（速報）中国データ越境移転安全評価弁法（パブコメ版）の公布

第1 本弁法の位置づけ

　本弁法は、ネットワーク安全法、データ安全法、個人情報保護法等に基づいて制定される旨が規定されており（1条）、情報規制の基幹三法に従うデータの越境移転に関する統一的な規定と評価できる。

第2 本弁法の適用対象

　本弁法に従う安全評価の対象は、データ処理者による、中国域内の運営において収集及び発生した重要なデータ並びに法律に従い安全評価を求められる個人情報の域外提供とされ（2条）、2021年に施行されたデータ安全法及び個人情報保護法の規定内容に概ね沿う内容といえる。

第3 当局による安全評価が必要となる状況

　安全評価は、当局（国家ネットワーク情報通信部門。但し、企業所在地の省級のネットワーク情報通信部門を通じて申告を行う。）による評価が求められる場合と自己評価で完結することが許容される場合があるが、このうち当局評価が強制される要件が明確にされた（4条）。以下のうち(1)(3)はデータ処理者の属性を基準とし、(2)(4)は対象となるデータの内容を基準としている。個人情報保護法において「国家ネットワーク情報通信部門の規定する数量」とされていたところ、取り扱う個人情報が100万人を超える取扱者であるか、又は、移転する個人情報が累計で10万人（センシティブ個人情報の場合は1万人）を超えるかが基準とされている。

当局へのデータ越境安全評価の申告が求められる場合

1. 重要情報インフラ運営者が収集又は生成する個人情報や重要なデータを移転する場合
2. 越境データに重要データが含まれている場合
3. 100万人を超える個人情報を取り扱う取扱者が域外に個人情報を提供する場合
4. 累計10万人以上の個人情報又は1万人以上のセンシティブ個人情報を域外に提供する場合
5. 国家ネットワーク情報通信部門が規定するその他にデータの越境安全評価を申告する必要がある場合

第4 当局による安全評価

　当局によるデータの越境安全評価においては、申告書、データ越境リスク自己評価レポート、データ処理者と域外受領者との間で締結する契約等を提出する（6条）。当局審査が必要な場合も自己評価を行うことが前提とされている。国家ネットワーク情報通信部門は、申告資料の受領日から7営業日以内に受理の有無を決定し、書面で回答する（7条）。申告が受理された場合、国家ネットワーク情報通信部門は、業界主管部門、国務院関係部門、省級のネットワーク情報通信部門、専門機構等を組織して安全評価を行うことになる（10条）。

　データの越境安全評価は、国家安全、公共利益、個人又は組織の権益へのリスクを重点的評価事項として、以下の内容を含むものとされ、移転元の事情のみならず移転先所在国の法環境や移転先のデータ保護レベルについても審査の対象とされている。

当局によるデータの越境安全評価の審査事項

1. データ越境の目的、範囲、方法等の適法性、正当性、必要性
2. 域外受領者の所在国又は地域のデータ安全保護政策法令及びネットワーク安全環境が越境データ安全に与える影響、域外受領者のデータ保護レベルが中国の法律・行政法規の規定及び強制国家基準の要求に達しているか
3. 越境データの数量・範囲・種類・センシティビティ、越境の過程又は越境後における漏洩・改ざん・紛失・破壊・移転又は不法取得・不法利用等のリスク
4. データの安全性と個人情報権益が十分有効に保障されているか
5. データ処理者が域外受領者と締結した契約において、データ安全保護責任義務が十分に規定されているか
6. 中国の法律、行政法規、部門規則の遵守状況
7. 国家ネットワーク情報通信部門が評価が必要と認めるその他の事項

　国家ネットワーク通信部門は、受理通知書の発行日から45営業日内にデータ越境安全評価を完了させるが、状況が複雑又は補充資料を必要とする場合には当該期間を原則60営業日を超えない期間まで延長することができる。評価結果は、データ処理者に書面で通知される（11条）。なお、データ越境評価結果の有効期間は2年とされ、有効期間内に審査重点事項に変更がある場合等には、データ処理者は再申告しなければならず、再申告がない場合にはデータの越境活動を停止しなければならない（12条）。

第5 データ越境リスク自己評価

　データ処理者は当局による審査の有無にかかわらず、データの越境移転前に、越境リスクに関し自己評価をすることが求められる。自己評価の重点事項は以下のとおりであり、その大部分は当局による審査事項と重複する内容となっている（5条）。

越境リスク自己評価の重点事項

1. データの越境及び域外受領者がデータを処理する目的、範囲、方法等の適法性、正当性、必要性
2. 越境データの数量・範囲・種類・センシティビティ、データの越境が国家安全・公共利益・個人又は組織の合法的権益にもたらすリスク
3. データ移転におけるデータ処理者の管理と技術措置、能力等がデータ漏洩、毀損等のリスクを防止できるか
4. 域外受領者が承諾した責任義務並びに責任義務履行の管理及び技術措置・能力等が越境データの安全を保障できるか
5. データの越境移転及び再移転後の漏洩・毀損・改ざん・濫用等のリスク、個人が個人情報の権益を保護するルートが円滑であるか等
6. 域外受領者と締結したデータ越境関連契約において、データ安全保護責任義務が十分に規定されているか

第6 域外受領者との契約

　データ処理者は、域外受領者のデータ安全保護責任義務を規定する契約を域外受領者と締結することが求められており、この点については、越境移転に関する当局審査及び自己評価の対象とされている。データ処理者と域外受領者との契約の内容についても規定されるべき項目が明確化されている（9条）。

データ処理者と域外受領者との契約内容

1. データ越境の目的・方法及びデータの範囲、域外受領者がデータを処理する用途・方法等
2. データの域外保存場所・期限及び保存期限の到来・合意目的の完了後又は契約終了後の越境データの処理措置
3. 域外受領者が域外データをその他の組織・個人に再転送することを制限する制約条項
4. 域外受領者の実質支配権若しくは経営範囲に実質的な変化又は所在国・地域の法環境に変更が生じることによってデータの安全保障が困難になった場合において講じるべき安全措置
5. データ安全保護義務に違反した場合の債務不履行責任及び拘束力のある執行可能な紛争解決条項
6. データ漏洩等のリスクが発生した場合、適切に応急処置を行い、個人が個人情報の権益を維持するための円滑なルートの保障

　個人情報保護法において、国家ネットワーク通信部門が制定する標準契約を締結することが、域外提供における当局審査を回避するための要件とされているが、上記内容を含む標準契約のフォーマットは別途公表されるものと考えられる。

第7 その他

　データ処理者が本弁法に基づく評価を行わずにデータの越境移転を行う場合に、いかなる組織及び個人もネットワーク情報通信部門への苦情又は通報を行うことができる旨が規定されている（15条）。

　また、本弁法の規定に違反する場合には、ネットワーク安全法、データ安全法、個人情報保護法等の規定に基づき処分する旨も明確化されている（17条）。

第8 まとめ

　本弁法は、中国国内外の企業の関心が高い越境移転における安全評価について包括的な内容を規定するものであり、重要性が高い。情報規制の基幹三法への具体的な対応策の検討にあたっては、法執行の状況も踏まえた判断が求められる側面もあり、本弁法の立法のみならず今後の実務動向も注目される。