中国「データ越境移転促進・規範化規定」解説
2024/04/23   海外法務, コンプライアンス, 情報セキュリティ, 個人情報保護法, 中国法

 

UniLaw企業法務研究所代表, CIPP/E浅井敏雄

中国の現行法令上, 香港・マカオ・台湾を除く中国本土内(「境内」)から境外への個人情報等の移転(以下「越境移転」)は, 事前に, その越境移転について, 中国政府による安全評価に合格すること, 個人情報保護認証(以下「保護認証」)を取得すること又は標準契約を締結してこれを届け出ること(以下これら三つの手続を総称して「事前手続」)のいずれかが必要である(中国個人情報保護法[1](以下「PIPL」)38条, データ越境移転安全評価弁法[2](以下「安全評価弁法」)4条, 個人情報越境処理保護認証規範[3], 個人情報越境移転標準契約弁法[4](以下「標準契約弁法」)4条・7条)。

これに関しては, 越境移転の要件があまりに厳格で関係企業も対応に苦慮し, 又, 中国政府としても標準契約の大量届出とその審査の負担や外国との取引阻害の懸念があると思われた。そこで, 昨年(2023年)9月28日, 中国国家ネットワーク情報弁公室(CAC)は, 越境移転に関する上記制限の緩和措置を定める「データ越境移転規範化・促進規定(意見募集稿)」(「规范和促进数据跨境流动规定(征求意见稿)」)(以下「本規定案」)[5]を公表し, 昨年10月15日までの意見募集に付した。しかし, 本規定案は, 標準契約弁法で定める標準契約届出期限の作年11月30日を経過しても成立・施行されなかった。

このような中, ようやく, 本年(2024年)3月22日, CACは本規定案の正式版というべき「データ越境移転促進・規範化規定」(「促进和规范数据跨境流动规定」)(以下「本規定」)を公布し同日施行した。

又, 同日, CACは, 「データ越境移転安全評価申請ガイドライン(第2版)」(数据出境安全评估申报指南(第二版)), 及び「個人情報越境移転標準契約届出ガイドライン(第2版)」(个人信息出境标准合同备案指南(第二版))(以下「標準契約ガイドライン第2版」)を公布した。

日本企業の中国子会社等(以下「日系企業」)が日本の親企業等に越境移転するデータは, 多くの場合, 従業員の個人情報のようであるから, 本規定上, 重要情報インフラの運営者以外のデータ処理者が, 当年1月1日から累計で境外に提供する個人情報(機微個人情報を含まない)が10万人未満である場合であって境外提供データに重要データを含まないときに該当し, 全ての事前手続が不要とされる可能性がある(第5条1項(4))。又, これに該当しない場合でも, 本規定上, 重要情報インフラの運営者以外のデータ処理者が, 当年1月1日から累計で10万人以上100万人未満の個人情報(機微個人情報を含まない)又は1万人未満の機微個人情報を境外に提供する場合であって境外提供データに重要データを含まないときに該当し, 標準契約の締結及び届出により越境移転を行うことができる可能性がある(第8条1項)。

以下, 本稿では, 本規定及び標準契約ガイドライン第2版に関し, 解釈上の疑問点, 重要データ及び機微個人情報の定義・具体例等を含め解説する。なお, 以下において, [  ]内の内容は筆者による補足・追記を示す。

【目　　次】 (各箇所をクリックすると該当箇所にジャンプする) I.　現行法令の規定内容 II. 本規定の内容 1. 本規定の目的/他法に対する優先 2　重要データの特定等 3. 国際貿易等に伴い越境移転するデータ 4. 境外収集データの越境移転 5. 越境購入等・越境人事管理・緊急下での移転/10万人未満個人情報移転 6. 自由貿易試験区の特例：ネガティブリスト外データの移転 7.　安全評価を要す場合：重要データ・100万人以上個人情報・1万人以上機微個人情報の移転 8.　標準契約締結等を要す場合：10万～100万人個人情報/1万人未満機微個人情報移転等 9.　 安全評価の有効期間 10.　本人同意/影響評価等の必要性 11.　越境移転の安全確保/事件発生報告 12.　当局の指導監督と責任追及 13.　既にした安全評価申請・標準契約届出手続の扱い III.　標準契約ガイドライン第2版の内容 IV.　一般的な日系企業の対応について

本稿のPDF

I.　現行法令の規定内容

前記の通り, 現行法令上は, 個人情報等を中国の境内から境外へ越境移転するには, 安全評価合格・保護認証取得・標準契約締結届出のいずれかが必要であるとされている。そして, そのどれによるべきかについては, 以下の通り規定されている。

【安全評価合格が要求される場合(安全評価弁法4条)】

(1)データ処理者が重要データを中国境外に提供する場合

(2)重要情報インフラの運営者又は100万分人以上の個人情報を処理するデータ処理者が中国境外に個人情報を提供する場合

(3)前年1月1日以降の累計で10万人分以上の個人情報又は1万人分以上の機微個人情報を境外に提供したデータ処理者が個人情報を境外に提供する場合

(4)その他, 国家ネットワーク情報部門が定めるデータ越境移転安全評価申請を必要とする場合

【標準契約の締結及び届出又は保護認証取得により越境移転可能な条件(標準契約弁法4条・7条)】

(1)重要情報インフラの運営者ではないこと

(2)処理する個人情報が100万人分未満であること

(3)前年1月1日からの累計で境外提供した個人情報が10万人分未満であること

(4)前年1月1日からの累計で境外提供した機微個人情報が1万人分未満であること

page top

II. 本規定の内容

 

1.  本規定の目的/他法に対する優先

【第1条(本規定の目的)】データ安全を保障し, 個人情報権益を保護し, データが法に従い秩序正しく自由に移転されることを促進するため, 「中華人民共和国サイバーセキュリティー法」(以下「CSL」), 「中華人民共和国データ安全法」(以下「DSL」), 「中華人民共和国個人情報保護法」(PIPL)等の法律法規に基づき, データ越境移転安全評価, 個人情報越境移転標準契約, 個人情報保護認証等のデータ越境移転制度の施行について, 本規定を制定する。

