一、はじめに
2022年以降、中国は「データ越境移転安全評価弁法」、「個人情報越境移転標準契約弁法」、「個人情報保護認証実施規則」を相次いで制定し、データ越境移転安全評価、標準契約の締結・届出及び個人情報保護認証を中心とするデータ越境移転の枠組みを徐々に構築している。データ越境移転実務の深化に伴い、国及び地方のインターネット情報部門は、各業種のデータ越境移転活動のリスクに対する理解も深まっている。これに基づき、国家インターネット情報弁公室は2024年3月22日に「データ越境移転の促進及び規範化に関する規定」(以下「新規定」ともいう。)の制定及び公布を行い、中国のデータ越境移転の規制体系をより一層整備するとともに、データ越境移転の各種類型についてより明確な判断基準及び運用指針を提供している。
二、新規定適用下におけるデータ越境移転規制体系
(一) データ越境移転の規制体系におけるいくつかの免除状況
「データ越境移転の促進及び規範化に関する規定」は、データ越境移転安全評価の申告、個人情報越境移転標準契約の締結、個人情報保護認証の取得という3つの事前手続の免除事由について、主に次のいくつかの類型を定めている。
1. 通常的越境移転シナリオに対する免除
「データ越境移転の促進及び規範化に関する規定」5条は、実務におけるデータ越境移転が頻繁に行われている3つの状況(「通常的越境移転シナリオ」)を列挙している。主管当局は、実務上、多国籍企業の日常管理や国際貿易等の状況下における個人情報越境移転の必要性と頻繁さを考慮し、このような通常的越境移転シナリオに対する規制を緩和し、これにより、企業のコンプライアンス負担を大幅に軽減している。
そのうち、5条1項(2)号は、多国籍企業による越境人事管理の目的で従業員の個人情報の越境移転につき、免除規定を設けている。多国籍企業は、グローバルで人的資源を一元的に管理するというような要求や特徴を有することが多いため、従業員個人情報の越境移転が避けられない状況にある。それゆえ、「越境人事管理を行うため、確かに国外に従業員の個人情報を提供する必要がある」という免除規定への適用可否については、多国籍企業の大きな関心と議論を集めてきている。
意見募集稿との比較において、新規定の正式な条項は、同号の適用範囲を「内部従業員」から「従業員」へと拡大した。これに基づき、越境移転の対象となる個人が実習生、派遣労働者等の非正規従業員である場合、これら非正規従業員に対しても勤怠管理において同様の欠勤記録の措置を講ずるなど、正社員と同様に管理している企業は、かかる非正規従業員の個人情報を中国国外に移転するにあたり、同条の規定の適用をもって事前手続の免除を主張することが可能となる。
また、新規定5条1項(2)号は、個人情報保護法13条1項(2)号の表現を参考にして、当該免除事由の適用要件を、「法に基づいて制定された労働規則や法に基づいて締結された集団契約」に従って「越境人事管理」を行うため、「確かに国外に従業員の個人情報を提供する必要がある」ことに限定している。これら適用要件について、主管当局による実施細則やガイドライン等がまだ公布されておらず、従来法曹界において下記のポイントを含み、様々な検討が見受けられているものの、統一的な意見が形成されないため、今後の実務的な判断の蓄積が待たれている。
- 労働規則と集団契約両方とも依拠しなければならないか
- 労働規則/集団契約以外の社内規則等に基づくことができないか
- 労働規則/集団契約において従業員個人情報の越境移転に関する記載を盛り込む必要があるか、必要な場合、どの程度の記載でよいか
- 「越境人事管理を行うため必要である」ことにおける必要性の程度をどこまで把握すればよいか
他方で、前出の必要性に関する要件は、事前手続の免除事由に該当するか否かを問わず、個人情報保護法において明確に要求されたものであり、実務上主管当局より注目されている重要なポイントの1つである。標準契約の締結と届出が必要な場合、越境移転の必要性は当局より判断されるのに対し、届出が不要となって社内でPIA報告書を保存する場合、企業自らの責任で必要性の検討と判断を行うこととなる。それにもかかわらず、今後、当局による立入検査の際に、越境移転の必要性が足りないことが発見されたら、問題視されるリスクが存在している。そのため、企業において、社内で又は外部弁護士等の協力下で、個人情報越境移転の必要性についてきちんと説明できるように整理し、法的義務の履行の証拠としてPIA報告書等において記録しておくことが提案される。
2. データ越境移転の数量による免除
新規定は、データ越境移転の数量による事前手続の免除基準を定めており、すなわち、「重要情報インフラ運営者(CIIO)ではないデータ取扱者が当年の1月1日から国外に提供した個人情報(機微個人情報を含まない)が累計で10万人分未満であること」とした。
