ブログ
【中国】データの越境流動の促進と規範規定について
2024.03.26
はじめに
国家インターネット情報部門は、2023年9月28日付けで「データの越境流動規範と促進規定」[1]の意見募集稿を公表し、中国国内から中国国外への個人情報の越境移転にあたり、個人情報保護法上要求されている標準契約(以下「SCC」といいます。)の締結を含むクリアランス要件を大幅に緩和する方向性を示しました[2]。意見募集稿が公表された時点では、個人情報越境移転標準契約弁法(以下「標準契約弁法」といいます。)[3]の定めに基づき、個人情報の越境移転に関しては2023年11月末日までにSCCの締結、個人情報保護影響評価(以下「DPIA」といいます。)を実施したうえ、これらをインターネット情報部門に届け出ることが求められており[4]、そのため、意見募集稿で示された方向性に則り、SCCの締結やDPIAの実施等を不要と考えるべきか、あるいは標準契約弁法に基づき手続を履行すべきかという判断に迫られ、個人情報の越境移転を巡る実務対応に混乱をもたらしました。
結局、2023年11月末日を経過しても「データの越境流動規範と促進規定」は正式に施行されなかったことから、引き続きSCC、DPIAの届出対応をせざるを得ませんでしたが、これらの実務対応は実際上大きな負担となっていたこともあり、正式に施行されることが期待されていました。
その中で、2024年3月22日付けで、「データの越境流動促進と規範規定」[5](以下「本規定」といいます。)が公布され、同日施行となり、本規定が施行されたことに合わせ、データ越境移転セキュリティ評価申告ガイドライン(以下「セキュリティ評価ガイドライン」といいます。)[6]と、個人情報越境移転標準契約届出ガイドライン(以下「SCC届出ガイドライン」といいます。)の第二版[7]がそれぞれ公表され、個人情報の越境移転に関する実務は大きな方向転換を迎えることになりました。
本規定は、中国で事業を行う日系企業等のデータ越境移転対応等に大きな影響を与えるものであるため、以下では、本規定の内容と実務上の対応について説明いたします。
本規定の内容
(1) クリアランス要件の緩和措置
本規定では、以下のとおり、クリアランス要件の緩和措置が定められています。基本的には意見募集稿の段階から大きな変更はないものの、若干の変更点も加えられています(以下、下線部は意見募集稿からの変更点)。
No. |
適用場面 |
クリアランス要件 |
1. |
国際貿易、クロスボーダー運輸、学術提携、クロスボーダーでの生産製造とマーケティング等の活動において収集し、生じたデータの越境移転で、個人情報又は重要データを含まない場合[8] |
データ越境移転セキュリティ評価の申告、個人情報越境移転標準契約の締結、個人情報保護認証の通過のいずれも免除 |
2. |
データ取扱者が中国国外で収集、生じた個人情報を中国国内に移転し取り扱った後中国国外に提供する場合で、取り扱いの過程にて中国国内の個人情報又は重要データを取り込んでいない場合[9] |
|
3. |
データ取扱者が中国国外に個人情報(重要データを除く)を提供する場合で、以下のいずれかに該当する場合[10] (1) 契約(越境EC、越境郵送、越境送金、越境決済、越境口座開設、航空券・ホテル予約、ビザ手続、試験サービス等)の締結、履行のために個人が一方当事者となる場合で、中国国外に個人情報を提供することが確かに必要な場合 (2) 法に基づき制定された労働規則及び集団契約に基づき、越境人事管理の観点から中国国外に従業員情報を提供することが確かに必要な場合 (3) 緊急下で自然人の健康生命財産を保護するため、中国国外に個人情報を提供することが確かに必要な場合 (4) 重要情報インフラ運営者以外のデータ取扱者が当年1月1日から起算して、中国国外に提供した個人情報(センシティブ個人情報を除く)が10万人未満の場合 |
|
4. |
||
5. |
