进数据依法有序自由流动,依据有关法律,对《数据出境安全评估办法》、《个人信息出境标准合同办法》等数据出境规定的施行,作出以下规定。 国家データ安全保障を保護し、個人情報の権益を保護し、法に基づきデータの自由な流通を更に秩序立てて規制・促進するため、関連法に基づき、データ出口安全評価措置、個人情報出口標準契約措置等のデータ出口規制の実施について、以下の通り規定する。
一、国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境,不包含个人信息或者重要数据的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。 1. 国際貿易、学術協力、多国籍製造、販売活動で発生したデータに個人情報や重要なデータが含まれていない場合、データ出口の安全性評価を申告したり、個人情報出口の標準契約を締結したり、個人情報保護の認証に合格したりする必要はない。
二、未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。 2. 関連部門または地域から重要データとして通知または公表されていない場合、データ処理者は重要データとしてデータ出口安全評価を申告する必要はない。
三、不是在境内收集产生的个人信息向境外提供,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。 3. 国内で収集されなかった個人情報が国外に提供される場合、情報処理者はデータ輸出安全評価の申告、個人情報輸出標準契約の締結、個人情報保護認証の合格を要求されない。
四、符合以下情形之一的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证: 4. 次のいずれかに該当する場合は、データ持ち出し安全性評価の申告、個人情報持ち出し標準契約の締結、個人情報保護認証の合格は不要である:
(一)为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境汇款、机票酒店预订、签证办理等,必须向境外提供个人信息的; (1) 国境を越えた購買、国境を越えた送金、航空券やホテルの予約、ビザの手続きなど、本人が当事者となる契約の締結および履行のために、個人情報を国外に提供しなければならない場合;
(二)按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息的; (2) 法令に基づき策定された就業規則および法令に基づき締結された労働協約に基づく人事管理を実施するために、社内の従業員の個人情報を国外に提供する必要がある場合;
(三)紧急情况下为保护自然人的生命健康和财产安全等,必须向境外提供个人信息的。 (3) 緊急やむを得ない場合において、自然人等の生命、身体及び財産の安全を保護するため、個人情報を国外に提供する必要があるとき。
五、预计一年内向境外提供不满1万人个人信息的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。但是,基于个人同意向境外提供个人信息的,应当取得个人信息主体同意。 5. 1年以内に国外に提供する個人情報が1万人未満であると見込まれる場合は、データ持ち出し安全性評価宣言、個人情報持ち出し標準契約の締結、個人情報保護認定を行う必要はない。 ただし、本人の同意に基づき個人情報を国外に提供する場合は、個人情報主体の同意を得なければならない。
六、预计一年内向境外提供1万人以上、不满100万人个人信息,与境外接收方订立个人信息出境标准合同并向省级网信部门备案或者通过个人信息保护认证的,可以不申报数据出境安全评估;向境外提供100万人以上个人信息的,应当申报数据出境安全评估。但是,基于个人同意向境外提供个人信息的,应当取得个人信息主体同意。 6. 1年以内に1万人以上、100万人未満の個人情報を海外に提供することが予想され、海外の受信者は、個人情報の輸出のための標準的な契約を締結し、地方のインターネット情報部門に記録または個人情報保護の証明書を介して、データの出口のセキュリティ評価を宣言することはできない;100万人以上の個人情報を海外に提供するために、データの輸出のセキュリティ評価を宣言する必要がある。 ただし、個人情報を国外に提供する場合は、個人の同意に基づき、個人情報の主体が同意を得る必要がある。
七、自由贸易试验区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),报经省级网络安全和信息化委员会批准后,报国家网信部门备案。 7. 試験的自由貿易区は、自ら、試験的自由貿易区におけるデータ輸出安全評価、個人情報輸出標準契約、個人情報保護認証管理の範囲に含める必要のあるデータのリスト(以下、ネガティブリストという)を作成し、地方ネットワーク安全情報化委員会の承認を経て、国家インターネット情報化局に報告し、記録することができる。
负面清单外数据出境,可以不申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。 ネガティブリスト外のデータは、個人情報保護の認証を経て、セキュリティ評価、個人情報輸出標準契約の締結を宣言することなく輸出することができる。
八、国家机关和关键信息基础设施运营者向境外提供个人信息和重要数据的,依照有关法律、行政法规、部门规章规定执行。 8. 国家機関と重要な情報インフラ事業者は、関連する法律、行政法規、部門規則に従って、個人情報や重要なデータを国外に提供する。
向境外提供涉及党政军和涉密单位敏感信息、敏感个人信息的,依照有关法律、行政法规、部门规章规定执行。 関係法律、行政法規、部門規定に従って、党、政府、軍、機密単位が関与する機密個人情報を国外に提供する。
九、数据处理者向境外提供重要数据和个人信息,应当遵守法律、行政法规的规定,履行数据安全保护义务,保障数据出境安全;发生数据出境安全事件或者发现数据出境安全风险增大的,应当采取补救措施,及时向网信部门报告。 9. データ処理者は、重要なデータや個人情報を国外に提供するため、法律や行政法規の規定を遵守し、データセキュリティ保護の義務を果たし、国外データの安全を確保する。国外データのセキュリティ事故の発生や国外データのセキュリティのリスクが増加することが判明した場合は、改善措置を講じ、適時にインターネット情報部門に報告する必要がある。
十、各地方网信部门应当加强对数据处理者数据出境活动的指导监督,强化事前事中事后监管,发现数据出境活动存在较大风险或者发生安全事件的,要求数据处理者进行整改消除隐患;对拒不改正或者导致严重后果的,依法责令其停止数据出境活动,保障数据安全。 10. 各地ネット情報部門は、データ処理業者のデータ国外持ち出し活動に対する指導監督を強化し、事前、事中、事後の監督を強化し、データ国外持ち出し活動のリスクが高まった場合、またはセキュリティ事件が発生したことを発見した場合、データ処理業者に対して、隠れた危険を除去するための是正を実施するよう要求し、データ処理業者が是正を拒否した場合、または重大な結果を引き起こした場合、データ国外持ち出し活動を停止し、データのセキュリティを保護するよう法律で命じなければならない。
十一、《数据出境安全评估办法》、《个人信息出境标准合同办法》等相关规定与本规定不一致的,按照本规定执行。 11. データ出口安全評価弁法、個人情報出口標準契約弁法およびその他の関連規定が本規定と矛盾する場合、本規定に従って実施されるものとする。