また、新規定は、データ越境移転安全評価の免除基準(個人情報越境移転標準契約の締結又は個人情報保護認証の取得が必要)についても、更なる改善と調整を行い、すなわち、「CIIOではないデータ取扱者が当年の1月1日から累計で10万人分以上100万人分未満の個人情報(機微個人情報を含まない)、又は1万人未満の機微個人情報を国外に提供すること」とした。
ご留意いただきたい点は、機微個人情報に関して、従来の「データ越境移転安全評価弁法」「個人情報越境移転標準契約弁法」の旨を踏襲しており、事前手続の免除基準が設けられていない。すなわち、データ越境移転新規定5条1項に定める通常的越境移転シナリオに対する免除事由に該当しない限り、当年1年間に国外に提供される機微個人情報が1万人分未満(極端的に言えれば1個でも)である場合には、標準契約の締結又は個人情報保護認証の取得が必要とされ、1万人分以上である場合には、データ越境移転安全評価の申告が必要とされている。
なお、新規定は、意見募集稿の段階において不明である、「データ越境移転の数量による免除」と「通常的越境移転シナリオに対する免除」の適用順位を明らかにした。新規定によると、「データ越境移転の数量による免除」の適用を判断する際に、「通常的越境移転シナリオに対する免除」その他データ越境移転事前手続の免除事由に該当するとき、かかる事前手続の免除に関する規定が先に適用される。
3. 国外収集データの越境移転
新規定4条は、中国国外で収集した個人情報の越境移転に関する免除を明らかにした。具体的には、データ取扱者が国外で収集・生成された個人情報を国内に伝送して処理した後に国外に提供する場合、その処理の過程において国内の個人情報又は重要データを導入されないとき、事前手続が免除される。
しかし、注意すべき点として、新規定4条は、国外収集データの越境移転に関する事前手続の免除を定めているものの、通常なデータ越境移転と同じように、その他の法律上の義務(告知や同意の取得など)を履行する必要があるかどうかについては、まだ明確ではないと思われる。この点に関して、今後の立法活動と実務における動向を引き続き注視する必要がある。
4. 自由貿易区の「ネガティブリスト」外のデータ
新規定6条によると、国家データ分類分級保護制度の枠組みの下で、自由貿易試験区(以下「自由貿易区」という。)は、区内でデータ越境移転安全評価、個人情報越境移転標準契約、個人情報保護認証の管理範囲に組み込む必要があるデータリスト(以下「ネガティブリスト」という。)を自ら制定し、省級インターネット安全情報化委員会の承認を得た後、国家インターネット情報部門、国家データ管理部門に届け出ることができる。自由貿易区内のデータ取扱者がネガティブリスト外のデータを国外に提供する場合、事前手続を免除することができる。
現在、上海自由貿易区の臨港新エリアは、ICV車両遠隔診断、公募基金市場投資研究情報、グローバル企業グループ管理、生物医薬臨床試験及び研究開発等20のシナリオにおける越境移転の分級分類に関する最初のリスト目録を既に基本的に作成し、論証の完了後、近く対外的に公表するとのことである。
注意すべき点は、これまでの意見募集稿と比べると、最終的に公布された新規定は、自由貿易区のネガティブリストが、国家データ分類分級保護制度の枠組みの下で展開する必要のあることを明確にした。それゆえ、関連する地域、部門により重要データ目録に盛り込まれるデータは、自由貿易区のネガティブリスト制度による事前手続の免除の主張が依然としてできないと解される。
(二)依然として規制対象となるデータ越境移転
1. 特定のデータ取扱者:CIIO
新規定7条は、CIIOが国外に個人情報又は重要データを提供する状況下において安全評価の申告が必要である、という従来の要求を維持している。
しかし、注目すべき点として、新規定の公布前に、CIIOに適用される事前手続の免除事由についていかなる規定も見当たらなかった。その一方、新規定7条但書によると、新規定3~6条に定める免除の状況に該当する場合には、それらの規定に従うものとされている。すなわち、i.個人情報又は重要データ以外の一般的なデータの越境移転、ii.国外収集データの越境移転、iii.通常的越境移転に対する免除が適用される場合、iv.自由貿易区の「ネガティブリスト」外データの越境移転等の状況が存するときは、安全評価の申告が免除されることになる。
2. 特定のデータ類型:重要データ
新規定7条も、データ取扱者が国外に重要データを提供する状況下において安全評価の申告が必要である、という従来の要求を維持している。他方で、新規定2条は、関係部門、地域により重要データとして告知又は公開、公布されていない場合、データ取扱者において、重要データとしてデータ越境移転安全評価の申告を行う必要がないことを明確に定めている。
