データ域外移転の審査手順
2022. 7. 27
データ域外移転の審査手順
Q: 2022年9月1日から発効する「データ域外移転安全評価弁法」により、企業はどのようにデータ域外移転の安全評価を実施しますか。
A: 第一ステップ 事前自己評価
安全評価を申告する前に、先ずは、データ域外移転のリスクに関し、事前に自己評価を行わなければならない。
第二ステップ 安全評価の申告
以下のデータ域外移転の安全評価を申告しなければならない状況に該当する場合、企業はその所在地の省のインターネット情報部門を通じて、国家インターネット情報公弁室にデータ域外移転の安全評価を申告しなければならない。
1. データ取扱者が重要データを域外に提供する場合
2. 重要情報インフラ運営者または100万人分以上の個人情報を取り扱うデータ取扱者が個人情報を域外に提供する場合
3. 前年1月1日から累計10万人分の個人情報または1万人分の機密性の高い個人情報を域外に提供したデータ取扱者が個人情報を域外に提供する場合
4. その他、国家ネットワーク情報部門が定めた必要事項に該当する場合
第三ステップ 安全評価の展開
省のインターネット情報部門は申告書類の受領日から5営業日以内に完全性検査を完成しなければならず、中国インターネット情報部門は申告書類の受領日から7営業日以内にデータ域外移転の安全評価を完成し、受理するかどうかを決定しなければならない。受理通知書を発した日から45営業日以内にデータ域外移転の安全評価を完了しなければならない。状況が複雑である場合又は追加の資料若しくは訂正を必要とする場合、適切に延長し、データ処理者に延長予定期間を告知する。
第四ステップ 再評価・域外移転中止
1. 評価結果の有効期間満了(二年間)又は有効期間中に「データ域外移転安全評価弁法」に規定された再評価状況が発生した場合、データ域外移転安全評価を再度申告しなければならない。
2. 評価に合格したデータ域外活動が実際の処理過程においてデータ域外安全管理の要求を満たしていないことが再度発見された場合、企業は中国インターネット情報部門の書面による通知を受領した後、データ域外活動を終了しなければならない。
3. 企業がデータ域外活動を継続する必要がある場合、要求に従って是正し、是正完了後に再度評価申告を行うものとする。
