データの合法的出国の開始年の幕――速評「個人情報出国個人情報保護認証方法」(意見募集稿)
2025 01/06
2025年1月3日、国家インターネット情報弁公室(以下「ネット情報弁公室」と略称する)は「個人情報出国個人情報保護認証方法(意見募集稿)」(以下「意見募集稿」と略称する)を公布し、社会に意見を公募した。意見フィードバックの締め切りは2025年2月3日だった。「意見聴取稿」の公布は2025年のデータ保護分野の立法の第一弾を打ち、我が国の個人情報保護分野におけるもう一つの重要な措置であり、個人情報の国境を越えた流動を規範化し、個人情報の安全を保障することに重要な意義がある。正式に可決されれば、国外処理者が国内の個人情報を処理して個保法の管轄範囲内でデータの合法的な出国を行う最適解になるかもしれない。『意見募集稿』の全文は20条で、個人情報個人情報保護認証の適用範囲、適用条件、主な内容などを明確にし、『個人情報保護法』第38条第1金第2項に規定されている[1]個人情報保護証明書による個人情報の出国を実現することを目的としている。本文は『意見募集稿』の個人情報出国企業が注目すべき問題について速評解析を行い、企業がどのように次の仕事を展開するかに提案を提供する。
一、背景
現在の中国データ出国コンプライアンスの規制枠組みに基づき、企業の出国データの場合、自身の主体タイプ、出国データのタイプと合わせて総合的に判断し、認定する必要があるかどうか:(i)申告してデータ出国セキュリティ評価を通過し、(ii)個人情報保護基準契約を締結する、または(iii)個人情報セキュリティ保護認証(以下、「出国前置プログラム」という)を通過する。具体的には、
1.企業が出国しようとするデータが重要なデータである場合は、インターネット通信によるデータ出国安全評価を申告し、通過しなければならない。
2.企業が出国しようとするデータが個人情報である場合、以下のいずれかの条件を満たすと、インターネット通信弁公室のデータ出国安全評価を申告し、通過しなければならない:(i)企業が重要情報インフラ運営者と認定された場合、(ii)100万人以上の個人情報を処理する場合(iii)昨年1月1日から累計10万人の個人情報を国外に提供した場合あるいは(iv)昨年1月1日から累計1万人の敏感な個人情報を国外に提供している。
3.出国する予定のデータが個人情報であり、上記のいずれかを満たしていない場合は、(i)個人情報保護標準契約を締結して登録するか、(ii)個人情報保護認証を取得して出国するかを選択することができる。
我が国は個人情報の出国管理において重要な一歩を踏み出した。2023年6月1日から、「個人情報出国基準契約方法」が実施され、海外に個人情報を提供するための具体的な指導と規範が提供された。
個人情報セキュリティ保護認証について、2022年11月4日、国家市場監督管理総局、国家インターネット情報弁公室は共同で「個人情報保護認証の実施に関する公告」を発表し、我が国の個人情報保護認証制度が正式に確立されたことを示している。
中国の個人情報出国コンプライアンスの経路の一つとして、個人情報出国認証結果は個人情報出国基準契約の届出結果と同等の法的効力を有する。
二、個人情報保護認証の適用範囲
(一)個人情報保護認証による個人情報の出国が可能な場面
「意見聴取稿」第4条は、個人情報処理者が個人情報保護認証を通じて海外に個人情報を提供するために備えるべきすべての2つの条件を規定し、以下を含む:
(1)非重要情報インフラ運営者、
(2)当年1月1日から累計10万人以上、100万人未満の個人情報(敏感な個人情報を含まない)または1万人未満の敏感な個人情報を国外に提供した、
(3)重要なデータは含まれていない。
上記の条件は、「個人情報保護法」およびすでに公布されたデータセキュリティ評価方法に基づいて、インターネット通信部門にデータ出国セキュリティ評価を申請しなければならない場合を除外する。また、特に注意しなければならないのは、前述の規定を満たす企業は、実際に基づいて個人情報保護認証と個人情報出国基準契約の届出の中から1つの出国コンプライアンス措置を選択して展開することができ、『データ越境流動規定の促進と規範化』の第3、4、5、6条の免除状況に合致する企業に対して、申告データ出国安全評価、個人情報出国基準契約の締結及び個人情報保護認証の通過を免れることができる。
(二)適用されないような国外主体が直接国内の個人情報を収集する
