データ越境で安全評価や標準契約が不要となる状況を提示

中国の国家インターネット情報弁公室は9月28日、「データ越境流通を規範化・促進する規定」案を発表した。規定案は国のデータ安全を保障し、個人情報の権益を保護し、法に基づくデータの秩序ある自由な流通をさらに規範化し促進するため、「データ域外移転安全評価弁法」（注1）や「個人情報域外移転標準契約弁法」（注2）などのデータ域外移転に関する規定の実施で、主にその例外となる状況を示したものだ（注3）。規定案に対する意見募集期間は10月15日まで。

具体的には、国際貿易、学術協力、国をまたいだ生産やマーケティングなどの活動によって生じたデータのうち、個人情報や重要データを含まないものの域外移転については、データ域外移転安全評価の申告や個人情報域外移転標準契約の締結、専門機関による個人情報保護認証の取得を不要としている。

また、関連する部門や地域で、重要データであることが通知または公に発表されていないデータについて、データ取扱者は重要データとしてのデータ域外移転安全評価を行う必要はないとした。

中国域内（注4）で収集・生産したものではない個人情報を域外に提供する際にも、安全評価の申告、標準契約の締結、個人情報保護認証の取得は不要とした。

さらに、次の場合でも安全評価の申告、標準契約の締結、個人情報保護認証の取得を不要と規定している。

1. 越境購入、越境送金、航空券やホテルの予約、ビザ手続きなど、本人が当事者となる契約の締結と履行のため、必ず域外に個人情報を提供する必要がある場合。
2. 法に基づいて策定した就業規則や労働協約による人的資源管理を実施する上で、必ず域外に従業員の個人情報を提供する必要がある場合。
3. 緊急時に人の生命や健康、財産の安全を守るためなどの理由で、必ず域外に個人情報を提供する必要がある場合。

このほか、域外に提供する個人情報が年間1万人未満の場合、安全評価の申告、標準契約の締結、個人情報保護認証の取得は不要で、個人の同意を取得すればよいとしている。

データ域外移転については、在中国日系企業団体の中国日本商会が「中国経済と日本企業2023年白書」で重点分野として提起したほか、各種規定の整合性の確保や内容の明確化、運用面の配慮などを求める建議を行っていた（2023年6月16日記事参照）。今後、意見募集を通じて規定案のさらなる具体化・明確化が図られるか注目される。

（注1）同弁法の内容や実務上の留意点、運用動向については2022年7月12日記事、2022年10月28日記事、2023年2月24日記事を参照。

（注2）同弁法の内容や実務上の留意点、運用動向については2023年6月6日記事、2023年6月13日記事、2023年7月4日記事、2023年8月7日記事を参照。

（注3）規定案では、「データ域外移転安全評価弁法」や「個人情報域外移転標準契約弁法」などの関連規定と同規定が矛盾する場合、同規定に基づいて執行するとしている。

（注4）香港、マカオを除く。

（小宮昇平）