インターネットが誕生した当初、データの国境を越えた移動は自由だったが、2016年以降、各国はインターネットの安全、データの安全、個人情報の安全を保護するためにデータの国境を越えた転送を規制する法律を次々と公布している。法律は政治的なものなので優遇と酷さがありますが、今日はEU、米国、中国の国境を越えたデータ転送の規定を比較して、欧米が優遇しているかどうかを見てみましょう。中国に対して不合理に基準を高めていませんか。そして、我が国の企業が差別的に扱われたら、私たちは反体制的な措置を取っていますか。

一、各国のデータクロスボーダー転送規則

1.EU

        EUの「データ保護共通条例」（以下GDPRと略称する）はEU域内の個人データのEU国外への伝送に対して厳格な管理制御を持っているが、個人データの国境を越えた伝送を実現するための多様な方法も提供しており、主に3つのメカニズムに分けられる：第1種は十分性認定機関制（ホワイトリストとも呼ばれる）に基づく、2つ目は、標準契約（Standard Contractual ClauseまたはSCC）の締結、制約付き企業規則（Binding Corporate RulesまたはBCR）の採択、認証メカニズム、行動規則（CoC）などの適切な保障措置をとるメカニズムである。第三に、データ主体の同意を得て、契約を履行するために必要なことなどである。

2.米国

        EUの厳格な規制政策に比べ、米国は個人データの国境を越えた自由な流動を主張し、業界の自律モデルを採用して政府の規制に補助する方式でデータの国境を越えた保護を行っている。業界の自律の面では、企業がプライバシー政策を制定する基準として、最も代表的なものはISO/IEC 29100シリーズの基準であり、『プライバシー保護フレームワーク』、『プライバシーシステムフレームワーク』、『プライバシー能力保護評価モデル』、『プライバシー影響評価』、『個人識別可能情報保護ガイド』などを含む。

        米国の法律体系には連邦法と州法の2つのレベルがある。政府の監督管理の面では、連邦立法の面で、米国のデータ保護立法は多く業界と分野によって分類され、例えば「金融現代化法案」（GLBA）、「健康保険プライバシー及び責任法案」（HIPAA）、「外国投資リスク評価現代化法案」（FIRRMA）、「輸出規制条例」（EAR）など、州の立法レベルでは、米国各州でも「カリフォルニア州消費者プライバシー法案」（CCPA）、「カリフォルニア州プライバシー権利法」（CPRA）、「バージニア州消費者データ保護法」（VCDPA）、「コロラド州プライバシー法」（CPA）など、対応するデータプライバシー法案が続々と登場している。

        同時に、米国は国内の重要なデータの管理を開放していない。例えば、「外国投資リスク評価現代化法案」、「輸出規制条例」などの法案は外国投資安全審査、輸出規制などの手段を通じて重要な分野のデータに関連する国境を越えた規制措置を取っている。

3.中国

        2016年から、我が国の「サイバーセキュリティ法」、「データセキュリティ法」、「個人情報保護法」の3つのデータ法規と重要な関連法規が続々と公布され、個人情報の出国の保護規則をさらに改善し、個人情報処理者が国外に個人情報を提供する際に相応の保護措置をとることを明確に要求した。「個人情報保護法」は、我が国の個人情報の出国には3つの経路があることをさらに明確にした。すなわち、ネット情報部門の安全評価、専門機関の個人情報保護認証、およびネット情報部門の標準契約を締結する。

二、EUが中国と米国に個人データを国境を越えて伝送する経路

        これまで、EUと米国が個人データを転送するにはプライバシーシールド制度の近道があったが、現在はEU裁判所によって廃止されており、現在のEUの米国と中国へのクロスボーダー転送の経路は実際にはそれほど悪くなく、企業はホワイトリスト制度以外の代替的な経路を採用してデータのクロスボーダー転送を実現する必要がある。

1.ホワイトリストと標準契約

        EUのGDPRが規定する十分性認定メカニズム（ホワイトリストとも呼ばれる）とは、EUが認定した個人データ保護に十分な国、地域、または国際組織を指し、直接データを転送することができ、さらなる保護措置を講じる必要はない。「十分性認定」を通じて限られたデータが国境を越えて自由に流れるホワイトリスト国は中国を含まないことを確定したため、EUが中国に個人データを国境を越えて伝送するには、EUが公布した標準契約条項を締結するなど、適切な保障措置をとるメカニズムを含む、相応の代替的なルートを探さなければならない。

2.廃棄される欧米のデータ転送プライバシーシールドへの近道

        2016年に米国とEUは米欧のデータの国境を越えた移行メカニズム「プライバシシールド協定」（Privacy Shield）を締結し、「プライバシシールド」認証を取得した企業がEUと米国の間で個人データを自由に転送できるようにした。そのため、EUは「十分性認定」を通じて、限られたデータが国境を越えて自由に流れるホワイトリスト国に米国が含まれることを確定したため、企業がEUから米国に国境を越えてデータを伝送するには、さらなる保護措置を講じる必要はない。しかし、2020年7月にEU裁判所は、EUが米国に移転した個人データを十分に保護することはできないと認定し、プライバシーシールド協定は無効と判断した。

