概要

中国国家インターネット情報弁公室（以下「CAC」という）は2024年3月22日に「データ越境流動の促進と規範化についての規定」（以下「データ越境新規定」という）を発布し、且つ関係文書「データ越境移転安全評価申告ガイドライン（第2版）」、「個人情報越境移転標準契約届出ガイドライン（第2版）」を発布するなど、これまでのデータ越境移転に関する監督管理措置を順次調整した。本文は、データ越境新規定において外資系企業が注意すべきポイントを考察することを目的としている。

本文

中国の「個人情報保護法」の規定によると、企業が国外に個人情報を提供する場合、法に依拠し、データ越境移転安全評価、個人情報越境移転標準契約の締結、又は個人情報保護認証などのデータ越境移転申告手続き（以下「申告手続き」という）を完成させなければならない。前述の法的要求を着実に実施するために、CACは「データ越境移転安全評価弁法」、「個人情報越境移転標準契約弁法」を発布し、且つ国家市場監督管理総局と連携して「個人情報保護認証の実施に関する公告」を発布し、多くの外資系企業もこれらの規定に基づき、関連申告手続きの実施に着手した。その過程で、CACは実際の作業において見つかった問題点を踏まえ、データ越境移転の条件を適切に緩和し、国のデータセキュリティを保障する前提のもと、データ越境移転を便利にし、企業のコンプライアンスコストを抑えることを決定し、且つデータ越境新規定を発布した。

そこで、筆者は実務経験を踏まえ、外資系企業が注意すべきポイントを考察する。なお、多くの外資系企業は重要情報インフラ運営者には該当しないことを考慮し、本文ではデータ取扱者である企業は重要情報インフラ運営者に該当しないという前提に基づき分析を行う。

一、申告手続きが免除される状況

データ越境新規定第5条の規定によると、データ取扱者である企業が重要なデータを含まない個人情報を国外に提供する場合、以下のいずれかの条件を満たすときは、申告手続きが免除される。

1. 越境EC、越境デリバリー、海外送金、越境決済、越境口座開設、航空券・ホテルの予約、ビザの申請、検定試験サービスなど、個人が一方の当事者となって契約を締結し、履行するうえで、国外に個人情報を提供しなければならないとき。
2. 法に依拠して制定された労働規則制度、及び法に依拠して締結された労働協約に基づき人的資源管理を実施するうえで、国外に従業員の個人情報を提供しなければならないとき。
3. 緊急時において自然人の生命の健康と財産の安全等を守るために、国外に個人情報を提供しなければならないとき。
4. データ取扱者が当該年度の1月1日から国外に提供する個人情報（機微な個人情報を含まない）が累計10万人未満であるとき。

企業の立場から見て、国外に重要データを提供しないという前提の下で、申告手続きが免除されるかどうかを判断するには、まず上記4つ目の条件に照らし、企業が当該年度に国外に提供した個人情報の累計数と種類を確認しなければならない。もしも企業が当該年度において国外に提供した個人情報が累計10万人未満であり、且つ機微な個人情報が含まれていないならば、申告手続きを完成させる必要はない。企業が当該年度に国外に提供した個人情報が10万人以上であり、機微な個人情報がいくらかでも含まれていると[i]、1つ目、2つ目、又は3つ目の条件を満たしている場合にのみ、申告手続きを完成させなくてよい、ということになる。

二、人的資源データの越境移転の際に注意すべきポイント

大多数の外資系企業は、人的資源データを国外本部に提供しなければならないという現実的なニーズがあり、データ越境新規定では、これを理由に申告手続きが免除される状況についても定めている。ただし、すべての人的資源データの越境移転行為がいずれも免除される範囲にあるわけではないということに注意が必要である。

データ越境新規定第5条で免除された人的資源データの越境移転行為は、データの主体を「従業員」という範囲に限定している。ただし、企業が国外に提供する人的資源データは、企業と労働契約を締結した正式な従業員のほか、派遣労働者、アウトソーシング労働者、インターン、応募者、従業員の家族、従業員の緊急連絡先などの者も含まれていることが多い。正式な従業員以外の者が「従業員」と認定され得るかどうかは、実務運用を経ながら明らかになっていくことを待つ必要がある。