【第13条(他法に対する優先)】安全評価弁法, 標準契約弁法等の関連する規定と本規定の内容が一致しない場合には, 本規定を適用する。

【解　説】

・上記本規定第13条より, 標準契約弁法等の関連規定と本規定の内容が一致しない場合には, 本規定が優先適用される。逆に, 標準契約弁法等の関連規定も, 本規定の内容との不一致がない部分については適用される(後記8【解　説】参照)。

page top

2. 重要データの特定等

【第2条】データ処理者は, 関連規定に従い重要データを特定し, 申請しなければならない。関連する[政府]部門又は地域から重要データとして通知又は公開・公布されていない場合, データ処理者は, データ越境移転安全評価のために重要データとして申請することを要しない。

【解　説】

前記Iの通り, 現行法令上, 越境移転する情報・データに重要データが1件でも含まれる限り, 安全評価が必要であるが, 本規定においても, これ自体に変更はない(後記7参照)。しかし, 上記の通り, 関連する政府部門又は地域から重要データとして通知又は公開・公布されていない限り, 安全評価の申請は不要ということになる。

ここで, 「関連する政府部門又は地域から重要データとして通知又は公開・公布」されている場合とは, 第2条第1文との関係から, データ処理者が重要データを特定し得る程度に具体的な重要データの目録, 具体例その他判定基準が含まれる関連規定等が関連部門・地域等から通知, 公開又は公布されている場合を意味すると思われ, その場合には, データ処理者は, その関連規定等に従い重要データを特定し, データ越境移転安全評価のために申請しなければならないものと考えられる。

【重要データの定義・目録, 具体例その他判定基準】

以下においては, 重要データの定義・目録, 具体例その他判定基準に関し, 現在までに通知・公開・公布されているものを挙げる。

(1) 重要データの定義

安全評価弁法19条によれば, 「重要データ」(重要数据)とは,その改ざん・破壊・漏えい・不正取得・不正利用等により, 国家の安全, 経済運営, 社会の安定, 公衆衛生・安全に危害を及ぼすおそれのあるデータを意味する。

(2) 「自動車データ安全管理若干規定(試行)」上の重要データ

「自動車データ安全管理若干規定(試行)」(「汽车数据安全管理若干规定(试行)」) (2021年施行)では, 軍事管理区域等の地理的情報・交通・通行量／交通量・物流データ／充電ネットワーク運用データ／顔データ／ナンバープレートデータ／10万人超の個人(自動車の所有者, 運転者, 同乗者, 通行人等)の個人情報, 等のデータ・個人情報を「重要データ」として原則として国内保存すべきことを要求し, 境外に提供するには安全評価合格を要する(規定11(1)前段)。

上記については, データ処理者は, これに従い重要データを特定し, データ越境移転安全評価のために申請しなければならない。

(3) 重要データ目録の確定

本規定に関する質問に対するCACの回答(「《促进和规范数据跨境流动规定》答记者问」)(2024年03月22日)(以下「Q&A」)の問4の答によれば, 国家データ安全業務調整機構が関連部門による重要データ目録の制定を統一的に計画・調整し, 各地域, 各部門は, データ分級等級保護制度に従い, 当該地域, 当該部門及び関連業界・分野の重要データの具体的な目録を確定しなければならない。

(4) 分類分級規則

本規定とほぼ同時の2024年3月21日付けで国家標準化管理委員会が「データ安全技術 データ分類分級規則」(GB/T 43697-2024《数据安全技术 数据分类分级规则》)を公布している。同規則の前文(引言)によれば, 同規則は, 国家データ安全業務調整機構の指導下で, データ分類分級に関する一般的規則を定め, 各産業分野, 各地域, 各部門及びデータ処理者がデータ分類分級業務を行うためのガイドとして使用される。同規則には, 重要データ等の分類・分級手法等は記載されているが, 重要データの目録, 具体例その他判定基準は記載されていない。

(5) 工業・情報化分野の分類分級弁法

2022年12月8日公布・2023年1月1日施行の「工業・情報化分野データ安全管理弁法(試行)(工业和信息化领域数据安全管理办法(试行))」は, 地方の業界監督管理部門が当該地方の重要データの具体的な目録を確定すべきことを定める(7条2項)が, 重要データの目録, 具体例その他判定基準は記載されていない。

(6) (天津)自由貿易試験区の重要データ

2024年2月7日, 天津市商務局は「中国(天津)自由貿易試験区企業データ分類分級標準規範」(「中国(天津)自由贸易试验区企业数据分类分级标准规范」)を通知した。

(以下抜粋)(適用範囲)天津自由貿易試験区内の企業が生産経営過程において産生等したデータ。(重要データの特定)業界主管部門が既に公開公布等した規範がある場合はそれに従い特定。ない場合には以下基準に従い特定。(一)統一的基準：1千万人以上の個人情報, 百万人以上の機微個人情報, 10万人以上の個人銀行口座等の機微個人情報。業界競争力, 業界の生産安全に関連する高価値の機微データ。...　 (二) 戦略物資及び大量の商品類：国の重大戦略を推計できる重要分野の運用状況等の製品・生産量のデータ, 国際貿易データ等。...　(四) 工業類：...電子情報産業の先進技術, 集積回路の先進設計・製造技術, 重大なコンピュータ設備設計データ, アルゴリズムとハードウェアソフトウェアのアーキテクチャ, 重要な電子部品・設備の国産化率等の情報。スマートカー分野の自動車OTAパラメーター。...

上記については, その一部は, データ処理者が重要データを特定し得る程度に具体的な重要データの目録, 具体例その他判定基準であるようにも見え, データ処理者は, これに従い重要データを特定し, データ越境移転安全評価のために申請しなければならない可能性があるように思われる。

(7) 自然資源部の重要データ

2024年3月22日, 自然資源部は「自然資源分野データ安全管理規則」(自然资源领域数据安全管理办法)を通知した。(以下抜粋)複数の省又は全国をカバーする大規模かつ高精度で, 極めて機微性が高く, 重要性があること等, 6指標のうち2以上に該当するものを自然資源分野の重要データとする。

上記については, その一部は, データ処理者が重要データを特定し得る程度に具体的な重要データの目録, 具体例その他判定基準であるようにも見え, データ処理者は, これに従い重要データを特定し, データ越境移転安全評価のために申請しなければならない可能性があるように思われる。

(8) (上海)自由貿易試験区の重要データ分類分級弁法

2024年2月8日に通知された「中国(上海)自由貿易試験区臨港新片区データ越境流動分類分級管理弁法(試行)(中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)」は, 重要データの目録制定ルールを含むが, 重要データの目録, 具体例その他判定基準は記載されていない。しかし, 同弁法に基づき, 近い将来, (上海)自由貿易試験区における重要データの目録, 具体例その他判定基準が含まれる関連規定等が通知, 公開又は公布されることは予想されるから, その動向を注目する必要がある。

