ニュース

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

法的要件を履行するために、中国サイバースペース局は近年、「海外へのデータ転送の安全性評価に関する措置」、「個人情報の転送に関する標準契約措置」、「個人情報の転送の促進および規制に関する規定」などの政策を次々に発行し、実施してきました。国境を越えたデータの流れ（以下、規制という）を構築するための我が国の国境を越えたデータフロー管理システムの基本的な枠組みが確立されました。 「規則」の第 6 条では、「国家データ分類および階層的保護システムの枠組みの下で、自由貿易試験区は、データ輸出セキュリティ評価に含める必要があるゾーン内のデータのリストを独自に作成することができ、 「個人情報輸出標準契約書及び個人情報保護認証管理範囲（以下、ネガティブリストという）」に基づき定められています。 8月30日、北京政府は「中国（北京）自由貿易試験区データ出口ネガティブリスト（ネガティブリスト）（2024年版）」とそれを裏付ける「中国（北京）自由貿易試験区データ出口ネガティブリスト管理措置（試行実施）」を発行した。 ）」（以下、「行政措置」といいます）は、データセキュリティのガバナンスと監督能力を積極的に検討および改善し、効率的で便利かつ安全な国境を越えたデータフローメカニズムを確立するために中国政府が講じた重要な措置であることを反映しています。北京は質の高い発展と前向きな相互作用のための高レベルの安全保障の決定を推進している。

1. 綿密な分析と議論を行い、科学的にネガティブリストを作成する

北京は国境を越えたデータの流れを非常に重視しており、国境を越えたデータ円滑化サービスの改革はデータ要素の価値を解放し、ハイレベルの開放を促進し、質の高い発展を促進するための重要な措置であるとみなしている。デジタル経済の推進は市政活動報告書に盛り込まれ、複数の特別プロジェクトが進められています。 「規制」が発表された後、中国政府は政策の恩恵を積極的に活用し、直ちにネガティブリストの研究と策定に着手し、その目標はデータフローの促進とセキュリティの確保を両立できるメカニズムの探索と確立であった。北京のネガティブリストの科学性は主に次の側面に反映されています。

まず、北京自由貿易区の実際の産業状況と組み合わせ、「緊急第一、小さな一歩、迅速な進歩」の原則に従って、さまざまな産業、分野、バッチで準備作業を推進し、バッチは、包括的であることを追求することなく、成熟したときにリリースされます。ネガティブリストの作成は、幅広い業界と高度に専門的なデータを含む革新的な作業であり、リストの作成の開始時に、中国の北京サイバースペース管理局はその必要性について議論し、原則を策定するための特別会議を開催しました。 「国家経済産業分類」を考慮してすべての産業をカバーするには、20 以上の産業カテゴリーと 100 近くの主要なカテゴリーが含まれており、各産業に関係するビジネス シナリオとデータは具体的であり、大規模で包括的なものを策定することは困難です。さらに、北京の業界団体が現在および将来的に重点を置く産業の範囲は比較的安定しており、そのため、科学的なルートの意義は限られている。バッチ、キーポイント、および動的調整の量が決定されました。

2つ目は、データ輸出セキュリティ評価や個人情報輸出標準契約書の提出など、これまでの業務基盤を十分に参照することです。中国北京サイバースペース局は、自動車、医療、民間航空、小売、人工知能などの業界に関わる40件以上の承認済み企業セキュリティ評価事件と150件以上の企業標準契約申請事件のデータアウトバウンド状況を包括的に整理し、 - 上記5データエクスポートの目的、典型的なシナリオ、データの種類、データ処理方法、エクスポートされる個人情報の量と各業界分野のデータ保護対策に関する詳細な調査、包括的な調査と判断、および個人情報と機密情報の科学的設定個人情報のレベル。