データ取扱者が中国国外にデータを提供する場合で、以下のいずれかに該当する場合[13] (1) 重要情報インフラ運営者が中国国外に個人情報又は重要データを提供する場合 (2) 重要情報インフラ運営者以外のデータ取扱者が重要データを提供する場合、又は当年1月1日から起算して累計100万人以上の個人情報(センシティブ個人情報を除く)又は1万人以上のセンシティブ個人情報を提供する場合 |
データ越境移転セキュリティ評価の申告が必要 |
6. |
重要情報インフラ運営者以外のデータ取扱者が、当年1月1日から起算して、中国国外に越境移転した個人情報(センシティブ個人情報を除く)が累計10万人以上100万人未満、又はセンシティブ個人情報が1万人未満である場合[14] |
個人情報越境移転標準契約の締結又は個人情報保護認証の通過のいずれかが必要 |
上記No.1~3は、セキュリティ評価の申告、SCCの締結、個人情報保護認証の通過のいずれも免除となる場合に関する内容で、全体的な枠組み自体は意見募集稿からさほど大きな変更はありません。但し、上記No.3-(4)にあるとおり、重要情報インフラ運営者以外のデータ取扱者が当年1月1日から起算して、越境移転したセンシティブ個人情報以外の個人情報が10万人未満の場合にもいずれのクリアランス要件も免除とされている点は意見募集稿から変更となった大きな点といえます(なお、No.3-(1)~(3)に関してはセンシティブ個人情報と通常の個人情報の区別はしておらず、センシティブ個人情報の越境移転をする場合でも適用可能と考えられます)。
すなわち、意見募集稿においては、1年間に中国国外へ提供する個人情報の数量が1万人未満であることが見込まれる場合にはいずれのクリアランス要件も不要とされていましたが、本規定では閾値となる当該個人情報の数量を10万人未満まで引き上げました。
年間を通じて越境移転をする個人情報の数量が10万人以上に達することは、特に中国国内でBtoB事業を行う日系企業においてはあまり想定されません。その意味では、大多数の日系企業においては、今後SCCの締結を含むクリアランス要件の対応は不要になる可能性があります。但し、越境移転する個人情報にセンシティブ個人情報が含まれる場合には、クリアランス要件充足の免除はなく、センシティブ個人情報の数量に応じてSCCの締結若しくは個人情報保護認証の通過、又はセキュリティ評価の申告が必要となる可能性がある点は留意が必要といえます。
上記No.4は、自由貿易試験区におけるデータを中国国外へ提供する場合に関する内容で、中国各地の自由貿易試験区において、国家のデータ分類分級保護制度の枠組みの下で、データの越境移転に係るクリアランス要件を必要とするデータの範囲に係るデータリスト(ネガティブリスト)を制定することを認めたうえ、当該自由貿易試験区に所在するデータ取扱者がネガティブリストに掲載された以外のデータを中国国外へ提供する場合には、セキュリティ評価の申告、SCCの締結、個人情報保護認証の通過のいずれも免除するとしています。
上記No.5は、セキュリティ評価の申告が必要とされている場合に関する内容で、意見募集稿にはなかったものです。基本的にはデータ越境移転セキュリティ評価弁法(以下「セキュリティ評価弁法」といいます。)の内容を踏襲したものではありますが、セキュリティ評価弁法では①100万人以上の個人情報取扱者が越境移転する場合、又は②前年1月1日から起算して10万人以上の個人情報又は1万人以上のセンシティブ個人情報を越境移転する場合をセキュリティ評価の対象としているのに対し、本規定では当年1月1日から起算して累計100万人以上の個人情報又は1万人以上のセンシティブ個人情報を越境移転する場合をセキュリティ評価の対象とし、ここでもセキュリティ評価の対象を大幅に緩和(縮小)しています。
上記No.6は、重要情報インフラ以外のデータ取扱者が当年1月1日から起算して、中国国外に越境移転する個人情報(センシティブ個人情報を除く)が累計10万人以上100万人未満、又はセンシティブ個人情報が1万人未満である場合の対応として、SCCの締結又は個人情報保護認証が必要である旨を明確にしました。前述のとおり、通常の個人情報の越境移転に関しては、その数量が10万人未満であればクリアランス要件の充足が免除されていますが、その前提として当該個人情報にセンシティブ個人情報が含まれていないことが求められています。もしも一人のセンシティブ個人情報でも越境移転をすることとなった場合には、本規定上は、SCCの締結又は個人情報保護認証の通過が必要となりますので、この点は留意が必要といえるとともに、越境移転をする個人情報にセンシティブ個人情報が含まれるか精査すること、なるべくセンシティブ個人情報の移転をしない工夫をすることが必要ともいえます。
