2023年9月28日に草案として出されていた国家インターネット情報局(CAC)が越境移転の規制と促進についてのガイダンスが2024年3月22日に公布され、即日施行されました。中国の越境移転についていつ安全性評価を行うべきか、いつ標準契約を締結すべきかといった基準が、「意見募集稿」ではなく確定した規定として示されたことは、事業者にとって歓迎すべき出来事です。このブログでは以前草案の内容について紹介していましたが、今回は最終の決定稿の内容を紹介しましょう。
まず、大前提として、中国法では個人情報の越境移転の正当化に3つの方法があります。それらは、1) 安全性評価、2) 標準契約の締結、3) 個人情報保護認証です。非個人情報については、重要データを越境移転する場合、安全性評価が求められます。
重要データについては第2条で触れられています。(訳は参考訳としてご参照ください)
「第2条:データ処理を行う者は、関連規定に従って重要データを特定し、申告しなければならない。 関連部門または関連地域から重要データとして通知または公表されていない場合には、データ処理を行う者はデータの境外持ち出しのための安全評価を重要データとして申告する必要はない。」
データ処理を行う者とは、いわゆる「管理者」に該当する者ですが、移転するデータに重要データが含まれているかを確認する必要性が示されています。重要データについては関連部門や地方の当局が重要データを指定することになっており、指定されていない場合や重要データのリストが公表されていない場合はあえて安全性評価をする必要はありません。
越境ECについては第3条で触れられています。
「第3条:国際貿易、国境を越えた輸送、学術協力、国境を越えた製造・販売活動の過程で収集・生成されたデータが境外で提供され、個人情報または重要データが含まれていない場合、データの境外持ち出しのための安全性評価の申告、個人情報の境外持ち出しのための標準契約の締結、個人情報保護認証への合格は免除される。」
越境ECや国際貿易、研究、メーカの生産データ等で個人情報が含まれていない場合や重要データが含まれていない場合には自由にデータを流通できます。草案の時もこの条項は含まれていたのですが、そのまま確定されたのは朗報です。
意見募集稿の紹介でも指摘しましたが、個人情報の移転については大幅に緩和されました。
「第5条 境外に個人情報を提供するデータ処理を行う者は、次の各号のいずれかに該当する場合、データの境外持ち出しのための安全性評価の申告、個人情報の境外持ち出しのための標準契約の締結、個人情報保護認証への合格を免除される:
前項の境外に提供された個人情報には、重要データは含まれないものとする。」
このように、比較的広範囲にわたって自由に個人データの越境移転が許されることが定められています(ただし、「真に必要性がある場合」と限定しているのでやりたい放題というわけではないことにも注意が必要)。その他、一年間に中国国外に提供するセンシティブな個人情報を除く個人情報の数が10万人未満であれば、安全性評価や標準契約、個人情報保護認証が免除されるとされています。これによって、安全性評価や標準契約の締結を免れることができる事業者は大幅に増えることが予想されます。
安全性評価が必要な条件は、第7条で明確化されています。
基本的に、重要情報インフラ事業者に該当しているか、「公表された」重要データを中国境外に出しているか、個人情報を年間100万人以上中国境外に出しているか、センシティブな個人情報を1万人以上中国境外に出しているか、が評価の要否の基準です。
安全性評価は3年間有効であり、3年後評価内容に大きな変更がない場合は、審査が必要なものの、さらに3年延長することができます(第9条)。
また、個人情報について標準契約や個人情報保護認証が必要となるのは第8条に定められた条件を満たす場合です。
「10万人以上100万人未満の個人情報(センシティブな個人情報を除く)または1万人未満のセンシティブな個人情報を境外に提供する場合、法令に基づき、境外提供先との間で個人情報の境外持ち出しのための標準契約の締結を行うか、個人情報保護認証に合格しなければならない」(第8条)
第10条にあるように、「個人情報を境外に提供する場合、法律及び行政法規の規定に従い、通知義務、本人の個別同意の取得義務、個人情報保護影響評価義務を履行しなければならない」という義務は依然残っているため、注意をしてください。
冒頭にも述べましたが、今回のガイダンスの確定版によって越境移転の閾値が下がったのは対中ビジネスを行っている事業者にとっては朗報です。このガイダンスのガイダンスに従いながら、中国ビジネスを促進したいものです。
2009年に設立されたアリババクラウドは (www.alibabacloud.com)、アリババグループのデジタルテクノロジーとインテリジェンスの中枢です。アリババクラウドは、エラスティックコンピューティング、データベース、ストレージ、ネットワーク仮想化サービス、大規模コンピューティング、セキュリティ、管理およびアプリケーションサービス、ビッグデータ分析、機械学習プラットフォーム、IoTサービスなど、あらゆるクラウドサービスを世界中のお客様に提供しています。IDCの調査でアリババクラウドは2018年以降、Infrastructure as a Service(IaaS)分野で世界3位のサービスプロバイダーに認定されています。また、ガートナーには、アリババクラウドは2018年以降、売上高で世界3位、アジア太平洋地域で1位のIaaSプロバイダーとして認定されています。
アリババクラウドは事業を展開する国と地域で適用される法律や規制を遵守しており、現在世界で80以上のセキュリティとコンプライアンスの認証を取得しています。日本語で発行したホワイトペーパーやコンプライアンス活動に関する情報は、Japan Trust Centerにまとめていますので、こちらもぜひご訪問いただければ幸いです。
19 posts | 0 followers
FollowAlibaba Cloud Japan Compliance - May 20, 2024
Alibaba Cloud Japan Compliance - February 1, 2024
Alibaba Cloud Japan Compliance - November 15, 2021
Alibaba Cloud Japan Compliance - November 4, 2021
Alibaba Cloud Japan Compliance - February 20, 2024
Alibaba Cloud Japan Compliance - May 30, 2023
19 posts | 0 followers
FollowA dedicated resource pool that offers flexible and compliant deployment options to grant enterprise users more control over their cloud infrastructure.
Learn MoreMore Posts by Alibaba Cloud Japan Compliance