近時の中国「個人情報保護法」関連アップデート
近時の中国「個人情報保護法」関連アップデートに関するニューズレターを発行いたしました。こちらの内容は、以下のリンクよりPDF版でもご覧いただけます。
近時の中国「個人情報保護法」関連アップデート
2023年10月
One Asia Lawyers Group
中国大湾区プラクティスチーム
1.はじめに
中国では、「個人情報保護法」が2021年11月1日より施行されています。それ以来、越境移転に関する事項を中心として、データや個人情報に関する規定が発表されつつあり、企業に対してより明確な基準や具体的な解釈が提供されています。
以下、2022年後半以降に新たに発表された中国の個人情報保護に関する規定を簡単にご紹介します。
2.2022年9月1日より施行された「データ越境安全評価弁法」[1]
2.1. 対象
(1)本規定の適用対象者:
第2条より、「個人情報処理者が、中華人民共和国国内における経営で、収集・発生する重要データ(後述)や個人情報を国外移転する場合において、上記の重要データや個人情報へのセキュリティ評価」が適用対象となります。
上記「個人情報処理者」に関して、
EUのGDPR(General Data Protection Regulation)においては、「個人情報の取扱目的及び方法を決定する」「管理者」(controller)と「管理者の代わりに個人情報を取扱う」「処理者」(processor)の二つの概念があるに対して、中国の個人情報保護法においては「個人情報処理者」のみ存在し、定義的にGDPRの「管理者」と基本的に同一とされます。
(2)以下のいずれかを満たす場合には、データ越境移転セキュリティ評価の申告をしなければなりません(4条):
- 海外に重要データを提供する場合
- 海外に個人情報を提供する重要情報インフラ事業者及び取り扱う個人情報が100万人以上である場合
- 前年の1月1日から、海外へ移転した個人情報が10万人以上である、若しくは提供した敏感な個人情報が1万人以上である場合
- 国家ネットワーク情報局が規定する他の申告が必要な場合
「敏感な個人情報」に関して、
個人情報保護法28条において、「一旦、漏洩または違法使用が生じた場合には、容易に自然人の人格尊厳の侵害を引き起こし、または人身・財産の安全に対する危害を及ぼす個人情報であり、生物識別、宗教的信仰、特定身分、医療健康、金融口座、行動追跡等、及び14歳未満の未成年者の個人情報を含む」と規定されています。
2.2. 評価結果の有効期限:2年(14条)
ただし、以下に該当する場合は、有効期限中にも改めて申告する必要があります:
(1)国内に提供するデータの目的、方法、範囲、種類、及び海外受領者による個人情報の使用または取り扱い方法に変更があった場合、若しくは、個人情報と重要データの海外での保存期限に延長があった場合
(2)海外受領者の所在国・地域において、個人情報保護政策やネットセキュリティ環境に変更があり、その他の不可抗力によって、情報処理者若しくは海外受領者の実際コントロール権または情報処理者や海外受領者の法律文章に変更があり、データセキュリティに影響を及ぼす可能性がある場合
(3)その他の個人情報のセキュリティに影響を及ぼす可能性がある場合
2.3. 重要データ
「重要データ」は同弁法19条により、「改ざん、破壊、漏洩または不正取得、不正利用された場合における国家安全、経済運行、社会安定、公共利益が脅かされるデータ」と定義されています。
2.4. セキュリティ評価前のリスク自己評価事項、申請時に必要な材料、手続き、及び申請の流れ等はここで省略します。
3.2023年6月1日より施行された「個人情報越境移転標準契約弁法」[2]
同弁法の詳細に関しては、過去記事(https://oneasia.legal/9548)もご参照いただければと存じますが、概要は次の通りです。
3.1. 内容
(1)適用対象者
標準契約を締結する形で個人情報を海外に移転する個人情報取扱事業者は、下記の条件を同時に満たさなければなりません(同弁法4条):
- 重要情報インフラ事業者でないこと
- 取り扱う個人情報が100万人未満であること
- 前年の1月1日から海外へ移転した個人情報が10万人未満であること
- 前年の1月1日から海外で提供した敏感な個人情報が1万人未満であること
(2)標準契約の締結
1.注意点
(ア)本弁法付属の標準契約フォーマットに厳格に従わなければならないと規定される一方で、国家インターネット情報局は、実際の状況に応じて調整することができるとされます。