(9) その他重要データの判定基準

データ処理者は, 以上の他にも, 重要データを特定し得る程度に具体的な重要データの目録, 具体例その他判定基準が含まれる関連規定等が関連部門・地域等から通知, 公開又は公布されているか否か, 又, 今後通知・公開・公布されないか, 継続的に注視しなければならない。

page top

3.  国際貿易等に伴い越境移転するデータ

【第3条】国際貿易, 越境[跨境]輸送, 学術協力, 国を跨ぐ[跨国]生産製造及びマーケティング等の活動において収集又は産生したデータを境外に提供する場合において, 個人情報及び重要データが含まれていないときは, 全ての事前手続が免除される。

【解　説】

上記より, 例えば, 境内の日系企業の製品製造関連データ, 販売・顧客関連データは, 越境移転するデータの量が大きくても, 個人情報(識別されたまたは識別可能な個人に関する情報を意味し, 匿名化後の情報を含まない(PIPL 4(1))及び重要データが含まれていない限り, 事前手続を要することなく, 日本の親企業に越境移転できる。

page top

4.  境外収集データの越境移転

【第4条】データ処理者は, 境外において収集又は産生した個人情報を境内に処理のため移転した後に境外に提供する場合であって, その処理過程において境内の個人情報又は重要データが含まれないときは, 全ての事前手続を免除される。

【解　説】

上記より, 例えば, 日本で収集した日本人の個人情報を境内で加工等処理した(但し, その際, 境内の個人情報, 重要データは加えない)上日本に返送する場合, 事前手続を要することなく, 日本に越境移転できる。

page top

5.  越境購入等・越境人事管理・緊急下での移転/10万人未満個人情報移転

【5条1項】データ処理者が境外に個人情報を提供する場合において, 以下のいずれかに該当するときは, 全ての事前手続を免除される。

(1) 個人が一方当事者となる契約, 例えば, 越境[跨境]購入, 越境配送, 越境送金, 越境決済, 越境口座開設, 航空券・ホテルの予約, ビザ申請, 受験[考试]サービス等の締結又は履行のため, 境外に個人情報を提供することが真に必要である[确需]場合。

(2) 法に従い制定された労働規則制度及び法に従い締結された集団契約に基づき, 越境人事管理を行うために, 従業員[员工]の個人情報を境外に提供することが真に必要である場合(5条1項2号)。

(3) 緊急状況下で自然人の生命, 健康及び財産の安全を確保するため, 境外に個人情報を提供することが真に必要である場合。

(4) 重要情報インフラ[6]の運営者以外のデータ処理者が, 当年1月1日から累計で境外に提供する個人情報(機微個人情報を含まない)が10万人未満である場合。

【5条2項】前項に定める, 境外に提供する個人情報には, 重要データ[に該当する個人情報]が含まれていてはならない。

【解　説】

・上記(1)～(4)全てについて, 1件でも重要データが含まれていれば, 適用を受けることができない(5条2項)。

・上記(1)は, 例えば, (i)境内のデータ処理者が, 境内の個人と日本企業との間の商品購入契約の代理を行う場合, 又は(ii)境内のデータ処理者が境内の個人との間の委託契約に基づき境外の者から商品を購入する場合において, (i)の商品購入契約又は(ii)の委託契約の締結又は履行に必要な境内の個人の個人情報(氏名, 住所等)を日本企業に提供する場面が想定されていると思われる。従って, 上記(1)は, 海外との間の, 電子商取引, 国際決済, 銀行サービス, 観光, 運輸等の業界において, 境内の個人客の個人情報を境外に移転する必要がある場合等に適用され得ると思われる。

・上記(2)の「越境人事管理」とは, 例えば, 日本の会社から中国子会社に出向中の日本人社員や, その中国子会社で採用した中国人幹部の, 日本の親会社側で行う人事管理と思われる。しかし, 上記(2)の適用を受けるためには, 本規定の文言上, 中国子会社において, (同様の手続を経て制定又は締結される)労働規則(就業規則)制度[7]及び(原文：「和」)集団契約(団体協約)[8]の双方に, この越境人事管理を行うことの根拠(「基づく」)がなければならない。しかし, その根拠が本当にその双方に必要なのか, 「及び」の真の意味は「又は」ではないのか(例えば, 上記(3)の「生命, 健康及び財産の安全」の「及び」も意味的には「又は」と思われる)[9]。又, 就業規則等に根拠があると言い得るためには, 就業規則等にその根拠がどの程度具体的に規定されていなければならないのか。これらの点の確認が必要と思われる。

・上記(2)については, 「従業員」とあるから, 求職者, 採用候補者, 採用予定者, 退職者等の個人情報については適用できない。

・上記(1)～(3)については, 「境外に個人情報を提供することが真に必要である」ことが要件となっているから, 対象企業は, 境外に個人情報を提供することが真に必要であること及びその個人情報が必要最小限であることを説明できるようにしておくべきであろう。

・上記(1)～(3)については, 単に「個人情報」とされ, 上記(4)のように「個人情報(機微個人情報を含まない)」とはされていないから, 機微個人情報が含まれていても適用され得るものと解される。

・上記(4)の「重要情報インフラの運営者」については, 「Q&A」の問6の答えによれば, 関連業界・分野の主管部門, 監督管理部門が当該業界・分野の重要情報インフラを認定し, 認定結果を速やかに重要情報インフラの運営者に通知するとされている。従って, 当局から重要情報インフラの認定通知を受けていない限り, 一応, 重要情報インフラの運営者ではないものと考えておいてよいであろう。

・上記(4)の個人情報の累計計算については, 後記7【解　説】の記載内容(＊)が適用されるものと思われる。

・上記(4)については, 「個人情報(機微個人情報を含まない)」とされていることから, 1件でも機微個人情報が含まれていれば, 適用を受けることができない。従って, 機微個人情報の定義・例が重要であるから, 以下にそれらを示す。

