インサイト,

中国のデータ越境移転の安全評価と標準契約締結における要点

中国 | 日本
Current site :    中国   |   日本
オーストラリア
中国
中国香港特別行政区
日本
シンガポール
米国
グローバル

中国のデータの越境移転に関し、中国域内のデータ取扱者は、重要データ及び個人情報を域外に移転するためには、データ越境移転安全評価への合格、個人情報越境移転標準契約の締結、又は個人情報認証の取得を経なければならない。2022年9月1日には「データ越境移転安全評価弁法」(以下、「評価弁法」という)、2023 年6月1日には「個人情報越境移転標準契約弁法」(以下、「標準契約弁法」という)がそれぞれ施行された。本稿では、上記法令の要点及び安全評価及び標準契約締結に際して日系企業が留意すべき要点について解説するものとする。

Ⅰ.データ越境移転の安全評価

1.安全評価のトリガー条件

 「評価弁法」4条1項は、国家ネットワーク情報弁公室による安全評価の申請が必要となるトリガー条件を定めている。以下、各条件への該当性判定時の要点について検討する。

(1)データ取扱者が「重要データ」を移転し、又は「重要情報インフラ(以下、「CII」という)運営者」が個人情報を移転する場合

 重要データの該当性判断について、重要データの定義は「評価弁法」19条に定められているが、その該当性判断基準に関しては、当局による各地区、部門及び関連する業種、分野における重要データの具体的なリストの公布が待たれる。現時点では、自動車、金融、医療等の分野において重要データのリスト又は判断基準が定められているが、多くの業種と分野の主管部門は、このようなリストを公布していない。このため、重要データへの該当性は、やはり企業の業種やデータの内容、数量、漏洩又は改竄、損害の結果などに基づき個別に分析、判断する必要があり、情報セキュリティ技術、法務等の分野の外部専門家に協力を求めることが推奨される。また、CIIの該当性判断について、「重要情報インフラ安全保護条例」8条、9条及び10条においてCIIの定義が定められているが、各重要産業の主管部門は、当該業種のCIIの識別ガイドラインとリストを制定し、公開しているほか、重要情報インフラへの該否判断の結果を各CII運営者に通知するものとされている。しかし、その具体的規則や該当企業のリストは現時点で公布されていない。したがって、これらの重要な業種・分野の企業は、CII運営者への該否判断に注意すべきであるが、現在の実務上、各業種の主管部門からの通知の有無と自己査定とを組み合わせて行われている。

(2)100万人分以上の個人情報を取り扱うデータ取扱者が個人情報の域外提供を行う場合

 この場合、域外提供の個人情報の数量を問わず、事前に安全評価に合格しなければならない。

(3)前年の1月1日から累計して10万人分の個人情報を域外に提供し、又は1万人分の機微な個人情報を域外に提供したデータ取扱者が域外に個人情報を提供する場合

 一定規模の個人情報を取り扱う企業(特に多国籍企業)は、個人情報を域外へ移転する業務を行う場合、この要件に該当しないか十分に注意することが求められる。また、安全評価の結果の有効期間は2年とされているため、越境移転した個人情報又は機微な個人情報の数量や規模、事業ごとの移転数量と規模、移転目的・方法などの変化の有無、移転先の環境や域外受領者の変更等のチェックが2年ごとに必要となる。

2.申請者の選択

 実務上、中国に複数の子会社が存在し、各子会社のデータ越境移転業務の内容、情報システムが同様で、相互にデータ共有をしているときは、子会社ごとではなく、中国統括会社が一括で安全評価の申請を行いうる場合がある。その際の申請書には、申請者と子会社との関係、データ共有の状況、当該データ移転に関する業務の具体的状況などを十分に説明する必要がある。

Ⅱ.標準契約の締結

1.標準契約の適用要件

 個人情報取扱者が標準契約締結の方法で域外に個人情報を提供する場合、「標準契約弁法」4条1項に定める4つの要件を同時に満たさなければならない。留意すべき点として、標準契約は、安全評価のトリガー条件に該当しない個人情報越境移転を行うための方法となりうるが、充足されない要件が1つでもあるときは、安全評価を申請しなければならない。もっとも、企業のビジネスモデルには変更の可能性があり、「標準契約弁法」に定める要件を充足していても、その後の業務状況によっては安全評価を行わざるをえない事態も考えられ、企業は、個人情報越境移転の状況を常に点検しなければならない点に注意を要する。

