中国のデータの越境移転に関し、中国域内のデータ取扱者は、重要データ及び個人情報を域外に移転するためには、データ越境移転安全評価への合格、個人情報越境移転標準契約の締結、又は個人情報認証の取得を経なければならない。2022年9月1日には「データ越境移転安全評価弁法」(以下、「評価弁法」という)、2023 年6月1日には「個人情報越境移転標準契約弁法」(以下、「標準契約弁法」という)がそれぞれ施行された。本稿では、上記法令の要点及び安全評価及び標準契約締結に際して日系企業が留意すべき要点について解説するものとする。
Ⅰ.データ越境移転の安全評価
1.安全評価のトリガー条件
「評価弁法」4条1項は、国家ネットワーク情報弁公室による安全評価の申請が必要となるトリガー条件を定めている。以下、各条件への該当性判定時の要点について検討する。
(1)データ取扱者が「重要データ」を移転し、又は「重要情報インフラ(以下、「CII」という)運営者」が個人情報を移転する場合
重要データの該当性判断について、重要データの定義は「評価弁法」19条に定められているが、その該当性判断基準に関しては、当局による各地区、部門及び関連する業種、分野における重要データの具体的なリストの公布が待たれる。現時点では、自動車、金融、医療等の分野において重要データのリスト又は判断基準が定められているが、多くの業種と分野の主管部門は、このようなリストを公布していない。このため、重要データへの該当性は、やはり企業の業種やデータの内容、数量、漏洩又は改竄、損害の結果などに基づき個別に分析、判断する必要があり、情報セキュリティ技術、法務等の分野の外部専門家に協力を求めることが推奨される。また、CIIの該当性判断について、「重要情報インフラ安全保護条例」8条、9条及び10条においてCIIの定義が定められているが、各重要産業の主管部門は、当該業種のCIIの識別ガイドラインとリストを制定し、公開しているほか、重要情報インフラへの該否判断の結果を各CII運営者に通知するものとされている。しかし、その具体的規則や該当企業のリストは現時点で公布されていない。したがって、これらの重要な業種・分野の企業は、CII運営者への該否判断に注意すべきであるが、現在の実務上、各業種の主管部門からの通知の有無と自己査定とを組み合わせて行われている。
(2)100万人分以上の個人情報を取り扱うデータ取扱者が個人情報の域外提供を行う場合
この場合、域外提供の個人情報の数量を問わず、事前に安全評価に合格しなければならない。
(3)前年の1月1日から累計して10万人分の個人情報を域外に提供し、又は1万人分の機微な個人情報を域外に提供したデータ取扱者が域外に個人情報を提供する場合
一定規模の個人情報を取り扱う企業(特に多国籍企業)は、個人情報を域外へ移転する業務を行う場合、この要件に該当しないか十分に注意することが求められる。また、安全評価の結果の有効期間は2年とされているため、越境移転した個人情報又は機微な個人情報の数量や規模、事業ごとの移転数量と規模、移転目的・方法などの変化の有無、移転先の環境や域外受領者の変更等のチェックが2年ごとに必要となる。
2.申請者の選択
実務上、中国に複数の子会社が存在し、各子会社のデータ越境移転業務の内容、情報システムが同様で、相互にデータ共有をしているときは、子会社ごとではなく、中国統括会社が一括で安全評価の申請を行いうる場合がある。その際の申請書には、申請者と子会社との関係、データ共有の状況、当該データ移転に関する業務の具体的状況などを十分に説明する必要がある。
Ⅱ.標準契約の締結
1.標準契約の適用要件
個人情報取扱者が標準契約締結の方法で域外に個人情報を提供する場合、「標準契約弁法」4条1項に定める4つの要件を同時に満たさなければならない。留意すべき点として、標準契約は、安全評価のトリガー条件に該当しない個人情報越境移転を行うための方法となりうるが、充足されない要件が1つでもあるときは、安全評価を申請しなければならない。もっとも、企業のビジネスモデルには変更の可能性があり、「標準契約弁法」に定める要件を充足していても、その後の業務状況によっては安全評価を行わざるをえない事態も考えられ、企業は、個人情報越境移転の状況を常に点検しなければならない点に注意を要する。
2.数量分割等の手段の禁止
「標準契約弁法」によれば、個人情報取扱者は、数量分割等の手段を用いて、法に従い安全評価に合格しなければならない個人情報を、標準契約締結の方法により域外に提供してはならない。この「数量分割」については、主に、取り扱う個人情報の数量が100万、10万及び1万に達する場合に、これらのデータを分割して域外へ移転することをいい、例えば複数の会社にデータを分けて各社が移転を行い、あるいは本来一つの業務において移転を行うところ、その業務を細分化して関連するデータを分散させるなど、人為的にデータを分割して移転する場合である。
3.標準契約の締結・履行における注意点
(1)標準契約の内容変更の可否
標準契約雛型の文言を個人情報取扱者において修正することはできないが、契約本文ではなく、標準契約別紙2の「その他双方が合意した条項」において付加条件を定めることができる。
(2)個別同意の範囲の明確化
「標準契約弁法」は、個人情報取扱者の義務及び域外受領者の再移転の義務において「個人情報主体による個別同意」の要求を定める。個別同意の取得方法について、実務上、多くの企業は、域外受領者への越境移転を事後に行うことが想定されている場合、最初の個人情報の収集時に当該個人情報主体に対して事後の越境移転についても告知し、同意を得ることで対応している。
(3)標準契約当事者の主要な義務と責任
標準契約は、域外受領者により厳格な個人情報保護義務が課されており、その違反については個人情報取扱者・域外受領者が民事責任を負うものとしているが、具体的な責任者、責任負担の比率は双方の合意に委ねられている部分が大きい。双方においては、標準契約の締結にあたり、データ取扱いにおける双方の役割と法的関係を別紙2「その他双方が合意した条項」に明確に定め、責任負担に関する規定を整理し、個人の権利・利益が害され場合の責任分担を可能な限り明確化し紛争を避けることが望まれる。
4.標準契約の届出の必要な前置手続としての個人情報保護影響評価(PIA)
届出時の要提出文書のうち最も準備に手間取るのがPIA報告書である。公布されたPIA報告書(越境移転版)の雛型によると、PIA報告書においては、個人情報主体の権利・利益に対する影響の評価が重視され、機微な個人情報の取扱い及び個人情報の利用に対して自動的意思決定を行った状況に関する説明、第三者に対する個人情報提供の有無に関する説明が求められている。
Ⅲ.データ越境移転に関する企業への助言
中国域内の日系企業がデータの越境移転を行うプロセスにおいては、次の点に注意することが求められる。①データ越境移転のシナリオ、越境移転の必要性、移転を行う主体、域外受領者をまず正確に確定すること。②越境移転のシナリオにおいては、安全評価のトリガー条件充足の有無を確認しなければならないため、「評価弁法」が定める4つの要件を踏まえ、越境移転に係る業種、事業形態、データの性質や量等を正確に把握して慎重に判断すること。③なるべく早く着手し、安全評価又は標準契約の準備から合格/届出まで十分な時間が確保されるスケジュールを組み、実際の業務進行への影響を生じさせないこと。このほか、実務においては、国外移転先の関係者に対する説明に資するという観点から、中国からのデータ越境移転は、中国の法令や実務に通じた外部専門家を起用し、社内法務、コンプライアンスチーム等と緊密に連携して進めていくことがより効率的かつ効果的である。