【機微個人情報の定義】

(1) 機微個人情報の定義

PIPL 28条1項によれば, 「機微個人情報」(敏感个人信息)とは, それが漏洩しまたは違法に利用された場合, 本人の人格的尊厳を侵害しまたはその人身・財産の安全を害するおそれのある個人情報であって, 生体識別／宗教・信仰／特定身分／医療・健康／金融口座／位置追跡・居場所(行踪轨迹)等の情報, および, 14歳未満の未成年者の個人情報を含む。

ここで「14歳未満の未成年者の個人情報」が全て機微個人情報とされていることから, 越境移転する個人情報に, 例えば, 中国子会社の従業員の14歳未満の扶養家族の個人情報が含まれていると上記(4)の適用を受けられないことになる。

(2) 機微個人情報の具体例

個人情報保護に関する国家標準である「GB/T 35273—2020 情報安全技術-個人情報安全規範」(GB/T 35273—2020　信息安全技术 个人信息安全规范) [10](2020年3月6日公布)の附属文書BのB.1には, 機微個人情報の例として以下が示されている。

個人の財産情報	銀行口座, 本人認証情報(パスワード), 預金情報(預金額, 入出金記録等を含む), 不動産情報, 与信記録, 信用情報, 取引・消費記録, 銀行取引記録等, 仮想通貨・仮想取引, ゲーム交換コード(CD キー)等の仮想資産情報。
個人の健康・生理情報	病気の治療等に関連して生じた記録, 例えば, 病症, 入院記録, 医師の指示, 検査報告, 手術・麻酔記録, 看護記録, 投薬記録, 薬物・食品アレルギー情報, 出産・生殖情報, 既往歴, 診断・治療状況, 家族病歴, 現病歴, 伝染病歴等
個人の生体識別情報	個人の遺伝子, 指紋, 声紋, 掌紋, 耳介, 虹彩, 顔識別特徴等。
個人の身分情報	身分証, 軍人証, パスポート, 運転免許証, 社員・職員証, 社会保障カード, 居住証等
その他の情報	性的指向, 婚姻歴, 宗教信仰, 未公開犯罪記録, 通信記録・内容, 住所録, 友達リスト, チャットグループリスト, 位置追跡・居場所(行踪轨迹), Web閲覧履歴, 宿泊情報, 高精度位置情報等

上記のうち「通信記録・内容」には, 例えば電子メールも含まれてしまうと思われるが, 機微個人情報の定義から, 全ての電子メールではなく, 「それが漏洩しまたは違法に利用された場合, 本人の人格的尊厳を侵害しまたはその人身・財産の安全を害するおそれのある」ものに限定される筈であり, 所属企業の業務に関して送受信される通常の業務上の電子メールは含まれないものと思われる。

・又, 2023年8月9日に全国情報安全標準化技術委員会が国家標準の案として公表した「情報安全技術　機微個人情報処理安全要件(意見募集稿)」 (「信息安全技术 敏感个人信息处理安全要求(征求意见稿)」)(2024年2月時点で未採択)では別紙Aの表A.1として, 以下の機微個人情報の種類(類別)と典型例が示されている。これも機微個人情報の特定に参考となるであろう。

なお, 上記表との相違(表現上の相違を含む)には下線を付けている。

種類	典型例
生体識別情報	個人の遺伝子, 指紋, 声紋, 掌紋, 眼紋, 耳介, 虹彩, 顔識別特徴, 歩様等
宗教信仰情報	信仰する宗教, 加入する宗教組織, 宗教組織における職位, 参加する宗教活動, 特殊宗教習俗等
特定身分情報	犯罪者としての身分情報, 障害者としての身分情報, 特定業務情報(軍人, 警察等), 身分証明番号等
医療・健康情報	病症, 入院記録, 医師の指示, 検査報告, 手術・麻酔記録, 看護記録, 投薬記録, 出産・生殖情報, 家族病歴, 伝染病歴等
金融口座情報	銀行, 証券, 基金, 保険, 公共積立金等の口座番号及びパスワード, 公共積立金連名口座番号, 支払口座番号, 銀行カード磁気履歴データ(またはチップと同等の情報)及び口座情報等に基づき生成される支払トークン情報等
位置追跡・居場所情報	リアルタイム高精度位置情報, GPS車両軌跡情報, 航空券情報, 特定宿泊情報等
14歳未満の未成年者の個人情報	14歳未満の未成年者の個人情報
本人確認情報	本人確認情報, ログインパスワード, 支払いパスワード, 口座照会パスワード, 取引パスワード, 動的パスワード, パスワード保護回答等
その他の機微個人情報	Web閲覧情報, 婚姻歴, 性的指向, 通信内容, 信用情報, 未公開犯罪記録等

page top

6.  自由貿易試験区の特例：ネガティブリスト外データの移転

【6条1項】自由貿易試験区[11]は, 国家データ分類分級保護制度の枠組みの下で, 自ら, 区内でデータ越境移転安全評価, 個人情報越境移転標準契約, 個人情報保護認証の適用範囲に含める必要があるデータのリスト(以下「ネガティブリスト」という)を制定し, 省級ネットワーク安全・情報化委員会の承認後, 国家ネットワーク情報部門及び国家データ管理部門に報告し登録[备案]することができる。

【6条2項】自由貿易試験区内のデータ処理者は, ネガティブリスト以外のデータを境外に提供する場合, 全ての事前手続を免除される。

【解　説】

ネガティブリストには, 主に重要データが入れられるのであろう。ネガティブリスト制度は本規定により初めて創設されたものと思われるから, 前記「中国(天津)自由貿易試験区企業データ分類分級標準規範」の重要データのリストは, このネガティブリストには該当しないと思われる。従って, 今後, 自由貿易試験区においてネガティブリストとして明示的に制定された場合に, 初めて, それ以外のデータについて本条を適用し得る。

page top

7.　安全評価を要す場合：重要データ・100万人以上個人情報・1万人以上機微個人情報の移転

【第7条1項】データ処理者が境外にデータを提供する場合において, 以下のいずれかに該当するときは, 所在地の省級ネットワーク情報部門を通じて国家ネットワーク情報部門にデータ越境移転安全評価を申請しなければならない。

(1) 重要情報インフラの運営者が個人情報又は重要データを境外に提供する場合。

(2) 重要情報インフラの運営者以外のデータ処理者が重要データを境外に提供する場合, 又は当年1月1日から累計で100万人以上の個人情報(機微個人情報を含まない)もしくは1万人以上の機微個人情報を境外に提供する場合。