 

1_20210612030101


 

解説については、TMI総合法律事務所の次の記事が参考になりますかね。。。

TMI総合法律事務所 - ブログ

・2023.10.02 【中国】中国個人情報の越境移転に関する重要な立法動向(「データの越境流動規範と促進規定」意見募集稿について)

 


 

関連 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.08.22 中国 TC260 国家標準「機微な個人情報の処理に関するセキュリティ要件」公開草案 (2023.08.09)

・2023.08.05 中国 国家サイバースペース管理局「個人情報保護遵守監査管理弁法(意見募集案) 」

・2023.07.14 中国 国家サイバースペース管理局 サイバー暴力に関する情報管理規定(意見募集案)(2023.07.07)

・2023.06.01 中国 国家サイバースペース管理局「個人情報の越境移転に関する標準契約条項(第一版)」

・2023.03.01 中国 個人情報越境移転標準契約弁法 (2023.02.24)

・2023.01.18 中国 サイバー法制白書 2022 (2023.01.12)

・2022.12.20 中国 最高検察庁 国民の個人情報に対する犯罪を法に基づいて処罰した代表的な5事例の公表 (2022.12.07)

・2022.11.23 中国 個人情報保護認証制度が始まりますね...中国版Pマーク?

・2022.09.02 中国 国家サイバースペース管理局 データ越境セキュリティ評価報告書作成ガイド(第1版)

・2022.07.17 中国 国家サイバースペース管理局が「インターネット利用者アカウント情報管理規定」を公布 (2022.06.27)

・2022.07.13 中国 国家サイバースペース管理局 「データ越境セキュリティ評価弁法」を公表 (2022.07.07)

・2022.07.02 中国 国家サイバースペース管理局「個人情報の越境移転に関する標準契約条項(意見募集案)」

・2022.01.30 中国 国家サイバースペース管理局 意見募集 インターネット情報サービスの深層合成の管理に関する規定(意見募集稿)

・2022.01.03 中国 全国人民大会 個人情報保護法についての記事

・2021.12.12 中国 サイバースペース管理局が、CNCERTと中国サイバースペースセキュリティ協会が、アプリによる個人情報の違法・不正な収集・利用に関する監視・分析レポートを発表したと公表していますね。。。

・2021.11.01 中国 意見募集 データ域外移転のセキュリティ評価に関する弁法

・2021.08.31 中国 「個人情報保護法」についての専門家の解釈

・2021.08.30 中国 「重要情報インフラのセキュリティ保護規制」についての専門家の解釈+「データセキュリティ法」についての解釈

・2021.08.24 中国 全国人民代表大会常務委員会法制委員会経済法室の楊和慶副室長による個人情報保護法の説明

・2021.08.22 中国 個人情報保護法は2021.11.01施行

・2021.08.15 中国 個人情報保護法案が少し改訂されているようですね。。。

・2021.04.28 中国 意見募集 スマホアプリによる個人情報保護管理に関する暫定規定

・2020.10.29 パブコメ 中国の個人情報保護法案 (2020.10.22)


|

« 米国CISA 英国NCSC 国境を越えた脅威にさらされる市民社会のサイバーセキュリティに関する戦略対話の初会合 (2023.09.29) | Main | EDPB 意見募集 法執行指令に基づく適切な保護措置の対象となるデータ移転に関するガイドライン (2023.09.27) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 米国CISA 英国NCSC 国境を越えた脅威にさらされる市民社会のサイバーセキュリティに関する戦略対話の初会合 (2023.09.29) | Main | EDPB 意見募集 法執行指令に基づく適切な保護措置の対象となるデータ移転に関するガイドライン (2023.09.27) »