海外主体が直接国内の自然人の個人情報を収集することは、国内の個人情報処理者が海外に個人情報を提供することではなく、「個人情報保護法」第38条と意見募集稿の意味での「個人情報の出国」ではないため、個人情報保護認証には適用できないようだ。しかし、『意見聴取稿』第5条の規定によると、国外主体が『個人情報保護法』第3条第2項の規定を満たす場合[2]、それが国内の自然人個人情報を収集し処理するのは依然として「個人情報国境を越えた処理活動」に属し、『サイバーセキュリティ基準実践ガイドライン-個人情報国境を越えた処理活動安全認証規範』の規定に従って、国内に設置された専門機関または指定代表が認証を申請し、法的責任を負うことができる。
三、個人情報保護認証の主な内容
『意見聴取稿』は認証機構及び各部門の個人情報保護認証分野における職責に対して規定と区分を行い、認証機構に対してその認証活動の各段階と職責義務を明確にし、監督管理部門に対して有力な監督管理権責任根拠と体制を提供し、具体的には以下の通り:
(一)認証評価内容及び基準
「意見聴取稿」第10条は、個人情報の海外渡航における個人情報保護認証の重点評価の内容を詳細に列挙し、以下を含む:
(1)個人情報の出国の目的、範囲、方式などの合法性、正当性、必要性
(2)国外の個人情報処理者、国外の受信者が所在する国または地域の個人情報保護政策の法律とネットワークとデータ安全環境が国外の個人情報安全に与える影響
(3)国外の個人情報処理者、国外の受信者の個人情報保護レベルが中華人民共和国の法律、行政法規の規定と強制的な国家基準の要求に達しているか。
(4)個人情報処理者と国外の受信者が締結した法的拘束力のある協議は個人情報保護の義務を約束したか、
(5)個人情報処理者、国外受信者の組織構造、管理システム、技術措置がデータの安全と個人情報の権益を十分に有効に保障できるか、
(6)専門認証機関が個人情報保護認証に関する基準に基づいて評価する必要があると判断したその他の事項。
この条項は個人情報の出国活動の各核心部分をカバーしている:まず、個人情報の出国目的、範囲及び転送方式の合法性、正当性審査を強調し、個人情報の国境を越えた転送が真実で合理的なビジネス需要に基づくことを確保し、そして必要な範囲に限定し、法律規範を厳格に遵守し、情報の過度な収集或いは不法用途に使用されることを回避する、第二に、国外の受信者が位置する国または地域の法規政策とデータセキュリティ環境に注目し、外部環境と要素が個人情報セキュリティ保護に与える潜在的な影響の評価を重視する、第三に、国外の受信者の個人情報保護レベルが我が国の相応の基準に合致しているかどうかを評価し、及び双方が約束した個人情報保護に対する責任義務の分配状況を審査する。同時に、双方の組織構造、管理システム及び技術措置を審査し、実技面からデータの安全と個人情報の権益保障を確保することにも注目している。最後に、第6項では、専門認証機関が他の事項を評価する権利を保有し、将来的に複雑で変化の多い情報保護シーンに適応するために空間を予約することを規定している。
(二)認証機構の届出基準
『意見聴取稿』第8条は、個人情報の海外渡航個人情報保護認証を展開する認証機関が国家ネット情報部門に登録し、資料を提出しなければならないことを規定している。一連の材料要件は、認証機関の専門能力と管理レベルを全面的に審査し、認証作業が効果的に行われることを根本的に保障することを目的としている。認証資質説明機構は参入許可資格と専門能力を備えており、この3年間の関連専門業務の状況はその実践経験と能力を反映しており、認証実施細則と作業計画は認証プロセスに基づいて秩序正しく行われることを確保し、データ安全リスク防止メカニズムは認証過程におけるデータ安全を保障し、監督メカニズムは認証の権威性と監督性を維持し、紛争受理と苦情処理メカニズムは矛盾紛争の解決、各方面の権益の維持に保障を提供する。
(三)認証機関の義務
『意見聴取稿』第11条は、「専門認証機関が認証活動を展開する中で、個人情報の出国活動が国家の安全、公共利益に危害を及ぼし、または個人情報の権益に深刻な影響を与えることを発見した場合は、速やかに国家網信部門及び関係部門に報告しなければならない」と規定している。この条は認証機関のために異常を発見した場合の報告義務を設定し、個人情報の出国認証業務に直接参加した認証機関が異常状況を監視し反映し、関連部門の迅速な応答を保障し、効果的に損害拡大を予防することができる。
『意見募集稿』第12条は、「専門認証機関は、認証証明書の発行または認証証明書の状態が変化した後の5営業日以内に、認証証明書番号、証明書取得個人情報処理者名、認証範囲、証明書の状態変化情報などを含む個人情報出国個人情報保護認証証明書関連情報を全国認証認可公共情報プラットフォームに報告しなければならない」と規定している。この条は認証機構の情報送信義務を設定し、認証機構は所定の期限内に公共情報プラットフォームに認証証明書を送信し、認証情報の公開の透明性を確保しなければならない。また、同条は、国家市場監督管理部門と国家網信部門が認証情報共有メカニズムを構築し、部門の協力を強化し、監督管理過程で発見された問題を共同で処理しなければならないと規定している。