【第7条2項】本規定第3条, 第4条, 第5条又は第6条に規定する状況に該当する場合には, その規定に従う。

【解　説】

(＊)上記第7条1項(2)について, 「当年1月1日から累計で」とあることから, 個人情報の累計の計算期間は1暦年単位である(従って, 毎年1月1日から計算し直す)ことが明らかである。又, 上記第7条1項(2)についてのQ&Aの問11の回答によれば, 個人情報の[累計の]計算期間は当年1月1日から安全評価申請日(すなわち, 計算日)までであり, 数量は自然人単位で計算し, [同一人である限り]重複を除いて計算し, 又, 本規定第3条(国際貿易等に伴い越境移転するデータ), 第4条(境外収集データの越境移転), 第5条第1号から第3号まで(越境購入等・越境人事管理・緊急下での移転)及び第6条(自由貿易試験区ネガティブリスト外のデータの移転)に定める場合に該当する個人情報は, この累計の数量に算入しない。上記第7条2項の意味は, おそらくこの意味であろう。「当年1月1日から累計で」であるから, その累計人数に達する前までの間は, 該当する事前手続は要求されない。

page top

8.　標準契約締結等を要す場合：10万～100万人個人情報/1万人未満機微個人情報移転等

【第8条1項】重要情報インフラの運営者以外のデータ処理者は, 当年1月1日から累計で10万人以上100万人未満の個人情報(機微個人情報を含まない)又は1万人未満の機微個人情報を境外に提供する場合[であって境外提供データに重要データを含まないときは], 法に従い, 境外の受領者と個人情報越境移転標準契約を締結し, 又は個人情報保護認証に合格しなければならない。

【第8条2項】本規定第3条, 第4条, 第5条又は第6条に規定する状況に該当する場合には, その規定に従う。

【解　説】

・上記【第8条1項】の適用を受けるには, 上記7条1項(2)との関係から, 越境移転されるデータに重要データが含まれていないことを要する。

・上記【第8条1項】の個人情報の累計計算については, 前記7【解　説】の記載内容(＊)が同様に適用されるものと思われる。

・上記【第8条1項】では標準契約の「締結」のみ義務付けられているが, 標準契約弁法第7条第1項により, 「個人情報処理者は, 標準契約発効日から10営業日以内に, その所在地の省級ネットワーク情報部門に標準契約を届け出なければならない」[12]。　この届出について, 「Q&A」の問15の回答によれば, 「データ越境移転安全評価の申請及び個人情報越境移転標準契約の届出は, データ越境移転申請システム(URL　https://sjcj.cac.gov.cn)に登録することができる」とされている。同様に, 標準契約ガイドライン第2版(p.2)でも, 個人情報処理者は, 標準契約の発効日から10業務日内に, データ越境移転届出システム(URL　https://sjcj.cac.gov.cn)を通じて届出を行わなければならない旨が記載されている。

page top

9.　 安全評価の有効期間

【第9条】データ越境移転安全評価の結果の有効期間は, 評価結果の発行日から起算して3年とする。有効期間が満了し, 継続してデータ越境移転活動を行う必要があり, かつデータ越境移転安全評価の再申請が必要な事情が生じていない場合には, データ処理者は, 有効期間満了前60業務日[工作日]以内に, 所在地の省級ネットワーク情報部門を通じ, 国家ネットワーク情報部門に評価結果の有効期間の延長申請を提出することができる。国家ネットワーク情報部門が承認した場合, 評価結果の有効期間を3年延長することができる。

page top

10.　本人同意/影響評価等の必要性

【第10条】データ処理者は, 境外に個人情報を提供する場合には, 法律及び行政法規の定めに従い, 通知, 本人の個別同意[单独同意]取得, 個人情報保護影響評価実施等の義務を履行しなければならない。

【解　説】

・上記本規定第10条の通り, 境外に個人情報を提供する場合には, いずれの場合でも, 本規定上要求される事前手続の他に, PIPL等に従い, 通知(越境移転についての本人への事前通知等：PIPL 17, 23, 30, 39[13]), 本人の個別同意[单独同意]事前取得(PIPL 13[14]), 個人情報保護影響評価事前実施(PIPL 55[15]), 安全(セキュリティ)確保(PIPL 9, 51[16]), 漏えい等の報告(PIPL 57(1)[17])(次の11参照)等を行わなければならない。なお, 安全(セキュリティ)確保の観点からは, 仮に標準契約の締結が不要な場合であっても, 境内のデータ処理者と境外の越境移転先において, 越境移転の目的, 安全確保等を定めた契約を締結しておく必要があるであろう。

page top

11.　越境移転の安全確保/事件発生報告

【第11条】データ処理者は, 境外にデータを提供する場合には, 法律及び[行政]法規の定めを遵守し, データ安全保護義務を履行し, 技術的措置その他必要な措置を講じ, データの越境移転における安全を確保しなければならない。データ安全事件が発生し又は発生する可能性がある場合には, 是正措置を講じるとともに, 速やかに[及时], 省級以上のネットワーク情報部門及びその他の関係主管部門に報告しなければならない。

page top

12.　当局の指導監督と責任追及

【第12条】各地のネットワーク情報部門は, データ処理者のデータ越境移転活動に対する指導監督を強化し, データ越境移転安全評価制度を完備・改善し, 評価プロセスを最適化し, 事前・事中・事後の全チェーン及び全分野の監督管理を強化し, データ越境移転活動に大きなリスクがあることを発見した場合又はデータ安全事件が発生した場合には, データ処理者に対し, これを是正し隠れた危険を除去するよう要求するものとし, 是正が拒否され又は重大な結果が生じた場合には, 法に従い法的責任を追及しなければならない。

page top

13.　既にした安全評価申請・標準契約届出手続の扱い

この点に関して, CACは, 「Q&A」の問14の答えで以下の趣旨を回答している

・本規定施行前にまだ安全評価に全部又は一部合格していないが, 本規定上安全評価申請が免除される越境移転については, データ処理者は, 標準契約締結又は個人情報保護認証により越境移転できる。

・本規定施行前に既に安全評価を申請し又は標準契約を届出ているが, 本規定上これらの手続を行う必要がない場合には, データ処理者は, 元の手続を続行するか, 又は, 所在地省級ネットワーク情報部門に対し申請・届出の撤回を行うことができる。

page top

III.　標準契約ガイドライン第2版の内容

標準契約ガイドライン第2版の内容は, 以下の相違点を除き, 昨年5月30日に公布された「个人信息出境标准合同备案指南(第一版)」(以下「第1版」)と同じである。相違点以外については, 筆者『中国「個人情報越境移転標準契約届出ガイドライン(第1版)」の解説』を参照。

