« 米国 FedRAMP 意見募集 ペネトレーション・テスト・ガイダンス Version 4.0(案) (2024.03.04) | Main | ドイツ 医療現場におけるサイバーセキュリティ:BSIの研究が示す緊急対策の必要性 »

2024.03.26

中国 越境データ流通の促進および規制に関する規定 (2024.03.22)

こんにちは、丸山満彦です。

中国の国家サイバースペース管理局が、越境データ流通のs苦心および規制に関する規定を公布し、施行しています...

2022年7月に施行された、データ越境セキュリティ評価弁法個人情報越境移転標準契約弁法に優先するようです...

データ流通の促進のための安全保障、個人の人権に関わりが低い部分についての規則をゆるくする感じなんですかね...

 

国家互联网信息办公室(国家サイバースペース管理局)

・2024.03.22 促进和规范数据跨境流动规定

促进和规范数据跨境流动规定 越境データ流通の促進および規制に関する規定
国家互联网信息办公室令 国家サイバースペース管理局法令
第16号 第16号
《促进和规范数据跨境流动规定》已经2023年11月28日国家互联网信息办公室2023年第26次室务会议审议通过,现予公布,自公布之日起施行。 「越境データ流通の促進および規制に関する規定」は、2023年11月28日に開催された国家サイバースペース管理局第26回室務会議で審議・採択され、ここに公布し、公布の日から施行する。
国家互联网信息办公室主任 庄荣文 国家サイバースペース管理局局長 荘栄文
2024年3月22日 2024年3月22日
促进和规范数据跨境流动规定 越境データ流通の促進および規制に関する規定
第一条 为了保障数据安全,保护个人信息权益,促进数据依法有序自由流动,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规,对于数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度的施行,制定本规定。 第1条 「中華人民共和国ネットワークセキュリティ法」、「中華人民共和国データセキュリティ法」、「中華人民共和国個人情報保護法」などの法律法規に基づき、データ越境セキュリティ評価、個人情報越境標準契約、個人情報保護認証を含むデータ越境制度の整備に関して、本規程を制定する。
第二条 数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。 第2条 データ処理者は、関連規定に従って重要なデータを特定し、申告しなければならない。 データ処理者は、関連部門または地域から重要データとして通知または公表されていない場合、データ越境セキュリティ評価を重要データとして申告する必要はない。
第三条 国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。 第3条 中国国外で提供される国際貿易、越境輸送、学術協力、越境生産および製造販売活動において収集および生成されたデータで、個人情報または重要データを含まないものは、データ越境セキュリティ評価の申告、個人情報越境標準契約の締結、及び個人情報保護認証の取得が免除される。
第四条 数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。 第4条 中国国外で収集・生成された個人情報を中国国内で処理するために送信し、処理過程で個人情報または重要データを中国国内に持ち込まずに中国国外で提供する情報処理者は、データ越境セキュリティ評価の申告、個人情報越境標準契約の締結、及び個人情報保護認証の取得が免除される。
第五条 数据处理者向境外提供个人信息,符合下列条件之一的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证: 第5条 情報処理業者が個人情報を国外に提供する場合において、次の各号の一に該当するときは、データ越境セキュリティ評価の申告、個人情報越境標準契約の締結、及び個人情報保護認証の取得が免除される。
(一)为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的; (1) 越境ショッピング、越境郵送、越境送金、越境支払い、越境口座開設、航空券やホテルの予約、ビザの申請、試験サービスなど、本人が当事者となる契約の締結および履行のために、個人情報を国外に提供することが本当に必要である場合
(二)按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的; (2) 従業員の個人情報を国外に提供する真に必要性がある場合、法律に従って策定された労働規則および法律に従って締結された労働協約に従って、越境人事管理を実施する場合
(三)紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的; (3) 緊急時に自然人の生命、健康および財産の安全を保護するために、個人情報を国外に提供する必要がある場合;
(四)关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。 (4) 重要情報インフラの運営者以外のデータ処理者が、当該年の1月1日以降、中国国外に提供した個人情報(機微な個人情報を除く)の累計が10万人未満である場合
前款所称向境外提供的个人信息,不包括重要数据。 前項の国外に提供された個人情報には、重要なデータは含まれない。
第六条 自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。 第6条 自由貿易特区は、国家データ分類・階層保護制度の枠組みの下で、自ら、データ越境セキュリティ評価、個人情報越境標準契約、個人情報保護認証管理の範囲に含める必要のある区内データのリスト(以下、ネガティブリストという)を作成し、省サイバーセキュリティ・情報化委員会の承認を得た後、国家ネット情報部門および国家データ管理部門に報告し、記録することができる。
自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。 ネガティブリスト外のデータを外国に提供する自由貿易試験区内のデータ処理者は、データ越境セキュリティ評価の申告、個人情報越境標準契約の締結、個人情報保護認証の取得が免除される。
