2022 年 6 月 30 日、中国サイバースペース局は「オンライン カジノ 比較の海外移転に関する標準契約規則 (意見募集草案)」("《規制》”)および「オンライン カジノ 比較の海外移転に関する標準契約書(意見募集草案)」(”"標準オンライン カジノ 比較"")、「オンライン カジノ 比較保護法」の場合 ("《オンライン カジノ 比較保護法》”)は、オンライン カジノ 比較に関する国境を越えた条件の 1 つである「標準契約」の実施計画を提供します。
オンライン カジノ 比較は EU 標準契約条項 ("SCC”)これは、私の国のオンライン カジノ 比較保護と監督の特徴と重点を反映しています。ハイウェン弁護士は、多くの中国企業、特にシュレムスがEU SCCに進出するのを支援してきました。 II事件後の追加の実質的保護措置や補足措置の要求に対応して、企業は「規程」や「標準契約書」に反映された最新動向を参照し、オンライン カジノ 比較の国境を越えた提供に関する遵守措置を事前に実施することができます。 、および EU GDPR に基づいて国境を越えたオンライン カジノ 比較の提供を行います。その中で、環境枠組み(存在する場合)に対して特に注意を払う必要があります。
「規則」によれば、オンライン カジノ 比較処理業者は標準契約 ("プロセッサーまたは「」国内プロバイダー”)は、以下の状況を同時に満たさなければなりません:(1)非重要な情報インフラ事業者、(2)100万人未満のオンライン カジノ 比較を処理する、(3)1月1日からの累計海外提供数(4) 前年の1月1日以降に海外に提供された機密オンライン カジノ 比較の累計が1万件を超えていないこと。
状況が上記の状況のいずれかに反する場合、それは「データ転送セキュリティオンライン カジノ 比較措置 (意見募集草案)」("《オンライン カジノ 比較方法》”)、セキュリティ評価はサイバースペース部門によって実行される必要がありますが、「規則」では、出国旅行の累積計算に「前年の1月1日から」という新しい制限が追加されています。累積期間は最長2年を超えないこととし、適切な対外活動制限の緩和を行う。ただし、我が国の人口ベースに基づくと、上記の 100 万、100,000、および 10,000 というしきい値は実際には低く、プロセッサー全体に基づいており、ビジネス シナリオを区別しません。したがって、実際には大きな数になります。の企業は標準オンライン カジノ 比較を適用できない可能性があり、セキュリティ評価が必要です。
さらに、標準契約と安全性評価には実務上依然として類似点があります。例えば、「評価措置」では加工業者に海外受領者との契約書など法的拘束力のある文書の作成を義務付けており、契約内容の要件とオンライン カジノ 比較の要件には重複する部分が多い。
「規則」は、標準オンライン カジノ 比較に対して「独立したオンライン カジノ 比較と提出管理を組み合わせる」という規制アプローチを採用しています。一方で、標準オンライン カジノ 比較は発効するために事前の承認を必要としません。
EU GDPR と比較すると、シュレムス II 事件の後、EU は確かに SCC に対してより高い要件を提示しました。国内プロバイダーは、オンライン カジノ 比較データを輸出した後ではなく、オンライン カジノ 比較データが EU 内で同レベルの保護を達成できることを証明する必要があります。 SCC テキスト形式で署名するだけですが、SCC 提出はまだ必要ありません。
「規則」では、セキュリティ評価のための個別の案件の事前承認とは異なりますが、サイバーセキュリティおよび情報化部門、またはそれ以上の部門が監督するための十分な出発点が残されています。州レベルは、オンライン カジノ 比較のアウトバウンド活動が規制要件を満たしていないことを発見し、処理者にアウトバウンド活動を終了するよう書面で通知しました。処理者が提出要件に違反した場合、期限内に修正するよう命令され、オンライン カジノ 比較の修正を拒否したり、オンライン カジノ 比較の権利利益を損なう場合には、オンライン カジノ 比較の輸出停止を命じられ、処罰されます。法律に従って; 犯罪が構成された場合には、法律に従って刑事責任が追及されます。
「個人保護法」はオンライン カジノ 比較保護に対する影響評価を提案しています ("ピア”)に基づき、適用されるシナリオごとに共通の評価項目を定めています。 (1)処理の目的、処理方法等が合法的、正当かつ必要であるかどうか。 (2)オンライン カジノ 比較の権利やセキュリティ上のリスクへの影響。 3) 保護措置 それは合法的で、効果的であり、リスクのレベルに応じて適切ですか?