『意見募集稿』第13条は、「専門認証機関が証明書を取得した個人情報処理者に個人情報の出国状況と認証範囲の不一致などが認証要求に合致していないことを発見した場合、直ちに関連認証証明書を一時停止、取り消し、そして公表しなければならない。国家ネット情報部門と関係部門は個人情報保護監督管理業務中に証明書を取得した個人情報処理者に前項の状況が存在することを発見した場合、専門認証機関は直ちに関連認証証明書を一時停止、取り消し、そして公表しなければならない」と規定している。この条目は認証機構の認証証明書に対する管理義務及び監督管理部門が問題を発見した時の協力義務を規定し、これは認証機構が個人情報処理者の個人情報の出国動態に持続的に関心を持ち、認証要求に合致しない情況を発見した時に直ちに措置を取ることを意味し、監督管理部門が監督管理過程で問題を発見した場合、認証機関は違反行為の適時な処理に協力し、認証基準に合致しない個人情報の出国活動の継続を阻止しなければならない。
(四)監督と通報メカニズム
『意見聴取稿』第14条は、「国家市場監督管理部門は国家ネット情報部門と共同で個人情報出国個人情報保護認証活動を監督し、認証過程と認証結果を抜き取り検査し、専門認証機構を評価する。国家市場監督管理部門は個人情報出国安全認証活動にサービス品質などの問題がある場合、情状に応じて警告し、期限内の是正、休業整備を命じ、改善を拒否したり、期限内に改善を完了していない場合、および虚偽の作成があり、その認証機構の資質を取り消し、公表する。専門認証機構は関連状況を隠蔽し、虚偽の材料を提供するなどの不正な手段を通じて登録を取得した場合、国家ネット情報部門は登録を取り消す。深刻な違法行為が発生した場合、休業整備、認証機関の資格取り消しなどの行政処罰を受けた場合は、国家ネット情報部門が登録抹消を行う」。
この条文は、個人情報保護認証活動における2つの主管部門の監督管理職責及び違反行為に対する処罰措置を明確にしている。認証プロセスと結果の抽出検査、認証機関の評価を通じて認証活動を共同で監督し、その有効性、公正性を保障する。認証に現れた品質問題に対して、情状の程度に応じた階段式の処罰措置をとり、完全な監督管理システムを構築する。同時に、第16条は省級以上のネット情報部門と関係部門に特定の状況下で個人情報処理者に対して約束する権利を与え、リスクと安全事件に直面して、監督管理部門は直接処理者と状況を理解し、改善要求と解決措置を提出し、個人情報の安全リスクを最大限に下げることができる。
第15条では、「いかなる組織や個人が証明書を取得した個人情報処理者が本法に違反して海外に個人情報を提供していることを発見した場合、省クラス以上のインターネット通信部門や関係部門に通報することができる」と規定している。この条は社会監督通報メカニズムを確立し、各種組織及び公民が監督に参加して個人情報処理を受けることを奨励し、監督管理部門が個人情報の出国活動中の罰則行為を適時に知り、処理するのに役立つ。
四、個人情報保護認証を使用する要求
「意見聴取稿」は同時に、個人情報保護認証の方式で海外に個人情報を提供する際に、個人情報処理者が履行しなければならない関連コンプライアンス義務とプログラム的規定を明確にし、具体的には以下の通りである:
(一)申請主体と責任
『意見募集稿』第9条は、「中華人民共和国国内の個人情報処理者は自ら専門認証機関に個人情報出国個人情報保護認証を申請する。中華人民共和国国外の個人情報処理者が個人情報出国個人情報保護認証を申請する場合、国内に設立された専門機関または指定代表が申請に協力し、相応の法的責任を負い、中華人民共和国の個人情報保護に関する法律法規を遵守し、監督管理を受け、認証有効期間内に専門認証機関の持続的な監督を受けることを承諾する」と規定している。この条は国内外の主体の異なる申請方式と相応責任を規定し、国内の処理者は自分の業務状況の需要に基づいて認証を申請するかどうかを決定することができ、海外の処理者は国内に設立された専門機関または指定代表を通じて申請に協力することを要求し、そして我が国の法規を遵守し、相応の法律責任を負い、我が国の法律の枠組み内で個人情報の出国活動を秩序立てて展開することを約束した。
(二)申請要求
