（2023年10月10日アップデート版）
特集「中国の個人情報保護法（データ3法）の下での国外移転の実務（後編：実務対応）」（2023年3月5日）及び「『重要データ』の中国からの越境移転」（2023年3月15日）もあわせてご参照ください。

1. 総論：データ3法の下での国外移転

中国では、個人情報及び重要データの取扱い（中国法では「処理（处理）」と呼ばれる。）を規制するものとして、以下の3法（以下「データ3法」）が制定されています。
　1. 個人情報保護法　2021年11月1日施行
　2. サイバーセキュリティ法（ネットワーク安全法）　2017年6月1日施行
　3. データセキュリティ法　2021年9月1日施行

中国国内から個人データを国外に移転する際には、データ3法を遵守する必要があります。

データ3法における規制を、日本やEU（GDPR）における域外移転規制と比較すると、以下の点に特徴があります。

• 一定の基準を満たしている場合、国外移転の安全評価を行い、当局に申請しなければならない
• それ以外の場合、越境標準契約（中国版SCC）に基づく国外移転が可能
• 国外移転には、必ず本人の同意が必要となる（安全評価や中国版SCCだけでは移転できない）
• 国外移転の際には、個人情報保護影響評価（PIA）が必須
• 一定の基準を満たしている場合、データを中国国内に保存する義務がある（データのローカリセージョン）

以下、これらの点を詳述します。

2. 国外移転の規制

データ規制3法における国外移転の規制は、以下のとおりとなっています。

これらの法令の関係する条文は、以下のとおりです。

個人情報保護法

第38条　個人情報処理者は、業務等の必要により、中華人民共和国国外に個人情報を提供する必要が確かにある場合には、次のいずれかの条件を備えていなければならない。
（1）本法第40条の規定に基づく国家インターネット情報部門による安全評価を通過する
（2）国家インターネット情報部門の規定に従い、専門機関を介して個人情報保護認証を行う
（3）国家インターネット情報部門が制定した標準契約に従い、国外受領者と契約を結び、双方の権利と義務を定める
（4）法律、行政法規又は国家インターネット情報部門が規定するその他の条件
中華人民共和国が締結又は参加する国際条約、協定に中華人民共和国国外に個人情報を提供する条件等について規定がある場合、その規定に基づき実施することができる。
個人情報処理者は、国外受領者による個人情報の処理活動がこの法律に定める個人情報保護基準に適合することを確保するために必要な措置を講じなければならない。

第39条　個人情報処理者が中華人民共和国国外に個人情報を提供する場合、個人に国外受領者の名称又は氏名、連絡先、処理目的、処理方式、個人情報の種類及び個人が国外受領者に対して本法に規定する権利を行使する方式及び手順等の事項を告知し、かつ個人の個別の同意を取得しなければならない。

第40条　重要情報インフラ運営者及び処理する個人情報が国家インターネット情報部門が規定する数量に達した個人情報処理者は、中華人民共和国国内で収集及び発生した個人情報を国内に保存しなければならない。国外に提供する必要が確かにある場合、国家インターネット情報部門が組織した安全評価を通過しなければならない。法律、行政法規及び国家インターネット情報部門が安全評価を行わなくてもよいと規定している場合、その規定に従う。

第55条 以下のいずれかに該当する場合、個人情報処理者は、事前に個人情報保護影響評価を行い、かつ取扱状況を記録しなければならない。
(一)機微個人情報の処理
(二)個人情報を用いた自動的決定の実施
(三)個人情報の取扱いの委託、他の個人情報処理者への個人情報の提供、個人情報の公開
(四)国外への個人情報の提供
(五)その他の本人の権利利益に重大な影響を持つ個人情報処理活動

サイバーセキュリティ法（ネットワーク安全法）

第 37 条 重要情報インフラ運営者が中華人民共和国国内での運営中に収集及び発生させた個人情報及び重要データは、国内で保存しなければならない。
業務の必要性により、国外提供の必要が確かにある場合には、国家ネットワーク情報部門が国務院の関係部門と共同して制定する弁法に従い安全評価を行わなければならない。法律及び行政法規に別段の規程がある場合には、当該規程に従うものとする。

データセキュリティ法

第31条　重要情報インフラ運営者が中華人民共和国国内での運営中に収集及び発生させた重要データの越境安全管理は、「中華人民共和国サイバーセキュリティ法」の規定を適用する。その他のデータ処理者が中華人民共和国国内の運営中に収集及び発生させた重要データの越境安全管理弁法は、国家ネットワーク情報部門が国務院の関係部門と共同で制定する。