「規則」は、アウトバウンドシナリオに対する PIA の評価項目をさらに洗練し、さらに次のことを強調しています: (1) オンライン カジノ 比較保護の義務と責任を果たすための海外受取人の取り組み、対策、および能力、(2) アウトバウンド転送オンライン カジノ 比較の漏えい、毀損、改ざん、悪用等のリスク。 (3) 海外受取人が所在する国または地域(「」)オンライン カジノ 比較の受け取り場所”)オンライン カジノ 比較保護ポリシーと標準契約の履行に関する規制 「規制」は、処理者に PIA 報告書を提出することを義務付けていますが、企業のコンプライアンス実践の焦点の 1 つとなる可能性がある報告書の粒度については規定していません。 。
「規制」の PIA と「評価措置」のデータ輸出リスクの自己評価には、同様の評価項目が多くありますが、後者は国家安全保障に対するデータ輸出の影響の評価にさらに重点を置いている点が異なります。 、公共の利益、およびオンライン カジノ 比較または組織の正当な権利と利益に関わるリスクは、重要なデータや大量のデータも関係するセキュリティ評価の特殊な性質によるものである可能性があります。
「規則」は、処理者に対し、海外受入所のオンライン カジノ 比較保護方針や規制がPIAの標準契約の履行に及ぼす影響を評価することを義務付けており、評価の具体的な内容は規則第4条に規定されている。 「標準契約」。欧州連合は、その起源を調査するため、シュレムス II 事件において SCC の国境を越えたツールを強化し、さらに、データ受信者の法律や慣行がデータ受信者の契約上の義務の履行を妨げているかどうかの評価を要求しました ("トランスミッション影響オンライン カジノ 比較/TIA”)、TIA も SCC の最新バージョンに不可欠な部分になりました。
中国版 TIA は EU に基づいて簡素化されていますが、企業にとって依然として難しいコンプライアンス措置であることに変わりはなく、GDPR の国境を越えた枠組みに基づいて TIA を実施した実践経験を組み合わせて、次のことを思い出させます。私の国のオンライン カジノ 比較では、TIAを実施する際の主な考慮事項は次のとおりです。
標準契約書は単純な文書に限定されるものではなく、その中で合意された技術的および管理的措置は、オンライン カジノ 比較が海外に流出するセキュリティリスクを軽減するためのより直接的かつ効果的な方法であり、契約の履行とコンプライアンスにおいて重要かつ難しい点でもあります。練習する。 「標準契約」では、契約当事者が自ら講じる技術的・管理的措置を明示することが求められており、その例として暗号化、匿名化、匿名化、アクセス制御などが挙げられます。
安全は絶対的な概念ではありません。「標準契約」では、技術的および管理的措置も制限されています。一方で、国内プロバイダーは、海外の受信者が安全対策を確実に講じるよう「合理的な」努力をしなければなりません。オンライン カジノ 比較の国外移転の具体的な事実は、ケースバイケースで選択されます。一方、海外の受領者には「適切な」安全性を維持するための「実効性のある」対策と定期的な検査が求められます。
「個人保護法」は、国内から海外へのオンライン カジノ 比較の「一回限りの送信」に加えて、処理者による海外へのオンライン カジノ 比較の「提供」を規制しています。「評価措置」では、「データが海外に輸出された後のデータの「再送信」。「転送」の問題では、「標準契約」は、海外受信者の義務におけるオンライン カジノ 比較の「再提供」(すなわち、「」を規制しています)2 回目の送信”)。
「標準契約」に従って、海外の受信者は、次の要件が満たされない限り、オンライン カジノ 比較を中国国外の第三者に提供してはなりません。(1) 真のビジネス上の必要性がある。(2) 個人に通知され、別途同意が得られている場合(法律および規制で別段の定めがある場合を除く)。国内プロバイダーに第三者との契約書のコピーを提出してください。さらに、標準契約書の付録 1 では、そのような第三者の説明が求められています。
我が国は、海外受信者の契約上の義務を通じて、二次伝送リンクにおける我が国のオンライン カジノ 比較保護基準を拡張しようとしていますが、実際には次のような困難が生じる可能性があります。(1) 標準契約を締結する場合、海外の受取人が正確に見積もることは困難 二次転送の必要性、特に第三者(EU S)の特定の身元CC では、第三者の種類のみを個人に通知することができます。(2) 「標準契約」では、「個人」の同意の粒度が指定されていません。(3) 二次送信には契約の署名が必要ですが、 「個人保険」が適用できるかどうかは明記されていません。法第 38 条のその他の条件 (EU SCC は、GDPR に基づいて複数の国境を越えた送金ツールを使用することを許可しています)。
オンライン カジノ 比較保護の観点から見ると、「監査」は比較的新しい概念であり、比較的強力なコンプライアンス監督手段です。 「個人保護法」は、処理者自身の処理活動に対するコンプライアンス監査を提案しており、国家規格「情報セキュリティ技術オンライン カジノ 比較セキュリティ仕様」(GB/T 35273-2020)は、処理者による受託者およびサードパーティのアクセスツールの遵守を提案しています。監査の。
オンライン カジノ 比較は監査の適用シナリオをさらに拡大し、契約に署名する際の両当事者にとって難しい交渉ポイントになる可能性があります。海外受領者は、それが独立した処理業者であるか処理を委託された受託者であるかにかかわらず、国内プロバイダーが本契約の対象となる処理活動を監査することを許可し協力する義務があり、国内プロバイダーは中国の規制当局に情報を提供する義務があります。当該監査の結果に従って。
さらに、「標準契約」では、海外受信者が国内プロバイダーに監査報告書を提出する必要がある 2 つの状況について規定しています。(1) 契約が終了した場合、オンライン カジノ 比較は破棄または匿名化されます。受託者は、保管期間の経過後にオンライン カジノ 比較を削除または匿名化します。同様の状況で、EU SCC は海外受領者に「認証」のみを要求していますが、「標準契約」ではさらに「監査報告書の提供」を要求しており、これはこの形式の監査に対する規制当局の認識も反映しています。
「個人保護法」は、個人の知る権利を明確にし、処理業者にオンライン カジノ 比較処理規則の開示を義務付けています。 「標準契約書」にはさらに、国内プロバイダーと海外受信者の両方が個人の要求に応じて標準契約書のコピーを提供する義務があると記載されています。
契約書のコピーには、中国サイバースペース管理局が策定した形式条項に限定されるものではなく、標準契約書に個別のケースに応じた具体的な保護措置や終了状況の説明も含まれています。これが正しい意味です。個人のオンライン カジノ 比較処理活動について知る権利を保護する。同時に、「標準契約書」は企業秘密やその他の機密情報を保護するという企業のニーズも考慮しており、契約書のコピーを適切にマスキングすることができますが、個人に役立つ効果的な概要を提供する必要は依然としてあります。契約内容を理解する。
北京 ICP 番号 05019364-1