認証が順調に展開し、認証作業の効率を高めるために、個人情報の出国個人情報保護認証を申請する個人情報処理者は基準要求と認証プロセスを十分に理解し、自身の業務の実際と結びつけて詳細材料を準備し、相応のテンプレートをダウンロードし、認証申請書、自己評価表などの証明材料を如実、正確に記入しなければならない。個人情報出国個人情報保護認証範囲は個人情報の種類、数量、敏感度及び個人情報出国処理状況、個人情報処理者の組織管理、国外受信者の個人情報保護レベルと法律環境などと密接に関連しており、異なる業務シーンの評価方法と適用指標は申請処理者が実際の状況に基づいて対照分析を行う必要がある。
五、個人情報保護認証と個人情報保護標準契約の違い
個人情報保護認証と個人情報出国基準契約の登録は並行する個人情報出国コンプライアンスパスであり、企業は自分のニーズと意思に基づいて選択して展開することができる。両者の間には申請主体、有効期限などの差異が存在し、両者の差異を理解することで、企業が実際の状況により適したコンプライアンス措置を選択するのに役立つ:
(一)出願主体差異
『意見聴取稿』は国内外の主体がすべて個人情報保護認証を申請することができ、国内の処理者は自分の業務状況の需要に基づいて認証を申請するかどうかを決定することができ、海外の処理者は国内に設立された専門機関または指定代表を通じて申請に協力することを要求し、我が国の法規を遵守し、相応の法律責任を負うことを承諾した。
一方、個人情報標準契約の締結主体は国内の個人情報処理者と国外の受信者であり、その届出申請主体は標準契約の締結国内主体と一致しなければならない。
(二)有効期限が異なる
2022年に国家市場監督管理総局、国家インターネット情報弁公室が発表した「個人情報保護認証実施規則」第5.1条の規定によると、認証証明書の有効期間は3年である。証明書の期限が切れても継続的に使用する必要がある場合、認証依頼人は有効期限が切れる6ヶ月前に認証依頼を提出しなければならない。認証機関は証明書を取得した後に監督する方式を採用し、認証要求に合致する委託に対して新しい証明書を交換しなければならない。
個人情報出国基準契約の届出の期限は、契約中に契約主体が自由に約定することができ、長期的に有効であることができる。
(三)審査機構が異なる
個人情報出国基準契約の届出資料はデータ出国申告システムを通じて統一的に提出され、省級ネット情報部門が審査する。個人情報保護認証には、国家認証の専門機関の審査評価を経て、有効期間内に専門認証機関の継続的な監督を受ける必要があり、国家網信部門と関係部門は個人情報保護認証活動及び認証機関の監督評価を担当し、これにより、実践中の認証の費用コストは通常、標準契約の届出より高いことが決定された。
六、総括及び企業の次の措置
『意見聴取稿』の登場は我が国の個人情報保護分野におけるもう一つの重要な措置であり、個人情報の国境を越えた伝送を規範化し、その安全を確保することに重大な意義がある。同時に、関連部門が実際の状況に応じて認証方法と関連基準を絶えず改善し、個人情報の安全を保障すると同時に、データの国境を越えた自由な流動を促進することを期待している。
『意見聴取稿』が既存のデータ出国コンプライアンスメカニズムに与える影響を考慮し、企業は『意見聴取稿』の発表に密接に関心を持ち、『意見聴取稿』の既存テキスト全体と合わせて現在進行中のデータ出国コンプライアンス業務に与える影響を評価することを提案する。具体的には、海外の個人情報処理者が国内の個人情報を処理して出国する需要があれば、できるだけ早く認証プロセスと要求を理解し、国内の専門機関または代表を指定し、規定に従って申請材料を準備し、積極的に認証を申請しなければならない。その業務ニーズ、リスクの受け入れ能力、個人情報保護への重視度に基づいて、認証を申請するかどうかを自分で決定しなければならない。認証申請を決定する場合は、認証機関の資質と市場の評判に注目し、サービスの質と専門性の高い機関を選択しなければならない。関連部門が発表した基準、法規、手順、規則に細心の注意を払い、政策の動態を適時に把握し、自身の行為が最新の要求と一致することを確保する。認証を申請する前に、評価内容に基づいて自己評価を行う必要があります。出国の目的、範囲と方式について、詳細な説明文書を用意し、その合法性、正当性と必要性を説明しなければならない。国外の受信者が所在する国または地域の情報保護政策、法律、安全環境について深く研究し、リスク評価報告書を形成する、海外の受信者と締結した協定が個人情報保護義務を明確かつ具体的に規定していることを確保する。自身と国外の受信者の組織構造、管理システム、技術措置を見直し、必要な改善と最適化を行う。
コメントと参照
