データ法律・不競法

中国のデータ越境に新規定、日系企業のコンプライアンス対策は?

 

——「データ越境流動の促進と規範化についての規定」の要点整理

2024年3月22日,中央網信弁は、「データ越境流動の促進と規範化についての規定」(以下、「新規定」という)を発布し、企業のデータ越境に関するコンプライアンスの実施と負担軽減についての内容もようやく一段落しました。この文章は、実務と企業の視点から今回のデータ越境新規定をどのように理解、適用するかについての問題を解説し、企業の皆様がより順調にコンプライアンス対策を実施できるように、新規定の主な内容を次の通り整理させていただきました。

一、新規定の発布によりデータ・個人情報の越境手続きを免除できる場面

 データ越境新規定の第四条、第五条、第六条では、次の各号で掲げられている状況がある場合、当局による安全評価、標準契約の締結若しくは個人情報の認証という三つの手続き(以下、併せて「データ越境手続き」)は、相応に免除されることとなります。

  ① 契約の当事者として契約を締結・履行するために、境外に個人情報を提出しなければならない場合。具体的には、越境の買い物・郵送・送金・支払い・口座設立・ホテルの予約・試験サービスなどが含まれている。

  ② 適法に作成した労働規則及び集団契約に基づいて越境の人力資源の管理を実施するため、海外に従業員の情報を提供する必要がある場合。

  ③ 緊急時に人の生命健康と財産の安全を保護するために、海外に個人情報を提供しなければならない場合。

  ④ 重要情報インフラの運営者(以下「CIIO」という)を除くデータ処理者が当年度の1月1日から境外に累計10万人未満の個人情報(個人敏感情報を含まない)を提供する場合。

  ⑤ 境外で収集し生産したデータを中国境内に移転し処理する上、再度境外に提供する場合。

  ⑥ 自由貿易試験区の企業がネガティブリストに掲載されていないデータを中国境外に提供する場合。(この部分の詳細は、第二部分の内容をご参考ください)

【コメント】

 前回の意見収集版と比べると、今回の新規定の免除範囲は一層拡大され、特に外資企業に対するデータ越境に関するコンプライアンスコストの低減が可能だと思われます。また、政策が緩和したにもかかわらず、企業の皆様が対応するときには、以下のポイントに留意しなければならないと考えております。

  • 第②項の人力資源に関する条項を適用する場合、越境の必要性を考量しなければならない。適法に社内で制度を立ち上げても、越境の必要性が欠けた場合、依然として当局に指摘されるリスクが存在している。
  • 第④項を適用する場合、敏感個人情報が一つでもあれば、手続きの免除はできません。
  • 第⑤項の場合、ア)処理するデータが中国境外で形成したこと、及びイ)中国国内で処理するときに、中国国内の個人情報と重要データが含まれないという二つの条件を満たさなければなりません。

二、自由貿易試験区にある企業はどう対応すべきか

 新規定の第六条では、自由貿易試験区は、国のデータ分類分級制度の枠組内においてデータ越境に関するネガティブリストを作成することができると規定し、自由貿易試験区の企業がネガティブリストに掲載されていないデータを中国境外に提供する場合には、相応のデータ越境手続きを免除されます。

【コメント】

 この条項は、自由貿易試験区の政策の方向性を示していると考えておりますので、これからは区内の政策に注目しつつ、対応することができると思います。

  但し現時点は具体的なネガティブリストが発布されていませんので、依然として、自由貿易試験区外の企業と同様に対応しなければなりません。

三、依然としてデータ越境手続きを履行する必要がある場面

 新規定の第七条と第八条では、以下の場合において依然として相応のデータ越境手続きを実施しなければならないとしています。

  ① 国家網信部門による事前のデータ越境安全審査が適用される場合。

  • CIIOが個人情報若しくは重要データを中国境外に提供する場合。
  • CIIOでない企業が重要データ、当年度1月1日から累計100万以上の個人情報(敏感個人情報を含まない)若しくは1万以上の敏感個人情報を中国境外に提供する場合。

  ② 標準契約の締結と届出又は個人情報保護認証を適用する場合。

  • CIIOでない企業が10万以上100万人未満の個人情報、若しくは1万人未満の敏感個人情報を中国境外に提供する場合。

【コメント】

 新規定の表現上、一見第一部分で記載された内容に適合すれば免除されると解釈することができますが、現状、重要データの境外提供は免除範囲外なので、実務上注意しなければなりません。

  また、CIIOはセンシティブな企業であり、実際に対応するときに、たとえ免除の規則に符合するとしても、事前に当局に問い合わせることをお勧めします。

四、免除された手続き以外に個人情報の越境について必要とされるコンプライアンス措置

 新規定の第十条では、個人情報処理者が境外に個人情報を提供する場合、法律、行政法規の規定に従い告知、個人の単独同意の取得、個人情報保護影響評価などの義務を履行しなければならない、と規定しています。

【コメント】

 元の意見募集版ではなかった内容で、データ越境手続きの免除はあくまでも国家網信部門の安全審査、標準契約の締結又は個人情報保護認証という三つの内容に限りますので、適法に個人への告知、同意の取得、社内の影響評価の実施などの措置も講じなければなりません。

五、その他

前述した内容以外に、新規定はさらに次のことを規定しています。

  • データ越境安全評価の有効期限は3年であり、状況が変化しない場合さらに3年間を延長することが可能です。
  • 当局は引き続きデータ越境制度の完備化に努め、事前から事後までの全過程監督を強化します。
  • 以前の規定と新規定に齟齬がある場合、新規定の内容が優先されます。
呉月琴
ABOUT ME
しかちゃん
東京理科大学知的財産専門職大学院(MIP)卒。 元大手生活用品メーカーの知財マン、後に事業家に転身。 知財マンとして在職中、商標が専門、広告法や模倣品対策も携わり、語学能力を生かし、中華圏と日本の架け橋の役割を担っていた。現在華誠グループの一員として日本企業の中国事業を法律な観点でサポートしている。 このブログでは中国事業の法律問題について発信している。 ワーカホリックであり、スピーディーな対応を重視している。 何かサポートできるものがあれば、お気軽にご連絡ください。
BLOG:https://watsonband-consulting.com/
関連記事