2022-07-03
「中国版 SCC」についての見解 — 個人情報の移転に関する標準オンライン カジノ 比較
著者:
楊建源
呉丹李天碩
2022 年 6 月 30 日,中国サイバースペース局は、「個人情報の海外移転に関する標準オンライン カジノ 比較規則(意見募集草案)」を発行しました("《オンライン カジノ 比較》”)および「個人情報の海外移転に関する標準オンライン カジノ 比較書(意見募集草案)」(”"標準オンライン カジノ 比較"")、「オンライン カジノ 比較保護法」の場合 ("《オンライン カジノ 比較保護法》”)は、個人情報の国境を越えた条件の1つである「標準オンライン カジノ 比較」の実施計画を提供します。
「標準オンライン カジノ 比較」は EU 標準オンライン カジノ 比較条項 ("SCC”),私の国の個人情報保護と監督の特徴と焦点も反映しています。海文弁護士は多くの中国企業のEU SCCへの進出を支援してきました,特にシュレムス II 事件の後は、追加の実質的な保護措置と補足措置が必要である。企業は、「規制」および「標準オンライン カジノ 比較」に反映された最新のトレンドを参照できます,個人情報の国境を越えた提供に関するコンプライアンス展開作業を事前に実施する,EU GDPR に基づいて、国境を越えた枠組み (存在する場合) に対応する調整を行います。その中に,次の点は特に注意が必要です。
「規則」による,標準オンライン カジノ 比較の対象となる個人情報処理者 (「プロセッサーまたは "国内プロバイダー”)は、以下の状況を同時に満たす必要があります。 (1) 非重要な情報インフラストラクチャ運営者,(2) 100万人未満のオンライン カジノ 比較の処理,(3) 前年1月1日以降に海外に提供されたオンライン カジノ 比較の累計が10万人に達していない,そして (4) 前年 1 月 1 日以降に外国に提供された機密オンライン カジノ 比較の累計が 10,000 人を超えていない。
上記の状況のいずれかが逆の場合,「データ転送セキュリティオンライン カジノ 比較のための措置(意見募集草案)」です("《オンライン カジノ 比較方法》”) 適用範囲,ネットワーク情報部門によるセキュリティ評価が必要。ただし、「規則」では、往路旅行の累計計算に関して「前年1月1日以降」という新たな制限を追加,つまり、累積期間は 2 年を超えてはなりません,外出活動に関する規制は適切に緩和されました。ただし,私の国の人口ベースに基づく,100 万以上、100,000、10,000 というしきい値は実際にはもっと低いです,プロセッサ全体に基づく,ビジネス シナリオを区別しない,したがって,実際には、多くの企業が標準オンライン カジノ 比較を適用できない可能性があります,セキュリティ評価が必要です。
さらに,標準オンライン カジノ 比較と安全性評価には実務上依然として類似点がある。たとえば,「評価措置」により、加工業者は海外の受領者とのオンライン カジノ 比較書およびその他の法的拘束力のある文書を作成することが求められます,オンライン カジノ 比較内容と「標準オンライン カジノ 比較」の要件には多くの重複があります。「標準オンライン カジノ 比較」は国家サイバースペース部門によって策定される,企業が標準オンライン カジノ 比較を直接適用しない場合でも,データ エクスポートに関連するオンライン カジノ 比較書を作成するには、「標準オンライン カジノ 比較書」を参照することもできます。
「規則」は、標準オンライン カジノ 比較に対して「独立したオンライン カジノ 比較と提出管理を組み合わせる」という規制アプローチを採用しています。一方で,標準オンライン カジノ 比較は事前の承認なしで発効する場合があります。一方,国内プロバイダーは標準オンライン カジノ 比較の発効日から 10 営業日以内,地元の州のネットワーク情報部門に記録する,出願時に標準オンライン カジノ 比較書を提出する必要があります(標準条項を除く),ケース固有の保護措置と終了条件の説明も含まれます)、個人情報保護影響評価レポート。
EU GDPR を比較,シュレムス II 事件の後,EU は確かに SCC に対してより高い要件を提示しています - 国内プロバイダーは、オンライン カジノ 比較データを輸出した後でも実質的に EU と同じレベルの保護を達成できることを証明する必要があります,SCC テキストに正式に署名するだけではありません,ただし、SCC 申請はまだ必要ありません。