[1]『中華人民共和国個人情報保護法』第38条第1項:「個人情報処理者が業務等の必要により、中華人民共和国国外に個人情報を提供する必要がある場合、以下の条件の1つを備えなければならない:(一)…(二)国家ネットワーク情報部門の規定に従って専門機関による個人情報保護認証…」
(二)『中華人民共和国個人情報保護法』第三条第二項:「中華人民共和国国外で中華人民共和国境内の自然人個人情報を処理する活動には、次のいずれかの状況がある場合、本法も適用する:(一)境内の自然人に製品またはサービスを提供することを目的とする、(二)境内の自然人の行為を分析、評価する、(三)法律、行政法規に規定されたその他の状況。」
一、背景
現在の中国データ出国コンプライアンスの規制枠組みに基づき、企業の出国データの場合、自身の主体タイプ、出国データのタイプと合わせて総合的に判断し、認定する必要があるかどうか:(i)申告してデータ出国セキュリティ評価を通過し、(ii)個人情報保護基準契約を締結する、または(iii)個人情報セキュリティ保護認証(以下、「出国前置プログラム」という)を通過する。具体的には、
1.企業が出国しようとするデータが重要なデータである場合は、インターネット通信によるデータ出国安全評価を申告し、通過しなければならない。
2.企業が出国しようとするデータが個人情報である場合、以下のいずれかの条件を満たすと、インターネット通信弁公室のデータ出国安全評価を申告し、通過しなければならない:(i)企業が重要情報インフラ運営者と認定された場合、(ii)100万人以上の個人情報を処理する場合(iii)昨年1月1日から累計10万人の個人情報を国外に提供した場合あるいは(iv)昨年1月1日から累計1万人の敏感な個人情報を国外に提供している。
3.出国する予定のデータが個人情報であり、上記のいずれかを満たしていない場合は、(i)個人情報保護標準契約を締結して登録するか、(ii)個人情報保護認証を取得して出国するかを選択することができる。
我が国は個人情報の出国管理において重要な一歩を踏み出した。2023年6月1日から、「個人情報出国基準契約方法」が実施され、海外に個人情報を提供するための具体的な指導と規範が提供された。
個人情報セキュリティ保護認証について、2022年11月4日、国家市場監督管理総局、国家インターネット情報弁公室は共同で「個人情報保護認証の実施に関する公告」を発表し、我が国の個人情報保護認証制度が正式に確立されたことを示している。
中国の個人情報出国コンプライアンスの経路の一つとして、個人情報出国認証結果は個人情報出国基準契約の届出結果と同等の法的効力を有する。
二、個人情報保護認証の適用範囲
(一)個人情報保護認証による個人情報の出国が可能な場面
「意見聴取稿」第4条は、個人情報処理者が個人情報保護認証を通じて海外に個人情報を提供するために備えるべきすべての2つの条件を規定し、以下を含む:
(1)非重要情報インフラ運営者、
(2)当年1月1日から累計10万人以上、100万人未満の個人情報(敏感な個人情報を含まない)または1万人未満の敏感な個人情報を国外に提供した、
(3)重要なデータは含まれていない。
上記の条件は、「個人情報保護法」およびすでに公布されたデータセキュリティ評価方法に基づいて、インターネット通信部門にデータ出国セキュリティ評価を申請しなければならない場合を除外する。また、特に注意しなければならないのは、前述の規定を満たす企業は、実際に基づいて個人情報保護認証と個人情報出国基準契約の届出の中から1つの出国コンプライアンス措置を選択して展開することができ、『データ越境流動規定の促進と規範化』の第3、4、5、6条の免除状況に合致する企業に対して、申告データ出国安全評価、個人情報出国基準契約の締結及び個人情報保護認証の通過を免れることができる。
(二)適用されないような国外主体が直接国内の個人情報を収集する
海外主体が直接国内の自然人の個人情報を収集することは、国内の個人情報処理者が海外に個人情報を提供することではなく、「個人情報保護法」第38条と意見募集稿の意味での「個人情報の出国」ではないため、個人情報保護認証には適用できないようだ。しかし、『意見聴取稿』第5条の規定によると、国外主体が『個人情報保護法』第3条第2項の規定を満たす場合[2]、それが国内の自然人個人情報を収集し処理するのは依然として「個人情報国境を越えた処理活動」に属し、『サイバーセキュリティ基準実践ガイドライン-個人情報国境を越えた処理活動安全認証規範』の規定に従って、国内に設置された専門機関または指定代表が認証を申請し、法的責任を負うことができる。
三、個人情報保護認証の主な内容
