SH4062 中国:情報・データ国外移転規制法令の成立が日系企業に与える影響(9月1日施行) 鹿はせる(2022/07/14)

取引法務営業秘密・機密情報管理個人情報保護法
アジア法務情報(長島・大野・常松法律事務所)中国

中国:情報・データ国外移転規制法令の成立が日系企業に与える影響
(9月1日施行)

長島・大野・常松法律事務所

弁護士 鹿   はせる

 

 2022年7月7日に、中国で「データ国外移転安全評価弁法[1]」(以下「本弁法」という。)の成立が公表され、同年9月1日から施行されることとなった。本弁法は中国からの個人情報等のデータの国外移転に関する規制を定めたものであり、国外移転に先立ち、当局に事前の安全評価申告が必要となる場合の要件および手続等、中国現地法人を持つ日本企業にとっては非常に影響が大きい立法である。本稿では規制の概要および今後の留意点を速報としてとりまとめる。

 

1 事前の安全評価申告が必要となる情報・データの国外移転

 中国では昨年までに「サイバーセキュリティ法」、「データ安全法」および「個人情報保護法」のいわゆるデータ三法が成立し、三法では、いずれも一定の個人情報および重要データについて国外移転する場合は「関連法令」に従って事前に当局に対して安全評価申告を行うべき旨が定められていたが、肝心の「関連法令」が制定されていなかった。そのため、日系企業を含む外資企業は、中国現地法人が中国国内で取得・収集したデータの国外移転について、原則これまで安全評価は必要的ではなく、特に日系企業が行う例は少なかった[2]。しかし、「関連法令」となる本弁法によって、以下のいずれかの場合のデータの国外移転については、事前の安全評価申告が求められることとなった(本弁法第4条)。

  1. ① データ処理者が中国国外に重要なデータを提供する場合
  2. ② 基幹情報インフラ運営者又は100万人以上の個人情報を処理するデータ処理者が中国国外に個人情報を提供する場合
  3. ③ 直近年度の1月1日から起算して、中国国外に10万人の個人情報又は1万人のセンシティブ個人情報を提供したデータ処理者が国外に個人情報を提供する場合
  4. ④ 国家サイバーセキュリティ部門が規定するその他の場合

 データ三法の規定により、「データ」および「データ処理」の定義は極めて広範と解釈されているため、日系企業についていえば、基本的に中国の全ての現地法人は「データ処理者」であり、その保有する情報を含むデータを国外の親会社と共有する(国外から見られる状態に置くことを含む。)場合、上記該当性を検討する必要があると考えて良い。もっとも、下記のとおり、上記該当性の検討は必ずしも容易ではない。

 

2 事前の安全評価申告が必要となる場合の手続

 上記の①-④の要件に該当した場合は、データを国外移転する前に安全評価を行う必要があるが、データ処理者は具体的には以下の手続きを経る必要がある。

  1. (ⅰ) 国外移転データに関する自己評価(移転の目的、合理性、対象データ及び移転先の性質等本弁法所定事項)の履行及び報告書の作成(第5条)
  2. (ⅱ) 各省のサイバーセキュリティ部門に対して、申告書、上記(i)で作成した自己評価報告及び国外の移転先と締結した法律文書を提出(第6条)
  3. (ⅲ) 各省のサイバーセキュリティ部門は5営業日以内に形式審査を行い、形式的な不備がない場合は申告を国家サイバーセキュリティ部門に転送(不備がある場合はデータ処理者にて修正・再提出)(第7条)
  4. (ⅳ) 国家サイバーセキュリティ部門は7営業日以内に受理・不受理に関する審査を行い、受理する場合は実質審査に移行。受理しない場合はデータ処理者にて修正・補充(第7条、第11条)
  5. (ⅴ) 国家サイバーセキュリティ部門は他の関連当局と共に実質審査を行い、45営業日以内に国外移転の可否について結論を下す(状況が複雑な場合は延長可能。延長期限の定めはない。)(第12条)
  6. (ⅵ) データ処理者が上記(ⅴ)の結果に不服の場合は15営業日以内に不服審査請求を行うことができる。

 以上に従えば、データ処理者の自己評価報告提出から原則57営業日以内に、国外移転のクリアランスが発出されることとなる(もっとも、上記(v)のとおり審査期間は延長可能とされている。)。またクリアランスの期限は申告日から2年間とされているため、当該期限を超えて対象となる重要データおよび個人情報の国外移転を続ける場合は、期限が到来する60営業日前までに再申告する必要がある(第14条)。

