中国「個人情報越境移転標準契約届出ガイドライン(第1版)」の解説
2023/06/06   海外法務, 情報セキュリティ, 個人情報保護法, 中国法

GBL研究所理事・CIPP/E 浅井敏雄[1]


・本年(2023年) 6月1日施行の, 中国の「個人情報越境移転標準契約弁法」(个人信息出境标准合同办法)(以下「弁法」)に定める個人情報越境移転標準契約(「標準契約」)の届出手続・届出書類雛形等について, 中国国家ネットワーク情報弁公室(CAC)は本年5月30日に「個人情報越境移転標準契約届出ガイドライン(第1版)」(个人信息出境标准合同备案指南(第一版))(「本ガイドライン」)を公布しました。

・弁法と標準契約については, 筆者は, 既に『中国「個人情報越境移転標準契約弁法」と同標準契約の解説』(2023/5/1)(以下「解説」という)で, 「標準契約も必ずしも企業が安心して利用できるものとは評価できず, 企業としては可能な限り, 中国本土内(境内)に個人情報を保存しつつ, どうしても越境移転が必要な個人情報に限定して標準契約の締結により越境移転を行うこととするのが適切」との見解を示していました。

・以下において本ガイドラインの内容を解説しますが, 先に結論を言えば, 本ガイドラインから, 更に, 以下のようなことが言えると思われます。

1) 標準契約発効後の事後「届出」(原文で「备案」:事件を所轄機関に報告してその記録にとどめること)といいながら, 実際には当局が越境移転の実体的審査を行った上で審査合格又は不合格を決定する(届出受理後15営業日内に合格・不合格を通知)。

2) 届出の受理・審査を行う当局(省級ネットワーク情報部門)は, 不十分・不適切な審査により合格決定したとCAC等から批判・処罰されないよう, 審査を厳格に行うと予想される

3) 届出資料及び審査の対象には個人情報保護影響評価報告書も含まれ, 同報告書に記載すべき事項は, (i)移転(提供)元である個人情報処理者(例えば, 日本企業の中国子会社)の株主構成・実質支配者, 投資, 関連情報システム・データセンター(クラウドサービスを含む), 個人情報セキュリティ技術的措置・能力, (ii)移転(提供)先である境外受領者(例えば, 日本の親会社)の関連システム基盤・データセンター, 個人情報の処理の全過程の説明等の移転元・移転先企業にとり機微な情報を含み, かつ抽象的・広範で, 企業の対応困難性・負担は大きい。当局は, 届出審査で要求する報告事項の広さ・詳細さの裁量権を有すると思われるから, 例えば, 国家安全保障等の観点から, 中国政府が特に関心を有する企業・越境移転等の場合には特に詳細・広範になる場合があると思われる。

4) 届出資料(提出書類)の不足・不備により不合格になった場合の補完・修正手続は規定されているが, 届出が, 越境移転の内容等に関わる実体的理由(例:越境移転の必要性, 安全措置, 移転先国政策・法規)により不合格になった場合, 既に越境移転が行われていたときの効果は規定されていない可能性としては, 届出により越境移転済みであることが当局に知られ, 法違反として処罰され得ると思われる

5) 従って, 標準契約により越境移転する場合でも, 原則として, その届出をして合格通知を受けた後に越境移転を実行するのが安全と思われる(但し, 例えば, 日本の会社の中国子会社への出向日本人従業員の個人情報の移転等, 中国政府が特に関心を向けるとも思われない場合は届出前に越境移転しても大丈夫かもしれない)。

・以下本ガイドラインの内容を解説します。なお, 以下において, (  )内の数字は法令又は標準契約の条文番号, [  ]内の内容又は「 — 」以下の内容は筆者による補足・追記です。

 

【目  次】


(各箇所をクリックすると該当箇所にジャンプします)


本ガイドラインの目的・性格


適用範囲


届出手続


別紙3:誓約書(雛形)


別紙5:個人情報保護影響評価報告書(雛形)(越境移転版)


 

本ガイドラインの目的・性格


本ガイドラインの前文で, 本ガイドラインの作成目的は, 中国本土外(境外)[2]に個人情報を越境移転する移転元の「個人情報処理者」が標準契約を適切に届出るための指針・支援である旨規定されている。しかし, 本ガイドラインは, 後述の通り, 届出先の当局(省級ネットワーク情報部門)の届出の受理・処理の方法等についても規定しているので, 当局の取扱い指針ともなっている

page top

適用範囲


【標準契約で越境移転できる要件】

・個人情報処理者が標準契約の締結により個人情報を境外に提供するには, 以下の全ての要件を満たさなければならない。[なお, 「解説」のIIIで説明した通り, 個人情報の越境移転は, 標準契約締結による場合も, 事前に個人情報主体(本人)の個別同意と個人情報保護影響評価[自己評価]が必要である]

