Blog

ブログ

【中国】中国個人情報の越境移転に関する重要な立法動向（「データの越境流動規範と促進規定」意見募集稿について）

2023.10.02

はじめに

中国で2021年11月1日より個人情報保護法が施行されて以降、中国国内の自然人の個人情報を取り扱う個人情報取扱者は、同法の定めにしたがい、個人情報取扱者として遵守する各種義務への対応を求められてきました。

その中で、特に中国に拠点を置いて、グローバルに事業を展開する事業者においては、中国から中国国外へ個人情報を移転、共有することも多く、いわゆる個人情報の越境移転に関するルールへの対応が重要な課題として課されています。

個人情報保護法上、中国から中国国外への越境移転を行う場合には、必要な告知事項を告知し、且つ個別の同意を取得することのほか（法第39条）、①国家インターネット情報部門によるセキュリティ評価を通過すること、②個人情報保護認証を得ること、③標準契約を締結することのいずれかのクリアランス要件（以下、①ないし③を総称して「クリアランス要件」といいます。）を充足すること（法第38条）、これらに加えて個人情報保護影響評価（以下「DPIA」といいます。）を実施すること（法55条4号）が必要とされています。

ただ、①のセキュリティ評価については、重要データを取り扱う場合や重要情報インフラ運営者に該当する場合等、その適用対象は限定的であり、且つ手続としても非常に厳格であること、②の個人情報保護認証に関しては同認証を実施することのできる認証機関が限られており、対応するコストもかかる等の理由から、実務上の大半のケースにおいて③標準契約の締結による対応が検討されている状況といえます。

そして、標準契約の締結に関しては、2023年5月に個人情報越境移転標準契約届出ガイドライン[1]、同年6月1日に個人情報標準契約弁法[2]がそれぞれ施行され、中国から個人情報の越境移転をする個人情報取扱者においては、これらにしたがい標準契約（以下「SCC」といいます。）の締結及びDPIAを実施のうえ届出を行うこと、そしてこれらを未実施の場合には同年11月末日までに対応をすることが求められました（個人情報越境移転標準契約弁法第7条、第13条）[3]。

そのため、近時は多くの企業様が、期限までにSCCの締結及びDPIAの実施を完了させ、届出を完了させるべく対応に追われている状況です。

そのような中、上記期限まで残り2か月に迫った2023年9月28日付けで、国家インターネット情報部門が「データの越境流動規範と促進規定」[4]の意見募集稿（以下「本規定」といいます。）を公表し、同年10月15日までの意見募集にかけられました。

本規定は、個人情報の越境移転をするにあたって、SCCの締結を含むクリアランス要件の充足が不要な範囲を広範に認める、いわば個人情報保護法の求める原則に対する例外をかなり大幅に認める内容となっています。そのため、仮に本規定がこのままの内容で施行された場合には、ここまで多くの個人情報取扱者が対応に追われてきたSCCを締結し、DPIAも実施したうえで届出を行うといったアクションがそもそも不要となりかねないということになり、今後の実務運用を大きく左右しうるものといえます。

本稿では、本規定の内容を解説すると共に、これを踏まえた今後の実務的な対応についてコメントをします。

本規定の内容

(1)　本規定の目的

まず、本規定は冒頭で、国家データセキュリティの保障、個人情報権益の保護のため、法に基づくデータの秩序ある自由な流動を更に規範、促進するという目的で制定することを謳っています。

元々、中国のデータ、個人情報の越境移転規制は他の諸外国の法制度に比べても非常に厳格であり、データの自由な流動という観点からは、実務上非常に大きな制約になっているといわれてきました。

特に外商投資企業においては、その性質上、グローバルに事業展開をしていることが通常であり、データ、情報の自由な流動促進に対して、強い需要があるところ、2023年7月25日に国務院により施行された「外商投資環境の更なる最適化と外商投資誘致活動の強化に関する意見」（以下「本意見」といいます。）[5]においては、外商投資企業向けにグリーンレーン（绿色通道）を設け、より効率的にセキュリティ評価等のクリアランス要件の実施を展開することで、データの安全で秩序ある自由な流動を促進することを目指すことが政策として掲げられています（本意見（十四））。

