2023年9月28日、国家インターネット情報弁公室が発表した「データの越境流動の規範と促進規定(意見聴取稿)」が、ついに今年3月22日に正式に公布され、同日施行されました。
昨年の意見聴取稿と比べ、この正式規定はデータの国外への越境移転の安全評価と標準契約締結の免除条件をさらに明確にし、拡大したことは企業にとって非常に良いニュースです。この「規定』の要点を以下にご紹介します。
1.一部データ、個人情報の越境制限の緩和
今回のこの規定では、データの安全評価、個人情報保護認証、個人情報標準契約の締結が免除される6種類のデータまたは個人情報の越境移転のケースを詳細に挙げています。例:
(1)中国国内の企業機構など(重要情報インフラ運営者を含まない)が同年1月1日から累計10万人未満の個人情報(センシティブ個人情報と重要データを含まない)を国外に提供した場合
(2)国際貿易、クロスボーダー輸送、学術協力、国境を越えた生産、製造とマーケティング等の活動において収集及び発生したデータ(個人情報と重要データを含まない)を国外に提供した場合
(3)労働規則制度と集団契約に基づき国境を越えて人事管理を実施し、国外に従業員の個人情報を提供する必要が明確である場合(第三条、第五条)
上記(1)において、標準契約締結の義務は免除されますが、企業は個人への告知、個人単独同意の取得、個人情報保護影響評価等の手続きを履行する必要があることに留意が必要です。
2.重要データの越境移転安全評価について
現在、重要データの越境移転には安全評価が必要ですが、実務上、多くの企業にとってどのデータが重要データであるかを正確に識別、判断するのは困難です。
そのため、今回この規定では、関連政府部門や地区から重要データとして告知または公開されていない場合、データ取扱者はデータ越境移転の安全評価手続きを履行する必要がないと定めています(第二条)。
3.自由貿易区ネガティブリスト規則の新設
この規定には、自由貿易試験区のネガティブリスト制度が新たに追加されました。すなわち、自由貿易区内の企業は国外にネガティブリスト(自由貿易試験区制定)以外のデータを提供する場合、申告データの越境移転安全評価、個人情報越境移転標準契約の締結、個人情報保護認証通過手続きが免除されるものです(第六条)。
上記のネガティブリストは自由貿易区内の企業にのみ適用され、自由貿易区外の企業は上記規則を適用できないことにご注意ください。
◆日系企業への提言
この規定の施行は現地の日系企業や対外貿易企業にとって非常に喜ばしいニュースで、企業のコンプライアンス負担を軽減するものであり、今後各地の政府部門により確実に執行されることが期待されます。
本規定は企業の義務を一部免除するケースを規定していますが、これは中国政府の企業に対する事前監督管理を軽減するものであって、実質的なコンプライアンス義務が免除されるものではありません。例えば、企業は依然として関連技術や管理の措置を執り、データ情報移転の安全を実現する必要があります。データや個人情報の越境移転に潜在的な危険性がある場合、企業は依然として政府当局に指摘され、処罰され得ます。