「規則」では標準オンライン カジノ 比較書の提出が義務付けられています,個別の安全性評価の事前承認とは異なりますが,しかし、監督が事後調査を行う余地は十分に残されています。州レベル以上のサイバーセキュリティおよび情報化部門は、個人情報の外部への活動がもはや規制要件を満たしていないことを発見しました,アウトバウンド活動を終了するよう処理者に書面で通知する。処理者が提出要件に違反しました,期限内に修正するよう命じられた;個人情報の権利の修正または損害を拒否する,個人情報輸出活動の停止命令,法律に従って処罰される;犯罪を構成する,法律に従って刑事責任を追及する。
「個人保護法」はオンライン カジノ 比較保護に対する影響評価を提案しています ("ピア”),適用されるシナリオごとに共通の評価項目を規定します: (1) 処理の目的、処理方法は合法ですか、正規、必須,(2) オンライン カジノ 比較の権利とセキュリティリスクへの影響,(3) 保護措置が合法かどうか、リスクのレベルに応じて効果的かつ適切。
「規制」はアウトバウンドのシナリオに重点を置いています,PIAの評価項目をさらに絞り込んだ,さらに次の点に重点が置かれます: (1) 海外受取人のオンライン カジノ 比較保護義務と責任の履行への取り組み、対策、能力,(2)出国後にオンライン カジノ 比較が流出、破壊されました、改ざん、虐待などのリスク,(3) 海外の受取人が所在する国または地域(「オンライン カジノ 比較け取り場所") の個人情報保護ポリシーと規制が標準オンライン カジノ 比較の履行に及ぼす影響。「規制」により、処理業者は PIA 報告書を提出することが義務付けられています,ただし、レポートの粒度は指定されていません,これは企業のコンプライアンス実践の焦点の 1 つになる可能性があります。
「規制」のPIAと「評価措置」のデータ輸出リスク自己評価には、同様の評価項目が多数ある,違いは,後者は、国家安全保障に対するデータ輸出の影響の評価をさらに強調しています、公益、オンライン カジノ 比較または組織の正当な権利および利益に対するリスク,おそらくセキュリティ評価には重要なデータも含まれます、大量のデータの特殊な性質のため。
「規則」では、処理業者に対し、海外の受領場所の個人情報保護方針および規制が PIA の標準オンライン カジノ 比較の履行に及ぼす影響を評価することが求められています,また、評価の具体的な内容は「標準オンライン カジノ 比較書」第4条に規定されています。その起源を探る,EU はシュレムス II 事件における国境を越えたツールとして SCC の数を増やす,追加の要件には、データを受信する場所の法律や慣行がデータ受信者のオンライン カジノ 比較上の義務の履行を妨げているかどうかの評価が含まれます ("トランスミッション影響オンライン カジノ 比較/TIA”),TIA も SCC の最新バージョンに不可欠な部分になりました。
中国語版の TIA は欧州連合に基づいて簡素化されています,しかし、企業にとっては依然として難しいコンプライアンス活動です,GDPR に基づく国境を越えた枠組みに基づいて TIA を実施した実際の経験,我が国の「標準オンライン カジノ 比較」に基づいて TIA を実施する際の以下の主要な考慮事項に関するヒント。
標準オンライン カジノ 比較書は純粋なテキストに限定されない,合意された技術、管理措置は、エクスポートされた個人情報のセキュリティ リスクを軽減するためのより直接的な方法、効果的な方法,これは、オンライン カジノ 比較の履行とコンプライアンスの実践において重要かつ難しい点でもあります。「標準オンライン カジノ 比較」では、オンライン カジノ 比較当事者が採用されるテクノロジーを指定することが求められます、管理措置,暗号化も提供します、匿名化、匿名化、アクセス制御の例。SCC 付録 II の EU、補足措置に関する EDPB のガイダンスでは、そのような措置に関する詳細な注意喚起が提供されています,企業の実際の参考として使用可能。
安全は絶対的な概念ではありません,「標準オンライン カジノ 比較」はテクノロジーにも影響を与える、一方では管理手段が限られている,国内プロバイダーは、海外の受信者が安全対策を確実に講じるよう「合理的な」努力をしなければなりません,また、セキュリティ対策は、個人情報の転送に関する具体的な事実を総合的に考慮して、ケースバイケースで選択されます。一方,海外の受取人は「効果的な」措置を講じる必要があります,「適切な」安全レベルを維持するために定期的な検査を実施してください。実際に,安全対策の管理が重要な問題になるのは間違いない,標準的な答えがあるとは考えにくい。