2.数量分割等の手段の禁止

 「標準契約弁法」によれば、個人情報取扱者は、数量分割等の手段を用いて、法に従い安全評価に合格しなければならない個人情報を、標準契約締結の方法により域外に提供してはならない。この「数量分割」については、主に、取り扱う個人情報の数量が100万、10万及び1万に達する場合に、これらのデータを分割して域外へ移転することをいい、例えば複数の会社にデータを分けて各社が移転を行い、あるいは本来一つの業務において移転を行うところ、その業務を細分化して関連するデータを分散させるなど、人為的にデータを分割して移転する場合である。

3.標準契約の締結・履行における注意点

(1)標準契約の内容変更の可否

 標準契約雛型の文言を個人情報取扱者において修正することはできないが、契約本文ではなく、標準契約別紙2の「その他双方が合意した条項」において付加条件を定めることができる。

(2)個別同意の範囲の明確化

 「標準契約弁法」は、個人情報取扱者の義務及び域外受領者の再移転の義務において「個人情報主体による個別同意」の要求を定める。個別同意の取得方法について、実務上、多くの企業は、域外受領者への越境移転を事後に行うことが想定されている場合、最初の個人情報の収集時に当該個人情報主体に対して事後の越境移転についても告知し、同意を得ることで対応している。

(3)標準契約当事者の主要な義務と責任

 標準契約は、域外受領者により厳格な個人情報保護義務が課されており、その違反については個人情報取扱者・域外受領者が民事責任を負うものとしているが、具体的な責任者、責任負担の比率は双方の合意に委ねられている部分が大きい。双方においては、標準契約の締結にあたり、データ取扱いにおける双方の役割と法的関係を別紙2「その他双方が合意した条項」に明確に定め、責任負担に関する規定を整理し、個人の権利・利益が害され場合の責任分担を可能な限り明確化し紛争を避けることが望まれる。

4.標準契約の届出の必要な前置手続としての個人情報保護影響評価(PIA)

 届出時の要提出文書のうち最も準備に手間取るのがPIA報告書である。公布されたPIA報告書(越境移転版)の雛型によると、PIA報告書においては、個人情報主体の権利・利益に対する影響の評価が重視され、機微な個人情報の取扱い及び個人情報の利用に対して自動的意思決定を行った状況に関する説明、第三者に対する個人情報提供の有無に関する説明が求められている。

Ⅲ.データ越境移転に関する企業への助言

 中国域内の日系企業がデータの越境移転を行うプロセスにおいては、次の点に注意することが求められる。①データ越境移転のシナリオ、越境移転の必要性、移転を行う主体、域外受領者をまず正確に確定すること。②越境移転のシナリオにおいては、安全評価のトリガー条件充足の有無を確認しなければならないため、「評価弁法」が定める4つの要件を踏まえ、越境移転に係る業種、事業形態、データの性質や量等を正確に把握して慎重に判断すること。③なるべく早く着手し、安全評価又は標準契約の準備から合格/届出まで十分な時間が確保されるスケジュールを組み、実際の業務進行への影響を生じさせないこと。このほか、実務においては、国外移転先の関係者に対する説明に資するという観点から、中国からのデータ越境移転は、中国の法令や実務に通じた外部専門家を起用し、社内法務、コンプライアンスチーム等と緊密に連携して進めていくことがより効率的かつ効果的である。

お知らせ
インサイト
「両用品目輸出管理条例」(以下、「条例」という)が、国務院第41回常務委員会会議における可決(2024年9月18日)を経て2024年10月19日に公布され、同年12月1日から施行される予定である。この「条例」は、輸出管理法を更に徹底するものであり、発展と安全の総合的な均衡を図り、両用品目輸出管理における従来の実務の総括と国際的な経験に基づいて輸出管理の措置を整備し、国の安全と利益の維持のために制度的な支柱と法治による保障を与えることをその目的としている。本稿においては、全6章50条からなる「条例」の要点を解説し、企業の実務運用上の参考を提供するものとしたい。輸出管理・制裁,日本業務

2024/12/03

インサイト
中国広告法は、1995年2月1日の施行以来、これまで計3回にわたり改正が行われた。公開情報によると、広告法違反による処罰件数は2022年及び2023年のいずれも約2.5万件に達し、日系企業が対象となった事例も見受けられる。処罰されると、過料の金銭的負担のみならず、大々的な報道によるレピュテーション(評判)への影響も懸念される。本稿では、中国における広告宣伝が持つ独特の注意点や、中国で事業展開する外資系企業が遭遇しやすい広告法上の問題や注意点について論ずるものとしたい。

2024/08/19

インサイト
近年、コロナ禍とマクロ経済の影響を受けて中国経済の低迷が続く中、多くの企業が市場需要の縮小、コストの上昇、サプライチェーンの阻害という苦境と直面している。コーポレート・M&A-日本業務

2024/05/20