「データの海外提供に対する安全性評価申告ガイドライン」が公布
ここ数年、中国ではサイバーセキュリティ法、データセキュリティ法、個人情報保護法などの法律が次々と公布され、中国から海外へのデータ提供に関する法制度をいかに遵守すべきかについて、不安の声が多く聞かれます。例えば、日本本社に対して、財務情報や従業員データを提供するだけでも安全性評価を行い、日本本社とのデータ提供に関する契約を結ばなければならないのか、とった質問が多くの企業から寄せられています。
2022年7月7日に、中国インターネット情報弁公室(CAC)は、「データの海外提供に関する安全性評価弁法」(「弁法」)を公布し、海外へのデータ提供の自由を規制する法制度が9月1日から実施されています。これにあわせて、「データの海外提供への安全性評価」の適用範囲および手順や必要資料など申告方法の詳細内容について、CACは8月31日に、「データの海外提供への安全性評価申告ガイドライン(初版)」(「ガイドライン」)を公布しました。今回は、その「ガイドライン」の内容を解説いたします。
1.「データの海外提供」行為について明確化
「ガイドライン」は、「データの海外提供」行為について、具体的な構成要件を規定しました(第 1 条)。
(1) データ処理者が中国での運営中に収集および生成したデータを海外に送信するか、または、海外で保存した場合
(2) データ処理者によって収集および生成されたデータが中国に保存されているものの、海外の機関、組織、または個人によるデータの照会、取得、ダウンロードができる場合
(3) CACが定めるその他のデータの海外提供行為
上記 (2) は、データが中国に存在するが、主に国外からリモートでアクセス、検索およびダウンロードできる状況を指しており、「弁法」に照らすと、データの海外提供行為にあたるということです。
2.データの海外提供への安全性評価申告と自己評価のテンプレートを提供
「ガイドライン」では、企業がデータの海外提供への安全性評価を実施するための申告書と自己評価報告書のテンプレートが提供され、企業が提出資料を準備するための具体的な方法を明確にしています。たとえばデータの海外提供に関して、国内にあるデータ提供企業と、海外の受信企業が締結する契約は強調表示やワイヤーフレームなどの目立つ標識でマークする必要があり、外国語版よりも中国語版が法律効果において優先されます。 (ガイドライン添付書類1)
同時に、企業は申告の手続で提出した資料の信頼性に責任を負う必要があり、CACによる違反時の処罰内容についても言及しています(ガイドライン添付書類3)。
◆日本企業へのアドバイス
今回の「ガイドライン」の公布により、データの海外提供安全性評価を申告する際の方法論が示されたといえます。そのため、企業はこの「ガイドライン」に沿ってデータの海外提供への安全性評価のための内部コンプライアンスシステムを確立し、本社とのデータ交換の状況を整理する必要があるでしょう。その中で、安全性評価の申告の必要性を判断し、データの海外提供に関する対応戦略(完全に中国国内でデータを保管•安全性評価申告の準備など)について対策をまとめておくと良いでしょう。(データの海外提供について、安全性評価申告が必要となる状況については、弊所の過去記事「データ越境移転の安全性評価細則が公布」をご参照ください。)
作成日:2022年11月07日