中国国外に個人情報を提供するには、安全評価、個人情報認証、標準契約締結、この3つの方式のいずれかを満たしている必要があり、このうち標準契約締結は、3つのコンプライアンスモデルの中で最も簡便な方法として、現地企業、日本本社から注目されています。
5月30日、国家インターネット情報弁公室(以下「ネット情報弁公室」と略)は『個人情報越境標準契約届出ガイドライン(第一版)』(以下『届出ガイド』と略)を発表し、標準契約届出の適用範囲、具体的なプロセス、必要資料などについて規定しました。そこで今回は、『届出ガイド』の要点を以下に紹介いたしますので、日系企業や海外関連業務をお持ちの企業、商会機関などの関係者の皆様にご参考いただければと思います。
1.『届出ガイド』発表の背景
2023年2月22日に公布された『個人情報越境標準契約弁法』(2023年6月1日より実施)は、個人情報処理者に標準契約を省級インターネット情報部門に登録するよう要求しているものの、具体的な登録プロセス、必要な資料などについては規定されていませんでした。そこで、個人情報処理者の個人情報越境標準契約の届出を規範化指導するため、今回「ネット情報弁公室」がこの『届出ガイド』を公布しました。
2.標準契約届出の限定適用範囲
標準契約を締結し海外に個人情報を提供するためには、以下の状況を同時に満たしている必要があります。
①非重要情報インフラ運営者
②処理する個人情報が100万人未満
③前年1月1日から中国国外に提供した個人情報処理累計10万人未満
④前年1月1日から中国国外に提供したセンシティブ個人情報処理累計1万人未満
(『届出ガイド』第1条)
実務上、もし企業が「データ越境安全評価」方式の適用を回避するために、数量分割(処理する個人情報を異なる会社に分割するなど)の手段を使って条件を満たし、標準契約を締結した場合、インターネット情報部門に処罰されることになります。
3.届出方式について
個人情報処理者は、標準契約が発効した日から10営業日以内に現地の省級インターネット情報部門に届出を提出する必要があります。また届出の際、書面による紙ベースの資料とデジタル版の資料を同時に提出する必要があります。
この『届出ガイド』は書面資料の冊子やデジタル版資料の形式などについては具体的に規定していないため、事前に現地のインターネット情報部門に連絡し、調査確認を行うようお勧めいたします。
◆日系企業へのアドバイス
一般的に、新法規が発効してからしっかりと根付きスムーズに運用されるまでに、かなり時間がかかることがあります。とはいえ、新法規に則って標準契約を普及させ、個人情報の越境行為を規範化するために、主管機関から突然大規模な法執行活動が展開される場合もあります。
また、個人情報の越境行為とは、単に中国国内の個人情報を国外に転送・保存することを意味するものではありません。中国国内に保存されている個人情報についても、もし海外機関、個人などが照会、取り寄せ、ダウンロード、エクスポートできる場合、規制の範囲に入ります。こうした点を踏まえ、関係する各日系企業が早急に準備・対応することにより、一定程度リスク発生を回避、軽減することができます。弊所は、各関係企業の皆様がお持ちの、個人情報標準契約の制定、適用、届出などのあらゆる必要に応えたいと思いますので、どうぞいつでもお気軽に弊所までご連絡ください。