第七条 数据处理者向境外提供数据,符合下列条件之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估: 第7条 データ処理業者が国外にデータを提供する場合、次の各号の一に該当する場合、データ越境セキュリティ評価を、そのデータ処理業者が所在する省インターネット情報部門を通じて、国家インターネット情報部門に申告しなければならない:
(一)关键信息基础设施运营者向境外提供个人信息或者重要数据; (1) 重要情報インフラ事業者が個人情報または重要データを国外に提供する場合;
(二)关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。 (2) 重要情報インフラ事業者以外の情報処理者が、重要データを国外に提供する場合、または当該年の1月1日以降の累計で、100万人以上の個人情報(機微個人情報を除く)または1万人以上の機微個人情報を国外に提供する場合;
属于本规定第三条、第四条、第五条、第六条规定情形的,从其规定。 本規定第3条、第4条、第5条および第6条に規定する場合には、その規定を準用する。
第八条 关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。 第8条 重要情報インフラ事業者以外の情報処理事業者は、当該年の1月1日以降、外国に提供する個人情報(機微な個人情報を除く。)の数が10万人以上、100万人未満、または機微な個人情報の数が1万人未満の場合、法令に基づき、当該外国の受取人との間で個人情報の輸出に関する標準契約を締結し、または個人情報保護に関する証明に取得しなければならない。
属于本规定第三条、第四条、第五条、第六条规定情形的,从其规定。 本規則第3条、第4条、第5条および第6条に規定する場合には、その規定を準用する。
第九条 通过数据出境安全评估的结果有效期为3年,自评估结果出具之日起计算。有效期届满,需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的,数据处理者可以在有效期届满前60个工作日内通过所在地省级网信部门向国家网信部门提出延长评估结果有效期申请。经国家网信部门批准,可以延长评估结果有效期3年。 第9条 データ越境安全評価結果の有効期間は、アセスメント結果の日から3年間とする。 有効期間が満了した後、引き続きデータ越境活動を行う必要があり、かつデータ越境セキュリティ評価状況を再度申告する必要がない場合、情報処理者は、有効期間が満了する前60営業日以内に、地方ネット信用部門を通じて国家ネット信用部門に評価結果の有効期間の延長を申請することができる。 国家インターネット情報部門の承認があれば、アセスメント結果の有効期間は3年間延長できる。
第十条 数据处理者向境外提供个人信息的,应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。 第10条 情報処理者は、個人情報を中国国外に提供する場合、法律および行政法規の規定に従い、通知、本人の同意の取得、個人情報保護の影響アセスメントなどの義務を履行しなければならない。
第十一条 数据处理者向境外提供数据的,应当遵守法律、法规的规定,履行数据安全保护义务,采取技术措施和其他必要措施,保障数据出境安全。发生或者可能发生数据安全事件的,应当采取补救措施,及时向省级以上网信部门和其他有关主管部门报告。 第11条 国外にデータを提供する情報処理者は、法令の規定を遵守し、データ安全保護義務を履行し、国外におけるデータ安全保護のための技術的措置およびその他の必要な措置を講じなければならない。 データ・セキュリティ事故が発生し、または発生するおそれがある場合、改善措置を講じ、速やかに省レベル以上のネット情報部門およびその他の関係機関に報告しなければならない。
第十二条 各地网信部门应当加强对数据处理者数据出境活动的指导监督,健全完善数据出境安全评估制度,优化评估流程;强化事前事中事后全链条全领域监管,发现数据出境活动存在较大风险或者发生数据安全事件的,要求数据处理者进行整改,消除隐患;对拒不改正或者造成严重后果的,依法追究法律责任。 第12条 地方のネット信用部門は、データ処理業者のデータ越境活動に対する指導と監督を強化し、データ越境セキュリティ評価制度を改善・完備し、アセスメントプロセスを最適化し、事前のチェーン全体、事後の現場全体に対する監督を強化し、データ越境活動またはデータセキュリティインシデントの発生リスクが高いことを発見し、データ処理業者に対して是正を要求し、隠れた危険を除去しなければならず、是正を拒否し、または重大な結果を引き起こした場合、法律上の責任を追及される。 法に従って法的責任を調査する。
第十三条 2022年7月7日公布的《数据出境安全评估办法》(国家互联网信息办公室令第11号)、2023年2月22日公布的《个人信息出境标准合同办法》(国家互联网信息办公室令第13号)等相关规定与本规定不一致的,适用本规定。 第13条 2022年7月7日に公布された「データ越境セキュリティ評価弁法」(国家サイバースペース管理局令第11号)、2023年2月22日に公布された「個人情報越境標準契約弁法」(国家サイバースペース管理局令第13号)及びその他の関連規定が本規定と矛盾する場合、本規定を適用する。
第十四条 本规定自公布之日起施行。 第14条 本規定は公布の日から施行する。

 

1_20210612030101

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.01 中国 個人情報越境移転標準契約弁法 (2023.02.24)

・2023.10.06 中国 国家サイバースペース管理局 データの越境流動に対する規制と促進に関する規定(意見募集案)

・2022.09.02 中国 国家サイバースペース管理局 データ越境セキュリティ評価報告書作成ガイド(第1版)

・2022.07.13 中国 国家サイバースペース管理局 「データ越境セキュリティ評価弁法」を公表 (2022.07.07)

・2021.11.01 中国 意見募集 データ域外移転のセキュリティ評価に関する弁法

 

 

|

« 米国 FedRAMP 意見募集 ペネトレーション・テスト・ガイダンス Version 4.0(案) (2024.03.04) | Main | ドイツ 医療現場におけるサイバーセキュリティ:BSIの研究が示す緊急対策の必要性 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 米国 FedRAMP 意見募集 ペネトレーション・テスト・ガイダンス Version 4.0(案) (2024.03.04) | Main | ドイツ 医療現場におけるサイバーセキュリティ:BSIの研究が示す緊急対策の必要性 »