Community

Blog Events Webinars Tutorials Forum
  1. Blog
  2. Events
  3. Webinars
  4. Tutorials
  5. Forum
Create Account
×
Community Blog 中国の越境移転の規定最終化

中国の越境移転の規定最終化

2023年9月28日に草案として出されていた国家インターネット情報局(CAC)が越境移転の規制と促進についてのガイダンスが2024年3月22日に公布され、即日施行されました。中国の越境移転についていつ安全性評価を行うべきか、いつ標準契約を締結すべきかといった基準が、「意見募集稿」ではなく確定した規定として示されたことは、事業者にとって歓迎すべき出来事です。

2023年9月28日に草案として出されていた国家インターネット情報局(CAC)が越境移転の規制と促進についてのガイダンスが2024年3月22日に公布され、即日施行されました。中国の越境移転についていつ安全性評価を行うべきか、いつ標準契約を締結すべきかといった基準が、「意見募集稿」ではなく確定した規定として示されたことは、事業者にとって歓迎すべき出来事です。このブログでは以前草案の内容について紹介していましたが、今回は最終の決定稿の内容を紹介しましょう。

中国のデータ越境移転の適法化

まず、大前提として、中国法では個人情報の越境移転の正当化に3つの方法があります。それらは、1) 安全性評価、2) 標準契約の締結、3) 個人情報保護認証です。非個人情報については、重要データを越境移転する場合、安全性評価が求められます。

重要データの移転と越境ECに関する規定

重要データについては第2条で触れられています。(訳は参考訳としてご参照ください)

「第2条:データ処理を行う者は、関連規定に従って重要データを特定し、申告しなければならない。 関連部門または関連地域から重要データとして通知または公表されていない場合には、データ処理を行う者はデータの境外持ち出しのための安全評価を重要データとして申告する必要はない。」

データ処理を行う者とは、いわゆる「管理者」に該当する者ですが、移転するデータに重要データが含まれているかを確認する必要性が示されています。重要データについては関連部門や地方の当局が重要データを指定することになっており、指定されていない場合や重要データのリストが公表されていない場合はあえて安全性評価をする必要はありません。

越境ECについては第3条で触れられています。

「第3条:国際貿易、国境を越えた輸送、学術協力、国境を越えた製造・販売活動の過程で収集・生成されたデータが境外で提供され、個人情報または重要データが含まれていない場合、データの境外持ち出しのための安全性評価の申告、個人情報の境外持ち出しのための標準契約の締結、個人情報保護認証への合格は免除される。」

越境ECや国際貿易、研究、メーカの生産データ等で個人情報が含まれていない場合や重要データが含まれていない場合には自由にデータを流通できます。草案の時もこの条項は含まれていたのですが、そのまま確定されたのは朗報です。

個人情報の越境移転の条件の緩和

意見募集稿の紹介でも指摘しましたが、個人情報の移転については大幅に緩和されました。

「第5条 境外に個人情報を提供するデータ処理を行う者は、次の各号のいずれかに該当する場合、データの境外持ち出しのための安全性評価の申告、個人情報の境外持ち出しのための標準契約の締結、個人情報保護認証への合格を免除される:

  1. 越境購買、越境配送、越境送金、越境決済、国をまたいだ口座開設、航空券・ホテル予約、ビザ申請、試験サービス等、本人が当事者である契約の締結または履行のために個人情報を境外に提供する真の必要性がある場合。
  2. 法律に従って策定された労働規則および法律に従って締結された労働協約に従って、国境を越えた人事管理を実施するために、境外に従業員の個人情報を提供する真の必要性がある場合。
  3. 緊急時に自然人の生命、健康、財産を保護するために個人情報を境外に提供する真の必要性がある場合。
  4. 重要情報インフラ事業者以外のデータ処理を行う者であって、その年の1月1日以降、境外に提供した個人情報 (センシティブな個人情報を除く)の累計が10万人未満である者。

前項の境外に提供された個人情報には、重要データは含まれないものとする。」

 このように、比較的広範囲にわたって自由に個人データの越境移転が許されることが定められています(ただし、「真に必要性がある場合」と限定しているのでやりたい放題というわけではないことにも注意が必要)。その他、一年間に中国国外に提供するセンシティブな個人情報を除く個人情報の数が10万人未満であれば、安全性評価や標準契約、個人情報保護認証が免除されるとされています。これによって、安全性評価や標準契約の締結を免れることができる事業者は大幅に増えることが予想されます。

安全性評価、標準契約、認証が必要な状況

安全性評価が必要な条件は、第7条で明確化されています。
基本的に、重要情報インフラ事業者に該当しているか、「公表された」重要データを中国境外に出しているか、個人情報を年間100万人以上中国境外に出しているか、センシティブな個人情報を1万人以上中国境外に出しているか、が評価の要否の基準です。

安全性評価は3年間有効であり、3年後評価内容に大きな変更がない場合は、審査が必要なものの、さらに3年延長することができます(第9条)。

また、個人情報について標準契約や個人情報保護認証が必要となるのは第8条に定められた条件を満たす場合です。

「10万人以上100万人未満の個人情報(センシティブな個人情報を除く)または1万人未満のセンシティブな個人情報を境外に提供する場合、法令に基づき、境外提供先との間で個人情報の境外持ち出しのための標準契約の締結を行うか、個人情報保護認証に合格しなければならない」(第8条)

第10条にあるように、「個人情報を境外に提供する場合、法律及び行政法規の規定に従い、通知義務、本人の個別同意の取得義務、個人情報保護影響評価義務を履行しなければならない」という義務は依然残っているため、注意をしてください。

総括

冒頭にも述べましたが、今回のガイダンスの確定版によって越境移転の閾値が下がったのは対中ビジネスを行っている事業者にとっては朗報です。このガイダンスのガイダンスに従いながら、中国ビジネスを促進したいものです。

アリババクラウドについて

2009年に設立されたアリババクラウドは (www.alibabacloud.com)、アリババグループのデジタルテクノロジーとインテリジェンスの中枢です。アリババクラウドは、エラスティックコンピューティング、データベース、ストレージ、ネットワーク仮想化サービス、大規模コンピューティング、セキュリティ、管理およびアプリケーションサービス、ビッグデータ分析、機械学習プラットフォーム、IoTサービスなど、あらゆるクラウドサービスを世界中のお客様に提供しています。IDCの調査でアリババクラウドは2018年以降、Infrastructure as a Service(IaaS)分野で世界3位のサービスプロバイダーに認定されています。また、ガートナーには、アリババクラウドは2018年以降、売上高で世界3位、アジア太平洋地域で1位のIaaSプロバイダーとして認定されています。

アリババクラウドは事業を展開する国と地域で適用される法律や規制を遵守しており、現在世界で80以上のセキュリティとコンプライアンスの認証を取得しています。日本語で発行したホワイトペーパーやコンプライアンス活動に関する情報は、Japan Trust Centerにまとめていますので、こちらもぜひご訪問いただければ幸いです。

https://www.alibabacloud.com/ja/trust-center/japan

japan 中国 越境移転
0 0 0
Share on

Read previous post:

中国の個人情報保護認証

Read next post:

天津自由貿易試験区で越境データのネガティブリストが公表

Alibaba Cloud Japan Compliance

19 posts | 0 followers

You may also like

Alibaba Cloud Japan Compliance

19 posts | 0 followers

Related Products

  • Cloud Config

    A configuration audit service that provides configuration history of enterprise resources in Alibaba Cloud and audits the compliance of resource configurations.

    Learn More

More Posts by Alibaba Cloud Japan Compliance

See All