PIPL導入シリーズ:(1)国境を越えたデータ移転と標準契約書案
中国の個人情報保護法(PIPL)の要件は、中国のSCC草案に加え、中国サイバースペース管理局(CAC)が最近待望のガイダンスを発表したことで、一歩一歩明らかになりつつある。 PIPLは、中華人民共和国(PRC)により制定されてからわずか3ヶ月後の2021年11月1日に施行されたため、PIPLに関するガイダンスが明らかに不足しており、多くの組織が新体制の下でコンプライアンスを達成する方法について疑問を抱いている。 本稿は、PIPLの重要な側面についてより詳しく解説するシリーズの第一弾であり、ここでは国境を越えたデータ移転について説明する。
I.国境を越えたデータ移転
国際企業にとって既に馴染みのある概念は、個人データを海外に移転するための合法的な移転メカニズムの必要性である。 PIPL第38条に基づき、データ処理者は中国国内にいる個人の個人情報を中国国外に移転する場合、以下のいずれかの条件を満たす必要がある:
- PIPL第40条に基づくセキュリティアセスメントに合格すること;
- 管轄当局の認証を受ける;
- 標準契約を締結する。
- 法律、行政法規または国家サイバーセキュリティ情報化部門が規定するその他の条件を満たすこと。
以下、1~3の各方法について順に見ていく。
1.セキュリティ評価
PIPL第40条によるセキュリティアセスメントの対象となるのは、重要情報インフラ事業者**(CIIO**)および一定基準以上の個人データを取り扱うデータ取扱者である(下記参照)。CIIOとは、公共通信・情報、エネルギー、交通、水利、金融、公共サービス、電子政府、国防、科学技術、および国家安全保障、国家経済、国民生活に脅威を与える可能性のあるサービスにおける重要なネットワーク設備や情報システムを指す。
CIIOと大規模なデータ処理業者は、中国国内で収集・作成された個人情報を国内で保管し、そのような個人情報を海外に転送する前に、中紀委が定めたセキュリティ評価に合格する必要がある。 今月初め、中紀委は「越境データ移転安全評価弁法」(「安全評価弁法」)を最終的に公表した。 安全評価弁法では、以下の項目に関して、越境データ移転安全評価に関する規則を制定する:
- PIPLおよび中華人民共和国サイバーセキュリティ法(「CSL」)に規定される特定のデータ取扱者によって取り扱われる個人情報。
- 「中華人民共和国データセキュリティ法(DSL)に基づく「重要データ」。
セキュリティ評価弁法では、データ取扱者は、以下の場合、中国国外に個人情報を移転する前に、強制的なセキュリティ評価を完了する必要があります:
- 重要なデータ」を転送する場合。 これは、DSLおよびCSLの義務をCIIOからすべてのデータ取扱者に拡大するものと考えられる;
- CIIOまたはデータ取扱者が100万人以上の個人情報を取り扱っている場合;
- データ取扱者が、前年の1月1日以降、累計で少なくとも10万人の個人情報または少なくとも1万人の機微な個人情報を国境を越えて移転した場合。
- その他CACが指定する状況が存在する場合。
データ取扱者がセキュリティ・アセスメントを実施する必要がある場合、データ取扱者は最初の自己アセスメントを完了しなければならず、この自己アセスメントは、個人データの海外受取人との間で締結した法的文書とともに、州CACへの申請の一部として提出される。 州CACは、CACに提出する前に申請書を審査する。 このプロセスには最長2ヶ月かかり、CACによる承認は2年間有効である。企業は、期限を守るために、有効期限が切れる2ヶ月前にセキュリティ評価の再認証を申請しなければならない。セキュリティ評価の実施が義務付けられていない組織は、認証か中国版SCCsの実施かを選択することができる。
2. 認証