『意見聴取稿』は認証機構及び各部門の個人情報保護認証分野における職責に対して規定と区分を行い、認証機構に対してその認証活動の各段階と職責義務を明確にし、監督管理部門に対して有力な監督管理権責任根拠と体制を提供し、具体的には以下の通り:
(一)認証評価内容及び基準
「意見聴取稿」第10条は、個人情報の海外渡航における個人情報保護認証の重点評価の内容を詳細に列挙し、以下を含む:
(1)個人情報の出国の目的、範囲、方式などの合法性、正当性、必要性
(2)国外の個人情報処理者、国外の受信者が所在する国または地域の個人情報保護政策の法律とネットワークとデータ安全環境が国外の個人情報安全に与える影響
(3)国外の個人情報処理者、国外の受信者の個人情報保護レベルが中華人民共和国の法律、行政法規の規定と強制的な国家基準の要求に達しているか。
(4)個人情報処理者と国外の受信者が締結した法的拘束力のある協議は個人情報保護の義務を約束したか、
(5)個人情報処理者、国外受信者の組織構造、管理システム、技術措置がデータの安全と個人情報の権益を十分に有効に保障できるか、
(6)専門認証機関が個人情報保護認証に関する基準に基づいて評価する必要があると判断したその他の事項。
この条項は個人情報の出国活動の各核心部分をカバーしている:まず、個人情報の出国目的、範囲及び転送方式の合法性、正当性審査を強調し、個人情報の国境を越えた転送が真実で合理的なビジネス需要に基づくことを確保し、そして必要な範囲に限定し、法律規範を厳格に遵守し、情報の過度な収集或いは不法用途に使用されることを回避する、第二に、国外の受信者が位置する国または地域の法規政策とデータセキュリティ環境に注目し、外部環境と要素が個人情報セキュリティ保護に与える潜在的な影響の評価を重視する、第三に、国外の受信者の個人情報保護レベルが我が国の相応の基準に合致しているかどうかを評価し、及び双方が約束した個人情報保護に対する責任義務の分配状況を審査する。同時に、双方の組織構造、管理システム及び技術措置を審査し、実技面からデータの安全と個人情報の権益保障を確保することにも注目している。最後に、第6項では、専門認証機関が他の事項を評価する権利を保有し、将来的に複雑で変化の多い情報保護シーンに適応するために空間を予約することを規定している。
(二)認証機構の届出基準
『意見聴取稿』第8条は、個人情報の海外渡航個人情報保護認証を展開する認証機関が国家ネット情報部門に登録し、資料を提出しなければならないことを規定している。一連の材料要件は、認証機関の専門能力と管理レベルを全面的に審査し、認証作業が効果的に行われることを根本的に保障することを目的としている。認証資質説明機構は参入許可資格と専門能力を備えており、この3年間の関連専門業務の状況はその実践経験と能力を反映しており、認証実施細則と作業計画は認証プロセスに基づいて秩序正しく行われることを確保し、データ安全リスク防止メカニズムは認証過程におけるデータ安全を保障し、監督メカニズムは認証の権威性と監督性を維持し、紛争受理と苦情処理メカニズムは矛盾紛争の解決、各方面の権益の維持に保障を提供する。
(三)認証機関の義務
『意見聴取稿』第11条は、「専門認証機関が認証活動を展開する中で、個人情報の出国活動が国家の安全、公共利益に危害を及ぼし、または個人情報の権益に深刻な影響を与えることを発見した場合は、速やかに国家網信部門及び関係部門に報告しなければならない」と規定している。この条は認証機関のために異常を発見した場合の報告義務を設定し、個人情報の出国認証業務に直接参加した認証機関が異常状況を監視し反映し、関連部門の迅速な応答を保障し、効果的に損害拡大を予防することができる。
『意見募集稿』第12条は、「専門認証機関は、認証証明書の発行または認証証明書の状態が変化した後の5営業日以内に、認証証明書番号、証明書取得個人情報処理者名、認証範囲、証明書の状態変化情報などを含む個人情報出国個人情報保護認証証明書関連情報を全国認証認可公共情報プラットフォームに報告しなければならない」と規定している。この条は認証機構の情報送信義務を設定し、認証機構は所定の期限内に公共情報プラットフォームに認証証明書を送信し、認証情報の公開の透明性を確保しなければならない。また、同条は、国家市場監督管理部門と国家網信部門が認証情報共有メカニズムを構築し、部門の協力を強化し、監督管理過程で発見された問題を共同で処理しなければならないと規定している。