(1) 重要情報インフラ運営者ではないこと;

(2) 処理する個人情報が100万人分未満であること;

(3) 前年1月1日からの累計で境外提供した個人情報が10万人分未満であること;

(4) 前年1月1日からの累計で境外提供した機微個人情報が1万人分未満であること;

・法律, 行政法規又は国家ネットワーク情報部門[CAC]に別段の定めがある場合にはその定めに従う。

・個人情報処理者は, 法令上越境移転安全評価を経ることが必要な個人情報を, 数量の分割等の手段により標準契約の締結により境外に提供してはならない。

[以上は, 「解説」のIIで説明した弁法の内容と同じである。]

【越境移転に該当する行為】

以下の場合は個人情報の越境移転行為に該当する。

(1) 個人は情報処理者が, 境内における業務で収集・生成した個人情報を境外に伝送・保存すること。

(2) 個人情報処理者が収集・生成した個人情報を境内に保存し, 境外の者(機関・組織又は個人)が照会・アクセス, 検索, ダウンロード又はエクスポートできるようにすること

(3) 国家ネットワーク情報弁公室が定めるその他の個人情報越境移転行為

page top

届出手続


個人情報処理者は, 標準契約発効日から10営業日以内に, 以下の提出資料(書面)を, その電子版を添付して, 所在地の省級(省・直轄市等)[3]ネットワーク情報部門に提出しなければならない。

(1) 提出資料(届出書類)

個人情報処理者は, 届出において以下の資料を提出しなければならない(詳細:[本ガイドライン]別紙(附件)1参照)

1) 統一社会信用コード証明書の公印[会社印等]付き写し

2) [届出を行う企業等の単位の]法定代表者の身分証明書の公印付き写し

3) 届出担当者の身分証明書の公印付き写し

4) 届出担当者への授権委任状(雛形(模板):別紙2参照)の原本

5) 誓約書(雛形:別紙3)の原本

6) 標準契約書(雛形:別紙4)の原本 [従って, 標準契約は両当事者分+届出用で3部正本作成要]

7) 個人情報保護影響評価報告書(雛形:別紙5)の原本 [従って, 報告書は届出用の正本1部も作成要]

 

(2) 資料の審査及び結果の通知

省級ネットワーク情報部門は, 資料受領後15営業日以内に資料の調査・検査(查验)を完了し, 個人情報処理者に届出結果を通知する。届出結果は合格及び不合格に分かれる。省級ネットワーク情報部門は, 届出が合格の場合, 個人情報処理者に届出番号を発行する。届出が不合格の場合, 個人情報処理者に不合格の旨及びその理由を通知する。

個人情報処理者は, 資料の補完・修正の必要がある場合, 10営業日以内に補完・修正後の資料を再届出しなければならない。

[上記より, 「届出」は, 実際には, 当局が越境移転の実体的審査を行った上で審査合格又は不合格を決定するものであることが明らかである。]

 

(3) 標準契約有効期間中における補完又は再届出

・個人情報処理者は, 標準契約の有効期間中に以下のいずれかの事由が生じた場合には, 新たに個人情報保護影響評価を行い, 標準契約の補完又は再締結及び届出を行わなければならない。

1) 境外に提供される個人情報の目的, 範囲, 種類, 機微度, 方法及び保存場所, 境外受領者(提供先)の個人情報の用途もしくは処理方法に変更がある場合, 又は境外での個人情報保存期間が延長される場合。

2) 境外受領者が所在する国・地域等の個人情報保護政策・法規等の変化等により, 個人情報の権利・利益に影響を及ぼす可能性がある場合。

3) その他, 個人情報の権利利益に影響を及ぼす可能性のある場合。

[以上は, 「解説」のVIで説明した弁法の内容と同じ。同VIの解説参照]

・個人情報処理者は, 標準契約の有効期間内に標準契約の補完契約を締結する場合, 所在地の省級ネットワーク情報部門に補完資料を届出しなければならない。標準契約[の補完契約]を再締結する場合, 再届出をしなければならない。補完資料又は再届出の資料検査期限は15営業日とする。

