「データ安全法」と「個人情報保護法」の下位規範として「データ出境安全評価弁法」(2022年9月1日施行)(以下、「安全評価弁法」という)、「個人情報出境標準契約弁法」(2023年6月1日施行)(以下、「SCC弁法」という)と「データ越境移転を規範化・促進する規定」(2024年3月22日施行)(以下、「促進規定」という)があります。2つの弁法と比較し、促進規定は、より明確に概念を定義して適用範囲等の曖昧さを修正し、また促進規定の意見募集稿より幾つかの業務場面を追加し、データ処理者の負担軽減を図ろうとした実用性の高いものです。本文において、データ・個人情報越境の一般規則を紹介してから、例外やその他の規則を紹介します。

　　1. 一般規則

　　1.1 促進規定第7条、安全評価の適用範囲を規定しています。

　　第7条　データ処理者が国外にデータを提供する時、以下のいずれかに該当する場合、安全評価を受けなければならない。

　　(1)重要情報インフラ運営者が国外に個人情報または重要データを提供する。

　　(2)重要情報インフラ運営者以外のデータ処理者が国外に重要データを提供する場合、または当年度1月1日より累計で国外に100万人以上の個人情報もしくは1万人以上の機微個人情報を提供した場合。

　　本規定第3条、第4条、第5条、第6条に該当する場合は、同条に従う。

　　主体は重要情報インフラ運営者(CIIO)と重要情報インフラ運営者以外のデータ処理者(非CIIO)があり、客体は重要データと個人情報・機微個人情報があり、分かりづらい条文となっています。整理すると以下の通りになります。

　　●重要データを国外に提供する場合は、主体(CIIO、非CIIO)を問わずに安全評価を受けなければならない。

　　●CIIOが個人情報を国外に提供する場合は、安全評価を受けなければならない(注：例外追加、後述参照)。

　　●当年度の1月1日より、累計で国外に100万人以上の個人情報または1万人以上の機微個人情報を提供した非CIIOは、国外に個人情報を提供する場合、安全評価を受けなければならない。

　　1.2　促進規定第8条、SCCまたはBCRの適用範囲を規定しています。

　　第8条　重要情報インフラ運営者以外のデータ処理者が当年度1月1日より累計で10万人以上100万人未満の個人情報または1万人未満の機微個人情報を国外に提供した場合、国外の提供先と個人情報出境標準契約を締結するもしくは個人情報安全認証に合格しなければならない。

　　本規定第3条、第4条、第5条、第6条に該当する場合は、同条に従う。

　　整理すると以下の通りになります。

　　当年度の1月1日より、累計で国外に10万人以上100万人未満の個人情報または1万人未満の機微個人情報を提供した非CIIOは、国外に個人情報を提供する場合、SCCの締結またはBCRの合格をしなければならない。

　　また、非CIIOが国外に個人情報を提供する場合について、第7条第1項第2号と第8条の以外に、第5条第1項第4号の例外を規定し、適用範囲を詳細化しました。

　　2. 例外規定

　　第3条　国際貿易、越境運輸、学術協力、越境生産製造と市場販売の5つの業務場面におけるデータの越境移転について、個人情報と重要データが含まれない場合は、安全評価の合格、SCCの締結またはBCRの合格が必要としない。

　　供給網に関する業務場面や学術研究の業務場面を例外とする理由は、供給網や学術研究にマイナスの影響を及ぼさないようという意図によるものでしょう。個人情報や重要データがなく、CIIOや非CIIOを問わずという要件です。

　　第4条　データ処理者は、国外で収集・生成された個人情報を境内に移転し処理した後、国外に提供する場合、処理過程において境内の個人情報または重要データが導入されていなければ、安全評価の合格、SCCの締結またはBCRの合格が必要としない。

　　データ三法施行前に、データアウトソーシングを行うビジネスモデル(大連ソフトウェアパーク等)が既に成立しているので、このようなビジネスにマイナスの影響を及ぼさないようという意図によるものでしょう。個人情報や重要データがなく、CIIOや非CIIOを問わずという要件です。

　　第5条　データ処理者は、以下のいずれかに該当する場合、安全評価の合格、SCCの締結またはBCRの合格が必要としない。

　　(1)個人が一方の当事者とする契約を締結・履行するため、たとえば、越境買物、越境配達、越境送金、越境支払、越境口座開設、航空券・ホテル予約、ビザ申請、試験役務等、確かな需要により国外に個人情報を提供する場合。

　　(2)法により制定される労働規則制度および締結される集団労働契約に基づいて越境人的資源管理を実施するため、確かな需要により国外に従業員個人情報を提供する場合。

　　(3)緊急時において、個人の生命健康と財産安全を保護するため、確かな需要により国外に個人情報を提供する場合。

　　(4)当年度の1月1日より、累計で国外に10万人未満の個人情報を提供した非CIIOが国外に個人情報を提供する場合。

　　前項の国外に提供される個人情報は、重要データを含まないものとする。

　　上記の業務場面において、規制が緩和されることになります。このうち、国外に従業員の個人情報を提供する業務場面は、最も需要があるのではないでしょうか。重要データがなく、個人情報があり、CIIOや非CIIOを問わずという要件です。

　　第6条　自由貿易試験区は、国家データ分類分級保護制度の枠組み下に、試験区内のデータ出境安全評価、個人情報出境標準契約、個人情報保護認証の管理に取り入れる需要のあるデータリスト(以下、「ネガティブリスト」という)を自主制定できるが、省インタネット安全と情報化委員会の批准後、国家インタネット情報部分、国家データ管理部門に届け出る必要がある。

　　自由貿易試験区内において、データ処理者は、ネガティブリスト以外のデータを国外に提供する場合、安全評価の合格、SCCの締結またはBCRの合格が必要としない。

　　自由貿易区を限定し、ある程度の経験を蓄積してから全国範囲に普及させるという方法です。現在、上海自由貿易試験区臨港新区における3つの分野においての一般データリストおよび天津自由貿易試験区におけるネガティブリストが公開されています。重要データがなく、個人情報があり、CIIOや非CIIOを問わずという要件です。

　　3.例外優先適用

　　促進規定において、一般規則は第7条第1項、第8条第1項で、例外は第3条、第4条、第5条および第6条と区分されます。適用が重複する場合、たとえば、CIIOが従業員の個人情報を海外の子会社に提供する等場面において、一般規則が適用されると、CIIOが安全評価を受けなければならないことになり、CIIOにかける負担が大きすぎてビジネスの促進にならないという考えから、促進規定第7条第2項、第8条第2項は、第3条、第4条、第5条、第6条が優先適用すると規定しました。

　　4.安全評価の有効期間

　　安全評価弁法は、安全評価の有効期間を2年と規定したが、促進規定第9条は、期間を3年に伸ばしてデータ処理者の負担軽減を図りました。また、継続的にデータ出境業務を行い、且つあらためて安全評価を申告しなければならない状況が発生していない場合、データ処理者は、期間満了前の業務日60日以内に省CACを経て国家CACに安全評価結果を延長申請できると規定しました。

　　なお、SCC弁法は、自主的PIAの有効期間についての規定はありません。取得目的や処理方法等の変化がある場合は、あらためて届け出る必要があると理解されています。

　　5.その他

　　2つの弁法は、個人情報の数量について、重複の有無を明確化していなかったが、促進規定と同じ日に公開された「データ出境安全評価申告指南(第二版)」は、重複なしと明確化しました。

　　6.まとめ