「個人保護法」は、加工業者による海外への個人情報の「提供」を規制しています,国内から海外への個人情報の「1回限りの送信」に加えて,「評価措置」では、出国後のデータの「再転送」の問題が指摘されています,「標準オンライン カジノ 比較」は、海外受取人の義務における個人情報の「再提供」(つまり「」を規制しています)2 回目の送信”)。
「標準オンライン カジノ 比較」による,海外の受信者は個人情報を中国国外の第三者に提供してはなりません,次の要件が同時に満たされない限り: (1) 実際のビジネス上のニーズがある;(2) 個人に通知済み,別途同意を取得します(法律や規制で別段の定めがない限り);(3) 第三者と書面による合意に達する,第三者に対しても同じレベルの保護を確保,そして連帯責任を負います;(4) 国内プロバイダーに第三者とのオンライン カジノ 比較書のコピーを提供する。そして,「標準オンライン カジノ 比較書」の付録 1 には、そのような第三者の説明が必要です。
私の国は海外受取人のオンライン カジノ 比較上の義務を通過させようとしています,二次伝送リンクにおける我が国の個人情報保護基準の拡張,しかし、実際には次のような困難が生じる可能性があります: (1) 標準オンライン カジノ 比較に署名する場合,海外の受信機が二次送信の需要を正確に見積もることは困難,特に、第三者の具体的な身元情報 (EU SCC では、第三者の種類のみを個人に通知することが許可されています);(2) 「標準オンライン カジノ 比較」では「個別」オンライン カジノ 比較の粒度が指定されていない;(3) 二次送信にはオンライン カジノ 比較の署名が必要,しかし、個人保護法第 38 条の他の条件が適用できるかどうかは明記されていません (EU SCC は、GDPR に基づいて二次送金に複数の国境を越えた送金ツールを使用することを許可しています)。
オンライン カジノ 比較保護の観点から,「監査」は比較的新しい概念,これは比較的強力なコンプライアンス監督措置でもあります。「個人保護法」は、加工業者が自身の加工活動についてコンプライアンス監査を実施することを提案しています,国家標準「情報セキュリティ技術オンライン カジノ 比較セキュリティ仕様」(GB/T 35273-2020) では、処理者が受託者を扱うべきであると提案しています、サードパーティのアクセス ツールの監査。
「標準オンライン カジノ 比較」は監査の適用シナリオをさらに拡張,オンライン カジノ 比較書に署名することは、両当事者にとって難しい交渉ポイントになる可能性があります。海外の受取人は独立した処理業者または処理を委託された受託者のいずれかです,両者とも、本オンライン カジノ 比較の対象となる処理活動の監査を国内プロバイダーに許可し、協力する義務があります,国内プロバイダーは、関連する法律および規制に従って、そのような監査結果を中国の規制当局に提供する義務があります。EU SCC を比較,管財人のみがそのような監査を許可する義務がある,2 つの独立したプロセッサ間では監査は必要ありません,規制当局が海外受取人の監査を要求しない限り。
さらに,「標準オンライン カジノ 比較」では、海外受信者が国内プロバイダーに監査報告書を提出する必要がある 2 つの状況を規定しています: (1) オンライン カジノ 比較が終了したとき,個人情報の破棄または匿名化;(2)管財人として,保管期間が終了した後,個人情報を削除または匿名化する。同様の状況,EU SCC では海外の受信者のみを「認証」する必要があります,「標準オンライン カジノ 比較」ではさらに「監査報告書の提出」が求められています,これは、この形式の監査に対する規制当局の認識も反映しています。
「個人保護法」は個人の知る権利を明確にします,そして処理業者に個人情報処理規則の開示を要求する。「標準オンライン カジノ 比較」ではさらに次の提案が行われます,国内プロバイダー、海外の受取人は個人的な要求に応じて標準オンライン カジノ 比較書のコピーを提供する義務があります。EU SCC にも同様の要件があります,観察によると、実際には完全に実装されていません。
オンライン カジノ 比較書のコピーは、中国サイバースペース管理局が策定したフォーマット条項に限定されません,標準オンライン カジノ 比較には、ケース固有の保護措置と終了条件の説明も含まれています,これは、個人の個人情報処理活動について知る権利を保護するという正しい意味。同時に,「標準オンライン カジノ 比較」では、企業秘密やその他の機密情報を保護するという企業のニーズも考慮されています,オンライン カジノ 比較書のコピーの適切なマスキングを許可する,ただし、オンライン カジノ 比較内容を理解できるように、有効な概要を個人に提供する必要があります。
北京 ICP 番号 05019364-1