3 つ目は、企業の利用を促進し、「頭脳を破壊する」イノベーションに従事しないことです。現在、企業は自社のデータアウトバウンド活動をビジネスシナリオに応じて分割して整理する傾向にあるため、「企業言語」を使用してネガティブリストを作成することが最も企業にとって親しみやすいものとなっています。ネガティブリストは、準備作業に基づいて、5業種の代表的なデータアウトバウンドシナリオとデータ項目を整理したもので、「規制」と比較して、アウトバウンド人数はさらに緩やかに緩和されているものの、各ビジネスシナリオにおける人数は緩和されている。これは、さまざまな業界の規制要件が異なるためであり、多数の企業調査を通じて、その年に一定の合理的なビジネスのために海外に輸出された個人情報の規模が相対的に高いことが判明しました例えば、多くの外資系製薬会社が医薬品の臨床試験を報告している。ほとんどの製薬会社のニーズに応えます。同時に、セキュリティリスクの観点からは、データ利用のシナリオや目的を限定した上で、この数を5万人に緩和する方が、より制御可能なリスクであることは明らかです。

第 4 に、政府と企業は共同でデータ セキュリティを管理し、企業がデータ セキュリティ コンプライアンス能力を向上できるように指導する必要があります。デジタル経済の発展の単位は企業です。企業自身のセキュリティ意識とコンプライアンス能力の向上は、我が国のデータセキュリティと個人情報保護能力の継続的な向上につながります。したがって、ネガティブリストは単に達成できるものではありません。寛大さと厳しさのバランスを保つだけでなく、積極的な指導の役割も果たします。たとえば、自動車業界における ota オンライン アップグレード シナリオは、ota の種類、ota メイン制御モジュール、ネットワーク化された端末、リモートでアップグレード可能なシステムなどのデータ原則がデータ アウトバウンド セキュリティ評価に適用されるべきであることは明らかですが、「それは米国政府に提出されています。工業情報化省は、「アップグレード パッケージ データが改ざんされないことを保証できる技術的手段を除く」という関連セキュリティを通過しました。これらの詳細は、コンプライアンス意識が高く、技術力が高い企業にとってより便利な科学的管理の方向性を反映しています。ビジネスを遂行するための能力と標準化された管理手段。

2. 企業の要求に直接向き合い、ネガティブリストが便利で利用可能であることを保証する

国境を越えたデータフロー管理システムの導入以来、企業がデータ輸出のコンプライアンスを実行することには依然として多くの議論があり、一般にデータ輸出のコンプライアンスにかかるコストは増加すると予想されています。上記の問題に関しては、否定的なリストの対応する回答が得られました。

まず、ネガティブリストは企業を対象としたものであり、中国政府は問題志向アプローチを貫き、「良いネガティブリストとは企業が使いやすいと考えるものである」という作成原則を定め、企業に対してしっかりとした調査を行って意見を求めている。リストを作成する過程で、中国の北京サイバースペース管理局と自由貿易区管理機関は、主要産業の大手企業と10回以上の協議を組織し、綿密な調査を実施し、約100社を訪問し、彼らの提案に注意深く耳を傾けた。 、企業が直面する困難な課題を探りました。業界の規制、基準、規制状況を慎重に調査し、業界データの機密性や国外退去の必要性などの要素を十分に考慮し、管轄当局、業界の専門家、大手企業の意見を幅広く参考にした後、当社は、次のような個人を科学的に計算して輪郭を描きました。産業別およびシナリオ別の情報および機密個人情報をネガティブリストに含める必要があり、自由貿易地域におけるデータ輸出の利便性とネガティブリストの実用性が向上します。

