中国のサイバースペース管理局が、「データ域外移転のセキュリティ評価手段(数据出境安全评估办法)」についての意見を求めています。リンクは、こちら。(https化していないんだ>中国)
日本語訳は、こちら(まるちゃんのところ)。
根拠となる法律については、中華人民共和国ネットワークセキュリティ法、中華人民共和国データセキュリティ法、中華人民共和国個人情報保護法およびその他の法令となっています。当社のブログとしては、
データ・ネットワーク主権から見た中国個人情報保護法(2021年10月5日)
「域外適用と対抗措置、国家安全保障審査、提供禁止-成立した中国データセキュリティ法を読んでみる」(2021年6月12日)
「村田製作所事件の法的意義と中国のネットワークセキュリティ法と国家情報法における「ネットワーク空間の主権」」(2021年8月10日付け)
「中国の「重要情報インフラセキュリティ保護規則」-保護の体系と脆弱性検査の許可制」(2021年8月22日付け)
になります。
特に、これらの法律によって定められた条項は、ネットワーク主権という観点から整理するときにわかりやすいというのが当社の見解です。ネットワーク主権というのは、
ネットワークおよびデータに対する主権の考え方(以下、便宜上、ネットワーク主権といいます)というのは、(1)自国領域内のネットワークのインフラ、ネットワーク、データについて、自国内については、自由にこれを管理しうるものとするとともに他国からの干渉を防止すること、そして、(2)外国においても自国がコントロールしうるデータについては、そのコントロールをできる限り及ぼそうという考え方
と整理することができます。
当社のブログでは、ロシアのネットワーク主権の考え方、欧州のネットワーク主権の考え方を紹介しています。
でもって、このように位置づけで、このセキュリティ評価手段を分析するときには、
第4条
第4条 データ処理者は、次のいずれかの状況で国外にデータを提供する場合、その所在地の省のネットワーク情報部門を通じて、国のネットワーク情報部門にデータ域外移転のセキュリティ評価を申告しなければならない。
(1) 重要な情報インフラの運用者が収集・生成する個人情報や重要なデータ。
(2) 送信データには重要なデータが含まれている場合
(3) 中国国外で個人情報を提供する100万人に達する個人情報を取り扱う個人情報処理業者。
(4) 外国への個人情報の累計提供数が10万人以上、または1万人以上の機微な個人情報の提供
(5) その他、国家インターネット情報局が規定するデータ域外移転セキュリティ評価の申告が必要な場合。
が対象となるデータとしてポイントになるものと考えられます。
(1) 重要な情報インフラの運用者が収集・生成する個人情報や重要なデータ。
これについていえば、重要情報インフラストラクチャーの運営者が中華人民共和国の国内での運営において収集、発生させた個人情報及び重要データは、国内で保存しなければならない(ネットワークセキュリティ法37条)に対応します。
(2) 送信データには重要なデータが含まれている場合。
「重要なデータ」とは何なのか、という問題があります。これについては、同弁法の5条(2)の
データの量、範囲、種類、および感度、およびデータの輸出が国家安全保障、公共の利益、および個人または組織の合法的な権利と利益に及ぼすリスク
が参考になると思います。実際には、機微技術に関するデータなどははいりそうですが、具体的なものとしては、詳細な解説などをまちたいところです。
(3) 中国国外で個人情報を提供する100万人に達する個人情報を取り扱う個人情報処理業者。
これは、個人情報保護法40条の
重要情報インフラ運営者及び取扱う個人情報が国家インターネット情報部門の規定する数量に達した個人情報取扱者は、中華人民共和国域内で收集し又は発生した個人情報を域内で保存しなければならない
という規定に関するものです。この点が、日本国内で、このような問題を議論するときの一番の問題かと思います。LINE事件は、このような側面ももっていたのではないかと思います。もっとも、政府の管理すべき情報という側面もあって、緊急の対応がなされたところです(「政府機関等における 今後の LINE サービス等の利用の際の考え方(ガイドライン)」を読む)。
では、我が国では、どのような感じでしょうか。人口比でいったときに、10万人くらいになるのでしょうか。このあたりは、なんともいえないところです。
(4) 外国への個人情報の累計提供数が10万人以上、または1万人以上の機微な個人情報の提供
(追加 2021/11/13)「China Publishes New Draft Measure on Cross-Border Data Transfer」という記事を見つけました。その分析によると累積10万人以上の個人情報の転送というのは、個人情報保護法では、規定されていない新しい要件であるとされていて、この条文と上記の条文(3)の違いは不明とされています。
上記(3)は、海外にどれだけデータを転送したかに関わらず、100万人以上のPIを持つ処理者を指すのに対し、(4)は実際に転送されたPIの数に焦点を当てていると思われる。
また、1万人以上の機微な個人情報の提供というのも個人情報保護法に定められていない規定です。特に、大企業における従業員の個人情報の移転に適用されるとされています。(追加終了)
(5) その他、国家インターネット情報局が規定するデータ域外移転セキュリティ評価の申告が必要な場合。