知財・法律
トップ  > コラム&リポート 知財・法律 >  File No.24-07

【24-07】中国のデータ越境移転規制の最新動向

2024年08月13日

柳陽

柳 陽(Liu Yang):
柳・チャイナロー外国法事務弁護士事務所代表

北京大学、慶應義塾大学法学修士。2006年より弁護士業務を行っており、日本企業の中国における新規投資、M&A、事業再編、不祥事対応、労務及び紛争処理等中国法業務全般を取り扱っている。

事務所ウェブサイトhttp://www.chinalaw-firm.jp

1.はじめに

 近年、中国は個人情報を含めたデータの越境移転に関する規制を強化しており、特に「サイバーセキュリティ法」、「データ安全法」、「個人情報保護法」の三つの法律を中心に、企業がデータを中国国外に移転する際の規制が厳しくなっている。これに伴い、データ越境安全評価、個人情報越境標準契約の締結および届出、または個人情報保護認証が義務付けられていた。

 しかし、このような中、2024年3月22日に中国は「データ越境流動の促進と規範に関する規定」(以下「新規定」という。)を施行し、データの越境移転に対する規制を大幅に緩和した。新規定は、特に日系企業を含む一般企業に大きな影響を与えている。

 本稿では、中国のデータ越境移転規制の最新動向について考察する。なお、本稿において「一般企業」とは、重要情報インフラ運営者に該当しない企業を指し、ほとんどの日系企業が該当する。

2.データの越境移転とは

 データの越境移転とは、データ処理者が中国国内で業務上収集・生成した重要データまたは個人情報を、中国国外の組織または個人に提供することを指す。この「国外」には日本などの他国だけでなく、香港・マカオ・台湾も含まれる。また、「提供」には、中国国内のデータを国外のサーバーへ転送することや、中国国内から国外のサーバーにアクセスしてデータを入力すること、中国国内のサーバーに国外からアクセスする場合も含まれる。

 個人情報については、例えば、中国にある日本企業の子会社が中国国内で取得した個人情報を日本の本社に提供する場合や、日本から中国国内のサーバーにアクセスして個人情報を閲覧する場合も、データの越境移転に該当する。

3.新規定の施行背景

 新規定の施行背景には、中国の経済成長や外資誘致政策が影響している。従来の厳格な規制が企業活動を抑制していたため、規制の緩和策が導入された。また、これは国際的なデータ流動を促進し、国内外の企業間でのデータ共有を円滑に進めるための措置でもある。

4.規制の主な緩和措置

 新規定の施行により、個人情報を含むデータの越境移転に対する規制が大幅に緩和された。具体的には、以下のいずれかに該当する場合、データ越境安全評価、個人情報越境標準契約の締結及び届出、個人情報保護認証の取得が免除される(新規定3条から5条)。

(1) 国際貿易、越境配送、学術協力、国際的な生産製造及びマーケティングなどの活動で収集・生成されたデータを中国国外に提供し、そのデータが個人情報または重要データを含まない場合

(2) 中国国外で収集・生成した個人情報を中国国内で処理した後に中国国外に提供し、その処理過程で中国国内の個人情報または重要データを含まない場合

(3) 個人が当事者となる契約を締結または履行するため、例えば越境ショッピング、越境配送、越境送金、越境支払い、越境口座開設、航空券・ホテルの予約、ビザ手続、試験参加などにおいて、中国国外に個人情報を提供する必要がある場合

(4) 法律に基づいて制定された労働規則制度や法律に基づいて締結された労働契約に従い、越境人事管理を実施するために、中国国外に従業員の個人情報を提供する必要がある場合

(5) 緊急時に人の生命、健康及び財産安全を保護するために、中国国外に個人情報を提供する必要がある場合

(6) 一般企業が年間累計で10万人未満の個人情報(敏感な個人情報を含まない)を中国国外に提供する場合

 上記(3)から(6)のいずれも、中国国内の個人情報の越境移転のため、個人の個別の同意を取得する必要がある。留意されたい。

5. 規制の緩和が働かない場合

(1) 個人情報越境標準契約の締結と届出が必要な場合

 一般企業が以下のいずれかに該当する場合、依然として個人情報越境標準契約の締結及び当局への届出、または個人情報保護認証の取得が必要である(新規定8条)。

① 年間累計で10万人以上100万人未満の個人情報(敏感な個人情報を含まない)を中国国外に提供する場合

② 年間1万人未満の敏感な個人情報を中国国外に提供する場合

(2) データ越境安全評価が必要な場合

 一般企業が以下のいずれに該当する場合、データ越境安全評価を通ることが必要である(新規定7条)。

① 重要データを中国国外に提供する場合

② 累計で年間100万人以上の個人情報(敏感な個人情報を含まない)を中国国外に提供する場合

③ 1万人以上の敏感な個人情報を中国国外に提供する場合

 なお、本稿において「敏感な個人情報」とは、一度漏洩または不法に使用されると、自然人の人格の尊厳が侵害されやすい、または人身、財産の安全が損なわれやすい個人情報を指し、生物識別、宗教信仰、特定の身分、医療健康、金融口座、行動履歴等の情報及び14歳未満の未成年者の個人情報が含まれる(中国の個人情報保護法第28条)。

6. 重要データの越境移転

 前述のとおり、重要データを中国国外に提供する場合、データ越境安全評価を受けることが義務付けられている。新規定では、事業者が取り扱うデータの中から重要データを識別し、当局に申告する必要があるが、政府が重要データに該当するものとして公示しない限り、事業者は、重要データの越境移転として扱わないことができる(新規定2条)。重要データの越境移転には安全評価が必須だが、その範囲と定義は明確ではなく、大方、政府の都度の判断に依存することになり、実務上の運用に課題が残る。

7.まとめ

 新規定の施行により、特に一般企業にとってデータ越境移転のハードルが下がった。これにより、企業はグローバルなビジネス展開をより円滑に進めることが可能となる。ただし、重要データの識別や申告に関する不明確な点が残るため、今後の運用においては注意が必要となる。

以上

柳 陽氏記事バックナンバー

 

上へ戻る