ただ、本意見においては、これらのクリアランス要件のより効率的な展開を目指していることが謳われているものの、そもそもこれらの要件を不要としたり、免除したりすることまでは謳っていません。その意味で本規定は、本意見を超えてより一層データ、個人情報の越境移転にかかる要件を緩和したものといえます。

(2)　クリアランス要件が不要な場合

本規定上、以下のとおり、クリアランス要件について定められています。

No.	適用場面	クリアランス要件
1.	国際貿易、学術提携、クロスボーダーでの生産製造とマーケティング等の活動において生じたデータの越境移転で、個人情報及び重要データを含まない場合	データ越境移転セキュリティ評価の申告、個人情報越境移転標準契約の締結、個人情報保護認証の通過のいずれも不要
2.	中国国内で収集、発生したものではない個人情報を中国国外に提供する場合
3.	以下のいずれかに該当する場合 A) 契約の締結、履行のために個人が一方当事者となる場合で、中国国外に個人情報を提供することが必須な場合 B) 法に基づき制定された労働規則及び集団契約に基づき、人事管理の観点から中国国外に内部従業員情報を提供することが必須な場合 C) 緊急下で自然人の健康生命財産を保護するため、中国国外に個人情報を提供することが必須な場合
4.	1年間に中国国外へ提供する個人情報の数量が1万人に満たないことが見込まれる場合	データ越境移転セキュリティ評価の申告、個人情報越境移転標準契約の締結、個人情報保護認証の通過のいずれも不要個人の同意に基づき、個人情報の越境移転をする場合には、同意の取得が必要
5.	1年間に中国国外へ提供する個人情報の数量が1万人以上100万人未満となることが見込まれる場合	①個人情報越境移転標準契約の締結及び届出、又は②個人情報保護認証の通過をした場合には、セキュリティ評価の申告は不要個人の同意に基づき、個人情報の越境移転をする場合には、同意の取得が必要
6.	1年間に中国国外へ提供する個人情報の数量が100万人以上となることが見込まれる場合	セキュリティ評価の申告が必要個人の同意に基づき、個人情報の越境移転をする場合には、同意の取得が必要
7.	関連部門、地区により、重要データとして告知又は公開、発布されていないデータの越境移転をする場合	セキュリティ評価の申告不要

特に実務上インパクトが大きいと思われるのは、①上記No.3のB）（人事管理の観点から中国国外に内部従業員情報を提供する場合）及び②No.4（1年間に中国国外へ提供する個人情報の数量が1万人に満たない場合）ではないかと思われます。

従業員情報について

まず、No.3のB）は、労働規則や集団契約に基づき、人事管理の観点から中国国外へ内部従業員情報を提供する場合には、いずれのクリアランス要件も不要とされています。これは、個人情報の取り扱いにあたって、個人の同意が不要とされている場面と一致しており（個人情報保護法第13条第1項第2号）、且つ、上記No.4ないしNo.6においては「個人の同意に基づき、個人情報の越境移転をする場合には、同意の取得が必要」という但し書きが付されている一方No.3に関してはそのような但し書きがありません。

このことからすると、従業員情報を人事管理の観点から国外へ移転する場合には、そもそも同意を取得することも、いずれのクリアランス要件も不要と解釈することができます。個人情報保護法において、従業員情報の取り扱いについては、同意取得が不要とされている一方、個人情報の越境移転に関しては個別の同意が必要とされている関係で、従業員情報を越境移転する場合には同意が必要なのか否かという点は、明確な解釈が確立していません。ただ、本規定の内容からすると、従業員情報の越境移転に関しては同意の取得は不要という解釈が想定されているようにも読むことはできます。

但し、従業員情報の越境移転をするにあたっては、その前提として「法に基づき制定された労働規則と集団契約」に基づくことが求められています。従業員の個人情報の取り扱いは、従業員の利益に密接にかかわるものであることからすると、従業員情報の取り扱いに関する労働規則は、労働契約法の定めにしたがって適法に制定されることが必要になると考えられます（労働契約法第4条第2項）。

就業規則を含む労働規則の制定、改定にあたっては、すべての従業員からの同意を得ることは法律上必ずしも求められていないものの、実務上は、当該規則の効力を巡る事後的な紛争が生じることを避ける観点から、従業員からの同意を取得することが通常です。