2つ目は、企業がそれを理解して使用できるようにすることです。ネガティブ リストには、5 つのフィールドの合計 48 項目が含まれています。各項目には、データ カテゴリ、データの基本特性、適用可能な企業ビジネス シナリオ、およびデータ項目の例が含まれています。ネガティブリストは、関連産業分野におけるデータ輸出の特性を踏まえ、重要データと個人情報を重点的に規定・説明するもので、重要データ18項目、個人情報30項目が含まれる。実用性をさらに高めるために、ネガティブ リストには 23 の具体的なシナリオと合計 198 のデータ フィールドが例としてリストされており、企業がネガティブ リストの管理要件を迅速に理解できるようにしています。重要なデータに関しては、重要な送信データを特定するための条件をさらに絞り込み、明確化するため、資格や例を追加し、より運用性と強制力のあるリストを作成します。個人情報および機密個人情報に関して、ネガティブリストは、企業の合理的な要求に可能な限り対応し、輸出が許可される個人情報および機密個人情報の規模を正確に定量化し、適度に緩和するものです。自由貿易圏におけるデータ輸出の利便性とネガティブリストの実用性。

3つ目は、企業が誰に連絡すればよいのか、どのように対処すればよいのかを把握できるように、責任分担を明確にし、実装プロセスを改善することです。 「管理措置」には、ネガティブリストは市インターネット情報局、市商務局、朝陽市、海淀市、昌平市、通州市、順義市、大興市の7つの自由貿易団体が調整・管理すると明記されている。このグループのデータ処理者は、ネガティブ リストを遵守して使用し、ネガティブ リストの実施をサポートするガイドラインを策定および発行し、使用する対象と適用プロセスを明確にします。ネガティブリスト、データ処理業者の使用申請と届出作業の実施、データ輸出活動の追跡と監督の強化、インシデントの策定 中央寄託証明書と事後監督機能など。企業がネガティブリストを利用する必要がある場合、規定に従って自由貿易団体に申請し、申請して承認を得れば、規制に従ってデータ輸出活動を行うことができる。

3. エクスポートされたデータのセキュリティが低下しないようにセキュリティ ベースラインを確立する

データのエクスポートの促進は、セキュリティ上の責任の軽減と同等ではありません。ネガティブ リストを作成する際には、開発とセキュリティの関係をどのように調整するかが最優先事項となります。このため、中国政府はセキュリティが低下しないように、ネガティブリストに適合したデータアウトバウンドセキュリティ管理とサービスモデルの構築を検討する「管理措置」を同時に開始した。

1 つ目は、エンタープライズ アクセス管理とアウトバウンド データ ファイリングを実装し、データ処理者の法的および準拠した運用状況を管理し、ビジネス コンプライアンスをレビューすることです。これは、金融分野における信用評価管理に似ています。

2つ目は、各業界団体が一貫した抜き打ち検査方式を採用し、データ処理業者の実際のデータ輸出状況と申告内容の整合性を検証することである。これは抜き打ち検査に類似する可能性がある。製薬分野で。

３つ目は、個人情報及びセンシティブ個人情報の規模を正確に定量化し、ビジネスシーンや輸出分野等を厳格に限定することで適切に緩和し、緩和された範囲内で個人情報輸出のリスクを最大限に低減し、確実にリスクを軽減することです。安全で、管理可能で、制御可能であるため、企業の合理的かつ必要なデータ エクスポートの要求に応えるよう努めます。

4つ目は、ネガティブリストの動的な管理メカニズムを確立することです。自治体の管理部門は、発行されたネガティブリストの実施状況とセキュリティリスクを追跡および評価し、ネガティブリストの改訂を調整し、対応するアウトバウンドデータをネガティブリストとの間で転送します。セキュリティリスクのレベルに応じたリスト管理。

一般に、自由貿易地域ネガティブリストシステムは、アウトバウンドデータフローを管理するための高度な基本システムを構築するための革新的な手段であり、さまざまな場所での関連作業が始まったばかりです。将来的には多くの困難が生じる可能性があり、問題はさらに研究され、解決される必要がある。北京の実施結果を期待し、国全体に有益な参考を提供したい。

著者: zhuo zihan、国家コンピュータ ネットワーク緊急技術調整センターのシニア エンジニア

出典: 北京インターネット情報局