筆者の認識では、インターン、応募者、従業員の家族、従業員の緊急連絡先が「従業員」と認定される可能性はおそらく低いであろうと思われ、企業は、その個人情報の越境移転を慎重に取扱い、データ越境新規定に定める他の条件を踏まえながら、申告手続きが免除されるかどうかを判断しなければならない。

三、申告手続き以外のコンプライアンス責任について

企業がデータ越境新規定に依拠し申告手続きが免除されることは、企業がそのデータ越境移転行為について他のコンプライアンス責任を負う必要がないことを意味するものではない。

まず、中国の「個人情報保護法」の規定によると、企業は個人情報主体に対し、その個人情報を国外に提供する目的、方式、種類などを告知し、その越境移転行為について個人情報主体の個別の同意を取得しなければならない。企業にとって、よくある告知方式として、プライバシーポリシー、個人情報取扱告知書を制定することなどが含まれる。また、個別の同意を取得する前に、企業は「個人情報保護法」に基づき、同意の免除が適用される状況かどうかを判断することもできる。

次に、人的資源データの越境移転が行われる場面について、免除の前提の一つは「法に依拠して制定された労働規則制度、及び法に依拠して締結された労働協約に基づき実施すること」であるため、企業は、データ越境移転管理に関する規定を追加するなどし、労働規則制度等の文書を整備しておくのがよい。

さらに、企業はデータ越境移転が行われる場面に対し、法に依拠して個人情報保護影響評価を実施し、データ越境移転が行われる場面に存在し得るリスクを十分に評価し、且つ相応の改善措置を講じなければならない。個人情報保護影響評価は、「データ越境移転安全評価申告ガイドライン（第2版）」、「個人情報越境移転標準契約届出ガイドライン（第2版）」の要求に倣って実施することができる。

四、すでに実施済の申告手続きの対処方法

データ越境新規定が施行される前に、企業がデータ越境移転安全評価又は個人情報越境移転標準契約届出を通過している場合、元の申告内容に基づいてデータ越境移転活動を行うことができる。企業がデータ越境移転安全評価又は個人情報越境移転標準契約届出を提出したが、これら手続きはまだ完了しておらず、だが、データ越境新規定によるならば申告手続きを完成させる必要がない場合、企業は手続きをそのまま継続させるか又は撤回するかを独自に選択することができる。

特に注意しなければならないこととして、企業が完成させた申告手続きにおいて、全部又は一部が通過しないという状況もあり（例えば、筆者が把握した情報によると、これまで少なからぬ外資系企業の人的資源データ越境移転が行われる場面において、一部の文面の越境移転がCACに認めてもらえないという状況が存在している）、これら状況がデータ越境新規定によると申告手続きを完成させる必要がないものである場合、筆者の認識としては、企業は法に依拠し越境移転させることができるものと考えられる。

終わりに

中国におけるデータ越境移転に関する監督管理措置は動的調整がなされる過程にあり、企業は折につけ調整される監督管理要求に基づき適時に対応しなければならない。また、データ越境新規定によると、自由貿易試験区はネガティブリストの形式でデータの越境移転管理を行う予定でおり、大規模なデータ越境移転のニーズある外資系企業にとって関心を払うに値する。中国におけるデータ越境移転監督管理の複雑さと専門性を考慮すると、企業は監督管理活動によりよく対処できるよう弁護士などの専門家と協力するのもよい。

（作者：里兆法律事務所 董紅軍、鄭旭斌 2024年5月8日）

 

[i] 「個人情報越境移転標準契約届出ガイドライン（第2版）」の規定によると、「当該年度の1月1日から累計10万人以上、100万人未満の個人情報（機微な個人情報を含まない）を国外に提供する場合」と「当該年度の1月1日から累計1万人未満の機微な個人情報を国外に提供する場合」の2つの条件を同時に満たしたときのみ、個人情報越境移転標準契約の届出を行う必要がある。これは、データ越境新規定第8条の、いずれかの条件を満たすだけでよいという規定と矛盾しているようでもある。つまり、企業が当該年度に国外に提供した機微な個人情報が累計1万人未満、かつ国外に提供した個人情報が累計10万人未満の場合、データ越境新規定によるならば個人情報越境移転標準契約の届出を行う必要があるが、前述のガイドラインによるとその必要はないようでもある。この問題は、CACからの更なる解釈が待たれる。