【標準契約ガイドライン第2版の第1版からの変更点】

・適用範囲：標準契約の締結及び届出により越境移転できる場合について, 本規定第8条の内容に沿って書き換えられている。又, 個人情報の越境移転に該当する場合として, 「個人情報保護法第3条第2項[域外適用][18]に該当する境外における境内の自然人の個人情報処理」が追加されている(p.2)。これによれば, 例えば, 日本企業が日本から境内の個人に向けて商品またはサービスを提供する目的又はその個人の行動を分析・評価する目的でその個人の個人情報を処理することは, 個人情報の越境移転に該当することとなり, 本規定上その移転について標準契約等締結等が必要な場合に当たるときには, 同契約の締結及び届出が必要になる。しかし, この場合, 移転元は, その個人ではなく日本企業とみなすのであろうが, 移転元とその移転先は同一の企業であるから, その間で契約を締結するとは如何なる意味なのか, 不明である。

・届出方法：個人情報処理者は, 標準契約の発効日から10業務日内に, データ越境移転届出システム(システムURL：https://sjcj.cac.gov.cn)を通じて届出を行わなければならない。

・標準契約の内容自体に変更はない。

・「別紙5：個人情報保護影響評価報告書(雛形)(越境移転版)」[雛形といっても, 書式の雛形ではなく, 以下の通り, 報告書の記載要領・記載事項リスト]の内容は, 第1版に比べ以下の通り簡略化されている。

別紙5：個人情報保護影響評価報告書(雛形)(越境移転版)   個人情報処理者名：(印) 年 月 日   説　　明: (1)      個人情報処理者は, 個人情報越境移転標準契約を届出する際, 個人情報保護影響評価報告を提出し, かつ提出した評価報告の真実性について責任を負わなければならない。 (2)      報告に記載された評価は本件届出前3ヶ月以内に完成したものでなければならない。 (3)      第三者機関が評価に参加している場合, 評価報告書中に第三者機関の基本状況及び評価参加状況を記載すること。 (4)      評価報告書は雛形に厳格に従い作成すること。(以下, 使用言語, フォント, 用紙形式　- 省略)   I. 越境移転行為全体の状況 (1)     個人情報処理者の基本状況 1       株主構成, 実質支配者, 境内外投資状況, 組織構造及び個人情報保護機構等の情報等を含め, 基本状況を簡単に説明すること。 2       業務全体及び個人情報処理状況。 3       越境移転する個人情報の状況。 (1)      個人情報の収集・使用, 情報システム等, 個人情報の越境移転に関する状況。 (2)      個人情報処理者及び境外受領者が個人情報を処理する目的, 範囲, 方法, その合法性, 正当性, 必要性。 (3)      越境移転する個人情報の規模, 範囲, 種類, 機微度, 機微個人情報の処理状況。 (4)      越境移転する個人情報の境内での保管システムプラットフォーム, データセンター等の状況, 個人情報越境移転経路に関する状況, 個人情報の越境移転後の保管システムプラットフォーム, データセンター等。 (5)      個人情報が越境移転された後の他の境外受領者への(再)移転[の有無・内容] 4       個人情報保護関連法律法規の遵守状況。 (2)     境外受領者の状況 1       境外受領者の基本状況; 2       境外受領者が個人情報を処理する目的, 方法等; 3       境外受領者がその責任・義務を履行する管理的・技術的な措置・能力等。 (3)     個人情報処理者が, 説明が必要と判断するその他の状況   II. 越境移転活動の影響評価状況及び結論 ・標準契約弁法第5条[19]に定める[重点的評価]事項に照らし, 個人情報保護影響評価の状況について説明し, 評価上発見された問題点及び改善状況について重点的に説明すること。 ・影響評価状況及びそれに対する改善状況を総合し, 個人情報越境移転について客観的な影響評価の結論を出し, その結論の理由と論拠を十分に説明すること。

page top

IV.　一般的な日系企業の対応について

現状, 境内の日系企業が日本の親会社等に越境移転するデータは, 多くの場合, 限定された人数の従業員の個人情報のようである。その従業員の個人情報の中に, その改ざん等により, 「[中国の]国家の安全, 経済運営, 社会の安定, 公衆衛生・安全に危害を及ぼすおそれのある」データである重要データが含まれることは少ないであろう。また, 機微個人情報に該当するデータが含まれることも少ないかもしれない。

もしそうだとすれば, 一般の日系企業は, 本規定第5条1項(4)の適用を受けるため, 越境移転するデータに重要データ又は機微個人情報に該当しそうなデータがないこと, 及び, 当年1月1日から累計で境外に提供する個人情報(機微個人情報を含まない)が10万人未満であることを確認し, 又は, 重要データもしくは機微個人情報に該当しそうなデータを越境移転の対象から除外しかつ個人情報(機微個人情報を含まない)の累計越境移転を10万人未満に抑え, 全ての事前手続を不要とすることが考えられる。

もし, 越境移転するデータに重要データに該当しそうなデータはないが, 機微個人情報に該当しそうなデータがある場合又は累計越境移転する個人情報(機微個人情報を含まない)が10万人に達しそうになった場合(但し, 当年1月1日から累計で境外に提供する個人情報(機微個人情報を含まない)は10万人未満かつ機微個人情報は1万人未満であること)には, 本規定第8条1項に従い標準契約の締結及び届出を行うことが考えられる。

page top

以　上

【注】

 

[1] 【「中国個人情報保護法」】(原文) 「中华人民共和国个人信息保护法」. (和訳) Miura & Partners - Norika Yuasa and Yuika Zhao「個人情報保護法和訳」