第36条　中華人民共和国の主管機関は、関連法律及び中華人民共和国が締結又は参加した国際条約、協定に基づき、又は平等互恵の原則に基づき、外国の司法又は法執行機関のデータ提供に関する要求を処理する。中華人民共和国の主管機関の認可を経なければ、国内の組織及び個人は、外国の司法又は法執行機関に対して中華人民共和国国内に保存されたデータを提供してはならない。

3. 個人情報、機微個人情報、重要データ、重要情報インフラ運営者

以上の規制が適用されるか否かは、(1)処理する情報が、「個人情報」、「機微個人情報」又は「重要データ」に該当するか否か、及び(2)事業者が「重要情報インフラ運営者」に該当するか否かで決せられます。
これらの概念の定義は以下のとおりです。

個人情報（個人情報保護法4条）

電子的又はその他の方法により記録された、識別された又は識別可能な自然人に関する各種情報であって、匿名化処理されたものを除く。

個人情報の具体例は、GB/T 35273-2020（情報セキュリティ技術　個人情報セキュリティ標準：2020年10月1日実施）で示されています。

【基本的な個人情報】
氏名、生年月日、性別、民族、国籍、家族関係、住所 電話番号、電子メールアドレスなど
【個人識別情報】
身分証明書、軍人証明書、パスポート、運転免許証、社員証、パス、社会保障カード、住民票など
【個人バイオメトリクス情報】
個人遺伝子、指紋、声紋、掌紋、耳介、虹彩、顔認識機能など
【オンライン識別情報】
個人情報の対象者のアカウント、IPアドレス、個人用電子証明書
【生理・健康情報】
病理情報、入院記録、医師の指示、検査報告、手術・麻酔記録、看護記録、投薬記録、薬剤・食物アレルギー、不妊情報、病歴、診断・治療、家族病歴、現病歴、感染歴等の医療に関連する記録、体重・身長・肺活量等の個人健康情報
【個人教育情報】
個人の職業、地位、勤務先、学歴、学位、教育歴、職歴、研修歴、成績表など
【個人資産情報】
銀行口座、認証情報（パスワード）、銀行預金情報（資金額、支払、回収記録等）、不動産情報、信用記録、取引・消費記録、銀行取引明細書等、および仮想通貨、仮想取引、ゲームCDキー等の仮想資産情報など
【個人コミュニケーション情報】
通信記録およびコンテンツ、SMS、MMS、電子メール、個人的な通信を記述するデータ（しばしばメタデータと呼ばれる）など
【連絡先情報】
連絡先、友達リスト、チャットグループのリスト、メールアドレスリストなど
【個人のウェブ閲覧記録】
ログに保存されたPI対象者の操作の記録（ウェブ閲覧記録、ソフトウェア使用記録、クリック記録、お気に入りなど）等を指す
【個人がよく使用する機器の情報】
ハードウェアのシリアル番号、機器のMACアドレス、ソフトウェアの一覧、機器固有の識別子（IMEI/Android ID/IDFA/Open UDID/GUID、SIMカードのIMSI情報）など、個人がよく使う機器の一般的な状態を記述した情報を指す
【個人の位置情報】
居場所の記録、正確な位置情報、宿泊施設情報、経度・緯度などを含む
【その他の情報】
結婚歴、宗教的嗜好、性的指向、未公表の犯罪歴など

機微個人情報（個人情報保護法28条）

ひとたび漏えいされたり不正に使用されたりすると、自然人の人格尊厳が侵害されたり、人身や財産の安全が損なわれたりしやすい個人情報であり、生体識別、宗教的信仰、特定の身分、医療健康、金融口座、移動軌跡等の情報、及び14歳未満の未成年者の個人情報が含まれる。

機微個人情報の具体例も、GB/T 35273-2020（情報セキュリティ技術　個人情報セキュリティ標準）で示されています。

【個人資産情報】
銀行口座、認証情報（パスワード）、銀行預金情報（資金額、支払、回収記録を含む）、不動産情報、信用記録、信用情報、取引・消費記録、銀行明細等、仮想通貨、仮想トランザクション、ゲームCDキー等の仮想資産情報
【個人の健康情報】
病理情報、入院記録、医師の指示、検査報告書、手術・麻酔記録、看護記録、投薬記録、薬剤・食物アレルギー、不妊情報、既往歴、診断・治療、家族の病歴、現病歴、感染歴など、診療に関連して作成された記録
【個人生体情報】
遺伝子、指紋、声紋、掌紋、耳介、虹彩、顔認識機能等
【個人識別情報】
IDカード、軍人証明書、パスポート、運転免許証、従業員ID、社会保障カード、住民票等
【その他の情報】
性的指向、婚姻歴、宗教的嗜好性、非公開の犯罪記録、通信記録および内容、連絡先、友人リスト、チャットグループのリスト、居場所の記録、ウェブ閲覧履歴、正確な位置情報、宿泊情報など