その意味では、従業員情報の越境移転に関し、仮に個人情報保護法上の同意は不要との解釈が成り立つものであったとしても、労働契約法の観点からはいずれにしても同意を取得することが望まれるといえますので、従業員情報の取り扱いについて従業員から同意を取得する必要性は特段失われないといえます。

また、No.3では「人事管理の観点から中国国外に内部従業員情報を提供することが必須な場合」として内部従業員情報を提供することと、これが人事管理の観点から必須であることを要件としています。ここで想定されているのはやはりグループ会社間内部にて従業員情報を提供することであり、それ以外の場面は想定外と思われます。

そして、従業員情報の提供が「必須」であることも求められておりますので、グループ会社間で従業員情報を提供することが、どのような観点で「必須」、言い換えれば必要不可欠といえるかについては、従業員に対して十分な説明ができる理由付けを用意しておく必要があると思われます。

1万人未満の個人情報越境移転について

実務上特筆すべきはNo.4、「1年間に中国国外へ提供する個人情報の数量が1万人に満たないことが見込まれる場合」には、いずれのクリアランス要件も不要という定めでしょう。

実務上、1万人以上の個人情報を1年間で中国国外へ越境移転する可能性のある業種や事業者は限定的であり、特にB to Bサービスに従事する事業者において、この基準に達する例は必ずしも多いとはいえないと思われます。

そうすると、相応な範囲の個人情報取扱者における個人情報の越境移転に関し、いずれのクリアランス要件も不要ということになります。

もともと、個人情報標準契約弁法においては、以下のすべての条件を満たす個人情報取扱者においてはSCCを締結することで、個人情報の越境移転を行うことができるという枠組みとされていました。

重要情報インフラ運営者ではない
個人情報の取扱量が100万人未満
前年1月1日から現在までの個人情報の越境移転が累計10万人未満
前年1月1日から現在までのセンシティブ個人情報の越境移転が1万人未満

それが、1年間に越境移転をする個人情報の数量が1万人未満となることが見込まれるだけで、SCCの締結すら不要とされることになりますので、相当広範囲においてSCCの締結が不要になるといえ、実務上大きなインパクトを与えることが見込まれます。但し、具体的に「1年間」の起算点をどのように考えるか、「見込まれる」といえるにはどのような事由が必要なのかは明確ではなく、ゆえに現状の本規定の定めだけでは適用範囲は非常に不明確といえます。

なお、No.5「1年間に中国国外へ提供する個人情報の数量が1万人以上100万人未満となることが見込まれる場合」には、SCCの締結及び届出をするか、個人情報保護認証に通過した場合には、セキュリティ評価の申告は不要としており、SCCの締結と届出を概念としても使い分けています。

そのような観点からすると、No.1ないしNo.4では、SCCの届出が免除されているだけでなく、そもそもSCCの締結すら不要と整理されているようにも読めますが、個人情報保護法上定められた義務を、下位法令である本規定でどこまで修正することができるのかという点も疑問ではあり、最終的にSCCの締結まで不要とされるのかについては引き続き立法推移を見守る必要があります。

なお、本規定においては、本規定の内容がデータ越境移転セキュリティ評価弁法、個人情報越境移転標準契約弁法と一致しない場合には、本規定の内容が優先する旨定められておりますので（本規定第11項）、個人情報の越境移転をするにあたり、SCCの締結、届出のみで足りるか、セキュリティ評価が必要となるかの基準はいずれも本規定で定められた数量をもって基準とされることになります。

DPIAの実施について

なお、本規定において、個人情報の越境移転を行う場合に、DPIAを実施する必要があるかという点について特段言及はありません。SCCの締結、届出が免除されている場合に、DPIAのみを届出するという必要性は乏しいと考えられる一方、DPIAの実施は、個人情報の越境移転を行う場合に限らず、センシティブ個人情報を取り扱う場合や、個人情報の第三者提供をする場合を含め、個人情報取扱活動の多くの場面にて実施することが求められています（個人情報保護法第55条）。

そのため、仮に本規定がそのままの内容で施行されたとしても、DPIAの実施自体まで免除されるものではないと考えられます。

(3)　自由貿易試験区におけるネガティブリスト

また、本規定上、自由貿易試験区において、クリアランス要件による管理が必要なデータリストをネガティブリストとして制定し、ネガティブリスト外のデータに係る越境移転については、いずれのクリアランス要件も不要とする運用を行うことも想定しています。