遵守する以外に選択の余地なし国境を越えるデータ伝送の法的制限に注意！（後編）

■インターネット運営者は誰であるのか？

インターネット運営者は、インターネット会社とは異なる。「サイバーセキュリティ法」、「評価弁法」及び「ガイドライン」では、インターネット運営者について、いずれも同じ定義を採用しており、つまり「インターネットの所有者、管理者及びインターネットサービス提供者」であるとしている。ただし、この定義は、「インターネット」の定義を踏まえて理解しなければならない。「サイバーセキュリティ法」においては、インターネットとは、「コンピューター又はその他の情報端末及び関連設備によって構成される、一定の規則及びプログラムに従い、情報を収集、保存、伝送、交換、処理するシステムをいう」とされている。インターネットの定義がとりわけ広範すぎることから、オフィスシステム、工業制御システムを保有しているような、インターネット事業以外の会社までもがインターネット運営者の範囲に組み込まれてしまう可能性が極めて高い。

■データの域外持出とは何を指すのか？

法規	具体的規定	解説
「評価弁法」	第17条：データの域外持出とは、インターネット運営者が中華人民共和国領域内の運営において収集し、発生した個人情報及び重要データを域外に位置する機構、組織、個人に提供することをいう。	■現在、データの域外持出という概念は、法規の間でも混乱及び矛盾した状態にある。「評価弁法」では、データの受け手を「域外の機構、組織、個人」に限定しているが、「ガイドライン」では、「中国司法の管轄を受けず、又は領域内で登録していない主体」もデータ受け手の範囲に組み入れている。 ■「ガイドライン」では、域外組織が領域内の情報を閲覧することもデータの域外持出に分類している。例えば、領域内機構が中国公民の個人情報を百度クラウドストレージ（ストレージのサーバは領域内に設置されている）に保存し、その後、ファイルを取り出すためのリンク先及びパスワードを域外組織へ提供し、同域外組織が域外から当該百度クラウドストレージのクライアントから、当該百度クラウドストレージ上の個人情報にアクセスし、ダウンロードする状況は、データの域外持出に該当する。 ■「ガイドライン」は、「データの経由伝送」を国境を越えるデータ伝送の対象外とした。例えば、アメリカの会社がアメリカ領域内で収集したアメリカ公民の個人情報を中国領域内の某企業へ伝送し、匿名化処理を行ってから、当該中国企業が処理済みの情報をシンガポールに伝送する場合、「ガイドライン」に基づくと、データの域外持出に該当しない。
「評価弁法」（修正案）	第15条：データの域外持出とは、電子化された個人情報及び重要データを域外に位置する機構、組織、個人に提供することをいう。
「ガイドライン」	■インターネット運営者はインターネットなどの方式により、中華人民共和国領域内での運営過程で収集し発生した個人情報及び重要データを直接に又は業務の実施、役務又は製品提供などの方法により、域外の機構、組織又は個人による一回限りの活動又は持続的な活動に対し提供する。 ■注釈1：以下の状況はデータの域外持出に該当する。 ●中国領域内ではあるが、中国の司法による管轄を受けず、又は領域内で登記していない主体に対し個人情報及び重要データを提供する場合。 ●データは中国以外の場所に移して保存しているのではないが、域外の機構、組織、個人がアクセスし、閲覧可能である場合（公開情報である場合、ウェブサイトにアクセスする場合を除く）。 ●インターネット運営者グループの内部データを領域内から域外へと伝送する際に、領域内での運営過程で収集し発生した個人情報及び重要データに係る場合。 ■注釈2：領域内での運営過程で収集し発生したのではない個人情報及び重要データを中国経由で域外へ持出す場合で、それらがいかなる変更や加工処理も行われていないならば、データの域外持出に該当しない。 ■注釈3：領域内での運営過程で収集し発生したものではない個人情報及び重要データを領域内で保存し、加工処理後に域外に持出す場合で、それが領域内での運営過程で収集し発生した個人情報及び重要データと関係なくなっているときは、データの域外持出に該当しない。

■企業は現時点で何をしなければならないのか？

現時点において、企業は「サイバーセキュリティ法」第37条の規定を遵守しなければならず、上記の方法に従い、自身がCIIOに該当するかどうかを判断することができる。CIIOに該当する場合、原則として、中国領域内で収集し、発生した個人情報及び重要データは領域内で保存しなければならない。業務上の都合により、これらの個人情報及び重要データを域外へ提供する必要がある場合、セキュリティ評価を行わなければならない。また、「サイバーセキュリティ法」第42条によると、「被収集者の同意を得ずして、他者に個人情報を提供してはならない」とされている。よって、企業が個人情報を域外へ持ち出す必要がある場合（企業がCIIOに該当するかどうかを問わず）、個人情報主体による授権、同意を取得しなければならない。上述規定に違反した場合、関係部門は、企業を警告、違法所得の没収、5万元以上50万元以下の過料に処し、ひいては企業の係る業務許可証又は営業許可証を取り上げることがある。

