首页关于我们专业领域
专业团队新闻中心加入我们联系我们

『データ出国安全評価方法』要点速覧

筆者が昨日発表した文章(クリックして読む)の中で、引用したのはやはり「データ出国安全評価方法(意見募集稿)」の条文だ。その直後、意見募集稿は落着し、その夜「データ出国安全評価方法」が正式に発表され、部門の規則となった。 これにより、データの出国ルートの中で最も厳格な「安全評価」が求められ、率先して正式な法的根拠をつけた。「データ出国安全評価方法」の全体的な枠組みは以前の各版の意見募集稿の範疇から外れていない。筆者はその中の核心的なポイントについて素早く解読してみた。
作者:王洪量
2022-07-19 11:40:25

一、何がデータを出国しますか?

 

 

 

ここでの「出国」は実質的に理解すべきものであり、国外へのデータの提供、転送に限られるものではない。「データ出国安全評価方法」の記者の質問への回答及び「情報セキュリティ技術データ出国安全評価指針」の規定によると、データ出国活動には主に次のようなものが含まれる。

 

 

 

(1)データ処理者は、収集および生成されたデータを転送し、国外に保存します。

 

(2)データ処理者が収集および生成したデータは国内に保存され、国外の機関、組織または個人がアクセスまたは呼び出すことができる。

 

 

 

特に第2の場合、たとえデータが国内に保存されていても、もし国外の主体が直接アクセスして呼び出すことができるならば、依然としてデータの出国に属します。このような状況は多くの企業に見過ごされる可能性が高い。これに対しては必ず認識を正し、厳格にデータに基づいて出国するコンプライアンスの准備を行うべきだ。

 

 

 

二、どんな状況の下でのデータ出国して安全評価を行う必要がありますか?

 

 

 

要するに、重要なデータ+一定量以上の個人情報。『方法』はデータの出国安全評価を申告すべき4種類の状況を明確にした。

 

 

 

(1)データ処理者が重要なデータを国外に提供すること。

 

(2)キー情報インフラ運営者および100万人以上の個人情報を扱うデータ処理者が国外に個人情報を提供すること。

 

(3)前年11日から累計で海外に10万人、または敏感な個人情報を提供しているデータ処理者が海外に個人情報を提供している。

 

()国家のインターネット情報部門が規定したその他の申告データの出国安全評価の状況。

 

 

 

以上の说明の必要は、调子は一の「重要な資料」の判定が従う「識別情報セキュリティ技術が重要資料指針」(まだ意見聴取の稿を)、『サイバー安全基準実践マニュアル—データ分類級のガイドライン」や具体的な業種に対してデータ管理の規範文書を、例えば企業に当たるかどうかの重要なデータを確定できない、直ちに専門機関のサポートを求める必要がある。

 

 

 

意見募集稿に比べて、本稿は状況3中で「昨年11日から」という制限を追加した。つまり、累積的に提供された個人情報の数に基づいて計算しなくなった。これは、セキュリティ評価を行う「法網」がより緩和されていることを意味し、多くの中小企業が標準契約とセキュリティ認証の間の2つの便利な経路を通じてデータコンプライアンスの出国を実現できることを意味する。

 

 

 

三、安全評価の手続きはどのように行いますか?

 

 

 

「データ出国安全評価方法」の規定によると、安全評価は以下の手順で行う。

 

 

 

()事前評価、データ処理者は国外にデータを提供する前に、まずデータ出国リスクの自己評価を行うべきである。自己評価の過程の中で、データ処理者は国外の受信者と作成したデータの出国に関連する契約またはその他の法律の効力がある書類が必要です;

 

 

 

()申告評価、申告データの出国安全評価状況に合致する場合、データ処理者は所在地省級のインターネット情報部門を通じて国家インターネット情報部門にデータの出国安全評価を申告しなければならない。申告の際には,以下の書類を提出する必要がある。

 

1.申告書;

 

2.データの出国リスクの自己評価レポート;

 

3.データ処理者と国外受信者が作成した法律文書;

 

4.安全評価作業に必要なその他の材料。

 

 

 

()評価を実施し、国家インターネット情報部門は申告資料を受け取った日から7営業日以内に評価を受理するかどうかを確定する。書面受理通知書の発行日から45営業日以内にデータの出国安全評価を完了する;状況が復雑であったり、材料の補充、訂正が必要な場合は、適切に延長してデータ処理者に通知することができる。

 

 

 

()再評価と出国終了、評価結果の有効期間が満了するか、有効期間内にこの方法で再評価を規定する状況が発生した場合、データ処理者はデータの出国安全評価を再申告しなければならない。すでに評価を通過したデータの出国活働が実際の処理過程でデータの出国安全管理の要求を満たしていない場合は、国家インターネット情報部門の書面通知を受けた后、データ処理者はデータの出国活働を終了しなければならない。データ処理者がデータの出国活働を継続して行う必要がある場合は、要求に応じて改善し、改善が完了した后に改めて評価を申告しなければならない。

 

 

 

安全評価を通過した場合、結果の有効期間は2年間で、評価結果の発行日から計算します。有効期間が満了し、引き続きデータの出国活働を行う必要がある場合、データ処理者は有効期間が満了する60業務日前に再度評価を申告しなければならない。

 

 

 

四、どのように『データの出国安全評価方法』に対応しますか?

 

 

 

『方法』の正式な発足は関連企業に少なからぬコンプライアンスの圧力を与えたと言える。今からでも、コンプライアンスの重点を明確にし、コンプライアンスをきちんと進めるための准備をしなければならない。私がおすすめしたいのは、次のような方向性です。

 

 

 

(1)データを全面的に評価し、合理的な出国経路を選択する。筆者は昨日、セキュリティ評価、標准契約、セキュリティ認証の3つのパスは、それぞれ異なるシナリオに対応して、企業はまず、独自のデータを評価する必要があります出国状況は、コンプライアンスの前提で最も効率的なパスを選択する;

 

 

 

()海外のデータ受信者との告知と協議を開始し、海外の主体に関連する法律の実践状況を理解し、海外の主体に国内の処理者のコンプライアンス要求に協力することを要求するだけでなく、関連システムとプロセスの最適化や改造;

 

 

 

()データの出国に関する協議を起草し、『方法』第51に照らし合わせて出国評価作業を開始し、自己評価報告書を形成する。

 

 

 

すでに進行中のデータの出国について、もし安全評価の状況に陥るならば、『方法』が与えた6ヶ月の猶予期間内に改善を完了すべきで、企業に残された時間に余裕があるとは言い難い。ネット情報部門の評価尺度も見守らなければならない。