『意見募集稿』第13条は、「専門認証機関が証明書を取得した個人情報処理者に個人情報の出国状況と認証範囲の不一致などが認証要求に合致していないことを発見した場合、直ちに関連認証証明書を一時停止、取り消し、そして公表しなければならない。国家ネット情報部門と関係部門は個人情報保護監督管理業務中に証明書を取得した個人情報処理者に前項の状況が存在することを発見した場合、専門認証機関は直ちに関連認証証明書を一時停止、取り消し、そして公表しなければならない」と規定している。この条目は認証機構の認証証明書に対する管理義務及び監督管理部門が問題を発見した時の協力義務を規定し、これは認証機構が個人情報処理者の個人情報の出国動態に持続的に関心を持ち、認証要求に合致しない情況を発見した時に直ちに措置を取ることを意味し、監督管理部門が監督管理過程で問題を発見した場合、認証機関は違反行為の適時な処理に協力し、認証基準に合致しない個人情報の出国活動の継続を阻止しなければならない。
(四)監督と通報メカニズム
『意見聴取稿』第14条は、「国家市場監督管理部門は国家ネット情報部門と共同で個人情報出国個人情報保護認証活動を監督し、認証過程と認証結果を抜き取り検査し、専門認証機構を評価する。国家市場監督管理部門は個人情報出国安全認証活動にサービス品質などの問題がある場合、情状に応じて警告し、期限内の是正、休業整備を命じ、改善を拒否したり、期限内に改善を完了していない場合、および虚偽の作成があり、その認証機構の資質を取り消し、公表する。専門認証機構は関連状況を隠蔽し、虚偽の材料を提供するなどの不正な手段を通じて登録を取得した場合、国家ネット情報部門は登録を取り消す。深刻な違法行為が発生した場合、休業整備、認証機関の資格取り消しなどの行政処罰を受けた場合は、国家ネット情報部門が登録抹消を行う」。
この条文は、個人情報保護認証活動における2つの主管部門の監督管理職責及び違反行為に対する処罰措置を明確にしている。認証プロセスと結果の抽出検査、認証機関の評価を通じて認証活動を共同で監督し、その有効性、公正性を保障する。認証に現れた品質問題に対して、情状の程度に応じた階段式の処罰措置をとり、完全な監督管理システムを構築する。同時に、第16条は省級以上のネット情報部門と関係部門に特定の状況下で個人情報処理者に対して約束する権利を与え、リスクと安全事件に直面して、監督管理部門は直接処理者と状況を理解し、改善要求と解決措置を提出し、個人情報の安全リスクを最大限に下げることができる。
第15条では、「いかなる組織や個人が証明書を取得した個人情報処理者が本法に違反して海外に個人情報を提供していることを発見した場合、省クラス以上のインターネット通信部門や関係部門に通報することができる」と規定している。この条は社会監督通報メカニズムを確立し、各種組織及び公民が監督に参加して個人情報処理を受けることを奨励し、監督管理部門が個人情報の出国活動中の罰則行為を適時に知り、処理するのに役立つ。
四、個人情報保護認証を使用する要求
「意見聴取稿」は同時に、個人情報保護認証の方式で海外に個人情報を提供する際に、個人情報処理者が履行しなければならない関連コンプライアンス義務とプログラム的規定を明確にし、具体的には以下の通りである:
(一)申請主体と責任
『意見募集稿』第9条は、「中華人民共和国国内の個人情報処理者は自ら専門認証機関に個人情報出国個人情報保護認証を申請する。中華人民共和国国外の個人情報処理者が個人情報出国個人情報保護認証を申請する場合、国内に設立された専門機関または指定代表が申請に協力し、相応の法的責任を負い、中華人民共和国の個人情報保護に関する法律法規を遵守し、監督管理を受け、認証有効期間内に専門認証機関の持続的な監督を受けることを承諾する」と規定している。この条は国内外の主体の異なる申請方式と相応責任を規定し、国内の処理者は自分の業務状況の需要に基づいて認証を申請するかどうかを決定することができ、海外の処理者は国内に設立された専門機関または指定代表を通じて申請に協力することを要求し、そして我が国の法規を遵守し、相応の法律責任を負い、我が国の法律の枠組み内で個人情報の出国活動を秩序立てて展開することを約束した。
(二)申請要求
認証が順調に展開し、認証作業の効率を高めるために、個人情報の出国個人情報保護認証を申請する個人情報処理者は基準要求と認証プロセスを十分に理解し、自身の業務の実際と結びつけて詳細材料を準備し、相応のテンプレートをダウンロードし、認証申請書、自己評価表などの証明材料を如実、正確に記入しなければならない。個人情報出国個人情報保護認証範囲は個人情報の種類、数量、敏感度及び個人情報出国処理状況、個人情報処理者の組織管理、国外受信者の個人情報保護レベルと法律環境などと密接に関連しており、異なる業務シーンの評価方法と適用指標は申請処理者が実際の状況に基づいて対照分析を行う必要がある。
五、個人情報保護認証と個人情報保護標準契約の違い