認証の対象となるのは、中国に法人を有する多国籍企業であり、関連会社やPIPL第3条第2項の域外適用を受ける企業も対象となる。企業がPIPLの域外適用範囲に該当する場合、PIPL第53条に基づき設立された法定代理人が認証を申請する法的責任を負う。認証機関として活動する組織は、中国当局によってまだ設立されていない。認証を申請する組織は、中国当局による監督を受け入れ、中国の法律に拘束されることを受け入れなければならない。すべての組織はPIPOを任命しなければならず(この義務については次回の記事で詳しく説明します)、データ主体の権利の保護措置を実施しなければなりません。
3.標準契約
2022年6月30日、CACは「個人情報の国境を越えた移転に関する標準契約書」(以下「標準契約書草案」)の草案を公表した。 この草案は現在、2022年7月29日までパブリックコンサルテーションに供されており、その後、さらなる更新が期待されます。 標準契約書草案は、以下を含むSCCテンプレートを提案しています:
- データの輸出者および受領者に関する基本情報(氏名、連絡先、詳細など);
- 移転される個人情報の目的、範囲、カテゴリー、機密性、量、方法、保存期間、保存場所;
- データの輸出者および受領者の義務と義務、セキュリティリスクを防止するための技術的および組織的措置;
- 受領者が所在する国の個人情報保護法と中国の個人情報保護法を比較した場合の影響。
- データ主体の権利および契約違反、契約取消、責任、紛争解決に対する救済措置に関する条項。
また、標準契約書草案では、個人情報取扱者が個人情報保護影響評価(PIPIA)を実施する必要性が強化されている。 PIPIAでは、以下を考慮する必要があります:
- オフショアの受領者による移転およびさらなる処理の目的、範囲、および方法が、合法的、適法かつ必要であるか否か;
- 海外へ持ち出される個人情報の量、範囲、種類、および機微性、ならびに個人情報の輸出によって個人情報の権利および利益にもたらされる可能性のあるリスク;
- 海外の受取人が負う責任及び義務、並びに責任及び義務を履行するための管理上及び技術上の措置及び能力により、輸出個人情報の安全性を確保することができるかどうか;
- 出国後、個人情報が漏えい、毀損、改ざん、悪用される危険性、個人が個人情報の権益を保護する経路が遮断されていないかどうかなど;
- 個人情報保護方針及び規制が、海外受取人の所在する国又は地域における標準的な契約の履行に与える影響。
- その他出国する個人情報の安全確保に影響を及ぼすおそれのある事項。
標準契約書(案)では、標準契約書締結後10日以内に、契約書とPIPIAに関する報告書の両方を現地CACに報告しなければならないと規定されている。 以下のいずれかの状況が発生した場合、該当する標準契約書は更新され、再署名され、再度当局に提出されなければならない:
- 個人データ処理の目的、範囲、種類、機密性、量、方法の変更;
- データ主体の権利または利益に影響を及ぼす可能性のある外国のデータ保護法の変更;
- データ主体の権利または利益に影響を及ぼす可能性のあるその他の状況;
当局は、個人情報の移転がPIPLに基づく国際データ移転規制に適合しなくなり、標準契約書が同規制が暗示する要件を満たさなくなったと疑われる場合、個人情報の移転を取り扱う当事者に通知し、すべての移転活動を直ちに停止するよう命じることができる。
II.個別の同意
他の法域と異なり、PIPL第39条は、個人情報の国境を越えた移転について、データ主体から別途同意を得ることを個人情報取扱者に義務付けている。データ主体は、移転、その目的、受領者、受領者の連絡先および処理活動について十分に知らされなければならない。PIPLの様々な条文において、第40条の安全性評価を受ける企業も同意を得なければならないかどうかについては、まだ不明確である。しかし、これはPIPLの文言と矛盾するため、中国国外に個人データを移転する場合は、いかなる場合でも同意を得なければならないと考える。我々は、CACが発表する以下のガイドラインによって、この疑問がより明確になることを期待している。
すべての措置案と同様、私たちは標準契約書草案に関するパブリックコンサルテーションの結果や、中国からどのような指針が今後出てくるかを待ちます。 それまでは、PIPL最新情報シリーズの次回は、代理人とPIPO(中国のDPOに相当)の役割に注目する予定である。