(イ)個人情報処理者に、海外の受信者とその他の条件を合意することができるが、標準契約と矛盾しないようにしなければなりません。
(ウ)個人情報処理者は、標準契約の発効日から10営業日以内に、地方(省)のインターネット情報部門に標準契約書と個人情報保護に関する影響評価報告書(Personal Information Security Impact Assessment, PIA)を提出しなければなりません。
2.契約の再締結
以下いずれに満たす場合は、標準契約の有効期間中に、個人情報処理者が、個人情報保護に関する影響評価を新たに実施し、標準契約を補充または最締結し、提出手続きを行わなければなりません:
(ア)海外で提供する個人情報の目的、範囲、種類、感度、方法及び保管場所、海外の受領者による個人情報の使用または取扱方法に変更があった場合、若しくは標準契約の延長があった場合
(イ)海外受領者の所在国・地域の個人情報保護政策や規制に変更があり、個人情報の権利・利益に影響を及ぼす可能性がある場合
(ウ)その他の個人情報の権利・利益に影響を及ぼす可能性がある場合
3.2. より具体的な手続きは、同日(2023年6月1日)より施行された「個人情報越境移転標準契約届出ガイドライン(第一版)」[3]に記載されています。(http://www.cac.gov.cn/2023-05/30/c_1687090906222927.htm)
(1)内容
- 越境移転の定義
- 手続き上、提出必要な書類
- 流れ及び手続き
(2)附属書類
- 個人情報海外移転標準契約届出に必要な書類
- 依頼書(テンプレート)
- 承諾書(テンプレート)
- 個人情報越境標準契約書(記載例)
- 個人情報保護に関する影響評価報告(テンプレート)
4.「データのクロスボーダー流動の規範化及び促進にかかる規定(意見募集稿)」(《规范和促进数据跨境流动规定(征求意见稿)》)
同規定は、データの中国からの越境移転の流れに関して、ルール化を行うとともに促進することについての政府当局(国家インターネット情報弁公室)による規定であり、先般、ウェブサイト上でパブリックコメントの募集がなされました(募集自体は、2023年10月15日に締め切られています。)[4]。
これによると、契約の締結や生命・財産の保護等にあたり、当事者の個人情報を国外に提供する場合、または1年間で取り扱う個人情報が1万人未満の場合などに、セキュリティ評価、標準契約の締結、個人情報保護認証が不要と規定されています。他にも、取り扱う個人情報が100万人未満の場合や、自由貿易試験区外商投資参入特別管理措置におけるネガティブリスト等に関する詳細が規定されています。ただし、「データ越境安全評価弁法」と「個人情報越境移転標準契約弁法」の内容と異なる場合は、同規定にを優先的に従わなければなりません。
この規定は現時点では意見募集稿にとどまるものの、中国からの個人情報の越境移転に関する取扱いにつき、今後の指針を示すものとして参考になる可能性があると思われるため、詳細は別記事にて改めてご紹介させていただきます。
5.まとめ
個人情報保護に関する各種法令の発表及び施行により、中国において個人情報保護が一段と強化され、デジタル社会における情報の安全性の向上が期待されますが、それと同時に、外国企業が情報を越境移転する際にも、これらの規制に厳格に従わなければならず、対応に苦慮しているとの声も少なくありません。
中国における個人情報保護全般に関する法律は、比較的新しいものであり、まだ多くの法規や基準が発布されていないか、または意見が募集中であるため、多くの問題に対する明確な答えが得られないこともあります。しかしながら、今後より詳細なルールが整備されることが予測されるため、引き続きその動きに注目していく必要があると思われます。
[1] 「数据出境安全评估办法」(Outbound Data Transfer Security Assessment(ODTSA)
[2] 「个人信息出境标准合同办法」(Standard Contract for the Cross-border Transfer of Personal Information
[3] 「个人信息出境标准合同备案指南(第一版)」
[4] http://www.moj.gov.cn/pub/sfbgw/lfyjzj/lflfyjzj/202309/t20230928_487155.html