重要データ

重要データは、データ越境安全評価弁法19条において以下のとおり定義されています。

ひとたび改ざん、破損、漏えい又は不正取得、不正利用等が生じた場合に国家の安全、経済運営、社会の安定、公衆衛生及び安全に危害を及ぼすおそれのあるデータ

具体的な内容は「情報セキュリティ技術　重要データ識別ガイドライン」で定められることになると見込まれ、全国情報セキュリティ標準化技術委員会が2022年1月13日からパブリックコメントを実施しました（リンク（中国語））。

重要情報インフラ運営者

重要情報インフラ運営者（重要情報インフラストラクチャー運営者）は、重要情報インフラ安全保護条例（2021年9月1日施行）2条において以下のとおり定義されています。

公共通信及び情報サービス、エネルギー、交通、水利、金融、公共サービス、電子政務、国防科学技術工業等の重要な業種・分野における重要なネットワーク施設、情報システム等、並びにその他のひとたび破壊され、機能を喪失し、又はデータが漏えいすれば国家の安全、国家経済・国民生活及び公共の利益に重大な危害を及ぼすおそれのある重要なネットワーク施設、情報システム等

4. 国外移転の安全評価

以上のとおり、一定の要件を満たす場合、国外移転についてのアセスメント（データ越境安全評価）が義務づけられています。

その詳細を定めているのがデータ3法の下位規範であるデータ越境安全評価弁法であり、2022年7月7日に施行されました。
下図に記載された1～4のいずれかに該当する場合、必ず安全評価を行い、当局に申告しなければなりません。

なお、安全評価が義務づけられている場合、データ移転契約の締結も必要となります。データ移転契約で定めなければならない契約条項もデータ越境安全評価弁法で定められています。

データ越境安全評価弁法の詳細は、ニューズレター「中国でデータ越境安全評価弁法が公布」（2022.7.19)をご参照ください。

5. 国外移転のための越境標準契約（中国版SCC: Standard Contractual Clauses）

個人情報保護法の下では、個人データを国外移転する方法として、前述のとおり以下の4つの方法が定められています。
（1）個人情報保護法第40条の規定に基づく国家インターネット情報部門による安全評価を通過する
（2）国家インターネット情報部門の規定に従い、専門機関を介して個人情報保護認証を行う
（3）国家インターネット情報部門が制定した標準契約に従い、国外受領者と契約を結び、双方の権利と義務を定める
（4）法律、行政法規又は国家インターネット情報部門が規定するその他の条件

このうち、(1)は上記3で述べたとおりです。

(3)は、EU一般データ保護規則（GDPR）でいえば標準契約条項（SCC: Standard Contractual Clauses）に該当するいわば「中国版SCC」であり、「個人情報越境標準契約弁法」が2023年2月24日に公布されました（2023年6月1日施行）。
(1)の安全評価が義務づけられていない事業者は、中国版SCCを締結することで、国外移転の要件をクリアすることができることとなります。
個人情報越境標準契約弁法の詳細は、ニューズレター「中国で個人情報越境標準契約（中国版SCC）弁法が公布」（2023.3.2)及び「中国で個人情報越境標準契約の届出ガイドライン（第一版）が公布」（2023.6.16）をご参照ください。

6. 越境移転の例外（2023年9月28日パブコメ案）

【本項は2023年10月10日に追記いたしました。】

中国国家インターネット情報弁公室（CAC）が、2023年9月28日に、「国境を越えたデータの流れの規制と促進に関する規定」（规范和促进数据跨境流动规定（征求意见稿））のパブリックコメント案を公開しました（パブコメ募集期間は同年10月15日まで）。
これによれば、本人が当事者となる契約の締結または履行のために国外に個人情報を提供する場合、就業規則および法令に基づき締結された労働協約に基づき人事管理を実施するために従業員の個人情報を国外に提供する場合、1年以内の個人情報の国外提供が1万人に満たないと予想される場合などに、安全評価、個人情報保護認証、標準契約の締結は不要であるとされています。
詳細は、ニューズレター「中国「国境を越えたデータの流れの規制と促進に関する規定」のパブリックコメント案の公開」をご参照いただければと存じます。