 

3 本弁法の留意点

 上記のとおり、一旦国外移転に際して安全評価が必要という結論に至れば、自己評価および当局に対する申告手続を含め、数か月単位の期間がかかるリスクが高いことから、データ処理者とすれば、国外移転を行う対象データが上記の安全評価前置の要件に該当するかどうかがまず関心事であり、可能であれば該当しないと整理できることが望ましい。

 この点、①の「重要なデータ」については、本弁法第19条に漏洩、改変等がされた場合に国家安全等に危害を与える可能性のあるデータという定義が置かれているが、判別性に乏しい規定である。現状は自動車産業については「自動車データ安全管理若干規定(試行版)」[3]、それ以外の産業については2022年1月にパブリックコメントに付されている「情報安全技術・重要データ識別ガイドライン」[4]に依拠して判断するしかないと思われる。

 また、②、③については、「基幹情報インフラ運営者」、「個人情報」「センシティブ個人情報」については既存法令の定義を参照すれば良いので判別しやすいが、一旦②の「基幹情報インフラ運営者または100万人以上の個人情報を処理するデータ処理者」または③の「直近年度の1月1日から起算して、中国国外に10万人の個人情報または1万人のセンシティブ個人情報を提供したデータ処理者」にあたれば、何ら量的・質的な基準なく、国外に個人情報を提供する場合(例えば一名分だけでも)、その都度安全評価が求められるか、明確化が待たれる。条文上は求められるように読まざるを得ないが、例えば②、③の要件を満たす現地法人の人事異動に関する情報に関しても、海外親会社に報告するために逐一事前の安全評価が求められることになりかねず、実務の負担が重いと思われる。

 更に、本弁法は今年9月1日から施行されるが、施行前のデータの国外移転についても、「本弁法の規定に適合しないものについては、施行日から6ヶ月以内に是正する必要がある」(第20条)と定められている。この「是正」が、施行日前に行われた情報の国外移転についても、本弁法に従った安全評価を行うという趣旨か、どの範囲で必要となるか(例えば移転したものの、施行日前に受領者側で削除または匿名可処理した情報についても、必要かどうか)についても、現時点では明確ではない。

 これらの点は今後当局の解釈の明確化が待たれるが、いずれにしても、中国に所在する日本の現地法人は、自身の保有および移転するデータが安全評価の対象となりうるか、内部で整理の上外部専門家の意見を交えて判断することが迅速に求められる。

以  上

 


[1] 中国語:数据出境安全评估办法

[2] GDPRの影響で、欧米系企業は自主的に行う例が増えていたようである。

[3] 中国:汽车数据安全管理若干规定(试行)

[4] 中国語:信息安全技术 重要数据识别指南 征求意见稿

 

この他のアジア法務情報はこちらから

 

(ろく・はせる)

長島・大野・常松法律事務所東京オフィスパートナー。2006年東京大学法学部卒業。2008年東京大学法科大学院修了。2017年コロンビア大学ロースクール卒業(LL.M.)。2018年から2019年まで中国大手法律事務所の中倫法律事務所(北京)に駐在。M&A等のコーポレート業務、競争法業務の他、在中日系企業の企業法務全般及び中国企業の対日投資に関する法務サポートを行なっている。

長島・大野・常松法律事務所 http://www.noandt.com/

長島・大野・常松法律事務所は、約500名の弁護士が所属する日本有数の総合法律事務所です。企業法務におけるあらゆる分野のリーガルサービスをワンストップで提供し、国内案件及び国際案件の双方に豊富な経験と実績を有しています。

当事務所は、東京、ニューヨーク、シンガポール、バンコク、ホーチミン、ハノイ及び上海にオフィスを構えるほか、ジャカルタに現地デスクを設け、北京にも弁護士を派遣しています。また、東京オフィス内には、日本企業によるアジア地域への進出や業務展開を支援する「アジアプラクティスグループ(APG)」及び「中国プラクティスグループ(CPG)」が組織されています。当事務所は、国内外の拠点で執務する弁護士が緊密な連携を図り、更に現地の有力な法律事務所との提携及び協力関係も活かして、特定の国・地域に限定されない総合的なリーガルサービスを提供しています。

詳しくは、こちらをご覧ください。

 

タイトルとURLをコピーしました