・個人情報処理者は, 提出資料の真実性に責任を負い, 虚偽資料を提出した場合, 届出は不合格とし, 法に従い法的責任を追及する。

 

別紙1:個人情報越境移転標準契約書届出資料の要件: - 省略

別紙2:届出担当者への授権委任状(雛形) : - 省略

 

別紙3:誓約書(雛形)


[以下雛形の文言]


本[届出]単位は, 以下のことを厳に誓約する。

1) 中華人民共和国の関連法令に従い, 越境移転個人情報の収集及び利用を行うこと。

2) 届出資料の全ての内容は, 真実, 完全, 正確, 有効であること。

3) 法令上越境移転安全評価合格が必要な個人情報を, 標準契約締結によって越境移転するため数量分割等をしていないこと

4) 国家ネットワーク情報弁公室が行う個人情報越境移転標準契約届出の関連業務に対し必要な協力・支援をすること。

5) 個人情報保護影響評価を届出日前3ヶ月以内に完了しており, その後届出日までに重要な変更が生じていないこと。[このことから, 個人情報保護影響評価は届出日前3ヶ月以内に完成したものでなければならない。]

本単位は, 上記の誓約の内容を認識かつ完全に理解しており, 誓約が真実でない場合, 又は誓約に違反した場合, 法的責任を負う。

法定代表者(署名):

[届出]単位(押印):

年 月 日

 

別紙4:個人情報越境移転標準契約(雛形) : 「解説」のIXの標準契約の内容参照。- 省略

 

別紙5:個人情報保護影響評価報告書(雛形)(越境移転版)


[雛形といっても, 書式の雛形ではなく, 以下の通り, 報告書の記載要領・記載事項リストである。]

 

個人情報処理者名:(印)

年 月 日

 

I. 評価作業の概要

評価作業の実施に関する情報(開始日・終了日, 組織, 実施手続, 実施方法等)を記載する。

第三者機関が評価に関与する場合, 第三者機関の基本状況及び評価への関与状況を記載し, 関連内容のページに第三者機関の公印を押印しなければならない。

 

II. 越境移転行為全体の状況

個人情報処理者の基本状況, 個人情報の越境移転に関わる業務及び情報システム, 越境移転される個人情報の状況, 個人情報処理者の個人情報保護能力の状況, 境外受領者の状況, 個人情報の第三者への[再]移転の有無, 標準契約条項の履行を確保する方法について詳細に説明する。

これには, 以下のものが含まれる:

(1) 個人情報処理者の基本状況

1) [届出単位である]組織・個人に関する基本状況;

2) 株主構成及び実質支配者についての情報

3) 組織構造に関する情報

4) 個人情報保護機関に関する情報

5) 業務及び個人情報全般の状況

6) 境内・境外投資に関する情報

(2) 個人情報越境移転に関わる業務及び情報システムの状況

1) 個人情報の越境移転に関わる事業の基本状況

2) 個人情報の越境移転に関わる業務における個人情報の収集・利用状況

3) 個人情報の越境移転に関わる業務の情報システムの状況

4) 個人情報の越境移転に関わるデータセンター(クラウドサービスを含む)の状況

5) 個人情報の越境移転経路に関する状況

(3) 越境移転される個人情報の状況

1) 個人情報処理者及び境外受領者における個人情報の処理の目的, 範囲及び方法並びにその合法性, 正当性及び必要性についての説明。

2) 越境移転される個人情報の規模, 範囲, 種類及び機微度, 機微個人情報の処理, 自動意思決定のための個人情報の利用に関する説明。

3) 越境移転される個人情報が境内で保存されるシステム基盤, データセンター等, 及び越境移転後に保存される予定のシステム基盤, データセンター等

4) 個人情報が越境移転された後の他の境外受領者への(再)移転[の有無・内容]

(4) 個人情報処理者の個人情報保護能力の状況

1) 管理組織体系及びシステムの構築の状況, 全過程管理, 緊急時対応, 個人情報の権利・利益保護等の体制及びその運用を含む個人情報セキュリティ管理能力

2) 個人情報の収集, 保存, 利用, 処理, 伝送, 提供, 開示, 削除等の全過程で講じるセキュリティ技術的措置を含む個人情報セキュリティ技術的能力

3) 個人情報保護認証, 個人情報保護遵守監査, ネットワークセキュリティ等級保護評価等, 個人情報保護措置の有効性の証明

4) 個人情報保護関連法令遵守の状況。

(5) 境外受領者の状況

1) 境外受領者の基本状況

2) 境外受領者の個人情報の処理目的, 処理方法

3) 境外受領者の個人情報保護能力

4) 境外受領者が所在する国・地域の個人情報保護政策・法規の状況

5) 境外受領者による個人情報の処理の全過程の説明

(6) その他, 個人情報処理者が説明するために必要と判断した情報

 

