中国は安全保障とデータ経済の促進という二つの目標に苦慮している

[広告_1]

中国は6月初旬、国境を越えた個人情報移転に関する標準契約に関する規制を正式に施行し、データ処理者（100万人未満のデータを処理する企業を含む）は移転前に海外の受取人と契約を結ぶことが義務付けられた。

新たな規則は、国家安全保障の保護を名目に国内データに対する管理を強化しようとする北京の取り組みの一環だ。

現在、データプライバシー管理に関する国のトップレベルの法的枠組みは、サイバーセキュリティ法、データプライバシー法、個人情報保護法の 3 つの法律で構成されています。

これに応じて、中央政府は個人データの輸出管理体制を確立しました。この制度には、標準契約書における措置に加え、企業が国家インターネット監督機関にセキュリティ評価登録を行うことや、所管官庁に個人情報保護認証を申請することを要求する規定も盛り込まれている。

対外経済貿易大学のデジタル経済と法律革新研究センター所長の徐克氏は、規制当局はデータセキュリティの強化とデータ主導の経済成長の促進の間でバランスを取るのに苦労していると述べた。

企業数が多いが承認率は低い

9月1日に発効した国境を越えたデータ移転に関するセキュリティ評価では、100万人を超える個人データを処理する企業は、データを海外に移転する場合、セキュリティ評価を受ける必要がある。

企業は、セキュリティ自己評価レポートを地元のネットワーク規制当局と中国サイバースペース管理局（CAC）に提出し、2回のレビューを受ける必要がある。

現在、データの海外移転は、移転者が移転先と契約を締結し、移転されるデータが管轄当局のセキュリティテストに合格したことを提出した場合には合法とみなされます。

対策は9月に施行されたが、対象企業の数が多く、セキュリティ報告書を評価する人材が不足しているため、実施が困難となっている。

4月末までに上海のサイバースペース管理局は400件以上の評価報告書を受け取っており、そのうちCACに承認されたのはわずか0.5％だった。

他の場所でも状況は同様です。財新の情報筋によると、全国で当局は海外へのデータ移転の申請を1,000件以上受け取っており、そのうち2回の審査を通過したのは10件未満だという。

国家レベルでは、セキュリティ報告書の承認審査作業の大部分は、総勢約 100 名のスタッフを擁する CNCERT/CC サイバーセキュリティ技術センターによって実施されています。

「曖昧な」基準

人員の制約に加え、評価基準が明確でないために承認プロセスが遅れており、規制当局と企業の間で、要求されたデータ転送がなぜ必要なのかについて意見が一致していない。

たとえば、申請者は、処理のためにデータを外国の当事者に転送することが合法、合理的、かつ必要な理由を説明する必要がありますが、それ以上のガイダンスは提供されていません。

徐克氏は、「オールインワン」の仕組みを適用すると、国家安全保障上の懸念を引き起こすレベルが異なるため、特定の産業や分野に過度な制限が課され、データの自由な流れが妨げられる可能性があると警告した。

上海交通大学データ法研究センターの何元執行ディレクターは、従業員数が100万人未満の企業も6月から標準契約書に署名する必要があるため、地方規制当局の作業量が大幅に増加する可能性があると指摘した。

中国当局は2023年以降、企業にデータ移転ルールを周知するための指導を行うなど、広報活動を強化している。

しかし、高いコンプライアンスコスト、海外の受取人とのコミュニケーションの難しさ、規制の不確実性などは、北京が企業のために解決できていない要因の一部である。

高い

トラブルを避けるため、企業はセキュリティ評価レポートの提出に関して第三者機関に相談する傾向があります。

しかし、こうしたコンサルティング会社が請求するサービス料金は簡単に数億元に達し、中小企業にとっては不利な状況となっている。これらの代理店のサービスの質も異なる場合があります。

コンサルタントの助けがあっても、多くの企業は依然として承認を得るのに苦労しています。上海に拠点を置く法律事務所、サン・アンド・ヤング・パートナーズのパートナーであるチャン・ヤオ氏によると、初回の申請の多くは規制要件を完全に満たしていないという。

規制当局は、どのようなデータを海外に移転する必要があるのか、どのようなシステムを通じて誰に移転するのか、セキュリティ上のリスクはあるのかといった中核的な問題に関する要件を明確にしているが、「これらの問題を解決するには、企業側に多大なコストと労力がかかる」という。

また、多国籍企業の場合、たとえ個人データを海外に送ることに成功したとしても、その後の使用に際しては継続的なコンプライアンス投資が必要になると、北京のZhong Lun Law FirmのパートナーであるChen Jihong氏は述べた。

言うまでもなく、データ転送者は報告書に海外の受信者に関する情報を提出する必要がありますが、これを共有する意思のある企業はごくわずかです。例えば、巨大企業マイクロソフトは、中国のデータセキュリティ評価の要請に「協力しない」と公に宣言した。

（日経アジア調べ）

[広告2]
ソース

トップインタレスト

隠れた緑の宝石、リュック・イェン

音楽作品を通じて国民の文化的価値を広める

フエの蓮の色

ホア・ミンジがスアン・ヒンとのメッセージを公開、世界的な熱狂を巻き起こした「Bac Bling」の舞台裏を語る