🇨🇳中国からの越境移転、待望の緩和規定が3/22施行！

こんばんは！

昨年、中国に子会社をもつ日本企業を、悩ませた中国個人情報保護法(PIPL)の越境移転標準契約。

その規範を緩和する規則案が、昨日公布されたとのニュースが本日ありました！

中国、データ海外移転審査を一部免除　外資つなぎとめ - 日本経済新聞

中国当局の文書も確かに公開されているのを確認できましたので、取り急ぎ共有します。

経緯(施行直前の緩和規則案)

是正期限2023/11/30前の9/28、取扱う個人情報の種類や人数などにより、標準契約が不要とする「データ越境流通を規範化・促進する規定」案の意見募集(日本で言うパブコメ)が始まりました。

データ越境で安全評価や標準契約が不要となる状況を提示(JETRO)

中国に子会社がある場合、たいてい日本本社から社員が出向しており、顧客の個人情報はなくても、従業員個人情報の越境移転は、人事管理やグループ共通システムの利用などで発生します。

そのため、11月を目標に対応を準備していた企業は、その頃には文書は8〜9割がた出来上がっている時に、突然不要にするとの意見案が出たため、多いに戸惑った状況でした。

当初は、施行日前11月中には、確定すると思われましたが、施行日を過ぎても、この規定案の施行は発表されず…
規定案が通るとふんで標準契約の届出を見送る派　or 規定が施行されていない以上届出を行う派に、企業の対応は二分される状況でした。

その後、年が明けても動きはない状況でしたが、昨夜3/22施行があったと、本日ニュースがあった状況です。

昨日たまたま、大手法律事務所の北京事務所による中国データ3法の解説セミナーを視聴したのですが、その際も、現地では明確な動きの情報はないと聞いたばかりだったので、正直驚きました。

次に、実際の文書です。

公布された文書

過去のパブコメ文書からたどって、
中国当局の公表文書2つ見つけましたので、共有します。(当然のことながら、中国語ですので、ブラウザの翻訳機能などで変換して確認をおすすめします)

①公布の告知と規則全文:
国境を越えたデータフロー規制の推進と標準化

促进和规范数据跨境流动规定_中央网络安全和信息化委员会办公室

国境を越えたデータフロー規制の推進と標準化
2024年3月22日 20時06分
出典： 中国網情報網
国家インターネット情報局命令

No.16
「国境を越えたデータフローの促進および規制に関する規定」は、2023 年 11 月 28 日の中国サイバースペース局の第 26 回事務会議で検討および採択され、ここに発表され、公布日に施行されます。

Zhuang Rongwen、中国サイバースペース局局長
2024 年 3 月 22 日

機械翻訳

② 発表に伴うQ&A:
「国境を越えたデータ流通の促進及び規制に関する規制」記者の質問への回答

《促进和规范数据跨境流动规定》答记者问_中央网络安全和信息化委员会办公室

最も関心が高いのは、「自社は標準契約の対象外になるか？その閾値は何人？」かと思います。

結論は、個人情報10万人以上または、越境個人情報1万人以上となるようです！

このことにより、多くの企業は対象外となりそう！(ほっ😌)

質問 12: 標準的な個人情報輸出契約の締結と個人情報保護認証の通過が必要なデータ輸出活動はどれですか?

回答：「規程」は、「個人情報の国外移転に関する標準契約に関する措置」に定められた個人情報移転に関する標準契約の締結条件を最適化・調整したものです。
同規則によれば、重要情報インフラ事業者以外の情報処理業者は、同年1月1日以降、10万人以上100万人未満（要配慮個人情報を除く）又は1万人未満の個人情報を海外に提供した。
個人情報を輸出する場合は、法律に従って海外の受取人との間で個人情報の輸出に関する標準契約を締結するか、個人情報保護認証に合格しなければなりません。規則第3条、第4条、第5条及び第6条に定める事由に該当する場合には、当該規定が適用されます。

免除要件は、こちらに6種類列記があります。

質問 7: データ輸出セキュリティ評価の宣言、個人情報輸出のための標準契約の締結、および個人情報保護認証の通過が免除されるデータ輸出活動はどれですか?

回答: 次の 6 種類のデータ輸出活動は、データ輸出セキュリティ評価の宣言、個人情報輸出のための標準契約の締結、および個人情報保護認証の通過が免除されます。

まず、国際貿易、国境を越えた輸送、学術協力、国境を越えた製造、マーケティングなどの活動で収集・生成されるデータは海外に提供されるものであり、個人情報や重要なデータは含まれておりません。

第二に、海外で収集・生成された個人情報は中国に転送されて処理され、その後海外に提供され、処理中に国内の個人情報や重要データが持ち込まれることはありません。

第三に、国境を越えたショッピング、国境を越えた郵送、国境を越えた送金、国境を越えた支払い、国境を越えた口座開設、航空券やホテルなど、個人が当事者となる契約を締結し履行するため。予約、ビザ手続き、試験サービスなど、海外サービスにおいて必要となる個人情報の提供。

第四に、国境を越えた人事管理は、法律に基づいて策定された労働規則及び法律に基づいて締結された労働契約に基づいて実施されており、従業員の個人情報を海外に提供することが実際に必要である。

第五に、緊急時に自然人の生命、健康、財産の安全を守るためには、個人情報を海外に提供することが本当に必要です。

第六に、重要情報インフラ事業者以外の情報処理業者は、同年一月一日以降、十万人未満の個人情報（要配慮個人情報を除く）を海外に提供しています。
このうち、第 3 条件から第 6 条件で海外に提供される個人情報には、関係部門や地域から通知された個人情報や重要なデータとして公表された個人情報は含まれません。

以上、事業者にとって対応の分かれ目となる注目が大きい規則案でしたので、週明け、弁護士事務所からも解説ニュースレターが出そうですね！

実務をつきつめて考えると、以下のような疑問が出てきます。

・標準契約が不要だけど、届出しないものの契約は手当しておいた方がよいよね？
・標準契約は不要=届出不要ということになり、データ影響評価(DPIA)も届出なくてよいよね？
・でも、DPIAの作成は、免除されていないよね？

この点も追って、中国での実務ふまえ、法律の専門家の意見が出るのを待ちたいと思います。

ではまた！

---

今日のDall-E

🇨🇳からの吉報に喜ぶ🇯🇵の🐩