7. 本人の同意

冒頭で述べたとおり、中国からの個人データの越境移転には、上述した安全評価や中国版SCCの締結に加えて、必ず本人の同意が必要とされていますので、注意が必要です。

8. 個人情報保護影響評価（PIA）

個人情報保護法55条は、個人情報を中国国外に提供する場合には、「個人情報保護影響評価」を行わなければならないとしています。これは、EU一般データ保護規則（GDPR）35条のデータ保護影響評価（Data Protection Impact Assessment: DPIA）に類似するものといえます。
前述した越境標準契約を締結し当局に届出をする際に、個人情報保護影響評価書も併せて提出しなければならないとされているから、必ず実施する注意があることに留意が必要です。

9. 日本企業がとるべき対応

中国に現地法人がある日本企業が、従業員の情報、顧客の情報、取引先の担当者の情報等を共有する場合、越境移転の規制をクリアする必要があります。

中国から日本への越境移転については、以下を検討することになります。

1. 中国法人が重要情報インフラ運営者に該当するか？
　該当する場合、現地にデータを中国国内に保存する必要があります。
2. 以下のいずれかに該当するか？
　・国外に移転する情報が重要データに当たる
　・重要情報インフラ運営者に当たる
　・100万人分以上の個人情報を取り扱っている
　・前年1月1日以降に、10万人分以上の個人情報を国外移転している
　・前年1月1日以降に、1万人分以上の機微な個人情報を国外移転している
　・その他国家インターネット情報部門が規定する場合
　以上のいずれかに該当する場合、安全評価を行い、当局に申告する必要があります。
3. 上記2に該当しない場合、越境標準契約（中国版SCC）を締結し、下記5の個人情報保護影響評価書とともに当局に届け出る。
4. 本人の同意を取得する。
5. 個人情報保護影響評価（DPIA）を行う。

なお、中国の個人情報保護法上必要な、個人情報の取扱いについての本人への情報提供（プライバシーポリシー、プライバシーノーティス等）、必要に応じて本人からの同意の取得などの対応を行うとともに、サイバーセキュリティ法上必要なネットワークセキュリティ等級評価等を行うことが求められるますので、注意が必要です。

また、日本から中国への移転については、日本の個人情報保護法28条に従った対応が必要となります。典型的には、日本の個人情報保護法により個人情報取扱事業者が講ずべきこととされている措置に相当する措置（相当措置）を継続的に実施するための体制を整備するために、中国現地法人が個人情報の取扱いにおいて遵守すべき事項を定めた契約（日本版SCC）を締結することになります。
参考：外国の個人情報の保護に関する制度調査

さらに、日本・中国以外にも、EU（EEA）/英国、アジア諸国など、世界各国において域外移転に対する規制が施行されています。グループ会社間で情報共有する場合、これらの規制を包括的にクリアする「グループ内データ移転契約」を作成し、締結する必要があります。
牛島総合法律事務所では、これらの外国法制に対応したグローバルな情報管理体制の構築について、多数の経験を有しております。グループ内のデータガバナンス体制構築の前提となるデータマッピングの支援から、グローバルなプライバシーポリシー、データ移転契約の策定、個人情報管理規程、各種細則やひな形等のドラフト、従業員教育までを、世界各国の法律事務所とのネットワークを活かして、各国弁護士のレビューを含めてワンストップで1つのプロジェクトとして遂行可能です。お気軽にお問い合わせください。

※本稿は一般的な法令情報を提供するものであり、中国法に関するアドバイスや法的意見を提供するものではありません。

以下の特集も合わせてご参照ください。
「中国の個人情報保護法（データ3法）の下での国外移転の実務（後編：実務対応）」（2023年3月5日）
「『重要データ』の中国からの越境移転」（2023年3月15日）

お問い合わせ

外国の個人情報の保護に関する制度、グループ企業内でのグローバルな情報管理体制の構築、中国個人情報保護法・GDPR・CCPAをはじめとする世界各国の個人情報保護法対応につきまして、以下からお気軽にお問い合わせ下さい。
お問い合わせ（担当：影島広泰、辻晃平）

ニューズレターのメール配信はこちら

関連セミナー

• 中国個人情報保護法（データ3法）の下での越境移転の実務｜U&Pリーガルセミナー
  （2023年6月7日16:00～17:00、8月31日までアーカイブ配信、無料）