中国「データ越境流動の促進及び規範化に関する規定」の要点と対応法

2024年8月24日 10:31

中国では、「ネットワーク安全法」「データ安全法」及び「個人情報保護法」（いわゆる「データ安全管理三法」）の公布と施行に伴い、データの越境移転に関するルールが徐々に明確化しており、主管当局による取締も厳格化しつつある。

日系現地法人の多くは、重要データを保有してはいない。だが、従業員や取引先等の個人情報は、ほとんどの会社が保有しているため、かかる個人情報の越境移転の問題に直面している。

また、2023年6月1日より施行された「個人情報越境移転標準契約弁法」第13条に基づき、標準契約（SCC）の締結及び個人情報保護影響評価（DPIA）を、2023年11月30日の是正期限[1]までに実施し、主管当局に届出るよう迫られたことから、各社とも慌てて対応せざるを得ない状況であった。

1 はじめに

本稿では、2024年3月22日に公布、同日施行された「データ越境流動の促進及び規範化に関する規定」（以下「新規定」という）の内容とそれまでの個人情報の越境移転に関わる実務への影響を中心に紹介する。
新規定の意見募集稿は、冒頭の是正期限まで残り2カ月に迫った2023年9月28日に、国家インターネット情報部門より公表され、同年10月15日までに意見募集がかけられた。その後正式に公布されたのは2024年3月22日であるが、その採択日は是正期限直前の2023年11月28日であった。かかる新規定の制定スケジュールからも、関係当局間における調整の難しさや影響の大きさ等が窺える。

[1] 同第13条は、「本弁法は、2023年6月1日から施行する。本弁法の施行前に既に行われた個人情報越境活動が本弁法の規定に準拠していない場合、本弁法の施行日から6か月以内に是正を完了しなければならない。」と規定している。

この記事が気に入ったらサポートをしてみませんか？