■政府による評価or自己評価？

「評価弁法」及び「ガイドライン」では、「サイバーセキュリティ法」に基づくセキュリティ評価についてさらに細分化し、主管機関による評価及び自己評価に分けられる。データの域外持出は、自己評価を原則とし、主管機関による評価を例外としている。特殊類のデータに係る場合及び特別な状況が発生した場合に限り、主管機関による評価が必要となる。具体的には下表の通りである。

「評価弁法」

「評価弁法」（修正案）

「ガイドライン」

域外へ持ち出すデータが以下の状況のいずれかに該当する場合、インターネット運営者は業界主管又は監督管理部門へ報告し、セキュリティ評価の手配を申請しなければならない。
■50万人以上又は累計して50万人以上の個人情報が含まれる場合。

■データ量が1000GBを超える場合。

■原子力施設、化学・バイオ、国防・軍事工業、人口・健康などの領域のデータ、大型工事活動、海洋環境及機敏な地理情報データなどが含まれる場合。

■重要情報インフラのシステムの脆弱性、セキュリティ防護などのインターネットセキュリティ情報が含まれる場合。

■重要情報インフラ運営者が域外へ提供する個人情報及び重要データである場合。

■その他、国の安全及び社会の公共利益に影響する恐れがあり、業界主管又は監督管理部門が評価すべきであると考える場合。

域外へ持ち出すデータが以下の状況のいずれかに該当する場合、業界主管又は監督管理部門がセキュリティ評価を手配しなければならない。
■50万人以上又は累計して50万人以上の個人情報が含まれる場合。

■原子力施設、化学・バイオ、国防・軍事工業、人口・健康などの領域のデータ、大型工事活動、海洋環境、機敏な地理情報データ、及び重要情報インフラのセキュリティ上の欠陥、具体的な安全防護措置などのインターネットセキュリティ情報が含まれる場合。

■その他、国の安全及び社会の公共利益に影響する恐れがある場合。

国家インターネット情報部門、業界主管部門は、データの域外持出類型、数量、範囲、重大性などに応じて、情状を酌量して主管部門による評価を手配する。以下の状況のいずれかに該当する場合、国家インターネット情報部門、業界主管部門は主管部門による評価を行うことができる。
■一年以内に、域外へ持ち出す個人情報の数量が国家インターネット情報部門、業界主管部門へ報告すべき要求に達した場合。
■原子力施設、バイオ・化学、国防・軍事工業、人口・健康などの領域のデータ、大型工事活動、海洋環境、機敏な地理情報データ及びその他の重要データが含まれる場合。
■重要情報インフラのセキュリティ上の欠陥、具体的な安全防護措置などのインターネットセキュリティ情報に係る場合。
■重要インフラ運営者がデータを域外へ持ち出す場合。
■その他、国の安全、経済の発展及び社会の公共利益に影響する恐れがある場合。
■大勢のユーザーが苦情を申し立て、通報した場合。
■全国的業界協会が提案した場合。
■その他、国家インターネット情報部門、業界主管部門が主管部門による評価の実施が必要と認定した場合。

終わりに

中国では、サイバーセキュリティ及びデータ取扱いに関する遵法体制がまだ整備途中にあり、「サイバーセキュリティ法」の関連法規及び基準については、パブリックコメントを募集中のものもあれば、間もなく発効されるものもある。なお、多くの企業ではすでに対応措置を講じており、例えば、アップル社は、セキュリティ評価を回避するために、中国ユーザー向けのデータ保存先であるiCloudデータセンターを中国領域内に移設するなどしている。国境を越えるデータ伝送に関する法規は、いつ発効してもおかしくないものであり、企業はとりわけ注意を払い、不意打ちを食らってしまうことのないよう早期に準備しておくのがよい。

（里兆法律事務所が2018年9月17日付で作成）

ユーザー登録がお済みの方

ユーザー登録がお済みでない方

有料記事閲覧および中国重要規定データベースのご利用は、ユーザー登録後にお手続きいただけます。
詳細は下の「ユーザー登録のご案内」をクリックして下さい。

ユーザー登録のご案内