中国国家インターネット情報弁公室による「個人情報越境転送セキュリティ評価規則(意見募集稿)」公布及びパブリックコメント募集


国家インターネット情報弁公室は、関連部門と共に、「個人情報越境転送セキュリティ評価規則」(以下は「新規則」という)を制定し、2019年6月13日に公布、及びパブリックコメント募集を開始した。この「新規則」は、個人情報の安全を保障し、サイバー空間の主権、国家の安全、社会公共の利益、国民、及び経営者の合法的な権益を保護するため、「中国サイバーセキュリティ法」などの関連法律・法規に基づき制定されている。

 今回公布した「新規則」を2017年4月11日に公布されている「個人情報及び重要データ越境転送セキュリティ評価規則 (意見募集稿)」(以下は「既存規則」という)と比較すると、個人情報の記載がより詳しくなっている。詳細な相違点などは以下の通り:

 

  • 全体構造と要求

(1) 個人情報と重要データを区別
個人情報越境転送の管理は主に個人情報主体の権利行使を重視しており、重要データの保護は主に国家安全、公共利益を重視している。個人情報と重要データでは価値志向、立法重点が異なるため、「新規則」では個人情報のみにフォーカスした規則としてフォーカスした規則である。
(2) 評価体制の変更
データ越境転送について、「既存規則」においては、ネットワーク運営者が、一定の条件(業界条件、もしくは個人情報の量など)を満たした場合、自己評価と業界の主管部門の評価、いわば、二重評価を行う必要があった。一方、「新規則」では、個人情報が越境に転送される前に、ネットワーク情報部門に「個人情報越境転送セキュリティ評価」を申し込む必要があり、申し込み条件と頻度も明確に定められている。
(3) データ主体への同意取得・説明責任
「既存規則」によると、個人情報が越境に転送される前に、データの越境転送内容を個人情報の主体に説明し、同意を得なければならない。一方、「新規則」の場合は、ネットワーク運営者が個人情報主体にデータの越境転送状況のみを説明する必要がある。

 

  • 評価対象及び範囲

「新規則」第2条によると、「ネットワーク運営者が中華人民共和国境内で収集した個人情報を越境に転送する(以下は「個人情報の越境転送」という)場合、本方法に基づき、セキュリティ評価を行わなければならない」。すなわち、「新規則」は一律に処理する方法を採用し、本方法が全てのネットワーク運営者に適用すると定めている。評価対象は数量、類型問わず、境内*1で収集した全ての個人情報は評価の範囲に属する。

 また、「既存規則」では明確にされていない境外機構は境内で個人情報の収集について、「新規則」では明確に関連規則を定めている。「新規則」の第20条によると、「越境機構が経営活動中にインターネットを利用し、収集した個人情報は、国内で法人代表、若しくは関連機構を経由し、本方法に定めたネットワーク運営者の責任と義務を果たさなければならない」と規定しているが、詳しい操作の説明はされていない。
*1 境内 : 香港・マカオ・台湾を除く中国国内。境外はその逆の意味で使用

 

  • データの提供先と契約の締結

「新規則」の第10条は、「省レベルのネットワーク情報部門はネットワーク運営者の個人情報越境転送記録などの個人情報越境転送状況を定期的に検査し、国家規則、個人情報主体の法的な権益を侵犯する行為があるかどうか、契約書に定められた義務の履行状況は主な検査項目である」と規定している。「新規則」の第13条は、個人情報越境転送の前に、ネットワーク運営者は境外の提供先と契約を締結することを定めている。また、「新規則」は契約内容について詳しく定めている。主な内容は提供先が受け取った個人情報を安全に保護する規程である。

契約に明確にすべき内容は以下の通り:
(1) 個人情報越境転送の目的、種類、保存期間
(2) 個人情報主体とは契約書に書かれた個人情報主体権益の受益者という
(3) 個人情報主体の法的な権益が侵犯された時に、自らまたは代理人により、 ネットワーク運営者、若しくは提供先、それとも双方に賠償を請求することができる。責任を負わないと認められない限り、ネットワーク運営者、または受信側が賠償する。
(4) 受取国の法的な環境が変化し、契約が履行困難の場合は、契約を中止するか、若しくは改めてセキュリティ評価を行う。
(5) 契約の中止により、個人情報主体の法的な権益などの関連規定からネットワーク運営者と提供先の責任と義務が免除されることはない
(6) 双方が契約する必要がある他の内容
 ①以上の内容以外に、「新規則」はネットワーク運営者と提供先の責任と義務を明確に定めされている。詳しい内容は「新規則」の第14条、第15条、第16条を参照のこと。

 

  • 個人情報越境転送のリスクと安全保障措置の分析報告について

「新規則」の第17条によると、ネットワーク運営者は個人情報越境転送のリスクと安全保障措置の分析報告について、以下の内容を含まなければならない。
(1) ネットワーク運営者と提供先の背景、規模、業務、信用、サイバーセキュリティ能力など
(2) 個人情報境外転送の計画、継続期間、個人情報主体の数、越境に転送する個人情報の規模、個人情報を境外に転送した後、第三者に転送する可能性があるか否か
(3) 越境転送のリスク及び個人情報主体のセキュリティ並びに法的な権益を保護するための措置

 

  • 個人情報越境転送記録

「新規則」の第8条によると、ネットワーク運営者は個人情報境外転送履歴を記録し、5年間保存する。記録は以下の内容を含む:
(1) 個人情報の越境転送日
(2) 提供先の身分情報、提供先の名称、住所、連絡先などを含む
(3) 越境に転送した個人情報の種類、数、及び機微さ度合い
(4) 国家ネットワーク情報部門に定められたほかの内容

この「個人情報越境転送セキュリティ評価規則(意見募集稿)」に提起されている個人情報の越境転送と監督のための新しい枠組みは、規制当局の今後の方針を反映していると考えられる。継続して動向には注意が必要である。

「既存規則」(CAC公式サイト):http://www.cac.gov.cn/2017-04/11/c_1120785691.htm
「新規則」(CAC公式サイト):http://www.cac.gov.cn/2019-06/13/c_1124613618.htm

関連記事