重要データの識別について、「データ安全法」は、国がデータ分類分級保護制度を確立し、重要データ目録を策定し、重要データの保護を強化するものとし、また、各地区、各部門においてはデータ分類分級保護制度に基づいて、当該地区、当該部門及び関連業界、分野の重要データの具体的な目録を確定し、目録に掲げられたデータを重点的に保護しなければならないと定めている。しかし、現時点において、すでに重要データの目録を公表している業界(例えば自動車分野)は極めて少なく、各業界、分野の重要データの目録はまだ策定の過程にある。そのため、実務上、企業は自社が重要データ取扱者に該当するか否かについて判断しにくいことがこれまでの状況であった。新規定2条により、企業による安全評価の申告要否の判断が容易となった。
三、データ越境移転に関する当局の監督管理姿勢の変化
新規定では、当局による監督管理体制が、従来の「事前の監督管理」から、事前・事中・事後の各段階についてバランスのとれた監督管理とする方針への転換が窺える。これまでの事前手続の緩和に伴い、今後当局による日常的な監督管理や法執行強化の可能性が高まるものと予想される。
具体的には、新規定に定める事前手続の免除事由に該当するとしても、個人情報保護法等に定める法的義務(個人情報越境移転に係る個人情報主体の同意取得や影響評価の実施など)を履行していない場合、当局による事中又は事後の検査によりこれらが発見されたとき、行政処罰を受ける可能性を否定できない。
四、申告・届出ガイドライン(第二版)の新たな変化
国家インターネット情報弁公室が新規定と同日に公布した「データ越境移転安全評価申告ガイドライン(第二版)」(以下「申告ガイドライン(第二版)」という。)及び「個人情報越境移転標準契約届出ガイドライン(第二版)」(以下「届出ガイドライン(第二版)」という。)も、データ越境移転安全評価の申告と個人情報越境移転標準契約の届出作業について、以下のように、若干の実務上のポイントをより明確化している。
- 申告プロセス:CIIO及びオンライン申告に適さない場合を除いて、今後、データ越境移転安全評価の申告と個人情報越境移転標準契約の届出作業は、いずれもデータ越境移転申告システム(https://sjcj.cac.gov.cn)を通じて行う必要がある。これにより、企業による申告・届出の作業を著しく簡便化した。
- 国外直接収集:申告ガイドライン(第二版)及び届出ガイドライン(第二版)は、「個人情報保護法3条2項の状況に該当し、国外において国内自然人の個人情報を取り扱う」ことをデータ越境移転の範疇に含め、従来の実務上においてよく議論されている、「中国国外で直接に個人からその個人情報を収集することがデータ越境移転に該当するか否か」という問題について回答を示した。
注意すべき点は、個人情報保護法3条2項に定める国外の個人情報取扱者が、個人情報取扱者にも該当するし、国外受領者でもあるということである。この場合、国外の個人情報取扱者にとって、標準契約を誰と、どのように締結するか、個人情報保護法53条に基づいて設立された専門機関又は指定された代表者に事前手続を代行させることが可能か否かなど、一連の問題と直面する可能性がある。主管当局が今後の実務運用の過程でこれらの不明点を明らかにすることが期待される。
- PIA報告書の変更:申告ガイドライン(第二版)及び届出ガイドライン(第二版)は、リスク自己評価報告書や個人情報保護影響評価(PIA)報告書に記載すべき内容についても一定の調整と簡略化を行った。例えば、安全評価の申告と標準契約の届出のいずれのプロセスにおいても、関連ガイドラインは、国外受領者の所在する国又は地域のデータ安全/個人情報保護に関する政策・法令について評価を行うことを不要とした。また、届出ガイドライン(第二版)によると、従来は詳細な説明が必要とされていた「個人情報取扱者の個人情報保護能力の状況」についても、そのほとんどの内容が記載不要となった。
五、おわりに
新規定は、幾つかの事前手続の免除事由を定めることによって、一般企業のデータ越境移転に関するコンプライアンス負担を大幅に軽減している。
また、企業においては、新規定により、事前手続の免除事由に該当するとしても、個人情報保護法等に定める法的義務(個人情報越境移転に係る個人情報主体の同意取得や影響評価の実施など)を引き続き履行する必要がある点に留意されたい。個人情報の越境移転について、安全評価申告やSCC締結・届出の要否を問わず、適法性・正当性・必要性の要件を満たすためのコンプライアンス措置を積極的に講じ、越境移転される個人情報の安全性を確保するための体制を整えることが推奨される。