<クリアランス要件に関する整理>
データ取扱者の種類 |
越境移転数量又は 越境移転するデータの種類 |
クリアランス要件 |
|||
セキュリティ評価 |
SCC又は 個人情報保護認証 |
例外 |
|||
重要情報インフラ運営者 |
重要データ |
〇 |
× |
契約の締結、履行のために個人が一方当事者となる場合で、中国国外に個人情報を提供することが確かに必要な場合や、自由貿易試験区におけるネガティブリストにないデータを中国国外へ提供する場合等 |
|
個人情報 |
〇 |
× |
|||
一般のデータ取扱者 |
重要データ |
〇 |
× |
||
個人情報 |
・10万人未満 且つ ・センシティブ個人情報なし |
× |
× |
||
・10万人以上100万人未満 又は ・1万人未満のセンシティブ個人情報 |
× |
〇 |
|||
・100万人以上 又は ・1万人以上のセンシティブ個人情報 |
〇 |
× |
(2) 引き続き対応が必要な事項
上記のとおり、クリアランス要件に関しては大幅な緩和がされたものの、センシティブ個人情報を中国国外へ提供する場合には、上記No.3-(4)の緩和措置を受けることができず、少なくとも本規定の規定上は、1万人以上のセンシティブ個人情報を中国国外へ提供する場合はセキュリティ評価の申告が、1万人未満のセンシティブ個人情報を中国国外へ提供する場合は、SCCの締結、個人情報保護認証の通過のいずれかが必要となります。そのため、センシティブ個人情報の越境移転が発生しているかを精査する必要があるとともに、センシティブ個人情報の越境移転が発生(本規定の規定上は、一人でもセンシティブ個人情報の越境移転があれば該当すると考えられる)しており、上記No.1、2、3-(1)~(3)、4を満たさない場合には、クリアランス対応が引き続き求められる点に注意が必要です。
また、個人情報を中国国外へ提供する場合には、法律、行政法規の規定に従って、告知、個別の同意取得及びDPIAの実施等の義務を履行すること、個人情報を含むデータを中国国外へ提供する場合には、データセキュリティ保護義務の履行し、技術措置その他の必要な措置を採り、データの越境移転のセキュリティを保障すること、データセキュリティインシデントが発生又は発生した恐れがある場合は、直ちに応急措置を採り、省レベル以上のインターネット情報部門とその他の関連主管部門に報告することが求められています[15]。
(3) SCCの締結、DPIAの実施及びこれらの届出に関する変更点
前述のとおり、本規定の公布、施行と同時に、SCC届出ガイドラインの第2版が公表されました。SCCの内容自体は、SCC届出ガイドラインの第1版から変更はありませんが、DPIAに関しては中国語で作成すべきことや文字の書式が明らかにされたほか、ガイドラインに別紙として添付されていたDPIAのひな型の記載事項が全体的に簡素化されました。
越境移転活動の全体状況として、以下を記載したうえで、標準契約弁法第5条の規定事項に照らして、個人情報保護の影響評価状況を説明し、特に発生した問題と改善状況について説明することが求められています。
(一)個人情報取扱者の基本情報 |
|
(二)国外受領者の状況 |
|
(三)個人情報取扱者が説明する必要があると認めるその他の情報 |
(4) 重要データに関する判断
本規定では、データ取扱者においては、関連規定に基づいて重要データの識別、申告をすべき旨を原則としつつ、関連部門、地区により重要データとして告知、公表されていない場合には、重要データの越境移転に関するセキュリティ評価は申告不要であることが明確にされました[16]。