[2] (参考) 浅井敏雄『9月1日施行の中国「データ越境移転安全評価弁法」の解説』企業法務ナビ, 2022/8/22, PDF

[3] (参考) 浅井敏雄『中国「個人情報越境処理保護認証規範」の解説』企業法務ナビ, 2022/8/22, PDF

[4] (参考) 浅井敏雄『中国「個人情報越境移転標準契約弁法」と同標準契約の解説』2023/5/1, PDF

[5] (参考) 浅井敏雄『中国「個人情報越境移転標準契約届出ガイドライン(第1版)」の解説』2023/6/6, PDF

[6]  【「重要情報インフラ」の定義】「重要情報インフラ」(「关键信息基础设施」)とは, 以下のいずれかであって, 具体的には国務院が定める範囲のものをいう(CSL 31)。(a)公共通信・情報サービス／エネルギー／交通／水利／金融／公共サービス／電子行政サービス等の重要な事業・分野の情報インフラストラクチャー, (b)その他一旦その破壊・機能喪失又はデータ漏えいが発生すれば国の安全保障, 国民の経済・生活又は公共の利益に重大な危害を与えるおそれがある情報インフラストラクチャー。

[7] 【労働規則制度の制定手続】　労働契約法(中华人民共和国劳动合同法)第4条によれば要旨以下の通り。①使用者は, 労働報酬, 勤務時間, 休憩・休暇, 労働安全衛生, 保険福利, 従業員研修, 労働規律及び労働ノルマ管理等に関する労働者の密接な利益に直接関わる規則制度を制定, 改正又は決定する場合, 従業員代表大会又は全従業員との討論を経て, 計画及び意見を提出し, 労働組合又は従業員代表と対等に協議し確定しなければならない。②規則制度の決定過程において, 労働組合又は従業員は, 不適切と認める場合, 使用者に対し提案し, 協議を通じて改正・改善する権利を有する。③使用者は, 労働者の密接な利益に直接関わる規則制を公示又は労働者に告知しなければならない。

[8] 【集団契約の締結手続】　労働契約によれば要旨以下の通り。(第51条1項)企業の従業員及び使用者は, 対等な協議を通じ, 労働報酬, 労働時間, 休憩・休暇, 労働安全衛生, 保険・福利, 保険と福利等の事項について団体契約を締結することができる。労働協約の草案は, 従業員代表大会又は全従業員に提出し討議・採択しなければならない。(第51条2項)集団契約は, 労働組合が企業の従業員側を代表して使用者と締結する。労働組合が設立されていない使用者については, 上級労働組合の指導により, 労働者の推薦する代表が, 使用者と締結する。(54条1項)労働契約は, その締結後, 労働行政部門に提出されなければならず, 労働行政部門が労働契約本文を受領した日から15日以内に異議を述べない場合には, 労働契約は発効する。

[9] 例えば, 以下の資料でもこの「及び」を「又は」の意味に解している。(1) CMS, China - Panpan Tang and Spring Zhu　"Navigating China’s New Data Export Regulations: Companies’ Permissible Omissions and Essential Actions" March 28 2024. - “d) If the outbound transfer of employee’s personal information is necessary for implementing cross-border human resources management under an employment policy legally established or a collective contract legally concluded;” “The most relevant circumstance may be cross-border transfer of employee’s personal information for carrying out human resources management under an employment policy legally established or a collective contract legally concluded.” (2)Baker McKenzie - Zhenyu Ruan, Xi Chen, Chris Jiang and Michael Wang "China: New Rules to Facilitate and Standardize Cross-Border Transfer of Data Outside China" April 1 2024. - “...hence, before CAC provides more clarifications on this, data processors should carefully consider whether export of their employees' personal information (including each relevant data field) is truly needed or necessary for cross-border or global/centralized human resources management and whether their employment policies or collective contracts (if any) have been formulated/concluded in accordance with the China employment laws and have incorporated sufficient wording to justify the application of such Exempted Scenario.”　(3) Bird & Bird LLP - James Gong "What You Need to Know about　CAC’s New Data Export Rules" April 2024, Lexology “Besides, it has still not been clarified whether HR management must be based on both employment rules and policies as well as collective employment contracts at the same time. The CAC apparently uses the same wording in the PIPL for HR management legal bas is for PI processing, but the meaning is still being contested. Most practitioners take the view that the data exporters should be allowed to choose either one as the basis for implementing HR management.”

[10] 【個人情報規範】　発行元：[中国]国家市場監督管理総局(State Administration for Market Regulation：SAMR)・[中国]国家標準化管理委員会(Standardization Administration of China：SAC). (英訳)[中国]国家標準化管理委員会(Standardization Administration of China：SAC)技術委員会260(Technical Committee 260：TC260)“GB/T 35273—2020 Information security technology— Personal information (PI) security specification”

[11] 【自由貿易試験区】　百度百科の自由贸易试验区の説明によれば, 自由貿易試験区(Free Trade Zone, 略称FTZ)とは, 貿易と投資の面でWTOの関連規定よりも優遇された貿易取り決めのことで, 外国貨物の関税のかからない自由な出入国を可能にする。JETRO「国務院, 自由貿易試験区や自由貿易港での規制緩和措置を発表(中国)」2023年07月12日によれば, 『商務部が発行する「中境外商投資ガイド(2022年版)」によると, 中国には[上海を始め]現在21の自由貿易試験区が存在する。

[12]本規定案(六)では, 標準契約の締結を要する場合にはその標準契約を省級ネットワーク情報部門に届出(备案)することとなっていたが, 本規定第8条1項では標準契約の「締結」のみ義務付けられている。しかし, 標準契約弁法第7条第1項では「個人情報処理者は, 標準契約発効日から10営業日以内に, その所在地の省級ネットワーク情報部門に標準契約を届け出なければならない」と定められている。この点については, 前記1で示した本規定第13条「...護認証規範等の関連する規定と本規定の内容が一致しない場合には, 本規定を適用する」の適用はない。従って, 標準契約弁法第7条第1項により, 「個人情報処理者は, 標準契約発効日から10営業日以内に, その所在地の省級ネットワーク情報部門に標準契約を届け出なければならない」。

[13] (PIPL 17(1)) 個人情報処理者は, 個人情報を処理する前に, 本人に対し, 目立つ方法で, 明確かつ理解し易い表現で, 偽りなく, 正確かつ完全に, 以下の事項を通知(告知)しなければならない。

(1) 個人情報処理者の名称又は氏名及び連絡先情報。

(2) 個人情報の処理目的, 処理方法, 処理する個人情報の種類及びその保存期間。

(3) 個人が本法に基づく権利を行使する方法及び手続。

(4) その他法律又は行政法規で定める通知事項。

(PIPL 23) 個人情報処理者は, その処理する個人情報を他の個人情報処理者に提供する場合, 本人に対し, 提供先(接收方)の名称又は氏名・連絡先, 処理目的, 処理方法及び当該個人情報の種類を通知し, かつ, 本人の個別(单独)の同意を得なければならない。