個人情報保護認証と個人情報出国基準契約の登録は並行する個人情報出国コンプライアンスパスであり、企業は自分のニーズと意思に基づいて選択して展開することができる。両者の間には申請主体、有効期限などの差異が存在し、両者の差異を理解することで、企業が実際の状況により適したコンプライアンス措置を選択するのに役立つ:
(一)出願主体差異
『意見聴取稿』は国内外の主体がすべて個人情報保護認証を申請することができ、国内の処理者は自分の業務状況の需要に基づいて認証を申請するかどうかを決定することができ、海外の処理者は国内に設立された専門機関または指定代表を通じて申請に協力することを要求し、我が国の法規を遵守し、相応の法律責任を負うことを承諾した。
一方、個人情報標準契約の締結主体は国内の個人情報処理者と国外の受信者であり、その届出申請主体は標準契約の締結国内主体と一致しなければならない。
(二)有効期限が異なる
2022年に国家市場監督管理総局、国家インターネット情報弁公室が発表した「個人情報保護認証実施規則」第5.1条の規定によると、認証証明書の有効期間は3年である。証明書の期限が切れても継続的に使用する必要がある場合、認証依頼人は有効期限が切れる6ヶ月前に認証依頼を提出しなければならない。認証機関は証明書を取得した後に監督する方式を採用し、認証要求に合致する委託に対して新しい証明書を交換しなければならない。
個人情報出国基準契約の届出の期限は、契約中に契約主体が自由に約定することができ、長期的に有効であることができる。
(三)審査機構が異なる
個人情報出国基準契約の届出資料はデータ出国申告システムを通じて統一的に提出され、省級ネット情報部門が審査する。個人情報保護認証には、国家認証の専門機関の審査評価を経て、有効期間内に専門認証機関の継続的な監督を受ける必要があり、国家網信部門と関係部門は個人情報保護認証活動及び認証機関の監督評価を担当し、これにより、実践中の認証の費用コストは通常、標準契約の届出より高いことが決定された。
六、総括及び企業の次の措置
『意見聴取稿』の登場は我が国の個人情報保護分野におけるもう一つの重要な措置であり、個人情報の国境を越えた伝送を規範化し、その安全を確保することに重大な意義がある。同時に、関連部門が実際の状況に応じて認証方法と関連基準を絶えず改善し、個人情報の安全を保障すると同時に、データの国境を越えた自由な流動を促進することを期待している。
『意見聴取稿』が既存のデータ出国コンプライアンスメカニズムに与える影響を考慮し、企業は『意見聴取稿』の発表に密接に関心を持ち、『意見聴取稿』の既存テキスト全体と合わせて現在進行中のデータ出国コンプライアンス業務に与える影響を評価することを提案する。具体的には、海外の個人情報処理者が国内の個人情報を処理して出国する需要があれば、できるだけ早く認証プロセスと要求を理解し、国内の専門機関または代表を指定し、規定に従って申請材料を準備し、積極的に認証を申請しなければならない。その業務ニーズ、リスクの受け入れ能力、個人情報保護への重視度に基づいて、認証を申請するかどうかを自分で決定しなければならない。認証申請を決定する場合は、認証機関の資質と市場の評判に注目し、サービスの質と専門性の高い機関を選択しなければならない。関連部門が発表した基準、法規、手順、規則に細心の注意を払い、政策の動態を適時に把握し、自身の行為が最新の要求と一致することを確保する。認証を申請する前に、評価内容に基づいて自己評価を行う必要があります。出国の目的、範囲と方式について、詳細な説明文書を用意し、その合法性、正当性と必要性を説明しなければならない。国外の受信者が所在する国または地域の情報保護政策、法律、安全環境について深く研究し、リスク評価報告書を形成する、海外の受信者と締結した協定が個人情報保護義務を明確かつ具体的に規定していることを確保する。自身と国外の受信者の組織構造、管理システム、技術措置を見直し、必要な改善と最適化を行う。
コメントと参照
[1]『中華人民共和国個人情報保護法』第38条第1項:「個人情報処理者が業務等の必要により、中華人民共和国国外に個人情報を提供する必要がある場合、以下の条件の1つを備えなければならない:(一)…(二)国家ネットワーク情報部門の規定に従って専門機関による個人情報保護認証…」
(二)『中華人民共和国個人情報保護法』第三条第二項:「中華人民共和国国外で中華人民共和国境内の自然人個人情報を処理する活動には、次のいずれかの状況がある場合、本法も適用する:(一)境内の自然人に製品またはサービスを提供することを目的とする、(二)境内の自然人の行為を分析、評価する、(三)法律、行政法規に規定されたその他の状況。」