3.欧米データ伝送の新たな近道はまだ開通していない

        しかし、EUの公式サイトによると[1]、2022年3月25日、EUと米国は、大西洋を横断するデータの流れを促進する新たなトランス・アトランティック・データプライバシー・フレームワーク（Trans-Atlantic Data Privacy Framework）について原則合意したと発表した。それでも、EUと米国間の新しいデータクロスボーダー協定が正式に発効する前に、EUは米国に個人データをクロスボーダーに転送し、ホワイトリストメカニズムを通過することはできず、他の代替的な方法で個人データのクロスボーダー転送を行わなければならない。

三、米国が中国とEUに個人データを国境を越えて伝送する経路

        前述したように、米国は個人データの国境を越えた自由な流れを主張する一方で、国内の重要なデータの管理を開放していない。

        米国はデータの国境を越えた伝送経路に特定の規制はないが、EUと中国に対する戦略と態度には大きな違いがある。前述したように、EUと米国は、新たな大西洋間データのプライバシーの枠組みについて合意し、双方の間のデータの自由な流れを促進するために努力している。対照的に、米国は我が国の科学技術企業に対して、2020年以降、米国がユーザーデータのプライバシーと国家安全審査を理由にTikTok（ドトーン海外版）[2]と微信国際版[3]を圧迫するなど、不当な規制措置を次々と展開しており、米国が我が国にデータの国境を越えた伝送を行う政策が厳しくなっていることも示している。

        特に、2019年の米国の「国家安全保障・個人データ保護法案2019」（NSPDPA、まだ発効していない）は、米国のユーザーデータの出国、特に中国への転送を明確に制限し、データに基づいてオンラインサービス会社（「管轄会社」を含む）を提供することを規制し、いかなるユーザーデータやそのデータを復号するために必要な情報（暗号化鍵など）を直接または間接的に中国、ロシアなどの「懸念のある国」では、その定義する「管轄会社」は実際には非常に広く、ほとんどのインターネット企業が規制の範囲に入ることができる。NSPDPA法案が最終的に可決されれば、米国と中国間のデータ転送が大幅に制限されるだろう。

四、中国がEUと米国に個人データを国境を越えて伝送する経路

        我が国の法律は外国企業に対して比較的に公平であり、一部の国を差別する規定はないが、もし誰かが中国企業を差別しようとするならば、我が国の立法はこれに対しても規制がある。個人情報保護法第42条と第43条は、ネガティブリストに登録されている海外組織、個人、または我が国が対等な制限措置を取っている国と地域に対して、我が国は個人情報のデータ転送を制限または禁止することを規定している。米国NSPDPAが最終的に採択され発効すれば、米国は関連する個人データの中国への転送を制限または禁止するが、我が国は対等な原則に基づいて、米国への相応するデータの転送を制限または禁止する措置をとる可能性があり、これは中米両国のデータの国境を越えた転送に重大な影響を与え、企業の国境を越えた個人データの転送に対してより高く厳格なコンプライアンスの挑戦を提出する。

        以下に我が国の具体的な制度を紹介して、国内から海外へ個人データを伝送するのは3つのルートしかありません：ネット情報部門の安全評価、専門機関の個人情報保護認証及びネット情報部門の標準契約を締結します。

1.データ型決定経路

        国境を越えて個人データパスを転送するトリガ条件は3点の考慮に基づいている：データ型を見ると、重要なデータなのか非重要なデータなのか、二業界のタイプを見て、重要なインフラ運営者であるか、または100万以上の個人情報を把握しているか、三データ量を見て、企業が国境を越えて転送した個人データまたは敏感な個人データの数を累計する。

        上記経路のトリガー条件から見ると、出国経路はいずれも出国する国や地域によって異なるわけではない。したがって、EUに対しても、米国に対しても、我が国が国境を越えて個人データを転送する経路は同じです。

        具体的には、安全評価の経路を例に、下記のいずれかの状況に該当する場合、個人情報処理者は所在地の省級ネット情報部門を通じて国家ネット情報部門に出国の安全評価を申告しなければならない：（一）国外に重要なデータを提供する場合、（二）重要情報インフラストラクチャ運営者と100万人以上の個人情報を処理するデータ処理者、（三）昨年1月1日から累計10万人の個人情報又は1万人の敏感な個人情報を国外に提供した場合。企業が上記のいずれかに該当しない場合は、セキュリティ評価を行う必要はありません。すなわち、標準契約の適用範囲に属し、標準契約の経路を通じてデータを出国する必要があります。

2.異なるセキュリティ評価の側面にはどのような違いがありますか。

        セキュリティ評価のパスを適用する場合は、2つのステップに分ける必要があります。第1ステップは企業が展開するリスクの自己評価、第2ステップはネット情報部門が展開するセキュリティ評価です。リスク自己評価とセキュリティ評価は、データ出国の合法性、正当性、必要性、およびデータ出国の規模、範囲、種類、機密性などを評価するなど、多くのコンテンツで高い一致性を持っています。もちろん、両者には相違性があり、ネット情報部門の安全評価は自己評価よりも国家安全、公共利益を考慮しているため、ネット情報部門の安全評価は「データ安全と個人情報権益が国外で十分に有効に保障されるか」に注目し、企業のリスク自己評価は「個人情報権益維持のルートが円滑であるか」に注目している。