提供先は, 当該個人情報を, 上記の処理目的, 処理方法, 個人情報の種類等の範囲内で処理しなければならない。

提供先は, 元の処理目的又は処理方法を変更する場合, 本法[14条]の規定に従い, 改めて本人の同意を取得しなければならない。

(PIPL 30) 個人情報処理者は, 機微個人情報を処理する場合, 本人に対し, 本法第17条第1項に定める事項[一般の個人情報について要求される通知事項]の他, 機微個人情報を処理することの必要性及び[その処理が]本人の権益に与える影響を通知しなければならない。但し, 本法の規定により本人への通知を要しない場合[法律・行政法規上秘密にすべき場合又は通知を要しない場合：PIPL 18(1)]を除く。

(PIPL 39) 個人情報処理者は, 中国の境外で個人情報を提供する場合, 境外の移転先の氏名又は名称, 連絡先, 処理目的, 処理方法, 個人情報の種類, 並びに, 本人が境外の移転先に対し本法に定められている権利を行使するための方法及び手続等の事項を本人に通知し, かつ, 本人の個別(单独)同意を得なければならない。

[14] (PIPL 13(1)) 個人情報処理者は, 以下のいずれかの場合に限り, 個人情報の処理をすることができる。

(1) 本人の同意を得ている場合。

(2) 本人が当事者となっている契約の締結もしくは履行, 又は, 法に従い定められた労働規則及び法に従い締結された労働協約に基づき行われる人事管理のために必要な場合。

(3) 法定された, [国家機関等の]職責(职责)又は[民間事業者等の]義務の履行のために必要な場合。

(4) 公衆衛生上の緊急事態に対応するため又は緊急事態において自然人の生命, 健康, 財産を保護するために必要な場合。

(5) 公共の利益のためにニュース報道, 世論監督(舆论监督)等を行う場合において合理的範囲内で個人情報を処理するとき。

(6) 本人が公開した個人情報その他適法に公開された個人情報を, 本法に従い, 合理的な範囲内で処理する場合。

(7) その他, 法律・行政規則で定める場合。

(PIPL 13(2)) 本法の他の関連規定において個人情報の処理に当たり本人の同意を得なければならないとされているが, 前項の第2号から第7号までに定める事由に該当する場合には, 本人の同意を得ることを要しない。

- 従って, PIPL 13(1)の第2号及び第4号の事由に該当する, 本規定第5条第1項第1号～第3号(越境購入等・越境人事管理・緊急下での移転)については個人の個別同意は不要。

[15] (PIPL 55) 個人情報処理者は, 以下のいずれかの処理を行う場合, 事前に, 個人情報保護影響評価を行い, かつ, 当該処理の状況を記録しなければならない。

(1) 機微個人情報を処理する場合

(2) 自動意思決定のための個人情報の利用。

(3) 個人情報の処理の委託, その他個人情報処理者への提供, 個人情報の公開

(4) 個人情報を国外に提供すること。

(5) その他, 個人権益に重大な影響を与える個人情報の処理行為。

[16] (PIPL 9) 個人情報処理者は, その個人情報処理行為(活动)に責任を負い, かつ, その処理する個人情報の安全を保障するために必要な措置を講じなければならない。

(PIPL 51) 個人情報処理者は, 個人情報の処理の目的, 処理方法, 個人情報の種類, 本人の権益への影響, あり得る安全(セキュリティ)リスク等に応じ, 個人情報の処理が法律及び行政法規の規定を遵守して行われ, かつ, 個人情報への無権限アクセス, 漏えい, 窃取, 改ざん, 紛失・消失等を防止できるようにするため, 以下の措置を講じなければならない。

(1) 内部(社内)管理体制を確立し[個人情報の]取扱い(操作)規程を定めること。

(2) 個人情報の分類管理を実施すること。

(3) 暗号化, 非識別化等, 相応の(相应的)技術的安全措置を講じること。

(4) [従業員による]個人情報の処理権限を合理的に確定し, かつ, 従業員に対し定期的に安全教育・訓練を行うこと。

(5) 個人情報の安全に関する事故(原文「安全事件」。セキュリティンシデント)に関する緊急対応計画の策定及びその実施

(6) その他, 法律又は行政法規で定める措置

[17] (PIPL 57(1)) 個人情報処理者は, 個人情報の漏えい・改ざん・紛失消失が生じ又はそのおそれがある場合, 直ちに(立即), これに対する是正措置を講じるとともに, 個人情報保護職責履行部門及び本人にこれを報告・通知しなければならない。 この報告・通知には, 以下の事項を含めなければならない。

(1) 漏えい, 改ざん, 紛失消失が生じ又はそのおそれがある個人情報の種類, 原因及び生じ得る危害。

(2) 個人情報処理者が講じた是正措置及び本人が被害軽減のために講じ得る措置。

個人情報処理者への連絡方法。

[18] 【個人情報保護法第3条第2項】 本法は, 中国境外(本土外)(中华人民共和国境外)における, 中国境内にいる個人の個人情報の処理が以下のいずれかの場合に該当するときにも適用される。

(1) [その処理目的が]中国境内の個人に向けて商品又はサービスを提供する目的である場合

(2) [その処理目的が]中国境内の個人の行動を分析・評価する目的である場合

(3) 法律又は行政法規で定めるその他の場合

[19] 【標準契約弁法5条】　個人情報処理者は, 越境移転前に, 以下の事項に重点を置いて当該評価を行わなければならない。

(1) 個人情報処理者及び境外受領者が個人情報を処理する目的, 範囲及び方法の適法性, 正当性及び必要性；

(2) 越境移転する個人情報の規模, 範囲, 種類及び機微度並びに個人情報の越境移転により生じる[個人の]個人情報に係る権利利益に対するリスク；

(3) 境外受領者が負う義務, 及び, その義務を履行するための管理・技術的措置及び能力が, 越境移転する個人情報の安全を確保できるものであるか否か。

(4) 越境移転後における個人情報の改ざん, 毀損, 漏洩, 消失, 不正使用等のリスク, [個人の]個人情報に係る権利利益を保護するための手段の確保；

(5) 境外受領者の所在する国又は地域における個人情報保護政策及び法規が標準契約の履行に及ぼす影響。

(6) その他, 越境移転する個人情報の安全に影響を及ぼす可能性のある事項。