ブログ
【中国】グレーターベイエリア(内地、香港)個人情報越境流動標準契約実施手引きについて
2023.12.20
2023年12月10日付けで中国国家インターネット情報弁公室と香港特別行政区イノベーション科技及び工業局が共同で、グレーターベイエリアの中で内地と香港間の個人情報の越境移転に関して適用される、標準契約に係る特則、「グレーターベイエリア(内地、香港)個人情報越境流動標準契約実施手引」[1](以下「本手引」といいます。)を公布し、同日施行となりました。
香港は一つの中国という原則の下においても、一国二制度が採用されていることもあり、個人情報の越境移転という文脈においては、中国国外という扱いをされるものと解され、その関係で中国内地から香港に個人情報を移転する場合であっても、個人情報保護法上の越境移転に係るクリアランス要件を充足することが必要と解されています。
中国内地においては、中国個人情報保護法及び個人情報越境移転標準契約弁法(以下「標準契約弁法」といいます。)が中国から中国国外に対する個人情報の越境移転を規律していますが、本手引はグレーターベイエリアのうち、内地と香港間における個人情報の流通を促進し、グレーターベイエリアの発展を推進する観点から、内地及び香港との間における個人情報越境移転に係る、標準契約関連手続に関する特則を定めたものとなります。
本手引は、グレーターベイエリアに含まれる中国広東省の広州市、深セン市、珠海市、佛山市、恵州市、東莞市、中山市、江門市、肇慶市(以下「内地」と総称します。)と、香港間の個人情報の越境移転に適用されるものであり、日系企業においても広東省と香港のそれぞれに拠点を置かれている場合が少なからずありますので、その意味では本手引の内容には留意する必要があると思われます。
以下では、標準契約弁法と本手引、及び中国国内用の標準契約(以下「大陸版SCC」といいます。)とグレーターベイエリア用の標準契約(以下「GBA版SCC」といいます。)との差異にポイントを絞って、これらの比較検討をしたいと思います。
適用範囲が広範であること
標準契約弁法においては、標準契約に基づく個人情報の越境移転をする場合には、越境移転を行う個人情報取扱者において、①重要情報インフラ運営者でないこと、②取り扱う個人情報の数量が100万人未満であること、③前年1月1日以降の越境移転した個人情報の数量が累計10万人未満であること、④前年1月1日以降の越境移転したセンシティブ個人情報の数量が累計1万人未満であること、の全ての要件を満たすことが必要とされています[2]。
これに対して、本手引においては、標準契約に基づく個人情報の越境移転を行うにあたってのこのような個人情報の数量要件が定められておらず、その観点からは、例えば100万人以上の個人情報を取り扱う個人情報取扱者が越境移転を行う場合であっても、インターネット情報部門のセキュリティ評価を受けずに標準契約による越境移転をすることができると解されます。
もっとも、個人情報取扱者が重要情報インフラ運営者に該当する場合や、越境移転するのが重要データに該当するような場合には、本手引の対象ではなく、原則通りセキュリティ評価の実施が必要になると考えられます[3]。
内地・香港間で越境移転された個人情報の再移転
大陸版SCCにおいては、域外移転された個人情報を更に中国国外の第三者(当該移転先の国に所在する第三者も含むと解されます)に再移転する場合には、個人情報の域外受領者と当該第三者との間で、契約を締結し、当該第三者が中国個人情報保護法の定める保護水準を満たすことを担保すること、個人情報の主体からの求めがある場合には当該契約の副本を提供することが必要とされています[4]。
これに対してGBA版SCCでは、内地・香港間で個人情報の越境移転を受けた受領者において、更に内地又は香港の第三者に対して個人情報を移転する場合に再度の契約を締結することは求められておらず[5]、この点においては大陸版SCCに比べると個人情報の再移転にかかる負担が軽減されているといえます。もっとも、あくまで内地・香港における個人情報の再移転にのみ適用されるルールですので、例えば内地から香港に移転した情報を更にそれ以外の第三地に移転する場合には適用されない点には留意が必要です。