III. 越境移転の影響評価

以下事項について項目ごとに影響評価の状況を説明し, かつ, 評価により判明した問題点及びリスク, それらに対応するための是正措置及びその是正効果を重点的に説明すること。

(1) 個人情報処理者及び境外受領者による個人情報の処理の目的, 範囲及び方法の合法性, 正当性及び必要性。

(2) 越境移転される個人情報の規模, 範囲, 種類及び機微度, 並びに個人情報の越境移転に起因する個人情報に係る権利・利益に生じ得るリスク

(3) 境外受領者が負うことを承諾した義務, 及びその義務を履行するための管理・技術的措置・能力により, 越境移転される個人情報の安全を確保できるか否か。

(4) 越境移転後の個人情報の改ざん, 毀損, 漏えい, 消失, 不正利用等のリスク及び個人情報に係る権利・利益を保護する手段の有無

(5) 境外受領者が所在する国又は地域の個人情報保護政策・法規が標準契約の履行に及ぼす影響

(6) その他, 越境移転される個人情報の安全に影響を与える可能性がある事項

 

IV. 越境移転行為の影響評価の結論

上記の影響評価及びこれに対する是正措置を総合し, 個人情報越境移転について客観的な影響評価の結論を出し[それを記載し], 評価の結論の理由と根拠を十分に説明すること。

page top


以 上


【注】

 

[1] 【本稿の筆者】UniLaw企業法務研究所代表/IAPP CIPP/E (Certified Information Privacy Professional/Europe)

[2] 【中国本土・境内・境外】「中国本土」は, 香港・マカオ・台湾を含まない中国本土。「境内」は中国本土内。「境外」は中国本土外。

[3] 【省級】百度百科の「中华人民共和国级行政区」によれば, 「省級」とは, 中国の現在の 34 の1級行政区(なお, 2級:地級, 3級:県級, 4級:郷級)を意味し, 具体的には, 23省(河北, 山西, 黒龍江, 吉林, 遼寧, 江蘇, 浙江, 安徽, 福建, 江西, 山東, 河南, 湖北, 湖南, 広東, 海南, 四川, 貴州, 雲南, 陝西, 甘粛, 青海, 台湾), 5自治区(内蒙古, 広西, チベット, 寧夏, 新疆), 4直轄市(北京, 天津, 上海, 重慶), 2特別行政区(香港, マカオ)をいう。

シェアする

  • はてなブックマークに追加
  • LINEで送る
  • 資質タイプ×業務フィールドチェック
  • TKC
  • 法務人材の紹介 経験者・法科大学院修了生
  • 法務人材の派遣 登録者多数/高い法的素養

新着情報

公式メールマガジン

企業法務ナビでは、不定期に法務に関する有益な情報(最新の法律情報、研修、交流会(MSサロン)の開催)をお届けするメールマガジンを配信しています。

申込は、こちらのボタンから。

メルマガ会員登録

公式SNS

企業法務ナビでは各種SNSでも
法務ニュースの新着情報をお届けしております。

企業法務ナビの課題別ソリューション

企業法務人手不足を解消したい!

2007年創業以来、法務経験者・法科大学院修了生など
企業法務に特化した人材紹介・派遣を行っております。

業務を効率化したい!

企業法務業務を効率化したい!

契約法務、翻訳等、法務部門に関連する業務を
効率化するリーガルテック商材や、
アウトソーシングサービス等をご紹介しています。

企業法務の業務を効率化

公式メールマガジン

企業法務ナビでは、不定期に法務に関する有益な情報(最新の法律情報、研修、交流会(MSサロン)の開催)をお届けするメールマガジンを配信しています。

申込は、こちらのボタンから。

メルマガ会員登録

公式SNS

企業法務ナビでは各種SNSでも
法務ニュースの新着情報をお届けしております。

企業法務ナビに興味を持たれた法人様へ

企業法務ナビを活用して顧客開拓をされたい企業、弁護士の方はこちらからお問い合わせください。