中国におけるデータ越境移転に関する安全評価と申告
中国のサイバーセキュリティ法(2017年6月1日施行)、データセキュリティ法(2021年9月1日施行)、個人情報保護法(2021年11月1日施行)は、個人情報取扱者が個人情報や重要データを国外移転しようとする場合、国家インターネット情報部門においてデータ移転の安全評価を行う必要がある旨を定めている。これを受けて、国家インターネット情報弁公室(以下「CAC」という)は、2022年7月7日に「データ越境安全評価弁法」(2022年9月1日施行。以下「評価弁法」という)を公布し、データ越境移転のための事前評価、評価の適用対象、評価の方法とプロセスなどを定めた※1。
また、CACは、データ越境移転に関する安全評価の申告手続をスムーズにするため、2022年8月31日に「データ越境安全評価申告指南(第1版)」(以下「指南」という)を公布した※2。指南は、越境移転の定義を「国外の機関・組織又は個人が、中国国内で収集・生成、保存されたデータを、検索、取得、ダウンロードまたはエクスポートすること」と具体化し、安全評価申告に必要となる資料のリストや記入方法などを明らかにしている。
さらに、評価弁法第20条に、遡及適用の規定が存在する点に注意を要する。すなわち、中国のデータ取扱者が、評価弁法の施行(2022年9月1日)前に、既にデータの越境移転を行っており、当該移転が評価弁法の規定に合致しない場合、施行日から6ヵ月以内(2023年2月末日まで)に、改善措置を完了させる必要があるとされている。そのため、中国現地法人を有する日本企業などの場合、過去のデータ越境移転の内容を確認し、安全評価の適用対象に該当するかどうかを判断したり、データの取扱方法の変更や改善を行ったりすることを要する可能性もあるので、留意する必要がある。
※1 http://www.cac.gov.cn/2022-07/07/c_1658811536396503.htm
なお、評価弁法の内容は、2021年10月29日に公表された意見募集稿とほぼ同一である。
※2 http://www.cac.gov.cn/2022-08/31/c_1663568169996202.htm