データの域外移転に関する新規定が施行、標準契約締結などの手続きが不要になるケースが明確に

中国の国家インターネット情報弁公室は3月22日、「データ域外流通を促進・規範化する規定」（以下、規定）を公布、施行した。同弁公室は、規定の位置付けについて、データ域外移転に関する制度の運用と整合性について明確化し、その条件を適度に緩和することにより、国家のデータセキュリティーを確保しつつ、企業のコンプライアンスコストを低減するものと説明した。

規定では、貿易、学術協力、国をまたぐ生産・マーケティング活動などにより収集・生成されたデータのうち、個人情報や重要データを含まないものの域外移転について、データ域外移転安全評価の申告や個人情報域外移転標準契約の締結、個人情報保護認証の取得を不要としたほか、データ取扱者が域外で収集・生成した個人情報を域内で処理後に域外に提供するが、処理過程で域内の個人情報や重要データを加えない場合にも上記手続きを不要とした。

さらに、次の事由で域外に必ず個人情報（重要データを含まない）を提供する必要がある場合にも上記手続きを不要とした。

• 越境購入・配達・送金・決済・航空券やホテル予約、ビザ手続きなど、本人が当事者となる契約の締結・履行のため。
• 法に基づき策定した就業規則や労働協約による人的資源管理のため。
• 緊急時に人命や健康、財産の安全を守るため。

このほか、重要情報インフラ運営者以外のデータ取扱者が域外に提供する個人情報[機微な個人情報（注1）、重要データを含まない]の当該年1月1日以降の累計が10万件未満（注2）の場合にも上記手続きは不要とした。

なお、データ取扱者は関連規定に従い、重要データを識別・申告しなければならないとされたが、関連部門や地域から重要データである旨が告知または公開・公表されていない場合、重要データとして域外移転安全評価を申告する必要はないとした。

なお、規定の施行前にデータ域外移転安全評価を申告済みか、個人情報域外移転標準契約を届け出済みでなおかつ今回の規定上手続きが不要な事由に該当する場合、データ取扱者はそのまま手続きを進めてもよく、所在地の省レベルのインターネット情報部門に対して申告・届け出を撤回してもよいとされた（注3）。

データの域外移転については、在中国日系企業団体の中国日本商会が「中国経済と日本企業2023年白書」で重点分野として取り上げ、各種規定の整合性の確保や内容の明確化、運用面の配慮などを建議していた（2023年6月16日記事参照）。

（注1）国家インターネット情報弁公室の解説によると、機微な個人情報とは、生体情報（指紋など）、宗教や信仰に関する情報、個人の身分が特定可能な情報（身分証やパスポートなど）、医療や健康に関する情報、口座などの情報、14歳未満の未成年者の個人情報など、ひとたび漏えいし、または不正に利用されることにより、人の人格的尊厳を容易に侵害し、または生命・財産の安全を脅かすおそれのある個人情報を指す。

（注2）当該年の1月1日から、データ域外移転安全評価の申告日までの累計で自然人を単位として計算する。

（注3）規定の発表と同日に、データ域外移転安全評価と個人情報域外移転標準契約届け出に関する各ガイドラインの第2版も公表された。規定中の、域外移転に関する手続きが免除される事由に該当しない場合には、上記のガイドラインなどに沿って対応を行うことが求められる。

（小宮昇平）