DPIAの簡易化
本手引においても、個人情報の越境移転を行うにあたって個人情報保護影響評価(以下「DPIA」といいます。)を実施することが求められておりますが、標準契約弁法の下で要求されるDPIAに比べると評価項目が大幅に簡素化されており[6]、また、標準契約と合わせて届出をすることも必要とされていません[7]。
DPIA評価項目 |
||
標準契約弁法 |
|
本手引 |
|
|
国外受領者の所在国、地域における個人情報保護法制に関する保証
大陸版SCCにおいては、個人情報の国外受領者の所在国、地域における個人情報保護法制が、国外受領者の標準契約に基づく義務履行に対する影響を及ぼさないことに関する当事者双方による保証条項が定められていますが[8]、GBA版SCCにおいては当該条項が置かれていません。また、DPIAにおいても、国外受領者の所在国又は地域における個人情報保護政策と法令が標準契約の履行に与える影響が評価事項から除外されています。
このことからすると、香港における個人情報保護法制が中国個人情報保護法の求める個人情報保護水準を満たすものと見なしているものと考えられます。
届出書類の簡素化
大陸版SCCに関しては、届出にあたって以下の書類を提出することが必要とされています[9]。
- 統一社会信用コード証書(会社印を押捺した写し)
- 法定代表者の身分証書(会社印を押捺した写し)
- 担当者の身分証書(会社印を押捺した写し)
- 担当者の授権委託書(原本)
- 承諾書(原本)
- 標準契約(原本)
- 個人情報保護影響評価報告(原本)
他方、本手引においては、GBA版SCCの届出をするにあたっては、上記2、5、6の提出のみが求められており、提出書類も大幅に限定されています[10]。
まとめ
本手引の施行日が、標準契約弁法に基づき大陸版SCCを届出なければならない2023年11月30日より後であることから、内地及び香港間の個人情報の越境移転に関し既に標準契約弁法及び大陸版SCCに基づいた手続を済ませている個人情報取扱者も少なからず存在しているものと思われます。
本手引においては、既に提出された大陸版SCCの効力等について特段調整するような条項は置かれておらず、そのため既に大陸版SCCを提出した者において再度GBA版SCCを届け出なければならないかといった問題はあるといえます。
また、例えば内地以外に総公司が設立されており、内地に分公司が設立されており、分公司と香港の個人情報取扱者との間で個人情報の越境移転が発生しうる場合、GBA版SCCを届け出るべきか、大陸版SCCを届け出るべきかという若干の解釈上の問題もあるとはいえます。
このように、本手引に関し、若干不明瞭な点がないとはいえませんが、本手引及びGBA版SCCは標準契約弁法や大陸版SCCで要求されている要件を大幅に簡素化したものといえ、内地及び香港間で個人情報の越境移転をする場合の負担は大幅に軽減されているといえます。そのため、適用対象となっている個人情報取扱者においては、本手引、GBA版SCCを積極的に活用して、越境移転にかかる人的・経済的コストを抑えるべきと思われます。
本手引は内地・香港間における特則ですが、「データの越境流動規範と促進規定」(意見募集稿)[11]では、中国の自由貿易試験区において越境移転規制に関する負担軽減措置を講じることも想定されていることから、GBAエリア以外でも自由貿易試験区等の地区、地域における特則の制定状況及び動向について、引き続き注視することが有用といえます。
[1] 「粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引」
[2] 標準契約弁法第4条第1項
[3] 本手引第2条第1項、データ越境移転セキュリティ評価弁法(数据出境安全评估办法)第4条
[4] 大陸SCC第3条第8項第4号、5号
[5] GBA版SCC第3条第8項
[6] 本手引第5条
[7] 本手引第8条
[8] 大陸版SCC第4条
[9] 個人情報標準契約届出ガイドライン(第一版)(个人信息出境标准合同备案指南(第一版))三(一)
[10] 本手引第8条
[11] 「规范和促进数据跨境流动规定」