データ域外移転安全評価弁法、9月1日から施行、安全評価の審査対象が明確に

中国の国家インターネット情報弁公室は7月７日、「データ域外移転安全評価弁法」を公表した。9月1日から施行される。

同弁法は、データ取扱者が中国国内での事業運営を通じて収集・生成した重要データや個人情報を域外に提供する際の安全評価手続きを定めたもの。「サイバーセキュリティー法(2017年6月施行)」「データセキュリティー法(2021年9月施行)」（2021年6月18日記事参照）「個人情報保護法(2021年11月施行)」（2021年8月26日記事参照）などの下位規則の位置付けとなる（注1）。

弁法では、以下1.～4.のいずれかに該当する場合、所在する省のネットワーク情報部門を通じ、国家ネットワーク情報部門にデータ域外移転安全評価の審査を申請しなければならないと規定した。

1. データ取扱者が重要データ（注2）を域外に提供する場合
2. 重要情報インフラ運営者または100万人分以上の個人情報を取り扱うデータ取扱者が個人情報を域外に提供する場合
3. 前年1月1日から累計10万人分の個人情報または1万人分の機微な個人情報を域外に提供したデータ取扱者が個人情報を域外に提供する場合
4. その他、国家ネットワーク情報部門が定めた必要事項に該当する場合

併せて、安全評価の項目や申請書類、評価のプロセスなども明記した。また、データセキュリティー保護責任義務に関して、国外のデータ受領者と交わす法律文書に明記を必要とする事項も列挙している。

この弁法の施行前に行われたデータ域外移転については、同弁法の規定にのっとっていない場合には、施行日から6カ月以内に改めなければならないと規定した。

（注1）中国のデータ管理に関する法制度の詳細については、ジェトロウェブサイト「特集：新たな局面を迎える安全保障貿易管理」から「専門家による政策解説【中国】」のデータ管理に関する項目を参照。

（注2）同弁法19条では、「重要データ」を、いったん改ざん、破壊、漏出または不正取得、不正利用などがされると、国家安全、経済運営、社会安定、公共健全・安全などに危害を及ぼす可能性があるデータと定義。「データセキュリティー法」21条では、重要データ目録を制定すると規定しているが、同目録は7月12日時点で未制定。ただし、自動車業界の重要データは、自動車データ安全管理規則（試行）（2021年10月1日施行）の中で具体例が挙げられている。

（汪涵芷）