2024年2月7日に、天津自由貿易試験区において全国初となるデータ分類分級に関する基準が制定、施行されており[17]、また、同年3月21日には推奨性国家基準として「GB/T 43697-2024 データセキュリティ技術 データ分類分級規則」が公表され[18]、重要データの該当性判断を含むデータの分類、分級に関するルールが明確化されてはじめています。そのため、データ取扱者においては、これらの規定に基づいて重要データ(核心データ含む)、一般データの分類分級をしておく必要があるといえます。
「重要データ」は、ひとたび改竄、破壊、漏洩又は違法取得、違法利用等がされると、国家の安全、経済の運営、社会の安定、公共の健康と安全等に危害を及ぼす可能性があるデータと定義されており[19]、各地区、各部門、産業ごとに、重要データの具体的なリストが確定される[20]とされていますが、自動車データ等の一部の産業データを除いて、その具体的な内容が明確にされておらず、企業において自社のデータが重要データに該当し、セキュリティ評価を申告すべきかどうかの判断に困難な状況が見られていました。
本規定では、上記のとおり、データ取扱者においてはデータの分類分級をし、重要データの識別をすることは必要としつつも、関連部門、地区により重要データとして告知、公表されていない間は、重要データの越境移転に関し暫定的にセキュリティ評価申告対応を留保して差し支えないことを明確にしました。
その意味では、当該重要データリストが制定されていない間、自社が越境移転しようとするデータが重要データに該当するか、明確に判断がつかない場合には、セキュリティ評価の申告をしなかったとしても、法令違反を問われるリスクは高くないということになるものと考えられます。
(5) 既存の法令との適用関係
本規定においては、セキュリティ評価弁法、標準契約弁法等の関連規定と整合しない内容については本規定が優先することを明確にしておりますので[21]、今後は基本的に本規定を参照して個人情報を含むデータの越境移転に係るクリアランス要件を検討すべきこととなります。
実務上の対応
意見募集稿の公表以降、実務上大きな混乱が生じた越境移転に関するクリアランス要件の対応ですが、本規定の施行により一応決着がついたといえます。但し、前述したとおり、センシティブ個人情報を中国国外へ提供する場合には、引き続きクリアランス要件の対応を要する場合があり、クリアランス要件の対応が免除される場合であっても、告知や個別同意の取得、DPIAの実施等引き続き対応すべき義務があることに注意が必要です。
また、個人情報保護法の域外適用がある場合の中国国内の専門機構の設置又は代表の指定に関する規定[22]や個人情報の取り扱いのコンプライアンス監査に関する規定[23]といった、現状まだ定まっていないデータ法令の下位規定について今後も徐々に定まっていくことが予想されますので、中国のデータ法令の立法動向に引き続き注意していくべきといえます。
[1] 规范和促进数据跨境流动规定(征求意见稿)
[2] 意見募集稿については、こちらの解説をご参照ください。
[3] 个人信息出境标准合同办法
[4] 標準契約弁法第7条、第13条
[5] 促进和规范数据跨境流动规定
[6] 数据出境安全评估申报指南(第二版)
[7] 个人信息出境标准合同备案指南(第二版)
[8] 本規定第3条
[9] 本規定第4条
[10] 本規定第5条
[11] 自由貿易試験区が自ら制定し、省レベルのサイバーセキュリティと情報化委員会に承認された、自由貿易試験区においてデータ越境移転セキュリティ評価、個人情報越境移転標準契約、個人情報保護認証によって管理しなければならないデータのリストをいいます。
[12] 本規定第6条
[13] 本規定第7条
[14] 本規定第8条
[15] 本規定第10条、第11条
[16] 本規定第2条
[17] 中国(天津)自由贸易试验区企业数据分类分级标准规范
[18] GB/T 43697-2024《数据安全技术 数据分类分级规则》
[19] セキュリティ評価弁法第19条
[20] データセキュリティ法第21条第3項
[21] 本規定第13条
[22] 個人情報保護法第第53条
[23] 個人情報保護法第54条