1. 中国の「国境を越えたデータの流れの促進と規制に関する規定」とは

中国のデータ3法（個人情報保護法、サイバーセキュリティ法、データセキュリティ法）は、中国からの個人情報及び重要データの越境移転を規制しています。これらの規制の具体的内容は、データ越境安全評価弁法（U&Pニューズレター）や個人情報越境標準契約弁法（U&Pニューズレター）などで定められています。今回、中国国家インターネット情報弁公室（CAC）が公表した「国境を越えたデータの流れの促進と規制に関する規定」（促进和规范数据跨境流动规定）（以下「本規定」といいます。）は、これらの規制の実施の基準などを定めた規定です。

個人情報越境標準契約弁法が2023年2月24日に公表された際、個人情報を越境移転している個人情報処理者は、例外なく、同年11月30日までに締結済みの標準契約を当局に届け出なければならないとされていたため、多くの日本企業が影響を受けるものと考えられました。ところが、2023年9月28日に本規定の意見募集稿（パブリックコメント案）が公表され（U&Pニューズレター）、一定の要件を満たす場合には届出等が不要になるとされたものの、これが正式版になることなく11月30日を迎えてしまい、実務上の困難が生じていました。かかる状況下、2024年3月22日に、ようやく正式版が公表され、越境移転において届出等が必要となる要件が確定したことになります。

2. 本規定のポイント

本規定全体の仮訳をこちらに掲載しましたので、詳細は仮訳をご参照いただければ思いますが、日本企業に影響が大きい部分は以下のとおりです。

(1) 海外で収集等したデータを中国で処理し、海外に再び送信する場合は、規制の対象外

データ処理者が、海外で収集及び発生した個人情報を、中国国内で処理するために送信した後、海外に提供する場合、処理の過程で中国国内の個人情報または重要データを引き入れない場合、規制の対象外となります（本規定4条）。

(2) 越境EC、送金、航空券やホテルの予約などのための越境移転は、規制の対象外

国境を越えた買い物・配達・送金・支払・口座開設、航空券やホテルの予約、ビザの申請、試験サービスなど、本人が当事者となる契約の締結および履行のために、個人情報を域外に提供することが真に必要である場合には、規制の対象外となります（5条1項1号）。ただし、重要データが含まれる場合には規制を受けます（同条2項）。

(3) 国境を越えた人事管理のために従業員情報の域外移転が必要な場合は、規制の対象外

法に基づいて制定された労働規則および法律に基づいて締結された団体協約に従って、国境を越えた人事管理を実施するために、従業員の個人情報を域外に提供することが真に必要である場合には、規制の対象外となります（同条1項2号）。ただし、重要データが含まれる場合には規制を受けます（同条2項）。

(4) 重要情報インフラ運営者以外のデータ処理者に対するその他の規制は、以下のとおり

①個人情報（機微情報以外）の域外移転数が年間10万人※未満である場合
→規制の対象外（5条1項4号）
　ただし、重要データが含まれる場合には規制を受ける（同条2項）

　※パブコメ版では「1万人未満」でしたが、正式版では「10万人未満」となっています。

②個人情報（機微情報以外）の域外移転数が年間10万人以上100万人未満or機微情報の域外移転数が1万人未満の場合
→標準契約の締結又は認証が必要（8条）

③個人情報（機微情報以外）の域外移転数が年間100万人以上or機微情報の域外移転数が1万人以上の場合
→越境安全評価の申告が必要（7条1項2号）

以上

仮訳：「国境を越えたデータの流れの促進と規制に関する規定」